Security Blog
Security Blog
Posted By Gregory

Лучшие плагины WordPress для двухфакторной проверки подлинности

Хотите добавить еще один уровень безопасности для своего веб-сайта и учетных записей администратора? Механизм двухфакторной аутентификации позволяет вам использовать мобильный телефон для проверки себя перед тем, как войти в свой WordPress.


English version: Best WordPress Plugins for Two-Factor Authentication


Google Authenticator

Duo Двухфакторная аутентификация

miniOrange

Заводные СМС

Rublon

Authy

OpenID

Ключ

Запоминание ваших логинов и паролей для каждого веб-сайта может быть сложной задачей. Даже если вы храните все свои пароли в менеджере паролей, вы не сможете полностью их защитить. Например, пароль может быть украден при входе в систему по незащищенным соединениям, таким как общедоступные сети Wi-Fi.

Если у вас был какой-то плохой опыт по этому поводу, то вы должны понять, как лучше всего защитить свои логины и пароли для разных учетных записей. Это включает в себя почти все. Вы не хотите, чтобы ваша электронная почта, социальные сети, веб-сайты и особенно банковские аккаунты были взломаны. Это может разрушить вашу онлайн репутацию, и вы в конечном итоге столкнетесь с огромными проблемами.

Точно так же, если у вас есть несколько веб-сайтов и вы всегда работаете в Интернете, вам необходимо использовать что-то, что позволит вам привести себя в форму. Если вы управляете сайтом WordPress для себя или своего клиента, вам нужно будет найти способ обеспечить его надлежащую защиту от хакеров и других потенциальных угроз. Поэтому разумно иметь дополнительный второй уровень защиты для ваших учетных записей администратора.

Механизм двухфакторной аутентификации позволяет защитить вашу учетную запись WordPress с помощью специального плагина аутентификации. Это позволит вам использовать свой мобильный телефон для входа в админ-панель WordPress, и даже если ваши логин и пароли будут открыты, никто не сможет взломать ваш сайт. Давайте лучше посмотрим на лучшие бесплатные и платные плагины для двухфакторной аутентификации WordPress, которые можно использовать в качестве альтернативы Clef .

Плагин Google Authenticator

Нет сомнений в том, что Google Authenticator является одним из самых популярных плагинов для двухфакторной аутентификации, доступных сегодня. Но не смущайтесь, потому что Google Authenticator на самом деле является названием мобильного приложения, а плагин назван в его честь.

Если у вас есть смартфон, этот плагин позволит вам обезопасить свой веб-сайт WordPress наиболее удобным способом. Вы можете защитить свой веб-сайт с помощью мобильного приложения Google Authenticator для Android, iPhone и Blackberry.

Требование двухфакторной аутентификации может быть включено для каждого пользователя. Вы можете включить его для своей учетной записи администратора, но войдите как обычно с менее привилегированными учетными записями.

Ссылка на плагин: https://wordpress.org/plugins/google-authenticator/

  • Плюсы: бесплатный плагин и бесплатное мобильное приложение
  • Минусы: вам нужно использовать подключенный к Интернету смартфон и установить мобильное приложение, вам нужно вручную настроить плагин для каждого пользователя, отсутствие поддержки
Google Authenticator for your WordPress blog must be configured per user base

Google Authenticator for your WordPress blog must be configured per user base on user profile page

Как использовать плагин Google Authenticator

Если вы готовы использовать Google Authenticator на своем веб-сайте WordPress, все, что вам нужно сделать, это установить и активировать плагин. Вы увидите настройки плагина, перейдя в раздел «Пользователь», а затем «Ваш профиль». Добравшись туда, вы найдете возможность установить секретный ключ или QR-код. После настройки ключа или кода вам потребуется загрузить бесплатное приложение Google Authentication на свой телефон, а затем вам нужно будет ввести ключ или QR-код. После ввода кода или ключа вы сможете связать приложение с вашим сайтом.

После настройки всего этого при каждом входе в систему вам придется открывать приложение и вводить ключевое слово, указанное в указанное время. Таким образом, вы сможете защитить свой сайт наилучшим образом.

