Приветствую на блоге, друзья мои! Я тут, знаете ли, всерьез озаботилась темой безопасности своего блога. Как-то неспокойно на душе в последнее время. И в рамках усиления безопасности я вначале уговаривала себя и вас своевременно обновлять WordPress, затем рассказала, как правильно обновить WordPress вручную. А как-то даже, помнится, поведала вам о замечательном плагине, который позволит проверить ваш сайт на вирусы.
Однако все мне мало, и сегодня я расскажу вам о сервисе, который недавно, но уже с удовольствием использую для защиты админки WordPress.
Итак, встречайте — Rublon!
Что такое Rublon
Rublon — это комплекс для защиты админки блога путем добавления двухуровневой аутентификации при входе.
Двухуровневая аутентификация в нашем случае — это подтверждение ввода логина/пароля сканированием вашим смартфоном, предварительно верифицированным в системе, специального QR-кода.
То есть даже если ваши данные для авторизации в админ-панели попали в руки злоумышленникам, то доступ к консоли они все равно получить не смогут, поскольку ключ ко входу — это ваш смартфон. Вот какие интересные картиночки я нашла на официальном сайте:
Это была такая общая информация, притом, согласитесь, довольно-таки интригующая. А теперь в подробностях.
Как работает Rublon
Первым делом вам нужно установить на блог специальный плагин от Rublon с одноименным названием. Найти его можно через поиск плагинов в админке либо же по этой ссылке. Устанавливаем, активируем — все как всегда.
Далее, поскольку авторизация идет при помощи вашего смартфона, то вам нужно установить на него соответствующее приложение. Угадайте, как называется? Да-да, «Rublon»!
Существуют версии для Android-устройств, яблокофонов, Windows Mobile и BlackBerry. 
Вы можете найти приложение в соответствующем магазине.
А вот на следующем шаге нам нужно включить наконец Rublon для нашего блога. Для этого заходим в админке в пункт меню «Rublon», который появился после активации плагина и жмем там единственную кнопочку «Protect Your Account»: 
После некоторого ожидания нас перебрасывает на страничку сайта Rublon, где нужно отсканировать появившийся QR-код при помощи установленного на смартфон приложения: 
Радует, что приложение распознает QR-коды очень качественно, с бликующего монитора и под любым углом автоматически, как только код попадает в его поле зрения.
После сканирования смартфон предложит вам занести компьютер или любое другое устройство, с которого вы осуществляете вход в админку, в список доверенных. Если это ваш личный ноутбук, например, и посторонние доступ к нему не имеют, то имеет смысл согласиться — в дальнейшем при заходе именно с этого устройства вам сканировать коды больше не придется.
После того, как вы определитесь с тем, доверенное ли устройство или нет, вас перебросит обратно в админку, где вы увидите сообщение о том, что теперь блог надежно защищен Rublon. 
А вот так теперь выглядит страница ввода логина/пароля: 
И если вы попытаетесь войти с устройства, которое не внесено на смартфоне в список доверенных, то после ввода логина и пароля вас опять-таки перебросит на страницу, где будет предложено отсканировать очередной QR-код.
Резюмируя вышесказанное
Полагаю, двух мнений быть здесь не может — сервис Rublon предлагает простую в настройке и использовании и, что немаловажно, бесплатную систему защиты админки WordPress.
Однако стоит помнить о двух немаловажных моментах:
- Такую защиту очень просто обойти, если у злоумышленников есть доступ по FTP — просто удалить плагин, и защите капут! 🙂 Поэтому очень и очень важно, чтобы у вас были разные пароли на ftp и на вход в админ-панель.
- Если ваше доверенное устройство попадет в руки злоумышленникам, то… проблема утраты доступа к блогу как-то уйдет, пусть даже на время на второй план 🙂 Тем более, что этот момент уже продуман разработчиками Rublon: вы в любой момент можете удалить любое устройство из списка доверенных, используя Rublon-приложение на смартфоне, а затем уже начать всерьез переживать об утрате)
Вот как бы и все на сегодня, друзья мои! Настоятельно рекомендую взять этот сервис на заметку, ибо защиты много не бывает, уж поверьте вашей пушистой Web-Кошке! Прощаюсь… ненадолго, конечно же…
Классная вещь, я и не знал, что такие плагины бывают. Один недостаток — надо на свой мобильник спецпрограмму устанавливать. А нет таких плагинов, чтобы как в банке — код через СМС на любой вид телефона?
Андрей, по-моему, есть такой способ, нужно поискать. Хорошая идея для статьи, кстати, спасибо)
Вот это будет действительно здорово — просто и непробиваемо!!!
Для автономных WP-сайтов, если я не ошибаюсь, такого решения нет. Но утверждать не буду. Может есть какие-то сторонние решения. А вот если сайт хостится на wordpress.com (хоть на платном, хоть на бесплатном ТП), то такая реализация возможна встроенными средствами.
Вообще, было бы классно, если такая возможность есть и для автономных площадок.
Саша, знаешь, сейчас проверила, действительно для пользователей обычных телефонов нет такого решения, к сожалению( Подвела меня память… Есть аналог — тоже двухступенчатая аутентификация, но тоже только для владельцев смартов…
Остается надеяться, что разработчики WP внедрят сей функционал, по примеру wordpress.com, тем более, такие API, как, например, гугловские, это позволяют. Было бы очень неплохо.
Оригинальный способ. А если у человека нет смартфона? Это ладно. А если смартфон будет потерян, или выйдет из строя. Что тогда делать?
Василий, если смартфон будет утерян, например, то плагин всегда можно удалить по FTP. А потом при необходимости заново установить, привязав к новому телефону.
Кстати да)) Я к примеру не пользуюсь смартфонами, обычный телефон-звонилка)) Значит, надо искать другой способ обезопасить сайт. Но именно это способ мне понравился! Жаль…жаль.)
Оля, привет! Видимо, придется рассказать и про другой. Сама до недавнего времени никак не могла расстаться с обычным телефоном и ужасно злилась на авторов, которые предлагали всякие классные штуки, доступные только со смартфонов)))
После многократного прочтения статьи понял следующее:
1. Надо установить плагин Rublon на свой блог.
2. Надо купить смартфон. И научиться с ним обращаться. (а я еще не знаю, что это такое).
3. Надо купить и установить на смартфон программу (приложение) с названием Rublon.
4. Надо зайти в админке «в пункт меню «Rublon», который появился после активации плагина и жмем там единственную кнопочку «Protect Your Account»: »
5. Затем надо совершить действие, которое блогеру незнакомому со смартфонами, сканированием, QR-кодами, покажется ритуальным колдовством , а именно:
» нужно отсканировать появившийся QR-код при помощи установленного на смартфон приложения: »
6. Меня вовсе не радует :»…что приложение распознает QR-коды очень качественно, с бликующего монитора и под любым углом автоматически, как только код попадает в его поле зрения.»,
потому, что эти события, радующие нашу Кошечку, для меня совершенно непонятны.
Прошу прощения за своё непонимание.
Сергей, ну практически все так) Только приложение для смартфона бесплатное) А для блогеров-не владельцев смарфонов я напишу обязательно, как реализовать подобную двухуровневую авторизацию другим способом. И кстати, еще полгода назад я тоже подумала бы, что это шаманство какое-то)
Ахаха) Сергей, просто не устанавливайте этот плагин)
Саша! Дорогой! Ух хехе! Прежде, чем что-либо устанавливать или удалять, предпочитаю досконально разобраться в сути предстоящего действия. Я раньше программировал для микропроцессора сначала в машинных кодах, а потом на ассемблере. Там нельзя ошибиться даже в одном бите. Вот и выработалась у меня привычка всё постигать до бита.
Это что то вроде оплаты (например, за телефон) со своей visa карточки. Там оплата пройдёт только тогда, когда введёшь код, присланный тебе из банка по CMC. Так?
