Kaheastmeline autentimine

Description

Kahefaktorilise autentimise plugin lisab sinu WordPressi sisselogimisele täiendava turvakihi, nõudes kasutajatelt lisaks paroolile teist autentimisviisi. See aitab kaitsta volitamata juurdepääsu eest isegi siis, kui paroolid on ohustatud.

Seadistamise juhised

Oluline: Iga kasutaja peab oma kahefaktorilise autentimise seaded eraldi konfigureerima.

Üksikkasutajatele

  1. Liigu oma profiilile: Ava WordPressi halduses “Kasutajad” “Sinu profiil
  2. Leia kaheastmelise autentimise valikud: keri alla jaoni Two-Factor Options
  3. Vali oma viisid: Luba üks või mitu autentimisteenuse pakkujat (pane tähele, et saidi administraator võib olla ühe või mitu peitnud, seega saadaolev võib erineda):
    • Autentimisrakendus (TOTP) – Kasuta rakendusi nagu Google Authenticator, Authy või 1Password
    • E-posti koodid – Saa ühekordseid koode e-posti teel
    • Varukoodid – Genereeri ühekordsed varukoodid hädaolukordadeks
    • Näidisviis – Ainult testimise eesmärgil (nõuab WP_DEBUG)
  4. Seadista iga viis: Järgi iga lubatud teenusepakkuja seadistusjuhiseid
  5. Määra peamine viis: vali, millist viisi kasutada vaikimisi autentimiseks
  6. Salvesta muudatused: Oma seadete salvestamiseks kliki “Uuenda profiili

Saidihalduritele

  • Plugina seaded: Plugin pakub seadete lehte jaotises Settings Two-Factor, et seadistada, millised teenusepakkujad tuleks kogu saidil keelata.
  • Kasutajate haldus: Administraatorid saavad seadistada 2FA teistele kasutajatele, muutes nende profiile
  • Turvasoovitused: Julgusta kasutajaid lubama varuviise, et vältida kontolt lukustumist

Saadaolevad autentimisviisid

Autentimisrakendus (TOTP) – soovitatav

  • Turvalisus: Kõrge – ajapõhised ühekordsed paroolid
  • Seadistamine: Skanni QR-kood autentimisrakendusega
  • Ühilduvus: töötab Google Authenticatori, Authy, 1Passwordi ja teiste TOTP-rakendustega
  • Parim valik: enamikule kasutajatele, pakub suurepärast turvalisust ja head kasutusmugavust

Varukoodid – soovitatav

  • Turvalisus: Keskmine – Ühekordselt kasutatavad koodid
  • Seadistus: Loo 10 varukoodi hädaolukorras juurdepääsuks
  • Ühilduvus: töötab kõikjal, eririistvara pole vaja
  • Sobib kõige paremini: hädaolukorras ligipääsuks, kui muud viisid pole saadaval

Meilikoodid

  • Turvalisus: Keskmine – Ühekordsed koodid saadetakse e-posti teel
  • Seadistus: Automaatne – kasutab sinu WordPressi e-posti aadressi
  • Ühilduvus: töötab iga e-posti toetava seadmega
  • Sobib kõige paremini: kasutajatele, kes eelistavad e-posti põhist autentimist

FIDO U2F turvavõtmed

  • Iganenud ja eemaldatud brauseritoe kadumise tõttu.

Näidisviis

  • Turvalisus: puudub – õnnestub alati
  • Seadistus: Saadaval ainult siis, kui WP_DEBUG on lubatud
  • Eesmärk: Ainult testimiseks ja arenduseks
  • Parim valik: arendajatele, kes testivad pluginat

Olulised märkused

HTTPS-i nõue

  • Kõik viisid töötavad nii HTTP- kui ka HTTPS-saitidel

Brauseri ühilduvus

  • TOTP ja e-posti viisid töötavad kõigis seadmetes ja brauserites.

Konto taastamine

  • Luba alati varukoodid, et vältida oma kontolt väljalukustamist.
  • Kui kaotad juurdepääsu kõigile autentimisviisidele, võta ühendust oma saidi administraatoriga

Turvalisuse parimad tavad

  • Võimaluse korral kasuta mitut autentimisviisi
  • Hoia varukoode turvalises kohas
  • Vaata regulaarselt üle ja uuenda oma autentimisseadeid

Lisateabe saamiseks kaheastmelise autentimise kohta WordPressis vaata WordPressi täiustatud halduse turvajuhendit.

Rohkema ajaloo kohta vaata seda postitust.

