Kako da zaštitite WordPress nalog za prijavu sa Two-Factor Authentication (2FA). Sigurnost je jedan od najvažnijih aspekata vođenja WordPress sajta. Mnogi naivno veruju da se hakeri neće opterećivati njihovim sajtovima, dok su u stvarnosti neovlašćeni pokušaji prijavljivanja česta pojava upravljanja serverom na Internetu? U ovom blogu ćemo vam pokazati kako da dodate još jedan zaštitni sloj u procesu prijavljivanja na WordPress: provera identiteta sa dva faktora (2FA).
Ovo je jedan od najzanačajnijih otkrića u oblasti sajber bezbednosti.
Provera identiteta sa dva faktora, ili 2FA obuhvata dva koraka prilikom prijave na sajt ili sistem:
- Vaše korisničko ime i lozinka
- Nasumično generisan, vremenski ograničen kod (kod ističe nakon određenog vremena) koji se zove jednokratka lozinka (OTP)
Postoje različiti načini kako možete da pristupite OTP:
- SMS
- Telefonski poziv
- Offline, preko mobilne aplikacije
Visokorizični sistemi, poput banaka i trgovačkih računa, koriste SMS za osetljive transakcije, mi predlažemo korišćenje offline načnina generisanja OTP. Korišćenje mobilne aplikacije je besplatno i ima optimalnu ravnotežu između visoke dostupnosti, troškova implementacije i jednostavnosti upotrebe.
Ciljevi:
Nakon što instalirate i aktivirate 2FA, WordPress će imati sigurniju proceduru prijave. Pored unošenja korisničkog imena i lozinke da biste se prijavili, moraćete da unesete i lozinku generisanu od strane mobilne aplikacije. To znači da čak i ako su vaši WordPress podaci ugroženi, hakeri neće moći da se prijave na vaš WordPress bez vašeg telefona.
Pokazaćemo vam i tehnike za povratak stanja u slučaju da izgubite vaš telefon.
Konfiguracija
Preduslovi, Potrebna je funkcionalna instalacija WordPress-a. Ovaj tutorijal se može prilagoditi na postojeće WordPress instalacije ali je posebno testiran na: Svežoj instalaciji WordPress-a sa Nginx, Debian 8, i servisi LEMP – više o tome Debian 8 instalcija LEMP servisa – WPAurora.
Potreban je pristup mobilnom uređaju sa iOS ili Android-om, gde možete da instalirate aplikaciju FreeOTP.
Korak 1 – Instalirajte Google Authenticator Plugin
Za početak instalirajte Google Authenticator Plugin na WordPress sajt.
Najlakši način da instalirate plugin je preko WordPress dashboard – kontolne table. Prijavite se i pratite uputstva:
- U Dashboard, idite na Plugins > Add New
- U polje Search kucajte Google Authenticator
- Učitaće nekoliko plugin-ova sa sličnim imenom
- Instalirajte plugin Google Authenticator od Henika Schacka
- Kada se instalacija završi, označite Activate Plugin link.
- (Opciono) Instalirajte Plugin ručno
Korak 2 – Preuzmite FreeOTP aplikaciju
Preuzmite i instalirajte FreeOTP aplikaciju na vašem mobilnom uređaju.
Free OTP je otvoreni softver koji podržava 2FA za sisteme sa jednokratnom lozinkom. Drugim rečima, to je alternativa za Google Authenticator.
Koristite ovu aplikaciju za generisanje jednokratne lozinke za prijavljivanje na WordPress sajt.
FreeOTP je pod pokroviteljstvom RedHat-a i ima aplikacije za Android i iOS. Ovde možete da preuzmete aplikacije i vidite njihove zvanične projekte:
Korak 3: Aktivirajte Authenticator Plugin na vašem profilu
Zatim aktivirajte WordPeess plugin za admin WordPress profil i podesiti ga da radi sa FreeOTP aplikacijom.
U WordPress Dashboard idite na vaš profil Users>Your Profile. Pronađite pod-odeljak pod imenom Google Authenticator Settings.
Pogledajmo opcije konfiguracije plugin-a:
Active: Označite ovo polje da biste aktivirali plugin.
