Security Blog
Security Blog
Posted By Gregory

Лучшие плагины WordPress для двухфакторной аутентификации

Хотите добавить еще один уровень безопасности для своего веб-сайта и учетных записей администратора? Механизм двухфакторной аутентификации позволяет вам использовать мобильный телефон, чтобы подтвердить себя, прежде чем вы войдете в свой WordPress.


English version: Best WordPress Plugins for Two-Factor Authentication


Гугл аутентификатор

Двухфакторная аутентификация Duo

миниоранжевый

Заводной СМС

Рублон

Аути

OpenID

Ключ

Запоминание ваших логинов и паролей для каждого веб-сайта может быть сложной задачей. Даже если вы храните все свои пароли в менеджере паролей, вы не сможете полностью защитить его. Например, пароль может быть украден при входе в систему через незащищенные соединения, такие как общедоступные сети Wi-Fi.

Если у вас был неудачный опыт в этом отношении, то вы должны понимать необходимость лучшего способа защитить ваши логины и пароли для разных учетных записей. Сюда входит почти все. Вы не хотите, чтобы ваша электронная почта, социальные сети, веб-сайты и особенно банковские счета были взломаны. Это может разрушить вашу репутацию в Интернете, и в конечном итоге вы столкнетесь с огромными проблемами.

Точно так же, если у вас есть несколько веб-сайтов и вы всегда работаете в Интернете, вам необходимо использовать что-то, что позволит вам привести вещи в порядок. Если вы управляете сайтом WordPress для себя или клиента, вам придется найти способ должным образом защитить его от хакеров и других потенциальных угроз. Таким образом, разумно иметь дополнительный, второй уровень защиты для ваших учетных записей администратора.

Механизм двухфакторной аутентификации позволяет защитить ваши учетные записи WordPress с помощью специального плагина аутентификации. Это позволит вам использовать свой мобильный телефон для входа в панель администратора WordPress, и даже если ваши логин и пароли будут в открытом доступе, никто не сможет взломать ваш сайт.

Хотя WP Cerber Security имеет расширенную функцию двухфакторной аутентификации , давайте лучше рассмотрим некоторые бесплатные и платные плагины WordPress для двухфакторной аутентификации.

Плагин Google Authenticator

Нет никаких сомнений в том, что Google Authenticator является одним из самых популярных плагинов для двухфакторной аутентификации, доступных сегодня. Но не смущайтесь, потому что Google Authenticator на самом деле является названием мобильного приложения, и плагин был назван в его честь.

Если у вас есть смартфон, плагин позволит вам максимально удобно защитить свой сайт WordPress. Вы можете защитить свой веб-сайт с помощью мобильного приложения Google Authenticator для Android, iPhone и Blackberry.

Требование двухфакторной аутентификации может быть включено для каждого пользователя. Вы можете включить его для своей учетной записи администратора, но войдите в систему, как обычно, с менее привилегированными учетными записями.

Ссылка на плагин: https://wordpress.org/plugins/google-authenticator/

  • Плюсы: Бесплатный плагин и бесплатное мобильное приложение.
  • Минусы: Вы должны использовать подключенный к Интернету смартфон и устанавливать мобильное приложение, вы должны вручную настраивать плагин для каждого пользователя, отсутствие поддержки
Google Authenticator for your WordPress blog must be configured per user base

Google Authenticator for your WordPress blog must be configured per user base on a user profile page

Как использовать плагин Google Authenticator

Если вы готовы использовать Google Authenticator на своем веб-сайте WordPress, все, что вам нужно сделать, это установить и активировать плагин. Вы увидите настройки плагина, перейдя в «Пользователь», а затем «Ваш профиль». Добравшись туда, вы найдете возможность установить секретный ключ или QR-код. После настройки ключа или кода вам нужно будет загрузить бесплатное приложение Google Authentication на свой телефон, а затем ввести ключ или QR-код. После ввода кода или ключа вы сможете связать приложение со своим сайтом.

После настройки всего этого, всякий раз, когда вы будете входить в систему, вам придется открывать свое приложение и вводить ключевое слово, указанное в указанное время. Таким образом, вы сможете максимально защитить свой сайт.

