Jak zabezpieczyć hasło do WordPressa? Albo lepiej ... jak zabezpieczyć hasła wszystkich, którzy mają dostęp do Twojej witryny WordPress? To przerażające pytanie, prawda? Mamy nadzieję, że stosujesz się do wszystkich sprawdzonych metod dotyczących haseł, ale nie zmienia to faktu, że najpopularniejsze hasła na całym świecie to nadal „ 123456 "A" password”.
Aby zwalczyć skłonność do słabych haseł, możesz użyć czegoś, co nazywa się: uwierzytelnianie dwuskładnikowe. Jest to powszechna metoda dla osób, którym zależy na bezpieczeństwie połączenia. Wśród tych, którzy z niego korzystają, możemy zaliczyć Google, banki, uczelnie i… właścicieli witryn WordPress!
W tym samouczku krótko omówię uwierzytelnianie dwuskładnikowe i powiem, dlaczego jest ono ważne. Następnie pokażę Ci krok po kroku, jak dodać uwierzytelnianie dwuskładnikowe do WordPress, abyś mógł chronić Twój blog i chroń konta swoich użytkowników.
Co to jest uwierzytelnianie dwuskładnikowe?
Uwierzytelnianie dwuskładnikowe, znane również jako uwierzytelnianie dwuetapowe, to strategia poprawiająca bezpieczeństwo połączenia, wymagająca od użytkowników wprowadzenia zarówno hasła, jak i kodu, zwykle wysyłanych w wiadomości SMS.
Zasadniczo dostęp do konta wymaga połączenia czegoś, co „wiesz” (twoje hasło) i coś, co „masz” (twój telefon). Chociaż hakerzy mogą być w stanie zdobyć Twoje hasło, jest mało prawdopodobne, że będą w stanie ukraść Twój telefon.
Dlaczego potrzebujesz uwierzytelniania dwuskładnikowego dla WordPress?
Według ankiety przeprowadzonej wśród właścicieli zhakowanych witryn WordPress WordFence ataki typu „brute force” były drugą najpopularniejszą metodą hakowania i kradzieży haseł. Te ataki powinny być bardzo poważnym problemem dla użytkowników WordPress.
Na przykład w samym kwietniu 2013 r. 90.000 XNUMX witryn WordPress padło ofiarą brutalnego ataku z użyciem popularnych nazw użytkowników i haseł.
Chociaż istnieje wiele metod chronić cię przeciwko brutalnym atakom i kradzieży hasła (zabezpieczanie wp-login.php, dodawanie limitów prób połączenia, używanie unikalnych haseł itp..), uwierzytelnianie dwuskładnikowe to kolejny świetny sposób na ochronę siebie.
Jak skonfigurować uwierzytelnianie dwuskładnikowe w WordPress
Aby skonfigurować uwierzytelnianie dwuskładnikowe w WordPress, możesz użyć wtyczki freemium o nazwie „ Google Authenticator ”. Wiem, że dostępnych jest wiele innych wtyczek do uwierzytelniania dwuskładnikowego ( poza tym nie po raz pierwszy przeprowadziliśmy samouczek uwierzytelniania dwuskładnikowego)
Krok 1: zainstaluj wtyczkę Google Authenticator
Aby rozpocząć, musisz zainstalować i aktywować wtyczkę. Jest wymieniony w katalogu wtyczek wordpress.org, więc możesz zainstalować go bezpośrednio z pulpitu nawigacyjnego, przechodząc do „ wtyczki> Dodaj nowy "
Zauważysz, że istnieją dwie wtyczki o tej samej nazwie. Zrobiliśmy już samouczek dla wtyczki Google Authenticator ”. Dlatego zainstaluj odpowiednią wtyczkę. Ponadto zawsze możesz skorzystać z samouczka innej wtyczki, jeśli zdecydujesz się na tę.
Krok 2: Aktywuj wtyczkę i utwórz konto miniOrange
Po aktywacji wtyczki musisz utworzyć konto miniOrange, aby kontynuować:
Po przesłaniu informacji o koncie miniOrange wyśle OTP (unikalne hasło) na użyty przez Ciebie adres e-mail. To hasło jednorazowe weryfikuje Twój adres e-mail. Po prostu wprowadź hasło jednorazowe i kliknij „ Sprawdź poprawność OTP »:
Jeśli masz problem ze znalezieniem e-maila, powinien on wyglądać tak:
Po wejściu do biura wtyczka przeniesie Cię na stronę, która wygląda jak tabela z siatką cen. Nie martw się! Jak powiedziałem, Google Authenticator jest w 100% darmowy dla jednego użytkownika. Chyba że chcesz wersję premium, co oczywiście oznacza więcej opcji. Ale w tym samouczku pominiemy to, klikając „OK, rozumiem”.
Krok 3: Skonfiguruj problemy bezpieczeństwa dla alternatywnego połączenia
Zanim porozmawiamy o innych metodach uwierzytelniania dwuskładnikowego, dobrze jest postępować zgodnie z monitem wtyczki, który prosi o skonfigurowanie pytań bezpieczeństwa. Te pytania zapewniają, że jeśli zgubisz telefon, nadal będziesz mieć dostęp do WordPressa z tymi pytaniami.
Nie musisz wykonywać tego kroku - to opcja, która może później uratować Ci życie.
Dostęp do pytań zabezpieczających można uzyskać, klikając monit „ Kliknij tutaj, aby skonfigurować pytania bezpieczeństwa "
Wybierz dwa pytania, utwórz niestandardowe pytanie i wprowadź odpowiednie odpowiedzi dla tych trzech pytań. Następnie kliknij Zapisz.
