Главная  >  Как сделать двойную авторизацию в WordPress без плагинов

Как сделать двойную авторизацию в WordPress без плагинов

Двухфакторная аутентификация (2FA) — важный элемент защиты сайта на WordPress, который значительно снижает риски несанкционированного доступа даже при компрометации пароля. В этой статье мы рассмотрим, как реализовать двухфакторную авторизацию без установки дополнительных плагинов, используя собственный код. Такой подход помогает минимизировать нагрузку на сайт и избежать проблем с совместимостью плагинов.

Почему стоит реализовывать 2FA самостоятельно? Преимущества и недостатки

Готовые решения, такие как Google Authenticator, Authy и другие плагины, удобны, но часто включают лишние функции и влияют на производительность сайта. Самостоятельная реализация позволяет:

  • Контролировать процесс и адаптировать код под свои задачи.
  • Минимизировать количество сторонних зависимостей и плагинов.
  • Обеспечить гибкость и безопасность, интегрируя 2FA именно так, как нужно.

Однако такой подход требует базовых знаний PHP и понимания работы WordPress, а также тщательного тестирования перед внедрением на продакшн.

Как работает двухфакторная аутентификация в WordPress: общий принцип

Двухфакторная аутентификация подразумевает, что для входа в административную панель пользователю нужно дополнительно ввести код, который генерируется динамически и отправляется, например, на email или мобильное устройство. Таким образом:

  1. Пользователь вводит логин и пароль.
  2. Если данные верны, система генерирует уникальный код и отправляет его.
  3. Пользователь вводит полученный код для подтверждения.
  4. Если код совпадает, пользователь получает доступ.

В нашем примере мы реализуем отправку кода на email, так как это самый простой и универсальный вариант.

Реализация двухфакторной аутентификации без плагинов: пошаговое руководство

Шаг 1. Добавляем поле для ввода кода на страницу входа

Чтобы добавить дополнительное поле для ввода 2FA-кода, используем хук login_form и выведем HTML перед кнопкой входа.

add_action('login_form', 'wplock_add_2fa_field');
function wplock_add_2fa_field() {
    echo '<p><label for="wplock_2fa_code">Код подтверждения (2FA):<br><input type="text" name="wplock_2fa_code" id="wplock_2fa_code" class="input" size="20" /></label></p>';
}

Шаг 2. Обработка логина и отправка кода на email

При первом шаге логина, когда пользователь вводит логин и пароль, нам нужно проверить правильность данных и сгенерировать код для второго шага.

Для этого используем хук wp_authenticate_user, который срабатывает после проверки логина и пароля.

add_filter('wp_authenticate_user', 'wplock_check_password_and_send_code', 10, 2);
function wplock_check_password_and_send_code($user, $password) {
    if (is_wp_error($user)) {
        return $user;
    }

    // Генерируем 6-значный код
    $code = wp_rand(100000, 999999);

    // Сохраняем код в метаполе пользователя с временным сроком
    update_user_meta($user->ID, 'wplock_2fa_code', $code);
    update_user_meta($user->ID, 'wplock_2fa_code_time', time());

    // Отправляем email с кодом
    $to = $user->user_email;
    $subject = 'Ваш код подтверждения для входа на сайт';
    $message = 'Здравствуйте, ' . $user->user_login . "\n\n" .
               'Ваш код подтверждения: ' . $code . "\n" .
               'Он действителен 5 минут.';

    wp_mail($to, $subject, $message);

    // Отключаем стандартный логин, чтобы дождаться ввода кода
    return new WP_Error('wplock_2fa_required', __('Введите код подтверждения, отправленный на ваш email.'));
}

Шаг 3. Проверка кода 2FA при повторной отправке формы

Когда пользователь вводит код в дополнительном поле, нужно проверить совпадение с сохранённым и срок действия кода. Для этого используем хук authenticate.

add_filter('authenticate', 'wplock_verify_2fa_code', 30, 3);
function wplock_verify_2fa_code($user, $username, $password) {
    if (is_a($user, 'WP_User')) {
        // Если уже аутентифицирован, возвращаем пользователя
        return $user;
    }

    if (empty($username) || empty($password)) {
        return $user;
    }

    $user = get_user_by('login', $username);
    if (!$user) {
        return new WP_Error('invalid_username', __('Неверное имя пользователя.'));
    }

    // Проверяем пароль
    if (!wp_check_password($password, $user->data->user_pass, $user->ID)) {
        return new WP_Error('incorrect_password', __('Неверный пароль.'));
    }

    // Получаем введенный код 2FA
    $code_input = isset($_POST['wplock_2fa_code']) ? sanitize_text_field($_POST['wplock_2fa_code']) : '';

    if (empty($code_input)) {
        return new WP_Error('2fa_code_empty', __('Пожалуйста, введите код подтверждения.'));
    }

    $code_saved = get_user_meta($user->ID, 'wplock_2fa_code', true);
    $code_time = get_user_meta($user->ID, 'wplock_2fa_code_time', true);

    // Проверяем срок действия кода (5 минут)
    if (!$code_saved || !$code_time || (time() - $code_time) > 300) {
        return new WP_Error('2fa_code_expired', __('Код подтверждения истёк. Попробуйте войти заново.'));
    }

    if ($code_input !== $code_saved) {
        return new WP_Error('2fa_code_invalid', __('Неверный код подтверждения.'));
    }

    // Удаляем код после успешной проверки
    delete_user_meta($user->ID, 'wplock_2fa_code');
    delete_user_meta($user->ID, 'wplock_2fa_code_time');

    // Возвращаем объект пользователя для успешного входа
    return $user;
}

Улучшение безопасности и удобства

Защита от перебора кода

Рекомендуется добавить ограничение по количеству попыток ввода кода 2FA, чтобы предотвратить атаки перебором. Например, можно сохранять счётчик попыток в сессии или метаполе пользователя и блокировать вход после 5 неудачных попыток на 15 минут.

Кастомизация уведомлений и дизайна

Для улучшения UX можно стилизовать страницу входа, добавить подсказки и информировать пользователя о сроке действия кода. Если у вас есть тема Reboot или JournalX, можно легко добавить свои стили через login_enqueue_scripts.

Использование плагина Clearfy для оптимизации

Если вам нужно дополнительно оптимизировать безопасность и скорость сайта, обратите внимание на Clearfy Pro. Этот плагин помогает отключить ненужные функции WordPress и повысить общую защиту.

Выводы и советы

Реализация двухфакторной аутентификации на WordPress своими силами — отличный способ повысить безопасность сайта без лишних плагинов. Главное — тщательно протестировать код и обеспечить удобство для конечных пользователей. В дальнейшем можно расширить функционал, добавив поддержку Google Authenticator или SMS, но базовый email-код уже значительно улучшит защиту.

Если вы хотите более удобное решение с расширенными возможностями, рекомендуем рассмотреть специализированные плагины, но для большинства проектов описанный способ отлично подойдет.

Как изменить вывод сообщений об ошибках в WordPress
21.02.2026
Как отключить комментарии на отдельных страницах WordPress
06.02.2026
Как автоматически удалять старые ревизии в WordPress и оптимизировать базу данных
30.01.2026
Как закрыть доступ к административной панели WordPress для посторонних
15.12.2025
Как сделать отладку в WordPress с помощью Xdebug
25.11.2025

Последние статьи