<b>Двухфакторная аутентификация: как закрыть вход, даже если пароль уже утёк</b>
Пароль — это только первая линия. Если на сайте включена 2FA, украденный пароль сам по себе не даёт доступ в админку. Для WordPress это особенно важно: атакуют не только вручную, но и массовыми переборами, где слабое место одно — логин и пароль.
Что важно настроить:
— включить 2FA для всех пользователей с правами администратора;
— не ограничиваться SMS: лучше приложение-генератор кодов или аппаратный ключ;
— сохранить резервные коды в безопасном месте, а не в почте и не в чате;
— проверить, что вход через REST API, SSO и другие обходные пути тоже не оставляет дыру.
Частая ошибка — включить 2FA только на одном аккаунте и забыть про остальных. Если у редактора, разработчика или владельца хостинга есть доступ в панель, атакующий найдёт самый слабый вход. Ещё один риск — зависимость от единственного телефона без резервного метода восстановления 🔐
Если у вас WordPress с несколькими ролями, включайте 2FA как обязательное правило для всех, кто может менять плагин, тему, пользователей и настройки сайта. Это один из немногих шагов, который резко снижает шанс захвата без сложной настройки.
Защита WordPress от взломов
@wp_security_guard_ww
<b>Двухфакторная аутентификация: как закрыть вход, даже если пароль уже утёк</b>
Этот пост опубликован в Telegram-канале Защита WordPress от взломов. Подписаться можно по ссылке: @wp_security_guard_ww.