Popis
Google Authenticator plugin pro WordPress umožňuje používat dvoufaktorové ověřování aplikací Google Authenticator pro Android/iPhone/Blackberry.
Pokud máš povědomí o bezpečnosti, možná už máš aplikaci Google Authenticator v telefonu nainstalovanou a používáš ji pro Gmail/Dropbox/Lastpass/Amazon atd.
Dvoufaktorové ověření lze nastavit pro každého uživatele zvlášť. Můžeš ho nastavit pouze pro účet administrátora, a přitom se přihlašovat jako obvykle méně důležitými účty.
Pokud ke svému blogu chceš přistupovat z aplikace pro Android/iPhone, nebo jiným programem který využívá rozhraní XMLRPC, můžeš v tomto pluginu zapnout možnost Aplikačního hesla,
ale zapnutí této možnosti sníží celkovou bezpečnost přihlašování.
Autoři
Děkuji:
Oleksiy for a bugfix in multisite.
Paweł Nowacki for the Polish translation
Fabio Zumbi for the Portuguese translation
Guido Schalkx for the Dutch translation.
Henrik.Schack for writing/maintaining versions 0.20 through 0.48
Tobias Bäthge za přepsání kódu a německý překlad.
Pascal de Bruijn za jeho nápad s „uvolněným režimem“.
Daniel Werl for jeho tipy o použitelnosti.
Dion Hulse za jeho opravy chyb.
Aldo Latino za jeho překlad do italštiny.
Kaijia Feng za jeho překlad do zjednodušené čínštiny.
Alex Concha za jeho bezpečnostní tipy.
Jerome Etienne za jeho plugin jquery-qrcode.
Sébastien Prunier za jeho španělský a francouzský překlad.
Snímky obrazovky
Instalace
- Ujisti se že tvůj hosting poskytuje přesné informace o čase PHP a WordPressu, tedy že na jejich serveru běží démon NTP.
- Nainstaluj a aktivuj plugin.
- Nastav popis na stránce Uživatelé -> Profil v sekci Google Authenticator.
- Načti vygenerovaný kód v telefonu, nebo ho zadej ručně, pamatuj že máš vybrat ten který je založený na čase.
Může se ti také hodit zapsat si kód na papír a bezpečně jej uschovat. - Před opuštěním stránky Osobní nezapomeň kliknout na Upravit profil dole na stránce.
- To je vše, tvůj WordPress je teď o trochu bezpečnější.
Nejčastější dotazy
-
Mohu používat Google Authenticator pro WordPress dohromady s aplikací WordPress pro Android/iPhone?
-
Ano, je to možné zapnutím Aplikačního hesla, ale rozhraní XMLRPC není chráněno dvoufaktorovým přihlášením, pouze dlouhým heslem.
-
Chci si upravit záznam, mám si jen načíst nový QR kód s nově vytvořeným heslem?
-
Ne, před načtením nového QR kódu je potřeba napřed smazat existující záznam z aplikace Google Authenticator na telefonu, a nebo změnit jeho popis.
-
Nemohu se tímto pluginem přihlásit, v čem je chyba?
-
Ověřovací kódy z aplikace Google Authenticator jsou časově omezené, takže je důležité, aby čas na vašem telefonu byl stejný jako čas na serveru kde je nainstalován váš WordPress.
Pokud máte na telefonu Android, můžete použít aplikaci jako ClockSync k nastavení přesného času, pokud váš operátor neposkytuje přesný čas přímo
Další možností je zapnout „uvolněný režim“ v nastavení pluginu, což zvýší počet platných kódů navýšením tolerovaného časového posunu o až 4 minuty v obou směrech. -
Mám ve WordPressu víc uživatelů, je tato možnost podporována?
-
Ano, každý uživatel má vlastní nastavení pro Google Authenticator.
-
Během instalace jsem zapoměl ověřit zda můj hosting dokáže poskytovat informace o přesném čase a teď se nemohu přihlásit, co mám dělat?
-
Pokud máte ke svému hostingu přístup pomocí SSH nebo FTP, můžete pluginy mazat přímo ve své instalaci WordPressu,
stačí smazat adresář wp-content/plugins/google-authenticator a můžete se zase přihlásit svým uživatelským jménem a heslem. -
Nemám chytrý telefon, je tu i jiná možnost jak generovat tyto jednorázové kódy?
