Get best of the week

Escolha um plugin para autenticação de dois fatores no Wordpress

imagem

A autenticação de dois fatores aumenta significativamente o nível de segurança do site, sujeito a outras condições (como atualização oportuna do mecanismo do tema, plug-ins, aplicação de práticas de programação seguras etc.).

Diante da questão de conectar o Google Authenticator a um site no Wordpress, fiz uma pequena pesquisa sobre plug-ins existentes e hoje quero compartilhar os resultados deste trabalho com você.

Primeiro, denotamos as condições iniciais:

  • Site no Wordpress versão 5.3.2 (o mais relevante na época);
  • o mecanismo é implantado no modo Multisite em conjunto com o nginx;
  • Não quero pagar (bem, como sempre).

Apesar da abundância de plugins adequados para a tarefa, apenas quatro deles foram testados, o que passou no teste de compatibilidade com a versão instalada do Wordpress:


Resultados de Inspeção e Teste


Google Authenticator da miniOrange


imagem

Página de plug-in: wordpress.org/plugins/miniorange-2-factor-authentication

Recursos anunciados da versão gratuita do plug-in para o Google Authenticator do miniOrange:

  • autenticação de dois fatores de um usuário;
  • Suporte para Google Authenticator, Authy, LastPass Authenticator, códigos QR, notificações PUSH, Soft Token e perguntas;
  • prevenção de ataques de força bruta e bloqueio de endereços IP;
  • monitoramento de eventos de login;
  • multilinguismo.

Principais recursos das versões pagas do plug-in para o Google Authenticator miniOrange:

  • autenticação de dois fatores de vários usuários (pagamento pelo número de usuários);
  • Suporte para canais OTP adicionais, por exemplo, OTP por email, OTP por SMS (os serviços SMS são adquiridos separadamente), confirmação por email;
  • personalização de métodos de login para várias contas;
  • Usando problemas de segurança para restaurar o acesso
  • suporte multisite;
  • redirecionar usuários após o logon com base na função do usuário;
  • Gerenciamento de dispositivo confiável

Depois de instalar e ativar o plug-in, uma quantidade incrível de configurações e funções é oferecida ao administrador do site. Aqui você encontra tudo, desde o WAF até os backups agendados automáticos do banco de dados. Honestamente, colheitadeiras desse tipo sempre me assustam, e a prática mostra que, devido à abundância de funções, a profundidade de sua implementação geralmente deixa muito a desejar.

Resultado dos testes:

  • as configurações são definidas imediatamente para toda a rede no modo multissite - somente nas versões pagas;
  • a possibilidade de usar a autenticação de dois fatores pode ser fornecida para uma ou várias funções - somente em versões pagas;
  • «» — ;
  • graceful — ;
  • — ;
  • X — ;
  • IP-, — ;
  • XMLRPC — ;
  • ReCaptcha — ;
  • ReCaptcha ( ) — ;
  • Google Authenticator — .

Two Factor Authentication


imagem

Página de plug-in: wordpress.org/plugins/two-factor-authentication

Recursos anunciados da versão gratuita do plugin de autenticação de dois fatores:

  • aplicar autenticação de dois fatores a uma função específica do site (pode ser ativada para administradores, mas não para assinantes);
  • a capacidade de desativar o usuário;
  • suporte multisite.

Principais recursos da versão paga do plug-in de autenticação de dois fatores:

  • a capacidade de forçar a autenticação de dois fatores a ser ativada algum tempo após a criação de uma conta (por exemplo, para todas as contas de administrador com mais de uma semana);
  • os proprietários do site podem especificar dispositivos confiáveis ​​para os quais uma solicitação de autenticação adicional será executada uma vez a cada poucos dias, e não sempre que você fizer login no sistema;
  • suporte para formulários de login de terceiros;
  • .

:

  • multisite — ;
  • — ;
  • «» — Premium ;
  • graceful — ;
  • — ;
  • 30 — Premium ;
  • IP-, — ;
  • XMLRPC — ;
  • na janela de configurações, você pode ativar o Captcha e configurar o limite para sua operação - não há possibilidade;
  • O Captcha pode ser executado no modo de teste (sem bloquear usuários) - não há possibilidade;
  • ao conectar o Google Authenticator, é proposto o download de códigos de recuperação - apenas na versão Premium.

Dois fatores


imagem

Página de plug-in: wordpress.org/plugins/two-factor

O plug-in de dois fatores da equipe de contribuidores de plug-ins é um plug-in de código aberto e oferece as seguintes opções:

  • use email para enviar códigos de autenticação de dois fatores;
  • códigos de backup;
  • Método fictício para fins de teste.

Resultado dos testes:

  • Não encontrei as configurações da rede ou do site, todas as configurações encontradas foram localizadas apenas no perfil do usuário - isso é ruim;
  • - , — - ;
  • — email , , , email, , ;
  • , .

Wordfence Login Security


imagem

Página de plug-in: wordpress.org/plugins/wordfence-login-security O

Wordfence Login Security é uma parte isolada do abrangente plugin Wordfence Security .

O Wordfence Login Security fornece os seguintes recursos gratuitamente:

  • autenticação de dois fatores usando o Google Authenticator, Authy, 1Password, FreeOTP;
  • habilitar OTP para qualquer função de site;
  • falta de restrições de qualquer tipo;
  • Adicione o Google Recaptha v3 para páginas de login e registro
  • proteção contra robôs;
  • proteção contra quebra de senha e interceptação de credenciais, bloqueando grandes pools de IP;
  • Proteção XMLRPC com autenticação de dois fatores ou desativação dessa funcionalidade.

Como esse plug-in é uma versão simplificada de um produto comercial complexo, é bem possível que ele não atenda às necessidades mais simples.

Resultado dos testes:

  • as configurações são definidas imediatamente para toda a rede no modo multisite - isso é muito bom;
  • a possibilidade de usar autenticação de dois fatores pode ser fornecida a uma ou várias funções - isso é muito bom;
  • para o grupo Administradores, você pode forçar a autenticação de dois fatores a ser ativada - isso é bom (se você pudesse fazer isso para cada grupo de usuários, seria muito bom);
  • quando você o força, pode definir o período normal e enviar notificações - isso é muito bom;
  • inclusão forçada para um usuário específico - não disponível (pelo menos na versão gratuita);
  • existe uma opção para habilitar a confiança no dispositivo por 30 dias - isso é bom;
  • você pode especificar uma lista branca de endereços IP para os quais a autenticação de dois fatores não será usada - isso é muito bom (facilitará a realização de testes de segurança automatizados);
  • a autenticação de dois fatores para XMLRPC é incluída separadamente - isso é bom;
  • na janela de configurações, você pode ativar o ReCaptcha e configurar seu limite - isso é bom;
  • O ReCaptcha pode ser executado no modo de teste (sem bloquear os usuários) - isso é bom;
  • ao conectar o Google Authenticator, é proposto o download de códigos de recuperação - isso é bom.

No modo multisite, o plug-in funcionou corretamente com todos os sites conectados e com todos os usuários (registrados em todos os sites / em um dos sites da rede).

achados


Para um blog pessoal ou um pequeno site único, no qual haverá um ou mais usuários, o plug - in de dois fatores dos contribuidores de plug - in pode ser adequado . Esta é uma solução minimalista que permitirá que você obtenha a funcionalidade principal sem publicidade e solicitações irritantes para pagar por um bolo específico.

Para o modo multisite e para satisfazer os desejos de enviar autenticação e também não pagar por isso, a melhor opção, na minha opinião, é o plug-in Wordfence Login Security.

Para o mesmo modo multissite, se você deseja enviar autenticação e prontidão para pagar pela funcionalidade necessária, o plug-in de autenticação de dois fatores pode ser adequado.

O MiniOrange não levanta recomendações sobre o Google Authenticator, porque não elaborou especificamente a funcionalidade de autenticação de dois fatores e o gerenciamento dessa funcionalidade na versão gratuita, e eu sempre sou muito cuidadoso com esse tipo de harvester.

More articles:


All Articles