WordPress 2FA 身份验证：此基本站点安全元素的内幕

虽然 2FA 在前端和后端是一个简单的解决方案，但在幕后发生了很多事情。 这是向站点添加更多安全层的绝佳补充方式，并且将使用户能够帮助保护您的站点及其信息的安全。

对于本教程，我们将讨论 2FA – 特别是 WordPress 2FA 身份验证。 在整个过程中，我们将了解这是什么、您选择的密码、如何在您的网站上实施 2FA 等等。

什么是 2FA（以及它可以帮助您实现什么）

简而言之，双因素身份验证是一种安全措施，可在您的典型登录凭据之外提供额外的保护层。 使用 2FA，用户必须提供第二条信息，通常是数字代码——基于时间的一次性密码 (TOTP)：

您通常会看到的附加信息是一个会在短时间后过期的数字代码：

从技术意义上讲，2FA 需要两种形式的用户身份验证。 第一个“因素”是用户知道的信息，例如密码。 第二个因素是用户拥有的东西，例如发送到设备的令牌或代码。 即使知道用户的密码，您仍然需要第二个因素来验证和验证会话。

然而，现代方法包括指纹等信息。 无论如何，关键概念是您将提供一条其他人无法访问的信息。 如果该信息与要求您提供的信息相符，您将获得所需的访问权限。

2FA 和 WordPress

当涉及到 WordPress 用户登录时，2FA 变得更加相关； 内容管理系统 (CMS) 是市场上排名第一的网站平台。 这部分是由于其出色的核心安全性。 然而，如此受欢迎的平台可能会成为安全目标。

例如，在 2021 年，Sucuri 修复了近 50,000 个被黑网站。 大多数是过时的插件和主题中的漏洞造成的。 此外，暴力攻击可以摧毁站点网络。 Wordfence 报告最近的僵尸网络攻击袭击了数百万个 WordPress 网站。

这两个示例都显示了用户错误如何影响您的 WordPress 安全性，特别是如果您不了解插件和主题更新。 但是，使用 2FA 是保护您的 WordPress 网站免受攻击、为您的用户提供一些责任等的有效方法。

第二种形式的身份验证不仅可以将不良行为者排除在您的帐户之外，还可以让您以更高的安全性进行远程工作。 您的整个用户群也将对自己的安全负责，这使您的整个站点更安全。

总的来说，2FA 是阻止未经授权访问敏感信息、建立用户信心和信任以及部分遵守数据安全指令的重要方法。 这是一项重要的工作和安全措施，尤其是对于 WordPress 等流行平台而言。 这也意味着您选择的密码不会成为障碍。 然而，这是一个复杂的主题，需要更多的深度。

糟糕的密码选择会给您带来压力

每年，许多新闻媒体和网站都会发布一份不良密码列表，而且该列表每次看起来都很相似。 例如，Tom's Guide 为最终用户展示了一些最常见但强度较弱的密码：

• 键盘
• 123456
• 密码

然而，管理员和后端用户也会因使用弱密码和危险密码而发生冲突。 例如， admin 、 root和guest在列表中都处于高位。 事实上，当您考虑到 WordPress 的默认管理员用户角色也有用户名“admin”时， admin密码更令人担忧。

无论如何，使用蛮力技术和自动化工具几乎可以在几秒钟内破解这些密码。 但是，结合 Melapress 登录安全等解决方案，您可以确保用户创建强密码，并使用 2FA 进一步保护您的网站。

由于用户必须通过第三方应用程序或技术验证其详细信息，因此这是降低未经授权访问风险的重要方法。 此外，您还可以加强和强化您的强密码策略，并防止数据泄露和其他网络攻击。

虽然 2FA 是确保用户责任感和弥补网站安全弱点的绝佳方式，但它并不是唯一的方式。 接下来，我们将了解您的其他条款如何与 2FA 一起使用以提供更好的服务。

2FA 插槽如何与您当前的安全配置相结合

2FA 并不是一种放之四海而皆准的安全策略。 相反，它作为补充融入到您的整体安全规定中。 因此，您和您的用户仍然需要遵守典型的安全实施：

• 使用强密码。 您需要选择较长的内容，因为这会增加破解所需的时间。 虽然 2FA 不需要强密码，但仍建议尽可能多地保护您的登录凭据。 Melapress 登录安全是完成这项任务的理想选择。
• 经常进行软件更新。 对于 WordPress，这包括插件、主题和核心文件。 稍后，我们将讨论 WordPress 2FA 身份验证插件，这些对于保持最新非常重要。

进一步了解密码，将强密码与 2FA 相结合可以确保只有您可以访问帐户。 例如，本地工作地点不安全的 Wi-Fi 连接可能会泄露您的密码。 但是，您仍然需要提供第二种形式的身份验证才能获得帐户访问权限。

几乎无法破解的更强大的密码也不会影响您的服务器资源。 这是因为您不会有来自大量 IP 地址的多次登录尝试（和潜在的 2FA 请求）。

您可以更进一步，将 2FA 与专用的暴力破解保护相结合。 这个概念超出了本文的范围，但是有很多 WordPress 安全插件（例如 Wordfence 或 Jetpack Security）可以提供强大的解决方案。

为您选择正确的 2FA“格式”

双因素身份验证的好处之一是您可以灵活地实施它。 您有四种不同的方式来使用 2FA：

• 一种基于文本的 SMS 方法。
• 电子邮件身份验证。
• 专用应用程序，例如 Authy、Sentinel、Duo 等。
• 推送通知。

这些中的每一个都以不同的方式实现相同的结果，但它们并不完全相同。 让我们依次分解每一个，以及优点和缺点。

短信

许多在线服务的默认 2FA 方法是通过短信向移动设备发送验证码。 您需要在特定字段中输入您的电话号码，该字段将发送一个限时代码。

这里的好处包括不需要其他第三方应用程序来帮助验证您的登录，以及设置和使用的巨大易用性。 然而，SMS 有严重的缺点。 首先，您必须通过网络传递更多个人信息（您的电话号码）才能进行验证。

选择基于 SMS 的 2FA 时，需要牢记一些注意事项。 首先是网络运营商为发送 SMS 收取的网络费用。 其次，SMS 消息未加密，容易受到 SIM 卡交换的影响。 即便如此，它仍可以为可能不那么精通技术的用户提供更好的保护。

电子邮件通知

电子邮件通知与 SMS 身份验证方法类似。 这是您在登录页面上输入电子邮件地址的地方，然后该地址将收到代码或令牌以验证您的会话。

电子邮件 2FA 身份验证简单易用 - 您只需访问收件箱即可验证您的登录。

如果电子邮件未加密，则它可能容易受到“中间机器”攻击或类似攻击。 但是，您可以采取措施保护您的 WordPress 电子邮件并避免通常与未加密电子邮件相关的风险。

推送通知

推送通知旨在弥合电子邮件和 SMS 身份验证之间的差距。 它涉及在智能手机上接收通知，您需要在登录帐户之前批准该通知。 Apple 是一家使用这种方法在其生态系统中设置可信设备的公司。

这种方法也像电子邮件和短信一样方便易用。 另一个好处是它通常根本不依赖密码、代码或令牌。 这是一个很棒的用户体验 (UX) 元素，可以使帐户更安全，几乎不需要为用户做任何思考或工作。

然而，该方法仍有缺点。 因为推送通知很容易被批准，忙碌的用户可能会无意中这样做。 有研究表明，用户的注意力持续时间会随着他们收到的通知数量的增加而下降，这可能会成为一个问题。

为此，重要的是要让用户了解适当的帐户安全性。 不应批准意外的推送通知，应报告频繁的请求以进行进一步调查。

使用应用程序

增强 2FA 实施的典型方法是使用应用程序。 周围有很多：Google Authenticator、Authy、Duo、Sentinel、Microsoft Authenticator 以及几乎无数其他的。

这些应用程序将每 30 秒为每个站点生成一个一次性代码，您将在有问题的网站中输入该代码以验证和验证登录。 它被认为是更安全的方法之一。 但是，就像推送通知一样，您仍然需要兼容的设备和互联网访问权限才能使用该应用程序。

选择哪种 2FA 格式

拥有 2FA 比没有 2FA 更好。 虽然某些方法（例如 2FA 应用程序）比其他方法更安全，但我们也必须认识到我们的用户群可能非常多样化。

您还需要降低进入门槛并确保用户对 2FA 感到满意。 为此，您能够为用户提供的选项越多越好，因为这将帮助您确保 2FA 实施取得圆满成功。

WP 2FA 简介：实施 WordPress 2FA 身份验证的最佳方式

有很多可用的 WordPress 双因素身份验证插件。 例如，miniOrange 和 Two Factor Authentication 提供了广泛的功能，并得到了许多满意用户的支持。