-
Yes, there is a webbased version here : https://gauth.apps.gbraad.nl/
Github project here : https://github.com/gbraad/gauth -
Můžu si vytvořit záložní kódy?
-
Ne, ale pokud používáte na telefonu Android, můžete nahradit Google Authenticator aplikací Authenticator Plus.
Je to dobrá aplikace která umí načíst stávající nastavení, synchronizovat data mezi zařízeními a zálohovat a obnovit nastavení přes SD kartu.
Aplikace není zadarmo ale za tu cenu stojí. -
Jsou nějaké známé nekompatibility?
-
Ano, kód pro detekci útoku Man-in-the-middle není kompatibilní s testovacím režimem a úvodním nastavením pluginu „Stop spammer registration“, takže nezapomeňte před instalací mého pluginu vypnout volbu „Check credentials on all login attempts“.
Recenze
Autoři
Google Authenticator je otevřený software. Následující lidé přispěli k vývoji tohoto pluginu.
SpolupracovníciPlugin „Google Authenticator“ byl přeložen do 15 jazyků. Děkujeme všem překladatelům za jejich pomoc.
Přeložte “Google Authenticator” do svého jazyka.
Zajímá vás vývoj?
Prohledejte kód, podívejte se do SVN repozitáře, nebo se přihlaste k odběru protokolu vývoje pomocí RSS.
Přehled změn
0.54
- Fixed a bug in multisite.
0.53
- Add a Polish translation
0.52
- Add a Dutch translation
- Add a Portuguese translation
0.51
- Fix a regression that broke app passwords
0.50
- New maintainer ivankk
- Conditionally include base32 class
0.49
- More streamlined sign-up flow for users, configuration screen for admins.
- Multisite support to either enable 2fa by role on a site, and/or on a network.
- Added filter google_authenticator_needs_setup to determine if user needs to enable 2fa.
- Added two part login process that can ask for 2fa code on a second login screen.
- Fixed a security bug that continued check_otp even if authenticate had already returned an error.
0.48
- Bezpečnostní opravy a kompatibilita s WordPress 4.5
0.47
- Google chart API replaced with jquery-qrcode
- QR codes now contain a heading saying WordPress (Feature request by Flemming Mahler)
- Danish translation & updated .pot file.
- Plugin now logs login attempts recognized as Man-in-the-middle attacks.
0.46
- Man-in-the-middle attack protection added.
- Show warning before displaying the QR code.
- FAQ updated.
0.45
- Spaces in the description field should now work on iPhones.
- Some depricated function calls replaced.
- Code inputfield easier to use for .jp users now.
- Sanitize description field input.
- App password hash function switched to one that doesn’t have rainbow tables available.
- PHP notices occurring during app password login removed.
0.44
- Installation/FAQ section updated.
- Simplified Chinese translation by Kaijia Feng added.
- Tabindex on loginpage removed, no longer needed, was used by older WordPress installations.
- Inputfield renamed to „googleotp“.
- Defaultdescription changed to „WordPressBlog“ to avoid trouble for iPhone users.
- Compatibility with Ryan Hellyer’s plugin http://geek.ryanhellyer.net/products/deactivate-google-authenticator/
- Must enter all 6 code digits.
0.43
- It’s now possible for an admin to hide the Google Authenticaator settings on a per-user basis. (Feature request by : Skate-O)
0.42
- Autocomplete disabled on code input field. (Feature request by : hiphopsmurf)
0.41
- Italian translation by Aldo Latino added.
0.40
- Bugfix, typo corrected and PHP notices removed. Thanks to Dion Hulse for his patch.
0.39
- Bugfix, Description was not saved to WordPress database when updating profile. Thanks to xxdesmus for noticing this.
0.38
- Usability fix, input field for codes changed from password to text type.
0.37
- The plugin now supports „relaxed mode“ when authenticating. If selected, codes from 4 minutes before and 4 minutes after will work. 30 seconds before and after is still the default setting.
0.36
- Bugfix, now an App password can only be used for XMLRPC/APP-Request logins.
0.35
- Přidána podpora aplikace WordPress (XMLRPC).
0.30
- Vyčištění kódu
- Změna generování kódu, která nyní již nevyžaduje SHA256 na serveru
- Německý překlad
0.20
- První vydání