Security Blog
Security Blog
Posted By Gregory

Лучшие плагины WordPress для двухфакторной аутентификации

Хотите добавить еще один уровень безопасности для вашего веб-сайта и учетных записей администратора? Механизм двухфакторной аутентификации позволяет вам использовать мобильный телефон для проверки себя, прежде чем войти в WordPress.


English version: Best WordPress Plugins for Two-Factor Authentication


Google Аутентификатор

Двухфакторная аутентификация Duo

миниОранжевый

Заводные СМС

Рублон

Аути

OpenID

Ключ

Запоминание логинов и паролей для каждого веб-сайта может оказаться непростой задачей. Даже если вы храните все свои пароли в менеджере паролей, вы не сможете полностью их защитить. Например, пароль может быть украден при входе в незащищенные соединения, например, в общедоступные сети Wi-Fi.

Если у вас был неприятный опыт по этому поводу, вы должны понимать необходимость наилучшего способа защиты ваших логинов и паролей для разных учетных записей. Сюда входит почти всё. Вы не хотите, чтобы ваша электронная почта, социальные сети, веб-сайты и особенно банковские аккаунты были взломаны. Это может разрушить вашу репутацию в Интернете, и в конечном итоге вы столкнетесь с огромными проблемами.

Точно так же, если у вас несколько веб-сайтов и вы постоянно работаете в Интернете, вам необходимо использовать что-то, что позволит вам привести ситуацию в порядок. Если вы управляете сайтом WordPress для себя или клиента, вам придется найти способ должным образом защитить его от хакеров и других потенциальных угроз. Поэтому разумно иметь дополнительный, второй уровень защиты для ваших учетных записей администратора.

Механизм двухфакторной аутентификации позволяет защитить ваши учетные записи WordPress с помощью специального плагина аутентификации. Это позволит вам использовать свой мобильный телефон для входа в панель администратора WordPress, и даже если ваши логин и пароли будут в открытом доступе, никто не сможет взломать ваш сайт.

Хотя WP Cerber Security имеет расширенную функцию двухфакторной аутентификации , давайте лучше рассмотрим некоторые бесплатные и платные плагины WordPress для двухфакторной аутентификации.

Плагин Google Аутентификатора

Нет сомнений в том, что Google Authenticator — один из самых популярных плагинов двухфакторной аутентификации, доступных сегодня. Но не путайте, потому что Google Authenticator на самом деле является названием мобильного приложения, а плагин был назван в его честь.

Если у вас есть смартфон, плагин позволит вам защитить ваш сайт WordPress наиболее удобным способом. Вы можете защитить свой веб-сайт с помощью мобильного приложения Google Authenticator для Android, iPhone и Blackberry.

Требование двухфакторной аутентификации можно включить для каждого пользователя. Вы можете включить его для своей учетной записи администратора, но войти в систему как обычно с менее привилегированными учетными записями.

Ссылка на плагин: https://wordpress.org/plugins/google-authenticator/

  • Плюсы: Бесплатный плагин и бесплатное мобильное приложение.
  • Минусы: необходимо использовать подключенный к Интернету смартфон и устанавливать мобильное приложение, необходимо вручную настраивать плагин для каждого пользователя, отсутствие поддержки.
Google Authenticator for your WordPress blog must be configured per user base

Google Authenticator for your WordPress blog must be configured per user base on a user profile page

Как использовать плагин Google Authenticator

Если вы готовы использовать Google Authenticator на своем веб-сайте WordPress, все, что вам нужно сделать, это установить и активировать плагин. Вы увидите настройки плагина, перейдя в раздел «Пользователь», а затем «Ваш профиль». Добравшись туда, вы найдете возможность установить секретный ключ или QR-код. После настройки ключа или кода вам необходимо будет загрузить на свой телефон бесплатное приложение Google Authentication, а затем ввести ключ или QR-код. После ввода кода или ключа вы сможете связать приложение со своим сайтом.

После всей этой настройки всякий раз, когда вы будете входить в систему, вам придется открывать свое приложение и в течение отведенного времени вводить предоставленное ключевое слово. Таким образом, вы сможете максимально защитить свой сайт.

