📔 🥜 🙀 Wählen Sie ein Plugin für die Zwei-Faktor-Authentifizierung in Wordpress 👱🏿 🧑🏽 🎅🏽

Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit der Site unter anderen Bedingungen erheblich (z. B. rechtzeitige Aktualisierung der Theme-Engine, Plug-Ins, Anwendung sicherer Programmierpraktiken usw.).

Angesichts der Frage, Google Authenticator mit einer Website in Wordpress zu verbinden, habe ich ein wenig nach vorhandenen Plugins gesucht und möchte heute die Ergebnisse dieser Arbeit mit Ihnen teilen.

Zunächst bezeichnen wir die Anfangsbedingungen:

Website auf Wordpress Version 5.3.2 (die zu diesem Zeitpunkt relevanteste);
Die Engine wird im Multisite-Modus in Verbindung mit nginx bereitgestellt.
Ich möchte kein Geld bezahlen (wie immer).

Trotz der Fülle an Plugins, die für diese Aufgabe geeignet sind, wurden nur vier davon getestet, die den Test auf Kompatibilität mit der installierten Version von Wordpress bestanden haben:

Google Authenticator von miniOrange ;
Zwei-Faktor-Authentifizierung von David Nutbourne und David Anderson ;
Zwei-Faktor- Plugin-Mitwirkende ;
Wordfence Login Security von Wordfence .

Inspektions- und Testergebnisse

Google Authenticator von miniOrange

Plugin-Seite: wordpress.org/plugins/miniorange-2-factor-authentication

Angekündigte Funktionen der kostenlosen Version des Plugins für Google Authenticator von miniOrange:

Zwei-Faktor-Authentifizierung eines Benutzers;
Unterstützung für Google Authenticator, Authy, LastPass Authenticator, QR-Codes, PUSH-Benachrichtigungen, Soft Token und Fragen;
Verhinderung von Brute-Force-Angriffen und Blockierung von IP-Adressen;
Überwachen von Anmeldeereignissen;
Mehrsprachigkeit.

Hauptmerkmale kostenpflichtiger Versionen des Plugins für Google Authenticator miniOrange:

Zwei-Faktor-Authentifizierung mehrerer Benutzer (Zahlung nach Anzahl der Benutzer);
Unterstützung für zusätzliche OTP-Kanäle, z. B. OTP über E-Mail, OTP über SMS (SMS-Dienste werden separat erworben), E-Mail-Bestätigung;
Anpassung der Anmeldemethoden für verschiedene Konten;
Verwenden von Sicherheitsproblemen zum Wiederherstellen des Zugriffs
Unterstützung für mehrere Standorte;
Weiterleiten von Benutzern nach der Anmeldung basierend auf der Rolle des Benutzers;
Vertrauenswürdige Geräteverwaltung

Nach der Installation und Aktivierung des Plugins werden dem Site-Administrator unglaublich viele Einstellungen und Funktionen angeboten. Hier finden Sie alles von WAF bis hin zu automatisch geplanten Datenbanksicherungen. Ehrlich gesagt, solche Erntemaschinen machen mir immer Angst, und die Praxis zeigt, dass aufgrund der Fülle an Funktionen die Tiefe ihrer Implementierung oft zu wünschen übrig lässt.

Testergebnisse:

Die Einstellungen werden sofort für das gesamte Netzwerk im Multisite-Modus festgelegt - nur in kostenpflichtigen Versionen.
Die Möglichkeit der Verwendung der Zwei-Faktor-Authentifizierung kann für eine oder mehrere Rollen bereitgestellt werden - nur in kostenpflichtigen Versionen.
«» — ;
graceful — ;
— ;
X — ;
IP-, — ;
XMLRPC — ;
ReCaptcha — ;
ReCaptcha ( ) — ;
Google Authenticator — .

Two Factor Authentication

Plugin-Seite: wordpress.org/plugins/two-factor-authentication

Angekündigte Funktionen der kostenlosen Version des Two Factor Authentication-Plugins:

Anwenden der Zwei-Faktor-Authentifizierung auf eine bestimmte Rolle der Site (kann für Administratoren aktiviert werden, für Abonnenten jedoch nicht);
die Fähigkeit, den Benutzer zu deaktivieren;
Unterstützung für mehrere Standorte.

Hauptmerkmale der kostenpflichtigen Version des Two Factor Authentication-Plugins:

die Möglichkeit, die Aktivierung der Zwei-Faktor-Authentifizierung einige Zeit nach dem Erstellen eines Kontos zu erzwingen (z. B. für alle Administratorkonten, die älter als eine Woche sind);
Websitebesitzer können vertrauenswürdige Geräte angeben, für die alle paar Tage eine zusätzliche Authentifizierungsanforderung ausgeführt wird, und nicht jedes Mal, wenn Sie sich beim System anmelden.
Unterstützung für Anmeldeformulare von Drittanbietern;
.

multisite — ;
— ;
«» — Premium ;
graceful — ;
— ;
30 — Premium ;
IP-, — ;
XMLRPC — ;
Im Einstellungsfenster können Sie Captcha aktivieren und den Schwellenwert für den Betrieb konfigurieren. Es besteht keine Möglichkeit.
Captcha kann im Testmodus ausgeführt werden (ohne Benutzer zu blockieren) - es gibt keine Möglichkeit;
Wenn Sie Google Authenticator verbinden, wird empfohlen, Wiederherstellungscodes herunterzuladen - nur in der Premium-Version.

