如何在您的 WordPress 網站上啟用雙因素身份驗證

登錄名+密碼。 連接到 WordPress 管理界面非常簡單，只要記住這兩個要素即可。

從想要訪問您站點的惡意人員或機器人的角度來看，這很簡單。

如果他們找到您的登錄名和密碼，他們將成為船長，無需您的許可。

這是一個災難場景，不幸的是，它不僅發生在其他人身上。 為了保護自己，最好在 WordPress 上激活雙因素身份驗證。

如果您還不熟悉這種保護方式，或者您想要設置它，本文將為您一一講解。

閱讀後，您將知道為什麼要使用雙因素身份驗證，以及如何使用兩種不同的方法（均使用插件）在您的 WordPress 安裝中啟用它。

您最好的 WordPress 項目需要最好的主機！

WPMarmite 推薦 Bluehost：出色的性能，出色的支持。 一個良好的開端所需的一切。

試用 Bluehost

什麼是雙因素身份驗證？

雙因素身份驗證如何工作？

雙因素身份驗證是一種保護用戶帳戶的方法。 在 WordPress 上，它允許您通過為密碼身份驗證添加額外的保護層來保護對管理界面（後台）的訪問。

它是這樣工作的：

1. 首先，您在管理登錄頁面上輸入您的用戶名和密碼。 這是您訪問 WordPress 網站時通常會做的事情。
2. 接下來，您必須再次證明自己的身份才能使用您擁有的設備或服務訪問管理員。 例如，這可以是智能手機，您可以在其上輸入代碼來驗證連接嘗試。

這就是我們稱之為雙重身份驗證的原因：要連接到 WordPress，您必須進行兩次身份驗證。

這種方法的一大優點是，如果有人破解了您的密碼，則不足以訪問您的帳戶。
如果惡意人員或機器人沒有您的其他任何東西可以登錄（例如您的移動設備），他或她將無法登錄。

此外，這是一項您可能已經在日常生活中使用過的服務。 許多著名網站都使用它，例如 Google、Facebook 和 PayPal 。

您的銀行也是如此。 要驗證付款（尤其是大額付款），通常會要求您在必須登錄的銀行應用程序上進行驗證。

有幾個名稱用於指代雙因素身份驗證。 我們也可以說雙因素識別、雙重身份驗證，甚至 2FA 。

第二種形式的身份驗證有哪些選項？

在繼續之前，讓我們快速了解一下在第二個識別步驟中可能會提供給您的識別方法。

第二個因素可以有多種形式，例如：

• 通過短信或電子郵件發送的安全代碼
• 生成一次性安全代碼的身份驗證應用程序（例如 Google Authenticator），僅在特定時間段內有效
• 插入計算機 USB 端口的USB 令牌
• 推送通知
• 指紋或視網膜掃描

為什麼要在 WordPress 上啟用雙因素身份驗證？

雖然雙重身份驗證在登錄過程中增加了一個額外的步驟，但它仍然有一個很大的優勢：它使對管理界面的訪問更加安全。

通過使用此方法：

• 你限制蠻力攻擊。 當暴力攻擊發生時，機器人會訪問您的 WordPress 登錄頁面，並通過測試不同的組合來嘗試找出您網站的管理員帳戶用戶名和密碼，以控制它。 如果他們成功了，雙重身份驗證將阻止他們訪問您的 WordPress 管理員。
• 您加強了管理員帳戶的安全性。 即使您使用像 123456 或 love 這樣的弱密碼——不要那樣做——您將通過第二個身份驗證因素獲得額外的保護措施。
• 您可以降低黑客攻擊的風險並更好地保護一些機密數據（個人信息，或者如果您在 WooCommerce 商店上銷售，則可以保護客戶的銀行數據）。

雙因素身份驗證的價值是否更清晰？ 現在讓我們言歸正傳。 繼續閱讀以了解如何在幾分鐘內在 WordPress 上設置雙重身份驗證。

如何在 WordPress 上啟用雙重身份驗證

首先，我建議您備份您的網站。 萬一出現問題，您將能夠轉身輕鬆恢復它。 為此，您可以激活插件 UpdraftPlus，例如，或使用WP Umbrella （附屬鏈接）或 ManageWP 等維護工具的備份模塊。

