WordPress 的雙重身份驗證 (2FA)

已發表: 2023-02-12

創建強密碼以保護您的 WordPress 網站至關重要。 然而,密碼本身並不能提供足夠的保護來抵禦許多對您的網站構成嚴重風險的威脅——例如暴力攻擊。 如果未經授權的用戶可以訪問您的後端,您可能會失去您的網站,甚至會使您的訪問者面臨風險。 出於這個原因,您有一個安裝和維護 WordPress 安全性的計劃。

使用雙因素身份驗證 (2FA),您可以為您的 WordPress 站點添加額外的安全層。 它的設置相對簡單,並且此功能將顯著降低未經授權的用戶訪問您網站的風險。

在本文中,我們將介紹 2FA 並解釋如何在 WordPress 中使用它。 然後我們將向您展示如何使用插件實現此功能。 讓我們開始吧!

目錄
1.什麼是 WordPress 的雙因素身份驗證 (2FA)?
2.為什麼需要雙因素身份驗證?
3. WordPress 的 2FA 如何工作?
4. 2FA 有多安全?
5.如何開始使用雙因素身份驗證?
6. WordPress 2FA 插件
6.1. Rublon 雙因素身份驗證
6.2. Duo 雙因素身份驗證
6.3. 谷歌身份驗證器 - 雙因素身份驗證

什麼是 WordPress 的雙因素身份驗證 (2FA)?

雙因素身份驗證 (2FA) 是一個安全層,需要密碼和額外的用戶身份驗證。 此驗證來自只有授權用戶才能訪問的內容,例如文本和語音消息、電子郵件鏈接、二維碼或推送通知。 2FA 是安全的,因為攻擊者無法訪問這些外部通道。

為什麼我需要雙因素身份驗證?

雙因素身份驗證(也稱為兩步身份驗證)有助於防止不良行為者訪問您的網站並可能損害您的業務。 這是幫助將壞人拒之門外的第二道防線,並確保即使您的密碼被洩露,只要攻擊者無法觸及第二道防線,您的帳戶就會保持安全。

WordPress 雙因素身份驗證是一項可選功能,這意味著您只需在需要時使用它。 但它是免費的,而且它增加了一層額外的保護,為什麼不呢?

WordPress 的 2FA 如何工作?

wordpress 兩因素身份驗證
Google 的這個示例演示了 2FA 如何在您的網站上工作。

在典型的(即非 2FA)WordPress 登錄頁面上,用戶輸入用戶名和密碼並自動獲得訪問網站後端的權限。 這意味著任何知道您的用戶名和密碼的人都可以輕鬆訪問您網站的所有方面。

如上所述,2FA 可以幫助防止這種情況發生。 那麼它在 WordPress 中是如何工作的呢? 設置 2FA 後(稍後我們將介紹如何操作),當您在登錄頁面上輸入密碼和用戶名時,系統會向您的手機或電子郵件地址發送一條通知。 此通知將包含一次性 PIN 碼,或可能包含鏈接或 QR 碼。

要訪問該網站,您必須按照短信或電子郵件的指示進行操作——例如單擊鏈接或在您的網站上輸入 PIN。

2FA 有多安全?

與標準密碼保護相比,2FA 更加安全。 畢竟,它需要利用您一個人擁有的東西(您的手機、您的私人電子郵件帳戶等)才能訪問您的網站。 這意味著網站被黑客攻擊的可能性降低,使 2FA 成為更好地防止各種安全問題(尤其是暴力攻擊)的最佳方式。

現在您了解了 2FA 的好處及其工作原理,讓我們討論如何將此功能實際合併到您的 WordPress 網站中。

我如何開始使用雙因素身份驗證?

如果您是 WP Engine 客戶,則可以在 WP Engine 用戶門戶中啟用 2FA。 如果您的站點未託管在 WP Engine 上,您仍然可以實施雙因素身份驗證方法(甚至多因素身份驗證方法),但這需要 WordPress 插件的幫助。

WordPress 2FA 插件

作為 WP Engine 客戶,您可以通過用戶門戶實施 2FA。 非 WP 引擎
用戶也可以實現 2FA,但需要藉助 WordPress 插件。 您可以自己嘗試以下幾個選項。

Rublon 雙因素身份驗證

wordpress 安全插件

Rublon 雙因素身份驗證是一個簡單的 2FA WordPress 插件,使您能夠快速保護您的網站免受未經授權的登錄。 首次登錄安裝了安全插件的 WordPress 帳戶時,您需要單擊發送到您的電子郵件地址的驗證鏈接。 然後您可以選擇保存您的設備,這意味著您將不再需要在使用同一瀏覽器時驗證您的身份。

對於只有一個用戶的網站來說,這是一個很好的選擇,儘管它也可以應用於多用戶網站(如果您升級到付費版本)。

優點:此插件提供一鍵式安裝和激活,無需配置或培訓。

缺點:它僅支持電子郵件驗證,這可能不如短信或推送通知安全。

費用:個人(一個網站)插件是免費的,但可以聯繫銷售團隊購買企業(多網站)版本。

Duo 雙因素身份驗證

wordpress 的雙因素身份驗證插件

作為更高級的 2FA 插件之一,Duo 雙因素身份驗證使您能夠根據 WordPress 用戶角色設置 2FA。 例如,您可以要求作者和編輯使用 2FA 登錄,而訂閱者只需輸入密碼即可。

Duo 雙因素身份驗證還提供各種驗證選項,包括通過短信、移動應用程序或電話。

優點:該插件支持用戶角色配置,包含多種驗證方式。

缺點:不支持 WordPress Multisite。

價格:免費插件可為您網站上最多 10 位用戶啟用 2FA,但您可以增加該限制,從每位用戶每月 3 美元起。

谷歌身份驗證器 - 雙因素身份驗證

兩步驗證插件

最後,Google Authenticator 提供了多種驗證方法來保護您的網站免受未經授權的訪問——包括二維碼、電子郵件和推送通知。 與 Duo 雙因素身份驗證器一樣,您可以使用此插件為特定用戶角色設置 2FA。

可以將 Google 身份驗證器配置為需要用戶名、強密碼和因素,或僅需要用戶名和因素。

優點:此插件支持特定角色 2FA,並提供多種驗證方法(包括二維碼、短信、電話和推送通知)。

缺點:免費版本在功能方面相當有限。

成本:免費插件只為一個用戶提供 2FA,但您可以升級,起價為每年 15 美元。

請務必記住,您的 WordPress 網站僅與您的管理員登錄頁面一樣安全,僅憑密碼是不夠的。 實施雙因素身份驗證器有助於確保網站訪問者的安全。 如果您準備好切換到一個讓您高枕無憂的主機,您可以查看 WP Engine 的託管 WordPress 託管計劃!