Thêm một lớp bảo mật bổ sung cho tài khoản người dùng WordPress bằng cách yêu cầu nhiều hơn là mật khẩu [mã OTP] để đăng nhập
Bắt đầu
Cải thiện bảo mật WordPress
Khi bạn thêm Xác thực hai yếu tố vào trang web WordPress của mình, người dùng sẽ cần nhập tên người dùng và mật khẩu của họ như bình thường, sau đó nhập mã một lần dựa trên thời gian [mật khẩu TOTP] từ ứng dụng xác thực của họ, chẳng hạn như e. g Google Authenticator, Authy, Microsoft Authenticator, 1Password, LastPass, Okta Verify, Duo Security
Thiết lập từ Trang tài khoản của tôi
Nếu bổ trợ xác thực hai yếu tố được bật, phần thiết lập sẽ được thêm vào trang Tài khoản của tôi nơi người dùng đã đăng ký WordPress có thể định cấu hình 2FA cho tài khoản của họ
Muốn thiết lập trang cấu hình 2FA người dùng tùy chỉnh, hãy sử dụng mã ngắn [profilepress-2fa-setup]
Thiết lập từ Trang hồ sơ
Người dùng trang web WordPress của bạn cũng có thể định cấu hình Xác thực hai yếu tố cho tài khoản của họ thông qua trang hồ sơ người dùng trong bảng điều khiển quản trị viên WP
Tạo mã khôi phục
Người dùng có thể tạo mã sao lưu hoặc khôi phục mà họ có thể sử dụng làm mã xác thực để lấy lại quyền truy cập vào tài khoản của mình nếu họ bị khóa
Vô hiệu hóa 2FA cho người dùng bị khóa
Nếu người dùng bị khóa tài khoản có thể do họ bị mất điện thoại hoặc xóa nhầm ứng dụng xác thực, quản trị viên có thể vô hiệu hóa 2FA cho họ từ màn hình chỉnh sửa người dùng trong bảng điều khiển
Dễ dàng cài đặt
Bạn có thể chọn vai trò người dùng có thể thiết lập Xác thực hai yếu tố cho tài khoản của họ, thực thi 2FA đối với người dùng của các vai trò được chọn và tùy chỉnh thông báo hiển thị cho người dùng chưa định cấu hình Hai yếu tố
Vui lòng báo cáo các sự cố [không liên quan đến bảo mật] và mở các yêu cầu kéo trên GitHub. Xem bên dưới để biết thông tin về báo cáo các lỗ hổng bảo mật/quyền riêng tư tiềm ẩn
Tham gia kênh #core-passwords
trên WordPress Slack [đăng ký tại đây]
Để sử dụng môi trường phát triển được cung cấp, trước tiên bạn cần cài đặt và khởi chạy Docker. Khi nó đang chạy, các bước tiếp theo là
$ git clone //github.com/wordpress/two-factor.git
$ cd two-factor
$ composer install
$ npm install
$ npm run build
$ npm run env start
Xem package.json
để biết các tập lệnh có sẵn khác mà bạn có thể muốn sử dụng trong quá trình phát triển, chẳng hạn như linting và thử nghiệm
Khi bạn đã sẵn sàng, hãy mở yêu cầu kéo với các thay đổi được đề xuất
triển khai
Triển khai cho WP. kho lưu trữ plugin org được xử lý tự động bởi hành động GitHub. github/quy trình công việc/triển khai. yml. Tất cả các hợp nhất với nhánh master
được cam kết vào thư mục trunk
trong khi tất cả các thẻ Git được đẩy dưới dạng bản phát hành có phiên bản trong thư mục tags
Ngoài mật khẩu, các tính năng bảo mật bổ sung được kết hợp với quy trình đăng nhập để đảm bảo an toàn cho người dùng
Một thành phần đáng chú ý trong danh sách là WordPress 2FA
nội dung
- 1 Xác thực hai yếu tố là gì?
- 2 7+ plugin xác thực hai yếu tố hàng đầu cho WordPress
- 2. 1 Trình xác thực Google số 1
- 2. 2 #2 Xác thực hai yếu tố kép
- 2. 3 #3 Xác thực hai yếu tố
- 2. 4 #4 Xác thực hai yếu tố của Clef
- 2. 5 Tường lửa đơn giản #5 WP
- 2. 6 #6 Bảo mật tài khoản Rublon. Xác thực hai yếu tố+
- 2. 7 #7 Bảo mật hàng rào từ
- 2. 8 #8 iTheme Security Pro
- 3 Kết thúc.
