Защита WordPress от взлома с помощью Google Authenticator

Здравствуйте, уважаемые друзья. Сегодня я расскажу, как настроить двухуровневую защиту WordPress от взлома с помощью Google Authenticator.

На сегодняшний день безопасность в интернете является большой проблемой. Тысячи веб-сайтов взламываются по всему миру каждый день. И это не только крупные порталы и корпоративные сайты, это блоги тысяч рядовых пользователей в том числе. Зачастую сайты взламываются не индивидуально, а массово, с помощью специальных скриптов. Зачастую владелец сайта даже и не догадывается о взломе его сайта.

Сайты и блоги созданные на WordPress не исключение, так как это самая популярная платформа для создания сайтов во всём мире. И злоумышленникам это даже на руку.

А учитывая тот факт, что многие пользователи не использую даже основных методов защиты WordPress, процент взлома таких сайтов весьма высок.

Многие владельцы сайтов, сами того не понимая, облегчают задачу взломщика, оставляя логин для входа в административную панель WordPress без изменения – «admin». И лишь не многие меняют логин и пароль после установки Вордпресс.

Про основные методы защиты WordPress я уже рассказывал, по ссылке выше можете с ними ознакомиться. А сегодня расскажу ещё об одном эффективном способе защиты, который дополнит основные и сделает защиту двухуровневой.

Что такое двухуровневая защита WordPress с помощью Google Authenticator?

Обычно для входа в административную панель WordPress нужен логин и пароль. Если вы их изменили после установки движка, то вы уже сделали первый шаг к надёжной защите вашего сайта. Но, вы можете сделать доступ к вашему сайту ещё более безопасным с Google и его двухуровневой аутентификацией.

Google Authenticator – это плагин для Вордпресс, который связан с аккаунтом Гугл через мобильное приложение.

Этот плагин добавляет к форме входа, в административную панель сайта, ещё одно поле. Где нужно ввести шестизначный секретный код, который генерируется в мобильном приложении вашего смартфона каждые 30 секунд.

Пример работы Google Authenticator
Пример работы Google Authenticator

И даже если злоумышленник заполучил ваш логин и пароль, без секретного кода, сгенерированного на момент входа – доступ будет закрыт. Этот принцип заимствован из сервисов платёжных систем, где подтверждение операции необходимо выполнить с помощью SMS кода, высланного на ваш номер телефона.

Установка и настройка Google Authenticator.

Сам процесс установки, такой же, как и у остальных плагинов. Вы входите в административную панель WordPress – «Плагины»«Добавить новый» — в строке поиска вводите Google Authenticator и нажимаете на клавиатуре Enter. Перед вами откроется страница с результатами поиска.

Выбор плагина
Выбор плагина

Первые два плагина похожи, можете устанавливать любой. Я установил Google Authenticator for WordPress. Он совместим с последней версией WordPress, хотя и первый плагин также работает с версией WP 4.2.2.

Нажимаете кнопку «Установить» и далее «Активировать плагин».

Далее, переходите в раздел «Настройки»«Authenticator».

Настройки Google Authenticator
Настройки Google Authenticator

Если вы не активировали плагин, то активируйте его, установив чекбокс, напротив, «Activate Plugin».

Поставьте чекбокс, напротив, «Force Use», этим вы подключите двухуровневую защиту для всех пользователей, в том числе и администраторов.

Параметр «Force Roles» позволяет отключать и подключать двухуровневый контроль для определённых групп пользователей. Но, это лишь дополнительная лазейка для врагов. Поэтому оставьте вариант для всех «All».

«Site Name» — отвечает за отображения названия в мобильном приложении. Хотя в самом мобильном приложении, название можно изменить.

«Max Attempts» — установите максимальное количество попыток для ввода секретного, шестизначного кода.

«Authorized Clock Desynchronization» — ограничения в минутах, наступает после исчерпания попыток на ввод кода.

Эти два значения вы устанавливаете на своё усмотрение. У себя на блоге, я выставил 3 попытки и время блокировки 15 минут.

Далее, переходите в раздел «Пользователи»«Ваш профиль», где в самом низу вы увидите раздел WP Google Authenticator Settings. В этом разделе представлены коды для активации мобильного приложения. На выбор есть цифровой и QR-код. Использовать можете любой. А также здесь представлен очень важный код восстановления.

Код восстановления и настройки
Код восстановления и настройки мобильного приложения

Примечание: эти коды вы никому не показывайте. Код восстановления и цифровой ключ обязательно запишите и скопируйте в отдельный текстовый документ. Они вам ещё понадобятся.

Всё, технические настройки на сайте закончены. Переходим к мобильному приложению.

Установка и настройка Google Authenticator на мобильном устройстве.

Установить мобильное приложение можно на смартфон или планшет под управлением Android или iOS. Сделать это можно с вашего мобильного устройства, через «Play Маркет» и «iTunes».

Либо с компьютера по этим ссылкам:

Google Authenticator для iOS

Google Authenticator для Android

После того, как вы установите мобильное приложение, нужно подключить аккаунт сайта. Ввести секретный код.

Вы можете ввести название проекта и цифровой код вручную. Или можете выбрать вариант «Сканировать штрихкод», включится камера мобильного устройства (если установлен сканер штрихкодов). Если сканер не установлен, будет предложено установить его. И после этого наводите камеру на QR-код, полученный на блоге. Так, аккаунт будет подключён.

Настройка мобильного приложения
Настройка мобильного приложения

Проверка двухуровневой защиты.

Теперь, когда все приготовления и настройки сделаны можно проверить защиту. Для этого выйдите из административной панели WordPress и снова зайдите. В этот раз у вас в форме входа будет уже три поля.

Вводите свой логин и пароль, открываете мобильное приложение Google Authenticator на смартфоне или планшете, полученный шестизначный код вводите в поле для ввода на сайте.

Если вы сделали всё правильно, то вы уже в административной панели вашего сайта!

Примечание: если вы подключили мобильное приложение и у действующего кода истекает время, не торопитесь его вводить, дождитесь нового кода и введите его.

Как получить доступ к сайту без приложения Google Authenticator?

Хотя приложение Google Authenticator работает без интернета и при любой погоде, случиться, может, всякое. Украли смартфон или он сломался и так далее.

В таком случае на помощь придёт тот самый код восстановления, который вы надёжно записали в блокнотик и скопировали в отдельный файл.

Для получения доступа к административной панели сайта и отключения двухуровневой защиты, в поле для шестизначного кода вводите код восстановления.

В этом случае вы получаете доступ в административную панель сайта и отключаете Google Authenticator.

А, уже зайдя в панель сайта, вы снова сможете настроить двухуровневую защиту. Только при этом нужно будет внести изменения и в мобильное приложение. Так как при повторной активации защиты, — секретный код меняется.

Вот и всё, друзья. Весь процесс установки и настройки двухуровневой защиты WordPress с помощью Google Authenticator я описал, теперь предлагаю просмотреть видеоурок для закрепления материала.

Решение применять этот способ защиты или нет, остаётся за вами. Я же использую это решение уже довольно давно и очень доволен. Я, вообще, люблю все эти удобные мобильные приложения. За почти год использования сбой был один раз, и то я так и не понял в чём причина. Глюк прошел после перезагрузки смартфона.

А ещё можно изменить страницу входа в админ панель сайта и тогда никто, кроме вас не будет знать, как войти на сайта в качестве администратора.

Ну что же буду закругляться. Всем желаю успехов и хорошего настроения. Если будут вопросы, с удовольствием отвечу на них в комментариях. Удачи, вам друзья.

До встречи в новых видеоуроках и статьях.

С уважением, Максим Зайцев.

Понравилась статья? Поделиться с друзьями:
Комментарии: 27
  1. zmoe

    Хороший плагин, меня раньше часто ломали, но когда переехал на vps и отключил ftp, так сразу все проблемы закончились!

    1. Максим Зайцев (автор)

      Да, очень надёжный рубеж защиты. Я тоже очень доволен.

      1. zmoe

        Я для защиты от взлома и вообще брутфорса админок использую ОЧЕНЬ простой способ без всяких плагинов вообще http://prostolinux.ru/ Оптимальный вариант мне кажется…

        1. Максим Зайцев (автор)

          Спасибо, за бесценный совет. Легко и эффективно. Беру на вооружение. А заодно избавлюсь от плагина Better WP Security. Надёжный плагин, но этот способ реально круче!

          1. zmoe

            Да не за что, я все свои сайты после того случае так переделал, и проблем нет.

            Кстати, я вот тоже раньше так картинки вставлял в статью в полном размере, да еще в .png формате, а теперь все переделываю, так как формат ОЧЕНЬ тяжелый, и лучше ставить миниатюру в статью, так по скорости намного лучше, да и у картинки в коде показывается размер, что тоже очень важно.

            И еще, зачем столько внешних ссылок сквозных? Это не гуд…

          2. Максим Зайцев (автор)

            Андрей, если я правильно понял, то картинки лучше в jpg сохранять и размер подгонять под размер контейнера, избавившись при этом от ссылки. Или вывести картинки через lightbox?.
            А миниатюру, в смысле, с главной перенести в статью?

          3. zmoe

            Конечно лучше, так как размер получается в несколько раз меньше. Можно и без ссылки, но лучше ставить миниатюры и ссылку на медиафайл и lightbox — если человек захочет посмотреть подробно, то нажмет на картинку.

