Każde dodatkowe zabezpieczenie WordPressa zmniejsza ryzyko, że nasza strona padnie ofiarą ataku. Codziennie każda strona narażona jest na różnego rodzaju zagrożenia. Agresorzy mają na celu zainfekowanie i wykorzystanie swoich ofiar do nielegalnych działań. Przeważnie ataki są zautomatyzowane. Rzadko kiedy strona jest ręcznie atakowana. Chociaż nie można tego wykluczyć, zwłaszcza w przypadku, gdy witryna jest bardzo popularna. Panel logowania stanowi obszar, który jest często testowany przez booty szukające luk w zabezpieczeniach. Właśnie dlatego warto go dodatkowo zabezpieczyć. W artykule tym pokażę Ci jak dodać uwierzytelnianie dwuskładnikowe w WordPressie.
Spis treści
Czym jest uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe, czyli weryfikacja dwuetapowa stanowi dodatkową warstwę zabezpieczającą, w naszym przypadku panelu logowania w WordPressie. Podczas logowania oprócz loginu oraz hasła należy wpisać także jednorazowy kod/token. Dzięki takiemu rozwiązaniu, w przypadku przejęcia danych do logowania agresor nie będzie mógł zalogować się na nasze konto, ponieważ nie będzie miał tokenu.
Jak dodać uwierzytelnianie dwuskładnikowe w WordPressie
W pierwszej kolejności zainstaluj i włącz wtyczkę Google Authenticator.
Następnie przejdź do listy użytkowników: Użytkownicy -> Wszyscy użytkownicy i otwórz ustawienia dla konta.
Przejdź do sekcji Ustawienia aplikacji Google Authenticator. Poniżej znajdziesz opis poszczególnych opcji.
- Tryb większej tolerancji – tryb ten pozwala na większe przesunięcie czasowe zegara w telefonie. Czyli zegar w naszym telefonie może spóźniać lub spieszyć się do 4 minut.
- Opis – opis ten jest widoczny w telefonie przy danym koncie.
- Tajny klucz – klucz, który należy wpisać w aplikacji Google Authenticator (o tym w dalszej części wpisu). Klucz można wpisać ręcznie lub zeskanować kod QR. Po kliknięciu przycisku Pokaż/Ukryty kod QR pojawi się kod QR.
- Włącz hasło aplikacyjne – jest to klucz statyczny, za pomocą którego można się zalogować do panelu. Czyli po włączeniu tej opcji będziesz mógł zalogować się na dwa sposoby: za pomocą generowanego tokenu lub wpisując niezmienny klucz statyczny. Żeby sekcja ta była aktywna, należy zaznaczyć checkbox Włączony. Oczywiście odradzam aktywowania tej opcji, ponieważ w razie wycieku danych do logowania oraz klucza statycznego umożliwimy dostęp do zaplecza osobom postronnym.
Po stronie WordPressa już wszystko skonfigurowaliśmy. W następnym kroku należy pobrać aplikację na smartfona Google Authenticator.
W ustawieniach aplikacji należy podać tajny klucz. Klucz ten można wpisać ręcznie lub można zeskanować kod QR.
Od tej pory w formularzu logowania pojawiło się dodatkowe pole Kod weryfikacyjny z Google Authenticator. Podczas logowania, oprócz loginu i hasła należy wpisać token.
Podsumowanie
Wdrożenie dwuskładnikowego uwierzytelniania panelu logowania zajmie nam tylko chwilę, a dzięki temu zyskamy dodatkową warstwę ochrony. Niestety WordPress przez swoją popularność stale jest atakowany. Tak więc mając stronę na tym CMS-ie musimy na bieżąco dbać o jej bezpieczeństwo 😉
Cześc! Bardzo ciekawe wpisy, będę śledzic stronę :-). Zastanawia mnie jedno, właśnie czytam opinie o tej aplikacji na sklepie Play i wiele osób narzeka, że po zmianie/utracie telefonu utraciło dostęp do swoich kont – czy faktycznie jest takie zagrożenie?
W razie zmiany lub utraty telefonu można wyłączyć wtyczkę poprzez FTP. Wszystkie wtyczki znajdują się w katalogu /wp-content/plugins/.
Pozdrawiam serdecznie 🙂