Приветствую Вас, уважаемый читатель! Сегодня я Вам расскажу, как можно надежно защитить свой сайт на движке WordPress от взлома. Такую защиту можно осуществить с помощью плагина «Google Authenticator». Теперь подобрать пароль от админки с помощью специальных скриптов будет невозможно. Для входа на сайт понадобиться вводить не только логин и пароль, но и код «Google Authenticator».
Статьи по теме:
Как это работает? Устанавливаем на сайт плагин «Google Authenticator For WordPress» и специальное приложение на свой мобильник, или планшет. Плагин WP и приложение в мобильном устройстве работают синхронно, и для того, чтобы получить доступ к сайту, нужно пройти двойную аутентификацию. Нужен не только пароль от сайта, но и код «Google Authenticator».
Такую же защиту предлагает Google для своих аккаунтов. Если Вы с этим способом еще не знакомы, тогда читайте по этой ссылке.
Похожий способ защиты применяется в некоторых платежных системах, например Webmoney. Вход в аккаунт и оплату можно производить через мобильное приложение E_NUM. Такая защита будет и на Вашем сайте.
Но как быть в том случает, если мобильное устройство по какой-то причине не доступно, а в админку войти нужно? На этот случай у Вас будет код восстановления, с помощью которого можно войти на сайт.
Такую защиту на свой блог я установил не так давно, но вполне ей доволен. Даже, если у злоумышленника будет логин и пароль от Вашего сайта, то зайти он все равно не сможет. Нужен еще код от приложения «Google Authenticator», который меняется каждые 30 секунд.
Раньше у меня было установлено две защиты:
- Плагин «Login Security Solution»
- Вход на сайт по IP
Теперь я использую также два способа защиты, но без плагина «Login Security Solution».
- Вход на сайт по IP
- Плагин Google Authenticator for WordPress
Сайты и блоги взламывают каждый день, и многие веб-мастера об этом даже не догадываются. Когда взломали и мой блог, то я тоже не сразу узнал об этом. Хорошо, что не удалили статьи, и не добавили кучу внешних ссылок. Пришлось бы потом, или ссылки вычищать, или восстанавливать сайт из резервной копии.
Установить приложение на мобильное устройство, Вы можете по ссылкам ниже:
Android
IOS
Плагин Google Authenticator For WordPress: установка и настройка
Установить плагин можно прямо из панели администратора: «Плагины» -> «Добавить Новый», и в поисковое окошко надо вписать название «Google Authenticator for WordPress» без кавычек.
Этот плагин должен быть первым в списке, его и устанавливайте. Там будут и другие, похожие плагины, но меня вполне устраивает этот, и он работает с новой версией WP. Устанавливайте его, активируйте, и переходите «Настройки» -> «Authenticator».
Здесь надо сделать некоторые настройки плагина:
| Activate Plugin | Yes | (активировать плагин) |
| Force Use | Yes | (подключить категории пользователей). Установка двухуровневой защиты, и подключение всех зарегистрированных пользователей на Вашем сайт, в том числе Администраторов |
| Force Roles | All | Подключить для всех категорий пользователей |
| Site Name | dvpress.ru | В поле пишем название сайта для мобильного приложения, оно будет отображаться в самом приложении, хотя его и можно будет изменить |
| Max Attempts | 3 | Максимальное число попыток для ввода секретного кода с приложения. Я установил 3, в принципе этого достаточно |
| Authorized Clock Desynchronization | 10 | Это ограничение по времени, если ввели 3 раза код неправильно. Только через это время можно повторить продолжить попытку ввести код |
На этом все. Нажимаем «Save», чтобы сохранить изменения, и переходим «Пользователи» -> «Ваш профиль».
В самом низу страницы, Вы увидите раздел «WP Google Authenticator Settings». Жмите кнопку «Generate Key». У Вас появится два кода: секретный код, и код восстановления, вот пример:
| Secret (секретный) | R2Y4XOTQRUNMJXKU |
| Recovery Code (восстановление) | bd2361251ac0832716f52dc9 |
Секретный код нужен для мобильного приложения, а код восстановления пригодится, если Вам понадобиться войти на сайт без мобильного устройства.
Настройка мобильного приложения Google Authenticator
Итак, Вы установили мобильное приложение на свое устройство. Теперь его надо настроить.
Запускаете приложение. Вы увидите два раздела:
- Добавление аккаунта
- Доступные аккаунты Google
Нам нужен первый раздел, чтобы активировать аккаунт. Можно воспользоваться двумя способами активации:
- Сканировать штрихкод
- Ввести ключ
При выборе первого варианта, можно просто отсканировать QR код, и аккаунт будет активирован. Отсканировать QR код можно только в том случае, если у Вас установлен на мобильном устройстве сканер штрихкодов. Установить сканер, Вам предложит само приложение, если у Вас он не установлен.
Перейдите в панели администратора «Пользователи» -> «Ваш профиль», и в самом низу, где Вы генерировали секретный код, нажмите кнопку «Get QE Code». Появится штрих код, который и нужно сканировать для активации аккаунта.
При выборе второго варианта, нужно ввести секретный код вручную и аккаунт будет активирован.
Проверка двойной аутентификации при входе на сайт
Раньше, чтобы войти в панель администратора, нужно было вводить логин и пароль. Но теперь появилось третье поле, куда нужно вводить код из приложения.
Этот код меняется каждые 30 секунд, и если Вы видите, что шкала заканчивает свой круг, тогда дождитесь, когда начнется новый круг ожидания. В этом случае, Вы сможете ввести код на своем сайте не торопясь.
Как войти на сайт без приложения Google Authenticator
Для того чтобы войти на сайт без приложения, нужно ввести логин, пароль, а в третье поле код восстановления. После этого придется заново генерировать новый секретный код, и код восстановления. Также в мобильном приложении придется заново настраивать аккаунт и вводить новый секретный код.
Ну вот и хорошо, что все обошлось.
Юра спасибо вам за помощь я установил антивирус и проверял комп нашел троянку несколько удалил всех и пере установил win все уже стали на своих местах работает все
Не за что, Дилшод. Обращайся
Дилшод, я создал новую запись на твоем сайте, вставил видео, добавил жирный шрифт, и все хорошо работает без ошибок я также пробовал делать небольшое изменение в твоей записи, но также не обнаружил каких-то проблем. Еще я на всякий случай, проверил твой блог на вирусы — вирусов нет. Возможно, что у тебя проблемы с компьютером. Попробуй проверить компьютер на вирусы
спасибо большой Юра но до сехрпор так. Щас я попробую переустанови windows
измени какой нибудь моего записа и увидешь в чем проблема текст пропадает
я не мог создать отделенный пользователь для тебя вот по этому дам тебе главный админ видишь даже не могу добавит нового пользователя. потом добавь какой нибудь запись и сделай его жирным или теги… добавь на панел виджетов что нибудь или удали что нибудь от туда
Я могу помочь, но мне надо доступ к панели администратора
сайт работает но я не чего не могу добавит или изменит все кнопки в панел админ не активируются нажимаю добавит новый запись или новы страница кроме заголовка не чего не могу меня поля где должен написать что нибудь не доступен виджеты не могу добавит все замарозился
Приветствую, Дилшод! Я только что заходил на твой сайт, и все вроде работает хорошо. Проблемы еще есть с сайтом, или уже самостоятельно справился?
Здравствуйте Юра помогите пожалуйста я добавлял записи на сайте все было нормально сегодня хотел добавит новый запись в друг вся комп замарозился перезагрузил комп и после этого зашел на сайт хотел добавит новый запись не получается хотел изменит другой запись тоже не получается в панел админ вся кнопка перестал работать помоги за ранее спасибо
В панели администратора можно скачать плагин «Google Authenticator» по следующему пути6
ПЛАГИНЫ -> ДОБАВИТЬ НОВЫЙ, и в поисковое окошко надо ввести название этого плагина, а затем нажать ENTER. Плагин будет найден, и его можно установить
где можно скачать этот плагин
Анна, этот плагин снимает все махинации. Можно злоумышленнику сказать даже пароль от админки, и не бояться, что он проникнет на сайт. У меня сломался телефон недавно, так пришлось отключить плагин. И вообще — это дело индивидуальное. Как говорится: хозяин — барин :). Защиту блога, что Вы описали — тоже надежная.
Мне, кажется, очень уж заморочено получается…
Я в базе данных изменила имя пользователя, добавила знаки препинания,заглавные и прописные буквы и все на латинице. И это в комплекте с плагином «iThemes Security»
Попыток взлома было очень много, по причине того, что редко захожу на сайт и редко публикую статьи. Однако, все эти попытки успешно проваливались.
Приветствую, Игорь! В том-то и дело, что не нужно каждый раз подтверждать вход на сайт. Можно просто не выходить с панели администратора, и тогда вообще подтверждать и вводить логин и пароль не нужно. С главной страницы сайта, можно легко перейти в админку кликом мышки.
Игорь, а вот по второму случаю, я и не знаю, что ответить :). Не могу даже представить, как такое может быть. Если бы сам лично видел, то может быть разобрался )
Привет Юра. Слышится, что крутой плагин залиты, но вот то, что каждый раз придеться подверждать вход с мобильного, это не очень убобно. Одно дело подтверждение через Вебмани (но это так редко бывает) а в админку я иногда захожу по 5-6 раз в день. Кроме того, у меня браузер хранит пароль и мне нужно нажать только вжод и все, а сейчас….ух….
В любом случае, я считаю этот плагин достойным. Возможно, что установлю.
Юра, а как может быть такое? Я вчера заходил в админку на мой тестовый блог и при входе у меня как раз были три опции, один из них Google Authenticator
Я тогда еще не знал что это, перезагрузил страницу и опция пропала. Откуда у меня вылезло? Что это, полтергейст? 🙂