越來越多的網站支援新增二步認證Two-Factor Authentication以提高安全性,在國內更多是以賬號密碼+簡訊碼的方式,但海外網站可能更多采用二步認證的方式。
如果你覺得有必要為你的WordPress網站開啟二步認證,則可以繼續閱讀本教程,瞭解如何使用Google Authenticator或者SMS簡訊驗證碼為WordPress新增Two-Factor Authentication。
為什麼要為WordPress登入新增二步驗證?
黑客使用的最常見的技巧之一稱為暴力攻擊。通過使用自動化指令碼,黑客會嘗試猜測正確的使用者名稱和密碼以攻入WordPress 網站。
如果他們竊取了密碼或準確猜到了密碼,則他們可能會用惡意軟體感染您的網站,比如掛馬、加密資料要挾。
保護WordPress網站免遭密碼被盜的最簡單方法之一是新增二步認證。這樣,即使有人竊取了密碼,他們無法跳過使用手機輸入安全程式碼才能訪問的步驟。
有多種方法設定WordPress二步認證登入。但是,最安全、最簡單的方法是使用身份驗證器應用程式。
方法 1. 使用WP 2FA外掛新增二步認證
這種方法最為簡單,推薦大家首選此方法。這個方法很靈活,允許您對所有使用者強制執行二步身份驗證。
首先,您需要安裝並啟用WP 2FA – Two-factor Authentication外掛。
啟用後,您需要訪問使用者»您的個人資料頁面並向下滾動到“WP 2FA Settings”部分。
點選“Configure Two-factor authentication (2FA)”按鈕以啟動設定嚮導。
外掛將要求您選擇一種身份驗證方法:
- 使用您選擇的應用程式生成的One-time code(推薦)
- 通過電子郵件傳送給您的One-time code
建議您選擇app方式認證,更安全可靠。然後單擊下一步按鈕繼續。
該外掛將向您展示一個二維碼,您需要使用身份驗證器應用(authenticator app)掃描該二維碼。
什麼是身份驗證器應用(Authenticator App)?
身份驗證器應用是一種智慧手機應用程式,可為您儲存在其中的帳戶生成一個臨時的一次性密碼。
基本上,應用和您的伺服器使用金鑰來加密資訊並生成一次性程式碼,您可以將其用作第二層保護。
有很多這樣的應用可以免費使用。
最受歡迎的是Google Authenticator,但它並不是最好的。雖然它工作得很好,但它不提供可以在手機丟失時使用的備份。
我們建議使用Authy,因為它是一個易於使用且免費的應用程式,該應用還允許您以加密格式將您的帳戶儲存在雲中。這樣,如果您丟失了手機,則只需輸入主密碼即可恢復所有帳戶。
其他密碼管理器(如LastPass、1password等)都帶有自己的身份驗證器版本,它們都比Google身份驗證器要好用得多,因為它們支援恢復金鑰。
在本教程中,我們將使用Authy作為示例。
首先,單擊身份驗證器應用程式中的新增帳戶按鈕:
然後,該應用程式將請求訪問您手機上的相機的許可權。您需要允許此許可權,以便您可以掃描外掛設定頁面上顯示的二維碼。
身份驗證器應用現在將儲存您的網站帳戶,並開始顯示可用於登入的一次性密碼。
在外掛的設定嚮導中,單擊“I’m Ready”按鈕繼續。
該外掛現在會要求您驗證一次性密碼。只需在身份驗證器應用中單擊您的帳戶,它就會顯示一個六位數的一次性密碼,輸入該密碼。
之後,該外掛將為您提供生成和儲存備份程式碼的選項。如果您無法使用手機,則可以使用這些程式碼。您可以列印這些備份程式碼並將它們儲存在安全的地方。
之後,您可以退出設定嚮導。
為所有WordPress使用者設定WP 2-FA兩步認證登入
如果您執行多使用者WordPress網站,例如會員網站,則該外掛還允許您為網站上的所有使用者啟用或強制執行二步認證登入驗證。
只需轉到設定»Two-factor Authentication頁面即可配置外掛設定。
該外掛支援為所有使用者啟用二步認證登入,強制所有使用者登入,並給使用者足夠的時間進行設定。
如果您的WordPress網站使用自定義登入表單頁面,那麼您還可以建立一個自定義頁面,使用者無需訪問WordPress管理後臺即可在其中管理其二步認證身份驗證器設定。
不要忘記單擊“儲存更改”按鈕來儲存您的新設定。
以下是使用者輸入常規WordPress密碼後,WordPress預設登入介面要求輸入二步認證身份驗證程式碼。
方法 2. 使用Two Factor外掛新增二步認證
這種方法不太靈活,因為該外掛不支援為所有使用者強制執行兩步認證登入。每個使用者都必須自己設定,並且可以從他們的個人資料中禁用它。
首先,您需要安裝並啟用Two Factor外掛。
啟用外掛後,訪問使用者»個人資料頁面並向下滾動到Two-Factor Options部分。
從這裡,您需要選擇一個二步認證登入選項。該外掛支援使用電子郵件、身份驗證器應用和FIDO U2F安全金鑰方法。
我們建議使用身份驗證器應用方法。只需下載Google Authenticator、Authy 或 LastPass Authenticator等身份驗證器應用,然後掃描螢幕上顯示的二維碼。
掃描二維碼後,應用程式將向您顯示驗證碼,您需要在外掛選項中輸入該驗證碼,然後單擊提交按鈕。
該外掛現在將設定金鑰。您可以隨時從設定頁面重置此金鑰以重新掃描二維碼。
不要忘記單擊“Update Profile”按鈕以儲存您的設定。
現在,每次您登入WordPress網站時,系統都會要求您輸入手機上應用生成的驗證碼。
關於WordPress中二步認證 (2FA) 的常見問題
以下是有關在WordPress中使用兩步認證登入的一些常見問題的解答。
1. 如果無法訪問手機,如何登入?
如果您使用的是帶有Authy等雲備份選項的身份驗證器應用,那麼您也可以在膝上型電腦上安裝該應用程式。
即使沒有隨身攜帶手機,您可以訪問身份驗證程式碼。它還支援在購買新手機時恢復您的金鑰。
上面提到的兩種方法還支援您生成備份程式碼。當您無法使用手機時,這些程式碼也可用作一次性密碼。
2. 如何不用密碼登入?
如果您無權訪問手機、膝上型電腦或備用程式碼,則只能通過禁用該外掛來登入。
停用所有外掛後,它還將禁用二步身份驗證外掛,您將能夠登入到您的WordPress網站。登入後,您可以重新啟用外掛並重置二步身份驗證設定。
3. 我還需要密碼保護WordPress管理資料夾嗎?
從使用HTTPS和安全WordPress託管等基礎知識開始,當您擁有多層安全保護來保護您的網站時,網站安全效果最佳。二步認證的主要目的是加強WordPress登入安全,但您可以通過密碼保護WordPress管理後臺使其更加安全。
如果的WordPress網站是一個會員網站、線上商店或線上課程網站,就更應該做二步認證登入。
關於WordPress安全,建議大家可以閱讀“如何有效地保護您的WordPress站點免受攻擊入侵”和“WordPress網站免費SSL證書申請及配置教程”,來進一步完善WordPress安全防護措施。
評論留言