Kako dodati potvrdu u dva koraka (two-factor authentication) u WordPress?
Što je Google Autentifikator?
Google Autentifikator koristi TOTP sigurnosne tokene od RFC6238 u Googleovim mobilnim aplikacijama, koji se ponekad nazivaju “potvrda u dva koraka”. Autentifikator nudi jednokratnu lozinku od šest znamenki koju korisnik mora upisati uz svoje korisničko ime i lozinku kako bi se prijavio na Googleove usluge ili druge stranice. Autentifikator također može generirati kodove za aplikacije trećih osoba, poput password managera ili usluga hostinga datoteka. Neke verzije softwarea su otvorenog koda.
Zašto ga koristiti?
WordPress može biti hakiran. To je nesretan događaj, ali događa se. Najkorištenija metoda koju hakeri koriste je brute-force napad na ekranu za prijavu u WordPress (isprobavanje svih mogućih kombinacija korisničkog imena i lozinke). Što više sigurnosnih slojeva dodate toj stranici, to bolje. Tu Google Autentifikator može pomoći.
Koristeći ga možete odvratiti i obeshrabriti hakere koji će morati pogoditi vaše korisničko ime, lozinku i 6-znamenkasti kod koji se mijenja svake minute!
To ne znači da će vaša WordPress stranica postati neprobojna nakon instalacije ove usluge budući da se dosta hackova događa u bazi podataka, ali trebalo bi znatno pomoći.
INSTALACIJA:
KORAK 1: Instalacija je identična kao i bilo koja instalacija dodataka za WordPress. Jednostavno se prijavite i u izborniku odaberite Dodaci (Plugins) > Dodaj novi (Add New) te potražite dodatak “Google Authenticator”
KORAK 2: Aktivacija i podešavanje
Nakon što je dodatak aktiviran, potrebno je povezati vaš Google Autentifikator uređaj s vašom WordPress stranicom. To možete učiniti na stranici vašeg profila odabirom izbornika Korisnici (Users) > Vaš profil (Your Profile).
Tamo ćete vidjeti tipku za prikaz QR koda zajedno sa vašim “Tajnim ključem”.
KORAK 3: Nakon toga potrebno je preuzeti i instalirati aplikaciju na vaš smartphone uređaj / tablet, koja je dostupna na sljedećim poveznicama:
Authy ili Google Autentifikator ili neku drugu TOTP kompatibilnu aplikaciju.
Kada prvi puta pokrenete Authy ili Google Autentifikator aplikaciju, ona će vas provesti kroz čitav proces dodavanja stranica pomoću skeniranja QR koda.
Nakon što je stranica dodana, morat ćete koristiti 6-znamenkasti kod na tom uređaju svaki put kada se želite prijaviti.
Što ako izgubim svoj mobilni uređaj?
Najjednostavniji način za onemogućavanje potvrde u dva koraka je da izbrišete dodatak putem FTP-a ili u cPanelu. Potražite wp-content/plugins mapu i izbrišite google-authenticator mapu. Time ćete u potpunosti onemogućiti dodatak i nećete morati brinuti o dobavljanju 6-znamenkastog koda prilikom sljedeće prijave.
Nije ni potrebno dodatno napominjati da sigurnost vaše web stranice u prvoj mjeri ovisi o snazi vaše lozinke za prijavu u administraciju stranice te hosting računa, tako da se morate pobrinuti da imate izuzetno snažnu lozinku i po mogućnosti aktiviranu prijavu u dva koraka (2FA). Preporuka je da ju lozinku generirate pomoću http://strongpasswordgenerator.com i čuvate je na sigurnom mjestu.