如何在WordPress中添加兩步驗證(免費方法)

你是否注意到像Facebook和Google這樣的熱門網站要求你添加兩步身份驗證以提高安全性?

現在,您可以為您的WordPress網站添加兩步身份驗證。 這可以確保您的WordPress網站及其所有註冊使用者的最大安全性。

在本文中,我們將向您展示如何使用外掛程式和認證器應用程式為WordPress添加兩步身份驗證。

為什麼要在WordPress中添加兩步身份驗證?

駭客使用的最常見的技巧之一就是暴力破解攻擊。 在這些攻擊中,他們使用自動腳本來嘗試猜測正確的使用者名和密碼,以便能夠登錄到您的WordPress網站。

成功的暴力破解攻擊可以使駭客訪問您網站的管理員區域。 他們可以安裝惡意軟體,竊取使用者資訊,並刪除您網站上的所有內容。

保護您的WordPress網站免受被盜密碼的最簡單方法之一是添加兩步身份驗證(2FA)。 通過這個設置,您需要輸入密碼和第二個代碼(來自應用程式、電子郵件或簡訊)才能登錄到您的網站。

這樣,即使有人盜取了您的密碼,他們仍然需要從您的手機輸入安全代碼才能獲得訪問許可權。

什麼是認證器應用程式?

有多種方法可以在WordPress中設置兩步登錄。 然而,最安全和更簡單的方法是使用認證器應用程式。
認證器應用程式是一種智慧手機應用程式,為您保存在其中的帳戶生成臨時一次性密碼。

基本上,應用程式和您的伺服器使用一個秘密密鑰來加密資訊並生成一次性代碼,您可以將其用作第二層保護。

有許多免費的應用程式可供選擇:

  • 最流行的應用程式是Google Authenticator,但這不是最佳選擇。 因為如果您丟失了手機,除非您提前創建了備份副本,否則無法恢復您的帳戶。
  • 我們推薦使用Authy,因為它是一個易於使用且免費的應用程式,還可以讓您以加密格式將您的帳戶保存在雲上。 這樣,如果您丟失了手機,您只需輸入主密碼即可恢復所有帳戶。
  • 其他密碼管理器,如LastPass和1Password,都配有自己版本的認證器。 它們比Google Authenticator更好,因為它們允許您恢復密鑰。

出於本教程的目的,我們將使用Authy。 如果您願意,您可以使用不同的應用程式跟隨我們的教程,因為它們的工作方式都相同。

方法一:使用WP 2FA添加雙因素身份驗證

這種方法簡單且適用於所有使用者。 它靈活,並允許您強制要求所有使用者使用兩步身份驗證。
首先,您需要安裝並啟動WP 2FA – Two-factor Authentication外掛程式。

啟動后,WPA 2FA設置精靈將自動啟動。 否則,您可以訪問Users » Your Profil頁面,並向下滾動到“WP 2FA設置”部分。

按兩下「Configure Two-factor authentication (2FA)」按鈕將啟動設置嚮導。

WP 2FA設置嚮導

只需點擊「讓我們開始吧! 按鈕以開始配置外掛程式。

2fawp2faletsgetstarted


在下一頁上,您將被要求選擇身份驗證方法。

有兩個選項:

  • 使用您選擇的2FA應用生成的一次性代碼(推薦)
  • 通過電子郵件發送給您的一次性代碼
2fawp2fa2famethods


我們建議您選擇通過2FA應用(TOTP)方法進行身份驗證,因為它更安全可靠。

一旦您做出選擇,您可以點擊「繼續設置」按鈕,轉到設置精靈的下一頁。

如果主要的2FA方法失敗,例如他們丟失了手機,您將被問及您希望使用者使用哪些備用的2FA方法。

在免費計劃中,僅備用代碼方法可用。 如果您想要更多的備用2FA方法,則需要升級到WP 2FA Premium。
WP 2FA備用2FA方法

2fawp2faalternative2fa


只需點擊「繼續設置」按鈕,以進入下一頁。

在此頁面上,您可以強制要求某些或所有用戶進行兩步登錄。 我們特別建議這樣做,尤其是如果您運營多使用者的WordPress網站,如會員網站。

如果您想要強制要求網站上的所有使用者使用2FA,則只需選擇“所有使用者”選項,然後點擊“繼續設置”。
強制所有使用者使用2FA

2fawp2faenforceallusers

現在,所有使用者都需要使用2FA。

然而,也許在您的網站上有一些使用者您不想強制使用2FA。 下一頁允許您輸入這些團隊成員的使用者名或使用者角色。

排除無需使用2FA的使用者或角色


完成後,點擊「繼續設置」按鈕,將帶您到一個頁面,您可以在此頁面上強制要求您的使用者何時開始使用2FA。

您可以要求他們立即開始,或者您可以給予他們一個寬限期,例如3天,以便他們有時間進行設置。 只需點擊您在網站上要使用的選項。
如果要設置寬限期,您可以選擇多少小時或多少天。 預設的3天設置對大多數網站來說效果很好。

設置寬限期,以便使用者可以配置2FA



還有一些選項,用於在寬限期結束后對尚未設置2FA的某些用戶進行處理。 您可以讓他們進入,但不允許他們訪問儀錶板,或者完全阻止他們無法登錄。 對於大多數網站,第一個選項最好。

完成選擇後,您可以點擊“全部完成”以退出設置精靈。 恭喜,您已經在您的網站上設置了兩步身份驗證!


您將看到設置完成螢幕上顯示了祝賀資訊。 您還將看到一個按鈕,允許您為自己的用戶帳戶設置2FA。 您應該點擊「立即配置2FA」 按鈕。

在您自己的用戶帳戶上配置2FA

為您自己的用戶帳戶配置雙因素身份驗證

新的設置精靈將開始説明您為自己的用戶帳戶設置兩步身份驗證。 您網站上的其他使用者也會收到同樣的提示。
首先,您需要決定使用哪種 2FA 方法。 您應該會看到通過驗證器應用程式輸入一次性驗證碼的選項。 您還可能看到其他選項,這取決於您在設置嚮導中做出的選擇。

只需選擇 「通過 2FA 應用程式獲取一次性驗證碼 」選項,然後點擊 「下一步」 按鈕即可。

選擇 2FA 方法

現在外掛程式會顯示一個 QR 碼和一個文字碼。

您需要使用驗證器程序掃描二維碼。 或者,你也可以在應用程式中手動輸入文本代碼。

使用身份驗證程序掃描二維碼

現在你需要拿起行動裝置,打開你喜歡的驗證器應用程式。 下面的截圖使用的是 Authy,但其他應用程式的工作方式與此類似。
首先,點擊認證程式中的 「+」或 「添加帳戶」 按鈕。

點擊 「+」按鈕添加帳戶

然後,應用程式會請求訪問手機攝像頭的許可權。
您需要允許這一許可權,然後點擊 「掃描 QR 碼 」按鈕,這樣您就可以在電腦上掃描外掛程式設置頁面上顯示的 QR 碼。

點擊 「掃描二維碼 」按鈕

一旦程序識別到二維碼,就會自動開始保存帳戶。

之後,你可以編輯帳戶的預設徽標和昵稱。 準備就緒后,點擊 「保存 」按鈕。

2fawp2fasavenew2faaccount

驗證器應用將保存您的網站帳戶資訊。

接下來,它將開始顯示一次性密碼。 您需要在電腦上的外掛程式設定中輸入此密碼。

找到您的雙因素認證令牌

現在您需要切換回到您的電腦。
在外掛程式的設置精靈中,點擊“我已準備好”按鈕以繼續。

掃描二維碼后,點擊「我已準備好」按鈕

外掛程式現在會要求您驗證一次性密碼。

只需將移動應用中的代碼輸入到「認證代碼」欄位中,以在它過期之前完成驗證。
在那之後,您應該點擊「驗證並保存」按鈕以完成設置。

輸入一次性令牌並驗證

接下來,您將有選項來生成並保存備用代碼清單。 這些代碼可以在您無法使用手機的情況下使用。
您應該點擊「產生備用代碼清單」 按鈕。

點擊「生成備用代碼清單」

備用代碼將會生成並顯示出來。
您可以將這些備用代碼下載到您電腦上的安全位置,將它們列印出來並放在安全的地方,或者通過電子郵件發送給自己。 確保如果你遺失了手機,您仍然可以找到備用代碼。

備用代碼清單



在那之後,您可以點擊“I’m Ready, Close the Wizard”按鈕以退出設置嚮導。

登錄時提示使用兩步認證

下一次您的用戶登錄時,他們會看到一個通知,提示他們需要在寬限期結束前設置兩步認證。
他們可以點擊一個按鈕以立即配置兩步認證,或選擇在下次登錄時進行提醒。

有關需要設置2FA的通知

當他們點擊「立即配置2FA」按鈕時,他們將按照前一節中為自己的用戶帳戶設置2FA時的相同步驟進行操作。

在設置了兩步認證后,再登錄,他們將看到正常的WordPress登錄介面。 然而,在他們輸入使用者名和密碼后,將顯示第二個螢幕,要求輸入來自他們的認證應用的代碼。

用戶必須在登錄之前輸入認證代碼

他們需要在他們的手機應用上輸入代碼,然後才能登錄。 或者,如果他們沒有帶手機,他們也可以輸入備用代碼。

這使得您的網站更加安全。 如果駭客獲得了您的某個使用者的使用者名和密碼,除非他們也能訪問他們的手機,否則他們將無法登錄。

提示:如果您的WordPress網站使用自定義登錄表單頁面,您還可以創建一個自定義頁面,用戶可以在不訪問WordPress管理區域的情況下管理他們的兩步認證設置。

方法2:使用Two-Factor添加兩步認證

這種方法不太靈活,因為它不允許您強制所有使用者使用兩步驗證登錄。 每個用戶都必須自行設置,並可以從其個人資料中禁用它。 然而,如果您只想為自己的帳戶設置雙因素認證,這是一種快速簡便的方法。

首先,您需要安裝並啟動“Two-Factor”外掛程式

啟動后,您需要訪問“使用者»個人資料”頁面,然後向下滾動到“Two-Factor”部分。

2fatwofactortotpoption

從這裡,您需要選擇一種雙因素登錄選項。 外掛程式允許您使用電子郵件、認證應用和FIDO U2F安全密鑰方法。
我們建議使用認證應用方法。 只需使用像Google Authenticator、Authy或LastPass Authenticator等認證應

用掃描螢幕上的二維碼。

掃描二維碼后,應用程式會顯示一個驗證碼,您需要在外掛程式選項中輸入驗證碼,然後點擊 「提交」按鈕。
外掛程式現在會設置秘鑰。 您可以隨時從設置頁面重置金鑰,重新掃描二維碼。

配置秘鑰

不要忘記點擊頁面底部的 「Update Profile 」按鈕保存設置。

現在,每次登錄 WordPress 網站時,都會要求您輸入手機認證應用程式生成的驗證碼。

2fatwofactorlogin

關於 WordPress 中的兩步驗證(2FA)的常見問題


下面是一些關於在 WordPress 中使用雙步驟登錄的常見問題的答案。

如果我無法使用手機,如何使用 2FA 登錄?

如果您使用的是帶有雲備份選項(如 Authy)的驗證器應用程式,那麼您也可以在筆記型電腦上安裝該應用程式。
這樣,即使手機不在身邊,您也可以訪問驗證碼。 當你購買新手機時,它還能讓你輕鬆恢復密匙。

許多驗證器應用程式還允許您生成備份代碼。 當您無法使用手機時,這些代碼可用作一次性密碼。

如何在沒有驗證程式代碼的情況下登錄?

如果你無法使用手機、筆記型電腦或備份密碼,那麼你只能通過禁用 2FA 外掛程式來登錄(例如通過ftp修改plugin目錄檔名來禁用所有外掛程式)

分享你的喜愛

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *