iThemes Security Pro 功能亮點：魔術鏈接和無密碼登錄

在 Feature Spotlight 帖子中，我們將重點介紹 iThemes Security Pro 中的一項功能，並分享一些有關我們開發該功能的原因、該功能適用於誰以及如何使用該功能的一些信息。

今天我們將介紹iThemes Security Pro 插件中的兩個很棒的功能Magic Links和Passwordless Logins 。

魔術鏈接

iThemes Security Pro 非常擅長鎖定壞人。 然而，如果一個壞人在暴力攻擊中使用了用戶名 Bob，而 Bob 是該站點的實際用戶，那麼不幸的是，Bob 將與攻擊者一起被鎖定。

下次 Bob 嘗試登錄時，他會看到 iThemes 安全鎖定消息。 如果 Bob 是站點管理員，他將不得不等待鎖定到期或通過 FTP 手動禁用 iThemes Security Pro。

如果 Bob 是您的客戶，他可能會高估鎖定的嚴重性，並瘋狂地聯繫您，想知道您為什麼讓他的網站遭到黑客攻擊。 這將要求您解釋這是您保護他們的站點的證據，然後使用 Sync Pro 清除鎖定或登錄該站點並從 iThemes 安全小部件清除鎖定以允許他再次登錄。

儘管阻止壞人闖入網站感覺很棒，但當安全性影響真實用戶體驗時，我們不喜歡它。 因此，我們想要創建一種方法，即使 Bob 的用戶名被用於暴力攻擊，也允許他登錄。 我們從不希望站點經理必須花費寶貴的時間來清除鎖定。

什麼是魔術鏈接？

Magic Links 允許您在您的用戶名被 iThemes 安全本地暴力保護功能鎖定時登錄到您的 WordPress 站點。

當您的用戶名被鎖定時，您可以請求一封帶有唯一登錄鏈接的電子郵件。 使用電子郵件鏈接將為您繞過用戶名鎖定，而暴力攻擊者仍然被鎖定。

如何在 iThemes Security Pro 中使用 Magic Links

要開始使用 Magic Links，請導航到安全設置的功能菜單並啟用Magic Links 。

如果您在啟用 Magic Links 後遇到鎖定，您將看到一個選項，可以將 Magic Link 發送到您的電子郵件地址。

只需單擊“發送授權登錄鏈接”鏈接即可接收您的 Magic Links 電子郵件。

收到電子郵件後，使用鏈接，輸入您的憑據，您將回到您的站點！

無密碼登錄

根據定義，每項安全措施都旨在降低任何接受附加安全措施的便利性。 為了增加安全性，我家的前門上有鎖。 鎖需要額外的步驟，在門打開之前使用鑰匙解鎖。 添加進入我家的額外步驟可能是一個好主意，即使沒有鎖會更容易。

您的在線帳戶也是如此。 使用強大的、唯一的密碼和雙因素身份驗證將保護您免受 100% 的蠻力攻擊。 不幸的是，仍然有很多人重複使用他們相同的弱密碼，而不是使用任何形式的二元密碼。

我們這些安全社區中的人通常很難理解為什麼要說服人們犧牲一點便利來獲得大量安全性如此困難。 我們甚至沒有考慮為我們進入的每個物理門設置一個唯一的鎖——我有我的車、妻子的車、房子、辦公室和郵箱的鑰匙——那麼，為什麼在我們的虛擬門上使用唯一的密碼似乎如此不方便？

為什麼我們要為 WordPress 開發無密碼登錄？

我們在安全社區已經開始意識到我們總是讓安全變得比它需要的更混亂。 一旦你有了物理門的鑰匙，你就完成了。 然而，在密碼安全方面，我們制定了一系列可能令人難以抗拒的規則。 更糟糕的是，我們似乎無法就創建強密碼的規則達成一致。

無論我們在安全社區中是否願意承認，使用密碼管理器和雙因素身份驗證都可能既痛苦又耗時，尤其是當我們將越來越多的生活轉移到網上時。

因此，我們希望創建一種方法，讓人們在不犧牲可用性的情況下獲得強大而獨特的密碼所提供的所有安全性。

什麼是無密碼登錄？

無密碼登錄是一種驗證用戶身份的新方法，實際上無需密碼即可登錄。 我們採用了 Magic Links 的想法，並將其演變成一種新的登錄方法，允許您要求用戶使用強密碼和雙因素身份驗證，而無需輸入密碼或額外的身份驗證代碼。

如何使用無密碼登錄

要開始使用無密碼登錄，請導航到安全設置的功能菜單並啟用無密碼登錄。

啟用無密碼登錄後，單擊齒輪來管理設置。

單擊用戶組鏈接以選擇哪些用戶可以使用登錄方法並在使用該方法時繞過雙重因素。

現在您已啟用無密碼登錄，您可以強制執行強密碼和兩因素要求，而不會對您網站上的用戶體驗產生負面影響。

無密碼登錄方法的工作原理

登錄時，系統會要求您選擇登錄方法。 單擊電子郵件魔術鏈接按鈕以發送包含無密碼登錄鏈接的電子郵件。

您現在將看到一條消息，確認電子郵件已發送。

在您的電子郵件收件箱中，打開 Magic Link 電子郵件和立即登錄按鈕。

就是這樣，無需輸入密碼或雙因素令牌。 這意味著一旦您啟用無密碼登錄，您就不必知道複雜的密碼或複制並粘貼額外的代碼來登錄。 但是，那些試圖對您的網站進行暴力破解的壞人的成功率為 0%。

包起來

如您所見，iThemes Security Pro 中的魔術鏈接和無密碼登錄都可以為您的網站增加一層強大的安全性，而不會增加任何不便。

不要錯過下一版 iThemes Security Pro 功能亮點。 我們將重點放在受信任的設備上，這是一個很好的工具，可以保護您的 WordPress 管理員並防止會話劫持。

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。 作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子，喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。