Плагин Duo для двухфакторной аутентификации

Duo Two-Factor Authentication – еще один замечательный плагин, который вы должны проверить. Он добавит дополнительный слой проверки в ваш WordPress несколькими способами. Вы можете использовать свой смартфон для обеспечения безопасности вашего сайта, и вы будете единственным, кто получит доступ к вашему сайту с помощью этого мощного инструмента. Все, что вам нужно сделать, это установить плагин Duo и зарегистрировать бесплатную учетную запись на сайте Duo: https://duo.com . Дополнительное мобильное приложение Duo работает на Apple iOS, Google Android, BlackBerry, Palm, Windows Phone 7, Windows Mobile 8.1 и 10 и J2ME / Symbian.

Сервис Duo предлагает несколько способов двухфакторной аутентификации на вашем WordPress:

  1. Аутентификация одним касанием с помощью мобильного приложения Duo (наш самый быстрый и простой способ аутентификации)
  2. Одноразовые пароли, сгенерированные мобильным приложением Duo (работают даже без покрытия ячеек)
  3. Одноразовые коды доступа доставляются на любой телефон с поддержкой SMS (работает даже без покрытия сотовой связи)
  4. Обратный звонок на любой телефон (мобильный или стационарный!)
  5. Одноразовые пароли, сгенерированные аппаратным токеном, совместимым с OATH

Ссылка на плагин: https://wordpress.org/plugins/duo-wordpress/

  • Плюсы: вы можете включить двухфакторную аутентификацию для определенных ролей. Дополнительные SMS-сообщения для доставки проверочных кодов. Бесплатный плагин, бесплатное мобильное приложение.
  • Минусы: Платное решение, если вы используете плагин для более чем 10 пользователей на ваших сайтах.
Duo Two-Factor Authentication plugin settings

Duo Two-Factor Authentication plugin settings

Как использовать плагин двухфакторной аутентификации Duo

Прежде всего, вам нужно будет установить плагин и активировать его. Также вам нужно будет загрузить мобильное приложение, получить его здесь: https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile . Затем вам нужно будет создать учетную запись на сайте Duo Security, чтобы вы могли получить ключи безопасности. Когда вы заходите на свой веб-сайт, вы будете перенаправлены на другую страницу для входа в систему. Он попросит вас выбрать правильный метод аутентификации. Он предоставит вам несколько вариантов аутентификации, и вы сможете использовать мобильное приложение, одноразовые коды доступа, сгенерированные в приложении, телефонный звонок обратно на любой номер, одноразовые коды доступа через SMS и одноразовый пароль, сгенерированный OATH-совместимым аппаратный токен. Это лучший способ обезопасить ваш сайт от всех потенциальных угроз. И, выбрав нужный метод аутентификации, вы сможете попасть на свой сайт.

miniOrange – плагин для двухфакторной аутентификации

С плагином miniOrange Two-factor Authentication вы можете настроить безопасность своего сайта без каких-либо проблем. Его легко настроить, и он поддерживает аутентификацию через Google Authenticator.

Ссылка на плагин: https://wordpress.org/plugins/miniorange-2-factor-authentication/

  • Плюсы: бесплатный плагин, несколько методов аутентификации, три мобильных приложения: Authy, Google Authenticator, miniOrange Authenticator
  • Минусы: Требуется регистрация на сайте miniOrange, бесплатная версия доступна только для одного пользователя, отсутствие поддержки бесплатной версии.
Google Authenticator - Two Factor Authentication by miniOrange

Google Authenticator – Two Factor Authentication by miniOrange

Как использовать плагин

Его легко настроить, и он будет аутентифицировать пользователей с помощью SMS, push-сообщений, идентификатора устройства или QR-кода. Вам необходимо установить плагин и активировать его в первую очередь. После этого вам потребуется зарегистрироваться, а затем вам нужно будет подтвердить свою электронную почту. Вы найдете несколько вариантов для выбора метода аутентификации. Вы можете использовать метод QR-аутентификации, а затем отсканировать QR-код из приложения Mini Orange Authenticator. Он предоставит вам лучшее решение для обеспечения безопасности вашего сайта простым способом.

Двухфакторная аутентификация – плагин Clockwork SMS

Еще один простой в использовании инструмент для защиты вашего сайта – Clockwork SMS. Если у вас нет смартфона и вы хотите защитить свой сайт наилучшим из возможных способов, то вы можете использовать этот плагин, чтобы сделать это возможным. Он предлагает двухфакторную аутентификацию с использованием SMS, поэтому вы можете использовать любой мобильный телефон.

Ссылка на плагин: https://wordpress.org/plugins/clockwork-two-factor-authentication/

  • Плюсы: не требует смартфона, работает без Интернета, используя SMS-сообщения для доставки проверочных кодов.
  • Минусы: Платное решение, плагин устарел (не обновлялся более 2 лет)

Как использовать плагин

Это просто и удобно в использовании. Все, что вам нужно сделать, это установить плагин, а затем активировать его. Однако после активации плагина вам нужно будет получить ключ API с сайта Clockwork. После настройки вам придется двигаться вперед, и вы можете использовать его для защиты вашего WordPress. И вам не обязательно нужен смартфон, чтобы использовать этот плагин. Однако вам придется тратить немного денег, чтобы получать сообщения на ваш телефон каждый раз, когда вы собираетесь войти в систему. Это может быть лучшим выбором для всех тех, кто хочет его использовать, и для тех, у кого нет смартфона. но это будет стоить немного денег.

Плагин Rublon

Rublon также является одним из лучших плагинов WordPress для двухфакторной аутентификации, и он предоставит вам лучшее решение. Он имеет свою собственную панель инструментов, которая позволит вам настроить его. Тем не менее, вы можете защитить только одного пользователя для каждой учетной записи, и он предоставит вам несколько вариантов на панели инструментов.

Ссылка на плагин: https://wordpress.org/plugins/rublon/

  • Плюсы: бесплатный плагин и бесплатное мобильное приложение, удобный интерфейс
  • Минусы: бесплатно только для одного пользователя на сайте, без поддержки проверки SMS
Rublon two-factor authentication plugin for WordPress

Rublon two-factor authentication plugin for WordPress

Как использовать плагин

Настройка этого плагина также простая задача. Прежде всего, вам нужно будет зарегистрироваться на официальном сайте плагина, а затем вам также нужно будет загрузить приложение. Приложение также сможет сканировать штрих-код. После этого вам нужно будет установить и активировать плагин на вашем сайте. Вы сможете найти опцию для установки устройства, которое вы хотели бы использовать в целях аутентификации. После того, как вы настроили устройство, вы сможете правильно его использовать. Теперь, когда вы заходите на свой сайт, вы сможете использовать свой телефон, а также можете сканировать и входить в систему.

Тем не менее, если вы хотите настроить двухфакторную аутентификацию для нескольких пользователей, то вам придется поторопиться с этим плагином.

Authy плагин

Authy – еще один отличный плагин, который вы можете использовать для защиты вашего сайта с помощью двухфакторной аутентификации. Это проще в настройке, и вы сможете сделать все намного проще для вас. Давайте посмотрим на процесс настройки этого на вашем сайте WordPress.

Ссылка на плагин: https://wordpress.org/plugins/authy-two-factor-authentication/

  • Плюсы: простота установки, удобный интерфейс, дополнительная проверка по SMS
  • Минусы: Платное решение, у вас будет только 100 аутентификаций в месяц бесплатно, отсутствие поддержки бесплатной версии, чтобы активировать услугу, каждый пользователь должен указать свой номер мобильного телефона на сайте Authy.
Authy two factor authentication plugin has a user friendly interface

Authy two-factor authentication plugin has a user friendly interface

Как использовать плагин Authy

Если вы выбрали Authy в качестве инструмента двухфакторной аутентификации, вам придется установить плагин и активировать его на своем сайте WordPress. После того, как вы это сделаете, вам нужно будет установить приложение Authy на вашем смартфоне, и вам придется зарегистрировать учетную запись Authy. После этого вам нужно будет ввести ключ API из своей учетной записи, а затем вы можете проверить настройки и применить роли для аутентификации.

После этого вам нужно будет добавить номера телефонов пользователей, для которых вы хотите включить аутентификацию. Он отправит на ваш телефон определенный код или токен, когда вы пытаетесь зайти на свой сайт. Вы можете ввести этот конкретный токен и успешно войти в систему.

