Duże witryny internetowe, takie jak Facebook i Google, poważnie podchodzą do kwestii zabezpieczeń i proszą o korzystanie z uwierzytelniania dwuskładnikowego (2FA) w celu zabezpieczenia twojego konta. Dzieje się tak, ponieważ 2FA dodaje dodatkową warstwę zabezpieczeń, która z naszego doświadczenia znacznie utrudnia hakerom dostęp do konta.
Teraz możesz sprawić, że twoja witryna WordPress będzie równie zabezpieczona. Dodanie uwierzytelniania dwuskładnikowego dla twoich użytkowników WordPress jest mądrym posunięciem, niezależnie od tego, czy prowadzisz małego bloga, czy ruchliwy sklep internetowy.
Ten artykuł poprowadzi Cię przez konfigurację 2FA na Twojej witrynie WordPress za pomocą wtyczki i aplikacji uwierzytelniającej. Jest to łatwiejsze niż myślisz i ma duży wpływ na bezpieczeństwo twojej witryny.
Dlaczego warto dodać uwierzytelnianie dwuskładnikowe w WordPress?
Jedną z najczęstszych sztuczek stosowanych przez hakerów są ataki siłowe. Podczas jednego z takich ataków używają zautomatyzowanych skryptów, które próbują odgadnąć właściwą nazwę użytkownika i hasło, aby mogli logować się do twojej witryny internetowej WordPress.
Udany atak brute force może dać hakerom dostęp do obszaru administracyjnego twojej witryny internetowej. Mogą oni zainstalować złośliwe oprogramowanie, wykraść informacje o użytkownikach i usunąć wszystko z twojej witryny.
Jednym z najprostszych sposobów zabezpieczenia twojej witryny internetowej WordPress przed kradzieżą haseł jest dodanie uwierzytelniania dwuskładnikowego (2FA). Dzięki temu ustawieniu, aby logować się do witryny internetowej, będziesz musiał zarówno wpisz swoje hasło, jak i dodatkowy kod (z aplikacji, e-maila lub wiadomości tekstowej).
W ten sposób, nawet jeśli ktoś ukradnie twoje hasło, to i tak będzie musiał wpisz kod zabezpieczenia z twojego telefonu, aby uzyskać dostęp.
Co to jest aplikacja uwierzytelniająca?
Istnieje wiele sposobów na skonfigurowanie 2-etapowego logowania w WordPress. Jednak najbezpieczniejszą i najłatwiejszą metodą jest użycie aplikacji uwierzytelniającej.
Aplikacja uwierzytelniająca to aplikacja na smartfony, która generuje tymczasowe jednorazowe hasło do kont, które zostały w niej zapisane.
Zasadniczo aplikacja i twój serwer używają prywatnego klucza do szyfrowania informacji i generowania jednorazowych kodów, których możesz użyć jako drugiej warstwy zabezpieczenia.
Istnieje wiele aplikacji dostępnych za darmo:
- Najpopularniejszą aplikacją jest Google Authenticator, ale nie jest to najlepszy wybór. Dzieje się tak dlatego, że jeśli zgubisz swój telefon, nie ma możliwości odzyskania twoich kont, chyba że wcześniej utworzysz kopię zapasową.
- Zalecamy korzystanie z Authy, ponieważ jest to łatwa w użyciu i bezpłatna aplikacja, która umożliwia również zapisywanie twoich kont w chmurze w zaszyfrowanym formacie. W ten sposób, jeśli zgubisz telefon, możesz po prostu wpisz swoje hasło główne, aby przywrócić wszystkie konta.
- Inne menedżery haseł, takie jak LastPass i 1Password, mają własną wersję uwierzytelniacza. Są one lepsze niż Google Authenticator, ponieważ umożliwiają przywracanie kluczy.
Na potrzeby tego poradnika będziemy używać Authy. Jeśli chcesz, możesz postępować zgodnie z naszym poradnikiem, korzystając z innej aplikacji, ponieważ wszystkie działają w ten sam sposób.
