✋🏻 👖 🛌 Pilih plugin untuk otentikasi dua faktor di Wordpress ⏯️ 👨‍🚒 👨🏿‍⚕️

Otentikasi dua faktor secara signifikan meningkatkan tingkat keamanan situs, tergantung pada kondisi yang tersisa (seperti pembaruan mesin plug-in tema yang tepat waktu, penerapan praktik pemrograman yang aman, dll.).

Menghadapi pertanyaan tentang menghubungkan Google Authenticator ke situs di Wordpress, saya melakukan sedikit riset tentang plugin yang ada dan hari ini saya ingin berbagi hasil dari pekerjaan ini dengan Anda.

Pertama-tama, kami menunjukkan kondisi awal:

Situs web di Wordpress versi 5.3.2 (yang paling relevan saat itu);
mesin ditempatkan dalam mode Multisite bersamaan dengan nginx;
Saya tidak ingin membayar uang (yah, seperti biasa).

Terlepas dari banyaknya plugin yang cocok untuk tugas tersebut, hanya empat dari mereka yang diuji, yang lulus tes untuk kompatibilitas dengan versi Wordpress yang diinstal:

Google Authenticator dari miniOrange ;
Otentikasi Dua Faktor dari David Nutbourne dan David Anderson ;
Dua-Faktor oleh Kontributor Plugin ;
Keamanan Login Wordfence oleh Wordfence .

Hasil Inspeksi dan Pengujian

Google Authenticator dari miniOrange

Halaman plugin: wordpress.org/plugins/miniorange-2-factor-authentication

Mengumumkan fitur versi gratis plugin untuk Google Authenticator dari miniOrange:

otentikasi dua faktor dari satu pengguna;
Dukungan untuk Google Authenticator, Authy, LastPass Authenticator, kode QR, notifikasi PUSH, Soft Token, dan pertanyaan;
mencegah serangan brute force dan memblokir alamat IP;
memantau acara masuk;
multibahasa.

Fitur utama dari versi berbayar dari plugin untuk Google Authenticator miniOrange:

otentikasi dua faktor dari beberapa pengguna (pembayaran dengan jumlah pengguna);
Dukungan untuk saluran OTP tambahan, misalnya, OTP over email, OTP over SMS (layanan SMS dibeli secara terpisah), konfirmasi email;
penyesuaian metode masuk untuk berbagai akun;
Menggunakan masalah keamanan untuk memulihkan akses
dukungan multisite;
mengarahkan pengguna setelah login berdasarkan peran pengguna;
Manajemen perangkat tepercaya

Setelah menginstal dan mengaktifkan plugin, sejumlah besar pengaturan dan fungsi ditawarkan kepada administrator situs. Di sini Anda dapat menemukan segalanya mulai dari WAF hingga cadangan basis data otomatis terjadwal. Sejujurnya, pemanen semacam ini selalu membuatku takut, dan latihan menunjukkan bahwa karena banyaknya fungsi, kedalaman implementasi mereka sering menyisakan banyak yang diinginkan.

Hasil tes:

pengaturan segera ditetapkan untuk seluruh jaringan dalam mode multisite - hanya dalam versi berbayar;
kemungkinan menggunakan otentikasi dua faktor dapat disediakan untuk satu atau beberapa peran - hanya dalam versi berbayar;
«» — ;
graceful — ;
— ;
X — ;
IP-, — ;
XMLRPC — ;
ReCaptcha — ;
ReCaptcha ( ) — ;
Google Authenticator — .

Two Factor Authentication

Halaman plugin: wordpress.org/plugins/two-factor-authentication

Fitur yang diumumkan dari versi gratis dari plugin Two Factor Authentication:

menerapkan otentikasi dua faktor ke peran spesifik situs (dapat diaktifkan untuk administrator, tetapi tidak diaktifkan untuk pelanggan);
kemampuan untuk menonaktifkan pengguna;
dukungan multisite.

Fitur utama dari versi berbayar dari plugin Two Factor Authentication:

kemampuan untuk memaksa otentikasi dua faktor agar diaktifkan beberapa saat setelah membuat akun (misalnya, untuk semua akun administrator yang lebih lama dari satu minggu);
pemilik situs dapat menentukan perangkat tepercaya yang untuknya permintaan otentikasi tambahan akan dieksekusi sekali setiap beberapa hari, dan tidak setiap kali Anda masuk ke sistem;
dukungan untuk formulir masuk pihak ketiga;
.

multisite — ;
— ;
«» — Premium ;
graceful — ;
— ;
30 — Premium ;
IP-, — ;
XMLRPC — ;
di jendela pengaturan, Anda dapat mengaktifkan Captcha dan mengkonfigurasi ambang untuk operasinya - tidak ada kemungkinan;
Captcha dapat dijalankan dalam mode uji coba (tanpa memblokir pengguna) - tidak ada kemungkinan;
saat menghubungkan Google Authenticator disarankan untuk mengunduh kode pemulihan - hanya dalam versi Premium.

