codename

Zabezpečení WordPressu pomocí opisování kódu z telefonu při přihlašování

Publikováno
30. 3. 2021
Autor
Dan

Jedním ze způsobů jak mohou automatizovaní boti získat přístup do našich WordPressů a udělat z nich, co si jen přejí: rozesílače spamu, hosting pro pornografii nebo šíření malware atd., je prostě tak dlouho hádat hesla, než je odhadnou.

Způsobů, kterými je možné se chránit je celá řada a jedním je tzv. OTP - one time password - jednorázové heslo. Jde o to, že k svému přihlašovacímu jménu a heslu opíšete ještě krátký kód z telefonu, který ale platí jen chvíli. Telefon zkrátka ukazuje různé kódy a vy opsáním toho správného v ten správný čas dokazujete, že znáte nejen své heslo a jméno, ale že dokonce máte přístup k telefonu skutečného uživatele.

Aplikace v telefonu

Jednorázová hesla přes mobilní aplikace nebo sms už dneska můžete používat pro většinu velkých služeb na internetu: google účet, Dropbox, Microsoft, Facebook, Twitter… a ani WordPress není výjimkou, stáčí jen jeden z mnoha pluginů.

Já používám už několik let plugin Two Factor Authentication.

Plugin v katalogu

Stručný postup

Plugin nainstalujeme a aktivujeme, nastavení není třeba měnit.

Nainstalujeme si na telefon nějakou mobilní aplikaci pro generování OTP kódů, je jich mnoho a všechny jsou postavené na stejném standardu: Google Authenticator (android, mac), Microsoft Authenticator (android, mac), Authy (android, mac)…

Ikony nejrůznějších aplikací

V menu v sekci "Two Factor Auth", si naskenujem QR kód do mobilní aplikace, ověříme, že je vygenerované číslo shodné s tím, co ukazuje mobilní aplikace a uložíme.

QR kód
Aktivace

Při dalším přihlašování do WordPressu se po zadání správného hesla WordPress zeptá ještě na OTP.

Zadání kódu po přihlášení.

Plugin nabízí placenou verzi a jen v ní umožňuje po uživatelích vyžadovat použítí kódů, ale aspoň mě nikdy neotravoval, abych si prémiovou verzi koupil, jak to některé pluginy dělávají.

Jak vypnout OTP, když jsem třeba ztratil telefon?

Připojte se na váš WordPress přes FTP nebo podobné, pak ve složce wp-content/plugins najděte složku pluginu two-factor-authentication a tu přejmenujte třeba na two-factor-authentication_rozbite. Tak se plugin deaktivuje. Pak se můžete přihlásit bez opisování kódu, složku přejmenovat zpět, plugin aktivovat a naskenovat si QR kód do nového telefonu nebo si zabezpečenější přihlašování dočasně deaktivovat.

Drobné výhrady k pluginu

  • Bylo by fajn, kdyby možnost vynutit používání pluginu u uživatelů byla ve verzi zadarmo.
  • Obvyklejší je, nechat při aktivaci OTP uživatele opsat jeho první kód a aktivovat jen, pokud je opsaný správně, plugin nechává kontrolu na uživateli.
  • Uživatelské rozhraní pluginu by sneslo méně textu a celkově tak nějak pohladit.