如何从 WordPress 2FA 锁定中恢复
已发表: 2023-02-08使用 2FA 来保护您的 WordPress 网站是迄今为止您可以采取的最佳安全措施之一。 它增加了一层额外的安全性,同时非常易于设置。 此外,它在阻止绝大多数基于登录的攻击(例如暴力攻击)方面有着良好的记录。 虽然许多 WordPress 管理员已经实施了 2FA,但仍有一些管理员回避这项技术。 一个主要原因是对锁定的误解。
在本文中,我们将研究您可以采取的预防措施来避免锁定。 我们还将研究如果您因 2FA 设备丢失或服务中断而被锁定,您可以做什么。
目录
- WordPress 上的 2FA
- 如何提前计划——如何防止 2FA 锁定
- 设置 2FA 的宽限期
- 替代 2FA 验证方法
- 之后如何计划——如果您当前被锁定,如何登录
- 为什么会发生锁定?
- 2FA 邮箱认证
- 2FA 身份验证器应用程序身份验证
- WP2FA – 吃 2FA 蛋糕
- 经常问的问题
- 我没有收到我的 2FA 电子邮件——我该怎么办?
- 如何对 WordPress 电子邮件的送达率进行故障排除?
WordPress 上的 2FA
2FA 可以使用 WordPress 插件轻松地在任何 WordPress 网站上实施。 在大多数情况下,该插件独立于任何其他服务工作,不需要任何第三方订阅。 这减少了生态系统中“活动部件”的数量。 一些 2FA 方法,例如 SMS、Whatsapp 和语音,将需要单独订阅才能运行,因为这些方法依赖于第 3 方网络来提供 2FA 运行所需的 OTP(一次性密码)。
在本文中,我们将使用 WP 2FA 插件来说明在 WordPress 上使用 2FA 时的 2FA 恢复选项。 需要注意的是,WP 2FA 有不少于六种不同的身份验证渠道可供选择,使其成为当今市场上最全面的 WordPress 2FA 插件之一。
如何提前计划——如何防止 2FA 锁定
提前计划通常是避免 2FA 锁定带来的痛苦和痛苦的最佳方式。 无论您已经配置了 2FA 还是仍处于研究阶段,您都可以采取一些步骤来避免锁定。 这不仅可以减轻您和您的用户对技术的担忧,还可以避免停机并消除生产力损失。
设置 2FA 的宽限期
许多 WordPress 管理员面临的问题之一是用户没有在提供的宽限期内设置双因素身份验证。 根据策略的配置方式,用户帐户可能会被阻止,需要管理员解除阻止。
虽然这可能是更安全的选择,但如果您是一名管理员,管理的心不在焉的用户超出了应有的份额,您可能希望阻止对仪表板的访问,直到配置 2FA。 这可确保用户设置 2FA,而无需您的干预来解锁帐户。
替代 2FA 验证方法
WP2FA 提供了一系列可供选择的 2FA 身份验证方法,以帮助您抢先锁定。 由于可能出于您无法控制的各种原因而发生锁定 - 例如用户忘记或丢失手机 - 采取先发制人的措施始终是明智的选择。
如果主要方法失败,替代验证方法可让您选择替代 2FA 方法。 在这里,用户可以将任何可用的方法设置为他们的主要方法,然后预先配置一个辅助方法。 让我们用一个例子来说明这一点。 用户可能将 TOTP Authenticator 应用程序设置为主要方法,将电子邮件设置为次要方法。 如果他们忘记了手机、将其送去维修或电池没电了,他们可以选择通过电子邮件接收 OTP。
WP 2FA 还提供备用代码,用户可以预先下载备用代码,以便在发现自己无法使用主要方法登录时使用。
之后如何计划——如果您当前被锁定,如何登录
如果您当前被锁定并且没有配置备份方法或辅助方法,您仍然可以重新获得对您的 WordPress 帐户的访问权限。 但是,它只需要多做一些工作,但不会超过几分钟。
在继续之前,您应该首先检查是否还有任何其他管理员用户仍然可以访问 WordPress。 如果是这种情况,您可以要求他们通过个人资料页面重置您的 2FA 配置。
如果没有人可以重置您的 2FA 配置,您将需要手动禁用该插件,以便您无需输入 2FA 代码即可访问 WordPress。 您需要 FTP/SFTP 或 SSH 访问权限才能重命名插件文件夹名称。 这将有效地停用插件,让您无需 2FA 即可登录。
为什么会发生锁定?
