Админка сайта, панель хостинга, FTPS, SFTP, SSH — у одного сайта обычно несколько точек входа. Достаточно оставить без защиты хотя бы одну из них, чтобы потенциальный злоумышленник получил доступ не только к страницам сайта, но и к файлам, базе данных или настройкам сервера. В статье разбираемся, как работает двухфакторная аутентификация для сайта, где ее стоит включать в первую очередь и как настроить защиту без лишней сложности.
Зачем сайту нужна двухфакторная аутентификация
Когда говорят о защите сайта, чаще всего думают об админке CMS. Но у сайта редко есть только одна точка входа. Даже небольшой проект обычно включает панель управления хостингом, доступ к FTPS, SSH, учетные записи администраторов и сервисы интеграций.
Если злоумышленник получает логин и пароль от одного из таких аккаунтов, последствия могут быть неприятнее, чем просто изменение страницы сайта. Например:
- загрузка вредоносного кода в файлы сайта;
- подмена платежной страницы интернет-магазина;
- кража базы клиентов;
- создание скрытого административного аккаунта;
- использование сервера для рассылки спама.
На практике сценарий может выглядеть довольно буднично. К примеру, администратор интернет-магазина получает письмо якобы от хостинг-провайдера: «Подтвердите настройки аккаунта». Переходит по ссылке из письма, «подтверждает» — и после этого логин и пароль попадают к злоумышленнику. Если в качестве защиты используется только пароль, доступ к панели управления уже открыт. Если же включена двухфакторная аутентификация для входа на сайт или в панель управления хостингом, потребуется еще и второй фактор подтверждения — например, код из приложения.
Принцип работы выглядит просто:
Пароль → подтверждение вторым фактором → доступ
Вторым фактором может быть одноразовый код, push-уведомление, приложение-аутентификатор или аппаратный ключ.
При этом защищать стоит не только сам сайт. Что лучше закрыть в первую очередь:
- админку сайта и учетные записи администраторов;
- CMS — например WordPress, Битрикс, Joomla или Drupal;
- панель управления хостингом;
- FTPS, SFTP и SSH-доступы;
- учетные записи сотрудников и подрядчиков.
Для интернет-магазинов это особенно важно. Здесь компрометация учетной записи может означать не только проблемы с сайтом, но и утечку данных клиентов, изменение каталога или вмешательство в процесс оплаты.
Двухфакторная аутентификация для сайта не делает систему «невзламываемой», но сильно усложняет атаку. Украденного пароля уже недостаточно — злоумышленнику нужен еще и второй фактор, который находится у владельца аккаунта.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Какие способы 2FA подходят для сайта и хостинга
Не все способы двухфакторной аутентификации одинаково удобны для сайта, панели управления хостингом и рабочих сценариев администраторов. Например, SMS-код может подойти для личного проекта, но для команды с несколькими администраторами или доступами к критичным системам обычно выбирают более устойчивые варианты.
| Способ | Плюсы | Ограничения | Где использовать |
|---|---|---|---|
|
SMS-коды |
легко подключить |
возможен перехват, зависит от связи |
небольшие сайты |
|
Приложения-аутентификаторы |
не зависят от оператора, быстро работают |
нужен резервный способ восстановления |
CMS, панели управления хостингом |
|
Аппаратные ключи и токены |
высокий уровень защиты |
нужно покупать устройства |
аккаунты администраторов и критичные системы |
|
Push-уведомления и биометрия |
удобно для пользователя |
поддерживаются не везде |
мобильные и корпоративные сервисы |
Для большинства сценариев настройки двухфакторной аутентификации на сайте оптимальным вариантом обычно становятся приложения-аутентификаторы. Они генерируют одноразовые коды прямо на устройстве и не требуют связи с оператором.
SMS сегодня обычно считают скорее базовым вариантом защиты. Проблема не только в возможном перехвате сообщений. Бывают и более простые ситуации: телефон оказался вне зоны действия сети, SIM-карта перестала работать или сотрудник сменил номер и не обновил данные в системе.
Аппаратные ключи чаще используют для административных доступов. Например, когда если одна учетная запись дает доступ сразу к нескольким сайтам, облачной инфраструктуре или панели управления сервером.
Где включать 2FA: сайт, хостинг и доступы администратора
CMS и админка сайта
При настройке двухфакторной аутентификации для веб-сайта нередко совершают одну ошибку — защищают только вход в админку. Но если панель управления хостингом или FTPS остаются без дополнительной проверки, злоумышленник может просто обойти этот уровень защиты. Для популярных CMS сценарии обычно схожи:
- перейти в раздел безопасности;
- включить двухфакторную аутентификацию;
- подключить приложение-аутентификатор;
- сохранить резервные коды;
- проверить вход.
Разница обычно в реализации:
- для WordPress часто используют отдельный плагин двухфакторной аутентификации;
- в Битриксе часть возможностей встроена в систему;
- Joomla и Drupal поддерживают расширения для 2FA;
- в интернет-магазинах дополнительно стоит включать защиту для всех администраторов и сотрудников, а не только для владельца сайта.
Например, если в интернет-магазине доступ к каталогу есть у маркетолога, а к заказам — у менеджера, компрометация любой учетной записи может повлиять на работу всего проекта.
Панель управления хостингом и доступы к файлам
Еще одна зона риска — инфраструктурные доступы. Даже если двухфакторная аутентификация для админки сайта настроена правильно, вход через хостинг может дать доступ ко всему проекту. Дополнительную защиту стоит включить для:
- панели управления хостингом — cPanel, ISPmanager, REG.RU и других;
- FTPS-доступов;
- SSH-подключений;
- облачных платформ и серверов.
В большинстве панелей сценарии похожи: пользователь открывает раздел безопасности, включает двухфакторную аутентификацию, сканирует QR-код через приложение и сохраняет резервные коды.
Есть еще одна ситуация, о которой часто забывают: у сайта может быть несколько администраторов и подрядчиков. К примеру, один сотрудник отвечает за контент, второй — за сервер, третий — за интеграции. Если каждому выдавать отдельные настройки вручную, управлять доступами быстро становится сложно.
В таких случаях удобнее использовать централизованный подход. Например, сервис ID от Контур.Эгиды позволяет настроить двухфакторную аутентификацию и управлять доступами из одной точки: настраивать политики входа, подключать второй фактор и централизованно управлять доступами к корпоративным ресурсам. Это особенно полезно, когда доступы есть не у одного администратора, а у команды.
Бесплатные и корпоративные решения: что выбрать
Если сайт небольшой и им управляет один человек, для настройки двухфакторной аутентификации часто достаточно встроенных возможностей CMS или бесплатного плагина. Например, многие решения для WordPress, Joomla и других систем позволяют быстро подключить приложение-аутентификатор и добавить дополнительное подтверждение входа. Но по мере роста проекта появляются ограничения:
- у сайта уже несколько администраторов;
- появляются подрядчики;
- используются VPN, серверы, облачные сервисы и корпоративные системы;
- нужно контролировать доступы сотрудников.
В этот момент задача уже не сводится к тому, как подключить двухфакторную аутентификацию к сайту. Появляется вопрос управления: кто имеет доступ, когда он был выдан и что делать, если сотрудник ушел из компании.
Условно выбор выглядит так:
| Что нужно защитить | Достаточные меры |
|---|---|
|
Личный сайт или небольшой проект |
встроенные функции или плагин |
|
Интернет-магазин с несколькими сотрудниками |
решение с управлением ролями |
|
Корпоративная инфраструктура |
централизованная система управления доступом |
Для компаний удобнее работать через единую точку управления. Например, если сотрудник увольняется, администратору не придется вручную заходить в каждую систему и отключать доступ отдельно — достаточно сделать это в одном сервисе.
Как не потерять доступ после включения 2FA
Одна из возможных проблем при внедрении двухфакторной аутентификации — не потенциальный взлом, а случайная блокировка собственных пользователей. Телефон потеряли, приложение удалили, сотрудник сменил устройство — и войти уже нельзя. Чтобы не столкнуться с такой ситуацией, лучше сразу предусмотреть резервный сценарий.
Что стоит сделать сразу после настройки:
- сохранить резервные коды восстановления;
- добавить дополнительный способ подтверждения;
- назначить резервного администратора;
- проверить процедуру восстановления доступа;
- удалить старые и неиспользуемые учетные записи.
Есть еще одна распространенная ошибка — использовать один сценарий подтверждения вообще для всех сервисов. Например, привязать все рабочие системы к одному устройству сотрудника без резервного варианта.
Представьте ситуацию: системный администратор использовал единственный смартфон для входа в панель хостинга, корпоративную почту и облачную инфраструктуру. Телефон сломался в выходные. С точки зрения безопасности все настроено правильно, но доступ к рабочим системам может приостановиться до восстановления устройства.
Если с сайтом работает команда, важно не ограничиваться технической настройкой. Сотрудникам нужно объяснить, зачем вводится дополнительный уровень защиты и что изменится в работе. Обычно сопротивление появляется не из-за самой двухфакторной аутентификации, а потому, что люди не понимают, зачем им теперь нужно делать дополнительный шаг при входе.
Также полезно периодически проверять доступы: кто еще может войти в систему, нужны ли эти права сотруднику сейчас и не остались ли активными старые учетные записи подрядчиков. Иногда именно такие «забытые» доступы становятся самой слабой точкой защиты.
Частые вопросы
Нет. Двухфакторная аутентификация влияет только на процесс входа пользователя в систему: например, в админку, панель управления хостингом или личный кабинет администратора. Посетители сайта не заметят разницы в скорости загрузки страниц.
После подключения двухфакторной аутентификации лучше сразу провести небольшую проверку:
- выйти из учетной записи и войти снова;
- убедиться, что система запрашивает второй фактор;
- проверить резервные коды восстановления;
- убедиться, что второй фактор работает у всех администраторов;
- проверить доступы к панели хостинга, FTPS и другим связанным сервисам.
Если двухфакторная аутентификация включена только в одном месте, а остальные точки входа остались без защиты, часть риска все равно сохранится.
Главное — не отключать защиту в спешке. Если при настройке вы сохранили резервные коды восстановления или добавили дополнительный способ подтверждения, войти в систему обычно можно без проблем. Если резервного сценария нет, доступ придется восстанавливать через настройки конкретного сервиса или через администратора системы.
Иногда это действительно нужно — например, при замене устройства или настройке нового приложения-аутентификатора. Но лучше не отключать двухфакторную аутентификацию полностью, а использовать резервный способ входа или временный код восстановления. Если отключение все же необходимо, после завершения работ стоит сразу включить защиту снова и проверить настройки доступа.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.