WordPress 的双重身份验证 (2FA)

已发表: 2023-02-12

创建强密码以保护您的 WordPress 网站至关重要。 然而,密码本身并不能提供足够的保护来抵御许多对您的网站构成严重风险的威胁——例如暴力攻击。 如果未经授权的用户可以访问您的后端,您可能会失去您的网站,甚至会使您的访问者面临风险。 出于这个原因,您有一个安装和维护 WordPress 安全性的计划。

使用双因素身份验证 (2FA),您可以为您的 WordPress 站点添加额外的安全层。 它的设置相对简单,并且此功能将显着降低未经授权的用户访问您网站的风险。

在本文中,我们将介绍 2FA 并解释如何在 WordPress 中使用它。 然后我们将向您展示如何使用插件实现此功能。 让我们开始吧!

目录
1.什么是 WordPress 的双因素身份验证 (2FA)?
2.为什么需要双因素身份验证?
3. WordPress 的 2FA 如何工作?
4. 2FA 有多安全?
5.如何开始使用双因素身份验证?
6. WordPress 2FA 插件
6.1. Rublon 双因素身份验证
6.2. Duo 双因素身份验证
6.3. 谷歌身份验证器 - 双因素身份验证

什么是 WordPress 的双因素身份验证 (2FA)?

双因素身份验证 (2FA) 是一个安全层,需要密码和额外的用户身份验证。 此验证来自只有授权用户才能访问的内容,例如文本和语音消息、电子邮件链接、二维码或推送通知。 2FA 是安全的,因为攻击者无法访问这些外部通道。

为什么我需要双因素身份验证?

双因素身份验证(也称为两步身份验证)有助于防止不良行为者访问您的网站并可能损害您的业务。 这是帮助将坏人拒之门外的第二道防线,并确保即使您的密码被泄露,只要攻击者无法触及第二道防线,您的帐户就会保持安全。

WordPress 双因素身份验证是一项可选功能,这意味着您只需在需要时使用它。 但它是免费的,而且它增加了一层额外的保护,为什么不呢?

WordPress 的 2FA 如何工作?

wordpress 两因素身份验证
Google 的这个示例演示了 2FA 如何在您的网站上工作。

在典型的(即非 2FA)WordPress 登录页面上,用户输入用户名和密码并自动获得访问网站后端的权限。 这意味着任何知道您的用户名和密码的人都可以轻松访问您网站的所有方面。

如上所述,2FA 可以帮助防止这种情况发生。 那么它在 WordPress 中是如何工作的呢? 设置 2FA 后(稍后我们将介绍如何操作),当您在登录页面上输入密码和用户名时,系统会向您的手机或电子邮件地址发送一条通知。 此通知将包含一次性 PIN 码,或可能包含链接或 QR 码。

要访问该网站,您必须按照短信或电子邮件的指示进行操作——例如单击链接或在您的网站上输入 PIN。

2FA 有多安全?

与标准密码保护相比,2FA 更加安全。 毕竟,它需要利用您一个人拥有的东西(您的手机、您的私人电子邮件帐户等)才能访问您的网站。 这意味着网站被黑客攻击的可能性降低,使 2FA 成为更好地防止各种安全问题(尤其是暴力攻击)的最佳方式。

现在您了解了 2FA 的好处及其工作原理,让我们讨论如何将此功能实际合并到您的 WordPress 网站中。

我如何开始使用双因素身份验证?

如果您是 WP Engine 客户,则可以在 WP Engine 用户门户中启用 2FA。 如果您的站点未托管在 WP Engine 上,您仍然可以实施双因素身份验证方法(甚至多因素身份验证方法),但这需要 WordPress 插件的帮助。

WordPress 2FA 插件

作为 WP Engine 客户,您可以通过用户门户实施 2FA。 非 WP 引擎
用户也可以实现 2FA,但需要借助 WordPress 插件。 您可以自己尝试以下几个选项。

Rublon 双因素身份验证

wordpress 安全插件

Rublon 双因素身份验证是一个简单的 2FA WordPress 插件,使您能够快速保护您的网站免受未经授权的登录。 首次登录安装了安全插件的 WordPress 帐户时,您需要单击发送到您的电子邮件地址的验证链接。 然后您可以选择保存您的设备,这意味着您将不再需要在使用同一浏览器时验证您的身份。

对于只有一个用户的网站来说,这是一个很好的选择,尽管它也可以应用于多用户网站(如果您升级到付费版本)。

优点:此插件提供一键式安装和激活,无需配置或培训。

缺点:它仅支持电子邮件验证,这可能不如短信或推送通知安全。

费用:个人(一个网站)插件是免费的,但可以联系销售团队购买企业(多网站)版本。

Duo 双因素身份验证

wordpress 的双因素身份验证插件

作为更高级的 2FA 插件之一,Duo 双因素身份验证使您能够根据 WordPress 用户角色设置 2FA。 例如,您可以要求作者和编辑使用 2FA 登录,而订阅者只需输入密码即可。

Duo 双因素身份验证还提供各种验证选项,包括通过短信、移动应用程序或电话。

优点:该插件支持用户角色配置,包含多种验证方式。

缺点:不支持 WordPress Multisite。

价格:免费插件可为您网站上最多 10 位用户启用 2FA,但您可以增加该限制,从每位用户每月 3 美元起。

谷歌身份验证器 - 双因素身份验证

两步验证插件

最后,Google Authenticator 提供了多种验证方法来保护您的网站免受未经授权的访问——包括二维码、电子邮件和推送通知。 与 Duo 双因素身份验证器一样,您可以使用此插件为特定用户角色设置 2FA。

可以将 Google 身份验证器配置为需要用户名、强密码和因素,或仅需要用户名和因素。

优点:此插件支持特定角色 2FA,并提供多种验证方法(包括二维码、短信、电话和推送通知)。

缺点:免费版本在功能方面相当有限。

成本:免费插件只为一个用户提供 2FA,但您可以升级,起价为每年 15 美元。

请务必记住,您的 WordPress 网站仅与您的管理员登录页面一样安全,仅凭密码是不够的。 实施双因素身份验证器有助于确保网站访问者的安全。 如果您准备好切换到一个让您高枕无忧的主机,您可以查看 WP Engine 的托管 WordPress 托管计划!