Как восстановиться после блокировки WordPress 2FA

Использование 2FA для защиты вашего веб-сайта WordPress — безусловно, одна из лучших мер безопасности, которые вы можете предпринять. Он добавляет дополнительный уровень безопасности, но при этом очень прост в настройке. Кроме того, он имеет проверенный опыт предотвращения подавляющего большинства атак на основе входа в систему, таких как атаки грубой силы. Хотя многие администраторы WordPress уже внедрили двухфакторную аутентификацию, некоторые все еще избегают этой технологии. Основной причиной этого является неправильное представление о локаутах.

В этой статье мы рассмотрим превентивные шаги, которые вы можете предпринять, чтобы избежать блокировки. Мы также рассмотрим, что вы можете сделать, если вы были заблокированы из-за потери устройства 2FA или сбоя службы.

Оглавление

• • 2FA на WordPress
  • Как планировать заранее — как предотвратить блокировки 2FA
  • • Льготный период для настройки 2FA
    • Альтернативные методы проверки 2FA
  • Как планировать после — как войти в систему, если вы в настоящее время заблокированы
  • Почему происходят локауты?
  • • 2FA аутентификация по электронной почте
    • Аутентификация приложения-аутентификатора 2FA
    • WP2FA — съешьте торт 2FA и съешьте его тоже
  • Часто задаваемые вопросы
  • • Я не получаю свое электронное письмо 2FA – что мне делать?
    • Как устранить неполадки с доставкой электронной почты WordPress?

2FA на WordPress

2FA можно легко реализовать на любом веб-сайте WordPress с помощью плагина WordPress. В большинстве случаев плагин работает независимо от любого другого сервиса и не требует какой-либо сторонней подписки. Это уменьшает количество «движущихся частей» в экосистеме. Для работы некоторых методов 2FA, таких как SMS, Whatsapp и голос, потребуется отдельная подписка, поскольку они зависят от сторонних сетей для доставки OTP (одноразового пароля), необходимого для функционирования 2FA.

В этой статье мы будем использовать плагин WP 2FA, чтобы проиллюстрировать варианты восстановления 2FA при использовании 2FA на WordPress. Следует отметить, что WP 2FA поставляется с не менее чем шестью различными каналами аутентификации на выбор, что делает его одним из самых полных плагинов WordPress 2FA, доступных сегодня на рынке.

Как планировать заранее — как предотвратить блокировки 2FA

Заблаговременное планирование часто является лучшим способом избежать проблем, связанных с блокировкой 2FA. Независимо от того, настроили ли вы 2FA или все еще находитесь на этапе исследования, есть шаги, которые вы можете предпринять, чтобы избежать блокировки. Это не только избавит вас и ваших пользователей от опасений по поводу технологии, но также позволит избежать простоев и устранит потерю производительности.

Льготный период для настройки 2FA

Одна из проблем, с которой сталкиваются многие администраторы WordPress, заключается в том, что пользователи не настраивают двухфакторную аутентификацию в течение предоставленного льготного периода. В зависимости от того, как настроена политика, учетная запись пользователя может быть заблокирована, и для ее разблокировки потребуется администратор.

Хотя это может быть более безопасный вариант, если вы являетесь администратором, управляющим большим количеством рассеянных пользователей, чем ваша справедливая доля, вы можете заблокировать доступ к панели инструментов, пока вместо этого не будет настроена 2FA. Это гарантирует, что пользователи настроят 2FA, не требуя вмешательства с вашей стороны для разблокировки учетной записи.

Альтернативные методы проверки 2FA

WP2FA предлагает выбор альтернативных методов аутентификации 2FA, которые помогут вам предотвратить блокировку. Поскольку блокировки могут происходить по разным причинам, которые могут быть вне вашего контроля, например, когда пользователь забывает или теряет свой телефон, принятие превентивных мер всегда является разумным выбором.

Альтернативные методы проверки позволяют выбрать альтернативный метод 2FA в случае сбоя основного метода. Здесь пользователь может настроить любой из доступных методов в качестве основного, а затем предварительно настроить дополнительный метод. Проиллюстрируем это примером. У пользователя может быть установлено приложение TOTP Authenticator в качестве основного метода, а электронная почта — в качестве второго. Если они когда-нибудь забудут свой телефон, отдадут его в ремонт или у него разрядится аккумулятор, они могут просто вместо этого получить одноразовый пароль по электронной почте.

WP 2FA также предлагает резервные коды, которые пользователи могут предварительно загрузить, чтобы использовать их, если они не смогут войти в систему с помощью своего основного метода.

Как планировать после — как войти в систему, если вы в настоящее время заблокированы

Если вы в настоящее время заблокированы и не настроили метод резервного копирования или дополнительный метод, вы все равно можете восстановить доступ к своей учетной записи WordPress. Тем не менее, это займет немного больше работы, но не должно занимать более нескольких минут.

Прежде чем идти дальше, вы должны сначала проверить, есть ли какой-либо другой пользователь-администратор, у которого все еще есть доступ к WordPress. Если это так, вы можете попросить их сбросить настройки 2FA через страницу профиля.

Если никто не может сбросить вашу конфигурацию 2FA, вам нужно будет вручную отключить плагин, чтобы вы могли получить доступ к WordPress без необходимости вводить код 2FA. Вам потребуется доступ по FTP/SFTP или SSH, чтобы переименовать имя папки плагина. Это эффективно деактивирует плагин, позволяя вам войти в систему без 2FA.

Почему происходят локауты?

Блокировки 2FA могут происходить по нескольким причинам, в зависимости от выбранного метода. Зная, почему вы не получаете код или почему код не работает, вы сможете гораздо быстрее устранять неполадки.

2FA аутентификация по электронной почте

Аутентификация по электронной почте — это один из самых простых способов, с помощью которых пользователи могут получить свой код аутентификации для входа в систему. Хотя этот метод работает отлично, вы должны помнить, что он зависит от того, может ли ваш веб-сайт WordPress своевременно отправлять электронные письма. Это также зависит от факторов, находящихся вне вашего контроля, таких как ваш хостинг-провайдер, пересылающий любые такие электронные письма.
WordPress использует функцию wp_mail для отправки электронных писем. Функция основана на почтовой функции PHP, которая не является самым надежным вариантом для обеспечения доставки электронных писем. Еще одна вещь, которую следует учитывать, — это ваш хостинг. Некоторые хостинг-провайдеры полностью блокируют электронную почту, чтобы их серверы не использовались в качестве спама.

Аутентификация приложения-аутентификатора 2FA

Такие приложения, как Google Authenticator и Authy, часто предоставляют простой способ получить одноразовый код, необходимый для входа в систему с помощью 2FA. Эти приложения используют алгоритм, основанный на времени, чтобы оставаться в синхронизации, при этом первая синхронизация выполняется с помощью QR-кода.

Приложения и серверы могут не синхронизироваться, поэтому повторная синхронизация вашего приложения может решить ваши проблемы. Если вы меняете телефоны, Google Authenticator позволяет перенести ваши коды с одного телефона на другой. С другой стороны, Authy позволяет вам делать резервные копии ваших кодов в облаке, поэтому все, что вам нужно сделать, чтобы получить свои коды, — это войти в систему со своими учетными данными — будь то на новом телефоне или даже на вашем ПК или ноутбуке.

WP2FA — съешьте торт 2FA и съешьте его тоже

Безопасность WordPress имеет решающее значение для обеспечения долговечности вашего сайта. 2FA — это низко висящий фрукт, который предлагает серьезную отдачу от затраченных средств. Поскольку многие известные компании и эксперты поддерживают эту технологию, ее эффективность неоспорима. Тем не менее, многие администраторы опасаются, что блокировка пользователей создаст больше проблем, чем двухфакторная аутентификация. Как показано в этой статье, это не относится к WP2FA.

С таким количеством способов избежать блокировки пользователей нет причин, по которым администраторы WordPress не должны предлагать своим пользователям двухфакторную аутентификацию. Всегда рекомендуется планировать заранее, но мы все мудрее, когда смотрим в прошлое. Вот почему мы также коснулись того, что вы можете сделать, чтобы восстановить доступ постфактум, предоставив вам всю информацию, необходимую для того, чтобы ваша реализация 2FA имела оглушительный успех.

Часто задаваемые вопросы

Я не получаю свое электронное письмо 2FA – что мне делать?

Существует множество возможных причин, по которым вы можете не получать электронное письмо 2FA. В большинстве случаев проблема может заключаться в том, что у WordPress возникают проблемы с отправкой электронных писем, или узел в цепочке по той или иной причине не пересылает электронную почту должным образом.

WP 2FA поставляется со встроенным тестером электронной почты, который позволяет вам убедиться, что электронная почта отправляется. Однако это не вся история, и поэтому стоит потратить минуту, чтобы понять, как отправляются и доставляются электронные письма.

Короче говоря, WP 2FA составляет электронное письмо и пересылает его в WordPress, который затем отправляет электронное письмо на настроенный SMTP-сервер. WordPress делает это с помощью функции wp_mail, которая построена на основе почтовой функции PHP. Хотя это, как правило, работает довольно хорошо из коробки, оно может быть подвержено проблемам.

Как устранить неполадки с доставкой электронной почты WordPress?

Плагин, такой как Check & Log Email, является хорошим инструментом. Он регистрирует все отправленные электронные письма и предоставляет инструменты для отладки. WP 2FA также позволяет вам тестировать доставку электронной почты, к которой вы можете получить доступ, перейдя в WP 2FA > Настройки > Настройки и шаблоны электронной почты. Если здесь все пойдет хорошо, проблема может лежать дальше. Возможно, вы захотите выбрать плагин электронной почты SMTP, чтобы повысить надежность доставки электронной почты.