Zwei-Faktor

Plugin-Seite: wordpress.org/plugins/two-factor Das

Two-Factor-Plugin des Plugin Contributors-Teams ist ein OpenSource-Plugin und bietet die folgenden Optionen:

Verwenden Sie E-Mail, um Zwei-Faktor-Authentifizierungscodes zu senden.
Sicherungscodes;
Dummy-Methode zu Testzwecken.

Testergebnisse:

Ich habe die Einstellungen für das Netzwerk oder die Site nicht gefunden. Alle gefundenen Einstellungen befanden sich nur im Benutzerprofil. Dies ist schlecht.
- , — - ;
— email , , , email, , ;
, .

Wordfence Login Security

Plugin-Seite: wordpress.org/plugins/wordfence-login-security

Wordfence Login Security ist ein isolierter Bestandteil des umfassenden Wordfence Security- Plugins .

Wordfence Login Security bietet die folgenden kostenlosen Funktionen:

Zwei-Faktor-Authentifizierung mit Google Authenticator, Authy, 1Password, FreeOTP;
Aktivieren Sie OTP für jede Site-Rolle.
fehlende Einschränkungen jeglicher Art;
Fügen Sie Google Recaptha v3 für Anmelde- und Registrierungsseiten hinzu
Schutz vor Bots;
Schutz vor Passwort-Cracking und Abfangen von Anmeldeinformationen durch Blockieren großer IP-Pools;
XMLRPC-Schutz mit Zwei-Faktor-Authentifizierung oder Deaktivierung dieser Funktionalität.

Da es sich bei diesem Plugin um eine vereinfachte Version eines komplexen kommerziellen Produkts handelt, ist es durchaus möglich, dass es nicht die einfachsten Anforderungen erfüllt.

Testergebnisse:

Die Einstellungen werden sofort für das gesamte Netzwerk im Multisite-Modus festgelegt - dies ist sehr gut.
Die Möglichkeit der Verwendung der Zwei-Faktor-Authentifizierung kann für eine oder mehrere Rollen bereitgestellt werden - dies ist sehr gut.
Für die Gruppe "Administratoren" können Sie die Aktivierung der Zwei-Faktor-Authentifizierung erzwingen. Dies ist gut (wenn Sie dies für jede Benutzergruppe tun könnten, wäre dies sehr gut).
Wenn Sie es erzwingen, können Sie die Kulanzfrist festlegen und Benachrichtigungen senden - dies ist sehr gut.
erzwungene Aufnahme für einen bestimmten Benutzer - nicht verfügbar (zumindest in der kostenlosen Version);
Es besteht die Möglichkeit, das Vertrauen in das Gerät 30 Tage lang zu aktivieren. Dies ist gut.
Sie können eine weiße Liste von IP-Adressen angeben, für die keine Zwei-Faktor-Authentifizierung verwendet wird. Dies ist sehr gut (dies erleichtert uns die Durchführung automatisierter Sicherheitstests).
Die Zwei-Faktor-Authentifizierung für XMLRPC ist separat enthalten - das ist gut;
Im Einstellungsfenster können Sie ReCaptcha aktivieren und den Schwellenwert konfigurieren. Dies ist gut.
ReCaptcha kann im Testmodus ausgeführt werden (ohne Benutzer zu blockieren) - das ist gut;
Wenn Sie Google Authenticator verbinden, wird empfohlen, Wiederherstellungscodes herunterzuladen - dies ist gut.

Im Multisite-Modus funktionierte das Plugin korrekt mit allen verbundenen Sites und mit allen Benutzern (registriert auf allen Sites / auf einer der Netzwerk-Sites).

Ergebnisse

Für ein persönliches Blog oder eine kleine einzelne Site, auf der sich ein oder mehrere Benutzer befinden, ist das Zwei-Faktor- Plugin von Plugin Contributors möglicherweise gut geeignet . Dies ist eine minimalistische Lösung, mit der Sie die Hauptfunktionalität ohne Werbung und lästige Zahlungsaufforderungen für ein bestimmtes Brötchen nutzen können.

Für den Multisite-Modus und um den Wunsch zu befriedigen, die Authentifizierung voranzutreiben und auch kein Geld dafür zu bezahlen, ist meiner Meinung nach das Wordfence Login Security-Plugin die beste Wahl.

Für denselben Multisite-Modus ist das Two Factor Authentication-Plugin möglicherweise geeignet, wenn Sie die Authentifizierung und die Zahlungsbereitschaft für die erforderliche Funktionalität verbessern möchten.

MiniOrange gibt keine Empfehlungen zu Google Authenticator ab, da die Zwei-Faktor-Authentifizierungsfunktionalität und die Verwaltung dieser Funktionalität in der kostenlosen Version nicht speziell herausgearbeitet wurden. Bei dieser Art von Harvester bin ich immer sehr vorsichtig.