OpenID плагин

Когда дело доходит до использования OpenID, вы должны знать, что это простой способ найти лучшее решение для защиты вашего сайта. Вы сможете войти на свой сайт с OpenID. Это означает, что если вы используете такие сервисы, как Google+, Yahoo, Flickr, WordPress.com, то вы сможете использовать этот плагин.

Ссылка на плагин: https://wordpress.org/plugins/openid/

  • Плюсы: мобильное приложение не требуется
  • Минусы: у вас должна быть учетная запись на любом провайдере OpenID, таком как Google+, Yahoo, Flickr, WordPress.com
The OpenID plugin allows users to authenticate to websites without using passwords

The OpenID plugin allows users to authenticate to websites without using passwords

Как использовать плагин

Использовать OpenID просто, и вам не нужно сталкиваться с какими-либо проблемами. Вам нужно будет установить и активировать плагин. И после этого вам нужно будет перейти к пользователям. Вы увидите опцию под названием «Ваши OpenID», и вам нужно проверить ее настройки. Вы сможете добавить свои учетные записи OpenID в этот конкретный раздел, и это позволит вам использовать ваши социальные учетные записи на вашем веб-сайте. Это позволит вам сделать вещи проще и безопаснее.

Тем не менее, есть проблема, когда вы используете этот плагин. Даже если вы установили свои идентификаторы на своем сайте WordPress, вы все равно сможете войти на свой сайт с именем пользователя и паролем. Таким образом, если вы ищете высокий уровень безопасности, то он не сможет соответствовать.

Что случилось с Клефом в любом случае?

Что ж, нет сомнений в том, что Clef был одним из лучших вариантов, когда дело доходит до использования плагинов WordPress для двухфакторной аутентификации. Тем не менее, есть плохие новости для всех пользователей, которые в настоящее время используют плагин Clef. Если вы не знаете, тогда вы должны знать, что плагин Clef перестанет работать 6 июня 2017 года. Более того, плагин больше не доступен для загрузки и обновления не будут выпущены. Итак, Клеф ушел навсегда . Это был бы лучший вариант, но есть несколько других плагинов для двухфакторной аутентификации для WordPress, которые вы можете использовать. Они так заводят свой продукт Clef; Вы можете придумать другие варианты.

Какая лучшая альтернатива Клефу?

Если вы хотите использовать лучшие плагины для двухфакторной аутентификации, вы всегда можете проверить упомянутые выше Google Authenticator или Authy . Это действительно хороший выбор, если вы используете плагин Clef. Если вы ранее не использовали ни один из этих плагинов, вы можете использовать Two-factor, Google Authenticator и Authy. Вы также можете использовать Rublon и OpenID, но у них мало недостатков. Вы всегда можете проверить бесплатные версии, чтобы увидеть, как это идет для вас. Вам нужно выбрать тот, который позволит вам обезопасить свой сайт и предоставит вам лучший и безопасный способ входа на ваш сайт.

Каковы недостатки использования плагинов для двухфакторной аутентификации?

Хотя некоторые из рассмотренных плагинов улучшат ваше спокойствие, проверьте все следующие пункты, прежде чем вы решите использовать двухфакторную аутентификацию для вашего WordPress.

  1. Основным недостатком является необходимость использования мобильного приложения, которое должно быть установлено на смартфоне, плюс любое подключение к Интернету, если вы решите использовать бесплатный плагин, такой как Google Authenticator .
  2. Самый простой способ, без использования мобильного приложения и смартфона, подключенного к Интернету, требует некоторых денег для оплаты исходящих SMS-сообщений, которые будут доставляться на мобильные телефоны.
  3. Все пользователи вашего сайта должны предоставить вам свои номера мобильных телефонов, чтобы получить коды подтверждения.
  4. Если вы потеряли телефон, вы не сможете войти.
  5. Ни один из упомянутых плагинов не является плагинами безопасности и не защищает веб-сайт от грубых паролей пользователей через интерфейс XML-RPC, который включен в WordPress по умолчанию. Таким образом, вам все еще нужно использовать защиту от перебора, как обеспечивает плагин WP Cerber .

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.