双因素身份验证:WordPress 用户指南

已发表: 2023-01-03

您可能在网上银行和任何对其用户要求最高安全性的网站中遇到过两步登录验证过程。 因为 WordPress 支持双因素身份验证 (2FA),所以您可以拥有与银行相同级别的安全性。 无论是您自己的 WordPress 网站还是您为客户构建的网站,强大的安全性都是基础。

双因素身份验证增加了一个非常重要的保护层,每个 WordPress 网站所有者都应该认真考虑采用。 由于 2FA 使许多常见的黑客攻击变得不可能,黑客将简单地避开受 2FA 保护的站点,而不会费心尝试使用他们知道行不通的方法进行入侵。 每个 WordPress 站点都可以受益于双因素身份验证提供的额外安全层。

为什么强密码还不够

网络威胁会给您和您的客户带来严重风险。 如果未经授权的用户获得了对您站点的管理仪表板的访问权限,则任何事情都可能发生。 您可能会立即丢失所有数据。 您可能会在一段时间内失去对网站的控制。 犯罪分子可能会收集您用户的个人信息。 您的用户不会高兴,但您必须告知他们发生了什么。 法律要求您披露个人身份数据泄露事件。

许多攻击可以通过猜测密码或使用偷来的密码来渗透您的站点。 如果您和您的所有网站用户都启用了双因素身份验证,那么这些闯入您网站的暴力方法都不会奏效。

是的,要求所有用户帐户使用强密码以保护您的站点及其用户始终很重要。 但是,强密码本身并不能提供足够的保护。 攻击者甚至可以通过猜测强密码或使用窃取的密码来侵入您的站点。 现在这是一个普遍的现实,传统的基于密码的登录作为单一安全层是不够的。

如果没有额外的安全层,强密码无法提供足够强大的保护。 对所有用户帐户使用双因素身份验证是一种更有效的安全措施,因为它增加了保护站点和保护客户所需的额外层。 这并不是说没有必要强制使用强密码。 您仍然应该这样做——然后添加 2FA!

双因素身份验证相对容易设置。 当您这样做时,它将大大降低恶意未经授权的用户获得对您的 WordPress 网站的管理员访问权限的风险。 赢了,赢了!

双因素身份验证阻止暴力攻击

阻止暴力登录攻击是双因素身份验证添加到您的 WordPress 站点的保护的一个很好的例子。 暴力攻击是一种常见的威胁,但双因素身份验证将消除它们。 在暴力登录攻击中,黑客会针对您的管理员和其他用户帐户快速测试许多常见密码和基于字典的密码。 有时,黑客会在您的登录屏幕上测试大量被盗用户名、电子邮件地址和密码组合。

对数以千计的非法登录进行自动化、脚本化测试会减慢您的网站速度或使其脱机。 出于这个原因,暴力登录攻击通常具有拒绝服务攻击的效果。 但是,如果您和您的所有站点用户都启用了双因素身份验证,那么这些暴力方法都将根本不起作用。 没有黑客会想在您的网站上大规模尝试暴力登录。 他们不会有成功的可能。

将双因素身份验证添加到您的 WordPress 站点

在本指南中,我们将讨论 2FA 的详细信息。 您将了解用户身份验证在 WordPress 平台上的工作原理。 然后我们将解释如何使用 WordPress 插件实现 2FA。

在本指南中

    WordPress 是否具有双因素身份验证?

    WordPress 核心没有内置双因素身份验证。 你需要添加它。

    双因素身份验证是您使用 WordPress 插件(有时是外部服务)添加到站点的额外安全层。 换句话说,它建立在默认 WordPress 安装的核心用户帐户功能之上。 2FA 使您的 WordPress 网站不仅需要密码,还需要额外的信息来验证您的每个用户每次尝试登录时的身份。

    2FA 验证来自授权站点用户可以访问的来源,例如:

    • 推送到他们手机的短信、电话或通知
    • 通过电子邮件发送的链接或代码
    • 二维码

    双因素身份验证非常安全。 恶意攻击者和黑客无法物理访问您用户的外部渠道和设备。 这意味着即使他们能够破解密码,如果没有第二层身份验证,他们仍然无法获得对您网站的未授权访问。 要破解用户的密码,他们还需要破解用户的电子邮件、计算机或电话。 这可能会发生,但与每天测试数百万个密码的脚本暴力攻击相比极为罕见。

    我的 WordPress 网站需要 2FA 吗?

    运行双因素身份验证将阻止在线世界中的许多不良行为者甚至试图未经授权访问您的网站。 虽然这不是绝对必要的,但谁不需要那种保护和安心呢?

    不要让坏人成为你世界的中心舞台。 2FA 阻止未经授权的访问尝试。

    如果您的 WordPress 网站曾经遭到黑客攻击或听说过有人遭到黑客攻击,那么您就会知道垃圾链接、重定向和恶意代码会以多快的速度散播,这些垃圾邮件链接、重定向和恶意代码会对您的声誉造成直接且无法弥补的损害。

    更糟糕的是,如果您使用 WooCommerce 运行电子商务网站,黑客可能会访问客户数据,例如姓名、地址、电话号码、电子邮件地址,甚至信用卡号码。

    如果发生这种情况,您将很难摆脱困境。

    WordPress 2FA 是第二道防线,可以将坏人拒之门外,同时确保即使密码被泄露,只要第二层保护仍然是黑客牢不可破的锁,帐户就会保持安全。

    作为 WordPress 网站所有者,请了解双因素身份验证功能是 100% 选择加入的。 由于它不是核心功能,因此您只需选择在您的网站上实施它。 它是完全免费的,并增加了一个几乎牢不可破的保护层,可以减轻许多对黑客和攻击的担忧。

    提示:您的安全选择越容易,您实施它们的可能性就越大。 把事情简单化!

    话虽如此,2FA 是一种无需动脑筋的 WordPress 站点安全方法,如果每个人还没有使用它,或者甚至是使用密钥而不是密码的更强大、安全的登录方法,都应该使用它。

    2FA 对多用户 WordPress 网站的好处

    在标准的、未修改的 WordPress 登录页面上,您和您的用户只需输入用户名和密码即可访问该站点。 提交登录凭据后,如果用户名和密码组合与 WordPress 数据库中的内容相匹配,则用户会立即获得对 WordPress 后端的访问权限以及基于您应用的权限规则的任何权限。

    WordPress 有六个预定义的用户角色:

    • 超级管理员
    • 行政
    • 编辑
    • 作者
    • 贡献者
    • 订户

    默认情况下,允许这些角色在您的站点上执行特定的任务集。 角色可以执行的任务称为“能力”。

    您的大多数标准站点用户可能处于订阅者角色,该角色具有最少的功能。 但是,您可能有其他管理员、编辑和作者会定期访问您网站的后端。 一些用户可能对他们的密码很草率,他们可能会共享帐户,而一些拥有特殊权限的用户可能会在您不知情的情况下将权限授予其他用户。 当用户不再活跃或不再需要时,您可能会忘记删除用户或降级他们的权限。 所有这些情况都很常见,并为攻击者创造了机会。

    如果黑客只知道其中一个管理员用户名和密码,他们将立即以完全权限访问您的整个站点。 显然,这很糟糕,但您也不希望您的订阅者遭到黑客攻击。 即使在那种情况下,您也必须报告违规行为,这会损害用户对您和您的品牌的信任。

    双因素身份验证如何保护用户登录

    双因素身份验证通过使用电子邮件消息、文本消息或身份验证器应用程序双重验证用户身份来阻止黑客侵入用户帐户。 登录时,激活第二种验证方式。 因此,用户将必须通过这些辅助渠道之一确认其登录。

    简而言之,当您或其他网站用户在您网站的登录页面上输入个人登录数据(用户名和密码)时,系统会立即向尝试登录的用户关联的电子邮件地址或电话号码发送通知。通常,此登录通知将包含一个链接、二维码或一次性 PIN 码,以允许登录尝试继续进行。

    对于要进入网站的用户,他们需要按照电子邮件或短信中的说明进行操作。 他们可能会被要求单击特定的访问链接或输入 PIN。

    虽然这个额外的步骤减慢了登录过程,但增加的安全性远远超过了让您的网站对网络犯罪分子每天在整个网络上执行的简单用户名和密码黑客开放的风险。

    双因素身份验证是否完全安全?

    没有任何安全措施是 100% 万无一失的。 在黑客的世界里,只要有意志,黑客就会想办法。 如果最坏的情况发生并且您发现您的网站已被黑客入侵,最好运行 WordPress 备份插件,它可以立即将您的网站恢复到攻击前的安全时间。

    当您将 2FA 与 WordPress 中的标准密码保护协议进行比较时,您会发现双因素身份验证更安全。 该过程要求您的用户(和您)从每个用户唯一的来源确认每次登录尝试。 通常,这是一个电话或私人电子邮件帐户。 这意味着黑客只能访问受 2FA 保护的 WordPress 网站的内部运作,前提是他们还可以访问网站用户的设备和外部登录信息。 因为这极不可能发生,所以添加 2FA 可以大大降低您的网站通过非法登录被黑客入侵的可能性。

    您准备好学习如何将 2FA 添加到 WordPress 以保护您的网站及其用户了吗? 如果是这样,请继续阅读以了解如何在您的网站上整合 2FA 功能并使其运行。

    双因素认证

    如何在 WordPress 中启用双因素身份验证?

    根据您的站点主机,您可以在主机的 cPanel 或用户门户中启用 2FA 保护。

    但是,如果您的主机不为您提供 2FA 保护,您可以使用 WordPress 插件自行轻松实施。

    WordPress 双因素身份验证插件

    下面列出了一些最好的 2FA WordPress 插件,它们可以立即保护您的站点免受脚本登录攻击。

    1. iThemes 安全双因素认证

    我们认为,最好的全包式 WordPress 站点安全套件是具有双因素身份验证的 iThemes Security Pro。 它不仅使用 2FA 保护您的站点,而且还具有其他站点安全功能:

    • 暴力攻击保护
    • 文件变更检测
    • 404错误检测
    • 强密码执行
    • Bad Bot 和垃圾邮件拦截
    • 离开模式

    iThemes Security Pro 消除了 WordPress 安全性的猜测。 您不必成为安全专家即可使用安全插件,因此即使您没有很多技术知识,iThemes Security Pro 也可以轻松保护您的 WordPress 网站。

    使用 WordPress 安全插件 iThemes Security Pro 添加双因素身份验证对于大多数新手用户来说都很容易。 安装并激活后,站点用户将需要输入密码以及发送到辅助设备的时间敏感代码。

    优点、缺点和成本
    • iThemes Security Pro 的优点:与只有双因素身份验证相比,您可以获得更多的安全保护。 更好的是,2FA 选项功能强大且易于使用。 当您激活插件时,您将确信您的网站已完全受到保护,免受恶意登录。
    • iThemes Security Pro 的缺点:该插件的成本高于其他付费 2FA 选项,但您确实物有所值。
    • iThemes Security Pro 的成本:如果您只需要保护一个站点,该插件的成本是每年 80 美元。 对于最多 10 个站点,每年将花费 127 美元。 对于无限站点,您可以每年支付 199 美元使用该插件。 当您考虑替代方案时,这是一项非常值得的投资。

    2. Rublon 双因素认证

    如果您正在为 WordPress 寻找易于使用的双因素身份验证插件,请查看 Rublon 双因素身份验证插件。 Rublon 2FA 插件将快速保护您的网站免受所有未经授权的登录,而不会对您造成任何技术障碍。

    下载并安装 Rublon 插件后,下次尝试登录 WordPress 时,您必须单击发送到 WordPress 用户帐户电子邮件地址的验证链接。 然后,在您单击链接以验证您的身份后,系统会询问您是否希望该站点记住您的设备以供将来登录。 这意味着您无需在每次登录时验证您的身份,只要您每次访问该网站时使用相同的设备和浏览器即可。

    如果您在验证后使用不同的设备或浏览器,您只需要重复该过程并保存那个 - 请注意不要在其他人可以访问的设备上执行此操作!

    Rublon 2FA 插件的免费版本是只有一个用户的 WordPress 网站的最佳选择之一。 通过升级到付费版本,此插件也可用于保护多用户网站。

    优点、缺点和成本
    • Rublon 双因素身份验证的优点:对于站点管理员来说,它主要是不干涉的。 安装并激活插件后,不需要任何培训或配置。 它开箱即用。
    • Rublon 双因素身份验证的缺点:它不支持推送通知或短信验证。 因此,您将只有 2FA 的电子邮件验证。
    • Rublon 双因素身份验证的成本:此插件的个人单网站版本是完全免费的。 因此,如果您运行的是多用户站点或拥有多个站点,则需要获得该插件的付费版本。 为此,请联系他们的销售团队获取报价。

    3. Duo 双因素身份验证

    Duo 双因素身份验证是您可以找到的最先进的 2FA WordPress 插件之一。 有了它,您可以根据 WordPress 仪表板中的用户角色设置双因素身份验证。

    例如,您可以要求编辑和作者使用 2FA 登录流程,但订阅者(无法以任何方式访问管理仪表板)只需输入用户名和密码即可进入站点。 这个方便的功能可以防止基本用户对冗长的双因素身份验证过程感到沮丧。

    该插件还将为您提供几种不同的用户验证选项,包括:

    • 一个自动电话
    • 带有 PIN 码的 SMS 消息
    • 一个移动应用程序

    它是比 Rublon 双因素身份验证插件更灵活的 2FA 工具,后者仅提供 WordPress 双因素身份验证电子邮件。

    优点、缺点和成本
    • Duo 双因素身份验证的优点:此 WordPress 双因素身份验证插件支持用户角色配置,并包含多种用户验证方法。 正因为如此,它对于 WordPress 网站来说非常通用。
    • Duo 双因素身份验证的缺点:不幸的是,这个插件不支持 WordPress 多站点。 因此,对于某些用户来说,这可能是不可能的。
    • 双因素身份验证的成本:如果您有十个或更少的用户定期登录您的站点,则此插件是完美的免费解决方案。 但是,如果超过 10 个,则可以通过为每个额外用户每月支付 3 美元来提高限额。

    4. Google Authenticator – Google 的 WordPress 双重身份验证

    WordPress 的谷歌双因素身份验证也是在您的 WordPress 网站上实施 2FA 时要考虑的一个选项。

    Google Authenticator 为您提供了多种验证方法,可以保护您的网站免遭未经授权的恶意登录,包括电子邮件、二维码和推送通知。

    与 Duo 双因素身份验证器非常相似,您将能够使用此插件为特定的 WordPress 用户角色设置特定的 2FA 规则。 此功能使谷歌的双因素身份验证成为 WordPress 对抗黑客攻击的有力武器。

    您可以将 Google 身份验证器设置为需要用户名、密码和其他验证因素。 或者您可以将插件配置为仅需要用户名和其他因素,而无需密码。

    优点、缺点和成本
    • Google Authenticator 的优点:此插件将支持与 2FA 相关的特定用户角色,并提供多种方法来验证您的网站用户,包括短信、二维码、推送通知和自动电话呼叫。
    • Google Authenticator 的缺点: Google 免费提供的版本在允许您使用的功能方面相对有限。
    • Google Authenticator 的成本:免费版本提供单用户双因素身份验证。 您可以为多个用户升级,起价为每年 15 美元。

    是时候在您的 WordPress 网站上部署双因素身份验证了吗?

    请记住,您的 WordPress 网站仅在您的登录页面允许的情况下才安全。 大多数情况下,仅限制对用户名和密码的访问是不够的。

    通过实施 2FA,您将能够保护您的网站、访问者、用户和客户免受恶意暴力攻击。

    提示:安全总比后悔好。

    当您使用双因素身份验证补充良好的备份系统时,您正在采取基本步骤来保护您的站点。