Jak u Wordpressu zapnout dvoufaktorovou autentizaci

28.7.2016 | Jindřich Zechmeister

WordPress je nejpoužívanější redakční systém na světě a jasná volba po CMS systém pohánějící váš web. Jeho masivní rozšíření a desítky milionů instalací však mají i negativní dopad - lákají útočníky, kteří se snaží WordPress hacknout a zneužít. Dvoufaktorová autentizace, kterou znáte například ze svého internetového bankovnictví, je vysoce efektivní ochrana a pomáhá toto riziko vyloučit.

Publikační systém WordPress můžete nainstalovat prakticky na každý webhosting. CZECHIA.COM umí nainstalovat WordPress jedním klikem; nemusíte tedy ztrácet čas s instalací a můžete rovnou začít publikovat.

Nastavení dvoufaktorové autentizace

Dvoufázovou autentizaci ve WordPressu zavedeme pomocí pluginu Google Authenticator a aplikace Google Authenticator ve vašem chytrém telefonu. Najdete ji v Google Play nebo App store pro iOS a je samozřejmě zdarma. Zvolil jsem ho z důvodu snadného použití a nulových nákladů.

Přihlaste se do svého WordPressu a jděte do administrace pluginů. Tam vyhledejte plugin Google Authenticator. Můžete zkusit i jiné pluginy pro 2FA (například Google Authenticator for WordPress), ale ověřte si, zdali jsou kompatibilní s vaší verzi WordPressu. Nastavení je skoro u všech doplňků stejné.

Po nainstalování pluginu běžte do administrace uživatelů a najděte si váš administrátorský účet. V jeho detailu uvidíte možnost zapnutí 2FA. 

Zapnutí 2FA ve Wordpressu

Klikněte na Show/Hide QR code a tento kód naskenujte v aplikaci Google Authenticator. V aplikaci kliněte vpravo nahoře na plus a vyberte Skenovat čárový kód. Následně namiřte fotoaparát mobilu na kód na obrazovce (nemusí se fotit, stačí zaměřit); kód se okamžitě načte a v aplikaci uvidíte nový řádek s názvem vašeho blogu a šesti čísly.

Aplikace Google Authenticator

Tyto čísla se po pár sekundách mění a zadáváte je vždy při přihlášení do administrace WordPressu. Nakonec nezapomeňte 2FA aktivovat zaškrtnutím Active a můžete funkci vyzkoušet.

Přihlášení do Wordpressu pomocí 2FA

Nyní máte nastavenu dvoufaktorovou autentizaci pro přihlášení daného uživatele. Pro případné další uživatelské účty ve vašem WordPressu postupujte stejně.

Nemáte chytrý telefon? Nevadí.

Dvoufaktorová autentizace je možná i bez telefonu pomocí hesla zaslaného e-mailem. Tento způsob však doporučuji méně, protože k vašemu e-mailu se útočník může dostat. Výše zmíněný plugin Google Authenticator neumí posílat 2FA hesla e-mailem, ale svede to například plugin WordPress 2-Step Verification. Jeho nabídka nastavení se skrývá v menu Uživatelé - 2-Step Verification. Podívejme se na jeho nastavení.

Nejprve vyplňte svůj e-mail a nechte si poslat kód na zadanou adresu. Po jeho obdržení šestimístný kód zkopírujte zpět a klikněte na Verify.

Nastavení 2FA a kódu zaslaného přes e-mail

V dalším kroku můžete vyjmout váš počítač z ověření (důvěra na 30 dní, nedoporučuji) a ve třetím kroku můžete 2FA rovnou aktivovat. V přehledu nastavení doplňku je vidět e-mail použitý pro ověření. Můžete si zde také vytisknout záložní kódy (viz další odstavec).

Nastavení Wordpress 2-step verification

Po dokončení nastavení vám při každém příhlášení příjde kód automaticky e-mailem na danou adresu a zadáte ho do dialogu, který následuje po zadání jména a hesla do administrace.

Co když se něco nepovede?

Ne vždy se vše podaří nastavit napoprvé, proto věnujte pozornost i několika radám a bezpečnostnímu varování.

Záložní hesla

Pokud nejste správce hostingu a nemáte na něj přístup, doporučuji si vytisknout záložní hesla, pokud to doplňěk nabízí. Mohou se hodit v případě nedostupnosti aplikace v telefonu nebo při nefunkčním e-mailu. Pomocí nich se dokážete jednorázově přihlásit a upravit nastavení 2FA.

Neplatný QR kód

Pokud se vám nedaří nastavit 2FA a skenovaný kód je neplatný, doporučuji zkontrolovat čas na vašem mobilu. Musí se totiž shodovat s časem na serveru. Časové pásmo nehraje roli (používá se UTC čas), ale nesoulad v času obou zařízení je problém. Na serveru přesný čas synchronizuje NTP démon, takže je zpravidla přesný.

Nemohu se přihlásit

Pokud si nechtěně zablokujete váš WordPress 2FA pluginem, tak se přihlaste přes FTP a ve složce webu /wp-content/plugins/ přejmenujte složku s dotyčným pluginem. Tím se deaktivuje a můžete se opět přihlásit jménem a heslem.

Zakažte používání FTP

Upozornění: Výše zmíněný způsob vypnutí 2FA je velice triviální; účinnost zabezpečení pomocí 2FA se odvíjí od toho, zda-li máte zabezpečený FTP přístup k hostingu s WordPressem. Útočníkům zamezte přístup k FTP pomocí zamčení FTP přístupu v Centru administrace CZECHIA.com (případně se informujte u svého webhostera, jak přístup omezit). Jinak nemá 2FA u WordPressu příliš smysl.

Zamčení FTP neovlivní možnost instalace pluginů, protože ty instalujete přímo v rozhraní WordPressu. FTP pro tento úkon není potřeba.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz