兩因素身份驗證和 WordPress

已發表: 2022-08-26

雙重身份驗證 (2FA) 是一種安全措施,要求用戶在登錄服務之前提供一條只有他們知道的信息。

您可以在各種名稱下看到 2FA,例如多因素身份驗證 (MFA)、雙因素身份驗證或兩步驗證。 2FA 被廣泛使用,特別是在安全性特別重要的情況下,例如在線銀行。

2FA 的意義

您可能聽說過一種稱為“蠻力”攻擊的在線攻擊。 這些都太常見了,並且涉及一個自動機器人,它試圖猜測網站上用戶的用戶名和密碼。 重複登錄嘗試,直到獲得訪問權限。 通過在重複嘗試不成功時鎖定對登錄頁面的訪問,這些類型的攻擊相對容易緩解。

但是,如果機器人“幸運”並在達到預定義的不成功嘗試次數之前成功登錄,會發生什麼? 或者,更可能的是,竊取登錄憑據的用戶如何防止惡意登錄網站和應用程序? 後者是一個特殊的問題,幾乎沒有一天沒有一家知名企業報告可能會或可能不會損害其客戶的一些數據的數據洩露事件。

確保您並且只有您能夠登錄網站/應用程序/帳戶的更強大的方法是使用稱為雙因素身份驗證的系統。

兩因素身份驗證如何工作?

雙因素身份驗證的工作原理是要求用戶不僅在登錄時輸入他們的用戶名和密碼,而且還要求輸入第二條信息,該信息是單獨生成的,並且會不斷變化。 這通常是通過 SMS 發送到用戶手機的 6 位數代碼的形式。 這背後的想法是,只有真正的用戶才能訪問此設備,從而阻止通過暴力破解或由於洩露用戶名和密碼的數據洩露而進行的登錄嘗試。

自 2FA 開始以來,身份驗證應用程序變得更加普遍。 安裝在用戶設備上的應用程序不會使用 SMS 消息向用戶發送一次性密碼,而是生成隨機代碼。 這被認為是一種更安全的身份驗證方法,因為它消除了 SMS 消息被截獲或手機號碼被克隆或欺騙的可能性。

身份驗證應用程序選項

有很多優秀的兩因素身份驗證應用程序可用於生成所需的登錄代碼。

如果您有 Android 設備,則可以選擇 Google Authenticator、Microsoft Authenticator、Twilio Authy、Cisco Duo Mobile、FreeOTP 等。

在 iOS 15 上,一些最受歡迎的應用程序是 Google Authenticator、Twilio Authy、OTP auth、Step Two、Microsoft Authenticator、FreeOTP 和 iOS 內置身份驗證器。

在 Windows 上,您可以使用 WinAuth 和 Twilio Authy 身份驗證器應用程序等。

在 macOS 上,一些選項是第二步、OTP auth(僅限付費版本)和 Twilio Authy。

WordPress 網站上的兩因素身份驗證

不僅銀行網站可以從 2FA 中受益……您自己的 WordPress 網站也可以! 黑客喜歡針對任何 CMS,WordPress 也不例外。 使用正確的託管服務提供商並確保您的網站保持最新狀態可以在很大程度上阻止任何黑客攻擊。 將 2FA 添加到您的 WordPress 網站會使未經授權的用戶更難訪問您的網站。

使用 Pressidium 託管您的網站

60 天退款保證

查看我們的計劃

因為它是 WordPress,所以您會發現很多優秀的插件可以幫助您快速輕鬆地設置 2FA。 讓我們來看看幾個。

WP 2FA 插件

兩因素身份驗證,WordPress 插件:WP 2FA 插件

WP 2FA – 雙因素身份驗證插件是一種流行的解決方案。 安裝並激活 WP 2FA 插件後,您將看到此屏幕:

兩因素身份驗證,WordPress 插件:WP 2FA 插件嚮導

按照嚮導,它將引導您設置所有必要的選項和更多:

  • 您將允許用戶選擇的主要 2FA 方法。
  • 關於是否要對所有或部分用戶或角色強制執行 2FA 的選項。
  • 用戶必須配置 2FA 的寬限期。
  • 2FA認證的配置。

跳過嚮導,您可以在插件菜單下找到所有這些設置,以及在您的配置文件管理屏幕底部添加的額外部分(在用戶 > 配置文件下)。

兩因素身份驗證,WordPress 插件:WP 2FA 插件管理設置

該插件還允許您選擇是否要在卸載插件時從數據庫中刪除所有與 2FA 相關的數據。

兩因素插件

Plugin Contributors 開發的 Two-Factor 插件是一個易於安裝的用戶友好型插件。

它在“用戶”>“您的個人資料”下添加了一個部分,您可以在其中啟用身份驗證方法並選擇哪個是主要的。 有電子郵件驗證碼、基於時間的一次性密碼 (TOTP)、FIDO U2F 安全密鑰和備份驗證碼的可用配置。

兩因素插件選項

該插件還提供了一系列動作和過濾器鉤子,可以為開發人員派上用場。

Google 身份驗證器插件

Google Authenticator 插件是另一個流行的 2FA 插件,可用於增強 WordPress 網站的安全性。 這個完全免費的插件提供了多種雙重身份驗證選項,包括 SMS,當然還有使用 Google Authenticator 應用程序。 只需很少的時間或精力即可完成此設置。 激活插件後,您會看到一些可以在“設置”>“Google 身份驗證器”下配置的屏幕選項。

Google 身份驗證器設置

只需選擇將應用 2FA 的角色並保存設置。 相當容易。

2FA – Pressidium 儀表板

為了進一步幫助保護您的 WordPress 網站,您可以選擇為您的儀表板登錄激活 2FA。 查看我們關於此功能的知識庫文章。

Pressidium 兩因素身份驗證

結論

對於重要的網站,2FA 現在真的應該被認為是強制性的。 如果您可以選擇將 2FA 添加到您的任何帳戶但選擇不這樣做,則可能值得再次考慮! 對於 WordPress 網站,啟用 2FA 登錄非常簡單。 幾乎沒有損失,為什麼不讓黑客更難破壞你的一天(好吧,至少你的網站!)。