Według danych statystycznych jeszcze z tamtego roku, ponad 60 milionów stron internetowych używa WordPressa (ok. 19% z 10 milionów wszystkich topowych stron). Można zatem powiedzieć, że co piąta strona, którą przeglądasz w internecie, używa WordPressa. Taka popularność to duże pole manewru, dla hakerów i osób, których celem jest uzyskanie dostępu do panelu administracyjnego Twojej witryny.

Oczywiście istnieje wiele sposobów zabezpieczeń, od używania trudnych haseł, zmiany standardowej nazwy użytkownika, blokowania pliku wp-config, do używania wtyczek, np. Better WordPress Security. Temat bezpieczeństwa WordPressa jest bardzo rozległy, dlatego na pewno nie jestem w stanie go wyczerpać w tym artykule,  postaram się opisać wtyczkę, którą ostatnio miałem okazję przetestować, służy ona do dwuetapowej weryfikacji, podczas logowania do zaplecza WordPress.

Duo Two-Factor Authentication,  jest to plugin do WordPressa oraz aplikacja na smartfony z systemem Android, IOS, Blackerry lub Windows Phone służąca do dwuetapowego logowania.

Konfiguracja

Pierwszym krokiem jest założenie konta na https://signup.duosecurity.com/. Następnie musimy zintegrować naszą stronę z systemem, dzięki temu uzyskamy 2 klucze oraz adres serwera niezbędny do późniejszego łączenia pluginu z aplikacją z naszego smartfona. Pamiętajmy, żeby traktować te klucze jak hasła, tzn. nie zapisywać, nie udostępniać ich nikomu.

Nastepnym krokiem jest instalacja oraz aktywacja pluginu „Duo Two-Factor Authentication” w WordPressie. Później przechodzimy do ustawień pluginu, tutaj wklejamy uzyskane wcześniej klucze oraz adres serwera. Możemy wybrać, dla kogo plugin ma stosować ten rodzaj autoryzacji, czy tylko dla administratorów, redaktorów, autorów itd.

Kolejnym krokiem jest zapisanie /rejestracja swojego telefonu. W tym celu logujemy się do zaplecza WordPressa, używając standardowego loginu i hasła, nasępnie powinniśmy zobaczyć ten ekran:

Rozpoczynamy rejestrację, wybieramy urządzenie, podajemy kraj oraz numer telefonu, następnie instalujemy aplikację Duo Mobile (instrukcja zostanie wyświetlona na ekranie). Otwieramy aplikację, dodajemy stronę skanując „bar code” widoczny na ekranie monitora.

Teraz po zalogowaniu się do zaplecza, wybieramy drugą metodę autoryzacji (Duo-Push lub kod wysyłany SMSem). Po wybraniu Duo-Push, na ekranie naszego smartfona zobaczymy poniższy ekran: (z nazwą, logiem witryny, użytkownikiem, który próbuje się zalogować, adresem IP oraz lokalizacją). Możemy zatwierdzić lub odmówić autoryzacji, po kliknięciu „Approve” zostajemy automatycznie zalogowani do naszego zaplecza.

Jeśli znasz podobne wtyczki, lub inne ciekawe sposoby na zabezpieczenie swojej witryny na WordPressie, podziel się nimi w komentarzach.