Relaxed: Povećava rok od 10 sekundi do 4 minuta za ukucavanje OTP. Označite ovo polje ako imate problema sa ukucavanjem OTP u predviđenom roku.
Description: Unesite ime (poželjno bi bilo ime vašeg bloga). Ovo će biti prikazano u FreeOTP aplikaciji na mobilnom uređaju.
Show/Hide QR Code: Kliknite na ovo dugme da bi se pokazao QR kod.
Povezivanje FreeOTP aplikacije:
Pokrenite FreeOTP aplikaciju na telefonu ili tabletu.
Kliknite na mali QR kod u aplikaciji. Držite telefon da skenira QR kod sa WordPress-a koji bi trebalo da se pojavi na ekranu računara.
Trebalo bi odmah da vidite stavku u FreeOTP označenu kao WordPress sa tekstom koji ste ukucali u polje Description. To znači da ste uspešno povezali WordPress sajt sa FreeOTP aplikacijom.
Sačuvajte promene: Na kraju postupka uvek morate sačuvati promene koje ste napravili. U WordPress-u dođite do dna stranice i kliknite na dugme za ažuriranje profila Update Profile.
Korak 4 – Test prijavljivanje
Potrebno je proveriti da li je 2FA omogućen.
Odjavite vaš WordPress sajt i pokušajte ponovo da se prijavite. Trebalo bi da imate ista polja za prijavljivanje ali sa dodatnim poljem za unošenje Google Authenticator koda.
Pokrenite FreeOTP aplikaciju na mobilnom uređaju. Kliknite na WordPress dugme za generisanje nove jednokratne lozinke.
Ukucajte dobijenu vrednost u polje za unošenje podataka. Kada to uradite, trebalo bi da možete da se prijavite na vaš WordPress.
Omogućite 2FA za druge korisnike
Možete (i trebalo bi) da omogućite 2FA za ostale korisnike koji imaju pristup vašoj WordPress instalaciji. Proverite da li imaju FreeOTP aplikaciju instaliranu na mobilnim uređajima.
Povratak/Oporavak naloga
Ako ste izgubili mobilni telefon, verovatno će vaš WordPress biti zaključan za vas. To je veliki nedostatak sprovođenja 2FA. Srećom, postoji rešenje i za ovu situaciju.
Treba samo da isključite Google Authenticator plugin.
Pomocu ftp naloga locirajte Vas plugin direktorijum.
/var/www/html/wp-content/plugins/
Preimenujte google-authenticator folder
Ovo će da deaktivira plugin jer WordPress neće moći da pronađe direktorijum plugin-a.
Zatim se prijavite na svoj nalog kao i obično. Ovaj put vam neće tražiti dodatni znak, samo vašu lozinku.
Kada dobijte pristup WordPress administratorskom Dashboard-u, i povratite stari uređaj, ili nabavite novi sa instaliranom FreeOTP aplikacijom, samo pokrenite ponovo plugin.
Ako koristite stari uređaj, to je sve što je potrebno. Možete da ponovite korak 4 da biste testirali prijavljivanje. Ili možete da idete na WP Dashboard > Plugins> Instaled Plugins i ponovo aktivirate Google Authenticator plugin.
Idite na vaš profil pod Users>Your Profile i pronađite Google Authenticator pod-odeljak podešavanja.
Ako koristite novi uređaj, kliknite na Create new secret. Novi QR kod se generiše a stari se poništava. Skenirate novi QR kod na vašem uređaju. Ovo je isti postupak iz koraka 3 gde se aktivira 2FA i povezuje sa FreeOTP aplikacijom.
Alternativa je da onemogućite 2FA dok ne pronađete svoj uređaj. Nakon što ste označili odgovarajuću opciju sačuvajte sve promene klikom na dugme za ažuriranje profila Update Profile.
Zaključak
Integracija 2FA je odličan korak ka poboljšanju sigurnosti vašeg WordPress sajta. Sada, čak i ako haker dođe do podataka naloga, neće moći da se prijavi bez OTP koda. Takođe, postoji način kako da sprečite katastrofu ako izgubite svoj telefon.
Znate li još neke sigurnosne korake koje WordPress administratori mogu preuzeti? Podelite sa nama u komentarima.