Obsah článku
Chcete razantně zvýšit zabezpečení svého WordPressu? Tenhle jednoduchý plugin zvedne bezpečnost vašeho webu o několik řádů.
Dvoufaktorové přihlašování znáte asi hlavně z banky, ti pokročilejší z vás možná i z e-mailu, cloudových služeb a podobně. Jako každá geniální věc, i tento princip je jednoduchý – pro přihlášení do administrace webu nestačí znát jméno a heslo, ale potřebujete ještě další údaj, který vám je doručen na jiné zařízení, nejčastěji do mobilního telefonu. Pokud vám úročník ukradne nebo uhádne vaše přihlašovací údaje, je dost nepravděpodobné, že vám zároveň sebere i mobil. A bez vašeho mobilu jsou mu přihlašovací údaje k ničemu. Teoreticky si přihlašovací jméno a heslo můžete napsat na web a stejně se do něj nikdo nedostane. Ale nedoporučuji to 🙂
WordPress a dvoufaktorové přihlašování
Dvoufaktorové přihlašování jsem už nakousl v článku 3 jednoduché kroky k bezpečnějšímu WordPressu, kde jsem zmínil i podle mě skvělý plugin Clef. Ten ale bohužel na začátku června skončil, takže bylo třeba najít náhradu.
Finalisté: miniOrange a Two-Factor
Chvilku jsem zkoušel plugin od miniOrange, který má na můj vkus dost složité nastavení, ale dělá co má a lze ho doporučit. Nicméně vítězem mého soukromého testování a hledání je plugin Two-factor. Za jeho hlavní výhodu považuji jeho jednoduchost a zdrojové kódy na GitHubu. Ne, že bych je studoval, ale považuji to za jistou záruku toho, že kód dělá co má a nejsou v něm nějací kostlivci.
Samotné použití a nastavení Two-Factor je snadné. Po instalaci nehledejte nastavení pluginu, ale jděte v nastavení WordPressu rovnou do sekce Uživatelé – Two-Factor totiž zapínáte pro konkrétní uživatele v jejich nastavení. Já osobně doporučuji jako primární použít metodu s použitím aplikace Google Authenticator (stažení pro Android a iOS) a jako záložní zaslání kódu na nějaký e-mail, viz obrázek nastavení.
Pozor: Když jsem měl v nastavení WordPressu název webu s diakritikou, generoval se špatný QR kód pro propojení s Google Authenticatorem. Stačilo ale web přejmenovat, kód vygenerovat a pak vrátit původní název s diakritikou.
UPDATE 5.12.2019
Dvoufaktorové přihlašování je již součástí bezpečnostního pluginu Wordfence, je tedy zbytečné mít na něj samostatný plugin. A mít WordPress bez Wordfence je nezodpovědnost 🙂
Nezapomeňte na https
Myslíte, že dvoufaktorové přihlašování nepotřebujete? Že máte silné heslo a nikdo vám ho nemůže ukrást? A máte na webu https? Pokud ne, je vám jakkoliv silné heslo k ničemu. Čtěte Proč a jak přejít na https.