Bezpečnost přístupu do administrace WordPressu je základním krokem k tomu, abyste udrželi svůj redakční systém v bezpečí před neoprávněným přístupem. K tomuto účelu je možné zabezpečit administraci pomocí dalšího kroku ověření. Pomocí dvoufaktorového ověření se do WordPressu nedostane neoprávněná osoba ani tehdy, kdy bude znát správný login i heslo.
Instalace pluginu WP 2FA – Two-factor authentication for WordPress
Dvoufaktorové ověření pro vstup do administrace WordPressu se dá velmi dobře vytvořit pomocí bezplatného pluginu
WP 2FA – Two-factor authentication for WordPress. Plugin nainstalujete pomocí tohoto postupu:
- v levém menu administrace WordPressu si klikněte na položku "Pluginy"
- poté klikněte na tlačítko "Instalace pluginů"
- do vyhledávacího pole v pravém horním rohu napište wp 2fa
- vyhledejte plugin a klikněte na tlačítko "Instalovat"
- jakmile se plugin nainstaluje, aktivujte jej
Nastavení pluginu
Jakmile plugin nainstalujete a aktivujete, zobrazí se Vám uvítací obrazovka pluginu, na které klikněte na tlačítko "LETS GET STARTED".
Plugin se Vás nyní zeptá na metodu, pomocí které bude dvoufaktorové ověření pro přístup do administrace provádět. Vyberte tedy metodu "One-time code via 2FA App (TOTP)". Poté klikněte na "Continue setup".
V následujícím kroku se Vás plugin zeptá, zda si přejete aktivovat alternativní metodu přihlášení pomocí tzv. backup kódu. Tuto volbu nechte aktivní. Pokud byste ztratili zařízení pro dvoufaktorové ověření, můžete pro přístup do administrace použít právě alternativní metodu pomocí přístupu záložním kódem. Opět klikněte na tlačítko "Continue setup".
V bezplatné verzi pluginu je jediná alternativní možnost pomocí backup kódu. Ostatní alternativní metody jsou dostupné pouze v placené verzi pluginu.
Nyní se Vás plugin dotáže, pro které uživatele chcete dvoufaktorové ověření vynutit. Z hlediska bezpečnosti Vašeho webu nastavte možnost "All users". Tím zajistíte dvoufaktorové přihlašování pro všechny.
V dalším kroku se Vás plugin dotáže, zda chcete z dvoufaktorového ověření vyloučit nějaké uživatele či uživatelské role. Abyste zajistili, že se budou muset pomocí dvoufaktorového ověřování přihlašovat opravdu všichni, nechte obě pole prázdná.
Kliknutím na tlačítko "Continue setup" se dostanete na stránku, kde se můžete rozhodnout, kdy budou muset uživatelé začít dvoufaktorové ověření používat.
Můžete tedy nastavit možnost ihned (Users have to configure 2FA straight away.), nebo jim můžete dát odklad například 3 dny, aby měli čas si potřebné nastavení připravit (Give users a grace period to configure 2FA).
Nyní můžete kliknout na tlačítko "ALL DONE".
Nastavení mobilního zařízení pro dvoufaktorové ověření
Jakmile dokončíte průvodce nastavením dvoufaktorového ověření, ukáže Vám plugin QR kód, díky kterému si můžete nastavit zařízení, se kterým budete generovat kódy pro přístup do administrace WordPressu. Tento QR kód je velmi důležitý!
QR kód si zkopírujte, uložte, nebo prozatím nechte otevřený a nezavírejte jej.
Aplikace pro mobilní zařízení na dvoufaktorové ověření
Do svého mobilního telefonu si nyní stáhněte aplikaci, která Vám bude generovat kódy pro dvoufaktorové ověření. Pro tyto případy můžeme doporučit aplikaci Google Authenticator. Aplikaci můžete stáhnout jak na
Google Play pro Android zařízení, tak i na
App Store pro Apple zařízení. Jakmile aplikaci do mobilního zařízení nainstalujete, spusťte ji. V aplikaci klikněte na tlačítko + a vyberte možnost "Naskenovat QR kód". Namiřte mobilní zařízení na obrazovku počítače a pomocí fotoaparátu naskenujte QR kód, který Vám plugin vytvořil.
Aplikace si QR kód načte a vytvoří Vám první kód pro dvoufaktorové ověření. Ten má 6 čísel. V nastavení pluginu nyní klikněte na tlačítko "
IM READY". Budete vyzváni, abyste opsali 6 čísel z Vaší mobilní aplikace Google Authenticator. Poté klikněte na na tlačítko "
Validate & save".
Poslední věc, kterou nyní musíte k řádnému dokončení instalace udělat je vytvoření záložních kódů. Klikněte tedy na tlačítko "Generate list of backup codes".
Plugin Vám nyní vygeneruje záložní kódy které si uložte na bezpečné místo. Tyto kódy můžete použít pro přístup do administrace v momentě, kdy nebudete mít po ruce zařízení pro dvoufaktorové ověření. Doporučujeme neukládat je např. do veřejných cloud úložišť, kde by je mohl někdo zneužít.
Nyní můžete kliknout na "Im ready, close the wizard". Jakmile se budete příště přihlašovat do administrace svého WordPressu, budete po zadání loginu a hesla navíc dotázáni i pro zadání dvoufaktorového ověření, kde budete muset jako další krok opsat i 6 čísel ze své aplikace na mobilním zařízení. Pokud dané zařízení nebudete mít po ruce, můžete vždy použít odkaz "Or, use a backup code" a zadat záložní kód pro přístup.