Krok 4: Konfigurowanie uwierzytelniania dwuskładnikowego
Jesteś teraz gotowy, aby skonfigurować metody uwierzytelniania dwuskładnikowego! Ostatecznie Google Authenticator oferuje następujące metody:
- Aplikacja Smartphone OTP - wybierz spośród aplikacji Google, miniOrange lub Authy. Masz do wyboru metody.
- SMS - otrzymaj hasło jednorazowe przez SMS. Będziesz mieć 10 darmowych SMS-ów, po czym będziesz musiał wykupić abonament premium.
- Powiadomienia wypychane - w telefonie można otrzymywać powiadomienia wypychane.
- QR code - zeskanuj kod QR za pomocą aplikacji miniOrange. To jest jak klucz.
- Rozmowa telefoniczna - odbierz połączenie telefoniczne z OTP (tylko premium).
- E-mail – włączany automatycznie po zweryfikowaniu adresu e-mail konta w poprzednim kroku.
Pokażę Ci, jak skonfigurować dwie najpopularniejsze metody - SMS-a i smartfona do odbierania OTP za pomocą aplikacji Google Authenticator.
Jak skonfigurować uwierzytelnianie wiadomości tekstowych:
Najpierw przejdź do „ Konfiguracja dwóch czynników ”. Następnie kliknij OTP przez SMS:
Wprowadź swój numer telefonu wraz z odpowiednim kodem kraju. Następnie kliknij Sprawdź:
Po kliknięciu zweryfikuj powinieneś otrzymać SMS-a OTP z 6 cyframi. Po prostu wprowadź hasło jednorazowe w polu i kliknij „Zatwierdź hasło jednorazowe”. To wszystko!
Jak skonfigurować uwierzytelnianie w aplikacji SmartPhone:
Do uwierzytelniania aplikacji możesz wybrać jedną z trzech wymienionych powyżej aplikacji. Ponieważ Google jest najpopularniejszym, pokażę Ci, jak skonfigurować go za pomocą „ Google Authenticator ".
Zacznij od kliknięcia opcji „ Google Authenticator Na karcie „ Konfiguracja dwóch czynników »:
Następnie wybierz markę swojego smartfona. Po wybraniu typu smartfona wtyczka poda kod QR do skanowania:
Aby przeanalizować kod, musisz pobrać i zainstalować oprogramowanie „ Uwierzytelnianie Google ”. W aplikacji kliknij „ Rozpocznij konfigurację ”. Następnie kliknij „ Zeskanuj kod kreskowy »:
Po zeskanowaniu kodu kreskowego na ekranie zobaczysz 6 cyfr. Wystarczy wpisać ten kod, aby uwierzytelnić swoje konto. Należy jednak pamiętać, że 6 cyfr OTP będzie się stale zmieniać. Zawsze musisz wprowadzić najnowszy kod.
Po dodaniu kodu „ OTP »I kliknij« Sprawdź i zapisz Skończysz!
Krok 5: Testowanie uwierzytelnienia dwuskładnikowego
Zawsze, gdy wprowadzasz zmiany, zawsze warto sprawdzić, czy wszystko działa normalnie
Aby to zrobić, otwórz nowe okno incognito i spróbuj zalogować się na swoje konto WordPress. Po pierwsze, powinieneś zobaczyć swój normalny ekran logowania WordPress. Ale po wprowadzeniu nazwy użytkownika i hasła, aby się zalogować, musisz wykonać jeszcze jeden krok:
Jeśli wpiszesz poprawny kod „OTP”, zostaniesz przekierowany do swojego panelu.
Dla zabawy możesz celowo wprowadzić nieprawidłowe hasło jednorazowe, aby sprawdzić, czy wtyczka działa. Jeśli to się nie powiedzie, powinieneś zobaczyć stronę podobną do poniższej:
To wszystko w tym samouczku, mam nadzieję, że pozwoli ci to dodać połączenie dwuskładnikowe do twojego blog WordPress.
Prawdziwe gówno od Google!
Tworzysz konto, wpisujesz swój login, mdp po rejestracji, informuje Cię w języku angielskim, że Twój adres e-mail lub hasło jest nieprawidłowe, odsyła Cię do ich witryny z zapytaniem o hasło, a następnie informuje, że nie jesteś zarejestrowany!
Za pośrednictwem konta, które zarejestrujesz na ich stronie, otrzymasz wiadomość e-mail z identyfikatorem i za pośrednictwem ich witryny to działa, ale kiedy wpiszesz ten sam identyfikator we wtyczce, otrzymasz wiadomość „nieprawidłowe hasło lub adres e-mail”
Grrrrrrrrrrrrrr, że pompuje mi system!
Poza tym nic nie jest po francusku
Witam i dziękuję za ten bardzo szczegółowy samouczek, który jest aktualny, jeśli chodzi o ochronę witryn i ich użytkowników.
Napotkałem tak wiele złośliwych problemów z włamaniami na mojej stronie, że jestem gotowy do wypróbowania tego systemu, który wydaje mi się idealny.
Czy jednak dałoby się mi powiedzieć, czy to uwierzytelnianie dwuskładnikowe działa tylko dla administratorów, czy też można je zintegrować ze wszystkimi członkami i użytkownikami witryny?
Jeśli tak, czy możesz mi wyjaśnić, jak to działa dla członków?
Jak mogą skonfigurować to urządzenie na swoich kontach ze strony?
Warto poruszyć ten temat w innym samouczku lub po tym.
Z góry dziękuję za odpowiedzi, a tymczasem serdecznie pozdrawiam.
Alain
Możesz przeczytać ten samouczek https://blogpascher.com/tutoriel-wordpress/comment-ajouter-une-authentification-a-double-facteur-sur-wordpress.
Dotyczy wszystkich członków witryny.
Dziękuję.