Xác thực hai yếu tố là gì?
Xác thực hai yếu tố có nghĩa là bạn có trách nhiệm chứng minh danh tính của mình theo hai hoặc ba cách. Xác thực hai yếu tố có thể được triển khai rất dễ dàng với sự trợ giúp của mật khẩu của bạn hoặc bằng cách sử dụng điện thoại thông minh hoặc tài khoản email hoặc khóa phần cứng.
Với WordPress, bạn có thể thực hiện Xác thực hai yếu tố thông qua plugin.
Hơn 7 plugin xác thực hai yếu tố hàng đầu cho WordPress
#1 Trình xác thực Google
Google Authenticator, được phát triển bởi Henrik Schack là plugin 2FA được sử dụng phổ biến nhất. Nó thêm xác thực hai yếu tố vào trang web của bạn thông qua việc sử dụng ứng dụng Google Authenticator. Ứng dụng này dành cho Android, iOS và Blackberry
Ứng dụng có hơn 100 triệu lượt tải xuống tính đến năm 2022. Vì vậy, đây là một cơ hội tuyệt vời để bắt đầu sử dụng nó cho trang web Thương mại điện tử của bạn
Trong trường hợp bị tấn công nghiêm trọng, người dùng sẽ có quyền truy cập vào nhiều giải pháp sao lưu giúp bảo vệ họ
Lợi ích của Google Authenticator
- Quản trị viên cũng như người dùng có thể kích hoạt 2FA
- Liên kết đến trang web WordPress bằng tên người dùng + mật khẩu + 2FA hoặc tên người dùng + 2FA
- Xác thực qua SMS, email OTP, mã thông báo phần mềm, mã QR, thông báo đẩy
- Mã ngắn để tùy chỉnh trang đăng nhập
Hạn chế của Google Authenticator
- Không hỗ trợ xác thực qua cuộc gọi điện thoại & YubiKey
- Không hỗ trợ cho nhiều trang web WordPress
#2 Xác thực hai yếu tố kép
Quá trình thiết lập Xác thực hai yếu tố với Duo rất đơn giản và có thể thực hiện trong vài phút. Bộ đôi này rất dễ sử dụng;
Bạn quyết định vai trò người dùng nào được phép sử dụng 2FA của Duo, trong khi các vai trò khác chỉ bị hạn chế đối với mật khẩu thông qua Xác thực hai yếu tố Duo.
Lợi ích của xác thực hai yếu tố Duo
- Xác thực thông qua một chạm, SMS OTP và cuộc gọi ứng dụng
- Hỗ trợ tin nhắn SMS và cuộc gọi điện thoại mà nhiều người có thể dễ dàng truy cập
- Các khóa phần cứng như YubiKey, SolidPass, v.v. được hỗ trợ
Hạn chế của xác thực hai yếu tố Duo
- Không hỗ trợ cho nhiều trang web WordPress
- Không thể hỗ trợ xác thực thông qua Google Authenticator
- Không thể hỗ trợ xác thực mã QR
- Không có chức năng shortcode nhúng 2FA trên các trang khác nhau
#3 Xác thực hai yếu tố
Bạn có thể bật plugin này trên cơ sở từng vai trò, nó cho phép mỗi người dùng bật và tắt nó và nó chỉ hiển thị trang đăng nhập hai yếu tố cho những người đã bật plugin
Ngoài việc cho phép chỉnh sửa giao diện người dùng, nó cũng ngăn người dùng truy cập trang tổng quan nhờ một mã ngắn
Lợi ích của xác thực hai yếu tố
- Xác thực bằng giao thức TOTP & HOTP & mã QR
- Hỗ trợ cho nhiều trang web WordPress
- Hỗ trợ Google Authenticator, Authy và các hệ thống khác
Hạn chế của xác thực hai yếu tố
- Không hỗ trợ xác thực qua SMS, cuộc gọi điện thoại, email OTP, mã ngắn và YubiKey
#4 Xác thực hai yếu tố của khóa
Xác thực hai yếu tố của Clef là một loại xác thực duy nhất sử dụng “Clef Wave” để kiểm tra danh tính của người dùng đã đăng nhập. Với plugin này, bạn không còn phải nhập tên người dùng và mật khẩu nữa.