Mając to na uwadze, przyjrzyjmy się, jak dodać 2FA w WordPress. Wystarczy kliknąć poniższe odnośniki, aby przejść do preferowanej metody:
Przyjrzyjmy się teraz, jak łatwo dodać weryfikację dwuskładnikową do twojego ekranu logowania WordPress za darmo.
Metoda 1: Dodanie uwierzytelniania dwuskładnikowego przy użyciu WP 2FA
Ta metoda jest łatwa i zalecana dla wszystkich użytkowników. Jest elastyczna i pozwala wymusić uwierzytelnianie dwuskładnikowe dla wszystkich użytkowników.
Najpierw należy zainstalować i włączyć wtyczkę WP 2FA – Two-factor Authentication. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.
Po włączaniu kreator konfiguracji WPA 2FA uruchomi się automatycznie. W przeciwnym razie możesz przejść na stronę Użytkownicy ” Twój profil i przewinąć w dół do sekcji „Ustawienia WP 2FA”.
Kliknięcie przycisku „Skonfiguruj uwierzytelnianie dwuskładnikowe (2FA)” spowoduje uruchomienie kreatora konfiguracji.
Kreator konfiguracji WP 2FA
Wystarczy kliknąć przycisk „Let’s Get Started!”, aby rozpocząć konfigurację wtyczki.
Na następnej stronie zostaniesz poproszony o wybranie metody uwierzytelniania.
Dostępne są dwie opcje:
- Jednorazowy kod wygenerowany przez twoją aplikację 2FA (zalecane)
- Jednorazowy kod wysyłany pocztą e-mail
Zalecamy wybranie uwierzytelniania za pomocą aplikacji 2FA (TOTP), ponieważ jest ono bardziej bezpieczne i niezawodne.
Po dokonaniu twojego wyboru możesz kliknąć przycisk „Kontynuuj konfigurację”, aby przejść do następnej strony kreatora konfiguracji.
Zostaniesz zapytany, z jakich alternatywnych metod 2FA chcesz, aby twoi użytkownicy korzystali, jeśli podstawowa metoda 2FA zawiedzie, na przykład w przypadku utraty telefonu.
W planie bezpłatnym dostępna będzie tylko metoda kodu zapasowego. Jeśli chcesz mieć więcej alternatywnych metod 2FA, musisz uaktualnić do WP 2FA Premium.
Wystarczy kliknąć przycisk „Kontynuuj konfigurację”, aby przejść do następnej strony.
Na tej stronie możesz wprowadzić obowiązek logowania dwuskładnikowego dla niektórych lub wszystkich użytkowników. Zalecamy to, zwłaszcza jeśli prowadzisz witrynę internetową WordPress z wieloma użytkownikami, taką jak witryna członkowska.
Jeśli chcesz wymusić 2FA dla wszystkich użytkowników twojej witryny internetowej, po prostu wybierz opcję „Wszyscy użytkownicy” i kliknij „Kontynuuj konfigurację”.
Teraz wszyscy twoi użytkownicy będą musieli korzystać z 2FA.
Być może jednak w twojej witrynie internetowej są użytkownicy, których nie chcesz zmuszać do korzystania z 2FA. Następna strona umożliwia wpisanie nazw użytkowników lub ról użytkowników tych członków zespołu.
Gdy to zrobisz, kliknięcie przycisku „Kontynuuj konfigurację” przeniesie Cię na stronę, na której możesz zdecydować, jak szybko Twoi użytkownicy muszą zacząć korzystać z 2FA.
Możesz wymagać od nich natychmiastowego rozpoczęcia lub dać im okres karencji wynoszący, powiedzmy, 3 dni, aby mieli czas na skonfigurowanie wszystkiego. Po prostu kliknij opcję, której chcesz użyć na swojej witrynie internetowej.
Jeśli chcesz dać okres karencji, możesz wybrać, ile godzin lub dni to będzie. Domyślne ustawienie 3 dni będzie działać dobrze dla większości witryn internetowych.
Istnieją również opcje dotyczące tego, co zrobić po zakończeniu okresu karencji, jeśli niektórzy użytkownicy nie skonfigurowali 2FA. Możesz ich wpuścić, ale nie pozwolić im na dostęp do kokpitu lub w ogóle zablokować im możliwość logowania się. W przypadku większości witryn internetowych najlepsza będzie pierwsza opcja.
