Czy zauważyłeś, jak popularne witryny, takie jak Facebook i Google, proszą o dodanie uwierzytelniania dwuskładnikowego w celu poprawy bezpieczeństwa?
Cóż, teraz możesz dodać uwierzytelnianie dwuskładnikowe do swojej witryny WordPress. Zapewnia to maksymalne bezpieczeństwo witryny WordPress i wszystkich zarejestrowanych użytkowników.
W tym artykule pokażemy, jak dodać uwierzytelnianie dwuskładnikowe dla WordPress za pomocą wtyczki i aplikacji uwierzytelniającej.
Dlaczego warto dodać uwierzytelnianie dwuskładnikowe w WordPress?
Jedną z najczęstszych sztuczek stosowanych przez hakerów są ataki typu brute force. Podczas jednego z takich ataków używają zautomatyzowanych skryptów, które próbują odgadnąć właściwą nazwę użytkownika i hasło, aby móc zalogować się do witryny WordPress.
Udany atak brute force może dać hakerom dostęp do obszaru administracyjnego witryny. Mogą zainstalować złośliwe oprogramowanie, wykraść informacje o użytkownikach i usunąć wszystko z witryny.
Jednym z najprostszych sposobów ochrony witryny WordPress przed skradzionymi hasłami jest dodanie uwierzytelniania dwuskładnikowego (2FA). Dzięki temu ustawieniu, aby zalogować się do swojej witryny, będziesz musiał wprowadzić zarówno hasło, jak i dodatkowy kod (z aplikacji, e-maila lub wiadomości tekstowej).
W ten sposób, nawet jeśli ktoś ukradnie twoje hasło, nadal będzie musiał wprowadzić kod bezpieczeństwa z twojego telefonu, aby uzyskać dostęp.
Co to jest aplikacja uwierzytelniająca?
Istnieje wiele sposobów na skonfigurowanie 2-etapowego logowania w WordPress. Jednak najbezpieczniejszą i najłatwiejszą metodą jest użycie aplikacji uwierzytelniającej.
Aplikacja uwierzytelniająca to aplikacja na smartfony, która generuje tymczasowe jednorazowe hasło dla kont, które w niej zapisujesz.
Zasadniczo aplikacja i serwer używają tajnego klucza do szyfrowania informacji i generowania jednorazowych kodów, których można użyć jako drugiej warstwy ochrony.
Istnieje wiele aplikacji dostępnych za darmo:
- Najpopularniejszą aplikacją jest Google Authenticator, ale nie jest to najlepszy wybór. Dzieje się tak, ponieważ w przypadku utraty telefonu nie ma możliwości odzyskania kont, chyba że wcześniej utworzysz kopię zapasową.
- Zalecamy korzystanie z Authy, ponieważ jest to łatwa w użyciu i bezpłatna aplikacja, która umożliwia również zapisywanie kont w chmurze w zaszyfrowanym formacie. W ten sposób, jeśli zgubisz telefon, możesz po prostu wprowadzić hasło główne, aby przywrócić wszystkie konta.
- Inne menedżery haseł, takie jak LastPass i 1Password, mają własną wersję uwierzytelniacza. Są one lepsze niż Google Authenticator, ponieważ umożliwiają przywracanie kluczy.
Na potrzeby tego poradnika będziemy używać Authy. Jeśli chcesz, możesz postępować zgodnie z naszym samouczkiem, korzystając z innej aplikacji, ponieważ wszystkie działają w ten sam sposób.
Mając to na uwadze, przyjrzyjmy się, jak dodać 2FA w WordPress. Po prostu kliknij poniższe linki, aby przejść do preferowanej metody:
Przyjrzyjmy się teraz, jak łatwo dodać weryfikację dwuskładnikową do ekranu logowania WordPress za darmo.
Metoda 1: Dodawanie uwierzytelniania dwuskładnikowego za pomocą WP 2FA
Ta metoda jest łatwa i zalecana dla wszystkich użytkowników. Jest elastyczna i pozwala wymusić uwierzytelnianie dwuskładnikowe dla wszystkich użytkowników.
Najpierw należy zainstalować i aktywować wtyczkę WP 2FA – Two-factor Authentication. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.
Po aktywacji kreator konfiguracji WPA 2FA uruchomi się automatycznie. W przeciwnym razie możesz odwiedzić stronę Użytkownicy ” Twój profil i przewinąć w dół do sekcji „Ustawienia WP 2FA”.
Kliknięcie przycisku „Skonfiguruj uwierzytelnianie dwuskładnikowe (2FA)” uruchomi kreatora konfiguracji.