Toimingud & filtrid

Siin on nimekiri plugina pakutavatest action- ja filter-hook’idest:

  • two_factor_providers filter alistab saadaolevad kaheastmelise autentimise pakkujad, näiteks e-posti ja ajapõhised ühekordsed paroolid. Massiivi väärtused on kaheastmelise autentimise pakkujate PHP klassinimed.
  • Filter two_factor_providers_for_user alistab konkreetse kasutaja jaoks saadaolevad kahefaktorilise autentimise pakkujad. Massiivi väärtused on pakkujaklasside eksemplarid ja kasutaja objekt WP_User on saadaval teise argumendina.
  • Filter two_factor_enabled_providers_for_user alistab kasutaja jaoks lubatud kaheastmelise autentimise pakkujate loendi. Esimene argument on lubatud pakkujate klassinimede massiiv väärtustena, teine argument on kasutaja ID.
  • two_factor_user_authenticated tegevus, mis saab sisselogitud kasutaja määramiseks esimese argumendina sisselogitud WP_User objekti kohe pärast autentimise töövoogu.
  • Filter two_factor_user_api_login_enable piirab REST API ja XML-RPC autentimise ainult rakenduse paroolidega. Teise argumendina edastatakse kasutaja ID.
  • Filter two_factor_email_token_ttl alistab ajavahemiku sekundites, mille jooksul e-posti tokenit pärast loomist kehtivaks peetakse. Võtab esimese argumendina vastu aja sekundites ja autenditava WP_User objekti ID.
  • Filter two_factor_email_token_length alistab e-posti tokenite vaikimisi 8 tähemärgi pikkuse.
  • Filter two_factor_backup_code_length alistab varukoodide vaikimisi 8 märgi pikkuse. Annab seotud kasutaja WP_User teise argumendina.
  • Filter two_factor_rest_api_can_edit_user alistab selle, kas kasutaja kaheastmelise autentimise seadeid saab REST API kaudu muuta. Esimene argument on praegune tõeväärtus $can_edit, teine argument on kasutaja ID.
  • Toiming two_factor_before_authentication_prompt, mis võtab vastu teenusepakkuja objekti ja käivitatakse enne autentimise sisestusvormil kuvatavat viipa.
  • Toiming two_factor_after_authentication_prompt, mis võtab vastu teenusepakkuja objekti ja käivitub pärast autentimise sisestusvormil kuvatavat viipa.
  • Toiming two_factor_after_authentication_input, mis võtab vastu teenusepakkuja objekti ja käivitub pärast autentimise sisestusvormil kuvatud sisendit (kui vorm ei sisalda sisendit, käivitub toiming kohe pärast two_factor_after_authentication_prompt).
  • two_factor_login_backup_links filtreerib kaheastmelise sisselogimise vormil kuvatavaid varulinke.

Suunamine pärast kaheastmelise autentimise kontrolli

Kahefaktorilise kontrolli läbimise järel kasutajate suunamiseks kindlale URL-ile kasuta WordPressi tuuma sisseehitatud login_redirect filtrit. Filter toimib samamoodi nagu tavalises WordPressi sisselogimisvoos:

add_filter( 'login_redirect', function( $redirect_to, $requested_redirect_to, $user ) {
    return home_url( '/dashboard/' );
}, 10, 3 );

Screenshots

FAQ

Milliseid PHP ja WordPressi versioone Two-Factori plugin toetab?

See plugin toetab kahte viimast WordPressi põhiversiooni ja minimaalset PHP versiooni, mida need WordPressi versioonid toetavad.

Kuidas saan tagasisidet saata või veaga abi saada?

Parim koht vigadest teatamiseks, funktsioonisoovituste või muu (mitte turvalisusega seotud) tagasiside edastamiseks on Two Factori GitHubi probleemide leht. Enne uue probleemi esitamist otsi olemasolevatest probleemidest, et kontrollida, kas keegi teine on sama tagasiside juba esitanud.

Kuhu saan turvavigadest teatada?

Plugina kaasautorid ja WordPressi kogukond suhtuvad turvavigadesse tõsiselt. Hindame sinu pingutusi oma leidude vastutustundlikul avaldamisel ning teeme kõik endast oleneva, et sinu panust tunnustada.

Turvaprobleemist teatamiseks külasta WordPressi HackerOne programmi.

Mis saab siis, kui kaotan juurdepääsu kõigile oma autentimisviisidele?

Kui sul on varukoodid lubatud, saad juurdepääsu taastamiseks kasutada ühte neist. Kui sul pole varukoode või oled need kõik ära kasutanud, pead konto lähtestamiseks võtma ühendust oma saidi administraatoriga. Seetõttu on oluline varukoodid alati lubada ja hoida neid turvalises kohas.