Po dokonaniu twojego wyboru możesz kliknąć „Wszystko gotowe”, aby wyjść z kreatora konfiguracji. Gratulacje, skonfigurowałeś uwierzytelnianie dwuskładnikowe na twojej witrynie!
Zobaczysz ekran zakończenia konfiguracji z komunikatem gratulacyjnym. Zobaczysz również przycisk, który pozwoli ci skonfigurować 2FA dla twojego konta użytkownika. Należy kliknąć przycisk „Skonfiguruj 2FA teraz”.
Konfigurowanie uwierzytelniania dwuskładnikowego dla twojego konta użytkownika
Uruchomi się nowy kreator konfiguracji, który pomoże skonfigurować uwierzytelnianie dwuskładnikowe dla twojego konta użytkownika. Inni użytkownicy twojej witryny internetowej zostaną poproszeni o zrobienie tego samego.
Pierwszą rzeczą, którą musisz zdecydować, jest metoda 2FA, której chcesz użyć. Powinieneś zobaczyć opcję jednorazowego kodu za pośrednictwem aplikacji uwierzytelniającej. Możesz także zobaczyć inne opcje w zależności od wyborów dokonanych podczas kreatora konfiguracji.
Wystarczy wybrać opcję „Jednorazowy kod za pośrednictwem aplikacji 2FA”, a następnie kliknąć przycisk „Następny krok”.
Wtyczka wyświetli teraz kod QR i kod tekstowy.
Konieczne będzie zeskanowanie kodu QR za pomocą aplikacji uwierzytelniającej. Alternatywnie można ręcznie wpisać kod tekstowy w aplikacji.
Teraz musisz podnieść swoje urządzenie mobilne i otworzyć preferowaną aplikację uwierzytelniającą. Poniższe zrzuty ekranu przedstawiają Authy, ale inne aplikacje działają w podobny sposób.
Najpierw kliknij przycisk „+” lub „Dodaj konto” w twojej aplikacji uwierzytelniającej.
Następnie aplikacja poprosi o pozwolenie na dostęp do kamery w twoim telefonie.
Musisz zezwolić na to uprawnienie, a następnie dotknąć przycisku „Skanuj kod QR”, aby móc zeskanować kod QR wyświetlany na stronie ustawień wtyczki na twoim komputerze.
Gdy aplikacja rozpozna kod QR, automatycznie rozpocznie zapisywanie konta.
Następnie możesz edytować domyślne logo i pseudonim dla konta. Gdy będziesz gotowy, naciśnij przycisk „Zapisz”.
Aplikacja uwierzytelniająca zapisze teraz twoje konto w witrynie internetowej.
Następnie zacznie wyświetlać jednorazowe hasło. Będziesz musiał je wpisz w ustawieniach wtyczki na twoim komputerze.
Teraz musisz przełączyć się z powrotem na twój komputer.
W kreatorze konfiguracji wtyczki kliknij przycisk „Jestem gotowy”, aby kontynuować.
Wtyczka poprosi teraz o weryfikację twojego jednorazowego hasła.
Po prostu wpisz kod z twojej aplikacji mobilnej w polu „Kod uwierzytelniający”, zanim wygaśnie.
Następnie należy kliknąć przycisk „Zatwierdź i zapisz”, aby sfinalizować konfigurację.
Następnie pojawi się opcja wygenerowania i zapisania listy kodów zapasowych. Kody te można wykorzystać w przypadku braku dostępu do twojego telefonu.
Należy kliknąć przycisk „Generuj listę kodów zapasowych”.
Kody kopii zapasowych zostaną wygenerowane i wyświetlone.
Możesz pobrać te kody zapasowe do bezpiecznej lokalizacji na twoim komputerze, wydrukować je i umieścić gdzieś w bezpiecznym miejscu lub wysłać je do siebie e-mailem. Upewnij się, że trzymasz je w miejscu, do którego możesz się dostać, jeśli nie masz twojego telefonu.
Następnie można kliknąć przycisk „Jestem gotowy, zamknij kreatora”, aby zamknąć kreatora konfiguracji.
