🔳 💴 🍾 Elija un complemento para la autenticación de dos factores en Wordpress 🤟🏿 📋 🎍

La autenticación de dos factores aumenta significativamente el nivel de seguridad del sitio, sujeto a otras condiciones (como la actualización oportuna del motor de temas, los complementos, la aplicación de prácticas de programación seguras, etc.).

Ante la cuestión de conectar Google Authenticator a un sitio en Wordpress, investigué un poco sobre los complementos existentes y hoy quiero compartir con usted los resultados de este trabajo.

En primer lugar, denotamos las condiciones iniciales:

Sitio web en Wordpress versión 5.3.2 (la más relevante en ese momento);
el motor se implementa en modo multisitio junto con nginx;
No quiero pagar dinero (bueno, como siempre).

A pesar de la abundancia de complementos que son adecuados para la tarea, solo se probaron cuatro de ellos, que pasaron la prueba de compatibilidad con la versión instalada de Wordpress:

Autenticador de Google de miniOrange ;
Autenticación de dos factores de David Nutbourne y David Anderson ;
Dos factores por contribuidores de complementos ;
Seguridad de inicio de sesión de Wordfence por Wordfence .

Resultados de inspección y pruebas

Autenticador de Google de miniOrange

Página del complemento: wordpress.org/plugins/miniorange-2-factor-authentication

Características anunciadas de la versión gratuita del complemento para Google Authenticator de miniOrange:

autenticación de dos factores de un usuario;
Soporte para Google Authenticator, Authy, LastPass Authenticator, códigos QR, notificaciones PUSH, Soft Token y preguntas;
prevenir ataques de fuerza bruta y bloquear direcciones IP;
monitoreo de eventos de inicio de sesión;
multilingüismo

Características clave de las versiones pagas del complemento para Google Authenticator miniOrange:

autenticación de dos factores de múltiples usuarios (pago por el número de usuarios);
Soporte para canales OTP adicionales, por ejemplo, OTP por correo electrónico, OTP por SMS (los servicios de SMS se compran por separado), confirmación por correo electrónico;
personalización de métodos de inicio de sesión para varias cuentas;
Uso de problemas de seguridad para restaurar el acceso
soporte multisitio;
redirigir a los usuarios después de iniciar sesión en función del rol del usuario;
Administración confiable de dispositivos

Después de instalar y activar el complemento, se ofrece una increíble cantidad de configuraciones y funciones al administrador del sitio. Aquí puede encontrar todo, desde WAF hasta copias de seguridad automáticas de bases de datos programadas. Honestamente, los cosechadores de este tipo siempre me asustan, y la práctica muestra que debido a la abundancia de funciones, la profundidad de su implementación a menudo deja mucho que desear.

Resultados de la prueba:

la configuración se establece inmediatamente para toda la red en modo multisitio, solo en versiones pagas;
la posibilidad de usar la autenticación de dos factores se puede proporcionar a uno o varios roles, solo en versiones pagas;
«» — ;
graceful — ;
— ;
X — ;
IP-, — ;
XMLRPC — ;
ReCaptcha — ;
ReCaptcha ( ) — ;
Google Authenticator — .

Two Factor Authentication

Página del complemento: wordpress.org/plugins/two-factor-authentication

Características anunciadas de la versión gratuita del complemento de autenticación de dos factores:

aplicar la autenticación de dos factores a un rol específico del sitio (se puede habilitar para administradores, pero no para suscriptores);
la capacidad de deshabilitar al usuario;
Soporte multisitio.

Características clave de la versión paga del complemento de autenticación de dos factores:

la capacidad de forzar la autenticación de dos factores para que se habilite algún tiempo después de crear una cuenta (por ejemplo, para todas las cuentas de administrador anteriores a una semana);
los propietarios del sitio pueden especificar dispositivos confiables para los cuales se ejecutará una solicitud de autenticación adicional una vez cada pocos días, y no cada vez que inicie sesión en el sistema;
soporte para formularios de inicio de sesión de terceros;
.

multisite — ;
— ;
«» — Premium ;
graceful — ;
— ;
30 — Premium ;
IP-, — ;
XMLRPC — ;
en la ventana de configuración, puede habilitar Captcha y configurar el umbral para su funcionamiento; no hay posibilidad;
Captcha se puede ejecutar en modo de prueba (sin bloquear usuarios): no hay posibilidad;
al conectar Google Authenticator, se propone descargar códigos de recuperación, solo en la versión Premium.