Плагин двухфакторной аутентификации Duo

Duo Two-Factor Authentication — еще один замечательный плагин, который вам стоит попробовать. Он добавит дополнительный уровень проверки в ваш WordPress, используя несколько способов. Вы можете использовать свой смартфон для обеспечения безопасности своего веб-сайта, и вы будете единственным, кто получит доступ к вашему веб-сайту с помощью этого мощного инструмента. Все, что вам нужно сделать, это установить плагин Duo и зарегистрировать бесплатную учетную запись на сайте Duo: https://duo.com . Дополнительное мобильное приложение Duo работает на Apple iOS, Google Android, BlackBerry, Palm, Windows Phone 7, Windows Mobile 8.1 и 10, а также J2ME/Symbian.

Сервис Duo предлагает несколько способов двухфакторной аутентификации в вашем WordPress:

  1. Аутентификация одним касанием с помощью мобильного приложения Duo (наш самый быстрый и простой способ аутентификации)
  2. Одноразовые коды доступа, сгенерированные мобильным приложением Duo (работают даже при отсутствии покрытия сотовой связи).
  3. Одноразовые пароли доставляются на любой телефон с поддержкой SMS (работает даже при отсутствии покрытия сотовой связи).
  4. Обратный звонок на любой телефон (мобильный или стационарный!)
  5. Одноразовые пароли, генерируемые аппаратным токеном, совместимым с OATH (если вы придерживаетесь старой школы)

Ссылка на плагин: https://wordpress.org/plugins/duo-wordpress/

  • Плюсы: вы можете включить двухфакторную аутентификацию для определенных ролей. Дополнительные SMS-сообщения для доставки кодов подтверждения. Бесплатный плагин, бесплатное мобильное приложение.
  • Минусы: Платное решение, если вы используете плагин для более чем 10 пользователей на своих сайтах.
Duo Two-Factor Authentication plugin settings

Duo Two-Factor Authentication plugin settings

Как использовать плагин двухфакторной аутентификации Duo

Прежде всего вам придется установить плагин и активировать его. Кроме того, вам также необходимо будет загрузить мобильное приложение, которое можно получить здесь: https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile . Затем вам нужно будет создать учетную запись на веб-сайте Duo Security, чтобы вы могли получать ключи безопасности. Когда вы входите на свой веб-сайт, вы будете перенаправлены на другую страницу для входа. Вам будет предложено выбрать правильный метод аутентификации. Он предоставит вам несколько вариантов аутентификации, и вы сможете использовать мобильное приложение, одноразовые коды доступа, сгенерированные в приложении, обратный звонок на любой номер, одноразовые коды доступа через SMS и одноразовые коды доступа, созданные в соответствии с требованиями OATH. аппаратный токен. Это лучший способ защитить ваш сайт от всех потенциальных угроз. И, выбрав нужный метод аутентификации, вы сможете попасть на свой сайт.

miniOrange — плагин двухфакторной аутентификации

С помощью плагина двухфакторной аутентификации miniOrange вы можете без проблем настроить безопасность своего веб-сайта. Его просто настроить и он поддерживает аутентификацию через Google Authenticator.

Ссылка на плагин: https://wordpress.org/plugins/miniorange-2-factor-authentication/

  • Плюсы: бесплатный плагин, несколько методов аутентификации, три мобильных приложения: Authy, Google Authenticator, miniOrange Authenticator.
  • Минусы: Требуется регистрация на сайте miniOrange, бесплатная версия доступна только для одного пользователя, отсутствие поддержки бесплатной версии.
Google Authenticator - Two Factor Authentication by miniOrange

Google Authenticator – Two Factor Authentication by miniOrange

Как использовать плагин

Его легко настроить, и он будет аутентифицировать пользователей с помощью SMS, push-сообщений, идентификатора устройства или QR-кода. Вам необходимо сначала установить плагин и активировать его. После этого вам потребуется зарегистрироваться, а затем вам нужно будет подтвердить свой адрес электронной почты. Вы найдете несколько вариантов выбора метода аутентификации. Вы можете использовать метод аутентификации QR, а затем отсканировать QR-код из приложения Mini Orange Authenticator. Он предоставит вам лучшее решение для простой и простой защиты вашего сайта.

