如何在WordPress中新增雙重認證(免費方法)

已發表: 2023-08-19


您是否注意到 Facebook 和 Google 等熱門網站如何要求您添加雙重認證以提高安全性?

好了,現在您可以為 WordPress 網站新增雙重認證了。 這可以確保您的 WordPress 網站及其所有註冊用戶的最大安全性。

在本文中,我們將向您展示如何使用外掛程式和身份驗證器應用程式為 WordPress 新增雙重認證。

How to Add Two-Factor Authentication in WordPress (Free Method)

為什麼在 WordPress 中加入雙重認證?

駭客最常見的技巧之一稱為暴力攻擊。 在其中一種攻擊中,他們使用自動腳本嘗試猜測正確的使用者名稱和密碼,以便他們可以登入您的 WordPress 網站。

成功的暴力攻擊可以讓駭客訪問您網站的管理區域。 他們可以安裝惡意軟體、竊取用戶資訊並刪除您網站上的所有內容。

保護 WordPress 網站免遭密碼竊取的最簡單方法之一是新增雙重認證 (2FA)。 透過此設置,您將需要輸入密碼和輔助代碼(來自應用程式、電子郵件或簡訊)才能登入您的網站。

這樣,即使有人竊取了您的密碼,他們仍然需要從您的手機輸入安全代碼才能獲得存取權限。

什麼是身份驗證器應用程式?

在 WordPress 中設定兩步驟登入的方法有很多。 然而,最安全、最簡單的方法是使用身份驗證器應用程式。

身份驗證器應用程式是一款智慧型手機應用程序,可為您保存在其中的帳戶產生臨時一次性密碼。

基本上,應用程式和您的伺服器使用金鑰來加密資訊並產生一次性程式碼,您可以將其用作第二層保護。

有許多免費的應用程式:

  • 最受歡迎的應用程式是 Google Authenticator,但它並不是最佳選擇。 這是因為,如果您遺失了手機,除非您提前建立備份副本,否則無法恢復您的帳戶。
  • 我們建議使用 Authy,因為它是一款易於使用且免費的應用程序,還允許您以加密格式將帳戶保存在雲端。 這樣,如果您遺失了手機,只需輸入主密碼即可恢復所有帳戶。
  • LastPass 和 1Password 等其他密碼管理器都附有自己的驗證器版本。 它們比 Google Authenticator 更好,因為它們允許您恢復金鑰。

在本教程中,我們將使用 Authy。 如果您願意,您可以使用不同的應用程式來遵循我們的教程,因為它們的工作方式都是相同的。

話雖如此,讓我們來看看如何在 WordPress 中加入 2FA。 只需點擊下面的連結即可跳到您喜歡的方法:

現在,讓我們看看如何輕鬆地免費為 WordPress 登入畫面添加兩步驟驗證。

方法 1:使用 WP 2FA 新增雙重認證

此方法簡單易行,推薦所有使用者使用。 它很靈活,允許您對所有用戶強制實施雙重認證。

首先,您需要安裝並啟用 WP 2FA – 雙重認證外掛。 有關更多詳細信息,請參閱我們有關如何安裝 WordPress 外掛程式的逐步指南。

啟動後,WPA 2FA 設定精靈將自動啟動。 否則,您可以造訪使用者 » 您的個人資料頁面並向下捲動至「WP 2FA 設定」部分。

按一下「設定雙重認證 (2FA)」按鈕將啟動設定精靈。

WP 2FA 設定精靈

只需點擊“讓我們開始吧!” 按鈕開始配置插件。

The WP 2FA Setup Wizard

在下一頁上,系統將要求您選擇身份驗證方法。

有兩種選擇:

  • 使用您選擇的 2FA 應用程式產生的一次性代碼(建議)
  • 一次性代碼透過電子郵件發送給您
Choose 2FA method

我們建議您選擇透過2FA應用程式(TOTP)方法進行身份驗證,因為它更安全可靠。

做出選擇後,您可以點擊“繼續設定”按鈕以轉到設定精靈的下一頁。

如果主要 2FA 方法失敗(例如使用者遺失手機),系統會詢問您希望使用者使用哪種替代 2FA 方法。

在免費方案中,僅提供備份代碼方法。 如果您需要更多替代 2FA 方法,則需要升級至 WP 2FA Premium。

WP 2FA Alternative 2FA Methods

只需點擊“繼續設定”按鈕即可轉到下一頁。

在此頁面上,您可以強制部分或所有使用者進行兩步驟登入。 我們建議您這樣做,特別是如果您執行多用戶 WordPress 網站(例如會員網站)。

如果您想對網站上的所有使用者強制執行 2FA,只需選擇「所有使用者」選項並點擊「繼續設定」即可。

Enforce 2FA for All Users

現在,您的所有用戶都需要使用 2FA。

但是,也許您的網站上有一些用戶您不想強制使用 2FA。 下一頁可讓您鍵入這些團隊成員的使用者名稱或使用者角色。

Exclude Users or Roles from Having to Use 2FA

完成此操作後,點擊「繼續設定」按鈕將進入一個頁面,您可以在其中決定使用者需要多長時間開始使用 2FA。

您可以要求他們立即開始,也可以給他們一段寬限期(例如 3 天),以便他們有時間進行設定。 只需點擊您想要在網站上使用的選項即可。

如果您想給予寬限期,那麼您可以選擇寬限期的小時數或天數。 預設設定 3 天適用於大多數網站。

Set a Grace Period So Your Users Can Configure 2FA

如果某些使用者尚未設定 2FA,也可以選擇在寬限期結束後執行哪些操作。 您可以讓他們登入但不允許他們存取儀表板,或根本阻止他們登入。 對於大多數網站來說,第一個選項是最好的。

做出選擇後,您可以按一下「全部完成」退出設定精靈。 恭喜,您已在網站上設定了雙重認證!

您將看到“安裝完成”螢幕,其中包含一條祝賀訊息。 您還將看到一個按鈕,允許您為自己的使用者帳戶設定 2FA。 您應該點擊“立即配置 2FA”按鈕。

Configure 2FA on Your Own User Account

為您自己的使用者帳戶設定雙重認證

新的設定精靈將啟動,幫助您為自己的使用者帳戶設定雙重認證。 您網站上的其他使用者將被提示執行相同的操作。

您需要決定的第一件事是您希望使用哪種 2FA 方法。 您應該會看到透過身份驗證器應用程式取得一次性程式碼的選項。 您也可能會看到其他選項,具體取決於您在安裝精靈期間所做的選擇。

只需選擇“透過 2FA 應用程式一次取得代碼”選項,然後按一下“下一步”按鈕。

Choose the 2FA Method

該插件現在將向您顯示二維碼和文字代碼。

您需要使用身份驗證器應用程式掃描二維碼。 或者,您可以手動在應用程式中輸入文字代碼。

Use Your Authenticator App to Scan the QR Code

現在,您必須拿起行動裝置並打開您首選的身份驗證器應用程式。 下面的螢幕截圖使用的是 Authy,但其他應用程式的工作方式類似。

首先,按一下身份驗證器應用程式中的“+”或“新增帳戶”按鈕。

Click the + Button to Add an Account

然後,該應用程式將請求存取您手機上的相機的權限。

您需要允許此權限,然後點擊「掃描二維碼」按鈕,以便您可以掃描電腦上插件設定頁面上顯示的二維碼。

Click the Scan QR Code Button

一旦應用程式識別到二維碼,它將自動開始儲存帳戶。

之後,您可以編輯帳戶的預設徽標和暱稱。 準備好後,您應該點擊“儲存”按鈕。

Save Your New 2FA Account

身份驗證器應用程式現在將保存您的網站帳戶。

接下來,它將開始顯示一次性密碼。 您需要在電腦上的插件設定中輸入此內容。

Find Your 2FA Token

現在您需要切換回電腦。

在插件的設定精靈中,點擊“我準備好了”按鈕繼續。

After Scanning the QR Code, Click the 'I'm Ready' Button

該插件現在會要求您驗證您的一次性密碼。

只需在過期之前將行動應用程式中的代碼輸入到“身份驗證代碼”欄位中即可。

之後,您應該點擊“驗證並儲存”按鈕來完成設定。

Type the One-Time Token and Validate

接下來,您將可以選擇產生和儲存備份程式碼清單。 如果您無法使用手機,可以使用這些代碼。

您應該點擊“生成備份代碼清單”按鈕。

Click 'Generate List of Backup Codes'

將產生並顯示備份代碼。

您可以將這些備份代碼下載到電腦上的安全位置,列印它們並將其放在安全的地方,或透過電子郵件將它們發送給自己。 確保將它們放在您沒有手機時可以拿到的地方。

List of Backup Codes

之後,您可以點擊「我準備好了,關閉精靈」按鈕退出設定精靈。

登入時使用雙重認證

用戶下次登入時,他們將看到一條通知,表明他們需要設定雙重認證,以及寬限期結束時的截止日期。

他們可以點擊按鈕立即配置 2FA,也可以選擇在下次登入時收到提醒。

Notification About Needing to Set Up 2FA

當他們點擊「立即配置 2FA」按鈕時,他們將執行與您在上一節中為自己的使用者帳戶設定 2FA 時相同的步驟。

當他們在設定兩步驟身份驗證後登入時,他們將正常看到 WordPress 登入畫面。 但是,當他們輸入使用者名稱和密碼時,將顯示第二個螢幕,要求從身份驗證器應用程式輸入代碼。