Плагин двухфакторной аутентификации Duo

Duo Two-Factor Authentication — еще один отличный плагин, который вам стоит попробовать. Он добавит дополнительный уровень проверки в ваш WordPress несколькими способами. Вы можете использовать свой смартфон для обеспечения безопасности своего веб-сайта, и вы будете единственным, кто получает доступ к вашему веб-сайту с помощью этого мощного инструмента. Все, что вам нужно сделать, это установить плагин Duo и зарегистрировать бесплатную учетную запись на веб-сайте Duo: https://duo.com . Дополнительное мобильное приложение Duo работает на Apple iOS, Google Android, BlackBerry, Palm, Windows Phone 7, Windows Mobile 8.1 и 10 и J2ME/Symbian.

Сервис Duo предлагает несколько способов двухфакторной аутентификации на вашем WordPress:

  1. Аутентификация в одно касание с помощью мобильного приложения Duo (наш самый быстрый и простой способ аутентификации)
  2. Одноразовые пароли, генерируемые мобильным приложением Duo (работают даже при отсутствии сотовой связи)
  3. Одноразовые коды доступа доставляются на любой телефон с поддержкой SMS (работает даже при отсутствии сотовой связи)
  4. Обратный звонок на любой телефон (мобильный или стационарный!)
  5. Одноразовые коды доступа, сгенерированные аппаратным токеном, совместимым с OATH (если вы чувствуете себя олдскульно).

Ссылка на плагин: https://wordpress.org/plugins/duo-wordpress/

  • Плюсы: вы можете включить двухфакторную аутентификацию для определенных ролей. Дополнительные SMS-сообщения для доставки кодов подтверждения. Бесплатный плагин, бесплатное мобильное приложение.
  • Минусы: Платное решение, если вы используете плагин для более чем 10 пользователей на своих сайтах.
Duo Two-Factor Authentication plugin settings

Duo Two-Factor Authentication plugin settings

Как использовать плагин двухфакторной аутентификации Duo

Прежде всего, вам нужно будет установить плагин и активировать его. Кроме того, вам также нужно будет загрузить мобильное приложение, получить его здесь: https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile . Затем вам нужно будет создать учетную запись на веб-сайте Duo Security, чтобы вы могли получать ключи безопасности. Когда вы входите на свой веб-сайт, вы будете перенаправлены на другую страницу для входа в систему. Вам будет предложено выбрать правильный метод аутентификации. Он предоставит вам несколько вариантов аутентификации, и вы можете использовать мобильное приложение, одноразовые коды доступа, сгенерированные в приложении, обратный звонок на любой номер, одноразовые коды доступа через SMS и одноразовый код доступа, сгенерированный OATH-совместимым аппаратный токен. Это лучший способ защитить ваш сайт от всех потенциальных угроз. И, выбрав нужный метод аутентификации, вы сможете попасть на свой сайт.

miniOrange — плагин двухфакторной аутентификации

С помощью плагина двухфакторной аутентификации miniOrange вы можете установить безопасность для своего веб-сайта без каких-либо проблем. Он прост в настройке и поддерживает аутентификацию через Google Authenticator.

Ссылка на плагин: https://wordpress.org/plugins/miniorange-2-factor-authentication/

  • Плюсы: Бесплатный плагин, несколько методов аутентификации, три мобильных приложения: Authy, Google Authenticator, miniOrange Authenticator.
  • Минусы: Требуется регистрация на сайте miniOrange, бесплатная версия доступна только для одного пользователя, отсутствие поддержки бесплатной версии
Google Authenticator - Two Factor Authentication by miniOrange

Google Authenticator – Two Factor Authentication by miniOrange

Как использовать плагин

Его легко настроить, и он будет аутентифицировать пользователей с помощью SMS, push-сообщений, идентификатора устройства или QR-кода. Вам нужно сначала установить плагин и активировать его. После этого вам потребуется зарегистрироваться, а затем вам нужно будет подтвердить свою электронную почту. Вы найдете несколько вариантов выбора из методов аутентификации. Вы можете использовать метод аутентификации QR, а затем отсканировать QR-код из приложения Mini Orange Authenticator. Он предоставит вам лучшее решение для защиты вашего сайта простым способом.

