Jak odzyskać po blokadzie WordPress 2FA

Opublikowany: 2023-02-08

Używanie 2FA do zabezpieczenia witryny WordPress jest zdecydowanie jednym z najlepszych środków bezpieczeństwa, jakie możesz podjąć. Dodaje dodatkową warstwę bezpieczeństwa, a jednocześnie jest bardzo łatwy w konfiguracji. Ponadto ma udokumentowane osiągnięcia w zatrzymywaniu zdecydowanej większości ataków opartych na logowaniu, takich jak ataki typu brute-force. Podczas gdy wielu administratorów WordPress wdrożyło już 2FA, kilku wciąż unika tej technologii. Głównym tego powodem jest błędne przekonanie o blokadach.

W tym artykule przyjrzymy się krokom zapobiegawczym, które możesz podjąć, aby uniknąć blokad. Przyjrzymy się również, co możesz zrobić, jeśli zostałeś zablokowany z powodu utraty urządzenia 2FA lub awarii usługi.

Spis treści

    • 2FA na WordPressie
    • Jak planować z wyprzedzeniem – jak zapobiegać blokadom 2FA
      • Okres karencji na skonfigurowanie 2FA
      • Alternatywne metody weryfikacji 2FA
    • Jak planować później – jak się zalogować, jeśli jesteś obecnie zablokowany
    • Dlaczego zdarzają się blokady?
      • Uwierzytelnianie poczty e-mail 2FA
      • Uwierzytelnianie aplikacji uwierzytelniającej 2FA
      • WP2FA – Zjedz ciastko 2FA i je też
    • Często Zadawane Pytania
      • Nie otrzymuję e-maila 2FA – co mam zrobić?
      • Jak rozwiązywać problemy z dostarczalnością wiadomości e-mail WordPress?

2FA na WordPressie

2FA można łatwo zaimplementować na dowolnej stronie WordPress za pomocą wtyczki WordPress. W większości przypadków wtyczka działa niezależnie od jakiejkolwiek innej usługi i nie wymaga żadnej subskrypcji strony trzeciej. Zmniejsza to liczbę „ruchomych części” w ekosystemie. Niektóre metody 2FA, takie jak SMS, Whatsapp i głos, będą wymagały oddzielnej subskrypcji, ponieważ zależą one od sieci stron trzecich w celu dostarczenia OTP (hasła jednorazowego) wymaganego do działania 2FA.

W tym artykule użyjemy wtyczki WP 2FA, aby zilustrować opcje odzyskiwania 2FA podczas korzystania z 2FA na WordPress. Należy zauważyć, że WP 2FA oferuje nie mniej niż sześć różnych kanałów uwierzytelniania do wyboru, co czyni go jedną z najbardziej wszechstronnych wtyczek WordPress 2FA dostępnych obecnie na rynku.

Jak planować z wyprzedzeniem – jak zapobiegać blokadom 2FA

Planowanie z wyprzedzeniem jest często najlepszym sposobem na uniknięcie problemów związanych z blokadą 2FA. Niezależnie od tego, czy skonfigurowałeś już 2FA, czy nadal jesteś w fazie badań, istnieją kroki, które możesz podjąć, aby uniknąć blokad. Nie tylko zmniejszy to obawy Twoje i Twoich użytkowników związane z technologią, ale także pozwoli uniknąć przestojów i wyeliminuje utratę produktywności.

Okres karencji na skonfigurowanie 2FA

Jednym z problemów, z którymi boryka się wielu administratorów WordPress, jest to, że użytkownicy nie konfigurują uwierzytelniania dwuskładnikowego w przewidzianym okresie karencji. W zależności od konfiguracji zasad, konto użytkownika może zostać zablokowane, co wymaga odblokowania przez administratora.