但是，WP 2FA 插件提供的功能、支持和成本使其成为您的头号解决方案。 这是将双因素身份验证添加到您的 WordPress 网站的主要方式。

我们鼓励您查看免费版的规格，但使用高级版，您可以获得所需的所有功能：

• 您可以从多种不同的 2FA 方法中进行选择，以满足您和用户的需求。
• 您可以自定义 2FA 策略。 这涉及诸如强制执行 2FA、提供宽限期等要素。
• 用户无需访问 WordPress 仪表板。 您可以通过站点的前端提供登录身份验证。
• 还有很多第三方服务集成，例如 Twillo 和 Authy。 这使您可以为用户提供进一步的身份验证方法。

谈到价格，WP 2FA 提供了巨大的价值。 例如，WP 2FA Starter 许可证每年 29 美元。 这使您可以根据需要在任意数量的网站上安装完整版 WP 2FA，并为五个用户提供登录身份验证。 有增加用户限制和功能集的灵活计划。

更好的是，使用 WP 2FA 非常简单。 接下来，我们将向您展示如何操作。

如何使用 WP 2FA 加强用户站点的安全性

WP 2FA 具有您在站点上实施 WordPress 2FA 身份验证所需的所有特性和功能。 更重要的是，它的配置和使用非常简单。 安装过程与任何其他免费的 WordPress 插件非常相似。 您可以使用插件 > 添加新屏幕上的搜索栏找到它：

从这里，单击立即安装和激活按钮，然后等待 WordPress 完成安装过程。 此时，您已准备好在您的 WordPress 网站上设置 2FA。

1. 使用设置向导配置 WP 2FA

WP 2FA 可以为您完成与 WordPress 2FA 身份验证相关的所有繁重工作。 安装向导根据不同的策略和实施方法通过四个步骤完成。

安装向导以欢迎页面开始，您需要单击让我们开始按钮继续：

前两个步骤查看您想要实施哪些 2FA 方法。 您将使用复选框将基于应用程序的 2FA 和电子邮件 2FA 添加到您的站点。 该插件的高级版本包括您也可以选择的其他方法。

单击继续后，您还可以为用户提供备用代码，以防他们需要使用其他应用程序或设备设置 2FA。 WP 2FA 的高级版本可让您提供更多替代身份验证选项。

设置向导中的第三个屏幕允许您选择为谁强制执行 2FA。 这里有三个单选按钮可以选择所有用户、无用户、特定用户和角色：

请注意，如果您选择All Users或Only for specific users and roles ，您将看到额外的选项。 这些将允许您指定要排除的用户或要包含的角色作为策略的一部分。

选择All Done后，您将看到为您自己的用户帐户配置 WP 2FA 的提示。 该过程几乎完成。

2. 为您的用户帐户设置 WP 2FA

设置 WordPress 2FA 身份验证后，您可以为自己的用户帐户设置 2FA。

可用选项将包括设置向导中可用的方法。 某些方法（例如 SMS 和推送通知）将需要额外配置，因为这些方法需要第 3 方服务提供商才能运行。 在此示例中，我们将使用 2FA TOTP 应用程序方法。

如果您还没有 2FA 应用程序，下载一个应用程序应该是您的第一步。 有很多可供选择，WP 2FA 提供通用兼容性。 您需要的主要功能是使用您的应用程序从 WordPress 仪表板中扫描二维码：

完成向导后，您将能够为您的站点使用 WordPress 2FA 身份验证。

总之

双因素身份验证是保护在线帐户的最佳和最用户友好的方法之一。 它依赖于使用您从您拥有的设备获得的令牌或代码进行验证。 因此，没有该代码，您的帐户是安全的——即使您的密码被泄露。

WP 2FA 插件可让您在几分钟内实施 WordPress 2FA 身份验证，而无需技术知识。 安装向导将带您完成整个过程，并且您已经

WP 2FA 的免费版本功能齐全，而 2FA 的高级版本提供更多功能。 许可证起价为每年 29 美元，每个许可证允许您为站点设置五个用户。