• 主页
  • 文章
  • 指导
  • 为什么要在 2021 年为您的 WordPress 网站添加双重身份验证 (2FA)?

为什么要在 2021 年为您的 WordPress 网站添加双重身份验证 (2FA)?

已发表: 2021-08-27

创建 WordPress 网站后,您需要考虑几个因素来确保新网站的安全,无论是确保网站安全、定期备份计划还是插件是最新的。

两因素身份验证

如果您要在网络世界中建立您的业务和品牌,确保您的网站不易受到黑客和网络攻击是很重要的。

安全杂志报道:“每天有超过 2,200 次网络攻击——几乎每 39 秒就有一次。”

  • 43% 的小企业没有网络安全防御计划。
  • 60% 的小企业主不认为他们的企业是网络犯罪分子的目标。
  • 74% 的小企业攻击是由外部参与者执行的,而不是内部员工
  • 84% 的小企业攻击集中在金钱收益上,8% 集中在间谍活动上,其余的则集中在黑客攻击上以获取乐趣或怨恨
  • 22% 的小型企业在没有制定网络安全计划的情况下过渡到远程工作。

为了最大限度地减少和限制您网站的漏洞和网络攻击风险,WordPress 为您提供了在您的网站上安装和使用双重身份验证的能力

据报道,到 2021 年,全球只有57% 的企业将使用某种形式的在线多重身份验证 (MFA) 作为身份验证方法,旨在在用户登录凭据之上增加一层额外的保护。 在使用 MFA 的员工中,95% 的员工报告使用基于软件的 2 因素身份验证工具(例如手机应用程序),而 4% 的员工拥有基于硬件的 2 因素身份验证解决方案,大约 1% 使用生物识别技术。

什么是两因素身份验证,它是如何工作的?

2FA 是指个人必须完成额外级别的登录安全验证以表明他们具有访问站点、文档、应用程序、销售信息等所需的必要权限的过程。

什么是认证因素?

虽然所有站点都至少有一个登录过程来访问您的帐户,但有几种方法可以使用其他身份验证方法对用户进行身份验证。 大多数身份验证方法通常依赖于用户的知识因素,其中包括传统密码等登录信息。 通过添加额外的 2 因素身份验证方法,这会迫使用户提供额外的信息,即拥有因素或固有因素。

知识因素 -这是指您可以访问网站帐户的典型用户名/密码和密码。 无论您选择哪种类型的密码; 包括数字、文字、符号、大写和小写,仍将被视为“基本安全”。

个人/财产因素——这个级别的安全因素是指用户拥有的东西。 这方面的示例可以包括您的身份证、之前回答的安全问题、发送到您的智能设备的一次性密码、智能手机应用程序验证等。

生物特征因素——这也可以称为固有因素,是用户身体自身固有的安全因素。 通常,这些被识别为独特的个人物理特征,例如指纹、面部、语音识别或行为生物特征,包括击键动态、步态或语音模式。

虽然大多数双因素身份验证方法将仅依赖前三种身份验证方法,但有些系统需要进一步和更详细的安全性,并且需要进一步的多因素身份验证 (MFA),这需要两个或多个独立凭据才能更安全地登录/验证。

位置和时间因素 -一些包含您可能尝试登录的敏感和个人信息的网站,例如 Facebook 和 Google,旨在通知所有者,如果他们注册了试图从可疑位置或在某个位置登录您的帐户的用户不寻常的时间。 如果发生这种情况,网站会向所有者发送一封电子邮件,通知他们登录差异。可以通过将身份验证尝试限制在已知的用户特定设备(例如他们的手机型号)或跟踪地理来源来强制执行此方法基于来自用户的移动电话或其他设备的源 Internet 协议地址或某些其他地理位置信息(例如全球定位系统 (GPS) 数据)的身份验证尝试。

通过使用这些 2FA 方法,多层保护可以保护您的网站免受黑客的网络钓鱼攻击和其他网络安全问题。

2FA 是万无一失的吗?它可以被黑客入侵吗?

2FA 在确保您的网站安全方面大有帮助。 但是,无论您的安全登录过程多么彻底和安全,没有什么可以使其 100% 安全。 甚至最近,流行的加密货币交易交易所 Coinbase也被黑客入侵,他们能够通过克隆手机并访问生成的 2FA 短信密码来绕过用户的双重身份验证。

2FA 安全性仅与其最薄弱的组件一样安全。 美国国家标准与技术研究院 ( NIST ) 现在不鼓励在 2FA 服务中使用短信,而是建议使用随机生成的限时令牌,因为存在手机克隆或可以拦截或重定向短信的恶意软件的风险。

许多大型组织,如谷歌、Facebook、优步等,已经成为数据黑客的受害者,并发现他们的用户信息在暗网上出售。 黑客的攻击工具和方法变得越来越复杂,也越来越难以检测——包括网络钓鱼、密码喷洒、勒索软件和恶意软件攻击。 尽管安全团队一直在努力提高在线安全性,但他们还没有消除这种可能性。

根据2020 年暗网价格指数

 “在暗网上出售的数百万人的数据样本从 25 美元到 6000 美元的高级账户不等。”通常,如果用户拥有最新的安全协议,黑客通常会转向更易受攻击且未能正确设置其附加安全性的用户。

将网络攻击风险降至最低的提示:

始终备份您的网站:通过使用UpdraftPlus ,您可以确保您将拥有 WordPress 网站的安全备份。 如果最坏的情况发生并且您的网站成为黑客攻击的受害者,您可以恢复到旧版本的网站并更改您的登录过程以使您的网站更加安全。

确保您的网站具有强大的安全系统:虽然您无法消除所有被黑客入侵的风险,但您可以将其最小化。 确保为所有具有后端网站访问权限的用户提供信誉良好的两因素身份验证登录系统。 如果用户不需要,不要给他们不必要的权限,因为他们可以用来控制网站。

更新您的插件/主题/WordPress 版本:入侵 WordPress 网站时,这是最常见的攻击途径。 过时的插件可能特别容易受到黑客的攻击,因为他们会为他们提供进入您网站的路径。

确保用户意识到风险:对您的站点具有更高访问权限的每个人都必须聪明并意识到潜在的安全问题,这一点至关重要。 这意味着要注意通过电子邮件网络钓鱼诈骗进行的潜在黑客攻击,这些攻击可能看起来是真实的,但却是试图检索用户名/密码并将恶意软件安装到您的计算机上。

强密码:虽然这似乎是最明显的,但它也经常是最容易被忽视的。 拥有一个强大且不可预测的密码通常是抵御大多数黑客攻击的第一级也是最好的保护级别。 经常更改并具有一串字母和特殊字符的密码很难通过强制密码攻击来破解。

结束注释:

您知道的越多,您就越有可能在任何类型的网络攻击开始之前就阻止它。 2FA、更新的软件和安全密码的组合,有助于防止绝大多数黑客攻击。 但如果最坏的情况发生,请始终记住,您应该使用UpdraftPlus为您的站点提供最近的备份副本,该副本应存储在安全的远程存储位置。

如果您有任何建议或疑问,请随时在下面发表评论。 我们有兴趣收到您的来信。

帖子为什么要在 2021 年向您的 WordPress 网站添加双重身份验证 (2FA)? 首次出现在 UpdraftPlus 上。 UpdraftPlus – WordPress 的备份、恢复和迁移插件。