فعالسازی احراز هویت دو مرحله ای در وردپرس

فعالسازی احراز هویت دو مرحله ای در وردپرس

در این آموزش ما یاد می گیریم که چگونه با استفاده از یک افزونه رایگان به نام Duo Two-Factor Authentication، احراز هویت دو مرحله ای وردپرس را فعال کنیم. Duo Security یک سرویس امنیتی مشهور در سطح سازمانی است که مورد اعتماد صدها شرکت مانند Sony، Microsoft، Accenture، Toyota و Yelp است. بسیار ایمن است و استفاده از آن به همان اندازه آسان است.

پیش از ادامه ی مقاله، در صورت نیاز به خرید هاست وردپرس،  به سایت ایرانیکاسرور مراجعه کرده و از پلن های فوق العاده ی ما با قیمت های ارزان دیدن کنید!

احراز هویت دو مرحله ای چیست؟

به عبارت بسیار ساده، احراز هویت دو مرحله ای یک اقدام امنیتی اضافی است که برای افزایش امنیت سایت/محصولی که از آن محافظت می کند، در نظر گرفته شده است. این عملیات شامل دو مرحله احراز هویت مجزا است:

• رمز عبور حساب
• یک کد امنیتی ایجاد شده به صورت پویا به نام رمز یک بار مصرف (OTP)

برای مثال حساب های گوگل را در نظر بگیرید. با فعال بودن احراز هویت دو مرحله‌ای، وقتی از یک آدرس IP جدید یا استفاده نشده قبلی وارد حساب خود می‌شوید، اولین مانع رمز عبور شما است. در مرحله بعد، Google یک پیام کوتاه ارسال می کند یا با شماره تلفن همراه ثبت شده شما تماس می گیرد و یک کد 6 رقمی ارسال می کند. تنها زمانی که کد را وارد می کنید، به حساب خود دسترسی پیدا می کنید.

تا زمانی که کامپیوتر خود را (در اصل یک آدرس IP خاص) به عنوان یک نقطه دسترسی شناخته شده مجاز نکنید، همیشه باید با استفاده از این دو مرحله وارد شوید. پس از تأیید یک آدرس IP، کد تأیید دوم (OTP) ضروری نخواهد بود.

فواید احراز هویت دو مرحله ای وردپرس

همانطور که می توانید تصور کنید، مزایای احراز هویت دو مرحله ای در یک محیط ناامن بسیار ارزشمند است. حتی اگر شخصی رمز عبور شما را بداند، نمی تواند به حساب شما دسترسی پیدا کند. مرحله دوم احراز هویت، یعنی OTP او را متوقف می کند. با این حال، در موارد بسیار نادری که فرد ثالث هم به رمز عبور و هم به تلفن شما دسترسی دارد، کار شما تمام شده است.

پیش نیاز ها

فعال کردن احراز هویت دو مرحله ای مستلزم این است که دستگاه های زیر همیشه در کنار هر مدیر حسابی باشند:

• یک تلفن همراه یا یک تبلت. ترجیحاً تلفن هوشمند باشد، زیرا تماس‌ها/پیام‌های بین‌المللی به اعتبار قابل شارژ نیاز دارند. دستگاه های اندروید، iOS و بلک بری گوشی های هوشمند توصیه شده هستند.
• یک شماره تلفن فعال (اعم از این یا یک تلفن هوشمند توصیه شده با دسترسی به اینترنت)
• یک حساب امنیتی Duo

راه‌اندازی حساب امنیتی Duo

اولین کاری که باید انجام دهید این است که یک حساب Duo Security رایگان ایجاد کنید. برای ثبت نام باید از شماره تلفن فعال خود استفاده کنید. مراحل زیر به شما نشان می دهد که چگونه این کار را انجام دهید:

ابتدا از صفحه قیمت گذاری گزینه Free Account را انتخاب کنید. جزئیات را با دقت پر کنید. برای شماره تلفن، مطمئن شوید که از کد کشور و سپس یک فاصله و سپس شماره تلفن استفاده می‌کنید.

از آنجایی که من اهل ایران هستم، کد کشور من +98 است. بنابراین من +98 XXXXYYYYY را وارد کردم.

در مرحله 2، می توانید از اندازه شرکت متفاوت استفاده کنید. از آنجایی که ما از Duo Security برای محافظت از سایت وردپرس خود استفاده می کنیم، CMS را در قسمت «What do you want to protect» را انتخاب می کنیم، و  بقیه تنظیمات را دست نخورده باقی می گذاریم:

به محض ثبت نام، Duo لینک فعال سازی را برای شما ارسال می کند. صندوق ورودی ایمیل خود را باز کنید و روی آن لینک کلیک کنید. به صفحه مشابهی هدایت خواهید شد:

• در قسمت شماره تلفن، مطمئن شوید که از همان شماره‌ای استفاده می‌کنید که در مرحله اول فرآیند ثبت نام Duo استفاده کرده‌اید.
• پس از وارد کردن تمام جزئیات، روی ارسال (send) کلیک کنید.
• چند ثانیه صبر کنید و روی گزینه Text Me یا Call Me کلیک کنید.
• اگر پیامی دریافت نکردید (من دریافت نکردم)، تابع تماس (call) را امتحان کنید.
• اگر هنوز کار نمی کند، شماره را دوباره بررسی کنید و مطمئن شوید که همراه شما انتن داشته باشد.

پیکربندی پنل مدیریت Duo

پس از راه‌اندازی حساب Duo، به‌طور خودکار به پنل مدیریت هدایت می‌شوید:

• اگر شما کارتان را از اینجا شروع می کنید، وارد حساب کاربری خود شوید و از منوی سمت چپ، Integrations > New Integration را انتخاب کنید.
• در قسمت Integration Type وردپرس (wordpress) را انتخاب کنید.
• Integration Name می تواند هر چیزی باشد که شما می خواهید – ما در این آموزش ان را “My WP Site” نامیدیم.
• روی Create Integration کلیک کنید

Duo Security را به سایت وردپرس خود متصل کنید

اکنون secret keys را کپی کرده و در سایت وردپرس خود قرار می دهیم. این یک ارتباط بین سایت وردپرس ما و Duo Security برقرار می کند:

برای این کار به WP Dashboard > Settings > Duo Two-Factor بروید. تنظیمات مورد نیاز در این صفحه موجود است.

کلیدها را از رابط مدیریت Duo Security کپی کرده و فیلدهای مربوطه را جایگذاری کنید. Save Changes را بزنید و اتصال برقرار می شود. اکنون احراز هویت دو مرحله ای در سایت شما فعال شده است. در مرحله بعد، یک روش احراز هویت را تنظیم می کنیم.

افزودن احراز هویت به کاربران وبسایت وردپرس

برای انجام این کار، ابتدا باید از داشبورد WP خارج شوید و دوباره وارد شوید. پس از ورود به سیستم، باید چیزی شبیه به این را ببینید:

این صفحه به ما اطلاع میدهد که  کاربر (در این آموزش، ‘جان’) یک روش احراز هویت فعال برای Duo Security ندارد.

روش‌های احراز هویت ارائه شده توسط Duo Security

روش‌های احراز هویت موجود که تحت یک حساب کاربری رایگان در دسترس هستند به شرح زیر است:

1. Phone call (mobile or landline)
2. SMS
3. BlackBerry
4. Android
5. iOS

روش تلفن و پیامک به اعتبار خرده فروشی نیاز دارد. شما 1000 اعتبار برای شروع دارید که پس از خرج کردن باید آنها را بخرید.

هزینه اعتبار تماس/پیامک بستگی به کشوری دارد که شماره تلفن به آن تعلق دارد. برای هند، 5 اعتبار در هر تماس یا پیامک است. من هر دو گوشی و اندروید را به عنوان روش‌های احراز هویت آزمایش کردم و متوجه شدم که کار می‌کنند.

چگونه یک دستگاه Android را به حساب امنیتی Duo خود اضافه کنیم؟

از آنجایی که اکثر ما صاحب یک گوشی هوشمند هستیم، من یک آموزش عمیق برای روش احراز هویت اندروید ایجاد کرده ام. با پیروی از دستورالعمل‌های روی صفحه، می‌توانید به همین راحتی دستگاه‌های دیگر را راه‌اندازی کنید.

مزیت اصلی استفاده از دستگاه Android به عنوان روش احراز هویت (که به عنوان تبلت نشان داده می شود)، این واقعیت است که شما به سیگنال حامل تلفن همراه فعال نیاز ندارید. یک اتصال اینترنتی فعال در دستگاه مربوطه تمام چیزی است که لازم است.

بنابراین ما Tablet را در قسمت Choose Your Device انتخاب می کنیم:

من اندروید را انتخاب کردم. اگر iPad یا iPhone دارید، iOS را انتخاب کنید:

اکنون باید اپلیکیشن موبایل مربوطه را نصب کنید. کادر تایید را علامت بزنید و Continue را بزنید:

برنامه Duo Mobile را در دستگاه خود باز کنید و روی ایکون کلید کلیک کنید. با این کار یک اسکنر بارکد راه اندازی می شود:

بارکد را از روی صفحه اسکن کنید تا تبلت/تلفن خود را به یک دستگاه احراز هویت شناخته شده تبدیل کنید:

این تأیید نشان می‌دهد که کاربر «جان» یک دستگاه Android به‌عنوان دستگاه شناسایی یا ثبت‌شده در حساب خود دارد:

ورود به سیستم با احراز هویت دو مرحله ای

همه چیز اکنون تنظیم شده است. تلفن/تبلت خود را در نزدیکی خود نگه دارید و با وارد کردن رمز عبور خود، مرحله اول را طی کنید. اکنون در محل اتصال دو مرحله ای احراز هویت هستید:

می توانید Duo Push یا Passcode را به عنوان روش ورود انتخاب کنید.

اگر Duo Push را انتخاب کرده اید، روی Log In کلیک کنید. باید یک اعلان در دستگاه Android/iOS خود مشاهده کنید:

برنامه Duo Mobile را اجرا کنید و Approve را انتخاب کنید. شما باید بلافاصله چیزی شبیه به این را ببینید:

اکنون با موفقیت بر مرحله دوم فرآیند احراز هویت دو مرحله ای غلبه کرده اید و می توانید به داشبورد WP دسترسی داشته باشید. تبریک می گویم! اگر رمز عبور را به عنوان روش ورود انتخاب کرده بودید، رمز عبور را در برنامه Duo Mobile پیدا خواهید کرد. باید به صورت دستی آن را تایپ کرده و Log In را فشار دهید.

جمع بندی

فعال کردن احراز هویت دو مرحله ای یکی از بهترین راه ها برای جلوگیری از دسترسی غیرمجاز است. این به عنوان یک عمل امنیتی عالی عمل می کند. اگرچه ورود به سایت وردپرس شما کمی زمان بیشتری می برد، اما کار اضافی با آرامش خاطر پاداش می گیرد.

افزونه های دیگری در بازار وجود دارد که به شما در تنظیم احراز هویت دو مرحله ای کمک می کند. افزونه Security Pro از iThemes یک مثال عالی است. این افزونه برای 2 سایت 80 دلار و برای مجوزهای نامحدود 150 دلار هزینه دارد. در مقایسه با همتای رایگان خود – امنیت iThemes – با حجم زیادی از اقدامات امنیتی عالی بارگذاری شده است. من Duo Security را انتخاب کردم زیرا استفاده از آن برای همه رایگان است.

موفق باشید!