Korzystanie z uwierzytelniania dwuskładnikowego podczas logowania się
Następnym razem, gdy twój użytkownik będzie się logował, zobaczy powiadomienie, że musi skonfigurować uwierzytelnianie dwuskładnikowe, wraz z datą ostateczną na koniec okresu karencji.
Mogą kliknąć przycisk, aby skonfigurować 2FA teraz lub wybrać przypomnienie przy następnym logowaniu.
Kiedy klikną przycisk „Skonfiguruj 2FA teraz”, zostaną przeprowadzeni przez te same kroki, co podczas konfigurowania 2FA dla twojego konta użytkownika w poprzedniej sekcji.
Kiedy zalogują się po skonfigurowaniu uwierzytelniania dwuskładnikowego, zobaczą normalny ekran logowania WordPress. Jednak gdy wpiszą swoją nazwę użytkownika i hasło, zostanie wyświetlony drugi ekran z prośbą o podanie kodu z aplikacji uwierzytelniającej.
Będą musieli wpisz kod z aplikacji na swoim telefonie, zanim będą mogli się logować. Mogą też wpisz kod zapasowy, jeśli nie mają przy sobie telefonu.
Dzięki temu Twoja witryna internetowa jest lepiej zabezpieczona. Jeśli haker pozna nazwę użytkownika i hasło jednego z twoich użytkowników, nie będzie mógł się logować, chyba że będzie miał również dostęp do jego telefonu.
Wskazówka: Jeśli twoja witryna WordPress korzysta z niestandardowej strony formularza logowania, możesz również utworzyć własną stronę, na której klienci będą mogli zarządzać ustawieniami dwuskładnikowego uwierzytelniania bez konieczności uzyskiwania dostępu do obszaru administracyjnego WordPress.
Metoda 2: Dodanie uwierzytelniania dwuskładnikowego przy użyciu funkcji Two-Factor
Ta metoda jest mniej elastyczna, ponieważ nie pozwala na wymuszenie logowania dwuskładnikowego dla wszystkich użytkowników. Każdy użytkownik będzie musiał skonfigurować go samodzielnie i może go wyłączyć w swoim profilu. Jest to jednak szybka i łatwa metoda, jeśli chcesz skonfigurować 2FA tylko dla twojego konta.
Najpierw należy zainstalować i włączyć wtyczkę Two-Factor. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.
Po włączaniu należy przejść na stronę Użytkownicy ” Profil i przewinąć w dół do sekcji „Opcje dwuskładnikowe”.
W tym miejscu należy wybrać opcję logowania dwuskładnikowego. Wtyczka umożliwia korzystanie z poczty e-mail, aplikacji uwierzytelniającej i metody kluczy zabezpieczeń FIDO U2F.
Zalecamy skorzystanie z metody aplikacji uwierzytelniającej. Wystarczy zeskanować kod QR na ekranie za pomocą aplikacji uwierzytelniającej, takiej jak Google Authenticator, Authy lub LastPass Authenticator.
Po zeskanowaniu kodu QR aplikacja wyświetli kod weryfikacyjny, który należy wpisz w opcjach wtyczki i kliknij przycisk „Prześlij”.
Wtyczka ustawi teraz klucz prywatny. Możesz zresetować ten klucz w dowolnym momencie ze strony ustawień, aby ponownie zeskanować kod QR.
Nie zapomnij kliknąć przycisku „Aktualizuj profil” na dole strony, aby zapisać twoje ustawienia.
Teraz za każdym razem, gdy logujesz się do twojej witryny internetowej WordPress, zostaniesz poproszony o wpisz kodu uwierzytelniającego wygenerowanego przez aplikację na telefonie.
Najczęściej zadawane pytania dotyczące uwierzytelniania dwuskładnikowego (2FA) w WordPressie
Oto kilka odpowiedzi na najczęściej zadawane pytania dotyczące korzystania z logowania dwuetapowego w WordPress.
1. Jak logować się za pomocą 2FA, jeśli nie mam dostępu do telefonu?
Jeśli korzystasz z aplikacji uwierzytelniającej z opcją tworzenia kopii zapasowych w chmurze, takiej jak Authy, możesz zainstalować aplikację również na twoim laptopie.