Двухфакторная аутентификация – плагин Clockwork SMS

Еще один простой в использовании инструмент для защиты вашего сайта — Clockwork SMS. Если у вас нет смартфона и вы хотите максимально защитить свой сайт, вы можете использовать этот плагин, чтобы сделать это возможным. Он предлагает двухфакторную аутентификацию с помощью SMS, поэтому вы можете использовать любой мобильный телефон.

Ссылка на плагин: https://wordpress.org/plugins/clockwork-two-factor-authentication/

  • Плюсы: Не требует смартфона, работает без Интернета, используя SMS-сообщения для доставки кодов подтверждения.
  • Минусы: Платное решение, плагин устарел (не обновлялся более 2 лет).

Как использовать плагин

Он прост и удобен в использовании. Все, что вам нужно сделать, это установить плагин, а затем активировать его. Однако после активации плагина вам необходимо будет получить ключ API с сайта Clockwork. После настройки вам придется двигаться дальше, и вы сможете использовать это для защиты своего WordPress. И вам не обязательно нужен смартфон, чтобы использовать этот плагин. Однако вам придется потратить немного денег, чтобы сообщения доставлялись на ваш телефон каждый раз, когда вы собираетесь войти в систему. Это может быть лучшим выбором для всех, кто хочет его использовать, и для тех, у кого нет смартфона. но это будет стоить некоторых денег.

Плагин Рублон

Rublon также является одним из лучших плагинов WordPress для двухфакторной аутентификации, и он предоставит вам лучшее решение. Он имеет собственную панель управления, которая позволит вам его настроить. Однако вы можете защитить только одного пользователя для каждой учетной записи, и это предоставит вам несколько вариантов на панели управления.

Ссылка на плагин: https://wordpress.org/plugins/rublon/

  • Плюсы: Бесплатный плагин и бесплатное мобильное приложение, удобный интерфейс.
  • Минусы: бесплатно только для одного пользователя на сайте, нет поддержки проверки по SMS.
Rublon two-factor authentication plugin for WordPress

Rublon two-factor authentication plugin for WordPress

Как использовать плагин

Настройка этого плагина также является простой задачей. Прежде всего вам придется зарегистрироваться на официальном сайте плагина, а затем скачать приложение. Приложение также сможет сканировать штрих-код. После этого вам нужно будет установить и активировать плагин на своем сайте. Вы сможете найти возможность установить устройство, которое вы хотите использовать для целей аутентификации. После того как вы настроите устройство, вы сможете правильно его использовать. Теперь, когда вы заходите на свой веб-сайт, вы сможете использовать свой телефон, а также сканировать и входить в систему.

Однако, если вы хотите настроить двухфакторную аутентификацию для нескольких пользователей, вам придется использовать этот плагин премиум-класса.

Плагин авторизации

Authy — еще один замечательный плагин, который вы можете использовать для защиты своего сайта с помощью двухфакторной аутентификации. Его проще настроить, и вы сможете значительно упростить себе задачу. Давайте посмотрим на процесс настройки на вашем веб-сайте WordPress.

Ссылка на плагин: https://wordpress.org/plugins/authy-two-factor-authentication/

  • Плюсы: Простота установки, удобный интерфейс, дополнительная проверка по SMS.
  • Минусы: Платное решение, у вас будет только 100 бесплатных аутентификаций в месяц, отсутствие поддержки бесплатной версии, для активации услуги каждому пользователю необходимо указать номер своего мобильного телефона на веб-сайте Authy.
Authy two factor authentication plugin has a user friendly interface

Authy two-factor authentication plugin has a user friendly interface

Как использовать плагин Authy

Если вы выбрали Authy в качестве инструмента двухфакторной аутентификации, вам придется установить плагин и активировать его на своем сайте WordPress. Как только вы это сделаете, вам нужно будет установить приложение Authy на свой смартфон и зарегистрировать учетную запись Authy. После этого вам нужно будет ввести API-ключ от вашей учетной записи, а затем вы сможете проверить настройки и применить роли для аутентификации.

После этого вам нужно будет добавить номера телефонов пользователей, для которых вы хотите включить аутентификацию. Он отправит на ваш телефон определенный код или токен, когда вы попытаетесь войти на свой веб-сайт. Вы можете ввести этот конкретный токен и сможете успешно войти в систему.

