System Joomla posiada wbudowane narzędzie pozwalające na zabezpieczenie logowania do zaplecza strony za pomocą generowanego co pół minuty kodu token, co praktycznie uniemożliwia nieautoryzowany dostęp osobom postronnym. Dodatkowo rozwiązanie to jest bezpłatne i całkowicie bezpieczne lecz należy pamiętać, iż współpracuje ono wyłącznie z systemowymi rozszerzeniami Joomla!
Jak włączyć zabezpieczenie?
Po zalogowaniu się do zaplecza należy wybrać z menu Rozszerzenia->Dodatki i w okienku wyszukiwania wpisać "google". Wówczas wyświetli się wtyczka nosząca nazwę Weryfikacja dwuetapowa - Google Authenticator.
Proponuję w nią wejść, gdyż wówczas możliwe jest wybranie, czy tego typu sposób logowania dotyczyć ma wyłącznie strony frontowej, wyłącznie części administracyjnej czy też obu części witryny. Proponuję początkowo ustawić Administrator (zaplecze) - dlaczego, dowiesz się w dalszej części artykułu. Następnie z prawej strony ustaw parametr Stan na Włączony i naciśnij przycisk "Zapisz i zamknij" znajdujący się w górnej części strony.
Przypisywanie weryfikacji dwuetapowej do użytkowników
Kolejnym krokiem jest ustawienie sposobu logowania dla poszczególnych użytkowników. W menu zaplecza należy więc wybrać Użytkownicy->Użytkownicy aby wyświetlić wszystkich użytkowników strony. Aby rozwiązanie to miało sens, opisane poniżej kroki (pokazane dla jednego użytkownika) należy zastosować wobec wszystkich użytkowników posiadających dostęp do zaplecza administracyjnego.
Wejdźmy więc w dowolnego użytkownika posiadającego możliwość zalogowania się do części administracyjnej witryny. Po wczytaniu karty użytkownika pojawia się zakładka Weryfikacja dwuetapowa, w którą należy wejść. Z rozwijalnej listy określającej Metodę weryfikacji wybieramy Google Authenticator, jak to widać na obrazku poniżej.
Pobranie oraz instalacja Google Authenticator
Weryfikacja dwuskładnikowa, jak wspominałem wcześniej, polega na włączeniu dodatkowego pola w formularzu logowania, w które wpisuje się kod token generowany przez aplikację. Jest to właśnie Google Authenticator, program działający na urządzeniach mobilnych wyposażonych w systemy Android, iOS czy też Blackberry. Informacje odnośnie samego programu, jego instalacji oraz konfiguracji znaleźć można na stronie https://support.1d5920f4b44b27a802bd77c4f0536f5a-gdprlock/accounts/answer/1066447?hl=pl , dlatego też nie będę się tutaj specjalnie na ten temat rozpisywał. Po pobraniu programu należy program skonfigurować, co uczynić można albo przepisując widoczne w sekcji Krok 2 - Ustawienia karty użytkownika dane (czyli Konto oraz Klucz), bądź skanując kod QR z użyciem zainstalowanego w urządzeniu moblinym aparatu fotograficznego oraz oprogramowania do czytania kodów QR. Aplikacja wygeneruje wówczas kod autoryzacyjny, który należy wpisać w sekcji Krok 3.
Jeżeli wszystko przebiegło pomyślnie wyświetlona zostanie stosowna informacja, a na samym końcu zakładki Weryfikacji dwuetapowej pojawią się hasła jednorazowe, które radzę gdzieś sobie zapisać - przydadzą się one w przypadku, gdy urządzenie z zainstalowanym Google Authenticatorem zostanie skradzione lub zgubione - wówczas podając kod jednorazowy można zalogować się do zaplecza.
W samej aplikacji dodać można wiele stron, co jest wygodnym rozwiązaniem w przypadku posiadania wielu serwisów internetowych.
Czas na zobaczenie weryfikacji dwuetapowej w akcji
Aby zobaczyć jak to działa należy wylogować się z zaplecza. Yupi, w formularzu pojawiło się trzecie okienko - właśnie to, w które należy wpisać kod generowany przez Google Authenticator.
Tak więc komórki czy tam inne tablety w dłoń i odpalamy aplikację Google Authenticator. W formularzu wpisujemy ten sam login i hasło, które wpisywaliśmy do tej pory dla swojego konta oraz kod widoczny w programie. Po naciśnięciu Zaloguj (jeśli wszystko zostało wprowadzone prawidłowo) zostaniecie przeniesieni na zaplecze. A co jeśli nie zdążycie wpisać kodu? Nic straconego, wpiszcie kolejny który się wyświetlił na ekranie urządzenia moblinego - macie na to 30 sekund.
Miłego używania.
