如何在您的 WordPress 网站上启用双因素身份验证

登录名+密码。 连接到 WordPress 管理界面非常简单，只要记住这两个要素即可。

从想要访问您站点的恶意人员或机器人的角度来看，这很简单。

如果他们找到您的登录名和密码，他们将成为船长，无需您的许可。

这是一个灾难场景，不幸的是，它不仅发生在其他人身上。 为了保护自己，最好在 WordPress 上激活双因素身份验证。

如果您还不熟悉这种保护方式，或者您想要设置它，本文将为您一一讲解。

阅读后，您将知道为什么要使用双因素身份验证，以及如何使用两种不同的方法（均使用插件）在您的 WordPress 安装中启用它。

您最好的 WordPress 项目需要最好的主机！

WPMarmite 推荐 Bluehost：出色的性能，出色的支持。 一个良好的开端所需的一切。

试用 Bluehost

什么是双因素身份验证？

双因素身份验证如何工作？

双因素身份验证是一种保护用户帐户的方法。 在 WordPress 上，它允许您通过为密码身份验证添加额外的保护层来保护对管理界面（后台）的访问。

它是这样工作的：

1. 首先，您在管理登录页面上输入您的用户名和密码。 这是您访问 WordPress 网站时通常会做的事情。
2. 接下来，您必须再次证明自己的身份才能使用您拥有的设备或服务访问管理员。 例如，这可以是智能手机，您可以在其上输入代码来验证连接尝试。

这就是我们称之为双重身份验证的原因：要连接到 WordPress，您必须进行两次身份验证。

这种方法的一大优点是，如果有人破解了您的密码，则不足以访问您的帐户。
如果恶意人员或机器人没有您的其他任何东西可以登录（例如您的移动设备），他或她将无法登录。

此外，这是一项您可能已经在日常生活中使用过的服务。 许多著名网站都使用它，例如 Google、Facebook 和 PayPal 。

您的银行也是如此。 要验证付款（尤其是大额付款），通常会要求您在必须登录的银行应用程序上进行验证。

有几个名称用于指代双因素身份验证。 我们也可以说双因素识别、双重身份验证，甚至 2FA 。

第二种形式的身份验证有哪些选项？

在继续之前，让我们快速了解一下在第二个识别步骤中可能会提供给您的识别方法。

第二个因素可以有多种形式，例如：

• 通过短信或电子邮件发送的安全代码
• 生成一次性安全代码的身份验证应用程序（例如 Google Authenticator），仅在特定时间段内有效
• 插入计算机 USB 端口的USB 令牌
• 推送通知
• 指纹或视网膜扫描

为什么要在 WordPress 上启用双因素身份验证？

虽然双重身份验证在登录过程中增加了一个额外的步骤，但它仍然有一个很大的优势：它使对管理界面的访问更加安全。

通过使用此方法：

• 你限制蛮力攻击。 当暴力攻击发生时，机器人会访问您的 WordPress 登录页面，并通过测试不同的组合来尝试找出您网站的管理员帐户用户名和密码，以控制它。 如果他们成功了，双重身份验证将阻止他们访问您的 WordPress 管理员。
• 您加强了管理员帐户的安全性。 即使您使用像 123456 或 love 这样的弱密码——不要那样做——您将通过第二个身份验证因素获得额外的保护措施。
• 您可以降低黑客攻击的风险并更好地保护一些机密数据（个人信息，或者如果您在 WooCommerce 商店上销售，则可以保护客户的银行数据）。

双因素身份验证的价值是否更清晰？ 现在让我们言归正传。 继续阅读以了解如何在几分钟内在 WordPress 上设置双重身份验证。

如何在 WordPress 上启用双重身份验证

首先，我建议您备份您的网站。 万一出现问题，您将能够转身轻松恢复它。 为此，您可以激活插件 UpdraftPlus，例如，或使用WP Umbrella （附属链接）或 ManageWP 等维护工具的备份模块。