Kas ma saan seda pluginat WebAuthniga kasutada?

Plugin toetas varem FIDO U2F-i, mis oli WebAuthni eelkäija. WebAuthni toe lisamiseks on siin avatud probleem: https://github.com/WordPress/two-factor/pull/427

Kas pääsuvõtmete või riistvaraliste turvavõtmete kasutamiseks koos kaheastmelise autentimisega on soovitatav viis?

Jah. Pääsuvõtmete ja riistvaraliste turvavõtmete jaoks saad installida plugina Two-Factor Provider: WebAuthn: https://wordpress.org/plugins/two-factor-provider-webauthn/ . See integreerub otse Two-Factoriga ja lisab kasutajatele WebAuthn-põhise autentimise täiendava kaheastmelise autentimise valikuna.

Reviews

1. juuli 2026 1 reply
The Two-Factor plugin provides a simple and effective way to enhance WordPress login security. It supports multiple authentication methods, is easy to configure, and integrates seamlessly with the WordPress user management system. A lightweight, reliable, and highly recommended solution for protecting user accounts from unauthorized access.
14. juuni 2026 1 reply
It’s an excellent plugin; I use it on all my sites.
10. juuni 2026 1 reply
The basic options expected:1. I must be able to use any authentication app.2. An option to use email as 2nd auth.But this plugin also have backup code.
28. mai 2026 1 reply
This plugin requires individual users to manage 2FA. Individual users can remove 2FA from their profile at any time leaving that account vulnerable. An admin would need to check regularly that this hasn’t been removed. There is discussion about a custom function to force a user back to the profile page. I tested this. A user can still leave the account with 2FA off, albeit they cannot navigation anywhere but the profile page. However, in this state a bad actor can login with a password only to the unprotected account, then configure 2FA to their own device, this then removes the redirect and therefore undermines the entire process. This is a significant flaw. However, the plugin can protect a single admin account but any sort of user hierarchy is not protected.
7. mai 2026 1 reply
Not only did it work well for my use case with a customer who wanted to offer optional 2fa, but when i asked about customizing the code validation page i had a response in minutes. Very impressive. Worked well with a theme my login branded site.
27. apr 2026 1 reply
Fonctionne parfaitement, simple et fiable
Read all 210 reviews

Contributors & Developers

“Kaheastmeline autentimine” has been translated into 41 locales. Thank you to the translators for their contributions.

Translate “Kaheastmeline autentimine” into your language.

Interested in development?

Browse the code, check out the SVN repository, or subscribe to the development log by RSS.

Changelog

0.16.0 – 2026-03-27

  • Katkestavad muudatused: Eemaldati pärand-FIDO U2F-i pakkuja tugi #439 kaudu.
  • Uued funktsioonid: Lisa plugina seadistamiseks eraldi seadete leht wp-adminis, autor #764.
  • Uued funktsioonid: Lisa toe linkide filter, et kasutajad saaksid kohandada kontekstipõhiseid taastamise/abi linke, #615.
  • Uued funktsioonid: Värskenda varukoodide kasutajaliidese stiili ja käitumist, autor #804.
  • Veaparandused: Kustuta salvestatud TOTP saladused, kui TOTP pakkuja keelatakse #802 abil.
  • Veaparandused: Tugevdati teenusepakkujate käsitlemist, et sisselogimise/seadete kontrollid ei jääks avatuks, kui oodatud teenusepakkujad kaovad, tegi #586.
  • Veaparandused: Tagab, et kasutaja seadetes salvestatakse ja lubatakse ainult seadistatud teenusepakkujad, autor #798.
  • Veaparandused: Paranda seadete lehe ligipääsetavust ja profiili seadete lingi käitumist, autorid #828 ja #830.
  • Veaparandused: Lahenda PHPCS-i rikkumised teenusepakkuja failides #851 abil.
  • Arenduse uuendused: Teisaldatud sisselogimise stiilid ja teenusepakkujate skriptid reasisesest väljundist järjekorda lisatud / välisteks varadeks, vt #807 ja #814.
  • Arendusuuendused: Täiustatud reasiseseid dokumente ja staatilise analüüsi ühilduvust (WPCS/phpstan) #810, #815 ja #817 abil.
  • Arendusuuendused: parandatud ühikutestide töökindlust ja integreeritud CI koodikaetuse aruandlus #825, #841 ja #842 kaudu.
  • Arenduse uuendused: Värskendatud readme dokumente ja ajakohastatud CI töövoo taristut: #835, #837, #843 ja #849.
  • Sõltuvuste uuendused: värskenda qs versioonilt 6.14.1 versioonile 6.14.2, autor #794.
  • Sõltuvuste uuendused: Värskenda basic-ftp versioonilt 5.0.5 versioonile 5.2.0 muudatusega #816.
  • Sõltuvuste uuendused: Rakenda automaatsed lintimise/vormindamise uuendused ja seotud Composeri pakettide värskendused #799 kaudu.

