Przyjrzyjmy się nowemu trendowi w logowaniu do WordPressa, gdzie hasła odchodzą do lamusa. To przyszłość, która staje się faktem.
Tradycyjne hasła, choć miały za zadanie podnosić poziom zabezpieczeń, w praktyce przysporzyły więcej kłopotów niż korzyści.
Ewolucja zaczęła się od haseł o wysokim stopniu skomplikowania, następnie pojawiła się weryfikacja dwuetapowa, która, niestety, wymuszała na użytkownikach dodatkowe kroki i czynności, które są uciążliwe.
Niedawno zaproponowano rozwiązanie oparte na tak zwanych „magicznych linkach”. Wymaga ono wpisania nazwy użytkownika i kliknięcia w link aktywacyjny przesłany e-mailem, zamiast wpisywania hasła.
Jest to z pewnością bezpieczniejsza metoda, ponieważ cała ochrona sprowadza się do zabezpieczenia konta e-mail, jednak nie jest to najszybsza opcja.
Logowanie do WordPress bez użycia hasła
WordPress, będąc platformą przyjazną dla szerokiego grona użytkowników, z natury wiąże się z pewnymi zagrożeniami. Mimo dostępnych narzędzi takich jak iThemes Security, które pozwalają na wymuszanie silnych haseł, kluczowe jest, aby system logowania był zarówno bezpieczny, jak i łatwy w obsłudze.
iThemes Security to wtyczka, która pełni funkcję darmowego, ale niezwykle skutecznego strażnika dla Twojej strony opartej na WordPress. Jej zadaniem jest zwiększenie poziomu bezpieczeństwa witryny.
Ten artykuł jest niezależnym przewodnikiem, jednak dla pełnego zrozumienia kontekstu, zachęcamy do zapoznania się z naszą recenzją iThemes Security Pro.
Oprócz szeregu dostępnych funkcji, iThemes Security Pro oferuje możliwość wdrożenia biometrycznego logowania do witryny WordPress. Dzięki temu użytkownicy mogą korzystać z rozwiązań oferowanych przez Apple (Touch ID, Face ID), Androida (odcisk palca, pin, wzór) oraz Windows (Windows Hello).
Po wdrożeniu tej funkcjonalności, użytkownicy zobaczą nowy interfejs logowania z alternatywną opcją uwierzytelnienia:
Daje to alternatywny i uproszczony sposób dostępu do strony WordPress.
Zasada działania kluczy dostępu
Metoda logowania za pomocą kluczy dostępu wykorzystuje lokalne dane uwierzytelniające, które są już obecne na urządzeniach, z których korzystamy, takich jak smartfony czy laptopy.
Jest to nie tylko prostsza, ale również bezpieczniejsza metoda dostępu do WordPressa.
Na przykład, prawdopodobieństwo, że użytkownik poda nazwę i hasło na fałszywej stronie logowania (tzw. phishing) jest stosunkowo wysokie. W przypadku kluczy dostępu, takie zagrożenie nie istnieje.
Klucze dostępu bazują na protokole WebAuthn, który wykorzystuje kryptograficzne uwierzytelnianie za pomocą pary kluczy: publicznego i prywatnego.
Klucze publiczne przechowywane są w chmurze, natomiast klucze prywatne znajdują się na urządzeniu użytkownika. W efekcie, kiedy użytkownik skanuje odcisk palca na stronie logowania WordPress, system wie, że to on, i przekierowuje go do panelu administracyjnego.
Zabezpieczone są jedynie dane biometryczne użytkownika, które są znacznie trudniejsze do pozyskania niż nazwa użytkownika i hasło, które mogą zostać przechwycone w wyniku phishingu.
Warto również podkreślić, że w rozwój WebAuthn zaangażowały się największe firmy technologiczne, takie jak Google, Microsoft, Mozilla czy Yubico, co świadczy o bezpieczeństwie i solidności rozwiązania.
Podsumowując, jest to metoda bezpieczna i godna zaufania.
Konfiguracja biometrycznego logowania
Pomimo tego, że ta metoda oferuje zaawansowany poziom bezpieczeństwa, jej wdrożenie jest wyjątkowo proste.
Na początku wymagana jest subskrypcja iThemes Pro.
