Dwustopniowa autoryzacja logowania kojarzy się z przepisywaniem kodu przysłanego na komórkę przez SMS lub wygenerowanego przez aplikację na telefon.

SMSy są zazwyczaj płatne, więc pozostaje używanie aplikacji na telefon. Dla WordPressa można zainstalować darmową wtyczkę Google Authenticator, a kody odczytywać darmowymi aplikacjami na Androida lub iOSa.

Osobiście mam taki problem, że moja komórka ma dosyć starą wersję Androida, więc Google Authenticatora nie mogę zainstalować. Inni pewnie mogą mieć inne powody do zaniechania używania go, np. brak zaufania do firmy Google, niechęć do uzależniania swojego dostępu do panelu administracyjnego WordPressa od komórki (która może się rozładować lub zostać ukradziona), brak obycia technologicznego, czy korzystanie z innego telefonu komórkowego.

Dla takich wyjątków warto zastosować dwustopniową autoryzację z użyciem e-maila.

Dwuetapowe logowanie w WP

Interesująca nas wtyczka nazywa się Two Factor Auth.

Ma kilka trybów pracy. Może współpracować z wspomnianym już Google Authenticatorem, a może po prostu umieścić przycisk "wyślij jednorazowy kod logowania e-mailem" na stronie logowania do panelu administracyjnego WordPressa.

Dostępne są dwa algorytmy: TOTP, który wysyła kod ważny tylko przez jakiś czas (na moje oko minutę) oraz HOTP, który nie zawiera ograniczenia czasowego. TOTP jest więc bezpieczniejszy, ale jeśli Twój serwer pocztowy lubi dostarczać pocztę w dłużej, niż minutę po wysłaniu, to lepiej wybierz HOTP.

Osobiście stosuję TOTP na co ważniejszych stronach. Uciążliwe to zbytnio nie jest, ponieważ przy włączonej opcji zapamiętywania hasła przepisuję kod tylko raz na tydzień, czy dwa. Zdarza się, że e-mail nie dochodzi natychmiast i muszę ponownie wygenerować kod, ale z przyjemnością płacę tą cenę za dodatkową warstwę bezpieczeństwa.

Ten plugin nie zastępuje kodu generowanego na telefonie. Keylogger mógłby przechwycić wszakże wpisywane hasła także do Twojego konta e-mailowego. Zważywszy jednak, że konto Gmail ma dwustopniowe logowanie przy użyciu darmowych SMSów, to tym sposobem dwustopniowa autoryzacja mniej więcej jest zapewniona. Eliminuje to też ataki brute-force i słownikowe.

Na koniec dodam, że wtyczka ta ma ustawienia osobne (i w innym miejscu) dla aktualnie zalogowanego użytkownika i dla administratora (ogólne).

Można też wyłączyć dwustopniową autoryzację dla danych grup użytkowników i zrobić konto "awaryjne".