你有什么选择？

在 WordPress 上启用双因素身份验证的最简单和最快的方法是使用插件。 有两种选择。

首先，您可以在 WordPress 上选择一个专用于双重身份验证的插件。 官方的 WordPress 目录有几十个。

在最受欢迎的（超过 5,000 个活动安装）中，您会发现：

• 双因素（ 50K+活跃安装）
• WP 2FA – WordPress 的双因素身份验证（ 40K+活跃安装）
• 谷歌验证器 （ 30K+活跃安装）
• 双重身份验证（ 20K+活动安装）
• miniOrange 的 Google 身份验证器（ 20K+活跃安装）
• Duo 双因素身份验证（ 9K+活动安装）

另一种选择是利用通用安全插件（如 SecuPress、iThemes Security 或 Wordfence Security）提供的双重身份验证功能。

让我们详细了解如何实现它们。

如何使用 WP 2FA 插件在 WordPress 上启用双重身份验证

如果您想在 WordPress 上使用专用于双重身份验证的插件，WP 2FA 插件是一个可靠且有效的选择，原因如下：

• 它是继 Two-Factor 之后最受欢迎的插件。 与 Two-Factor 不同， WP 2FA 允许您为所有用户设置双因素身份验证（使用 Two-Factor，每个用户都必须自己配置）。
• 这是评价最高的之一。
• 它经常更新。
• 它易于使用和学习。
• 提供多种二次认证方式：邮件、短信、认证申请、恢复码等。
• 它由专门从事 WordPress 安全的公司开发和维护：WP White Security 还提供出色的 WP Activity Log 插件。
• 您的用户无需登录管理即可设置双因素身份验证。 他们可以从前端执行此操作，这对于在线商店（WP 2FA 与 WooCommerce 集成）、会员区等的客户来说非常方便。

没有过渡，让我们学习如何通过几个快速步骤进行设置。

第 1 步：安装并激活 WP 2FA 插件

首先，在您的 WordPress 管理界面上安装并激活插件。 为此，请转到插件 > 添加新菜单。

第 2 步：为您的用户选择身份验证方法

激活插件后，配置向导将自动在您的屏幕上启动。 单击蓝色的“让我们开始吧”按钮开始：

然后系统会提示您为用户选择身份验证方法。 对于第二个身份验证因素，您有两个选择：

• 使用 Google Authenticator 或 Authy 等应用程序
• 通过电子邮件发送代码。 在这种情况下，WP 2FA 建议激活 WP Mail SMTP 插件以提高 WordPress 发送的电子邮件的送达率。

如果您想为用户提供这两个选项，请选中这两个框。

否则，如果您不想提供其中一种身份验证方法，请取消选中您选择的框。 点击“Continue Setup”继续配置：

在下一步中，您还可以选择发送一次性使用备份代码，以防之前的身份验证方法（通过应用程序或通过电子邮件）不起作用。

要选择此选项，请选中“备份代码”框，然后单击“继续设置”：

第 3 步：定义哪些用户角色将在 WordPress 上使用双重身份验证

在第三步中，WP 2FA 会提示您选择谁将在您的 WordPress 站点上使用双重身份验证。 共有三个选项：

• 所有用户：在这种情况下，每个人都必须进行两次身份验证才能登录，无论他们的用户角色是什么（管理员、作者、编辑、贡献者和订阅者）。
• 某些用户和/或定义的角色（“仅针对特定用户和角色”）。 您可以在此处将双因素身份验证的使用限制为某些用户和角色。
• 不要对任何用户强制执行。 在这种情况下，每个用户都可以自由激活或不激活它。

单击“继续设置”继续下一步：

第 4 步：配置宽限期

如果您选择对所有或部分用户强制执行双因素身份验证，您可以为他们提供在特定宽限期内配置双因素身份验证的选项。

WP 2FA 允许您：

• 强制您的用户立即配置双因素身份验证（“用户必须立即配置 2FA”）
• 定义配置 2FA 的宽限期（“Give users a grace period to configure 2FA”），可以按天或小时设置。

如果您决定设置配置延迟，您将必须选择如果用户在延迟期间不采取行动将发生什么：

• 在他们在 WordPress 上设置双重登录之前，他们将无法访问仪表板或他们的用户页面（“不要让他们访问仪表板/用户页面”）
• 否则用户的帐户将被阻止（“阻止用户”）。 只有管​​理员才能解除阻止。

