雙因素身份驗證:WordPress 用戶指南
已發表: 2023-01-03您可能在網上銀行和任何對其用戶要求最高安全性的網站中遇到過兩步登錄驗證過程。 因為 WordPress 支持雙因素身份驗證 (2FA),所以您可以擁有與銀行相同級別的安全性。 無論是您自己的 WordPress 網站還是您為客戶構建的網站,強大的安全性都是基礎。
雙因素身份驗證增加了一個非常重要的保護層,每個 WordPress 網站所有者都應該認真考慮採用。 由於 2FA 使許多常見的黑客攻擊變得不可能,黑客將簡單地避開受 2FA 保護的站點,而不會費心嘗試使用他們知道行不通的方法進行入侵。 每個 WordPress 站點都可以受益於雙因素身份驗證提供的額外安全層。
為什麼強密碼還不夠
網絡威脅會給您和您的客戶帶來嚴重風險。 如果未經授權的用戶獲得了對您站點的管理儀表板的訪問權限,則任何事情都可能發生。 您可能會立即丟失所有數據。 您可能會在一段時間內失去對網站的控制。 犯罪分子可能會收集您用戶的個人信息。 您的用戶不會高興,但您必須告知他們發生了什麼。 法律要求您披露個人身份數據洩露事件。
是的,要求所有用戶帳戶使用強密碼以保護您的站點及其用戶始終很重要。 但是,強密碼本身並不能提供足夠的保護。 攻擊者甚至可以通過猜測強密碼或使用竊取的密碼來侵入您的站點。 現在這是一個普遍的現實,傳統的基於密碼的登錄作為單一安全層是不夠的。
如果沒有額外的安全層,強密碼無法提供足夠強大的保護。 對所有用戶帳戶使用雙因素身份驗證是一種更有效的安全措施,因為它增加了保護站點和保護客戶所需的額外層。 這並不是說沒有必要強制使用強密碼。 您仍然應該這樣做——然後添加 2FA!
雙因素身份驗證相對容易設置。 當您這樣做時,它將大大降低惡意未經授權的用戶獲得對您的 WordPress 網站的管理員訪問權限的風險。 贏了,贏了!
雙因素身份驗證阻止暴力攻擊
阻止暴力登錄攻擊是雙因素身份驗證添加到您的 WordPress 站點的保護的一個很好的例子。 暴力攻擊是一種常見的威脅,但雙因素身份驗證將消除它們。 在暴力登錄攻擊中,黑客會針對您的管理員和其他用戶帳戶快速測試許多常見密碼和基於字典的密碼。 有時,黑客會在您的登錄屏幕上測試大量被盜用戶名、電子郵件地址和密碼組合。
對數以千計的非法登錄進行自動化、腳本化測試會減慢您的網站速度或使其脫機。 出於這個原因,暴力登錄攻擊通常具有拒絕服務攻擊的效果。 但是,如果您和您的所有站點用戶都啟用了雙因素身份驗證,那麼這些暴力方法都將根本不起作用。 沒有黑客會想在您的網站上大規模嘗試暴力登錄。 他們不會有成功的可能。
將雙因素身份驗證添加到您的 WordPress 站點
在本指南中,我們將討論 2FA 的詳細信息。 您將了解用戶身份驗證在 WordPress 平台上的工作原理。 然後我們將解釋如何使用 WordPress 插件實現 2FA。
WordPress 是否具有雙因素身份驗證?
WordPress 核心沒有內置雙因素身份驗證。 你需要添加它。
雙因素身份驗證是您使用 WordPress 插件(有時是外部服務)添加到站點的額外安全層。 換句話說,它建立在默認 WordPress 安裝的核心用戶帳戶功能之上。 2FA 使您的 WordPress 網站不僅需要密碼,還需要額外的信息來驗證您的每個用戶每次嘗試登錄時的身份。
2FA 驗證來自授權站點用戶可以訪問的來源,例如:
- 推送到他們手機的短信、電話或通知
- 通過電子郵件發送的鏈接或代碼
- 二維碼
雙因素身份驗證非常安全。 惡意攻擊者和黑客無法物理訪問您用戶的外部渠道和設備。 這意味著即使他們能夠破解密碼,如果沒有第二層身份驗證,他們仍然無法獲得對您網站的未授權訪問。 要破解用戶的密碼,他們還需要破解用戶的電子郵件、計算機或電話。 這可能會發生,但與每天測試數百萬個密碼的腳本暴力攻擊相比極為罕見。
我的 WordPress 網站需要 2FA 嗎?
