1 korrik 2026 · 4 min lexim
Verifikimi me dy faktorë në WordPress dhe PrestaShop: udhëzues i shpejtë
Shumica e faqeve të kompromentuara që na vijnë në asistencë kanë një pikë hyrjeje banale: një akses administratori i mbrojtur vetëm nga një fjalëkalim, ndoshta i ripërdorur në shërbime të tjera. Verifikimi me dy faktorë në WordPress dhe PrestaShop është ndërhyrja e sigurisë me raportin më të mirë mes përpjekjes dhe përfitimit: aktivizohet brenda një pasditeje dhe bllokon pjesën më të madhe të sulmeve ndaj llogarive. Le të shohim si ta bëjmë siç duhet në të dyja platformat.
Pse fjalëkalimi i vetëm nuk mjafton
Sulmet ndaj aksesit të një faqeje nuk janë vepër e specialistëve që të kanë marrë në shënjestër pikërisht ty: janë automatike dhe godasin gjithandej. Tre skenarët më të zakonshëm:
- credential stuffing: fjalëkalimet e dala nga shkeljet e shërbimeve të tjera provohen në masë në panelet e login-it; nëse i ripërdor fjalëkalimet, je i ekspozuar edhe me një fjalëkalim të gjatë;
- brute force: tentativa të përsëritura mbi emra përdoruesish të parashikueshëm si admin, shpesh të shpërndara në shumë IP për të anashkaluar bllokimet;
- phishing: një email i besueshëm që të çon në një faqe login-i të rreme, dhe fjalëkalimin ua dorëzon ti vetë.
Verifikimi me dy faktorë shton një element të dytë, zakonisht një kod të përkohshëm të gjeneruar nga një aplikacion në telefonin tënd: kush vjedh fjalëkalimin, pa telefonin tënd mbetet jashtë. Nuk është një mbrojtje absolute, por e ngre koston e sulmit aq sa duhet që bot-ët të kalojnë te shënjestra tjetër.
Aktivizimi i 2FA në WordPress
WordPress nuk e përfshin verifikimin me dy faktorë në core, prandaj duhet një plugin. Opsionet janë të dy familjeve: plugin-ët e dedikuar vetëm për 2FA, të lehtë dhe të fokusuar, dhe suitat e plota të sigurisë që e përfshijnë mes funksioneve të tjera. Nëse ke tashmë një suitë sigurie të instaluar, kontrollo më parë nëse 2FA është e përfshirë: më mirë ta aktivizosh aty sesa të shtosh një plugin të dyfishuar.
Hapat që ndjekim ne në faqet e klientëve:
- Zgjidh metodën TOTP (kodet e përkohshme të gjeneruara nga një aplikacion autentikimi në telefon): funksionon pa u varur nga SMS-të apo email-i, që janë kanalet më të dobëta.
- Aktivizo 2FA fillimisht në përdoruesin tënd, verifiko që login-i të funksionojë, dhe vetëm pastaj shtrije te të tjerët.
- Bëje të detyrueshme për administratorët dhe editorët. Rolet me më shumë leje janë ato që bëjnë më shumë dëme nëse kompromentohen; shumë plugin-ë lejojnë detyrimin sipas rolit.
- Gjenero dhe ruaj kodet e rikuperimit në një vend të sigurt, si një menaxher fjalëkalimesh. Është hapi që të gjithë e kapërcejnë dhe që shmang panikun kur ndërrohet telefoni.
Plotësoje punën me dy masa me kosto zero: fshi përdoruesin me emrin admin nëse ekziston ende, dhe kufizo tentativat e dështuara të login-it, funksion i përfshirë pothuajse në të gjitha suitat e sigurisë.
Aktivizimi i 2FA në PrestaShop
Në PrestaShop çështja ka të bëjë me back office-in, paneli nga i cili menaxhohen porositë, çmimet dhe klientët: një akses i kompromentuar aty do të thotë të dhëna klientësh të ekspozuara dhe, në rastet më të këqija, kod keqdashës në faqet e pagesës. Edhe këtu rruga janë modulet: gjen module të dedikuara për verifikimin me dy faktorë në marketplace-in zyrtar dhe në suitat e sigurisë për PrestaShop. Kriteret e zgjedhjes janë të njëjtat si gjithmonë: modul i përditësuar së fundmi, i pajtueshëm me versionin tënd, me recensione dhe suport aktiv.
Përveç 2FA, në back office-in e PrestaShop zbatojmë zakonisht tre mbrojtje plotësuese:
- riemërtimi i dosjes së administrimit me një emër të paparashikueshëm, për ta hequr panelin nga pamja e bot-ëve që kërkojnë shtigjet standarde;
- kufizimi i aksesit në back office sipas IP-së kur zyra ka një adresë fikse, kështu paneli as nuk i përgjigjet pjesës tjetër të botës;
- një profil punonjësi për çdo person, me vetëm lejet e nevojshme: llogaria e përbashkët mes tre kolegëve është e përshtatshme deri ditën kur duhet të kuptosh kush ka bërë çfarë.
Rregullat që vlejnë në të dyja platformat
2FA jep maksimumin brenda një higjiene bazë të akseseve:
- një llogari për person, kurrë kredenciale të përbashkëta, dhe heqje e menjëhershme e llogarive të ish-bashkëpunëtorëve dhe furnitorëve të vjetër;
- leje minimale: kush shkruan artikuj nuk ka nevojë për rolin e administratorit;
- fjalëkalime unike të menaxhuara me një password manager, sepse 2FA është faktori i dytë, jo një zëvendësues i të parit;
- 2FA edhe në shërbimet rreth faqes: hosting, domain, email. Një sulmues që hyn në panelin e hosting-ut anashkalon çdo mbrojtje të CMS-së;
- backup-e të verifikuara, sepse siguria njëqind për qind nuk ekziston dhe ndryshimin mes incidentit dhe katastrofës e bën rikthimi.
Një shënim i fundit organizativ: dokumento kush ka akses ku. Në faqet që marrim në dorëzim, harta e akseseve mungon pothuajse gjithmonë, dhe është gjëja e parë që rindërtojmë.
Do akses dhe serverë të siguruar nga ata që e bëjnë këtë për profesion?
Merremi me serverë dhe infrastrukturë: hardening i WordPress dhe PrestaShop, menaxhim i akseseve, firewall, backup-e të testuara dhe monitorim. Nëse nuk je i sigurt si është i mbrojtur sot faqja jote, rezervo një telefonatë falas: bëjmë një bilanc të akseseve dhe të themi cilat ndërhyrje duhen bërë menjëherë, duke filluar nga verifikimi me dy faktorë.
