你是否注意到像Facebook和Google这样的热门网站要求你添加两步身份验证以提高安全性?
现在,您可以为您的WordPress网站添加两步身份验证。这可以确保您的WordPress网站及其所有注册用户的最大安全性。
在本文中,我们将向您展示如何使用插件和认证器应用程序为WordPress添加两步身份验证。
为什么要在WordPress中添加两步身份验证?
黑客使用的最常见的技巧之一就是暴力破解攻击。在这些攻击中,他们使用自动脚本来尝试猜测正确的用户名和密码,以便能够登录到您的WordPress网站。
成功的暴力破解攻击可以使黑客访问您网站的管理员区域。他们可以安装恶意软件,窃取用户信息,并删除您网站上的所有内容。
保护您的WordPress网站免受被盗密码的最简单方法之一是添加两步身份验证(2FA)。通过这个设置,您需要输入密码和第二个代码(来自应用程序、电子邮件或短信)才能登录到您的网站。
这样,即使有人盗取了您的密码,他们仍然需要从您的手机输入安全代码才能获得访问权限。
什么是认证器应用程序?
有多种方法可以在WordPress中设置两步登录。然而,最安全和更简单的方法是使用认证器应用程序。
认证器应用程序是一种智能手机应用程序,为您保存在其中的帐户生成临时一次性密码。
基本上,应用程序和您的服务器使用一个秘密密钥来加密信息并生成一次性代码,您可以将其用作第二层保护。
有许多免费的应用程序可供选择:
- 最流行的应用程序是Google Authenticator,但这不是最佳选择。因为如果您丢失了手机,除非您提前创建了备份副本,否则无法恢复您的帐户。
- 我们推荐使用Authy,因为它是一个易于使用且免费的应用程序,还可以让您以加密格式将您的帐户保存在云上。这样,如果您丢失了手机,您只需输入主密码即可恢复所有帐户。
- 其他密码管理器,如LastPass和1Password,都配有自己版本的认证器。它们比Google Authenticator更好,因为它们允许您恢复密钥。
出于本教程的目的,我们将使用Authy。如果您愿意,您可以使用不同的应用程序跟随我们的教程,因为它们的工作方式都相同。
方法一:使用WP 2FA添加双因素身份验证
这种方法简单且适用于所有用户。它灵活,并允许您强制要求所有用户使用两步身份验证。
首先,您需要安装并激活WP 2FA – Two-factor Authentication插件。
激活后,WPA 2FA设置向导将自动启动。否则,您可以访问Users » Your Profil页面,并向下滚动到“WP 2FA设置”部分。
单击“Configure Two-factor authentication (2FA)”按钮将启动设置向导。
WP 2FA设置向导
只需点击“让我们开始吧!”按钮以开始配置插件。
在下一页上,您将被要求选择身份验证方法。
有两个选项:
- 使用您选择的2FA应用生成的一次性代码(推荐)
- 通过电子邮件发送给您的一次性代码
我们建议您选择通过2FA应用(TOTP)方法进行身份验证,因为它更安全可靠。
一旦您做出选择,您可以点击“继续设置”按钮,转到设置向导的下一页。
如果主要的2FA方法失败,例如他们丢失了手机,您将被问及您希望用户使用哪些备用的2FA方法。
在免费计划中,仅备用代码方法可用。如果您想要更多的备用2FA方法,则需要升级到WP 2FA Premium。
WP 2FA备用2FA方法
只需点击“继续设置”按钮,以进入下一页。
在此页面上,您可以强制要求某些或所有用户进行两步登录。我们特别建议这样做,尤其是如果您运营多用户的WordPress网站,如会员网站。
如果您想要强制要求网站上的所有用户使用2FA,则只需选择“所有用户”选项,然后点击“继续设置”。
强制所有用户使用2FA
现在,所有用户都需要使用2FA。
然而,也许在您的网站上有一些用户您不想强制使用2FA。下一页允许您输入这些团队成员的用户名或用户角色。
完成后,点击“继续设置”按钮,将带您到一个页面,您可以在此页面上强制要求您的用户何时开始使用2FA。
您可以要求他们立即开始,或者您可以给予他们一个宽限期,例如3天,以便他们有时间进行设置。只需点击您在网站上要使用的选项。
如果要设置宽限期,您可以选择多少小时或多少天。默认的3天设置对大多数网站来说效果很好。
还有一些选项,用于在宽限期结束后对尚未设置2FA的某些用户进行处理。您可以让他们进入,但不允许他们访问仪表板,或者完全阻止他们无法登录。对于大多数网站,第一个选项最好。
完成选择后,您可以点击“全部完成”以退出设置向导。恭喜,您已经在您的网站上设置了两步身份验证!