Để sử dụng plugin này, bạn chỉ cần cài đặt ứng dụng Clef và nó sẽ đăng nhập dễ dàng nhất
Lợi ích của Xác thực hai yếu tố Clef
- Không hỗ trợ cho nhiều trang web WordPress
- Bạn có thể tắt mật khẩu cho cả người dùng và API
- Hỗ trợ Shortcodes để bắt đầu đăng nhập của Clef tại các trang
- Hai yếu tố sử dụng “Clef Wave”
Hạn chế của xác thực hai yếu tố của Clef
- Không hỗ trợ xác thực thông qua Google Authenticator
- Điện thoại thông minh được yêu cầu để kích hoạt nó
- Không hỗ trợ xác thực qua SMS, gọi điện thoại, OTP qua email, QR Code, Yubikey
#5 Tường lửa đơn giản WP
Plugin này cung cấp Xác thực hai yếu tố qua Email hoặc Yubikey. Dựa trên Email cung cấp địa chỉ IP và xác thực Cookie trong đó người dùng có thể chọn địa chỉ đã chọn để giải quyết các yêu cầu của họ
Lợi ích của Tường lửa đơn giản WP
- Xác thực hai yếu tố qua Email hoặc Yubikey
- Dựa trên email cung cấp địa chỉ IP và xác thực Cookie
- Cung cấp các tính năng đa dạng để bảo vệ trang web WordPress của bạn
Hạn chế của Tường lửa đơn giản WP
- Không hỗ trợ xác thực thông qua Google Authenticator
- Không hỗ trợ xác thực qua SMS, cuộc gọi điện thoại, Mã QR và thông báo đẩy
- Cung cấp bảo mật nhiều hơn mức cần thiết
#6 Bảo mật tài khoản Rublon. Xác thực hai yếu tố+
Đây là một plugin tuyệt vời khác cung cấp quy trình tải xuống và kích hoạt chỉ bằng một cú nhấp chuột, từ đó bạn có thể nhanh chóng đặt Xác thực hai yếu tố trên trang web WordPress
Đối với một người dùng duy nhất, bạn có thể chọn phiên bản miễn phí có sẵn. Tuy nhiên, đối với nhiều người dùng, bạn phải chuyển sang phiên bản dành cho doanh nghiệp.
Lợi ích của Bảo mật tài khoản Rublon- Xác thực hai yếu tố+
- Hai yếu tố với ứng dụng Email hoặc Rublon
- Không yêu cầu xác minh lại nhiều lần từ cùng một thiết bị
- Đăng xuất từ xa bằng cách rút tiện ích được ủy quyền khỏi danh sách kiểm tra tiện ích
Hạn chế của Bảo mật tài khoản Rublon- Xác thực hai yếu tố+
- Chỉ có một người dùng trên mỗi trang web
- Không hỗ trợ xác thực thông qua Google Authenticator
- Không hỗ trợ xác thực qua SMS, cuộc gọi điện thoại, thông báo đẩy và phím cứng
- Không hỗ trợ mã ngắn để nhúng vào các trang
#7 Bảo mật từ hàng rào
WordPress Security là một plugin bảo mật cung cấp nhiều tính năng cho phép bạn bảo vệ trang web và nội dung của mình [chẳng hạn như tường lửa và chặn quốc gia]. Là một phần của việc này, các cuộc kiểm tra thường xuyên được thực hiện để đảm bảo rằng trang web của bạn không dễ bị tấn công
Lợi ích của bảo mật Wordfence
- Theo dõi định kỳ để đảm bảo bảo vệ trang web
Hạn chế của bảo mật Wordfence
- Yêu cầu sử dụng điện thoại thông minh
- 2FA chỉ có thể truy cập trong các phiên bản cao cấp
#8 Bảo mật iTheme Chuyên nghiệp
iTheme Security Pro hỗ trợ hơn 30 tính năng bảo mật bổ sung, bao gồm xác thực 2FA bằng Google Authenticator hoặc Authy
Lợi ích của iTheme Security Pro
- Hoạt động với Google Authenticator hoặc Authy
- Hơn 30 cách để bảo vệ trang web của bạn khỏi các cuộc tấn công
Hạn chế của iTheme Security Pro
- Plugin có thể phá vỡ trang web của bạn
- Plugin không có khả năng bảo vệ mọi cuộc tấn công có thể xảy ra đối với cửa hàng
Khép kín
Trong cả hai trường hợp, plugin xác thực hai yếu tố cho WordPress sẽ giúp bạn bảo mật trang web của mình tốt hơn, bất kể bạn điều hành blog của riêng mình hay với một nhóm các nhà văn và biên tập viên
Plugin yêu thích của tôi trong danh sách trên là Shield Security, vì đây là hệ thống bảo mật hạng nhất nhờ hệ thống xác thực độc đáo của nó