单击“全部完成”完成：

第 5 步：为您的用户帐户选择 WordPress 双重登录方式

最后一步是为您的用户帐户设置双重身份验证。 为此，请单击“立即配置 2FA”按钮：

然后屏幕上会打开一个突出显示的窗口，要求您选择要使用的身份验证方法：

• 通过应用程序进行身份验证（“通过 2FA 应用程序的一次性代码”）。 这是我在这里选择的方法。
• 通过电子邮件进行身份验证（“通过电子邮件的一次性代码”）。

第 6 步：在双因素身份验证应用程序上生成身份验证代码

要通过应用程序进行身份验证，您需要选择一个。 WP 2FA 与以下应用程序兼容：

• 谷歌验证器
• 授权
• 微软认证器
• 朵朵
• 最后通行证
• 免费OTP
• 奥克塔

出于本次测试的目的，我将依赖 Google Authenticator，它可能是最著名的。

在您的智能手机上下载此应用程序。 打开它，然后扫描管理界面上 WP 2FA 插件提供的二维码。 完成后，单击“我准备好了”按钮。

然后输入 Google Authenticator 应用生成的验证码，记得点击相应的按钮（“Validate & Save”）进行验证：

第 7 步：连接到 WordPress

要验证一切是否正常工作，请退出您的 WordPress 管理界面。

在管理员登录页面上，像往常一样输入您的用户名和密码。 如果一切顺利，您将被要求输入由您将使用的应用程序生成的一次性代码。

对于 Google Authenticator，这是一个 6 位代码，每 30 秒重新生成一次。

就是这样，您的站点现在更加安全。 恭喜！

您还可以通过 WP 2FA > 设置 > 电子邮件和模板菜单自定义将向您发送验证码的电子邮件文本（如果您在插件设置中选择此方法）。 最后，还可以更改在必须输入验证码时显示在登录页面上的文本。

加入 WPMarmite 订阅者

获取最新的 WPMarmite 帖子（以及独家资源）。

现在订阅

如何使用通用安全插件启用双因素身份验证

如果您自己完成了在 WordPress 上设置双因素身份验证的过程，您可能会发现这些步骤相对简单。

另一方面，您可能发现实施起来有点费时。 WP 2FA 插件有多个配置选项，这会让事情变得有点拖沓。

如果你想走得更快——尽管设置中的选项更少——还有另一种方法。

这是使用通用安全插件。 他们中的大多数都提供了在您的 WordPress 网站上启用双重身份验证的选项。

WPMarmite 为三个最著名的安全插件提供了专门的详细教程，您将在其中了解如何配置双重身份验证。 这些是以下插件：

• Wordfence Security （包含在免费版本中）。 如果您不想利用 Wordfence 提供的所有功能，请注意它还提供了一个选项较少的轻型插件（Wordfence 登录安全），其中包括双重身份验证。
• iThemes 安全 （包含在免费版本中）
• 安全出版社 还提供双因素身份验证 (2FA)，但仅限于专业版。 SecuPress 在这方面提供了一个有趣的方法：无密码。 登录时，用户无需输入密码。 他们只需在 WordPress 登录页面上输入他们的电子邮件地址，然后他们就会收到一封带有唯一链接的电子邮件，该链接将允许他们仅登录一次。

如果您选择使用通用安全插件，请不要同时启用专用的双因素身份验证插件，如 WP 2FA 或其竞争对手之一。 这会适得其反，您将使自己面临不兼容的风险。

结论

WordPress 的双重身份验证是加强站点安全性的有效方法。 例如，它可以让您更好地保护您的网站免受暴力攻击。

在这些行中，您发现了两种在 WordPress 安装上激活它的主要方法：

1. 使用 WP 2FA 等专用插件。
2. 使用通用安全插件，如 Wordfence、iThemes Security 或 SecuPress。

但是，不要仅依靠双因素身份验证来保护您的网站。 例如，考虑使用强密码，以及像 Akismet 这样的反垃圾邮件插件。

您是否在您的网站上实施了双重登录？ 如果是这样，您可以与我们分享哪些反馈？ 通过发表评论向 WPMarmite 读者表达您的意见。