你注意到像和Google这样的热门网站是如何要求你添加双因素身份验证来提高安全性的吗?
好了,现在你可以给你的WordPress网站添加双因素身份验证了。这确保了您的WordPress站点及其所有注册用户的最大安全性。
在本文中,我们将向您展示如何使用插件和验证器应用程序为WordPress添加双因素身份验证。
在下一页上,将要求您选择一种身份验证方法。
有两个选项:
使用您选择的2FA应用程序生成的一次性代码(推荐)
通过电子邮件发送给您的一次性代码
我们建议您选择2FA APP(TOTP)方式进行身份验证,因为这种方式更安全可靠。
做出选择后,您可以单击“继续安装”按钮以转到安装向导的下一页。
系统将询问您,如果主要的2FA方法失败,例如丢失手机,您希望您的用户使用哪些替代的2FA方法。
在免费套餐中,只有备份代码方法可用。如果您想要更多的替代2FA方法,那么您将需要升级到WP 2FA Premium。
只需单击“继续安装”按钮即可转到下一页。
在此页面上,您可以强制部分或全部用户进行双因素登录。我们推荐这样做,特别是如果你经营一个多用户的WordPress网站,比如会员网站。
如果您想对您网站上的所有用户强制执行2FA,则只需选择“所有用户”选项并单击“继续安装”即可。
现在,您的所有用户将被要求使用2FA。
然而,也许你的网站上有一些用户,你不想强制他们使用2FA。下一页允许您键入这些团队成员的用户名或用户角色。
一旦你做了,点击‘继续设置’按钮将带你到一个页面,在那里你可以决定你的用户需要多长时间开始使用2FA。
你可以要求他们立即开始,或者你可以给他们一个宽限期,比如说,3天,这样他们就有时间安排事情了。只需点击您想要在您的网站上使用的选项。
如果你想给一个宽限期,你可以选择多少小时或多少天。默认设置为3天将适用于大多数网站。
如果某些用户尚未设置2FA,还可以选择在宽限期结束后执行什么操作。您可以允许他们进入,但不允许他们访问仪表板,也可以完全阻止他们登录。对于大多数网站来说,第一个选项将是最好的。
做出选择后,您可以单击“全部完成”以退出安装向导。祝贺您,您已经在您的站点上设置了双因素身份验证!
您将看到安装完成屏幕,并显示一条祝贺消息。您还将看到一个按钮,允许您为自己的用户帐户设置2FA。你应该点击‘立即配置2FA’按钮。
为您自己的用户帐户配置双因素身份验证
一个新的安装向导将开始帮助您为您自己的用户帐户设置双因素身份验证。您网站上的其他用户也会被提示执行同样的操作。
您需要决定的第一件事是您希望使用哪种2FA方法。您应该可以通过验证器应用程序看到一次性代码选项。您可能还会看到其他选项,具体取决于您在安装向导过程中所做的选择。
只需选择“通过2FA应用程序一次性编码”选项,然后点击“下一步”按钮。
该插件现在将向您显示二维码和文本码。
你需要使用验证器应用程序扫描二维码。或者,你也可以手动在应用程序中输入文本代码。
现在你必须拿起你的移动设备,打开你喜欢的验证器应用程序。下面的屏幕截图使用的是Authy,但其他应用程序的工作方式与此类似。
首先,点击你的认证应用程序中的‘+’或‘Add Account’按钮。
然后,这款应用程序会请求许可才能访问你手机上的摄像头。
你需要允许这个权限,然后点击“扫描二维码”按钮,这样你才能扫描你电脑上插件设置页面上显示的二维码。
一旦应用程序识别出二维码,它就会自动开始保存账户。
之后,您可以编辑帐户的默认徽标和昵称。当你准备好了,你应该点击‘保存’按钮。
验证器应用程序现在将保存您的网站帐户。
接下来,它将开始显示一次性密码。您需要在计算机上的插件设置中输入此设置。
现在您需要切换回您的计算机。
在插件的安装向导中,点击“我准备好了”按钮继续。
该插件现在将要求您验证您的一次性密码。
只需在“验证码”过期前将手机应用程序中的代码输入到“验证码”栏中即可。
在此之后,您应该点击‘验证和保存’按钮来完成设置。
接下来,您可以选择生成并保存备份代码列表。这些代码可以在你无法访问手机的情况下使用。
你应该点击‘生成备份代码列表’按钮。
将生成并显示备份代码。
您可以将这些备份代码下载到您计算机上的安全位置,打印它们并将它们放在安全的地方,或者通过电子邮件发送给您自己。如果你没有手机,一定要把它们放在你能拿到的地方。
之后,您可以单击“我已准备好,关闭向导”按钮以退出安装向导。
登录时使用双因素身份验证
下次用户登录时,他们将看到需要设置双因素身份验证的通知,以及宽限期结束时的截止日期。
他们现在可以点击一个按钮来配置2FA,也可以选择在下次登录时得到提醒。
当他们点击“立即配置2FA”按钮时,他们将完成与您在上一节中为您自己的用户帐户设置2FA时相同的步骤。
当他们在设置双因素身份验证后登录时,他们将照常看到WordPress登录屏幕。然而,当他们输入用户名和密码时,将显示第二个屏幕,要求从他们的验证器应用程序中提供代码。
他们需要从手机上的应用程序中输入代码,然后才能登录。或者,如果他们没有随身携带手机,也可以输入备份代码。
这将使您的网站更加安全。如果黑客了解到您的某个用户的用户名和密码,他们将无法登录,除非他们也有权访问他们的手机。
提示:如果您的WordPress网站使用自定义登录表单页面,那么您还可以创建自定义页面,用户可以在其中管理他们的双因素验证器设置,而无需访问WordPress管理区。
从这里,您需要选择双因素登录选项。该插件允许您使用电子邮件、验证器应用程序和FIDO U2F安全密钥方法。
我们建议使用验证器应用程序方法。只需使用谷歌验证器、Authy或LastPass验证器等身份验证应用程序扫描屏幕上的二维码即可。
一旦你扫描了二维码,应用程序会向你显示一个验证码,你需要在插件选项中输入这个验证码,然后点击“提交”按钮。
该插件现在将设置密钥。您可以随时从设置页面重置此键以重新扫描二维码。
别忘了点击页面底部的“更新个人资料”按钮来保存你的设置。
现在,每次你登录你的WordPress网站,你都会被要求输入手机上应用程序生成的验证码。
WordPress中有关双因素身份验证(2FA)的常见问题
以下是一些关于在WordPress中使用两步登录的最常见问题的解答。
1.如果我的手机无法访问,我如何使用2FA登录?
如果你使用的身份验证应用程序带有像Authy这样的云备份选项,那么你也可以在你的笔记本电脑上安装该应用程序。
这使您即使在没有手机的情况下也可以访问验证码。它还允许您在购买新手机时轻松恢复密钥。
许多验证器应用程序还允许您生成备份代码。当你无法访问手机时,这些代码可以用作一次性密码。
2.如何在没有认证APP任何代码的情况下登录?
如果你无法访问你的手机、笔记本电脑或备份代码,那么你只能通过禁用2FA插件来登录。
你可以看到我们的指南,当你无法访问管理区域时,如何停用所有的WordPress插件。
一旦你停用了所有插件,这也将禁用双因素身份验证插件,你将能够登录到你的WordPress网站。登录后,您可以重新激活插件并重置双因素身份验证设置。
3.我需要对WordPress管理文件夹进行密码保护吗?
当你有多层安全措施来保护你的网站时,网站安全效果最好,从使用HTTPS和安全的WordPress主机这样的基本要素开始。
双因素验证使您的WordPress登录更加安全,但您可以通过对WordPress管理目录进行密码保护来使其更加安全。这意味着,除非用户首先输入用户名和密码,否则他们将无法访问您的登录页面。
我们希望这篇文章能帮助你为WordPress登录添加双因素验证。你可能还想看看我们关于如何为你的WordPress站点获得免费的SSL证书的指南,或者我们的专家挑选的最好的WordPress安全插件。
中国和中国都是如此。
RSS