Daje to dostęp do kodów uwierzytelniających nawet wtedy, gdy nie masz przy sobie twojego telefonu. Umożliwia również łatwe przywrócenie twoich kluczy prywatnych po zakupie nowego telefonu.
Wiele aplikacji uwierzytelniających umożliwia również generowanie kodów zapasowych. Kody te mogą być używane jako jednorazowe hasła, gdy nie masz dostępu do twojego telefonu.
2. Jak logować się bez kodów z aplikacji uwierzytelniającej?
Jeśli nie masz dostępu do twojego telefonu, laptopa lub kodów zapasowych, to możesz logować się tylko poprzez wyłączenie wtyczki 2FA.
Możesz zapoznać się z naszym przewodnikiem na temat wyłączania wszystkich wtyczek WordPress, gdy nie masz dostępu do obszaru administracyjnego.
Gdy wyłączysz wszystkie wtyczki, wyłączysz również wtyczkę uwierzytelniania dwuskładnikowego i będziesz mógł logować się do swojej witryny internetowej WordPress. Po zalogowaniu się można ponownie aktywować wtyczki i zresetować konfigurację uwierzytelniania dwuskładnikowego.
3. Czy muszę zabezpieczyć hasłem katalog administracyjny WordPress?
Bezpieczeństwo witryny internetowej działa najlepiej, gdy masz wiele warstw zabezpieczeń, aby chronić twoją witrynę, zaczynając od podstaw, takich jak korzystanie z HTTPS i bezpiecznego hostingu WordPress.
Weryfikacja dwuskładnikowa sprawia, że twój login WordPress jest zabezpieczony, ale możesz uczynić go jeszcze bardziej bezpiecznym, zabezpieczając hasłem katalog administracyjny WordPress. Oznacza to, że użytkownicy nie będą mogli uzyskać dostępu do twojej strony logowania, chyba że najpierw wpiszą nazwę użytkownika i hasło.
Przewodniki ekspertów dotyczące zabezpieczenia logowania do WordPressa
Teraz, gdy już wiesz, jak dodać weryfikację dwuskładnikową do WordPressa, możesz chcieć zapoznać się z innymi artykułami związanymi z lepszym zabezpieczeniem logowania do WordPressa.
- Jak i dlaczego należy ograniczyć próby logowania w WordPress?
- Jak dodać własny adres URL logowania w WordPress (krok po kroku)
- Jak dodać CAPTCHA w formularzu logowania i rejestracji WordPress?
- Jak dodać pytania dotyczące zabezpieczeń do ekranu logowania WordPress
- Jak wyłączyć podpowiedzi dotyczące logowania w komunikatach o błędach logowania WordPress?
- Jak zabezpieczyć hasłem twój katalog administratora WordPress (wp-admin)?
- Jak ograniczyć dostęp przez IP do twojego pliku wp-login.php w WordPress?
- Jak dodać logowanie bez hasła w WordPressie za pomocą Magicznych odnośników
- Jak zabezpieczyć twoją witrynę WordPress przed atakami Brute Force?
Mamy nadzieję, że ten artykuł pomógł ci dodać weryfikację 2-czynnikową do logowania w WordPress. Możesz również zapoznać się z naszym przewodnikiem na temat tego, jak uzyskać bezpłatny certyfikat SSL dla twojej witryny WordPress lub z naszą ekspercką listą najlepszych wtyczek do zabezpieczeń WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
Helpful article in securing website with 2FA, I don’t know how important 2FA is before and with this guide, I will be adding it to my site. But my question is, if I enforce 2FA to all my users, how often will they be asked to use it when logging in, is it just the first time or what ?
WPBeginner Support
They would be asked for 2fa each time they try to log in to your site.
Administrator
Felix
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Moinuddin Waheed
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support
There are different ways that sites are targeted but in the long run it is random.
Administrator
Jiří Vaněk
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
Administrator
Jiří Vaněk
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
Administrator
Skye
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
Administrator
MuZa
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Administrator
Lisa Smith
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Administrator
Harman
You can simply do it via wordpress.com.
Anna Walton
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
Administrator
Patrick Bartkus
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.