Autentificare în doi pași (2FA): Cum activați protecția avansată pe WordPress și Linux

Autentificare în doi pași (2FA) reduce dramatic riscul accesului neautorizat la conturile dumneavoastră, chiar și în cazul în care parola este compromisă printr-un atac de phishing sau scurgere de date. Activarea 2FA pe WordPress și servere Linux este una dintre cele mai eficiente măsuri de securitate disponibile, cu impact minim asupra experienței de utilizare.

Studiile arată că 2FA blochează 99,9% din atacurile automatizate de tip credential stuffing și brute-force.

Autentificare în doi pași (2FA): Cum activați protecția avansată pe WordPress și Linux

Autentificarea în doi pași (Two-Factor Authentication) adaugă un al doilea strat de verificare după introducerea parolei: un cod temporar generat de o aplicație, un SMS sau o cheie de securitate fizică. Un atacator care obține parola nu poate accesa contul fără și cel de-al doilea factor.

Cel mai comun și recomandat tip de 2FA este TOTP (Time-based One-Time Password), implementat prin aplicații precum Google Authenticator, Authy sau Microsoft Authenticator.

Activarea 2FA pe WordPress cu pluginul WP 2FA

WP 2FA este pluginul recomandat pentru autentificarea în doi pași pe WordPress, oferind suport pentru multiple metode de verificare și integrare completă cu fluxul de logare existent.

Instalați WP 2FA din WordPress > Pluginuri > Adaugă nou. Configurați metoda preferată din Users > Your Profile > Two-Factor Authentication sau din panoul de administrare WP 2FA.

• TOTP (Google Authenticator): cea mai sigură metodă, cod generat local
• Email: cod trimis pe email la fiecare logare
• Backup codes: coduri de unică folosință pentru acces de urgență

Configurarea Google Authenticator pentru WordPress

Alternativ, pluginul Google Authenticator de la Ivan Kruchkoff oferă integrare directă cu aplicația Google Authenticator. Instalați pluginul, activați-l din profilul utilizatorului și scanați codul QR afișat.

// Verificare dupa configurare - testati logarea in WordPress
// 1. Accesati pagina de login WordPress
// 2. Introduceti username si parola
// 3. La prompt-ul de cod, deschideti Google Authenticator
// 4. Introduceti codul de 6 cifre afisat

Activarea 2FA pentru SSH pe servere Linux

SSH este principala metodă de acces la servere Linux, iar protejarea lui cu 2FA este esențială. Instalați modulul libpam-google-authenticator pentru integrare cu TOTP.

sudo apt install libpam-google-authenticator
google-authenticator

Rulați google-authenticator ca utilizatorul care va folosi SSH și urmați instrucțiunile interactive. Scanați codul QR și salvați codurile de backup într-un loc sigur.

Configurarea PAM pentru 2FA SSH

Editați fișierul de configurare PAM pentru SSH pentru a impune autentificarea în doi pași. Modificarea trebuie făcută cu atenție pentru a evita blocarea accesului la server.

# Editati /etc/pam.d/sshd
auth required pam_google_authenticator.so

Actualizați și configurația SSH pentru a permite autentificarea cu challenge-response, menținând în același timp suportul pentru chei SSH.

# /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive

Utilizarea cheilor SSH ca alternativă la 2FA

Cheile SSH oferă un nivel de securitate similar cu 2FA, eliminând necesitatea parolelor prin criptografie asimetrică. Generați o pereche de chei și copiați cheia publică pe server.

ssh-keygen -t ed25519 -C "email@domeniu.ro"
ssh-copy-id user@server-ip

Dezactivați autentificarea prin parolă și permiteți doar autentificarea cu chei SSH pentru securitate maximă.

# /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes

2FA pentru cPanel și Plesk

Panourile de control cPanel și Plesk suportă nativ autentificarea în doi pași. Activați 2FA din cPanel > Security > Two-Factor Authentication și configurați cu orice aplicație TOTP compatibilă.

Impuneți 2FA obligatoriu pentru toți utilizatorii cu acces la cPanel, nu doar pentru administrator. Un cont reseller compromis poate afecta toți clienții din acel cont.

Coduri de backup și recuperare acces 2FA

Generați și stocați în siguranță codurile de backup 2FA la configurarea inițială. Aceste coduri permit accesul în cazul pierderii telefonului sau indisponibilității aplicației de autentificare.

Stocați codurile de backup în mai multe locații sigure: un manager de parole, un document tipărit în seif sau un dispozitiv de backup. Niciodată în email sau cloud nesecurizat.

Authy vs Google Authenticator: Ce aplicație să alegeți

Google Authenticator stochează codurile local pe dispozitiv, fără backup în cloud, ceea ce îl face mai sigur dar mai vulnerabil la pierderea telefonului. Authy sincronizează codurile criptat în cloud, permițând recuperarea pe dispozitive noi.

• Google Authenticator: stocare locală, fără backup automat, open source
• Authy: backup criptat în cloud, suport multi-device, recuperare simplă
• Microsoft Authenticator: integrat cu conturile Microsoft, backup în cont Microsoft

Implementarea autentificării în doi pași este una dintre cele mai rentabile investiții în securitatea conturilor dumneavoastră online. Câteva minute de configurare pot preveni incidente costisitoare. Descoperiți și alte servicii de securitate web disponibile pe goai.ro.