Плагин OpenID

Когда дело доходит до использования OpenID, вы должны знать, что это простой способ найти лучшее решение для защиты вашего веб-сайта. Вы сможете войти на свой сайт с помощью OpenID. Это означает, что если вы используете такие сервисы, как Google+, Yahoo, Flickr, WordPress.com, вы сможете использовать этот плагин.

Ссылка на плагин: https://wordpress.org/plugins/openid/

  • Плюсы: Не требуется мобильное приложение.
  • Минусы: вам необходимо иметь учетную запись на любом провайдере OpenID, например Google+, Yahoo, Flickr, WordPress.com.
The OpenID plugin allows users to authenticate to websites without using passwords

The OpenID plugin allows users to authenticate to websites without using passwords

Как использовать плагин

Использовать OpenID просто, и вам не придется сталкиваться с какими-либо проблемами. Вам нужно будет установить и активировать плагин. И после этого вам придется зайти в Пользователи. Вы увидите опцию «Ваши OpenID», и вам необходимо проверить ее настройки. Вы сможете добавить свои учетные записи OpenID в этот конкретный раздел, и это позволит вам использовать свои учетные записи в социальных сетях на своем веб-сайте. Это позволит вам сделать все проще и безопаснее.

Однако при использовании этого плагина возникает проблема. Даже если вы установили свои идентификаторы на своем сайте WordPress, вы все равно сможете войти на свой сайт, используя имя пользователя и пароль. Итак, если вы ищете высокий уровень безопасности, то он вам не подойдет.

Что вообще случилось с Клефом?

Что ж, нет никаких сомнений в том, что Clef был одним из лучших вариантов, когда дело доходит до использования плагинов WordPress для двухфакторной аутентификации. Однако есть плохие новости для всех пользователей, которые в настоящее время используют плагин Clef. Если вы не в курсе, то знайте, что плагин Clef перестанет работать 6 июня 2017 года. Более того, плагин больше недоступен для скачивания и никаких обновлений выпускаться не будет. Итак, Клеф ушел навсегда . Это был бы лучший вариант, но есть несколько других плагинов двухфакторной аутентификации для WordPress, которые вы можете использовать. Они так сворачивают свой продукт Clef; вы можете придумать другие варианты.

Какая лучшая альтернатива Клефу?

Если вы хотите использовать лучшие плагины двухфакторной аутентификации, вы всегда можете воспользоваться упомянутым вышеGoogle Authenticator или Authy . На самом деле это хороший выбор, если вы в настоящее время используете плагин Clef. Если вы раньше не использовали ни один из этих плагинов, вы можете использовать двухфакторный, Google Authenticator и Authy. Вы также можете использовать Rublon и OpenID, но у них есть несколько недостатков. Вы всегда можете проверить бесплатные версии, чтобы узнать, как они вам подходят. Вам необходимо выбрать тот, который позволит вам защитить ваш веб-сайт и предоставит вам лучший и безопасный проход для входа на ваш сайт.

Каковы недостатки использования плагинов двухфакторной аутентификации?

Хотя некоторые из рассмотренных плагинов повысят ваше душевное спокойствие, проверьте все следующие пункты, прежде чем вы решите использовать двухфакторную аутентификацию для своего WordPress.

  1. Основным недостатком является необходимость использования мобильного приложения, которое необходимо установить на смартфон плюс любое подключение к Интернету, если вы решите использовать бесплатный плагин, такой как Google Authenticator .
  2. Самый простой способ, без использования мобильного приложения и смартфона, подключенного к Интернету, требует некоторой суммы денег для оплаты исходящих SMS-сообщений, которые будут доставлены на мобильные телефоны.
  3. Все пользователи вашего сайта должны предоставить вам номера своих мобильных телефонов для получения кодов подтверждения.
  4. Если вы потеряли телефон, вы не сможете войти в систему.
  5. Ни один из упомянутых плагинов не является плагином безопасности и не защищает веб-сайт от перебора паролей пользователей через интерфейс XML-RPC, который включен в WordPress по умолчанию. Таким образом, вам все равно придется использовать защиту от перебора, которую обеспечивает плагин WP Cerber .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.