Chociaż może to być bezpieczniejsza opcja, jeśli jesteś administratorem zarządzającym większą liczbą roztargnionych użytkowników niż sprawiedliwie, możesz chcieć zablokować dostęp do pulpitu nawigacyjnego, dopóki zamiast tego nie zostanie skonfigurowana weryfikacja dwuetapowa. Gwarantuje to, że użytkownicy skonfigurują 2FA bez konieczności interwencji z Twojej strony w celu odblokowania konta.

Alternatywne metody weryfikacji 2FA

Kody zapasowe 2FA WP2FA oferuje wybór alternatywnych metod uwierzytelniania 2FA, które pomogą Ci zapobiegać blokadom. Ponieważ blokady mogą wystąpić z różnych przyczyn, na które nie masz wpływu – takich jak zapomnienie lub zgubienie telefonu przez użytkownika – podejmowanie działań zapobiegawczych jest zawsze mądrym wyborem.

Alternatywne metody weryfikacji pozwalają wybrać alternatywną metodę 2FA, jeśli metoda podstawowa zawiedzie. Tutaj użytkownik może ustawić dowolną z dostępnych metod jako metodę podstawową, a następnie wstępnie skonfigurować metodę pomocniczą. Zilustrujmy to przykładem. Użytkownik może ustawić aplikację TOTP Authenticator jako podstawową metodę, a e-mail jako drugą. Jeśli kiedykolwiek zapomną telefonu, oddają go do naprawy lub wyczerpie się bateria, mogą po prostu wybrać opcję otrzymywania hasła jednorazowego za pośrednictwem poczty e-mail.

WP 2FA oferuje również kody zapasowe, które użytkownicy mogą wstępnie pobrać w celu użycia, jeśli nie będą mogli zalogować się przy użyciu swojej podstawowej metody.

Jak planować później – jak się zalogować, jeśli jesteś obecnie zablokowany

Jeśli jesteś obecnie zablokowany i nie masz skonfigurowanej metody zapasowej ani metody dodatkowej, nadal możesz odzyskać dostęp do swojego konta WordPress. Jednak zajmie to trochę więcej pracy, ale nie powinno zająć więcej niż kilka minut.

Zanim przejdziesz dalej, powinieneś najpierw sprawdzić, czy jest jakiś inny administrator, który nadal ma dostęp do WordPress. W takim przypadku możesz poprosić ich o zresetowanie konfiguracji 2FA na stronie profilu.

Jeśli nie ma nikogo, kto mógłby zresetować konfigurację 2FA, będziesz musiał ręcznie wyłączyć wtyczkę, aby uzyskać dostęp do WordPressa bez konieczności wpisywania kodu 2FA. Będziesz potrzebować dostępu do FTP/SFTP lub SSH, aby zmienić nazwę folderu wtyczki. To skutecznie dezaktywuje wtyczkę, umożliwiając zalogowanie się bez 2FA.

Dlaczego zdarzają się blokady?

Blokady 2FA mogą wystąpić z kilku powodów, w zależności od wybranej metody. Wiedząc, dlaczego nie otrzymujesz kodu lub dlaczego kod nie działa, możesz znacznie szybciej rozwiązywać problemy.

Uwierzytelnianie poczty e-mail 2FA

Uwierzytelnianie poczty e-mail to jeden z najłatwiejszych sposobów, w jaki użytkownicy mogą uzyskać kod uwierzytelniający, aby się zalogować. Chociaż ta metoda działa doskonale, musisz pamiętać, że zależy ona od tego, czy witryna WordPress jest w stanie wysyłać wiadomości e-mail w odpowiednim czasie. Zależy to również od czynników, na które nie masz wpływu, takich jak przekazywanie takich e-maili przez dostawcę usług hostingowych.
WordPress używa funkcji wp_mail do wysyłania wiadomości e-mail. Ta funkcja jest oparta na funkcji poczty PHP, która nie jest najbardziej niezawodną opcją dostarczania wiadomości e-mail. Kolejną rzeczą do rozważenia jest hosting. Niektórzy dostawcy usług hostingowych całkowicie blokują pocztę e-mail, aby uniknąć wykorzystywania ich serwerów jako spamu.