Users Must Enter an Authentication Code Before Logging In

他們需要在手機上的應用程式中輸入代碼,然後才能登入。或者,如果他們沒有攜帶手機,他們也可以輸入備用代碼。

這使您的網站更加安全。 如果駭客得知您的某個用戶的用戶名和密碼,他們將無法登錄,除非他們也可以存取自己的手機。

提示:如果您的 WordPress 網站使用自訂登入表單頁面,那麼您還可以建立一個自訂頁面,使用者可以在其中管理其兩因素身份驗證器設置,而無需訪問 WordPress 管理區域。

方法2:使用雙重因子新增雙重認證

此方法不太靈活,因為它不允許您對所有使用者強制執行兩步驟登入。 每個用戶都必須自己設定它,並且可以從他們的個人資料中停用它。 但是,如果您只想為自己的帳戶設定 2FA,那麼這是一種快速且簡單的方法。

首先,您需要安裝並啟動兩因素外掛程式。 有關更多詳細信息,請參閱我們有關如何安裝 WordPress 外掛程式的逐步指南。

啟動後,您需要造訪使用者»個人資料頁面並向下捲動至「雙重選項」部分。

Two Factor options

從這裡,您需要選擇雙重登入選項。 該外掛程式可讓您使用電子郵件、身份驗證器應用程式和 FIDO U2F 安全金鑰方法。

我們建議使用身份驗證器應用程式方法。 只需使用 Google Authenticator、Authy 或 LastPass Authenticator 等身份驗證器應用程式掃描螢幕上的二維碼即可。

Click the Scan QR Code Button

掃描二維碼後,應用程式將向您顯示驗證碼,您需要將其輸入到插件選項中,然後按一下「提交」按鈕。

該插件現在將設定密鑰。 您可以隨時從設定頁面重設此鍵以重新掃描二維碼。

Secret keys configured

不要忘記點擊頁面底部的「更新個人資料」按鈕來儲存您的設定。

現在,每次登入 WordPress 網站時,系統都會要求您輸入手機上應用程式產生的驗證碼。

Add two factor authentication code to continue

WordPress 中雙重認證 (2FA) 的常見問題解答

以下是在 WordPress 中使用兩步驟登入的一些最常見問題的解答。

1. 如果我無法使用我的手機,如何使用 2FA 登入?

如果您使用的是具有雲端備份選項的身份驗證器應用程式(例如 Authy),那麼您也可以在筆記型電腦上安裝該應用程式。

即使您沒有攜帶手機,您也可以存取驗證碼。 它還可以讓您在購買新手機時輕鬆恢復金鑰。

許多驗證器應用程式還允許您產生備份代碼。 當您無法使用手機時,這些代碼可以用作一次性密碼。

2. 如何在沒有驗證器應用程式的情況下登入?

如果您無法存取手機、筆記型電腦或備份代碼,則只能透過停用 2FA 外掛程式來登入。

您可以參閱我們的指南,以了解如何在無法存取管理區域時停用所有 WordPress 外掛程式。

一旦您停用所有插件,這也將停用雙重認證插件,您將能夠登入 WordPress 網站。 登入後,您可以重新啟用外掛程式並重置雙重認證設定。

3. 我需要用密碼保護 WordPress 管理資料夾嗎?

當您有多層安全措施來保護您的網站時,網站安全性效果最佳,從使用 HTTPS 和安全性 WordPress 託管等基礎知識開始。

雙重驗證可以確保您的 WordPress 登入安全,但您可以透過密碼保護 WordPress 管理目錄來使其更加安全。 這意味著使用者除非先輸入使用者名稱和密碼,否則將無法存取您的登入頁面。

我們希望這篇文章能幫助您為 WordPress 登入新增兩步驟驗證。 您可能還想查看我們關於如何為您的 WordPress 網站取得免費 SSL 憑證的指南,或我們專家精選的最佳 WordPress 安全性外掛程式。

如果您喜歡這篇文章,請訂閱我們的 WordPress 影片教學 YouTube 頻道。 您也可以在 Twitter 和 Facebook 上找到我們。