Kreator konfiguracji WP 2FA
Wystarczy kliknąć przycisk „Let’s Get Started!”, aby rozpocząć konfigurację wtyczki.
Na następnej stronie zostaniesz poproszony o wybranie metody uwierzytelniania.
Dostępne są dwie opcje:
- Jednorazowy kod wygenerowany za pomocą wybranej aplikacji 2FA (zalecane)
- Jednorazowy kod wysłany pocztą e-mail
Zalecamy wybranie metody uwierzytelniania za pomocą aplikacji 2FA (TOTP), ponieważ jest ona bezpieczniejsza i bardziej niezawodna.
Po dokonaniu wyboru możesz kliknąć przycisk „Kontynuuj konfigurację”, aby przejść do następnej strony kreatora konfiguracji.
Zostaniesz zapytany, jakie alternatywne metody 2FA chcesz, aby użytkownicy używali, jeśli podstawowa metoda 2FA zawiedzie, na przykład w przypadku utraty telefonu.
W planie bezpłatnym dostępna będzie tylko metoda kodu zapasowego. Jeśli chcesz mieć więcej alternatywnych metod 2FA, musisz uaktualnić do WP 2FA Premium.
Wystarczy kliknąć przycisk „Kontynuuj konfigurację”, aby przejść do następnej strony.
Na tej stronie możesz ustawić logowanie dwuskładnikowe jako obowiązkowe dla niektórych lub wszystkich użytkowników. Zalecamy to, zwłaszcza jeśli prowadzisz witrynę WordPress z wieloma użytkownikami, taką jak witryna członkowska.
Jeśli chcesz wymusić 2FA dla wszystkich użytkowników w swojej witrynie, po prostu wybierz opcję „Wszyscy użytkownicy” i kliknij „Kontynuuj konfigurację”.
Teraz wszyscy użytkownicy będą musieli korzystać z 2FA.
Być może jednak w Twojej witrynie są użytkownicy, których nie chcesz zmuszać do korzystania z 2FA. Następna strona umożliwia wpisanie nazw użytkowników lub ról użytkowników tych członków zespołu.
Gdy to zrobisz, kliknięcie przycisku „Kontynuuj konfigurację” spowoduje przejście do strony, na której możesz zdecydować, jak szybko użytkownicy muszą zacząć korzystać z 2FA.
Możesz wymagać, aby zaczęli od razu, lub dać im okres karencji wynoszący, powiedzmy, 3 dni, aby mieli czas na skonfigurowanie wszystkiego. Wystarczy kliknąć opcję, której chcesz użyć w swojej witrynie.
Jeśli chcesz dać okres karencji, możesz wybrać, ile godzin lub dni to będzie. Domyślne ustawienie 3 dni będzie działać dobrze dla większości witryn.
Istnieją również opcje dotyczące tego, co zrobić po zakończeniu okresu karencji, jeśli niektórzy użytkownicy nie skonfigurowali 2FA. Możesz ich wpuścić, ale nie pozwolić im na dostęp do pulpitu nawigacyjnego lub w ogóle zablokować im możliwość logowania. W przypadku większości witryn najlepsza będzie pierwsza opcja.
Po dokonaniu wyboru możesz kliknąć „Wszystko gotowe”, aby wyjść z kreatora konfiguracji. Gratulacje, skonfigurowałeś uwierzytelnianie dwuskładnikowe w swojej witrynie!
Zobaczysz ekran Zakończenie konfiguracji z komunikatem gratulacyjnym. Zobaczysz również przycisk, który pozwoli ci skonfigurować 2FA dla własnego konta użytkownika. Należy kliknąć przycisk „Skonfiguruj 2FA teraz”.
Konfigurowanie uwierzytelniania dwuskładnikowego dla własnego konta użytkownika
Uruchomi się nowy kreator konfiguracji, który pomoże skonfigurować uwierzytelnianie dwuskładnikowe dla własnego konta użytkownika. Inni użytkownicy w witrynie zostaną poproszeni o zrobienie tego samego.
Pierwszą rzeczą, którą musisz zdecydować, jest metoda 2FA, której chcesz użyć. Powinieneś zobaczyć opcję jednorazowego kodu za pośrednictwem aplikacji uwierzytelniającej. Możesz również zobaczyće inne opcje w zależności od wyborów dokonanych w kreatorze konfiguracji.
Wystarczy wybrać opcję „Kod jednorazowy za pośrednictwem aplikacji 2FA”, a następnie kliknąć przycisk „Następny krok”.