Uwierzytelnianie aplikacji uwierzytelniającej 2FA

Uwierzytelniacze

Aplikacje takie jak Google Authenticator i Authy często zapewniają bezproblemowy sposób otrzymania jednorazowego kodu wymaganego do zalogowania się za pomocą 2FA. Te aplikacje używają algorytmu opartego na czasie, aby zachować synchronizację, przy czym pierwsza synchronizacja odbywa się za pomocą kodu QR.

Aplikacjom i serwerom może brakować synchronizacji, więc ponowna synchronizacja aplikacji może rozwiązać problemy. Jeśli zmieniasz telefon, Google Authenticator umożliwia przeniesienie kodów z jednego telefonu na drugi. Z drugiej strony Authy umożliwia tworzenie kopii zapasowych kodów w chmurze, więc wszystko, co musisz zrobić, aby odzyskać kody, to zalogować się za pomocą swoich danych uwierzytelniających – czy to na nowym telefonie, czy nawet na komputerze stacjonarnym lub laptopie.

WP2FA – Zjedz ciastko 2FA i je też

Bezpieczeństwo WordPress ma kluczowe znaczenie dla zapewnienia długowieczności Twojej witryny. 2FA to nisko wiszący owoc, który oferuje poważny zwrot z każdej zainwestowanej złotówki. Ponieważ wiele znanych firm i ekspertów wspiera tę technologię, jej skuteczność jest niepodważalna. Jednak wielu administratorów obawia się, że blokady użytkowników są większym problemem, niż jest warte 2FA. Jak pokazano w tym artykule, tak nie jest w przypadku WP2FA.

Przy tak wielu sposobach unikania blokad użytkowników nie ma powodu, dla którego administratorzy WordPress nie mieliby oferować swoim użytkownikom 2FA. Planowanie z wyprzedzeniem jest zawsze zalecane, ale wszyscy jesteśmy mądrzejsi, patrząc wstecz. Właśnie dlatego poruszyliśmy również to, co możesz zrobić, aby przywrócić dostęp po fakcie, podając wszystkie informacje potrzebne do upewnienia się, że wdrożenie 2FA odniesie spektakularny sukces.

Często Zadawane Pytania

Nie otrzymuję e-maila 2FA – co mam zrobić?

Istnieje wiele możliwych powodów, dla których możesz nie otrzymywać wiadomości e-mail 2FA. W większości przypadków może to być problem z WordPress, który ma problemy z wysyłaniem wiadomości e-mail lub węzeł w łańcuchu z tego czy innego powodu nie przekazuje poprawnie wiadomości e-mail.

WP 2FA zawiera wbudowany tester wiadomości e-mail, który pozwala zweryfikować, czy wiadomość e-mail jest wysyłana. To jednak nie wszystko, dlatego warto poświęcić chwilę na zrozumienie, w jaki sposób wysyłane i dostarczane są e-maile.

W skrócie, WP 2FA komponuje wiadomość e-mail i przekazuje ją do WordPress, który następnie wysyła wiadomość e-mail do skonfigurowanego serwera SMTP. WordPress robi to za pomocą funkcji o nazwie wp_mail, która jest zbudowana na funkcji poczty PHP. Chociaż zwykle działa to całkiem dobrze po wyjęciu z pudełka, może być podatne na problemy.

Jak rozwiązywać problemy z dostarczalnością wiadomości e-mail WordPress?

Wtyczka, taka jak Check & Log Email, to dobre narzędzie. Rejestruje wszystkie wysłane wiadomości e-mail i zapewnia narzędzia do debugowania. WP 2FA umożliwia również testowanie dostarczania wiadomości e-mail, do którego można uzyskać dostęp, przechodząc do WP 2FA > Ustawienia > Ustawienia i szablony e-mail. Jeśli tutaj wszystko pójdzie dobrze, problem może leżeć dalej. Możesz rozważyć wybór wtyczki poczty e-mail SMTP, aby poprawić niezawodność dostarczania wiadomości e-mail.