Dua faktor

Halaman plugin: wordpress.org/plugins/two-factor Plugin

Two-Factor dari tim Plugin Contributors adalah plugin OpenSource dan menawarkan opsi berikut:

gunakan email untuk mengirim kode otentikasi dua faktor;
kode cadangan;
Metode dummy untuk tujuan pengujian.

Hasil tes:

Saya tidak menemukan pengaturan untuk jaringan atau situs, semua pengaturan yang ditemukan hanya terletak di profil pengguna - ini buruk;
- , — - ;
— email , , , email, , ;
, .

Wordfence Login Security

Halaman plugin: wordpress.org/plugins/wordfence-login-security

Wordfence Login Security adalah bagian yang terisolasi dari plugin Wordfence Security yang komprehensif .

Wordfence Login Security menyediakan fitur berikut secara gratis:

otentikasi dua faktor menggunakan Google Authenticator, Authy, 1Password, FreeOTP;
aktifkan OTP untuk peran situs apa pun;
kurangnya batasan dalam bentuk apa pun;
Tambahkan Google Recaptha v3 untuk halaman login dan registrasi
perlindungan terhadap bot;
perlindungan terhadap peretas kata sandi dan intersepsi kredensial dengan memblokir lebih dari kumpulan IP besar;
Perlindungan XMLRPC dengan otentikasi dua faktor atau menonaktifkan fungsi ini sama sekali.

Mengingat bahwa plugin ini adalah versi sederhana dari produk komersial yang kompleks, sangat mungkin bahwa itu akan memuaskan bukan kebutuhan yang paling sederhana.

Hasil tes:

pengaturan diatur segera untuk seluruh jaringan dalam mode multisite - ini sangat bagus;
kemungkinan menggunakan otentikasi dua faktor dapat disediakan untuk satu atau beberapa peran - ini sangat baik;
untuk grup Administrator, Anda dapat memaksa otentikasi dua faktor diaktifkan - ini bagus (jika Anda diizinkan melakukan ini untuk setiap grup pengguna, itu akan sangat baik);
ketika Anda memaksanya, Anda dapat mengatur periode anggun dan mengirim pemberitahuan - ini sangat bagus;
inklusi paksa untuk pengguna tertentu - tidak tersedia (setidaknya dalam versi gratis);
ada opsi untuk mengaktifkan kepercayaan pada perangkat selama 30 hari - ini bagus;
Anda dapat menentukan daftar putih alamat IP yang otentikasi dua faktor tidak akan digunakan - ini sangat bagus (ini akan memudahkan kita untuk melakukan pengujian keamanan otomatis);
otentikasi dua faktor untuk XMLRPC disertakan secara terpisah - ini bagus;
di jendela pengaturan, Anda dapat mengaktifkan ReCaptcha dan mengonfigurasi ambangnya - ini bagus;
ReCaptcha dapat dijalankan dalam mode uji coba (tanpa memblokir pengguna) - ini bagus;
saat menghubungkan Google Authenticator disarankan untuk mengunduh kode pemulihan - ini bagus.

Dalam mode multisite, plugin bekerja dengan benar dengan semua situs yang terhubung dan dengan semua pengguna (terdaftar di semua situs / di salah satu situs jaringan).

temuan

Untuk blog pribadi atau situs tunggal kecil, di mana akan ada satu atau lebih pengguna, plugin Dua-Faktor dari Kontributor Plugin mungkin cocok . Ini adalah solusi minimalis yang akan memungkinkan Anda untuk mendapatkan fungsi utama tanpa iklan dan permintaan yang mengganggu untuk membayar roti tertentu.

Untuk mode multisite dan untuk memenuhi keinginan untuk mendorong otentikasi, dan juga tidak membayar uang untuk itu, pilihan terbaik, menurut pendapat saya, adalah plugin Keamanan Login Wordfence.

Untuk mode multisite yang sama, jika Anda ingin mendorong otentikasi dan kesiapan untuk membayar fungsionalitas yang diperlukan, plugin Two Factor Authentication mungkin cocok.

MiniOrange tidak mengajukan rekomendasi apa pun mengenai Google Authenticator, karena itu tidak berhasil secara khusus fungsionalitas otentikasi dua faktor dan mengelola fungsi ini dalam versi gratis, dan saya selalu sangat berhati-hati tentang pemanen semacam ini.