Biztosan történt már veled vagy az ismerettségi körödből valakivel olyan, hogy feltörték egy online fiókját. Lehetett ez akár Facebook vagy Gmail fiók, vagy akár egy WordPresses weboldal, a gonosz hackerek bejutottak az oldalra. Rosszabb esetben még kárt is okoztak.

Az okok között lehetett az is, hogy a felhasználónév / jelszó párosod máshol is megadtad, és feltörtek egy másik oldalt, ahonnan megszerezték az adataidat. Ezért nem tárol manapság egy jó fejlesztő semmilyen jelszót az adatbázisban. De az is lehet, hogy szimplán csak kitalálta a jelszavad. Még az is lehet, hogy erős jelszót használtál, de a támadó végig próbált több millió lehetséges jelszót egy program segítségével és egyszer csak eltalálta. Többek között ezért is használok kétszintű hitelesítést ahol csak lehet.

Mi az a kétszintű hitelesítés?

A két szintű hitelesítés során két különböző eszköz segítségével kell igazolnod, hogy te valójában az vagy akinek mondod magad. Jellemzően ez úgy szokott kinézni, hogy a gépeden beírod a felhasználóneved és jelszavad, majd a telefonodra kapsz egy kódot amit megadsz a weboldalon és csak ezután tudsz bejelentkezni. Ha a támadó még meg is szerzi a belépési adataidat, akkor sem fogja megkapni az SMS-ben neked kiküldött kódot, és így nem fog tudni belépni a fiókoddal. Jól hangzik ugye? 🙂

Akkor nézzük hogyan tudunk ilyen védelmet csinálni a WordPress weboldalunkra!

Először is fel kell tenned a Google Authenticator nevű bővítményt.

Miután telepítetted és bekapcsoltad a bővítményt menj a felhasználók menübe, és amelyik felhasználónál szeretnéd beállítani arra kattintsz rá.  A felhasználói beállítások között lesz egy ilyen képernyő:

Természetesen a képen szereplő kód már nem él a weboldalamhoz, már újat generáltam hozzá 🙂

 

Itt be kell pipálnod a Google Authenticator Settings résznél az active mezőt és rá kell kattintanod a “Create new secret” gombra. Ez meg is fog jeleníteni neked egy QR kódot. Ezt a kódot a Google Authenticator nevű alkalmazással (ios, android) fogjuk beolvasni. Telepítsd az alkalmazásd a telefonodra majd nyisd meg az alkalmazást. Az alkalmazás jobb felső sarkában lesz egy plusz jel. Erre bökve két opciót kínál fel, ebből a scan barcode felirítút válaszd és olvasd be vele a képernyődön szereplő QR kódot. Ha sikeres volt a beolvasás akkor a listádban lesz egy elem egy weboldal névvel és egy 6 jegyű számmal (ami mellett egy kör folyamatosan elfogy és utána új számot generál).

Amikor legközelebb be akarsz lépni az admin felületre, akkor észre fogod venni, hogy a jelszó és a felhasználónév mellett egy kódot is kér az oldal. Ilyenkor csak nyisd meg a Google Authenticator alkalmazást és az ott látható számot pötyögd be majd kattints a bejelentkezés gombra. Egy-egy kód csak limitált ideig jogosít fel a belépésre. Ha pirosra vált a szám akkor az azt jelzi, hogy még néhány másodpercig tudsz ezzel a kóddal belépni. Utána újat fog generálni a rendszer. Ez is azért szükséges, hogy ne lehessen kitalálni ezt a kódot és csak te tudj belépni az oldalra.

Ha több felhasználó fér hozzá az admin felülethez akkor minden felhasználónak külön be kell állítanod a kétszintű hitelesítést. Érdemes ezt megtenni, hogy jobban védve legyen az oldalad.