Защита на WordPress с Two Factor Authentication плъгин
Съдържание
Two Factor Authentication (двуфакторно удостоверяване) добавя второ ниво (фактор) на удостоверяване при логване в защитено приложение.
Как работи Two Factor Authentication?
В най-обобщена форма принципът на работа на Two Factor Authentication (2FA) изглежда така.
- Конфигурира се приложението за ползване на 2FA обикновено чрез добавяне и активиране на софтуерен плъгин.
- Плъгинът предоставя QR код за сканиране или секретен ключ за поставяне в различно устройство - обикновено смартфон или таблет, което генерира еднократна парола (One Time Password, OTP). Ролята на OTP генератор може да се изпълнява от голям брой устройства, но безспорно най-популярното от всички е Google Authenticator, което ще ползваме в примера.
- OTP генератора сканира QR кода и създава акаунт на приложението. По този начин един и същ OTP генератор може да се използва за създаване на 2FA защита на голям брой приложения.
- При логване в приложението се въвеждат стандартните данни за логване (фактор 1), след което се зарежда ново поле, в което трябва да се въведе паролата от OTP генератора (фактор 2). За постигане на висока сигурност, кодът се променя автоматично всеки 30 секунди. При въвеждане на некоректен код, системата показва съобщение за грешка. При въвеждане на коректния код, потребителя се логва в приложението.
Инсталиране на плъгин Two Factor Authentication в WordPress
В официалното хранилище за плъгини на WordPress ще откриете голям брой Разширения, предлагащи двуфакторна защита. Избрахме плъгина Two Factor Authentication защото се разработва от много години, винаги е актуализиран към последната версия на WordPress и е много лесен за конфигуриране.
Плъгинът се инсталира по познатия начин - в панела Разширения > Добавяне на още въведете factor в полето за търсене и инсталирайте/активирайте плъгина Two Factor Authentication:
През новия линк в главното меню Two Factor Auth влезте в панела за конфигуриране на плъгина. В първата секция изберете радио бутона Enabled и запазете статуса като натиснете бутона Запазване:
В следващата секция се уверете, че е маркиран радио бутона TOTP:
Инсталиране на Google Authenticator в Android смартфон
За да инсталирате Google Authenticator отворете Google Play Store и въведете в полето за търсене auth - кликнете полето authenticator:
В списъка с резултати кликнете Google Authenticator:
Стартирайте инсталирането с натискане на бутона Install:
Разрешете достъпа на приложението до камерата на смартфона като натиснете Accept:
След няколко секунди Google Authenticator е коректно инсталиран. Отворете приложението като натиснете бутона Open:
или като кликнете добавената на десктопа икона:
В първия екран натиснете бутона Get Started:
Изберете опцията за сканиране на QR код (Scan a QR code):
Насочете камерата на телефона към панела на плъгина Two Factor Authentication и създайте акаунт на плъгина в Google Authenticator като кликнете бутона Add Account:
Акаунта съдържа домейна и потребителското име на WordPress сайта за да може да го различавате от другите акаунти в Google Authenticator и започва автоматично да генерира шест цифрен код, който трябва да въведете при логване в WordPress, и който код се променя всеки 30 секунди.
Анимиран индикатор от дясно на кода показва колко време остава до генерирането на новия код.
Тест на двуфакторна защита на WordPress администрация
С описаните по-горе стъпки извършихте следните действия:
- Инсталирахте и конфигурирахте плъгина Two Factor Authentication в WordPress.
- Инсталирахте Google Authenticator в устройство (смартфон или таблет) с Android OS и създадохте акаунт на WordPress сайта.
Сега излезте от WordPress като кликнете иконата на администратора в горния десен ъгъл и от менюто изберете линка Изход:
Въведете URL адреса за вход в администрацията на WordPress и попълнете коректните данни за логване (фактор 1). Веднага след това ще се зареди ново поле, в което трябва да въведете актуалния код от Google Authenticator (фактор 2):
Ако въведете различен от актуалния код, плъгина Two Factor Authentication ще покаже грешка за некректна OTP парола и ще зареди първоначалната форма за логване:
При въвеждане на коректен OTP код се логвате успешно в администрацията на WordPress: