您是否注意到 Facebook 和 Google 等热门网站如何要求您添加双因素身份验证以提高安全性?
好了,现在您可以向 WordPress 网站添加双因素身份验证了。这可以确保您的 WordPress 网站及其所有注册用户的最大安全性。
在本文中,我们将向您展示如何使用插件和身份验证器应用程序为 WordPress 添加双因素身份验证。
为什么在 WordPress 中添加双因素身份验证?
黑客最常用的技巧之一称为暴力攻击。在其中一项攻击中,他们使用自动脚本尝试猜测正确的用户名和密码,以便他们可以登录到您的WordPress 网站。
成功的暴力攻击可以让黑客访问您网站的 管理区域。他们可以安装恶意软件、窃取用户信息并删除您网站上的所有内容。
保护 WordPress 网站免遭密码窃取的最简单方法之一是添加双因素身份验证 (2FA)。通过此设置,您将需要输入密码和辅助代码(来自应用程序、电子邮件或短信)才能登录您的网站。
这样,即使有人窃取了您的密码,他们仍然需要从您的手机输入安全代码才能获得访问权限。
什么是身份验证器应用程序?
在 WordPress 中设置两步登录的方法有多种。然而,最安全、最简单的方法是使用身份验证器应用程序。
身份验证器应用程序是一款智能手机应用程序,可为您保存在其中的帐户生成临时一次性密码。
基本上,应用程序和您的服务器使用密钥来加密信息并生成一次性代码,您可以将其用作第二层保护。
有许多免费的应用程序:
- 最流行的应用程序是Google Authenticator,但它不是最佳选择。这是因为,如果您丢失了手机,除非您提前创建备份副本,否则无法恢复您的帐户。
- 我们建议使用Authy,因为它是一款易于使用且免费的应用程序,还允许您以加密格式将帐户保存在云上。这样,如果您丢失了手机,只需输入主密码即可恢复所有帐户。
- LastPass和1Password等其他密码管理器都带有自己的身份验证器版本。它们比 Google Authenticator 更好,因为它们允许您恢复密钥。
在本教程中,我们将使用 Authy。如果您愿意,您可以使用不同的应用程序来遵循我们的教程,因为它们的工作方式都是相同的。
话虽如此,我们来看看如何在 WordPress 中添加 2FA。只需单击下面的链接即可跳转到您喜欢的方法:
现在,让我们看看如何轻松地免费向 WordPress 登录屏幕添加两步验证。
方法 1:使用 WP 2FA 添加双因素身份验证
此方法简单易行,推荐所有用户使用。它很灵活,允许您对所有用户强制实施双因素身份验证。
首先,您需要安装并激活WP 2FA – 双因素身份验证插件。有关更多详细信息,请参阅我们有关如何安装 WordPress 插件的分步指南。
激活后,WPA 2FA 设置向导将自动启动。否则,您可以访问用户 » 您的个人资料页面并向下滚动到“WP 2FA 设置”部分。
单击“配置双因素身份验证 (2FA)”按钮将启动设置向导。
WP 2FA 设置向导
只需点击“让我们开始吧!” 按钮开始配置插件。
在下一页上,系统将要求您选择身份验证方法。
有两种选择:
- 使用您选择的 2FA 应用程序生成的一次性代码(推荐)
- 一次性代码通过电子邮件发送给您
我们建议您选择通过2FA应用程序(TOTP)方法进行身份验证,因为它更安全可靠。
做出选择后,您可以单击“继续设置”按钮转到设置向导的下一页。
如果主要 2FA 方法失败(例如用户丢失手机),系统会询问您希望用户使用哪种替代 2FA 方法。
在免费计划中,仅提供备份代码方法。如果您需要更多替代 2FA 方法,那么您将需要升级到WP 2FA Premium。
只需单击“继续设置”按钮即可转到下一页。
在此页面上,您可以强制部分或所有用户进行两步登录。我们建议您这样做,特别是如果您运行多用户 WordPress 网站(例如会员网站)。
如果您想对网站上的所有用户强制执行 2FA,只需选择“所有用户”选项并单击“继续设置”即可。
现在,您的所有用户都需要使用 2FA。
但是,也许您的网站上有一些用户您不想强制使用 2FA。下一页允许您键入这些团队成员的用户名或用户角色。
完成此操作后,单击“继续设置”按钮将进入一个页面,您可以在其中决定用户需要多长时间开始使用 2FA。
您可以要求他们立即开始,也可以给他们一段宽限期(例如 3 天),以便他们有时间进行设置。只需单击您想要在网站上使用的选项即可。
如果您想给予宽限期,那么您可以选择宽限期的小时数或天数。默认设置 3 天适用于大多数网站。
如果某些用户尚未设置 2FA,还可以选择在宽限期结束后执行哪些操作。您可以让他们登录但不允许他们访问仪表板,或者根本阻止他们登录。对于大多数网站来说,第一个选项是最好的。
做出选择后,您可以单击“全部完成”退出设置向导。恭喜,您已在站点上设置了双因素身份验证!
您将看到“安装完成”屏幕,其中包含一条祝贺消息。您还将看到一个按钮,允许您为自己的用户帐户设置 2FA。您应该单击“立即配置 2FA”按钮。
为您自己的用户帐户配置双因素身份验证
新的设置向导将启动,帮助您为自己的用户帐户设置双因素身份验证。您网站上的其他用户将被提示执行相同的操作。
您需要决定的第一件事是您希望使用哪种 2FA 方法。您应该会看到通过身份验证器应用程序获取一次性代码的选项。您还可能会看到其他选项,具体取决于您在安装向导期间所做的选择。
只需选择“通过 2FA 应用程序一次性获取代码”选项,然后单击“下一步”按钮。
该插件现在将向您显示二维码和文本代码。
您需要使用身份验证器应用程序扫描二维码。或者,您可以手动在应用程序中输入文本代码。
现在,您必须拿起移动设备并打开您首选的身份验证器应用程序。下面的屏幕截图使用的是 Authy,但其他应用程序的工作方式类似。
首先,单击身份验证器应用程序中的“+”或“添加帐户”按钮。
然后,该应用程序将请求访问您手机上的相机的权限。
您需要允许此权限,然后点击“扫描二维码”按钮,以便您可以扫描计算机上插件设置页面上显示的二维码。
一旦应用程序识别到二维码,它将自动开始保存帐户。
之后,您可以编辑帐户的默认徽标和昵称。准备好后,您应该点击“保存”按钮。
身份验证器应用程序现在将保存您的网站帐户。
接下来,它将开始显示一次性密码。您需要在计算机上的插件设置中输入此内容。
现在您需要切换回计算机。
在插件的设置向导中,单击“我准备好了”按钮继续。
该插件现在会要求您验证您的一次性密码。
只需在过期之前将移动应用程序中的代码输入到“身份验证代码”字段中即可。
之后,您应该单击“验证并保存”按钮来完成设置。
接下来,您将可以选择生成并保存备份代码列表。如果您无法使用手机,可以使用这些代码。
您应该单击“生成备份代码列表”按钮。
将生成并显示备份代码。
您可以将这些备份代码下载到计算机上的安全位置,打印它们并将其放在安全的地方,或者通过电子邮件将它们发送给自己。确保将它们放在您没有手机时可以拿到的地方。
之后,您可以单击“我准备好了,关闭向导”按钮退出设置向导。
登录时使用双因素身份验证
用户下次登录时,他们将看到一条通知,表明他们需要设置双因素身份验证,以及宽限期结束时的截止日期。
他们可以单击按钮立即配置 2FA,也可以选择在下次登录时收到提醒。
当他们单击“立即配置 2FA”按钮时,他们将执行与您在上一节中为自己的用户帐户设置 2FA 时相同的步骤。
当他们在设置两步身份验证后登录时,他们将正常看到 WordPress 登录屏幕。但是,当他们输入用户名和密码时,将显示第二个屏幕,要求从身份验证器应用程序输入代码。
他们需要在手机上的应用程序中输入代码,然后才能登录。或者,如果他们没有携带手机,也可以输入备用代码。
这使您的网站更加安全。如果黑客得知您的某个用户的用户名和密码,他们将无法登录,除非他们也可以访问自己的手机。
提示:如果您的 WordPress 网站使用自定义登录表单页面,那么您还可以创建一个自定义页面,用户可以在其中管理其双因素身份验证器设置,而无需访问 WordPress 管理区域。
方法2:使用双因素添加双因素身份验证
此方法不太灵活,因为它不允许您对所有用户强制执行两步登录。每个用户都必须自己设置它,并且可以从他们的个人资料中禁用它。但是,如果您只想为自己的帐户设置 2FA,那么这是一种快速且简单的方法。
首先,您需要安装并激活两因素插件。有关更多详细信息,请参阅我们有关如何安装 WordPress 插件的分步指南。
激活后,您需要访问用户»个人资料页面并向下滚动到“双因素选项”部分。
从这里,您需要选择双因素登录选项。该插件允许您使用电子邮件、身份验证器应用程序和 FIDO U2F 安全密钥方法。
我们建议使用身份验证器应用程序方法。只需使用 Google Authenticator、Authy 或 LastPass Authenticator 等身份验证器应用程序扫描屏幕上的二维码即可。
扫描二维码后,应用程序将向您显示验证码,您需要将其输入到插件选项中,然后单击“提交”按钮。
该插件现在将设置密钥。您可以随时从设置页面重置此键以重新扫描二维码。
不要忘记单击页面底部的“更新个人资料”按钮来保存您的设置。
现在,每次登录 WordPress 网站时,系统都会要求您输入手机上应用程序生成的验证码。
有关 WordPress 中双因素身份验证 (2FA) 的常见问题解答
以下是有关在 WordPress 中使用两步登录的一些最常见问题的解答。
1. 如果我无法使用我的手机,如何使用 2FA 登录?
如果您使用的是具有云备份选项的身份验证器应用程序(例如 Authy),那么您也可以在笔记本电脑上安装该应用程序。
即使您没有携带手机,您也可以访问验证码。它还可以让您在购买新手机时轻松恢复密钥。
许多验证器应用程序还允许您生成备份代码。当您无法使用手机时,这些代码可以用作一次性密码。
2. 如何在没有验证器应用程序的情况下登录?
如果您无法访问手机、笔记本电脑或备份代码,则只能通过禁用 2FA 插件来登录。
您可以参阅我们的指南,了解如何在无法访问管理区域时停用所有 WordPress 插件。
一旦您停用所有插件,这也将禁用双因素身份验证插件,您将能够登录 WordPress 网站。登录后,您可以重新激活插件并重置双因素身份验证设置。
3. 我需要用密码保护 WordPress 管理文件夹吗?
当您有多层安全措施来保护您的网站时,网站安全性效果最佳,从使用HTTPS和安全WordPress 托管等基础知识开始。
双因素验证可以确保您的 WordPress 登录安全,但您可以通过密码保护 WordPress 管理目录来使其更加安全。这意味着用户除非首先输入用户名和密码,否则将无法访问您的登录页面。
我们希望本文能帮助您为 WordPress 登录添加两步验证。您可能还想查看我们关于如何为您的 WordPress 网站获取免费 SSL 证书的指南,或者我们专家精选的最佳 WordPress 安全插件。