如何在WordPress中设置两因素身份验证:逐步指南

已发表: 2025-05-03

您知道您可以在WordPress中设置两因素身份验证吗?如果您不确定是否要将此安全功能集成到WordPress网站中,请考虑以下问题:您有多少个帐户在线?它们都受密码保护吗?其中有多少个帐户共享相同的密码?如果不需要的访客可以访问一个帐户,那么他们也可以访问其他帐户。如果您使用易于猜测的密码或通过公共网络登录登录(如果您使用公共网络,我们建议使用VPN来加密流量),问题就会变得更糟。您的密码是您的狗的名字吗?你的婚礼约会?您是否在日记中写下来?

每天,机器人都会攻击数千个WordPress网站,使访问者接触恶意软件。带有机器人感染的网站通常被Google等搜索引擎列出。托管提供商可能会阻止对此类站点的访问,而目标流量开始下降。您所有的辛勤工作都可以减少到一无所有。如果您想超越两因素身份验证(2FA),多因素身份验证(MFA)提供了其他安全性,将密码与生物识别技术或安全令牌相结合,以更大的保护,以防止威胁。

什么是两因素身份验证(2FA)?

密码可能会受到损害,尤其是通过蛮力攻击。仅依靠密码以进行安全性,称为单因素身份验证(SFA)。这是第二层安全性(超越简单密码)可以提供帮助的地方。两因素身份验证(2FA或TFA)添加了此额外的层。实际上,即使用户的凭据被泄漏,许多受欢迎的网站(例如,Facebook,Gmail,PayPal)都使用两因素身份验证来增强安全性并减少违规行为。

那么,2FA到底是什么?从本质上讲,这是一个过程,要求用户除了密码之外,还可以用自己拥有的东西验证自己的身份。

通常,2FA不替换密码;它通过另外一步进行补充,只有用户(您作为管理员)才能访问用户。

这是它如何工作的示例

您照常登录,然后出现一条消息,告诉您将代码发送到您的设备。您会收到并输入发送到手机,另一个设备或电子邮件的代码。此代码通常称为一次性密码(OTP),已交付到注册的手机号码或电子邮件地址。没有这些额外的代码,黑客也无法访问您的网站,即使他们拥有您的密码。

总而言之,在两因素身份验证中,必须有两个不同的身份验证类别:

  • 您知道的东西(例如,密码或PIN)。
  • 您拥有的东西(例如,具有Authenticator应用程序的安全令牌或智能手机)。
  • 您是的东西(例如,生物识别技术,例如指纹或面部识别)。

什么是多因素身份验证(MFA)?

多因素身份验证(MFA)是一个安全过程,它要求用户在访问系统或帐户之前使用多种方法验证其身份。 MFA不仅依靠密码依靠密码,还可以添加额外的保护层,通常将用户知道的内容(例如密码)组合,用户拥有的东西(例如移动设备或安全令牌),有时甚至是用户所独有的东西,例如指纹或面部识别。这种方法大大降低了未经授权访问的风险,因为即使攻击者偷走了一种形式的身份验证,也使攻击者更难泄露帐户。这是在当今数字世界中确保个人和业务数据安全的强大工具。

为了使MFA生效,必须至少有两层身份验证,这些验证范围超出了典型的2FA组合(请参阅上面的2FA如何工作部分)。例如:

  • 安全令牌(您拥有的东西)配对的生物识别技术(您所拥有的东西)超过了基本的两因素设置。
  • 如果与这两个密码一起添加了密码(您知道的东西),它将进一步加强身份验证的层。

MFA本质上是2FA的扩展,通过使用三个或更多因素,可以提高安全性。因此,例如,尽管生物识别和安全令牌可能是MFA的一部分,但除非与其他验证方法配对,否则它们不会被视为MFA。

两因素身份验证(2FA)和多因素身份验证(MFA)有什么区别?

多因素身份验证(MFA)和两因素身份验证(2FA)之间的关键区别在于身份验证步骤的数量。

2FA完全需要两个单独的因素来验证用户的身份。例如,一个密码和一次性代码发送到他们的电子邮件地址。

另一方面, MFA是一个涵盖2FA的更广泛的概念,但可以包括三个或多个身份验证层。例如,MFA可能会结合密码,指纹扫描(生物识别因子)和安全令牌。尽管2FA为未经授权的访问提供了强大的障碍,但MFA提供了更全面的防御,尤其是适合需要更高安全性的环境。

