如何在WordPress中設置兩因素身份驗證:逐步指南

已發表: 2025-05-03

您知道您可以在WordPress中設置兩因素身份驗證嗎?如果您不確定是否要將此安全功能集成到WordPress網站中,請考慮以下問題:您有多少個帳戶在線?它們都受密碼保護嗎?其中有多少個帳戶共享相同的密碼?如果不需要的訪客可以訪問一個帳戶,那麼他們也可以訪問其他帳戶。如果您使用易於猜測的密碼或通過公共網絡登錄登錄(如果您使用公共網絡,我們建議使用VPN來加密流量),問題就會變得更糟。您的密碼是您的狗的名字嗎?你的婚禮約會?您是否在日記中寫下來?

每天,機器人都會攻擊數千個WordPress網站,使訪問者接觸惡意軟件。帶有機器人感染的網站通常被Google等搜索引擎列出。託管提供商可能會阻止對此類站點的訪問,而目標流量開始下降。您所有的辛勤工作都可以減少到一無所有。如果您想超越兩因素身份驗證(2FA),多因素身份驗證(MFA)提供了其他安全性,將密碼與生物識別技術或安全令牌相結合,以更大的保護,以防止威脅。

什麼是兩因素身份驗證(2FA)?

密碼可能會受到損害,尤其是通過蠻力攻擊。僅依靠密碼以進行安全性,稱為單因素身份驗證(SFA)。這是第二層安全性(超越簡單密碼)可以提供幫助的地方。兩因素身份驗證(2FA或TFA)添加了此額外的層。實際上,即使用戶的憑據被洩漏,許多受歡迎的網站(例如,Facebook,Gmail,PayPal)都使用兩因素身份驗證來增強安全性並減少違規行為。

那麼,2FA到底是什麼?從本質上講,這是一個過程,要求用戶除了密碼之外,還可以用自己擁有的東西驗證自己的身份。

通常,2FA不替換密碼;它通過另外一步進行補充,只有用戶(您作為管理員)才能訪問用戶。

這是它如何工作的示例

您照常登錄,然後出現一條消息,告訴您將代碼發送到您的設備。您會收到並輸入發送到手機,另一個設備或電子郵件的代碼。此代碼通常稱為一次性密碼(OTP),已交付到註冊的手機號碼或電子郵件地址。沒有這些額外的代碼,黑客也無法訪問您的網站,即使他們擁有您的密碼。

總而言之,在兩因素身份驗證中,必須有兩個不同的身份驗證類別:

  • 您知道的東西(例如,密碼或PIN)。
  • 您擁有的東西(例如,具有Authenticator應用程序的安全令牌或智能手機)。
  • 您是的東西(例如,生物識別技術,例如指紋或面部識別)。

什麼是多因素身份驗證(MFA)?

多因素身份驗證(MFA)是一個安全過程,它要求用戶在訪問系統或帳戶之前使用多種方法驗證其身份。 MFA不僅依靠密碼依靠密碼,還可以添加額外的保護層,通常將用戶知道的內容(例如密碼)組合,用戶擁有的東西(例如移動設備或安全令牌),有時甚至是用戶所獨有的東西,例如指紋或面部識別。這種方法大大降低了未經授權訪問的風險,因為即使攻擊者偷走了一種形式的身份驗證,也使攻擊者更難洩露帳戶。這是在當今數字世界中確保個人和業務數據安全的強大工具。

為了使MFA生效,必須至少有兩層身份驗證,這些驗證範圍超出了典型的2FA組合(請參閱上面的2FA如何工作部分)。例如:

  • 安全令牌(您擁有的東西)配對的生物識別技術(您所擁有的東西)超過了基本的兩因素設置。
  • 如果與這兩個密碼一起添加了密碼(您知道的東西),它將進一步加強身份驗證的層。

MFA本質上是2FA的擴展,通過使用三個或更多因素,可以提高安全性。因此,例如,儘管生物識別和安全令牌可能是MFA的一部分,但除非與其他驗證方法配對,否則它們不會被視為MFA。

兩因素身份驗證(2FA)和多因素身份驗證(MFA)有什麼區別?