Лариса, ты специалист по нахождению всяких «вкусняшек» =) Способ действительно очень оригинальный и интересный. QR-коды сейчас набирают популярность. Да и привязка по устройству, конечно, радует.
Никогда раньше не пользовалась QR-кодами, считала это очередной игрушкой, но в таком качестве очень удобно их использовать, даже проще, чем код по sms
Интересное предложение, заманчивое. Немного слышал о двух фактурной авторизации, но смарт фоном не пользуюсь. Просто сейчас нет необходимости (у меня) пользоваться смарт фоном. Есть хороший телефон с возможностью выхода в интернет. А на заметку конечно возьму.
А у нас на хостинге сделана такая штука, что нельзя попасть в админку с чужого IP адреса. И его нужно каждый день менять.
Мне нравится. Хотя, я сейчас подумала, что это недостаточная защита. Надо ещё что то ставить, есть у меня один плагинчик. Надо разобраться с ним.
Татьяна, а как это реализовано? Если у меня статический айпи, то неудобно ведь каждый день его менять, чтобы в админку войти…
Кстати, что за плагин, поделитесь)
Здравствуй Web-Кошка!
Скажу Вам так — ерунда всё это, IP адреса их мониторинг и смена…
Если защищать админку, так лучше сделать её вовсе невидимой, путём подмены страницы входа…
То есть, для Вас существует своя, реальная панель входа в админку, для хакеров и остальных «ломателей» — другая панель ввода логина и пароля, хакер зайти не сможет даже если введёт правильные данные.
Можно считать данный метод, как двухуровневая защита ☺☺☺
Не капельки не спорю — подмена страницы входа очень эффективна. Но и этот способ имеет право на существование, поскольку это не подмена адресов, а привязка возможности входа к конкретному устройству.
Вообще, основной принцип двухуровневой аутентификации — «то, что я знаю + то, что у меня есть».
Наконец то нашел кое что об Qr-коде:
«QR код «QR — Quick Response — Быстрый Отклик» — это двухмерный штрихкод (бар-код), предоставляющий информацию для быстрого ее распознавания с помощью камеры на мобильном телефоне.
При помощи QR-кода можно закодировать любую информацию, например: текст, номер телефона, ссылку на сайт или визитную карточку.»
Поскольку нет у меня телефона с видеокамерой, то разбирательство как производится кодирование отложу на потом.
Сейчас QR-коды очень распространены, особенно часто на рекламных баннерах встречаю и в журналах. Никогда и в голову не приходило ими воспользоваться, и тем более изучать принцип кодировки. Разберетесь, хотя бы в теории, расскажите нам обязательно.
А вот в таком варианте использование QR-кодов более чем удобно, как мне кажется.
Чувствую, что без телефона с видеокамерой и доступом в Интернет здесь не обойти.
…не обойтись!
Интересный плагин, не знал о таком, спасибо!
В свое время читал о таком методе защиты админки WP:
— в файле wp-admin.php проверяется наличие и значение определенной переменой в сессии;
— при этом сама сессия запускается в файле на компьютере пользователя и переменная определяется там, а только затем идет редирект на вход в админку.
В результате получаем — в админку можно попасть только минуя файл на локальном компьютере.
С одной стороны — тоже надежно и без дополнительных плагинов. С другой — надо знать PHP, вручную лезть в wp-admin.php и иметь на машине запущенный локально web-сервер. На любителя =)
Здравствуйте, Александр, рада видеть)
Да, я тоже где-то слышала о чем-то подобном, но в детали не вдавалась. Именно потому что наличие запущенного Денвера — не всегда выполнимое условие. Хотя если всегда работаешь с одного и того же компьютера, то как вариант…
Да ладно! Нету смартфона)))) По-моему, это 4 года назад смарфтон был еще достаточной редкостью. А сейчас? Тем более, что сейчас выпускают и бюджетные смартфоны, и ничего сложного в пользовании таким агрегатом нету.