MarckDev
Të gjithë artikujt

1 korrik 2026 · 4 min lexim

Verifikimi me dy faktorë në WordPress dhe PrestaShop: udhëzues i shpejtë

Verifikimi me dy faktorë në WordPress dhe PrestaShop: udhëzues i shpejtë

Shumica e faqeve të kompromentuara që na vijnë në asistencë kanë një pikë hyrjeje banale: një akses administratori i mbrojtur vetëm nga një fjalëkalim, ndoshta i ripërdorur në shërbime të tjera. Verifikimi me dy faktorë në WordPress dhe PrestaShop është ndërhyrja e sigurisë me raportin më të mirë mes përpjekjes dhe përfitimit: aktivizohet brenda një pasditeje dhe bllokon pjesën më të madhe të sulmeve ndaj llogarive. Le të shohim si ta bëjmë siç duhet në të dyja platformat.

Pse fjalëkalimi i vetëm nuk mjafton

Sulmet ndaj aksesit të një faqeje nuk janë vepër e specialistëve që të kanë marrë në shënjestër pikërisht ty: janë automatike dhe godasin gjithandej. Tre skenarët më të zakonshëm:

  • credential stuffing: fjalëkalimet e dala nga shkeljet e shërbimeve të tjera provohen në masë në panelet e login-it; nëse i ripërdor fjalëkalimet, je i ekspozuar edhe me një fjalëkalim të gjatë;
  • brute force: tentativa të përsëritura mbi emra përdoruesish të parashikueshëm si admin, shpesh të shpërndara në shumë IP për të anashkaluar bllokimet;
  • phishing: një email i besueshëm që të çon në një faqe login-i të rreme, dhe fjalëkalimin ua dorëzon ti vetë.

Verifikimi me dy faktorë shton një element të dytë, zakonisht një kod të përkohshëm të gjeneruar nga një aplikacion në telefonin tënd: kush vjedh fjalëkalimin, pa telefonin tënd mbetet jashtë. Nuk është një mbrojtje absolute, por e ngre koston e sulmit aq sa duhet që bot-ët të kalojnë te shënjestra tjetër.

Aktivizimi i 2FA në WordPress

WordPress nuk e përfshin verifikimin me dy faktorë në core, prandaj duhet një plugin. Opsionet janë të dy familjeve: plugin-ët e dedikuar vetëm për 2FA, të lehtë dhe të fokusuar, dhe suitat e plota të sigurisë që e përfshijnë mes funksioneve të tjera. Nëse ke tashmë një suitë sigurie të instaluar, kontrollo më parë nëse 2FA është e përfshirë: më mirë ta aktivizosh aty sesa të shtosh një plugin të dyfishuar.

Hapat që ndjekim ne në faqet e klientëve:

  1. Zgjidh metodën TOTP (kodet e përkohshme të gjeneruara nga një aplikacion autentikimi në telefon): funksionon pa u varur nga SMS-të apo email-i, që janë kanalet më të dobëta.
  2. Aktivizo 2FA fillimisht në përdoruesin tënd, verifiko që login-i të funksionojë, dhe vetëm pastaj shtrije te të tjerët.
  3. Bëje të detyrueshme për administratorët dhe editorët. Rolet me më shumë leje janë ato që bëjnë më shumë dëme nëse kompromentohen; shumë plugin-ë lejojnë detyrimin sipas rolit.
  4. Gjenero dhe ruaj kodet e rikuperimit në një vend të sigurt, si një menaxher fjalëkalimesh. Është hapi që të gjithë e kapërcejnë dhe që shmang panikun kur ndërrohet telefoni.

Plotësoje punën me dy masa me kosto zero: fshi përdoruesin me emrin admin nëse ekziston ende, dhe kufizo tentativat e dështuara të login-it, funksion i përfshirë pothuajse në të gjitha suitat e sigurisë.

Aktivizimi i 2FA në PrestaShop

Në PrestaShop çështja ka të bëjë me back office-in, paneli nga i cili menaxhohen porositë, çmimet dhe klientët: një akses i kompromentuar aty do të thotë të dhëna klientësh të ekspozuara dhe, në rastet më të këqija, kod keqdashës në faqet e pagesës. Edhe këtu rruga janë modulet: gjen module të dedikuara për verifikimin me dy faktorë në marketplace-in zyrtar dhe në suitat e sigurisë për PrestaShop. Kriteret e zgjedhjes janë të njëjtat si gjithmonë: modul i përditësuar së fundmi, i pajtueshëm me versionin tënd, me recensione dhe suport aktiv.

Përveç 2FA, në back office-in e PrestaShop zbatojmë zakonisht tre mbrojtje plotësuese:

  • riemërtimi i dosjes së administrimit me një emër të paparashikueshëm, për ta hequr panelin nga pamja e bot-ëve që kërkojnë shtigjet standarde;
  • kufizimi i aksesit në back office sipas IP-së kur zyra ka një adresë fikse, kështu paneli as nuk i përgjigjet pjesës tjetër të botës;
  • një profil punonjësi për çdo person, me vetëm lejet e nevojshme: llogaria e përbashkët mes tre kolegëve është e përshtatshme deri ditën kur duhet të kuptosh kush ka bërë çfarë.

Rregullat që vlejnë në të dyja platformat

2FA jep maksimumin brenda një higjiene bazë të akseseve:

  • një llogari për person, kurrë kredenciale të përbashkëta, dhe heqje e menjëhershme e llogarive të ish-bashkëpunëtorëve dhe furnitorëve të vjetër;
  • leje minimale: kush shkruan artikuj nuk ka nevojë për rolin e administratorit;
  • fjalëkalime unike të menaxhuara me një password manager, sepse 2FA është faktori i dytë, jo një zëvendësues i të parit;
  • 2FA edhe në shërbimet rreth faqes: hosting, domain, email. Një sulmues që hyn në panelin e hosting-ut anashkalon çdo mbrojtje të CMS-së;
  • backup-e të verifikuara, sepse siguria njëqind për qind nuk ekziston dhe ndryshimin mes incidentit dhe katastrofës e bën rikthimi.

Një shënim i fundit organizativ: dokumento kush ka akses ku. Në faqet që marrim në dorëzim, harta e akseseve mungon pothuajse gjithmonë, dhe është gjëja e parë që rindërtojmë.

Do akses dhe serverë të siguruar nga ata që e bëjnë këtë për profesion?

Merremi me serverë dhe infrastrukturë: hardening i WordPress dhe PrestaShop, menaxhim i akseseve, firewall, backup-e të testuara dhe monitorim. Nëse nuk je i sigurt si është i mbrojtur sot faqja jote, rezervo një telefonatë falas: bëjmë një bilanc të akseseve dhe të themi cilat ndërhyrje duhen bërë menjëherë, duke filluar nga verifikimi me dy faktorë.

Artikuj të ngjashëm