多因素身份驗證(MFA)和兩因素身份驗證(2FA)之間的關鍵區別在於身份驗證步驟的數量。

2FA完全需要兩個單獨的因素來驗證用戶的身份。例如,一個密碼和一次性代碼發送到他們的電子郵件地址。

另一方面, MFA是一個涵蓋2FA的更廣泛的概念,但可以包括三個或多個身份驗證層。例如,MFA可能會結合密碼,指紋掃描(生物識別因子)和安全令牌。儘管2FA為未經授權的訪問提供了強大的障礙,但MFA提供了更全面的防禦,尤其是適合需要更高安全性的環境。

本質上,所有2FA都是MFA,但並非所有MFA都是2FA。

請記住,儘管安全性至關重要,但保持易於訪問客戶和訪客同樣重要。達到正確的平衡是關鍵。您不想讓客戶和訪客太困難。對於大多數情況,兩因素身份驗證提供了足夠的保護。密碼登錄的簡單組合,然後發送到電子郵件的驗證代碼通常提供安全性和便利性。

獲取驗證代碼的方法

在系統上實施2FA之前,了解第二步的工作方式很有幫助,以便您可以選擇最適合您的方法。驗證代碼可以通過諸如此類的方法獲得:

  1. 電子郵件服務:該代碼直接發送到您的註冊電子郵件地址。
  2. SMS :該代碼通過短信發送到您的手機。
  3. 應用程序生成的代碼:像Google Authenticator之類的應用程序在短時間間隔生成新代碼。登錄時,您可以手動輸入當前顯示的代碼。可能需要一些設置。
  4. USB令牌:此方法涉及將USB令牌插入您的設備並輸入令牌密碼。這是高度安全的,因為身份驗證過程無法截獲。但是,由於需要USB端口,因此可能無法使用手機(儘管您可以將USB-C用於USB-A適配器,這很重要)。

前兩種方法需要Internet或蜂窩數據連接,而最後兩種不需要。

2FA和MFA的流行形式

儘管上面的列表通過接收和輸入代碼突出顯示了有效的安全方法,但還有許多其他方法不需要使用驗證代碼。

這是最受歡迎的2FA和MFA形式的綜合列表,包括基於代碼的基於代碼和非代碼的身份驗證方法,該方法目前由各種服務採用:

  • 基於PIN的身份驗證:輸入您只知道的輔助PIN代碼。
  • 基於知識的身份驗證(KBA) :回答安全性問題(例如,“您的第一個寵物的名字是什麼?”)。
  • 基於電子郵件的身份驗證:接收並輸入發送到您的電子郵件地址的代碼。
  • 基於SMS的身份驗證:通過短信(SMS)接收並輸入發送到手機的代碼。
  • 基於電話的身份驗證:接收一個提供一次性密碼或需要語音確認的語音通話。
  • 基於Authenticator App的身份驗證:從Authenticator應用程序中輸入代碼,例如Microsoft Authenticator或Google Authenticator。
  • 基於推動的身份驗證推送通知身份驗證:通過發送到您的註冊設備的推送通知確認相關應用程序上的登錄。該應用提示用戶使用簡單的點擊批准或拒絕登錄嘗試(例如,Wise Bank App(以前轉移)要求您通過點擊“批准”或“是”來確認)。
  • 生物識別身份驗證:使用指紋傳感器(例如,筆記本電腦或移動設備上)驗證指紋驗證。
  • 硬件令牌身份驗證:使用物理USB安全密鑰或設備(例如USB令牌)來驗證登錄訪問。
  • 安全令牌身份驗證:使用物理或數字安全令牌在登錄過程中驗證身份。這些令牌可能會生成一次性密碼(OTP),充當USB鍵(例如USB密鑰)的硬件設備,或者在不需要USB連接的情況下生成登錄代碼。
  • 備份代碼身份驗證:在其他身份驗證選項(例如SMS或Authenticator應用程序)不可用時,輸入預生成的備份代碼作為後備方法,以重新訪問訪問。

這是專業的2FA和MFA方法:

  • 基於QR碼的身份驗證:使用身份驗證器應用程序掃描QR碼以驗證登錄。
  • 基於時間的一次性密碼(TOTP) :生成一個臨時密碼,該密碼每隔幾秒鐘,通常在身份驗證器應用中使用。
  • 基於HMAC的一次性密碼(HOTP) :HMAC代表基於哈希的消息身份驗證代碼。與TOTP相似的系統,但是代碼在使用之前保持有效。
  • 基於電話的身份驗證:接收一個提供一次性密碼或需要語音確認的語音通話。
  • 基於藍牙的身份驗證:使用藍牙來驗證身份,通常需要在設備之間接近身份。
  • 智能卡身份驗證:使用插入設備的物理智能卡以進行身份​​驗證,在企業安全方面常見。
  • 基於行為的身份驗證:分析擊鍵模式,小鼠運動或其他行為生物識別技術。
  • 基於地理位置的身份驗證:根據用戶的物理位置或已知IP地址限制登錄嘗試。
  • FIDO2/WebAuthn身份驗證:使用加密安全密鑰(例如Yubikeys)在沒有密碼的情況下進行身份驗證。
  • 基於模式的身份驗證:在觸摸屏上繪製模式(在移動設備安全性中常見)。

選擇合適的服務

如您所見,有很多可供選擇的服務,而不是所有的服務和WordPress插件都提供所有這些選項,因此您需要確定哪種最適合您。一些服務提供多個選項,使您可以從下拉菜單中進行選擇。如果您選擇使用WordPress插件集成2FA,則設置過程對您來說更方便。

在設置過程中,您可能還會為您提供恢復代碼。請務必將其記下並牢固地存儲。這些備份代碼將幫助您恢復帳戶,以防您由於2FA/MFA而被鎖定。

推薦的2FA的WordPress插件

為了簡化在WordPress網站上設置兩因素身份驗證,我們已經編制了最佳2FA插件的列表。這些插件非常適合用戶友好,包括清晰的設置說明,並提供全面的文檔。您不應該遇到任何困難。請隨時在下面的評論部分中分享您喜歡的2FA插件或提出任何安全問題。

事不宜遲,讓我們開始吧!

1。 GoogleAuthenticator

Google Authenticator

我們列表上的第一個插件是由可信賴的WordPress插件開發人員Miniorange by Miniorange的Google Authenticator 。該插件提供了一個全面的解決方案,用於確保您的WordPress登錄頁面,而無需您花一毛錢。

Google Authenticator是WordPress的出色的兩因素身份驗證插件,既易於設置又易於使用。它具有令人印象深刻的功能,旨在將最持久的黑客避開。

Some of the key features of the plugin include a sleek user interface, multiple authentication methods (supporting even Microsoft Authenticator), multi-language support, TOTP (Time-based One-Time Password) and HOTP (HMAC-based One-Time Password) support, brute force attack prevention, IP blocking, customizable security questions, support for various WordPress form plugins, GDPR compliance, and a vast array of premium features.

該插件的核心版本對於單個用戶是免費的,您通常可以在插件的支持論壇上找到幫助。

2。兩因素

Two-Factor

兩因素WordPress插件是由喬治·斯蒂芬尼斯(George Stephanis)領導的完全免費的開源項目,並提供了其他各種開發人員的貢獻。它是可用於WordPress網站的最直接的兩因素身份驗證插件之一。

安裝插件後,導航到用戶>您的配置文件,然後向下滾動到兩因素選項部分。在這裡,您可以啟用並配置所需的兩因素身份驗證設置。

該插件支持四種身份驗證方法:

  1. 電子郵件代碼:直接發送到您的電子郵件地址的驗證代碼。
  2. 基於時間的一次性密碼(TOTP) :使用Google Authenticator之類的應用程序生成的動態密碼。
  3. FIDO通用第二因子(U2F) :一種基於硬件的身份驗證方法,需要USB安全密鑰。
  4. 備份驗證代碼:可以安全地存儲緊急情況的一次性代碼。

還有一種虛擬方法,對於測試目的特別有用。除這些功能外,插件還支持15種語言,並在編寫時具有超過80,000個主動裝置。

該插件的性能非常出色,並且可靠地增強WordPress安全性。將來看到高級版本,提供更高級的功能,這將是令人興奮的。

3。 WordPress 2步驗證

WordPress 2-Step Verification

您是否找到了適合您需求的WordPress的兩因素身份驗證插件?如果沒有,我們很樂意通過來自越南的才華橫溢的PHP開發人員AS247介紹WordPress 2步驗證插件。

請放心,您不必擔心黑客使用此插件時會竊取登錄憑據。 WordPress 2步驗證插件將強大的2FA安全措施包含在您的登錄頁面中,以確保攻擊者仍將鎖定在管理區域之外。

該插件易於安裝和配置,您可以在10分鐘內完成所有設置。如果遇到任何問題,AS247通過WordPress.org支持論壇提供有用的幫助。

突出的功能

WordPress 2步驗證包含各種令人印象深刻的功能,包括:

  • 多站點支持:非常適合管理多個WordPress安裝。
  • 電子郵件代碼:發送到您的註冊電子郵件的驗證代碼。
  • 應用程序生成的代碼:Google Authenticator等應用程序生成的動態代碼。
  • SMS驗證:通過短信交付的代碼。
  • 備份代碼:不可用的驗證方法時,緊急情況方便。

此外,如果您丟失了對手機或驗證代碼的訪問權限,則該插件可以輕鬆地通過FTP恢復,這是在關鍵情況下的救生員。您還可以在值得信賴的設備(例如您的個人計算機)上停用2步驗證。

想知道插件如何支持應用程序生成的代碼? AS247在Play Store上提供了一個身份驗證器應用程序,這使得為不支持2步驗證的應用程序生成安全密碼。

可定制性和兼容性

需要幫助個性化WordPress主題嗎?有許多公司提供一流的WordPress主題自定義服務以適合您的要求。

當前,該插件不支持Gutenberg編輯器,因此您需要激活經典編輯器。正在進行工作以增加對古騰堡的支持,但是如果您願意使用經典編輯器,WordPress 2步驗證插件是一個絕佳的選擇。