你有什麼選擇？

在 WordPress 上啟用雙因素身份驗證的最簡單和最快的方法是使用插件。 有兩種選擇。

首先，您可以在 WordPress 上選擇一個專用於雙重身份驗證的插件。 官方的 WordPress 目錄有幾十個。

在最受歡迎的（超過 5,000 個活動安裝）中，您會發現：

• 雙因素（ 50K+活躍安裝）
• WP 2FA – WordPress 的雙因素身份驗證（ 40K+活躍安裝）
• 谷歌驗證器 （ 30K+活躍安裝）
• 雙重身份驗證（ 20K+活動安裝）
• miniOrange 的 Google 身份驗證器（ 20K+活躍安裝）
• Duo 雙因素身份驗證（ 9K+活動安裝）

另一種選擇是利用通用安全插件（如 SecuPress、iThemes Security 或 Wordfence Security）提供的雙重身份驗證功能。

讓我們詳細了解如何實現它們。

如何使用 WP 2FA 插件在 WordPress 上啟用雙重身份驗證

如果您想在 WordPress 上使用專用於雙重身份驗證的插件，WP 2FA 插件是一個可靠且有效的選擇，原因如下：

• 它是繼 Two-Factor 之後最受歡迎的插件。 與 Two-Factor 不同， WP 2FA 允許您為所有用戶設置雙因素身份驗證（使用 Two-Factor，每個用戶都必須自己配置）。
• 這是評價最高的之一。
• 它經常更新。
• 它易於使用和學習。
• 提供多種二次認證方式：郵件、短信、認證申請、恢復碼等。
• 它由專門從事 WordPress 安全的公司開發和維護：WP White Security 還提供出色的 WP Activity Log 插件。
• 您的用戶無需登錄管理即可設置雙因素身份驗證。 他們可以從前端執行此操作，這對於在線商店（WP 2FA 與 WooCommerce 集成）、會員區等的客戶來說非常方便。

沒有過渡，讓我們學習如何通過幾個快速步驟進行設置。

第 1 步：安裝並激活 WP 2FA 插件

首先，在您的 WordPress 管理界面上安裝並激活插件。 為此，請轉到插件 > 添加新菜單。

第 2 步：為您的用戶選擇身份驗證方法

激活插件後，配置嚮導將自動在您的屏幕上啟動。 單擊藍色的“讓我們開始吧”按鈕開始：

然後系統會提示您為用戶選擇身份驗證方法。 對於第二個身份驗證因素，您有兩個選擇：

• 使用 Google Authenticator 或 Authy 等應用程序
• 通過電子郵件發送代碼。 在這種情況下，WP 2FA 建議激活 WP Mail SMTP 插件以提高 WordPress 發送的電子郵件的送達率。

如果您想為用戶提供這兩個選項，請選中這兩個框。

否則，如果您不想提供其中一種身份驗證方法，請取消選中您選擇的框。 點擊“Continue Setup”繼續配置：

在下一步中，您還可以選擇發送一次性使用備份代碼，以防之前的身份驗證方法（通過應用程序或通過電子郵件）不起作用。

要選擇此選項，請選中“備份代碼”框，然後單擊“繼續設置”：

第 3 步：定義哪些用戶角色將在 WordPress 上使用雙重身份驗證

在第三步中，WP 2FA 會提示您選擇誰將在您的 WordPress 站點上使用雙重身份驗證。 共有三個選項：

• 所有用戶：在這種情況下，每個人都必須進行兩次身份驗證才能登錄，無論他們的用戶角色是什麼（管理員、作者、編輯、貢獻者和訂閱者）。
• 某些用戶和/或定義的角色（“僅針對特定用戶和角色”）。 您可以在此處將雙因素身份驗證的使用限制為某些用戶和角色。
• 不要對任何用戶強制執行。 在這種情況下，每個用戶都可以自由激活或不激活它。

單擊“繼續設置”繼續下一步：

第 4 步：配置寬限期

如果您選擇對所有或部分用戶強制執行雙因素身份驗證，您可以為他們提供在特定寬限期內配置雙因素身份驗證的選項。

WP 2FA 允許您：

• 強制您的用戶立即配置雙因素身份驗證（“用戶必須立即配置 2FA”）
• 定義配置 2FA 的寬限期（“Give users a grace period to configure 2FA”），可以按天或小時設置。

如果您決定設置配置延遲，您將必須選擇如果用戶在延遲期間不採取行動將發生什麼：

• 在他們在 WordPress 上設置雙重登錄之前，他們將無法訪問儀表板或他們的用戶頁面（“不要讓他們訪問儀表板/用戶頁面”）
• 否則用戶的帳戶將被阻止（“阻止用戶”）。 只有管​​理員才能解除阻止。