Następnie przejdź do sekcji Zabezpieczenia > Ustawienia w menu WordPressa. Na koniec aktywuj opcję logowania bez hasła i kluczy dostępu.
Opcja logowania bez hasła umożliwia korzystanie z magicznych linków, jednak zostanie ona zastąpiona przez klucze dostępu, jeśli ta opcja zostanie aktywowana. Istnieje też możliwość korzystania z obu tych metod jednocześnie.
Teraz administrator ma możliwość wyboru użytkowników, którzy będą objęci nowymi zasadami logowania. Opcja ta znajduje się w sekcji Grupy użytkowników w panelu iThemes Security Pro.
Możesz wybrać jedną z predefiniowanych grup (administratorów, autorów, redaktorów, subskrybentów itp.) lub utworzyć własną grupę, korzystając z opcji Nowa grupa.
Następnie administrator ustala, dla których grup użytkowników logowanie bez hasła ma być obowiązkowe:
Warto podkreślić, że obie metody logowania (za pomocą magicznego linka i klucza dostępu) mogą działać równocześnie. Ustawienie to znajduje się w zakładce Konfiguruj > Zabezpieczenia logowania w ustawieniach iThemes.
Teraz na stronie logowania pojawi się pytanie o wybór metody logowania: „Magic Link” (link w e-mailu) lub „Użyj klucza dostępu”:
Kliknięcie „Magic Link” spowoduje wysłanie wiadomości e-mail z linkiem do logowania. Druga metoda wyświetli błąd, jeśli klucz dostępu nie został wcześniej skonfigurowany.
Używanie kluczy dostępu
Pierwszym krokiem w konfiguracji logowania biometrycznego jest użycie opcji „Zaloguj się za pomocą hasła”, znajdującej się pod przyciskiem „Użyj klucza dostępu”.
W chwili obecnej, nie jest możliwe wyłączenie logowania hasłem w ustawieniach WordPressa. Z tego powodu, kluczowe jest wprowadzenie zasad silnych haseł, ponieważ w przeciwnym razie użytkownik nadal może korzystać ze słabego hasła. Te opcje znajdziesz w sekcji Grupy użytkowników > Funkcje. Dodatkowo, w zakładce Konfiguruj > Bezpieczeństwo logowania > Wymagania dotyczące haseł, możesz ustalić ważność hasła.
Po standardowym zalogowaniu, każdy użytkownik zostanie poproszony o skonfigurowanie logowania za pomocą klucza dostępu. Wybranie opcji „Dodaj klucz dostępu” przekieruje cię do ustawień urządzenia.
Na przykład, w systemie Windows 10, pojawi się okno Windows Hello.
Po wprowadzeniu prawidłowego kodu PIN, logowanie odbywa się przy użyciu samej nazwy użytkownika oraz PINu do systemu Windows.
Podobnie, konfiguracja klucza dostępu jest możliwa na Androidzie i iOS:
Warto wiedzieć, że ten monit nie pojawi się ponownie, jeśli użytkownik wybierze opcję „Pomiń konfigurację”. W takim przypadku klucze dostępu można ustawić w profilu użytkownika w WordPress.
Wybierz „Zarządzaj kluczami dostępu” na dole strony, a następnie „Dodaj klucz dostępu”, aby rozpocząć konfigurację.
Przyszłość bez haseł
Nie ma wątpliwości, że to jest przyszłość. Logowanie bez hasła (w WordPress) jest aktualnie najbezpieczniejszą i najwygodniejszą metodą uwierzytelniania.
Mimo konieczności konfiguracji kluczy dostępu na każdym używanym urządzeniu, jest to jednorazowy wysiłek, który zaowocuje wygodą przy kolejnych logowaniach.
To podsumowuje temat logowania biometrycznego za pomocą iThemes Security Pro. Choć darmowa wersja wtyczki jest użyteczna, opisane funkcje są dostępne w płatnej wersji Premium. Możesz wypróbować ją bez ryzyka, dzięki gwarancji zwrotu pieniędzy.
PS: Tworzenie kopii zapasowych strony jest kluczowe dla każdej witryny, w tym również dla WordPressa. Sprawdź jak to zrobić za pomocą innego produktu iThemes – Backupbuddy.
newsblog.pl