Two-factor, plugin pro dvoufaktorové přihlašování do WordPressu

autor: | 30. 6. 2017 | Blog | 0 komentářů

Chcete razantně zvýšit zabezpečení svého WordPressu? Tenhle jednoduchý plugin zvedne bezpečnost vašeho webu o několik řádů.

Dvoufaktorové přihlašování znáte asi hlavně z banky, ti pokročilejší z vás možná i z e-mailu, cloudových služeb a podobně. Jako každá geniální věc, i tento princip je jednoduchý – pro přihlášení do administrace webu nestačí znát jméno a heslo, ale potřebujete ještě další údaj, který vám je doručen na jiné zařízení, nejčastěji do mobilního telefonu. Pokud vám úročník ukradne nebo uhádne vaše přihlašovací údaje, je dost nepravděpodobné, že vám zároveň sebere i mobil. A bez vašeho mobilu jsou mu přihlašovací údaje k ničemu. Teoreticky si přihlašovací jméno a heslo můžete napsat na web a stejně se do něj nikdo nedostane. Ale nedoporučuji to 🙂

WordPress a dvoufaktorové přihlašování

Dvoufaktorové přihlašování jsem už nakousl v článku 3 jednoduché kroky k bezpečnějšímu WordPressu, kde jsem zmínil i podle mě skvělý plugin Clef. Ten ale bohužel na začátku června skončil, takže bylo třeba najít náhradu.

Finalisté: miniOrange a Two-Factor

Chvilku jsem zkoušel plugin od miniOrange, který má na můj vkus dost složité nastavení, ale dělá co má a lze ho doporučit. Nicméně vítězem mého soukromého testování a hledání je plugin Two-factor. Za jeho hlavní výhodu považuji jeho jednoduchost a zdrojové kódy na GitHubu. Ne, že bych je studoval, ale považuji to za jistou záruku toho, že kód dělá co má a nejsou v něm nějací kostlivci.

Samotné použití a nastavení Two-Factor je snadné. Po instalaci nehledejte nastavení pluginu, ale jděte v nastavení WordPressu rovnou do sekce Uživatelé – Two-Factor totiž zapínáte pro konkrétní uživatele v jejich nastavení.  Já osobně doporučuji jako primární použít metodu s použitím aplikace Google Authenticator (stažení pro Android a iOS) a jako záložní zaslání kódu na nějaký e-mail, viz obrázek nastavení.

TIP: Láká vás Bitcoin, ale netušíte, která bije? Mrkněte na kurz pro začátečníky, kde se naučíte úplně zdarma vše důležité a pochopíte základy. Kurz Jak začít s Bitcoinem.

  • Nastavení Two-Factor

  • Po jménu a heslu musíte zadat kód

  • Kód vám ukáže aplikace Google Authenticator

Pozor: Když jsem měl v nastavení WordPressu název webu s diakritikou, generoval se špatný QR kód pro propojení s Google Authenticatorem. Stačilo ale web přejmenovat, kód vygenerovat a pak vrátit původní název s diakritikou.

UPDATE 5.12.2019

Dvoufaktorové přihlašování je již součástí bezpečnostního pluginu Wordfence, je tedy zbytečné mít na něj samostatný plugin. A mít WordPress bez Wordfence je nezodpovědnost 🙂

Nezapomeňte na https

Myslíte, že dvoufaktorové přihlašování nepotřebujete? Že máte silné heslo a nikdo vám ho nemůže ukrást? A máte na webu https? Pokud ne, je vám jakkoliv silné heslo k ničemu. Čtěte Proč a jak přejít na https.

Související články:

Vložit komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..