为什么在 WordPress 中添加双因素身份验证？

保护 WordPress 网站免遭密码窃取的最简单方法之一是添加双因素身份验证 (2FA)。通过此设置，需要输入密码和辅助代码（来自应用程序、电子邮件或短信）才能登录你的网站。这样，即使有人窃取了你的密码，他们仍然需要从你的手机输入安全代码才能获得访问权限。

什么是身份验证器应用程序？

在 WordPress 中设置两步登录的方法有多种。然而，最安全、最简单的方法是使用身份验证器应用程序。身份验证器应用程序是一款智能手机应用程序，可为你保存在其中的帐户生成临时一次性密码。基本上，应用程序和你的服务器使用密钥来加密信息并生成一次性代码，可以将其用作第二层保护。

有许多免费的应用程序可供选择：

• Google Authenticator：最流行的应用程序之一，但如果你丢失了手机，除非提前创建备份副本，否则无法恢复你的帐户。
• Authy：易于使用且免费的应用程序，允许你以加密格式将帐户保存在云上。如果丢失了手机，只需输入主密码即可恢复所有帐户。
• LastPass和1Password：这些密码管理器带有自己的身份验证器版本，允许你恢复密钥，比 Google Authenticator 更好。

如何在 WordPress 中添加双因素身份验证（免费方法）

方法 1：使用 WP 2FA 添加双因素身份验证

此方法简单易行，推荐所有用户使用。它很灵活，允许你对所有用户强制实施双因素身份验证。

1、安装和激活 WP 2FA 插件

首先，需要安装并激活WP 2FA – 双因素身份验证插件。

激活后，WPA 2FA 设置向导将自动启动。也可以访问“用户” » “您的个人资料”页面并向下滚动到“WP 2FA 设置”部分。单击“配置双因素身份验证 (2FA)”按钮将启动设置向导。

2、配置 WP 2FA 插件

1. 开始配置插件：点击“让我们开始吧！”按钮。
2. 选择身份验证方法：有两种选择：
   • 使用你选择的 2FA 应用程序生成的一次性代码（推荐）
   • 一次性代码通过电子邮件发送给你 我们建议选择通过 2FA 应用程序（TOTP）方法进行身份验证，因为它更安全可靠。选择后，单击“继续设置”按钮。

3. 选择替代 2FA 方法：如果主要 2FA 方法失败（例如用户丢失手机），系统会询问你希望用户使用哪种替代 2FA 方法。在免费计划中，仅提供备份代码方法。选择后，单击“继续设置”按钮。

4. 强制执行 2FA：可以强制部分或所有用户进行两步登录。我们建议对网站上的所有用户强制执行 2FA。选择“所有用户”选项并单击“继续设置”按钮。
5. 排除特定用户：可以排除一些用户不强制使用 2FA。输入这些团队成员的用户名或用户角色，完成后单击“继续设置”按钮。
6. 设置宽限期：决定用户需要多长时间开始使用 2FA。您可以要求他们立即开始，也可以给他们一段宽限期（例如 3 天）。选择后单击“全部完成”按钮退出设置向导。

3、为自己的用户帐户配置 2FA

将看到“安装完成”屏幕，其中包含一条祝贺消息。还将看到一个按钮，允许你为自己的用户帐户设置 2FA。单击“立即配置 2FA”按钮启动设置向导。

1. 选择 2FA 方法：选择“通过 2FA 应用程序一次性获取代码”选项，然后单击“下一步”按钮。

2. 扫描二维码：插件会显示二维码和文本代码。使用身份验证器应用程序扫描二维码，或者手动在应用程序中输入文本代码。
3. 验证一次性密码：在插件的设置向导中，单击“我准备好了”按钮继续。在过期之前将移动应用程序中的代码输入到“身份验证代码”字段中，然后单击“验证并保存”按钮。
4. 生成备份代码：生成并保存备份代码列表，以备在您无法使用手机时使用。保存后单击“我准备好了，关闭向导”按钮退出设置向导。

4、登录时使用双因素身份验证

用户下次登录时，他们将看到一条通知，表明他们需要设置双因素身份验证，以及宽限期结束时的截止日期。当他们设置两步身份验证后登录时，系统会要求从身份验证器应用程序输入代码或备用代码。

方法 2：使用 Two-Factor 插件添加双因素身份验证

如果你只想为自己的帐户设置 2FA，这是一种快速且简单的方法。

安装和激活 Two-Factor 插件

首先，需要安装并激活 Two-Factor 插件。

激活后，访问“用户” » “个人资料”页面并向下滚动到“双因素选项”部分。

配置 Two-Factor 插件

1. 选择双因素登录选项：插件允许你使用电子邮件、身份验证器应用程序和 FIDO U2F 安全密钥方法。

2. 扫描二维码：使用 Google Authenticator、Authy 或 LastPass Authenticator 等身份验证器应用程序扫描屏幕上的二维码。扫描二维码后，应用程序会向你显示验证码，需要将其输入到插件选项中，然后单击“提交”按钮。
3. 保存设置：单击页面底部的“更新个人资料”按钮来保存设置。

现在，每次登录 WordPress 网站时，系统都会要求你输入手机上应用程序生成的验证码进行登录。

常见问题解答

1. 如果我无法使用我的手机，如何使用 2FA 登录？

如果使用的是具有云备份选项的身份验证器应用程序（例如 Authy），可以在笔记本电脑上安装该应用程序，即使没有手机也可以访问验证码。许多验证器应用程序还允许生成备份代码，当无法使用手机时，这些代码可以用作一次性密码。

2. 如何在没有验证器应用程序的情况下登录？

如果无法访问手机、笔记本电脑或备份代码，只能通过禁用 2FA 插件来登录。停用所有 WordPress 插件。一旦停用所有插件，这也将禁用双因素身份验证插件，你将能够登录 WordPress 网站。登录后，重新激活插件并重置双因素身份验证设置。

3. 我需要用密码保护 WordPress 管理文件夹吗？

当你有多层安全措施来保护网站时，网站安全性效果最佳，从使用 HTTPS 和安全 WordPress 托管等基础知识开始。双因素验证可以确保你的 WordPress 登录安全，但你可以通过密码保护 WordPress 管理目录来使其更加安全。这意味着用户除非首先输入用户名和密码，否则将无法访问你的登录页面。

结论

在 WordPress 中添加双因素身份验证是提高网站安全性的重要步骤。通过使用 WP 2FA 或 Two-Factor 插件，可以轻松地为你的 WordPress 网站和用户账户设置 2FA。尽管双因素身份验证不能完全防止所有类型的攻击，但它可以显著减少暴力攻击和密码窃取的风险。