本质上,所有2FA都是MFA,但并非所有MFA都是2FA。

请记住,尽管安全性至关重要,但保持易于访问客户和访客同样重要。达到正确的平衡是关键。您不想让客户和访客太困难。对于大多数情况,两因素身份验证提供了足够的保护。密码登录的简单组合,然后发送到电子邮件的验证代码通常提供安全性和便利性。

获取验证代码的方法

在系统上实施2FA之前,了解第二步的工作方式很有帮助,以便您可以选择最适合您的方法。验证代码可以通过诸如此类的方法获得:

  1. 电子邮件服务:该代码直接发送到您的注册电子邮件地址。
  2. SMS :该代码通过短信发送到您的手机。
  3. 应用程序生成的代码:像Google Authenticator之类的应用程序在短时间间隔生成新代码。登录时,您可以手动输入当前显示的代码。可能需要一些设置。
  4. USB令牌:此方法涉及将USB令牌插入您的设备并输入令牌密码。这是高度安全的,因为身份验证过程无法截获。但是,由于需要USB端口,因此可能无法使用手机(尽管您可以将USB-C用于USB-A适配器,这很重要)。

前两种方法需要Internet或蜂窝数据连接,而最后两种不需要。

2FA和MFA的流行形式

尽管上面的列表通过接收和输入代码突出显示了有效的安全方法,但还有许多其他方法不需要使用验证代码。

这是最受欢迎的2FA和MFA形式的综合列表,包括基于代码的基于代码和非代码的身份验证方法,该方法目前由各种服务采用:

  • 基于PIN的身份验证:输入您只知道的辅助PIN代码。
  • 基于知识的身份验证(KBA) :回答安全性问题(例如,“您的第一个宠物的名字是什么?”)。
  • 基于电子邮件的身份验证:接收并输入发送到您的电子邮件地址的代码。
  • 基于SMS的身份验证:通过短信(SMS)接收并输入发送到手机的代码。
  • 基于电话的身份验证:接收一个提供一次性密码或需要语音确认的语音通话。
  • 基于Authenticator App的身份验证:从Authenticator应用程序中输入代码,例如Microsoft Authenticator或Google Authenticator。
  • 基于推动的身份验证推送通知身份验证:通过发送到您的注册设备的推送通知确认相关应用程序上的登录。该应用提示用户使用简单的点击批准或拒绝登录尝试(例如,Wise Bank App(以前转移)要求您通过点击“批准”或“是”来确认)。
  • 生物识别身份验证:使用指纹传感器(例如,笔记本电脑或移动设备上)验证指纹验证。
  • 硬件令牌身份验证:使用物理USB安全密钥或设备(例如USB令牌)来验证登录访问。
  • 安全令牌身份验证:使用物理或数字安全令牌在登录过程中验证身份。这些令牌可能会生成一次性密码(OTP),充当USB键(例如USB密钥)的硬件设备,或者在不需要USB连接的情况下生成登录代码。
  • 备份代码身份验证:在其他身份验证选项(例如SMS或Authenticator应用程序)不可用时,输入预生成的备份代码作为后备方法,以重新访问访问。

这是专业的2FA和MFA方法:

  • 基于QR码的身份验证:使用身份验证器应用程序扫描QR码以验证登录。
  • 基于时间的一次性密码(TOTP) :生成一个临时密码,该密码每隔几秒钟,通常在身份验证器应用中使用。
  • 基于HMAC的一次性密码(HOTP) :HMAC代表基于哈希的消息身份验证代码。与TOTP相似的系统,但是代码在使用之前保持有效。
  • 基于电话的身份验证:接收一个提供一次性密码或需要语音确认的语音通话。
  • 基于蓝牙的身份验证:使用蓝牙来验证身份,通常需要在设备之间接近身份。
  • 智能卡身份验证:使用插入设备的物理智能卡以进行身份​​验证,在企业安全方面常见。
  • 基于行为的身份验证:分析击键模式,小鼠运动或其他行为生物识别技术。
  • 基于地理位置的身份验证:根据用户的物理位置或已知IP地址限制登录尝试。
  • FIDO2/WebAuthn身份验证:使用加密安全密钥(例如Yubikeys)在没有密码的情况下进行身份验证。
  • 基于模式的身份验证:在触摸屏上绘制模式(在移动设备安全性中常见)。

选择合适的服务

如您所见,有很多可供选择的服务,而不是所有的服务和WordPress插件都提供所有这些选项,因此您需要确定哪种最适合您。一些服务提供多个选项,使您可以从下拉菜单中进行选择。如果您选择使用WordPress插件集成2FA,则设置过程对您来说更方便。

在设置过程中,您可能还会为您提供恢复代码。请务必将其记下并牢固地存储。这些备份代码将帮助您恢复帐户,以防您由于2FA/MFA而被锁定。

推荐的2FA的WordPress插件

为了简化在WordPress网站上设置两因素身份验证,我们已经编制了最佳2FA插件的列表。这些插件非常适合用户友好,包括清晰的设置说明,并提供全面的文档。您不应该遇到任何困难。请随时在下面的评论部分中分享您喜欢的2FA插件或提出任何安全问题。

事不宜迟,让我们开始吧!

1。GoogleAuthenticator

Google Authenticator

我们列表上的第一个插件是由可信赖的WordPress插件开发人员Miniorange by Miniorange的Google Authenticator 。该插件提供了一个全面的解决方案,用于确保您的WordPress登录页面,而无需您花一毛钱。

Google Authenticator是WordPress的出色的两因素身份验证插件,既易于设置又易于使用。它具有令人印象深刻的功能,旨在将最持久的黑客避开。

Some of the key features of the plugin include a sleek user interface, multiple authentication methods (supporting even Microsoft Authenticator), multi-language support, TOTP (Time-based One-Time Password) and HOTP (HMAC-based One-Time Password) support, brute force attack prevention, IP blocking, customizable security questions, support for various WordPress form plugins, GDPR compliance, and a vast array of premium features.

该插件的核心版本对于单个用户是免费的,您通常可以在插件的支持论坛上找到帮助。

2。两因素

Two-Factor

两因素WordPress插件是由乔治·斯蒂芬尼斯(George Stephanis)领导的完全免费的开源项目,并提供了其他各种开发人员的贡献。它是可用于WordPress网站的最直接的两因素身份验证插件之一。

安装插件后,导航到用户>您的配置文件,然后向下滚动到两因素选项部分。在这里,您可以启用并配置所需的两因素身份验证设置。

该插件支持四种身份验证方法:

  1. 电子邮件代码:直接发送到您的电子邮件地址的验证代码。
  2. 基于时间的一次性密码(TOTP) :使用Google Authenticator之类的应用程序生成的动态密码。
  3. FIDO通用第二因子(U2F) :一种基于硬件的身份验证方法,需要USB安全密钥。
  4. 备份验证代码:可以安全地存储紧急情况的一次性代码。

还有一种虚拟方法,对于测试目的特别有用。除这些功能外,插件还支持15种语言,并在编写时具有超过80,000个主动装置。

该插件的性能非常出色,并且可靠地增强WordPress安全性。将来看到高级版本,提供更高级的功能,这将是令人兴奋的。

3。WordPress 2步验证

WordPress 2-Step Verification

您是否找到了适合您需求的WordPress的两因素身份验证插件?如果没有,我们很乐意通过来自越南的才华横溢的PHP开发人员AS247介绍WordPress 2步验证插件。

请放心,您不必担心黑客使用此插件时会窃取登录凭据。 WordPress 2步验证插件将强大的2FA安全措施包含在您的登录页面中,以确保攻击者仍将锁定在管理区域之外。

该插件易于安装和配置,您可以在10分钟内完成所有设置。如果遇到任何问题,AS247通过WordPress.org支持论坛提供有用的帮助。

突出的功能

WordPress 2步验证包含各种令人印象深刻的功能,包括:

  • 多站点支持:非常适合管理多个WordPress安装。
  • 电子邮件代码:发送到您的注册电子邮件的验证代码。
  • 应用程序生成的代码:Google Authenticator等应用程序生成的动态代码。
  • SMS验证:通过短信交付的代码。
  • 备份代码:不可用的验证方法时,紧急情况方便。

此外,如果您丢失了对手机或验证代码的访问权限,则该插件可以轻松地通过FTP恢复,这是在关键情况下的救生员。您还可以在值得信赖的设备(例如您的个人计算机)上停用2步验证。

想知道插件如何支持应用程序生成的代码? AS247在Play Store上提供了一个身份验证器应用程序,这使得为不支持2步验证的应用程序生成安全密码。

可定制性和兼容性

需要帮助个性化WordPress主题吗?有许多公司提供一流的WordPress主题自定义服务以适合您的要求。

当前,该插件不支持Gutenberg编辑器,因此您需要激活经典编辑器。正在进行工作以增加对古腾堡的支持,但是如果您愿意使用经典编辑器,WordPress 2步验证插件是一个绝佳的选择。