運行雙因素身份驗證將阻止在線世界中的許多不良行為者甚至試圖未經授權訪問您的網站。 雖然這不是絕對必要的,但誰不需要那種保護和安心呢?
如果您的 WordPress 網站曾經遭到黑客攻擊或聽說過有人遭到黑客攻擊,那麼您就會知道垃圾鏈接、重定向和惡意代碼會以多快的速度散播,這些垃圾郵件鏈接、重定向和惡意代碼會對您的聲譽造成直接且無法彌補的損害。
更糟糕的是,如果您使用 WooCommerce 運行電子商務網站,黑客可能會訪問客戶數據,例如姓名、地址、電話號碼、電子郵件地址,甚至信用卡號碼。
如果發生這種情況,您將很難擺脫困境。
WordPress 2FA 是第二道防線,可以將壞人拒之門外,同時確保即使密碼被洩露,只要第二層保護仍然是黑客牢不可破的鎖,帳戶就會保持安全。
作為 WordPress 網站所有者,請了解雙因素身份驗證功能是 100% 選擇加入的。 由於它不是核心功能,因此您只需選擇在您的網站上實施它。 它是完全免費的,並增加了一個幾乎牢不可破的保護層,可以減輕許多對黑客和攻擊的擔憂。
話雖如此,2FA 是一種無需動腦筋的 WordPress 站點安全方法,如果每個人還沒有使用它,或者甚至是使用密鑰而不是密碼的更強大、安全的登錄方法,都應該使用它。
2FA 對多用戶 WordPress 網站的好處
在標準的、未修改的 WordPress 登錄頁面上,您和您的用戶只需輸入用戶名和密碼即可訪問該站點。 提交登錄憑據後,如果用戶名和密碼組合與 WordPress 數據庫中的內容相匹配,則用戶會立即獲得對 WordPress 後端的訪問權限以及基於您應用的權限規則的任何權限。
WordPress 有六個預定義的用戶角色:
- 超級管理員
- 行政
- 編輯
- 作者
- 貢獻者
- 訂戶
默認情況下,允許這些角色在您的站點上執行特定的任務集。 角色可以執行的任務稱為“能力”。
您的大多數標準站點用戶可能處於訂閱者角色,該角色具有最少的功能。 但是,您可能有其他管理員、編輯和作者會定期訪問您網站的後端。 一些用戶可能對他們的密碼很草率,他們可能會共享帳戶,而一些擁有特殊權限的用戶可能會在您不知情的情況下將權限授予其他用戶。 當用戶不再活躍或不再需要時,您可能會忘記刪除用戶或降級他們的權限。 所有這些情況都很常見,並為攻擊者創造了機會。
如果黑客只知道其中一個管理員用戶名和密碼,他們將立即以完全權限訪問您的整個站點。 顯然,這很糟糕,但您也不希望您的訂閱者遭到黑客攻擊。 即使在那種情況下,您也必須報告違規行為,這會損害用戶對您和您的品牌的信任。
雙因素身份驗證如何保護用戶登錄
雙因素身份驗證通過使用電子郵件消息、文本消息或身份驗證器應用程序雙重驗證用戶身份來阻止黑客侵入用戶帳戶。 登錄時,激活第二種驗證方式。 因此,用戶將必須通過這些輔助渠道之一確認其登錄。
簡而言之,當您或其他網站用戶在您網站的登錄頁面上輸入個人登錄數據(用戶名和密碼)時,系統會立即向嘗試登錄的用戶關聯的電子郵件地址或電話號碼發送通知。通常,此登錄通知將包含一個鏈接、二維碼或一次性 PIN 碼,以允許登錄嘗試繼續進行。
對於要進入網站的用戶,他們需要按照電子郵件或短信中的說明進行操作。 他們可能會被要求單擊特定的訪問鏈接或輸入 PIN。
雖然這個額外的步驟減慢了登錄過程,但增加的安全性遠遠超過了讓您的網站對網絡犯罪分子每天在整個網絡上執行的簡單用戶名和密碼黑客開放的風險。
雙因素身份驗證是否完全安全?
沒有任何安全措施是 100% 萬無一失的。 在黑客的世界裡,只要有意志,黑客就會想辦法。 如果最壞的情況發生並且您發現您的網站已被黑客入侵,最好運行 WordPress 備份插件,它可以立即將您的網站恢復到攻擊前的安全時間。
當您將 2FA 與 WordPress 中的標準密碼保護協議進行比較時,您會發現雙因素身份驗證更安全。 該過程要求您的用戶(和您)從每個用戶唯一的來源確認每次登錄嘗試。 通常,這是一個電話或私人電子郵件帳戶。 這意味著黑客只能訪問受 2FA 保護的 WordPress 網站的內部運作,前提是他們還可以訪問網站用戶的設備和外部登錄信息。 因為這極不可能發生,所以添加 2FA 可以大大降低您的網站通過非法登錄被黑客攻擊的可能性。
您準備好學習如何將 2FA 添加到 WordPress 以保護您的網站及其用戶了嗎? 如果是這樣,請繼續閱讀以了解如何在您的網站上整合 2FA 功能並使其運行。
如何在 WordPress 中啟用雙因素身份驗證?
根據您的站點主機,您可以在主機的 cPanel 或用戶門戶中啟用 2FA 保護。
但是,如果您的主機不為您提供 2FA 保護,您可以使用 WordPress 插件自行輕鬆實施。
WordPress 雙因素身份驗證插件
下面列出了一些最好的 2FA WordPress 插件,它們可以立即保護您的站點免受腳本登錄攻擊。
1. iThemes 安全雙因素認證
我們認為,最好的全包式 WordPress 站點安全套件是具有雙因素身份驗證的 iThemes Security Pro。 它不僅使用 2FA 保護您的站點,而且還具有其他站點安全功能:
- 暴力攻擊保護
- 文件變更檢測
- 404錯誤檢測
- 強密碼執行
- Bad Bot 和垃圾郵件攔截
- 離開模式
iThemes Security Pro 消除了 WordPress 安全性的猜測。 您不必成為安全專家即可使用安全插件,因此即使您沒有很多技術知識,iThemes Security Pro 也可以輕鬆保護您的 WordPress 網站。
使用 WordPress 安全插件 iThemes Security Pro 添加雙因素身份驗證對於大多數新手用戶來說都很容易。 安裝並激活後,站點用戶將需要輸入密碼以及發送到輔助設備的時間敏感代碼。
優點、缺點和成本
- iThemes Security Pro 的優點:與只有雙因素身份驗證相比,您可以獲得更多的安全保護。 更好的是,2FA 選項功能強大且易於使用。 當您激活插件時,您將確信您的網站已完全受到保護,免受惡意登錄。
- iThemes Security Pro 的缺點:該插件的成本高於其他付費 2FA 選項,但您確實物有所值。
- iThemes Security Pro 的成本:如果您只需要保護一個站點,該插件的成本是每年 80 美元。 對於最多 10 個站點,每年將花費 127 美元。 對於無限站點,您可以每年支付 199 美元使用該插件。 當您考慮替代方案時,這是一項非常值得的投資。
2. Rublon 雙因素認證
如果您正在為 WordPress 尋找易於使用的雙因素身份驗證插件,請查看 Rublon 雙因素身份驗證插件。 Rublon 2FA 插件將快速保護您的網站免受所有未經授權的登錄,而不會對您造成任何技術障礙。
下載並安裝 Rublon 插件後,下次嘗試登錄 WordPress 時,您必須單擊發送到 WordPress 用戶帳戶電子郵件地址的驗證鏈接。 然後,在您單擊鏈接以驗證您的身份後,系統會詢問您是否希望該站點記住您的設備以供將來登錄。 這意味著您無需在每次登錄時驗證您的身份,只要您每次訪問該網站時使用相同的設備和瀏覽器即可。
如果您在驗證後使用不同的設備或瀏覽器,您只需要重複該過程並保存那個 - 請注意不要在其他人可以訪問的設備上執行此操作!
Rublon 2FA 插件的免費版本是只有一個用戶的 WordPress 網站的最佳選擇之一。 通過升級到付費版本,此插件也可用於保護多用戶網站。
優點、缺點和成本
- Rublon 雙因素身份驗證的優點:對於站點管理員來說,它主要是不干涉的。 安裝並激活插件後,不需要任何培訓或配置。 它開箱即用。
- Rublon 雙因素身份驗證的缺點:它不支持推送通知或短信驗證。 因此,您將只有 2FA 的電子郵件驗證。
- Rublon 雙因素身份驗證的成本:此插件的個人單網站版本是完全免費的。 因此,如果您運行的是多用戶站點或擁有多個站點,則需要獲得該插件的付費版本。 為此,請聯繫他們的銷售團隊獲取報價。
3. Duo 雙因素身份驗證
Duo 雙因素身份驗證是您可以找到的最先進的 2FA WordPress 插件之一。 有了它,您可以根據 WordPress 儀表板中的用戶角色設置雙因素身份驗證。
例如,您可以要求編輯和作者使用 2FA 登錄流程,但訂閱者(無法以任何方式訪問管理儀表板)只需輸入用戶名和密碼即可進入站點。 這個方便的功能可以防止基本用戶對冗長的雙因素身份驗證過程感到沮喪。
該插件還將為您提供幾種不同的用戶驗證選項,包括:
- 一個自動電話
- 帶有 PIN 碼的 SMS 消息
- 一個移動應用程序
它是比 Rublon 雙因素身份驗證插件更靈活的 2FA 工具,後者僅提供 WordPress 雙因素身份驗證電子郵件。
優點、缺點和成本
- Duo 雙因素身份驗證的優點:此 WordPress 雙因素身份驗證插件支持用戶角色配置,並包含多種用戶驗證方法。 正因為如此,它對於 WordPress 網站來說非常通用。
- Duo 雙因素身份驗證的缺點:不幸的是,這個插件不支持 WordPress 多站點。 因此,對於某些用戶來說,這可能是不可能的。
- 雙因素身份驗證的成本:如果您有十個或更少的用戶定期登錄您的站點,則此插件是完美的免費解決方案。 但是,如果超過 10 個,則可以通過為每個額外用戶每月支付 3 美元來提高限額。
4. Google Authenticator – Google 的 WordPress 雙重身份驗證
WordPress 的谷歌雙因素身份驗證也是在您的 WordPress 網站上實施 2FA 時要考慮的一個選項。
Google Authenticator 為您提供了多種驗證方法,可以保護您的網站免遭未經授權的惡意登錄,包括電子郵件、二維碼和推送通知。
與 Duo 雙因素身份驗證器非常相似,您將能夠使用此插件為特定的 WordPress 用戶角色設置特定的 2FA 規則。 此功能使谷歌的雙因素身份驗證成為 WordPress 對抗黑客攻擊的有力武器。
您可以將 Google 身份驗證器設置為需要用戶名、密碼和其他驗證因素。 或者您可以將插件配置為僅需要用戶名和其他因素,而無需密碼。
優點、缺點和成本
- Google Authenticator 的優點:此插件將支持與 2FA 相關的特定用戶角色,並提供多種方法來驗證您的網站用戶,包括短信、二維碼、推送通知和自動電話呼叫。
- Google Authenticator 的缺點: Google 免費提供的版本在允許您使用的功能方面相對有限。
- Google Authenticator 的成本:免費版本提供單用戶雙因素身份驗證。 您可以為多個用戶升級,起價為每年 15 美元。
是時候在您的 WordPress 網站上部署雙因素身份驗證了嗎?
請記住,您的 WordPress 網站僅在您的登錄頁面允許的情況下才安全。 大多數情況下,僅限制對用戶名和密碼的訪問是不夠的。
通過實施 2FA,您將能夠保護您的網站、訪問者、用戶和客戶免受惡意暴力攻擊。
當您使用雙因素身份驗證補充良好的備份系統時,您正在採取基本步驟來保護您的站點。
Dan Knauss 是 StellarWP 的技術內容通才。 自 1990 年代後期以來,他一直是一名作家、教師和自由職業者,從事開源工作,自 2004 年以來一直從事 WordPress。