Wtyczka wyświetli teraz kod QR i kod tekstowy.
Będziesz musiał zeskanować kod QR za pomocą aplikacji uwierzytelniającej. Alternatywnie możesz ręcznie wpisać kod tekstowy w aplikacji.
Teraz będziesz musiał podnieść swoje urządzenie mobilne i otworzyć preferowaną aplikację uwierzytelniającą. Poniższe zrzuty ekranu wykorzystują Authy, ale inne aplikacje działają w podobny sposób.
Najpierw kliknij przycisk „+” lub „Dodaj konto” w aplikacji uwierzytelniającej.
Następnie aplikacja poprosi o pozwolenie na dostęp do kamery w telefonie.
Musisz zezwolić na to pozwolenie, a następnie dotknąć przycisku „Skanuj kod QR”, aby móc zeskanować kod QR wyświetlany na stronie ustawień wtyczki na komputerze.
Gdy aplikacja rozpozna kod QR, automatycznie rozpocznie zapisywanie konta.
Następnie można edytować domyślne logo i pseudonim konta. Gdy wszystko będzie gotowe, należy nacisnąć przycisk „Zapisz”.
Aplikacja uwierzytelniająca zapisze teraz konto w witrynie.
Następnie zacznie wyświetlać jednorazowe hasło. Należy je wprowadzić w ustawieniach wtyczki na komputerze.
Teraz musisz przełączyć się z powrotem na komputer.
W kreatorze konfiguracji wtyczki kliknij przycisk „Jestem gotowy”, aby kontynuować.
Wtyczka poprosi teraz o zweryfikowanie jednorazowego hasła.
Wystarczy wpisać kod z aplikacji mobilnej w polu „Kod uwierzytelniający” przed jego wygaśnięciem.
Następnie należy kliknąć przycisk „Validate & Save”, aby sfinalizować konfigurację.
Następnie pojawi się opcja wygenerowania i zapisania listy kodów zapasowych. Kody te można wykorzystać w przypadku braku dostępu do telefonu.
Należy kliknąć przycisk „Generuj listę kodów zapasowych”.
Kody zapasowe zostaną wygenerowane i wyświetlone.
Możesz pobrać te kody zapasowe do bezpiecznej lokalizacji na swoim komputerze, wydrukować je i umieścić w bezpiecznym miejscu lub wysłać je do siebie e-mailem. Upewnij się, że przechowujesz je w miejscu, do którego masz dostęp, jeśli nie masz telefonu.
Następnie możesz kliknąć przycisk „Jestem gotowy, zamknij kreatora”, aby zamknąć kreatora konfiguracji.
Korzystanie z uwierzytelniania dwuskładnikowego podczas logowania
Przy następnym logowaniu użytkownicy zobaczą powiadomienie o konieczności skonfigurowania uwierzytelniania dwuskładnikowego wraz z datą końcową na koniec okresu karencji.
Mogą kliknąć przycisk, aby skonfigurować 2FA teraz lub wybrać przypomnienie przy następnym logowaniu.
Gdy klikną przycisk „Skonfiguruj 2FA teraz”, zostaną przeprowadzeni przez te same kroki, co podczas konfigurowania 2FA dla własnego konta użytkownika w poprzedniej sekcji.
Kiedy zalogują się po skonfigurowaniu uwierzytelniania dwuskładnikowego, zobaczą normalny ekran logowania WordPress. Jednak po wprowadzeniu nazwy użytkownika i hasła zostanie wyświetlony drugi ekran z prośbą o podanie kodu z aplikacji uwierzytelniającej.
Będą musieli wprowadzić kod z aplikacji na swoim telefonie, zanim będą mogli się zalogować. Alternatywnie mogą wprowadzić kod zapasowy, jeśli nie mają przy sobie telefonu.
Dzięki temu witryna jest bezpieczniejsza. Jeśli hacJeśli ktoś pozna nazwę użytkownika i hasło jednego z użytkowników, nie będzie mógł się zalogować, chyba że będzie miał również dostęp do jego telefonu.
Wskazówka: Jeśli Twoja witryna WordPress korzysta z niestandardowej strony formularza logowania, możesz również utworzyć niestandardową stronę, na której użytkownicy mogą zarządzać ustawieniami dwuskładnikowego uwierzytelniania bez uzyskiwania dostępu do obszaru administracyjnego WordPress.
