Logowanie dwuskładnikowe to dość prosty element, często trochę utrudniający wygodę korzystania, ale za to znacząco podnoszący bezpieczeństwo WordPressa. Dziś o wtyczce i apce, które pomogą nam podnieść zabezpieczenia strony www.

Co to jest 2fa i co mi to da?

Two Factor Authentication, czyli uwierzytelnianie dwuskładnikowe. Jest to dodatkowe zabezpieczenie, oprócz hasła (w przypadku WordPressa) naszego zaplecza specjalnym tokenem odczytywanym w aplikacji mobilnej. Niby nic, ale potrafi znacznie podnieść bezpieczeństwo strony internetowej. Jedynym minusem w obsłudze tego rozwiązania jest przepisywanie lub kopiowanie zazwyczaj sześciocyfrowego klucza uwierzytelniającego, po prawidłowym wpisaniu loginu i hasła na stronie logowania.

Dodam token i moja strona będzie już bezpieczna?

No, nie 😉 Żadne najlepsze rozwiązanie nigdy w 100% nie zagwarantuje bezpieczeństwa strony. Jeśli ktoś bardzo będzie chciał to znajdzie lukę w innym module i dostanie się tam gdzie chce. W takim razie, po kiego to instalować? A no w przypadku wycieku haseł. Znam pełno przypadków gdzie nad jedną stroną pracuje kilka osób, a hasła razem z loginem przekazują sobie w jednym e-mailu. Tu nawet przez zwykłą pomyłkę można komuś udostępnić takie dane, a jak już ta osoba je wykorzysta, to wie tylko ona. Dlatego lepiej się zabezpieczyć przed takimi sytuacjami.

Przykład działania z życia wzięty

Miałem taki przypadek z firmą, która to miała pozycjonować stronę klienta. Panowie mieli zoptymalizować stronę swoimi wpisami seo, udostępniłem im login i hasło. Oczywiście login był bardziej skomplikowany niż Marek123 😉 Panowie dostali wszystkie dane i klucz do skonfigurowania apki z tokenami. Po jakimś czasie zacząłem dostawać informacje, że ktoś z Chin próbuje wbić się na tą stronę loginem, który dostali panowie z agencji seo. Prawdopodobnie panowie mieli gdzieś wyciek i całą witrynę uratował tylko token, do którego tajemniczy ziomek nie miał dostępu.

Jak więc zabezpieczyć swojego WordPressa?

Ja używam do tego celu wyczki Wordfence login security, wtyczka w obsłudze jest bardzo intuicyjna, konfiguracja nie powinna nikomu przysporzyć problemów. Jeżeli jednak masz gdzieś problem w konfiguracji i obsłudze wtyczki zobacz poradnik, w którym wyjaśniam jak wszystko ustawić – link znajduje się na końcu artykułu.

Generator tokenów

Do sprawnego działania będzie jeszcze potrzebna aplikacja na urządzenie mobilne, z której odczytamy token niezbędny do zalogowania się. Ja do tego celu używam Google Authenticator. Aplikacja jest dostępna dla Ios oraz Androida, nawet jeśli ktoś się uprze to bez trudu znajdzie tego typu aplikację do zainstalowania na komputerze, z którego loguje się na strony.

Linki

Potrzebujesz pomocy przy budowie strony internetowej? Pisz, chętnie Ci pomogę.

Podobne Wpisy