4。rublon两因素身份验证

Rublon Two-Factor Authentication

我们列表上的第四个插件是Rublon两因素身份验证。这个杰出的WordPress插件的主要目标是将未经授权的用户拒之门外,并毫不费力地完成此操作。它提供了一种直接的方法,可以在WordPress网站上启用两因素身份验证。

Rublon两因素身份验证插件非常易于用户友好且易于安装。您不需要任何技术专业知识或特殊培训就可以开始。只需安装插件,然后使用系统令牌和安全密钥将其连接到Rublon API。

完成这些步骤后,您将通过电子邮件收到确认链接。验证身份后,您可以配置其他选项以增强网站的安全性。

功能和功能

Rublon支持多种两因素身份验证方法,包括:

  • 电子邮件验证
  • SMS代码
  • QR码扫描
  • 推送通知
  • 基于时间的一次性密码(TOTP)

此外,您可以在这些设备上的未来登录期间消除对两因素身份验证的需求。

用户体验

该插件提供了直观且用户友好的后端接口,从而易于将两因素身份验证集成到WordPress网站中。它支持五种语言,并获得了安全专业人员和初学者的发光评论。用户经常赞扬其功能和可靠性。

5。GatewayAPI

Gateway API

如果我们列表中的其他两因素身份验证插件无法满足您的易用需求,请让您向Gatewayapi介绍。这个方便而直接的插件不仅仅是两因素身份验证工具,它是一个功能强大的引擎,可让您直接从WordPress管理面板发送SMS消息。最重要的是,它包括免费的,用户友好的两因素身份验证功能。

Gatewayapi的主要特征

Gatewayapi包含有用的功能,包括:

  • 可自定义的SMS内容:将量身定制的信息添加到您的消息中。
  • CSV导入:轻松上传收件人列表。
  • 批量消息:一次向大型组发送SMS消息。
  • 收件人细分:为目标消息创建和管理组。
  • 简短代码:简化消息处理。
  • 易用性:任何人都可以导航的干净,直观的接口。
  • 重新授权选项:每次登录或记住30天的可信设备。
  • 收件箱功能:通过您的电话号码直接接收和读取传入消息。
  • 还有更多!

Gatewayapi入门

要开始,只需安装插件并在Gatewayapi.com上注册免费帐户。不用担心,如果您遇到任何困难,该插件会带有详细的分步指南,并配有屏幕截图,使设置过程无缝。老实说,您甚至可能不需要阅读文档来实现两因素身份验证。这很简单!

6。二人两个因素身份验证

Duo Two Factor Authentication

二人插件使将两因素安全性集成到您的WordPress网站中,并简单简单。用户和管理员可以使用已经拥有的设备(例如硬件令牌或手机)来验证其身份。此外,此插件可帮助您监视网站上的用户活动,并添加额外的问责制。

如何使用二人插件

开始使用插件:

  1. 在您的WordPress网站上安装并激活它。
  2. 订阅Duo的服务以访问安全密钥。
  3. 定义需要两因素身份验证的特定用户角色。

身份验证选项

二人插件提供多种身份验证方法:

  • SMS OTP :一次性密码通过消息服务发送到手机。
  • 硬件令牌OTP :物理设备生成的密码。
  • Duo Mobile应用程序:用户可以通过该应用程序生成OTP或使用一-Tap身份验证。
  • 呼叫背回验证:二人致电用户的电话进行确认。

这些多功能选项可确保为所有用户提供安全和灵活的身份验证。

哪个插件适合您?

我们希望此列表可以帮助您找到自己喜欢的两因素身份验证插件。还有包括WordFence,稳固安全性和多合一安全性(AIO)等多合一安全套件,其中包括2FA和许多其他安全功能。如果您仍然不确定,我们建议您将它们全部安装并尝试。 WordPress的美丽在于您可以做所有这些事情。安装插件,激活它并进行测试。不开心?停用并删除它。

最后的想法

请记住, WordPress安全是维护成功网站的重要方面。实施两因素身份验证是将未经授权用户置于WordPress管理区域之外的有效方法。通过需要额外的验证步骤,2FA可以保护您的网站免受安全漏洞,蛮力攻击和降低登录凭据的损害。

无论您选择WordPress插件还是其他集成方法,设置2FA都是一种简单而强大的方法来增强网站的安全性。花点时间实施这项预防措施将使您安心,并为您的在线形象的长期可靠性做出贡献。保持积极主动并确定安全性,以确保您的WordPress站点免受潜在威胁的安全。

您最喜欢哪个2FA插件?您有任何分享的疑问,疑虑或技巧吗?我们很想在评论部分收到您的来信。