Двухфакторная аутентификация — плагин Clockwork SMS

Еще один простой в использовании инструмент для защиты вашего сайта — Clockwork SMS. Если у вас нет смартфона и вы хотите максимально защитить свой веб-сайт, вы можете использовать этот плагин, чтобы сделать это возможным. Он предлагает двухфакторную аутентификацию с помощью SMS, поэтому вы можете использовать любой мобильный телефон.

Ссылка на плагин: https://wordpress.org/plugins/clockwork-two-factor-authentication/

  • Плюсы: Не требует смартфона, работает без интернета, используя SMS-сообщения для доставки кодов подтверждения.
  • Минусы: Платное решение, плагин устарел (не обновлялся более 2-х лет)

Как использовать плагин

Он прост и удобен в использовании. Все, что вам нужно сделать, это установить плагин, а затем активировать его. Однако после активации плагина вам нужно будет получить ключ API с сайта Clockwork. После настройки вам нужно будет двигаться вперед, и вы можете использовать его для защиты своего WordPress. И вам не обязательно нужен смартфон, чтобы использовать этот плагин. Однако вам придется потратить немного денег, чтобы сообщения доставлялись на ваш телефон каждый раз, когда вы собираетесь войти в систему. Это может быть лучшим выбором для всех тех, кто хочет его использовать, и для тех, у кого нет смартфона. но это будет стоить определенных денег.

Плагин Рублон

Rublon также является одним из лучших плагинов для двухфакторной аутентификации WordPress, и он предоставит вам лучшее решение. Он имеет собственную панель инструментов, которая позволит вам настроить его. Однако вы можете защитить только одного пользователя для каждой учетной записи, и он предоставит вам несколько вариантов на панели инструментов.

Ссылка на плагин: https://wordpress.org/plugins/rublon/

  • Плюсы: Бесплатный плагин и бесплатное мобильное приложение, удобный интерфейс.
  • Минусы: Бесплатно только для одного пользователя на сайте, нет поддержки подтверждения по SMS.
Rublon two-factor authentication plugin for WordPress

Rublon two-factor authentication plugin for WordPress

Как использовать плагин

Настройка этого плагина также является простой задачей. Прежде всего, вам нужно будет зарегистрироваться на официальном сайте плагина, а затем также скачать приложение. Приложение также сможет сканировать штрих-код. После этого вам нужно будет установить и активировать плагин на вашем сайте. Вы сможете найти возможность установить устройство, которое вы хотели бы использовать для целей аутентификации. После того, как вы настроите устройство, вы сможете правильно его использовать. Теперь, когда вы входите на свой веб-сайт, вы сможете использовать свой телефон, сканировать и входить в систему.

Однако, если вы хотите настроить двухфакторную аутентификацию для нескольких пользователей, вам придется использовать этот плагин премиум-класса.

Аутентичный плагин

Authy — еще один отличный плагин, который вы можете использовать для защиты своего сайта с помощью двухфакторной аутентификации. Его проще настроить, и вы сможете значительно упростить себе жизнь. Давайте посмотрим на процесс настройки этого на вашем веб-сайте WordPress.

Ссылка на плагин: https://wordpress.org/plugins/authy-two-factor-authentication/

  • Плюсы: Простота установки, удобный интерфейс, дополнительная проверка по SMS.
  • Минусы: Платное решение, у вас будет только 100 аутентификаций в месяц бесплатно, отсутствие поддержки бесплатной версии, для активации услуги каждый пользователь должен указать свой номер мобильного телефона на веб-сайте Authy.
Authy two factor authentication plugin has a user friendly interface

Authy two-factor authentication plugin has a user friendly interface

Как использовать плагин Authy

Если вы выбрали Authy в качестве инструмента двухфакторной аутентификации, вам нужно будет установить плагин и активировать его на своем сайте WordPress. После этого вам нужно будет установить приложение Authy на свой смартфон и зарегистрировать учетную запись Authy. После этого вам нужно будет ввести API-ключ от вашего аккаунта, после чего вы сможете проверить настройки и применить роли для аутентификации.

После этого вам нужно будет добавить номера телефонов пользователей, для которых вы хотите включить аутентификацию. Он отправит определенный код или токен на ваш телефон, когда вы попытаетесь войти на свой веб-сайт. Вы можете ввести этот конкретный токен, и вы сможете успешно войти в систему.

