大型网站如Facebook和Google非常重视安全,要求用户使用双重认证(2FA)来保护帐户。这是因为2FA增加了一层额外的安全保护,使得黑客更难以入侵。
现在,您也可以让您的WordPress网站同样安全。为您的WordPress用户添加双重认证是明智之举,无论您是经营小型博客或繁忙的在线商店。本文将指导您如何使用插件和身份验证应用程序,在您的WordPress网站上设置2FA。操作比您想象的要简单,并且这对于保护您的网站安全非常重要。
为什么在WordPress中添加双重认证?
黑客常用的一种攻击手段是称为暴力破解攻击。在这种攻击中,他们使用自动脚本尝试猜测正确的用户名和密码,以便登录到您的WordPress网站。
成功的暴力破解攻击可以让黑客访问您网站的管理区域。他们可以安装恶意软件、盗取用户信息,并删除您网站上的所有内容。
保护WordPress网站免受密码被盗的最简单方法之一就是添加双重认证(2FA)。有了这种设置,您需要输入密码和二次代码(来自应用程序、电子邮件或短信)才能登录您的网站。
什么是身份验证应用程序?
有多种方法可以在WordPress中设置双重登录。不过,最安全且最简单的方法是使用身份验证应用程序。
身份验证应用程序是一种智能手机应用程序,它为您保存的帐户生成一次性密码。
基本上,该应用程序和您的服务器使用一个密钥加密信息并生成一次性代码,作为第二层保护。
有很多免费可用的应用程序:
- 最著名的应用程序是Google身份验证器,但它不是最佳选择。因为如果您丢失了手机,没有提前创建备份,就无法恢复帐户。
- 我们推荐使用Authy,因为它是一个免费且易于使用的应用程序,还可以将帐户保存到云端以加密格式。如果您丢失了手机,只需输入主密码即可恢复所有帐户。
- 其他密码管理器如LastPass和1Password都有自己的身份验证器版本。它们比Google身份验证器更好,因为它们允许恢复密钥。
为了这篇教程,我们将使用Authy。如果您愿意,可以使用其他应用程序,因为它们的工作方式相同。
方法一:使用WP 2FA添加双重认证(推荐)
首先,您需要安装并激活WP 2FA插件。详细步骤请参阅我们的WordPress插件安装指南。
激活后,WP 2FA安装向导将自动启动。否则,您可以访问“用户”»“您的档案”页面,然后向下滚动到“WP 2FA设置”部分。
点击“配置双重验证(2FA)”按钮将启动安装向导。
WP 2FA安装向导
简单点击“开始吧!”按钮,开始配置插件。
在下一页,您将被要求选择一种认证方法。
- 通过您选择的2FA应用程序生成的一次性代码(推荐)
- 通过电子邮件发送的一次性代码
我们推荐选择通过2FA应用(TOTP)生成的一次性代码,因为它更安全且可靠。
选择完后,点击“继续设置”按钮,进入下一页。
您将被要求选择备用2FA方法供用户在主要2FA方法失效时使用,如丢失手机时的情况。
免费计划中仅提供备份代码方法。如果您想要更多备用2FA方法,需要升级到WP 2FA Premium。
点击“继续设置”按钮,进入下一页。
在此页面,您可以强制某些或所有用户必须使用双重登录功能。我们建议这样做,特别是如果您运行的是多用户WordPress网站,比如会员网站。
如果您想要强制所有用户使用2FA,只需选择“所有用户”选项并点击“继续设置”。
现在,您的所有用户都需要使用2FA。
如果您有些用户不想强制他们使用2FA,可以在下一页输入这些团队成员的用户名或用户角色。
输入完后,点击“继续设置”按钮,进入下一页,选择用户何时需要开始使用2FA。
您可以要求他们立即开始,或者给予他们几天的宽限期,让他们有时间设置。点击您想使用的选项。
如果希望给予宽限期,可以选择具体小时或天数。默认设置的3天对大多数网站适用。
宽限期结束后,您可以选择是否允许未设置2FA的用户进入但无法访问仪表板,或完全禁止他们登录。对于大多数网站,第一个选项是最合适的。
选择好后,点击“完成”。恭喜,您已经在网站上设置了双重认证!
在设置完成屏幕上,点击“配置2FA”按钮,为您的用户帐户设置2FA。
为您的用户帐户配置双重认证
一个新的安装向导将启动,帮助您为自己的用户帐户设置双重认证。其他用户也会被提示进行相同的步骤。
首先,选择要使用的2FA方法。选择通过身份验证应用的一次性代码选项,然后点击“下一步”。
插件现在会显示一个QR码和一个文本代码。
您需要使用身份验证应用程序扫描QR码,或手动输入文本代码。
打开您喜欢的身份验证应用程序(我们使用Authy作为示例)。
点击“+”或“添加帐户”,允许手机摄像头权限,然后点击“扫描QR码”按钮扫描插件显示的二维码。
识别QR码后,应用程序会自动保存帐户。接着,您可以编辑默认徽标和昵称。完成后,点击“保存”。
身份验证应用程序现在会保存您的网站帐户,并开始显示一次性密码。将该密码输入插件设置中的“验证&保存”按钮完成设置。
生成并保存备用代码,以防您没有手机时使用。
点击“生成备用代码”按钮生成备用代码,并下载、打印或通过电子邮件发送。确保将其保存在安全的地方。
点击“准备好了,关闭向导”按钮完成设置。
使用双重认证登录
下次用户登录时,会看到需设置双重认证的通知以及宽限期截止日期。
他们可以点击“现在配置2FA”按钮,进入相同的配置步骤。
完成双重认证设置后,当用户登录时,会看到WordPress登录屏幕并要求输入一次性密码。或者输入备用代码。
这使您的网站更安全。如果黑客得到了用户名和密码,他们仍然无法登录,除非同时有用户的手机。
提示:如果您的WordPress网站使用自定义登录表单页面,您还可以创建自定义页面让用户管理他们的双因素身份验证设置,而无需进入WordPress管理区域。
方法二:使用Two-Factor插件添加双重认证
该方法不允许您强制所有用户进行双重登录,每个用户需要自行设置,并且可以从个人资料中禁用。不过,如果您只想为自己的帐户设置2FA,这是一种快速且简单的方法。
首先,您需要安装并激活Two-Factor插件。
激活后,访问“用户”»“个人资料”页面,向下滚动到“两因素选项”部分。
从这里,选择一种双重登录选项。插件允许通过电子邮件、身份验证应用和FIDO U2F安全密钥方法。
我们推荐使用身份验证应用方法。扫描屏幕上的QR码并在应用中输入验证代码。
点击“提交”按钮以设置密钥,您可以随时重置密钥重新扫描QR码。
别忘了点击底部的“更新个人资料”按钮保存设置。
登录常见问题
如果没有手机,如何登录?
如果使用支持云备份的身份验证应用程序如Authy,您可以在笔记本电脑上安装该应用。
这样,即使没有手机也可以访问身份验证代码。
许多身份验证应用还提供生成备用代码,用作没有手机时的一次性密码。
如何在没有任何代码的情况下登录?
如果没有手机、笔记本电脑或备用代码,只能通过禁用2FA插件登录。
您可以参考我们的指南,了解无法访问管理区域时如何停用所有WordPress插件。
停用插件后,您可以登录并重新激活插件并重置2FA设置。
专家指南
- 如何限制WordPress登录尝试
- 如何在WordPress中添加自定义登录URL
- 如何在WordPress登录和注册表单中添加验证码
- 如何在WordPress登录屏幕添加安全问题
- 如何禁用WordPress登录错误消息中的提示
- 如何密码保护您的WordPress管理目录
- 如何限制IP访问WordPress wp-login.php文件
- 如何在WordPress中使用魔术链接添加无密码登录
- 如何保护您的WordPress网站免受暴力破解攻击
