Uwierzytelnianie dwuskładnikowe (2FA, ang Two-Factor Authentication) diametralnie podnosi bezpieczeństwo poziom bezpieczeństwa w zastosowanych systemach. Od dawna zalecamy klientom wprowadzenie 2FA wszędzie gdzie się da, my również zaczęliśmy wdrażać w naszych systemach uwierzytelnianie dwuskładnikowe. W tym artykule prezentujemy krok po kroku jak wprowadzić uwierzytelnianie dwuskładnikowe WordPress.
2FA przez wtyczkę
WordPress w obecnie najnowszej wersji 4.8 nie zapewnia opcji dwuskładnikowego uwierzytelniania, pewnie to się w przyszłości zmieni jednak póki co musimy zainstalować dodatkową wtyczkę aby to osiągnąć. Przy serwerach, którymi zarządzamy W repozytorium WordPressa jest kilka wtyczek oferujących różne 2FA jednak mamy dwa podstawowe założenia:
- darmowa wtyczka bez płatnych dodatków PRO,
- aplikacja mobilna open-source dostępna na Androida i iOS.
Jako aplikację mobilną wykorzystamy FreeOTP (dostępna na Androida i iOS), możemy wg uznania zastąpić ją aplikacjami na zamkniętych źródłach: Google Authenticator bądź Authy. Wszystkie wymienione aplikacje mobilne wspierają ten sam standard TOTP (ang. Time-based One-time Password Algorithm) który będziemy wdrażali na naszej stronie WordPress. Warto pamiętać, że zaproponowaną aplikację mobilną FreeOTP możesz wykorzystać aby logować się do Facebooka, wszystkich usług Google (Gmail), Dropbox, Github i wielu innych.
Aby zainstalować właściwą wtyczkę przejdź do Wtyczki > Dodaj nową:
Następnie w górnym prawym rogu, w polu wyszukiwania wpisz „Two-factor” i wyszukaj tę wtyczkę:
Zainstaluj znalezioną wtyczkę.
Aktywowanie dwuskładnikowego uwierzytelniania
Następnie aby uruchomić 2FA dla WordPressa należy uaktywnić je dla każdego z użytkowników osobno. Wybierz: Użytkownicy > Twój profil, następnie przewiń stronę w dół do działu Zarządzanie kontem > Two-Factor Options:
Zaznacz Enabled oraz Primary dla Time Based One-Time Password (Google Authenticator), następnie rozwiń opcje View Options. W aplikacji mobilnej kliknij na ikonę dodawania nowego kodu i zeskanuj kod z wyświetlanej strony opcji:
Następnie w aplikacji kliknij na nowo utworzoną pozycję twojej strony WordPress. Twoim oczom ukaże się jednorazowy kod, który przepisz na stronie opcji:
Zapisz zmiany – już, przy kolejnym logowaniu WordPress poprosi Cię o dodatkowe hasło tymczasowe.
Operację tą powtórz dla wszystkich użytkowników zarządzających tą stroną by podnieść bezpieczeństwo stronie.
Awaryjne uwierzytelnianie dwuskładnikowe WordPress
Skoro będziemy zabezpieczali logowanie poprzez działanie telefonu komórkowego musimy też przewidzieć sytuację awaryjną, w której nie będziemy mieli do niego dostępu z powodu uszkodzenia, kradzieży etc. Aby to zrobić wygeneruj listę kodów awaryjnych klikając na opcję Generate Verification Codes i zapiszą ją w bezpiecznym miejscu:
Jeśli nie będziesz mieć dostępu do swojego telefonu komórkowego użyj jednego z kodów zabezpieczających aby się dostać do swojego WordPressa.
Czy to zapewni, do mojej strony na WordPressie nikt się nie włamie?
Niestety nie. To nie jest złoty środek który zapewni stuprocentową ochronę przed atakami jednak praktycznie uniemożliwi ataki typu brute-force na Twoją stronę.