Login OTP (2FA) — двухфакторная аутентификация по email
Плагин для Cotonti Siena 0.9.26+
В 2026 году один украденный или угаданный пароль уже не редкость — это повседневная реальность. Миллиарды комбинаций логин/пароль утекают в сеть ежегодно из-за утечек данных, фишинга и credential stuffing атак. Даже если ваш сайт небольшой, злоумышленники используют автоматизированные инструменты, чтобы массово проверять скомпрометированные учётные данные на сотнях тысяч сайтов.
Login OTP (2FA) добавляет второй, независимый фактор — одноразовый 5-значный код, отправляемый на email пользователя сразу после успешной проверки логина и пароля. Без этого кода войти невозможно, даже если у атакующего есть актуальный пароль.
Когда двухфакторная аутентификация действительно необходима (и как помогает именно этот плагин)
- У пользователей слабые или повторно используемые пароли Большинство людей до сих пор применяют один и тот же пароль (или его вариации) на разных сайтах. После крупной утечки (а их в 2024–2025 было несколько на миллиарды записей) злоумышленники запускают credential stuffing — и получают доступ к аккаунтам. → Плагин блокирует 99%+ таких попыток: пароль есть → код на email нет → вход невозможен.
- Атаки на админ-панель и модераторские аккаунты Взлом админа = полный контроль над сайтом: удаление контента, рассылка спама, внедрение вредоносного кода, кража базы пользователей. → Email-2FA делает компрометацию админ-аккаунта практически бесполезной без физического доступа к почте владельца.
- Форумы, сообщества, клиентские кабинеты Здесь хранятся личные сообщения, заказы, адреса доставки, номера телефонов, иногда сканы документов. Утечка данных → репутационные потери, жалобы, штрафы по GDPR/аналогам. → Плагин защищает именно личные кабинеты, где пароль часто слабый, а ценность данных высокая.
- Интернет-магазины и небольшие e-commerce проекты Credential stuffing → массовые попытки входа → кража бонусов, подарочных карт, оформление заказов на чужие средства. → Дополнительный барьер на входе резко снижает такие инциденты без необходимости в дорогих антифрод-системах.
- Корпоративные порталы, CRM, внутренние системы на Cotonti Доступ к документам, контрактам, финансовым отчётам. Один скомпрометированный аккаунт может привести к утечке коммерческой тайны. → Простое включение 2FA для всей системы без перестройки инфраструктуры.
- Сайты с ценным, но не массовым трафиком (юристы, врачи, консультанты, фриланс-биржи) Здесь каждый пользователь — это важный клиент. Взлом одного аккаунта = потеря доверия и реальные убытки. → Email-2FA — золотая середина: не требует от пользователей установки приложений, работает на любом устройстве, но значительно повышает защиту.
Почему email-вариант остаётся актуальным в 2026 году
- Не требует установки дополнительных приложений (в отличие от TOTP/Google Authenticator)
- Работает на любом устройстве, где есть почта (даже на рабочем ПК без смартфона)
- Очень низкий порог входа для пользователей — особенно для людей 35–60 лет
- Не зависит от мобильного оператора (нет риска SIM-swap, как у SMS)
- Полностью использует уже настроенную почту сайта (cot_mail())
При этом плагин сохраняет все преимущества классического 2FA: код живёт ограниченное время (5–15 минут на выбор), просроченные коды автоматически блокируются, попытки фиксируются в логах.
Ключевые преимущества плагина
- Защита от компрометации пароля (даже 100% утекший пароль бесполезен без email-доступа)
- Полная интеграция с авторизацией Cotonti — никаких правок ядра
- Адаптивный, современный интерфейс ввода кода (Bootstrap 5 + иконки)
- Русский, украинский, английский языки из коробки
- Логирование всех событий 2FA в стандартный лог Cotonti
- Настраиваемый таймер кода + опция «Запомнить меня»
- Клиентская проверка ввода + автофокус и удобный UX
- Включение/выключение одной настройкой — можно запускать постепенно
Требования
- Cotonti Siena 0.9.26 или новее
- PHP 8.4+
- MySQL 8.0+
- Рабочая отправка почты (cot_mail)
Установка за 5 минут
- Скачать с GitHub
- Распаковать папку loginotp в /plugins/
- Установить через админку → Расширения → Установить новые
- Включить в настройках и выбрать удобное время жизни кода
Версия: 1.1.3
Последнее обновление: октябрь 2025
Лицензия: BSD — свободно, в том числе для коммерческих проектов
Автор: webitproff
Репозиторий: github.com/webitproff/cot-loginotp
В 2026 году двухфакторная аутентификация — это уже не «приятная опция», а минимальный стандарт разумной защиты.
Сделайте этот шаг за несколько минут — без SMS-платежей, без сложных приложений, без головной боли.
Повысьте доверие пользователей и защитите свой проект уже сегодня.