Metoda 2: Dodawanie uwierzytelniania dwuskładnikowego przy użyciu funkcji Two-Factor
Ta metoda jest mniej elastyczna, ponieważ nie pozwala na wymuszenie logowania dwuskładnikowego dla wszystkich użytkowników. Każdy użytkownik będzie musiał skonfigurować go samodzielnie i może go wyłączyć w swoim profilu. Jest to jednak szybka i łatwa metoda, jeśli chcesz skonfigurować 2FA tylko dla własnego konta.
Najpierw należy zainstalować i aktywować wtyczkę Two-Factor. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.
Po aktywacji należy odwiedzić stronę Użytkownicy ” Profil i przewinąć w dół do sekcji „Opcje dwuskładnikowe”.
W tym miejscu należy wybrać opcję logowania dwuskładnikowego. Wtyczka umożliwia korzystanie z poczty e-mail, aplikacji uwierzytelniającej i metod kluczy bezpieczeństwa FIDO U2F.
Zalecamy korzystanie z metody aplikacji uwierzytelniającej. Wystarczy zeskanować kod QR na ekranie za pomocą aplikacji uwierzytelniającej, takiej jak Google Authenticator, Authy lub LastPass Authenticator.
Po zeskanowaniu kodu QR aplikacja wyświetli kod weryfikacyjny, który należy wprowadzić w opcjach wtyczki i kliknąć przycisk „Prześlij”.
Wtyczka ustawi teraz tajny klucz. Możesz zresetować ten klucz w dowolnym momencie na stronie ustawień, aby ponownie zeskanować kod QR.
Nie zapomnij kliknąć przycisku „Aktualizuj profil” u dołu strony, aby zapisać ustawienia.
Teraz za każdym razem, gdy zalogujesz się do swojej witryny WordPress, zostaniesz poproszony o wprowadzenie kodu uwierzytelniającego wygenerowanego przez aplikację na telefonie.
Najczęściej zadawane pytania dotyczące uwierzytelniania dwuskładnikowego (2FA) w WordPress
Oto kilka odpowiedzi na niektóre z najczęściej zadawanych pytań dotyczących korzystania z dwuetapowego logowania w WordPress.
1. Jak zalogować się za pomocą 2FA, jeśli nie mam dostępu do telefonu?
Jeśli korzystasz z aplikacji uwierzytelniającej z opcją tworzenia kopii zapasowych w chmurze, takiej jak Authy, możesz zainstalować aplikację również na swoim laptopie.
Daje to dostęp do kodów uwierzytelniających nawet wtedy, gdy nie masz przy sobie telefonu. Pozwala to również łatwo przywrócić tajne klucze po zakupie nowego telefonu.
Wiele aplikacji uwierzytelniających umożliwia również generowanie kodów zapasowych. Kody te mogą być używane jako jednorazowe kody dostępu, gdy nie masz dostępu do telefonu.
2. Jak zalogować się bez kodów z aplikacji uwierzytelniającej?
Jeśli nie masz dostępu do telefonu, laptopa lub kodów zapasowych, możesz zalogować się tylko poprzez wyłączenie wtyczki 2FA.
Możesz zapoznać się z naszym przewodnikiem na temat dezaktywacji wszystkich wtyczek WordPress, gdy nie masz dostępu do obszaru administracyjnego.
Po dezaktywacji wszystkich wtyczek spowoduje to również wyłączenie wtyczki uwierzytelniania dwuskładnikowego i będziesz mógł zalogować się do swojej witryny WordPress. Po zalogowaniu można ponownie aktywować wtyczki i zresetować konfigurację uwierzytelniania dwuskładnikowego.
3. Czy muszę zabezpieczyć hasłem folder administratora WordPress?
Bezpieczeństwo witryny działa najlepiej, gdy masz wiele warstw zabezpieczeń w celu ochrony swojej witryny, zaczynając od podstaw, takich jak korzystanie z HTTPS i bezpiecznego WoHosting rdPress.
Weryfikacja dwuskładnikowa sprawia, że logowanie do WordPress jest bezpieczne, ale można je jeszcze bardziej zabezpieczyć, chroniąc hasłem katalog administracyjny WordPress. Oznacza to, że użytkownicy nie będą mogli uzyskać dostępu do strony logowania, chyba że najpierw wprowadzą nazwę użytkownika i hasło.
Mamy nadzieję, że ten artykuł pomógł ci dodać weryfikację dwuskładnikową do logowania WordPress. Możesz również zapoznać się z naszym przewodnikiem na temat tego, jak uzyskać bezpłatny certyfikat SSL dla swojej witryny WordPress lub z naszym eksperckim wyborem najlepszych wtyczek bezpieczeństwa WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube, aby zobaczyć samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.