0.15.0 – 2026-02-13

  • Katkestavad muudatused: Käivita kaheastmelise autentimise protsess ainult siis, kui seda eeldatakse, autor @kasparsd: #660 ja #793.
  • Uued funktsioonid: lisa kasutaja IP-aadress ja kontekstipõhine hoiatus kahefaktorilise koodi e-kirjadesse, autor @todeveni #728
  • Uued funktsioonid: Optimeeri TOTP e-kirja tekst, autor @masteradhoc, #789
  • Uued funktsioonid: Lisatud “Settings” tegevuse link pluginate loendisse profiilile kiireks juurdepääsuks, autor @hardikRathi #740
  • Uued funktsioonid: Täiendavad vormi hook’id autorilt @eric-michel muudatuses #742
  • Uued funktsioonid: Täielik RFC6238 ühilduvus autorilt @ericmann muudatuses #656
  • Uued funktsioonid: ühtne kasutajakogemus TOTP seadistamisel, autor @kasparsd, #792
  • Dokumentatsioon: @since dokumentatsioon kasutajalt @masteradhoc päringus #781
  • Dokumentatsioon: Uuenda kasutaja ja administraatori dokumentatsiooni, valmista ette rohkemate kuvatõmmiste jaoks @jeffpaul poolt #701
  • Dokumentatsioon: Lisatud muudatuste logi ja tunnustused, uuendatud väljalaskemärkmed autorilt @jeffpaul muudatuses #696
  • Dokumentatsioon: readme.txt korrastatud @masteradhoc poolt #785
  • Dokumentatsioon: Lisa kuupäeva ja kellaaja teave TOTP seadistamise juhiste kohale, autor @masteradhoc #772
  • Dokumentatsioon: Täpsustati TOTP seadistamise juhiseid kasutaja @masteradhoc poolt #763-s
  • Dokumentatsioon: Uuenda faili RELEASING.md, autor @jeffpaul, #787
  • Arenduse uuendused: Peata juurutused SVN-i trunk-harusse liitmisteks master-harusse, autor @kasparsd, PR #738
  • Arenduse uuendused: Parandatud PHP ühilduvuse CI kontrollid kasutajalt @kasparsd päringus #739
  • Arenduse uuendused: Parandatud Playgroundi viited, autor @kasparsd #744
  • Arenduse uuendused: Säilita olemasolevad tõlked uue abiteksti lisamisel e-kirjadesse, autor @kasparsd, #745
  • Arenduse uuendused: Parandus missing_direct_file_access_protection kasutajalt @masteradhoc muudatuses #760
  • Arenduse uuendused: parandus mismatched_plugin_name autorilt @masteradhoc päringus #754
  • Arenduse uuendused: lisatud Props Boti töövoog, autor @jeffpaul, #749
  • Arendusuuendused: plugina kontroll: parandatud puuduv $domain parameeter, autor @masteradhoc, #753
  • Arenduse uuendused: Testid: uuenda toetatud WP versioonile 6.8, autor @masteradhoc, #770
  • Arenduse uuendused: Parandatud PHP 8.5 iganenud teade autorilt @masteradhoc päringus #762
  • Arenduse uuendused: Välista 7.2 ja 7.3 kontrollid trunk’i suhtes, autor @masteradhoc, #769
  • Arenduse uuendused: parandatud Plugina kontrolli vead: MissingTranslatorsComment & MissingSingularPlaceholder autorilt @masteradhoc muudatuses #758
  • Arenduse uuendused: Lisa PHP 8.5 testid WP uusima ja trunk-versiooni jaoks, autor @masteradhoc, #771
  • Arenduse uuendused: Lisa phpcs:ignore valepositiivsete tulemuste jaoks, autor @masteradhoc, #777
  • Arendusuuendused: Parandus(totp): otpauth link QR-koodi URL-is, autor @sjinks: #784
  • Arenduse uuendused: Uuendas deploy.yml-i @masteradhoc pull requestis #773
  • Arenduse uuendused: Nõutava WordPressi versiooni uuendamine kasutajalt @masteradhoc päringus #765
  • Arenduse uuendused: Parandus: taga, et täitmine peatuks pärast ümbersuunamisi, autor @sjinks päringus #786
  • Arenduse uuendused: Paranda WordPress.Security.EscapeOutput.OutputNotEscaped vead kasutajalt @masteradhoc pull request’is #776
  • Sõltuvuste uuendused: Uuenda qs-i ja expressi, autor @dependabot[bot], #746
  • Sõltuvuste uuendused: lodash uuendatud versioonilt 4.17.21 versioonile 4.17.23 kasutaja @dependabot[bot] poolt muudatuses #750
  • Sõltuvuste uuendused: Uuenda lodash-es versioonilt 4.17.21 versioonile 4.17.23, autor @dependabot[bot], asukohas #748
  • Sõltuvuste uuendused: Värskendati phpunit/phpunit versioonilt 8.5.44 versioonile 8.5.52 kasutajalt @dependabot[bot] taotluses #755
  • Sõltuvuste uuendused: Uuendatud symfony/process versioonilt 5.4.47 versioonile 5.4.51 kasutaja @dependabot[bot] poolt pullitaotluses #756
  • Sõltuvuste uuendused: Uuendatud qs ja body-parser, autor @dependabot[bot], päringus #782
  • Sõltuvuste uuendused: webpack uuendatud versioonilt 5.101.3 versioonile 5.105.0, autor @dependabot[bot] pullitaotluses #780