4。 rublon兩因素身份驗證

Rublon Two-Factor Authentication

我們列表上的第四個插件是Rublon兩因素身份驗證。這個傑出的WordPress插件的主要目標是將未經授權的用戶拒之門外,並毫不費力地完成此操作。它提供了一種直接的方法,可以在WordPress網站上啟用兩因素身份驗證。

Rublon兩因素身份驗證插件非常易於用戶友好且易於安裝。您不需要任何技術專業知識或特殊培訓就可以開始。只需安裝插件,然後使用系統令牌和安全密鑰將其連接到Rublon API。

完成這些步驟後,您將通過電子郵件收到確認鏈接。驗證身份後,您可以配置其他選項以增強網站的安全性。

功能和功能

Rublon支持多種兩因素身份驗證方法,包括:

  • 電子郵件驗證
  • SMS代碼
  • QR碼掃描
  • 推送通知
  • 基於時間的一次性密碼(TOTP)

此外,您可以在這些設備上的未來登錄期間消除對兩因素身份驗證的需求。

用戶體驗

該插件提供了直觀且用戶友好的後端接口,從而易於將兩因素身份驗證集成到WordPress網站中。它支持五種語言,並獲得了安全專業人員和初學者的發光評論。用戶經常讚揚其功能和可靠性。

5。 GatewayAPI

Gateway API

如果我們列表中的其他兩因素身份驗證插件無法滿足您的易用需求,請讓您向Gatewayapi介紹。這個方便而直接的插件不僅僅是兩因素身份驗證工具,它是一個功能強大的引擎,可讓您直接從WordPress管理面板發送SMS消息。最重要的是,它包括免費的,用戶友好的兩因素身份驗證功能。

Gatewayapi的主要特徵

Gatewayapi包含有用的功能,包括:

  • 可自定義的SMS內容:將量身定制的信息添加到您的消息中。
  • CSV導入:輕鬆上傳收件人列表。
  • 批量消息:一次向大型組發送SMS消息。
  • 收件人細分:為目標消息創建和管理組。
  • 簡短代碼:簡化消息處理。
  • 易用性:任何人都可以導航的干淨,直觀的接口。
  • 重新授權選項:每次登錄或記住30天的可信設備。
  • 收件箱功能:通過您的電話號碼直接接收和讀取傳入消息。
  • 還有更多!

Gatewayapi入門

要開始,只需安裝插件並在Gatewayapi.com上註冊免費帳戶。不用擔心,如果您遇到任何困難,該插件會帶有詳細的分步指南,並配有屏幕截圖,使設置過程無縫。老實說,您甚至可能不需要閱讀文檔來實現兩因素身份驗證。這很簡單!

6。二人兩個因素身份驗證

Duo Two Factor Authentication

二人插件使將兩因素安全性集成到您的WordPress網站中,並簡單簡單。用戶和管理員可以使用已經擁有的設備(例如硬件令牌或手機)來驗證其身份。此外,此插件可幫助您監視網站上的用戶活動,並添加額外的問責制。

如何使用二人插件

開始使用插件:

  1. 在您的WordPress網站上安裝並激活它。
  2. 訂閱Duo的服務以訪問安全密鑰。
  3. 定義需要兩因素身份驗證的特定用戶角色。

身份驗證選項

二人插件提供多種身份驗證方法:

  • SMS OTP :一次性密碼通過消息服務發送到手機。
  • 硬件令牌OTP :物理設備生成的密碼。
  • Duo Mobile應用程序:用戶可以通過該應用程序生成OTP或使用一-Tap身份驗證。
  • 呼叫背回驗證:二人致電用戶的電話進行確認。

這些多功能選項可確保為所有用戶提供安全和靈活的身份驗證。

哪個插件適合您?

我們希望此列表可以幫助您找到自己喜歡的兩因素身份驗證插件。還有包括WordFence,穩固安全性和多合一安全性(AIO)等多合一安全套件,其中包括2FA和許多其他安全功能。如果您仍然不確定,我們建議您將它們全部安裝並嘗試。 WordPress的美麗在於您可以做所有這些事情。安裝插件,激活它並進行測試。不開心?停用並刪除它。

最後的想法

請記住, WordPress安全是維護成功網站的重要方面。實施兩因素身份驗證是將未經授權用戶置於WordPress管理區域之外的有效方法。通過需要額外的驗證步驟,2FA可以保護您的網站免受安全漏洞,蠻力攻擊和降低登錄憑據的損害。

無論您選擇WordPress插件還是其他集成方法,設置2FA都是一種簡單而強大的方法來增強網站的安全性。花點時間實施這項預防措施將使您安心,並為您的在線形象的長期可靠性做出貢獻。保持積極主動並確定安全性,以確保您的WordPress站點免受潛在威脅的安全。

您最喜歡哪個2FA插件?您有任何分享的疑問,疑慮或技巧嗎?我們很想在評論部分收到您的來信。