Firma Automattic ogłosiła wprowadzenie dwuetapowej weryfikacji w usłudze WordPress.com. Metoda ta czyni proces logowania do konta bezpieczniejszym (nawet w wypadku przejęcia lub odgadnięcia hasła), jednocześnie utrudniając nieautoryzowany dostęp do niego. Dwuetapowa autoryzacja jest już dostępna dla wszystkich użytkowników usługi – wystarczy włączyć ją w ustawieniach konta.

Dwuetapowa weryfikacja polega na tym, że poza loginem i hasłem podczas logowania musimy podać dodatkowo specjalny kod weryfikacyjny. Wprowadzona w WordPress.com weryfikacja jest oparta na usłudze firmy Google, dzięki czemu osoby, które już korzystają z tego zabezpieczenia poczują się jak w domu. Więcej na temat systemu można przeczytać na specjalnej stronie.

Aby skorzystać z weryfikacji dwuetapowej należy pobrać aplikację Google Authenticator, dostępną na platformy iOS (iPhone, iPad, iPod touch), Android i BlackBerry. Osoby, które nie posiadają telefonu z którymś z tych systemów, mogą również skorzystać z weryfikacji za pomocą wiadomości SMS.

Aby włączyć autoryzację dwuetapową należy przejść do zakładki Security i postępować zgodnie z instrukcjami. Jeśli korzystamy już z aplikacji autoryzacyjnej, możemy przejść dalej klikając link Verify the code now. Jeśli chcemy skorzystać z kodów autoryzacyjnych wysyłanych SMSami, powinniśmy kliknąć link use Two Step Authentication via SMS.

Po zainstalowaniu aplikacji Google Authenticator zostaniemy poproszeni o jej uruchomienie i zeskanowanie wyświetlanego na stronie kodu QR. Gdy to zrobimy, do aplikacji zostanie dodana sekcja z kodem dla logowania w usłudze WordPress.com. Kod ten zmienia się co 30 sekund, tak więc szansa, że ktoś zdąży go podejrzeć i z niego skorzystać, jest bardzo niewielka.

Jeśli cała procedura aktywacji weryfikacji dwuetapowej przebiegła pomyślnie, to od tej pory podczas każdego logowania będziemy dodatkowo musieli podać wygenerowany przez aplikację lub przesłany SMSem kod.

Jeśli korzystamy z jakichś aplikacji, które do działania wymagają loginu i hasła do usługi WordPress.com, to będziemy musieli wygenerować dla nich specjalne hasło, którego użyjemy zamiast naszego głównego hasła. W ten sposób w każdej chwili będziemy mogli odebrać wybranej aplikacji dostęp do naszego konta bez konieczności zmieniania hasła.

Warto również wygenerować (na wszelki wypadek) kody bezpieczeństwa (Backup Codes), które pozwolą nam na dostęp do konta w momencie gdy stracimy telefon. Kody te należy przechowywać w bezpiecznym miejscu.

Więcej na temat dwuetapowej weryfikacji w usłudze WordPress.com można przeczytać w oficjalnej dokumentacji.

Oczywiście pod wpisem z informacją o wprowadzeniu nowej funkcji nie mogło zabraknąć pytania o użytkowników WordPressa, którzy korzystają z własnych serwerów. Odpowiedź, jaka padła, pozwala mieć nadzieję, że dwuetapowa weryfikacja trafi prędzej czy później do wtyczki Jetpack, dzięki czemu wszyscy będziemy mogli z niej korzystać.