Что такое двухфакторная аутентификация WordPress?

Вступление

Двухфакторная аутентификация WordPress (или двухэтапная аутентификация WordPress) добавляет важный дополнительный уровень защиты в зону входа и администрирования вашего сайта WordPress, требуя 1) пароль и 2) дополнительный код с учетом времени для входа в систему.

Как работает двухфакторная аутентификация WordPress

После двухфакторной аутентификации с помощью плагина пользователи будут видеть второй экран после успешного ввода пароля для входа в систему WordPress.

На этом экране им понадобится секретный аутентификация, отправленный на вторичное устройство, такое как смартфон или другая повторная авторизация.

Более подробно, понять двухфакторную аутентификацию, помогут описания двух плагинов с таким функционалом.

Плагин «Двухфакторная Аутентификация»

ru.wordpress.org/plugins/two-factor-authentication/

Для работы плагина потребуется PHP5.3+, а также включение модуля PHPmcrypt.

Данный плагин создает режим TFA–Two Factor Authentication и пользователи, с ролями указанными в настройке плагина, должны будут запрашивать, и вводить одноразовый пароль при желании войти на сайт.

Настройки плагина позволяют управлять двухфакторной аутентификацией не только для различных ролей пользователей (например, включена для администраторов, но выключена для подписчика), но и отдельно включена,/выключена для каждого зарегистрированного пользователя.

В настройках плагина есть возможность включать TFA через необходимый промежуток времени после регистрации. Правда, подобные тонкие настройки доступны только в премиум версии.

Стоит отметить, что плагин работает для интернет магазина и поддерживает форму авторизации плагина WooCommerce.

Также важно, что пользователь не будет видеть, что на сайте работает TFA пока не зарегистрируется.

Плагин работает с WP Multisite и кроме этого, переведен на русский язык.

Плагин WordPress iThemes Security

ru.wordpress.org/plugins/better-wp-security/

В платной версии плагина безопасности iThemes Security Pro есть функционал двухфакторной аутентификации. После включения этой функции, пользователи должны будут вводить не только пароль авторизации, но и дополнительный код, который плагин отправит ему на второе устройство (смартфон). Код действует определенное время.

Как реализуется TFA (2FA) WordPress

После двухфакторной аутентификации с помощью плагина iThemes Security Pro пользователи будут видеть второй экран после успешного ввода пароля для входа в систему WordPress.

На этом экране им понадобится секретный код аутентификация, отправленный на вторичное устройство, смартфон.

На WordPress можно организовать TFA с помощью таких приложений двухфакторной аутентификации как:

Google Authenticator;
Любое TFA приложение, поддерживающее стандарт TOTP (поставщик одноразовых паролей по времени). Например, наиболее популярные генераторы токенов:

Android:

Authy,
Google Authenticator,
FreeOTP Authenticator,
Toopher.

iOS:

Authy,
Google Authenticator ,
FreeOTP Authenticator,
Toopher.

Выводы

Есть ли еще плагины двухфакторная аутентификация WordPress? Несомненно, есть. Например:

UNLOQ Two Factor Authentication (2FA)
Google Authenticator – Two Factor Authentication (2FA)
Keyy Two Factor Authentication (like Clef
2FAS — Two Factor Authentication

И это только несколько плагинов, проверенных авторами на версии WordPress 4.9.

По-моему, вопрос не в выборе плагина TFA (2FA), а в его необходимости. Нужно быть очень уверенным в своем сайте, чтобы использовать плагины двухфакторная аутентификация. Хотя, на случай спам атак регистраторов они могут помочь каждому.