          4. Максим Зайцев (автор)

            Я раньше ставил в статьях миниатюры, потом переделывал, так как показалось, что для посетителей не удобно. Решил использовать полно размерный формат и пользовательский. Если сейчас переделывать, то это почти 2000 скриншотов. Как подумаю, так плохо становится. ;-)

          5. zmoe

            Это конечно не принципиально, но полезно. Ссылку точно убрать лучше, и формат можно сжимать в принципе через плагин уже загруженные фото.

          6. Максим Зайцев (автор)

            Вот ссылка меня больше всего и смущает. Полный формат изображения у меня доступен по ссылке. Тут придётся не только оптимизировать, но и переделывать некоторые скриншоты, дабы показать посетителю суть. Лайбокс и дополнительные плагины устанавливать не хочу, у меня и так тема перенасыщена лишними примочками.
            Андрей, спасибо за советы, буду постепенно дорабатывать картинки.

          7. zmoe

            Могу посоветовать отличный lightbox плагин, очень легкий и я использую его теперь на всех сайтах — Responsive Lightbox (автор subhansanjaya ) рекомендую.

          8. Максим Зайцев (автор)

            Андрей, спасибо! Попробую.

        2. Svetlana Kungurova

          Zmoe, та статья по вашей ссылке отсутствует!!! Можно написать другой URL. Очень интересно, что за способ!. Я искала возможность поставить плагин, что бы под вводом пароля и логина на wp-login стоял какой то код или задачка. типа 13-8= и окошко, куда нужно ввести ответ. если подскажите, буду благодарна

  2. хостинг цена iPipe.ru

    Большое спасибо за отличный пост, ваши рекомендации по защите WordPress от взлома с помощью google authenticator мне очень помогли.

    1. Максим Зайцев (автор)

      Пожалуйста! Рад был помочь.

  3. Владимир

    Здравствуйте, Максим! Наверное, я неправильно Вас понял:
    1. если делать такой вход для всех групп пользователей, а не только для администраторов, то мы заставляем всех пользователей устанавливать себе мобильное приложение.
    2. чем этот способ лучше обычного подтверждения номера телефона (SMS с паролем) или почты (письмо со ссылкой) ? По сравнению с SMS — экономия на комиссии за SMS?
    Спасибо!

    1. Максим Зайцев (автор)

      Здравствуйте, Владимир. Доступ через мобильное приложение вы можете настроить для разных групп пользователей. Для администратора и редактора можно настроить через мобильное приложение, а для обычных пользователей — стандартный вход. Так как наибольшую угрозу представляет потеря доступа к учётной записи администратора.
      Ну и конечно экономия на SMS. ;-)

  4. Lan Lipa

    Where can I start a personal blog about anything & everything?

    1. Максим Зайцев (автор)

      Then write about what they do.

  5. Лара

    Максим, а есть подобная защита но по емейл? Чтобы к примеру на почту код какой-нибудь приходил.

    1. Максим Зайцев (автор)

      Здравствуйте, Лара. Платные способы существуют. Из бесплатных же знаю, как на php написать. Но, это сложно и способ не универсальный. Через смартфон надёжней. По этому сейчас всё чаще встречается либо SMS подтверждение, либо через мобильное приложение.

  6. Лара

    Максим, я может что не так поняла… вот у меня ни смартфона, ни планшета, значит я уже не смогу поставить двухфакторную защиту? Или можно как-то по смс тогда сделать? У меня просто голова кругом, у меня админку долбят уже седьмые сутки! Причем по сто раз меняла адрес админки, как находят непонятно. У меня плагин стоит стоит Аll секьюрити (как точно пишется не помню), вот через него меняю адрес, бесполезно. Сегодня прочитала вашу новую статью, боюсь файлы менять конечно, но попробую.

    1. Максим Зайцев (автор)

      Лариса, СМС только за плату. Сделайте резервные копии нужных файлов и используйте способ, который я описал в новой статье. Переадресация должна снизить нагрузку.

  7. ladson

    obviously like your web site however you need to take a look at the spelling on quite a few of your posts. A number of them are rife with spelling problems and I in finding it very bothersome to inform the reality nevertheless I will certainly come back again.

    1. Максим Зайцев (автор)

      I don’t understand. What do I do?

  8. click to read

    I just want to mention I’m newbie to blogging and site-building and absolutely loved you’re page. Almost certainly I’m want to bookmark your blog . You surely have excellent posts. Cheers for sharing with us your web-site.

    1. Максим Зайцев (автор)

      Very happy. Welcome aboard, look forward to your visit.

Добавить комментарий