單擊“全部完成”完成：

第 5 步：為您的用戶帳戶選擇 WordPress 雙重登錄方式

最後一步是為您的用戶帳戶設置雙重身份驗證。 為此，請單擊“立即配置 2FA”按鈕：

然後屏幕上會打開一個突出顯示的窗口，要求您選擇要使用的身份驗證方法：

• 通過應用程序進行身份驗證（“通過 2FA 應用程序的一次性代碼”）。 這是我在這裡選擇的方法。
• 通過電子郵件進行身份驗證（“通過電子郵件的一次性代碼”）。

第 6 步：在雙因素身份驗證應用程序上生成身份驗證代碼

要通過應用程序進行身份驗證，您需要選擇一個。 WP 2FA 與以下應用程序兼容：

• 谷歌驗證器
• 授權
• 微軟認證器
• 朵朵
• 最後通行證
• 免費OTP
• 奧克塔

出於本次測試的目的，我將依賴 Google Authenticator，它可能是最著名的。

在您的智能手機上下載此應用程序。 打開它，然後掃描管理界面上 WP 2FA 插件提供的二維碼。 完成後，單擊“我準備好了”按鈕。

然後輸入 Google Authenticator 應用生成的驗證碼，記得點擊相應的按鈕（“Validate & Save”）進行驗證：

第 7 步：連接到 WordPress

要驗證一切是否正常工作，請退出您的 WordPress 管理界面。

在管理員登錄頁面上，像往常一樣輸入您的用戶名和密碼。 如果一切順利，您將被要求輸入由您將使用的應用程序生成的一次性代碼。

對於 Google Authenticator，這是一個 6 位代碼，每 30 秒重新生成一次。

就是這樣，您的站點現在更加安全。 恭喜！

您還可以通過 WP 2FA > 設置 > 電子郵件和模板菜單自定義將向您發送驗證碼的電子郵件文本（如果您在插件設置中選擇此方法）。 最後，還可以更改在必須輸入驗證碼時顯示在登錄頁面上的文本。

加入 WPMarmite 訂閱者

獲取最新的 WPMarmite 帖子（以及獨家資源）。

現在訂閱

如何使用通用安全插件啟用雙因素身份驗證

如果您自己完成了在 WordPress 上設置雙因素身份驗證的過程，您可能會發現這些步驟相對簡單。

另一方面，您可能發現實施起來有點費時。 WP 2FA 插件有多個配置選項，這會讓事情變得有點拖沓。

如果你想走得更快——儘管設置中的選項更少——還有另一種方法。

這是使用通用安全插件。 他們中的大多數都提供了在您的 WordPress 網站上啟用雙重身份驗證的選項。

WPMarmite 為三個最著名的安全插件提供了專門的詳細教程，您將在其中了解如何配置雙重身份驗證。 這些是以下插件：

• Wordfence Security （包含在免費版本中）。 如果您不想利用 Wordfence 提供的所有功能，請注意它還提供了一個選項較少的輕型插件（Wordfence 登錄安全），其中包括雙重身份驗證。
• iThemes 安全 （包含在免費版本中）
• 安全出版社 還提供雙因素身份驗證 (2FA)，但僅限於專業版。 SecuPress 在這方面提供了一個有趣的方法：無密碼。 登錄時，用戶無需輸入密碼。 他們只需在 WordPress 登錄頁面上輸入他們的電子郵件地址，然後他們就會收到一封帶有唯一鏈接的電子郵件，該鏈接將允許他們僅登錄一次。

如果您選擇使用通用安全插件，請不要同時啟用專用的雙因素身份驗證插件，如 WP 2FA 或其競爭對手之一。 這會適得其反，您將使自己面臨不兼容的風險。

結論

WordPress 的雙重身份驗證是加強站點安全性的有效方法。 例如，它可以讓您更好地保護您的網站免受暴力攻擊。

在這些行中，您發現了兩種在 WordPress 安裝上激活它的主要方法：

1. 使用 WP 2FA 等專用插件。
2. 使用通用安全插件，如 Wordfence、iThemes Security 或 SecuPress。

但是，不要僅依靠雙因素身份驗證來保護您的網站。 例如，考慮使用強密碼，以及像 Akismet 這樣的反垃圾郵件插件。

您是否在您的網站上實施了雙重登錄？ 如果是這樣，您可以與我們分享哪些反饋？ 通過發表評論向 WPMarmite 讀者表達您的意見。