Плагин OpenID

Когда дело доходит до использования OpenID, вы должны знать, что это простой способ найти лучшее решение для защиты вашего сайта. Вы сможете войти на свой сайт с помощью OpenID. Это означает, что если вы используете такие сервисы, как Google+, Yahoo, Flickr, WordPress.com, вы сможете использовать этот плагин.

Ссылка на плагин: https://wordpress.org/plugins/openid/

  • Плюсы: Не нужно мобильное приложение
  • Минусы: у вас должна быть учетная запись в любом провайдере OpenID, таком как Google+, Yahoo, Flickr, WordPress.com.
The OpenID plugin allows users to authenticate to websites without using passwords

The OpenID plugin allows users to authenticate to websites without using passwords

Как использовать плагин

Использовать OpenID просто, и вам не придется сталкиваться с какими-либо проблемами. Вам нужно будет установить и активировать плагин. И после этого вам нужно будет перейти к пользователям. Вы увидите опцию под названием «Ваши OpenID», и вам нужно проверить ее настройки. Вы сможете добавить свои учетные записи OpenID в этот конкретный раздел, и это позволит вам использовать свои социальные учетные записи на своем веб-сайте. Это позволит вам сделать вещи проще и безопаснее.

Однако при использовании этого плагина возникает проблема. Даже если вы установили свои идентификаторы на своем сайте WordPress, вы все равно сможете войти на свой сайт с именем пользователя и паролем. Так что, если вы ищете высокий уровень безопасности, то он вам не подойдет.

Что вообще случилось с Клефом?

Что ж, нет никаких сомнений в том, что Clef был одним из лучших вариантов, когда речь шла об использовании плагинов WordPress с двухфакторной аутентификацией. Однако есть плохие новости для всех пользователей, которые в настоящее время используют плагин Clef. Если вы не в курсе, то вам следует знать, что плагин Clef перестанет работать 6 июня 2017 года. Более того, плагин больше недоступен для скачивания и никаких обновлений выпускаться не будет. Итак, Клеф ушел навсегда . Это был бы лучший вариант, но есть несколько других плагинов двухфакторной аутентификации для WordPress, которые вы можете использовать. Они так заводят свой продукт Clef; вы можете придумать другие варианты.

Какая лучшая альтернатива Клефу?

Если вы хотите использовать лучшие плагины для двухфакторной аутентификации, вы всегда можете проверить упомянутые вышеGoogle Authenticator или Authy . На самом деле это хороший выбор, если вы в настоящее время используете плагин Clef. Если вы раньше не использовали ни один из этих плагинов, вы можете использовать двухфакторный аутентификатор, Google Authenticator и Authy. Вы также можете использовать Rublon и OpenID, но у них есть несколько недостатков. Вы всегда можете проверить бесплатные версии, чтобы увидеть, как это работает для вас. Вам нужно выбрать тот, который позволит вам защитить ваш сайт и обеспечит вам лучший и безопасный вход на ваш сайт.

Каковы недостатки использования плагинов двухфакторной аутентификации?

Хотя некоторые из рассмотренных плагинов увеличат ваше спокойствие, проверьте все следующие пункты, прежде чем вы решите использовать двухфакторную аутентификацию для своего WordPress.

  1. Основным недостатком является необходимость использования мобильного приложения, которое должно быть установлено на смартфоне, плюс любое подключение к Интернету, если вы решите использовать бесплатный плагин, такой как Google Authenticator .
  2. Самый простой способ, без использования мобильного приложения и подключенного к Интернету смартфона, требует немного денег для оплаты исходящих SMS-сообщений, которые будут доставлены на мобильные телефоны.
  3. Все пользователи вашего сайта должны предоставить вам номера своих мобильных телефонов, чтобы получить коды подтверждения.
  4. Если вы потеряли телефон, вы не сможете войти в систему.
  5. Ни один из упомянутых плагинов не является плагином безопасности и не защищает веб-сайт от перебора паролей пользователей через интерфейс XML-RPC, который включен в WordPress по умолчанию. Таким образом, вам все равно нужно использовать защиту от грубой силы, которую предоставляет плагин WP Cerber .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.