WordPress后台开启Google Authenticator验证

0

最近查看日志时,发现自己的 WordPress 后台有大量登录失败事件,估计有人在用工具猜解我站后台密码。Wordpress 后台登陆太简陋了,连个验证码都没有,暴力猜解简直是太方便。

于是想找个办法加强后台的安全性。经过一番搜索后,终于找到了一个不错的办法,那就是为 WordPress 后台启用两步验证。

Google Authenticator logo

说起两步验证,大家一定不会陌生。账号启用两步验证后,比如 Apple ID,百度、Google 的账号登陆,输入账号密码登录时,还需要通过 App 或者短信再次发送一个确认码。这样,即使账号密码被盗或者被撞库,也能保证不会被非法访问。

本次 WordPress 后台两步验证方案采用的是 Google Authenticator。Google Authenticator 是谷歌开发的两步验证方案,不仅可以用于 Google 自己的服务进行二次验证,而且开放了算法机制,任何第三方都能使用验证。

整个验证过程都是在 WordPress 服务器本地和手机本地计算完成,不会访问网络,不会产生流量,无须担心能不能访问谷歌。

更多有关 Google Authenticator 工作原理的文章请看这里:谷歌两步验证系统的工作原理

在 WordPress 中使用 Google Authenticator 需要做如下步骤:

一、在 WordPress 后台安装插件

Google Authenticator For WordPress 官方地址

Google Authenticator 安装界面

Google Authenticator 安装界面

在 WordPress 后台 > 插件 > 安装插件。可以在线安装,也可以从官方地址下载后手动上传。

二、在智能手机设备上安装两步验证客户端

Google Authenticator For Android

Google Authenticator For iOS

三、设置登陆选项

安装好任意一个版本的移动客户端后,打开 WordPress 后台 > 用户 > 所有用户 > 编辑一个你想进行两步验证的管理员的账号。

点击启用即可,各种设置的解释见图片,很好理解。

Google Authenticator 设置

Google Authenticator 设置

点击显示/隐藏QR 码,此时会出现一个二维码,此二维码包含完整的秘钥信息和描述信息,请不要随意透露。如果怕手机丢失或者 App 意外删除,可以把秘钥保存在一个安全的地方方便恢复。

打开手机上的 Google Authenticator 客户端,打开条形码扫描,OK,App 配置完成。验证码大概 60s 刷新一次,由于是以系统时间作为验证码生成标准,请保证 WordPress 服务器和 App 的时间都是准确的。

Google Authenticator 客户端

Google Authenticator 客户端

我们只有每次输入这个动态验证码才能正常登陆后台。即使我们的账号密码外泄,别人没有动态验证码也无法登陆后台。

Wordpress 后台登录

WordPress 后台登录

四、手机丢失或 App 失效怎么办

1、扫码前把秘钥或者二维码保存在一个安全的地方,以便恢复。

2、登陆 FTP 或 SSH 删除这个插件。

社交分享.

评论区