0.14.2 – 2025-12-11

  • Uued funktsioonid: Lisatud filter rest_api_can_edit_user_and_update_two_factor_options, autor @gutobenn: #689
  • Arenduse uuendused: Eemalda Coverallsi tööriistad ja lisa tekstisisene katvuse aruanne, autor @kasparsd päringus #717
  • Arenduse uuendused: Uuenda blueprinti teed, et see hangiks peaharust, mitte kustutatud f… by @georgestephanis in #719
  • Arenduse uuendused: Paranda blueprinti ja wporgi varade juurutused, autor @kasparsd, #734
  • Arenduse uuendused: Laadi väljalase üles ainult sildi väljalasete puhul, autor @kasparsd, #735
  • Arenduse uuendused: @dependabot[bot] uuendas playwrighti ja @playwright/testi päringus #721
  • Arenduse uuendused: Värskendati tar-fs versioonilt 3.1.0 versioonile 3.1.1 kasutaja @dependabot[bot] poolt päringus #720
  • Arenduse uuendused: Bump node-forge versioonilt 1.3.1 versioonile 1.3.2, autor @dependabot[bot], PR #724
  • Arenduse uuendused: @dependabot[bot] uuendas js-yaml versioonis #725
  • Arenduse uuendused: Märgitud testituks uusima WP tuuma versiooniga, tegi @kasparsd: #730

0.14.1 – 2025-09-05

  • Ära kodeeri TOTP URL-i kuvamiseks URI-kodeeringuga. autor @dd32 #711
  • Eemaldatud duplikaat Security.md kasutajalt @slvignesh05 taotluses #712
  • Parandatud lintimise probleemid, autor @sudar: #707
  • Värskendati arendussõltuvusi ja parandati ebaõnnestuv QR-i ühikutest kasutajalt @kasparsd muudatuses #714
  • Käivita märkeruudu js-i muutmise sündmus, autor @gedeminas muudatuses #688

0.14.0 – 2025-07-03

  • Funktsioonid: Luba rakenduse paroolid REST API ja XML-RPC autentimiseks (vaikimisi) @joostdekeijzer poolt taotlustes #697 ja #698. Varem nõudis see filtri two_factor_user_api_login_enable seadmist väärtusele true, mis on nüüd rakenduse parooliga autentimisel vaikimisi. XML-RPC sisselogimine on tavaliste kasutajaparoolide jaoks endiselt keelatud.
  • Funktsioonid: Märgista soovitatud viisid seadistamise lihtsustamiseks kasutajalt @kasparsd päringutes #676 ja #675
  • Dokumentatsioon: Lisa WP.org plugina demo kasutajalt @kasparsd siit #667
  • Dokumentatsioon: WP tuuma ja PHP toetatud versioonide dokumenteerimine @jeffpaul poolt #695
  • Dokumentatsioon: Dokumenteeri väljalaskeprotsess, autor @jeffpaul, #684
  • Tööriistad: eemalda duplikaatsed WP.org-i kuvatõmmised ja graafika SVN-i trunk’ist, autor @jeffpaul, #683

0.13.0 – 2025-04-02

  • Lisa two_factor_providers_for_user filter, et piirata igale kasutajale saadaolevaid kahefaktorilise autentimise pakkujaid, autor @kasparsd muudatuses #669
  • Värskenda automatiseeritud testimist, et katta PHP 8.4 ja kasutada vaikimisi PHP 8.3, autor @BrookeDot: #665

Vaata täielikke muudatuste logi üksikasju siit.