您将看到设置完成屏幕上显示了祝贺信息。您还将看到一个按钮,允许您为自己的用户帐户设置2FA。您应该点击“立即配置2FA”按钮。
为您自己的用户帐户配置双因素身份验证
新的设置向导将开始帮助您为自己的用户账户设置两步身份验证。您网站上的其他用户也会收到同样的提示。
首先,您需要决定使用哪种 2FA 方法。您应该会看到通过验证器应用程序输入一次性验证码的选项。您还可能看到其他选项,这取决于您在设置向导中做出的选择。
只需选择 “通过 2FA 应用程序获取一次性验证码 “选项,然后点击 “下一步 “按钮即可。
现在插件会显示一个 QR 码和一个文本码。
您需要使用验证器程序扫描二维码。或者,你也可以在应用程序中手动输入文本代码。
现在你需要拿起移动设备,打开你喜欢的验证器应用程序。下面的截图使用的是 Authy,但其他应用程序的工作方式与此类似。
首先,点击认证程序中的 “+”或 “添加账户 “按钮。
然后,应用程序会请求访问手机摄像头的权限。
您需要允许这一权限,然后点击 “扫描 QR 码 “按钮,这样您就可以在电脑上扫描插件设置页面上显示的 QR 码。
一旦程序识别到二维码,就会自动开始保存账户。
之后,你可以编辑账户的默认徽标和昵称。准备就绪后,点击 “保存 “按钮。
验证器应用将保存您的网站帐户信息。
接下来,它将开始显示一次性密码。您需要在计算机上的插件设置中输入此密码。
现在您需要切换回到您的计算机。
在插件的设置向导中,点击“我已准备好”按钮以继续。
插件现在会要求您验证一次性密码。
只需将移动应用中的代码输入到“认证代码”字段中,以在它过期之前完成验证。
在那之后,您应该点击“验证并保存”按钮以完成设置。
接下来,您将有选项来生成并保存备用代码列表。这些代码可以在您无法使用手机的情况下使用。
您应该点击“生成备用代码列表”按钮。
备用代码将会生成并显示出来。
您可以将这些备用代码下载到您计算机上的安全位置,将它们打印出来并放在安全的地方,或者通过电子邮件发送给自己。确保如果你遗失了手机,您仍然可以找到备用代码。
在那之后,您可以点击“I’m Ready, Close the Wizard”按钮以退出设置向导。
登录时提示使用两步认证
下一次您的用户登录时,他们会看到一个通知,提示他们需要在宽限期结束前设置两步认证。
他们可以点击一个按钮以立即配置两步认证,或选择在下次登录时进行提醒。
当他们点击“立即配置2FA”按钮时,他们将按照前一节中为自己的用户帐户设置2FA时的相同步骤进行操作。
在设置了两步认证后,再登录,他们将看到正常的WordPress登录界面。然而,在他们输入用户名和密码后,将显示第二个屏幕,要求输入来自他们的认证应用的代码。
他们需要在他们的手机应用上输入代码,然后才能登录。或者,如果他们没有带手机,他们也可以输入备用代码。
这使得您的网站更加安全。如果黑客获得了您的某个用户的用户名和密码,除非他们也能访问他们的手机,否则他们将无法登录。
提示:如果您的WordPress网站使用自定义登录表单页面,您还可以创建一个自定义页面,用户可以在不访问WordPress管理区域的情况下管理他们的两步认证设置。
方法2:使用Two-Factor添加两步认证
这种方法不太灵活,因为它不允许您强制所有用户使用两步验证登录。每个用户都必须自行设置,并可以从其个人资料中禁用它。然而,如果您只想为自己的帐户设置双因素认证,这是一种快速简便的方法。
首先,您需要安装并激活“Two-Factor”插件。
激活后,您需要访问“用户»个人资料”页面,然后向下滚动到“Two-Factor”部分。
从这里,您需要选择一种双因素登录选项。插件允许您使用电子邮件、认证应用和FIDO U2F安全密钥方法。
我们建议使用认证应用方法。只需使用像Google Authenticator、Authy或LastPass Authenticator等认证应
扫描二维码后,应用程序会显示一个验证码,您需要在插件选项中输入验证码,然后点击 “提交 “按钮。
插件现在会设置秘钥。您可以随时从设置页面重置密钥,重新扫描二维码。
不要忘记点击页面底部的 “Update Profile “按钮保存设置。
现在,每次登录 WordPress 网站时,都会要求您输入手机认证应用程序生成的验证码。
关于 WordPress 中的两步验证(2FA)的常见问题
下面是一些关于在 WordPress 中使用双步骤登录的常见问题的答案。
如果我无法使用手机,如何使用 2FA 登录?
如果您使用的是带有云备份选项(如 Authy)的验证器应用程序,那么您也可以在笔记本电脑上安装该应用程序。
这样,即使手机不在身边,您也可以访问验证码。当你购买新手机时,它还能让你轻松恢复密匙。
许多验证器应用程序还允许您生成备份代码。当您无法使用手机时,这些代码可用作一次性密码。
如何在没有验证程序代码的情况下登录?
如果你无法使用手机、笔记本电脑或备份密码,那么你只能通过禁用 2FA 插件来登录(例如通过ftp修改plugin目录文件名来禁用所有插件)