2FA 锁定可能出于多种原因而发生,具体取决于所选择的方法。 了解您收不到代码的原因或代码不起作用的原因可以帮助您更快地解决问题。
2FA 邮箱认证
电子邮件身份验证是用户获取身份验证码登录的最简单方法之一。虽然此方法非常有效,但您需要记住,它取决于您的 WordPress 网站是否能够及时发送电子邮件。 它还取决于您无法控制的因素,例如您的托管服务提供商转发任何此类电子邮件。
WordPress 使用 wp_mail 函数发送电子邮件。 该功能基于 PHP 邮件功能,这不是确保电子邮件送达的最可靠选项。 要考虑的另一件事是您的托管。 一些托管服务提供商完全禁止电子邮件以避免他们的服务器被用作垃圾邮件。
2FA 身份验证器应用程序身份验证
Google Authenticator 和 Authy 等应用程序通常提供一种简单的方式来接收使用 2FA 登录所需的一次性代码。 这些应用程序使用基于时间的算法来保持同步,第一次同步是通过二维码完成的。
应用程序和服务器可能会不同步,因此重新同步您的应用程序可能会解决您的问题。 如果您要更换手机,Google Authenticator 允许您将代码从一部手机转移到另一部手机。 另一方面,Authy 允许您对代码进行云备份,因此检索代码所需要做的就是使用您的凭据登录——无论是在新手机上,还是在您的 PC 或笔记本电脑上。
WP2FA – 吃 2FA 蛋糕
WordPress 安全性对于确保您网站的寿命至关重要。 2FA 是一种唾手可得的果实,可为您带来巨大的收益。 在众多知名公司和专家的支持下,该技术的有效性毋庸置疑。 然而,许多管理员担心用户锁定带来的麻烦超过 2FA 的价值。 如本文所示,WP2FA 并非如此。
有这么多方法可以避免用户锁定,WordPress 管理员没有理由不向他们的用户提供 2FA。 始终建议提前计划,但回顾一下我们都会更明智。 这就是为什么我们还谈到了事后可以采取哪些措施来恢复访问,为您提供确保 2FA 实施取得圆满成功所需的所有信息。
经常问的问题
我没有收到我的 2FA 电子邮件——我该怎么办?
您收不到 2FA 电子邮件的可能原因有很多。 在大多数情况下,这可能是 WordPress 在发送电子邮件时遇到问题,或者链中的节点由于某种原因未正确转发电子邮件。
WP 2FA 带有一个内置的电子邮件测试器,可以让您验证电子邮件是否正在发送。 然而,这还不是全部,因此,值得花一点时间了解电子邮件是如何发送和传递的。
简而言之,WP 2FA 编写电子邮件并将其转发给 WordPress,然后 WordPress 将电子邮件发送到配置的 SMTP 服务器。 WordPress 通过使用一个名为 wp_mail 的函数来实现这一点,该函数建立在 PHP 的邮件函数之上。 虽然这往往开箱即用,但也容易出现问题。
如何对 WordPress 电子邮件的送达率进行故障排除?
诸如 Check & Log Email 之类的插件是一个很好的工具。 它记录所有发送的电子邮件并提供调试工具。 WP 2FA 还允许您测试电子邮件发送,您可以通过导航到 WP 2FA > 设置 > 电子邮件设置和模板来访问它。 如果这里一切顺利,问题可能会进一步发展。 您可能需要考虑选择 SMTP 电子邮件插件来提高电子邮件传送的可靠性。