Dos factores

Página de complementos: wordpress.org/plugins/two-factor

El complemento de dos factores del equipo de Colaboradores de complementos es un complemento de OpenSource y ofrece las siguientes opciones:

use el correo electrónico para enviar códigos de autenticación de dos factores;
códigos de respaldo;
Método ficticio para fines de prueba.

Resultados de la prueba:

No encontré la configuración de la red o el sitio, todas las configuraciones encontradas se encontraban solo en el perfil del usuario; esto es malo;
- , — - ;
— email , , , email, , ;
, .

Wordfence Login Security

Página del complemento: wordpress.org/plugins/wordfence-login-security

Wordfence Login Security es una parte aislada del completo complemento de Wordfence Security .

Wordfence Login Security proporciona las siguientes funciones de forma gratuita:

autenticación de dos factores usando Google Authenticator, Authy, 1Password, FreeOTP;
habilitar OTP para cualquier rol del sitio;
falta de restricciones de cualquier tipo;
Agregue Google Recaptha v3 para las páginas de inicio de sesión y registro
protección contra bots;
protección contra el descifrado de contraseñas y la interceptación de credenciales mediante el bloqueo de grandes grupos de IP;
Protección XMLRPC con autenticación de dos factores o deshabilitar esta funcionalidad.

Dado que este complemento es una versión simplificada de un producto comercial complejo, es muy posible que no satisfaga las necesidades más simples.

Resultados de la prueba:

la configuración se establece inmediatamente para toda la red en modo multisitio; esto es muy bueno;
La posibilidad de utilizar la autenticación de dos factores se puede proporcionar a uno o varios roles; esto es muy bueno;
para el grupo Administradores, puede forzar la habilitación de la autenticación de dos factores: esto es bueno (si se le permitiera hacer esto para cada grupo de usuarios, sería muy bueno);
cuando lo fuerza, puede establecer el período de gracia y enviar notificaciones; esto es muy bueno;
inclusión forzada para un usuario específico: no disponible (al menos en la versión gratuita);
hay una opción para habilitar la confianza en el dispositivo durante 30 días; esto es bueno;
puede especificar una lista blanca de direcciones IP para las que no se utilizará la autenticación de dos factores; esto es muy bueno (nos facilitará realizar pruebas de seguridad automatizadas);
la autenticación de dos factores para XMLRPC se incluye por separado; esto es bueno;
en la ventana de configuración, puede habilitar ReCaptcha y configurar su umbral; esto es bueno;
ReCaptcha se puede ejecutar en modo de prueba (sin bloquear usuarios), esto es bueno;
al conectar Google Authenticator, se propone descargar códigos de recuperación; esto es bueno.

En modo multisitio, el complemento funcionaba correctamente con todos los sitios conectados y con todos los usuarios (registrados en todos los sitios / en uno de los sitios de la red).

recomendaciones

Para un blog personal o un sitio único pequeño, en el que habrá uno o más usuarios, el complemento Two-Factor de Plugin Contributors puede ser adecuado . Esta es una solución minimalista que le permitirá obtener la funcionalidad principal sin publicidad y solicitudes molestas para pagar un bollo en particular.

Para el modo multisitio y para satisfacer los deseos de impulsar la autenticación, y no pagar dinero por ello, la mejor opción, en mi opinión, es el complemento de seguridad de inicio de sesión de Wordfence.

Para el mismo modo multisitio, si desea impulsar la autenticación y la disponibilidad para pagar la funcionalidad requerida, el complemento de Autenticación de dos factores puede ser adecuado.

MiniOrange no plantea ninguna recomendación con respecto a Google Authenticator, porque no funcionó específicamente la funcionalidad de autenticación de dos factores y la gestión de esta funcionalidad en la versión gratuita, y siempre tengo mucho cuidado con este tipo de cosechadora.