iThemes Security Pro 功能亮点：魔术链接和无密码登录

在 Feature Spotlight 帖子中，我们将重点介绍 iThemes Security Pro 中的一项功能，并分享一些有关我们开发该功能的原因、该功能适用​​于谁以及如何使用该功能的一些信息。

今天我们将介绍iThemes Security Pro 插件中的两个很棒的功能Magic Links和Passwordless Logins 。

魔术链接

iThemes Security Pro 非常擅长锁定坏人。 然而，如果一个坏人在暴力攻击中使用了用户名 Bob，而 Bob 是该站点的实际用户，那么不幸的是，Bob 将与攻击者一起被锁定。

下次 Bob 尝试登录时，他会看到 iThemes 安全锁定消息。 如果 Bob 是站点管理员，他将不得不等待锁定到期或通过 FTP 手动禁用 iThemes Security Pro。

如果 Bob 是您的客户，他可能会高估锁定的严重性，并疯狂地联系您，想知道您为什么让他的网站遭到黑客攻击。 这将要求您解释这是您保护他们的站点的证据，然后使用 Sync Pro 清除锁定或登录该站点并从 iThemes 安全小部件清除锁定以允许他再次登录。

尽管阻止坏人闯入网站感觉很棒，但当安全性影响真实用户体验时，我们不喜欢它。 因此，我们想要创建一种方法，即使 Bob 的用户名被用于暴力攻击，也允许他登录。 我们从不希望站点经理必须花费宝贵的时间来清除锁定。

什么是魔术链接？

Magic Links 允许您在您的用户名被 iThemes 安全本地暴力保护功能锁定时登录到您的 WordPress 站点。

当您的用户名被锁定时，您可以请求一封带有唯一登录链接的电子邮件。 使用电子邮件链接将为您绕过用户名锁定，而暴力攻击者仍然被锁定。

如何在 iThemes Security Pro 中使用 Magic Links

要开始使用 Magic Links，请导航到安全设置的功能菜单并启用Magic Links 。

如果您在启用 Magic Links 后遇到锁定，您将看到一个选项，可以将 Magic Link 发送到您的电子邮件地址。

只需单击“发送授权登录链接”链接即可接收您的 Magic Links 电子邮件。

收到电子邮件后，使用链接，输入您的凭据，您将回到您的站点！

无密码登录

根据定义，每项安全措施都旨在降低任何接受附加安全措施的便利性。 为了增加安全性，我家的前门上有锁。 锁需要额外的步骤，在门打开之前使用钥匙解锁。 添加进入我家的额外步骤可能是一个好主意，即使没有锁会更容易。

您的在线帐户也是如此。 使用强大的、唯一的密码和双因素身份验证将保护您免受 100% 的蛮力攻击。 不幸的是，仍然有很多人重复使用相同的弱密码，而不使用任何形式的二元密码。

我们这些安全社区中的人通常很难理解为什么要说服人们牺牲一点便利来获得大量安全性如此困难。 我们甚至没有考虑为我们进入的每个物理门设置一个唯一的锁——我有我的车、妻子的车、房子、办公室和邮箱的钥匙——那么，为什么在我们的虚拟门上使用唯一的密码似乎如此不方便？

为什么我们要为 WordPress 开发无密码登录？

我们在安全社区已经开始意识到我们总是让安全变得比它需要的更混乱。 一旦你有了物理门的钥匙，你就完成了。 然而，在密码安全方面，我们制定了一系列可能令人难以抗拒的规则。 更糟糕的是，我们似乎无法就创建强密码的规则达成一致。

无论我们在安全社区中是否愿意承认，使用密码管理器和双因素身份验证都可能既痛苦又耗时，尤其是当我们将越来越多的生活转移到网上时。

因此，我们希望创建一种方法，让人们在不牺牲可用性的情况下获得强大而独特的密码所提供的所有安全性。

什么是无密码登录？

无密码登录是一种验证用户身份的新方法，实际上无需密码即可登录。 我们采用了 Magic Links 的想法，并将其演变成一种新的登录方法，允许您要求用户使用强密码和双因素身份验证，而无需输入密码或额外的身份验证代码。

如何使用无密码登录

要开始使用无密码登录，请导航到安全设置的功能菜单并启用无密码登录。

启用无密码登录后，单击齿轮来管理设置。

单击用户组链接以选择哪些用户可以使用登录方法并在使用该方法时绕过双重因素。

现在您已启用无密码登录，您可以强制执行强密码和两因素要求，而不会对您网站上的用户体验产生负面影响。

无密码登录方法的工作原理

登录时，系统会要求您选择登录方法。 单击电子邮件魔术链接按钮以发送包含无密码登录链接的电子邮件。

您现在将看到一条消息，确认电子邮件已发送。

在您的电子邮件收件箱中，打开 Magic Link 电子邮件和立即登录按钮。

就是这样，无需输入密码或双因素令牌。 这意味着一旦您启用无密码登录，您就不必知道复杂的密码或复制并粘贴额外的代码来登录。 但是，那些试图对您的网站进行暴力破解的坏人的成功率为 0%。

包起来

如您所见，iThemes Security Pro 中的魔术链接和无密码登录都可以为您的网站增加一层强大的安全性，而不会增加任何不便。

不要错过下一版 iThemes Security Pro 功能亮点。 我们将重点放在受信任的设备上，这是一个很好的工具，可以保护您的 WordPress 管理员并防止会话劫持。

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。 作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子，喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。