Jeśli jeszcze nie włączyłeś 2FA na WordPress, zrób to teraz

Korzyści bezpieczeństwa wynikające z używania uwierzytelniania dwuskładnikowego (2FA) nie powinny być dla nikogo tajemnicą. Nawet słabsze formy 2FA znacznie utrudniają włamanie na konta internetowe i na szczęście wydaje się, że coraz więcej osób korzysta z tej funkcji. Istnieje oczywiście kompromis i, podobnie jak w przypadku wielu innych mechanizmów, które zwiększają bezpieczeństwo naszego życia online, ma on formę użyteczności. Dla wielu dostarczanie dodatkowych informacji podczas logowania jest po prostu zbyt dużym nakładem pracy, dlatego używają 2FA tylko do swoich najcenniejszych kont.

Na przykład właściciel prostego bloga WordPress może pomyśleć, że jego strona internetowa nie jest wystarczająco ważna, aby uzasadnić 2FA. Jeśli się z nimi skonfrontujesz, mogą powiedzieć, że ich strona internetowa nie stanowi realnego celu dla hakerów. To nie jest prawda.

Dlaczego hakerzy mogą być zainteresowani Twoją witryną WordPress?

Jedną z najlepszych rzeczy w WordPress jest to, że ma scentralizowany, łatwy w użyciu pulpit nawigacyjny, za pomocą którego można kontrolować całą stronę internetową. Szeroka gama motywów i wtyczek sprawia, że system zarządzania treścią jest niezwykle wszechstronny, dlatego korzysta z niego blisko 36% wszystkich aktywnych stron internetowych na świecie.

Innymi słowy, istnieje wiele celów i jest kilka czynników, które mogą uczynić atak stosunkowo łatwym. Na przykład każdy, kto kiedykolwiek pracował z WordPress, wie, że domyślny adres URL pulpitu nawigacyjnego to [domena witryny]/wp-admin/. Istnieje sposób, aby to zmienić, ale większość administratorów nie przejmuje się tym, co oznacza, że zwykle jedyną rzeczą, która siedzi między hakerami a pulpitem WordPress, jest twoje hasło. Przełamanie jest często słabą barierą, a jeśli atakujący to zrobią, mogą spowodować duże obrażenia.

Jeśli z jakiegoś powodu nie podoba im się treść, którą umieszczasz, mogą wyczyścić całą witrynę lub mogą ją zniszczyć i wykorzystać do propagandy. Możliwość modyfikowania treści daje im również możliwość hostowania i rozpowszechniania złośliwego oprogramowania, które nawet po odzyskaniu kontroli i zabezpieczeniu instalacji WordPress może mieć długotrwały wpływ na wydajność SEO witryny. Jeśli masz bazę danych pełną zarejestrowanych użytkowników, ich dane osobowe również mogą zostać naruszone.

Jak widać, istnieje wiele argumentów za ochroną deski rozdzielczej WordPress za pomocą 2FA. Niestety robienie tego nie jest tak proste, jak mogłoby się wydawać.

WordPress i 2FA

WordPress nie obsługuje 2FA od razu po wyjęciu z pudełka. Pomimo faktu, że mechanizm bezpieczeństwa istnieje już od jakiegoś czasu i pomimo oczywistych korzyści, jakie przynosi, społeczność nadal nie zaczęła domyślnie wdrażać 2FA.

Na szczęście wiele wtyczek innych firm oferuje funkcję 2FA, a ponieważ podstawowa instalacja jej nie obsługuje, możesz równie dobrze spojrzeć na opcje i wybrać tę, która najbardziej odpowiada Twoim potrzebom. Pamiętaj jednak o rozważeniu kilku rzeczy.

Przeczytaj recenzje i sprawdź oceny różnych wtyczek. Przed zainstalowaniem dowolnego z nich wykonaj kopię zapasową witryny i upewnij się, że wiesz, jak działa dodatek. Na koniec, nie zapominaj, że wtyczki są zasadniczo liniami kodu, które mogą (i często zawierają) błędy bezpieczeństwa. Utrzymywanie ich na bieżąco i instalowanie wszystkich najnowszych łat jest niezwykle ważne.

Jeśli jeszcze tego nie zrobiłeś, myślenie o ogólnym bezpieczeństwie witryny WordPress może nie być złym pomysłem. Jak już wspomnieliśmy, hakerzy mają więcej niż kilka powodów do zaatakowania, a duża liczba incydentów hakerskich, które widzimy każdego dnia, pokazuje, że rzadko potrzebują drugiego zaproszenia.