Weryfikacja dwuetapowa w WordPress – jak włączyć?

Weryfikacja dwuetapowa w WordPressie

Czym jest weryfikacja dwuetapowa?

Weryfikacja dwuetapowa w WordPressie zabezpiecza panel administracyjny, wprowadzając konieczność wpisania kodu potwierdzającego z telefonu podczas logowania. Dzięki temu nawet jeśli ktoś pozna hasło do twojego WordPressa, to bez dostępu do Twojego telefonu nie uda mu się zalogować. Jak to skonfigurować?

Weryfikacja dwuetapowa jest jednym z najprostszych, a zarazem najskuteczniejszych sposobów na zabezpieczanie wszelkich kont internetowych. Funkcja ta działa w oparciu o wprowadzenie dodatkowej warstwy ochronnej, która sprawia, że w trakcie logowania na nasze konto wyświetla się monit o wprowadzenie dodatkowego kodu uwierzytelniającego. Kod ten wysyłany jest na smartfon poprzez sms, więc nawet jeśli ktoś złamie hasło do naszego konta i pozna dane do logowania, to bez fizycznego dostępu do naszego smartfonu nie będzie się w stanie zalogować. To zabezpieczenie znane chociażby z wielu serwisów społecznościowych, ale warto wiedzieć, że można je wdrożyć także na własnej stronie na WordPressie.

Jak włączyć weryfikację dwuetapową w WordPress?

Oprogramowanie WordPress nie posiada wbudowanej funkcji weryfikacji dwuetapowej, więc konieczne jest doinstalowanie wtyczki. Zachęcamy do wyboru takiej, która obsługuje wysyłanie jednorazowych kodów uwierzytelniających o ograniczonym czasie ważności np. do aplikacji Google Authenticator czy Microsoft Authenticator.

Oto przykładowe wtyczki, które posiadają funkcję weryfikacji dwuetapowej:

Poniżej przedstawiamy krótką instrukcję dla każdej z nich.

Weryfikacja dwuetapowa w WordPressie za pomocą wtyczki 2FA

Wtyczka WP 2FA po instalacji przeprowadzi Cię krok po kroku przez cały proces konfiguracji za pomocą intuicyjnego konfiguratora. Kliknij “Let’s get started”, aby rozpocząć procedurę.

W pierwszym kroku wybierz, w jaki sposób chcesz odbierać kody weryfikacyjne – czy to za pomocą aplikacji typu Google Authenticator, czy też za pomocą wiadomości e-mail. Zalecamy pierwszą metodę, czyli “One-time code generated with your app of choice (most reliable and secure)”.

W kolejnym kroku pojawi się kod QR, który należy zeskanować w aplikacji mobilnej, która ma generować kody. Najpopularniejszym wyborem dla większości będzie Google Authenticator, wspierający autoryzację za pomocą klucza.

Zainstaluj i uruchom aplikację, a następnie wybierz opcję skanowania kodu QR.

Zeskanuj za pomocą aplikacji Google Authenticator kod QR wyświetlony w konfiguratorze WP 2FA. Gdy to zrobisz, kliknij “I’m ready”.

Pojawi się kolejny krok, w którym musisz potwierdzić konfigurację, wpisując kod weryfikacyjny wyświetlony w aplikacji Google Authenticator. Wprowadź kod i kliknij “Finish”.

Weryfikacja dwuetapowa od tej pory jest włączona. Przy logowaniu do panelu administracyjnego będziesz proszony o wprowadzenie kodu weryfikacyjnego, który wyświetla się w aplikacji Google Authenticator.

Warto wygenerować także kody zapasowe, dzięki którym będziesz mógł się zalogować, gdy utracisz dostęp do telefonu. Możesz to zrobić, przechodząc w WordPressie do swojego profilu (“Ustawienia > Profil”). Na samym dole ustawień znajdziesz opcję “Generate Backup Codes” – wygeneruj kody i zachowaj je w bezpiecznym miejscu.

Weryfikacja dwuetapowa w WordPressie za pomocą wtyczki Two Factor

Zainstaluj wtyczkę Two Factor w WordPressie, a także aplikację do generowania kodów w swoim smartfonie, np. Google Authenticator.

Następnie w WordPressie przejdź do zakładki “Użytkownicy > Profil”. Wyświetlą się ustawienia Twojego konta. Na samym dole ustawień profilu znajdziesz nową sekcję “Uwierzytelnianie dwuskładnikowe”. W tym miejscu możesz włączyć weryfikację dwuetapową, co znacząco zwiększa poziom bezpieczeństwa dostępu do konta.

Zaznacz pole “Time Based One-Time Password (TOTP)”, a następnie za pomocą aplikacji Google Authenticator zeskanuj wyświetlony w tym miejscu kod QR. Aplikacja zostanie sparowana i wyświetli się kod weryfikacyjny, który należy przepisać w pole poniżej. Wpisz kod z aplikacji i kliknij “Wyślij”.

Weryfikacja dwuetapowa zostanie włączona na Twoim koncie i od teraz każde logowanie będzie wymagało wprowadzenia dodatkowego kodu z aplikacji Google Authenticator. Wykonaj tę czynność dla każdego konta administratora, które masz w WordPressie, aby wzmocnić ochronę przed phishingiem.

Weryfikacja dwuetapowa w WordPressie za pomocą wtyczki Google Authenticator

Już po samej nazwie można wywnioskować, że wtyczka sugeruje użycie aplikacji Google Authenticator do generowania kodów weryfikacyjnych. Po zainstalowaniu wtyczki przejdź do zakładki “Ustawienia > Google Authenticator”.

Pojawi się ekran ustawień, na którym musisz zdecydować, które role użytkowników mają mieć dostęp do weryfikacji dwuetapowej. Jeśli do logowania do panelu korzystasz tylko z konta administracyjnego, zaznacz tylko Administrator. Jeżeli jednak masz użytkowników, którzy dodają tylko treści, to możesz chcieć także zaznaczyć Edytor czy Autor.

Zaznacz także pole “Pytaj o kod weryfikacyjny na następnym ekranie logowania” i zachowaj zmiany przyciskiem Zapisz.

Od teraz każdy użytkownik objęty uprawnioną rolą może skonfigurować weryfikację dwuetapową na swoim koncie. W tym celu należy ponownie wejść do “Ustawienia > Google Authenticator”.

Znajdziesz tu kod QR, który musisz zeskanować za pomocą aplikacji do generowania kodów weryfikacyjnych. Użyj aplikacji Google Authenticator, Authy lub innej podobnej i zeskanuj kod QR.

Po zeskanowaniu kodu QR aplikacja Google Authenticator rozpocznie generowanie kodów dla konta. Przepisz jeden z wygenerowanych kodów do pola “Kod Authenticatora” w WordPressie i zapisz zmiany. Jeśli kod był poprawny, weryfikacja dwuetapowa zostanie włączona. Każdy użytkownik WordPressa objęty odpowiednimi uprawnieniami może od teraz włączyć tę opcję na swoim koncie.

Darmowy kurs WordPress
Poradnik WordPress
Artykuł odpowiedział na twoje pytanie? Udostępnij go dalej:
Obrazek domyślny
Błażej Starosta
Ma doświadczenie w tworzeniu oraz prowadzeniu stron WWW, od blogów aż po sklepy internetowe. Od lat uważnie śledzi rozwój WordPressa i jego wpływ na rynek twórców stron internetowych. Stara się być na bieżąco ze wszystkimi nowinkami technologicznymi i dzielić się swoją wiedzą.