两因素身份验证和 WordPress

已发表: 2022-08-26

双重身份验证 (2FA) 是一种安全措施,要求用户在登录服务之前提供一条只有他们知道的信息。

您可以在各种名称下看到 2FA,例如多因素身份验证 (MFA)、双因素身份验证或两步验证。 2FA 被广泛使用,特别是在安全性特别重要的情况下,例如在线银行。

2FA 的意义

您可能听说过一种称为“蛮力”攻击的在线攻击。 这些都太常见了,并且涉及一个自动机器人,它试图猜测网站上用户的用户名和密码。 重复登录尝试,直到获得访问权限。 通过在重复尝试不成功时锁定对登录页面的访问,这些类型的攻击相对容易缓解。

但是,如果机器人“幸运”并在达到预定义的不成功尝试次数之前成功登录,会发生什么? 或者,更可能的是,窃取登录凭据的用户如何防止恶意登录网站和应用程序? 后者是一个特殊的问题,几乎没有一天没有一家知名企业报告可能会或可能不会损害其客户的一些数据的数据泄露事件。

确保您并且只有您能够登录网站/应用程序/帐户的更强大的方法是使用称为双因素身份验证的系统。

两因素身份验证如何工作?

双因素身份验证的工作原理是要求用户不仅在登录时输入他们的用户名和密码,而且还要求输入第二条信息,该信息是单独生成的,并且会不断变化。 这通常是通过 SMS 发送到用户手机的 6 位数代码的形式。 这背后的想法是,只有真正的用户才能访问此设备,从而阻止通过暴力破解或由于泄露用户名和密码的数据泄露而进行的登录尝试。

自 2FA 开始以来,身份验证应用程序变得更加普遍。 安装在用户设备上的应用程序不会使用 SMS 消息向用户发送一次性密码,而是生成随机代码。 这被认为是一种更安全的身份验证方法,因为它消除了 SMS 消息被截获或手机号码被克隆或欺骗的可能性。

身份验证应用程序选项

有很多优秀的两因素身份验证应用程序可用于生成所需的登录代码。

如果您有 Android 设备,则可以选择 Google Authenticator、Microsoft Authenticator、Twilio Authy、Cisco Duo Mobile、FreeOTP 等。

在 iOS 15 上,一些最受欢迎的应用程序是 Google Authenticator、Twilio Authy、OTP auth、Step Two、Microsoft Authenticator、FreeOTP 和 iOS 内置身份验证器。

在 Windows 上,您可以使用 WinAuth 和 Twilio Authy 身份验证器应用程序等。

在 macOS 上,一些选项是第二步、OTP auth(仅限付费版本)和 Twilio Authy。

WordPress 网站上的两因素身份验证

不仅银行网站可以从 2FA 中受益……您自己的 WordPress 网站也可以! 黑客喜欢针对任何 CMS,WordPress 也不例外。 使用正确的托管服务提供商并确保您的网站保持最新状态可以在很大程度上阻止任何黑客攻击。 将 2FA 添加到您的 WordPress 网站会使未经授权的用户更难访问您的网站。

使用 Pressidium 托管您的网站

60 天退款保证

查看我们的计划

因为它是 WordPress,所以您会发现很多优秀的插件可以帮助您快速轻松地设置 2FA。 让我们来看看几个。

WP 2FA 插件

两因素身份验证,WordPress 插件:WP 2FA 插件

WP 2FA – 双因素身份验证插件是一种流行的解决方案。 安装并激活 WP 2FA 插件后,您将看到此屏幕:

两因素身份验证,WordPress 插件:WP 2FA 插件向导

按照向导,它将引导您设置所有必要的选项和更多:

  • 您将允许用户选择的主要 2FA 方法。
  • 关于是否要对所有或部分用户或角色强制执行 2FA 的选项。
  • 用户必须配置 2FA 的宽限期。
  • 2FA认证的配置。

跳过向导,您可以在插件菜单下找到所有这些设置,以及在您的配置文件管理屏幕底部添加的额外部分(在用户 > 配置文件下)。

两因素身份验证,WordPress 插件:WP 2FA 插件管理设置

该插件还允许您选择是否要在卸载插件时从数据库中删除所有与 2FA 相关的数据。

两因素插件

Plugin Contributors 开发的 Two-Factor 插件是一个易于安装的用户友好型插件。

它在“用户”>“您的个人资料”下添加了一个部分,您可以在其中启用身份验证方法并选择哪个是主要的。 有电子邮件验证码、基于时间的一次性密码 (TOTP)、FIDO U2F 安全密钥和备份验证码的可用配置。

两因素插件选项

该插件还提供了一系列动作和过滤器钩子,可以为开发人员派上用场。

Google 身份验证器插件

Google Authenticator 插件是另一个流行的 2FA 插件,可用于增强 WordPress 网站的安全性。 这个完全免费的插件提供了多种双重身份验证选项,包括 SMS,当然还有使用 Google Authenticator 应用程序。 只需很少的时间或精力即可完成此设置。 激活插件后,您会看到一些可以在“设置”>“Google 身份验证器”下配置的屏幕选项。

Google 身份验证器设置

只需选择将应用 2FA 的角色并保存设置。 相当容易。

2FA – Pressidium 仪表板

为了进一步帮助保护您的 WordPress 网站,您可以选择为您的仪表板登录激活 2FA。 查看我们关于此功能的知识库文章。

Pressidium 两因素身份验证

结论

对于重要的网站,2FA 现在真的应该被认为是强制性的。 如果您可以选择将 2FA 添加到您的任何帐户但选择不这样做,则可能值得再次考虑! 对于 WordPress 网站,启用 2FA 登录非常简单。 几乎没有损失,为什么不让黑客更难破坏你的一天(好吧,至少你的网站!)。