最近查看日志时,发现自己的 WordPress 后台有大量登录失败事件,估计有人在用工具猜解我站后台密码。Wordpress 后台登陆太简陋了,连个验证码都没有,暴力猜解简直是太方便。
于是想找个办法加强后台的安全性。经过一番搜索后,终于找到了一个不错的办法,那就是为 WordPress 后台启用两步验证。
说起两步验证,大家一定不会陌生。账号启用两步验证后,比如 Apple ID,百度、Google 的账号登陆,输入账号密码登录时,还需要通过 App 或者短信再次发送一个确认码。这样,即使账号密码被盗或者被撞库,也能保证不会被非法访问。
本次 WordPress 后台两步验证方案采用的是 Google Authenticator。Google Authenticator 是谷歌开发的两步验证方案,不仅可以用于 Google 自己的服务进行二次验证,而且开放了算法机制,任何第三方都能使用验证。
整个验证过程都是在 WordPress 服务器本地和手机本地计算完成,不会访问网络,不会产生流量,无须担心能不能访问谷歌。
更多有关 Google Authenticator 工作原理的文章请看这里:谷歌两步验证系统的工作原理
在 WordPress 中使用 Google Authenticator 需要做如下步骤:
一、在 WordPress 后台安装插件
Google Authenticator For WordPress 官方地址
在 WordPress 后台 > 插件 > 安装插件。可以在线安装,也可以从官方地址下载后手动上传。
二、在智能手机设备上安装两步验证客户端
Google Authenticator For Android
三、设置登陆选项
安装好任意一个版本的移动客户端后,打开 WordPress 后台 > 用户 > 所有用户 > 编辑一个你想进行两步验证的管理员的账号。
点击启用即可,各种设置的解释见图片,很好理解。
点击显示/隐藏QR 码,此时会出现一个二维码,此二维码包含完整的秘钥信息和描述信息,请不要随意透露。如果怕手机丢失或者 App 意外删除,可以把秘钥保存在一个安全的地方方便恢复。
打开手机上的 Google Authenticator 客户端,打开条形码扫描,OK,App 配置完成。验证码大概 60s 刷新一次,由于是以系统时间作为验证码生成标准,请保证 WordPress 服务器和 App 的时间都是准确的。
我们只有每次输入这个动态验证码才能正常登陆后台。即使我们的账号密码外泄,别人没有动态验证码也无法登陆后台。
四、手机丢失或 App 失效怎么办
1、扫码前把秘钥或者二维码保存在一个安全的地方,以便恢复。
2、登陆 FTP 或 SSH 删除这个插件。