Get best of the week

选择一个插件在Wordpress中进行两因素验证

图片

在其他条件下(例如,主题引擎,插件的及时更新,安全编程实践的应用等),两因素身份验证可以显着提高站点安全级别。

面对将Google Authenticator连接到Wordpress上的网站的问题,我对现有插件进行了一些研究,今天我想与您分享这项工作的结果。

首先,我们表示初始条件:

  • WordPress版本5.3.2上的网站(当时最相关);
  • 与nginx一起以多站点模式部署引擎;
  • 我不想付钱(嗯,一如既往)。

尽管有大量适合该任务的插件,但仅测试了其中四个,它们通过了与Wordpress安装版本的兼容性测试:


检验结果


miniOrange的Google Authenticator


图片

插件页面:wordpress.org/plugins/miniorange-2-factor-authentication

宣布miniOrange的Google Authenticator插件免费版本的功能:

  • 一个用户的两因素身份验证;
  • 支持Google Authenticator,Authy,LastPass Authenticator,QR码,PUSH通知,软令牌和问题;
  • 防止暴力攻击并阻止IP地址;
  • 监视登录事件;
  • 多种语言。

Google Authenticator miniOrange的付费版本的插件的主要功能:

  • 多用户的两因素身份验证(按用户数量付费);
  • 支持其他OTP通道,例如,通过电子邮件的OTP,通过SMS的OTP(SMS服务是单独购买的),电子邮件确认;
  • 定制各种帐户的登录方法;
  • 使用安全问题恢复访问
  • 多站点支持;
  • 登录后根据用户角色重定向用户;
  • 可信设备管理

安装并激活插件后,将为站点管理员提供大量设置和功能。在这里,您可以找到从WAF到自动计划的数据库备份的所有内容。老实说,这种收割机总是令我感到恐惧,实践表明,由于功能丰富,其实施的深度往往令人望而却步。

试验结果:

  • 立即以多站点模式为整个网络设置设置-仅在付费版本中;
  • 可以为一个或多个角色提供使用双重身份验证的可能性-仅在付费版本中;
  • «» — ;
  • graceful — ;
  • — ;
  • X — ;
  • IP-, — ;
  • XMLRPC — ;
  • ReCaptcha — ;
  • ReCaptcha ( ) — ;
  • Google Authenticator — .

Two Factor Authentication


图片

插件页面:wordpress.org/plugins/two-factor-authentication

宣布了免费版本的Two Factor Authentication插件的功能:

  • 对站点的特定角色应用两因素身份验证(可以为管理员启用,但不能为订阅者启用);
  • 禁用用户的能力;
  • 多站点支持。

付费版本的“双重身份验证”插件的主要功能:

  • 在创建帐户后的某个时间(例如,对于一周以上的所有管理员帐户)强制启用双重身份验证的功能;
  • 网站所有者可以指定受信任的设备,每隔几天(而不是您每次登录系统时)将对其执行附加身份验证请求;
  • 支持第三方登录表格;
  • .

:

  • multisite — ;
  • — ;
  • «» — Premium ;
  • graceful — ;
  • — ;
  • 30 — Premium ;
  • IP-, — ;
  • XMLRPC — ;
  • 在设置窗口中,您可以启用验证码并配置其操作阈值-不可能;
  • 验证码可以在测试模式下运行(不会阻塞用户)-不可能。
  • 在连接Google Authenticator时,建议下载恢复代码-仅限于高级版本。

二因素


图片

插件页面:wordpress.org/plugins/two-factor

插件贡献者小组的双向插件是一个OpenSource插件,并提供以下选项:

  • 使用电子邮件发送两因素身份验证码;
  • 备用码;
  • 用于测试目的的虚拟方法。

试验结果:

  • 我找不到网络或站点的设置,找到的所有设置仅位于用户配置文件中-这很糟糕;
  • - , — - ;
  • — email , , , email, , ;
  • , .

Wordfence Login Security


图片

插件页面:wordpress.org/plugins/wordfence-login-security

Wordfence登录安全性是全面的Wordfence Security插件的独立部分

Wordfence登录安全性免费提供以下功能:

  • 使用Google Authenticator,Authy,1Password,FreeOTP进行两步验证;
  • 为任何站点角色启用OTP;
  • 缺乏任何形式的限制;
  • 为登录和注册页面添加Google Recaptha v3
  • 保护免受机器人攻击;
  • 通过阻止大型IP池来防止密码破解和凭据拦截;
  • 具有两因素身份验证的XMLRPC保护或完全禁用此功能。

鉴于此插件是复杂商业产品的简化版本,因此很可能不能满足最简单的需求。

试验结果:

  • 立即在多站点模式下为整个网络设置设置-这非常好;
  • 可以为一个或多个角色提供使用双重身份验证的可能性-这非常好;
  • 对于Administrators组,您可以强制启用双重身份验证-这很好(如果允许每个用户组这样做,那将非常好);
  • 强制使用时,您可以设置宽限期并发送通知-这非常好;
  • 特定用户的强制收录-不可用(至少在免费版本中);
  • 可以选择启用设备30天的信任-这很好;
  • 您可以指定将不使用两因素身份验证的IP地址白名单-这非常好(这将使我们更容易进行自动化安全测试);
  • XMLRPC的两因素身份验证是单独包含的-很好;
  • 在设置窗口中,您可以启用ReCaptcha并配置其阈值-很好;
  • ReCaptcha可以在测试模式下运行(不阻止用户)-很好;
  • 连接Google Authenticator时,建议下载恢复代码-很好。

在多站点模式下,该插件可与所有连接的站点以及所有用户(在所有站点上/在一个网络站点上注册)正确使用。

发现


对于将有一个或多个用户的个人博客或小型单一站点,Plugin Contributors的Two-Factor 插件可能非常适合。这是一种简约的解决方案,可让您获得主要功能,而无需广告和烦人的购买特定面包的请求。

对于多站点模式并满足推送身份验证的需求,同时又不为此花钱,我认为最好的选择是Wordfence登录安全性插件。

对于相同的多站点模式,如果要推动身份验证并准备为所需的功能付费,则“双因素身份验证”插件可能非常适合。

MiniOrange并未提出有关Google Authenticator的任何建议,因为它没有具体设计出两因素身份验证功能,也没有在免费版本中管理此功能,而且我对这种收割机始终非常谨慎。

More articles:


All Articles