如何向WordPress添加双重身份验证

想象一下场景：您尝试访问您的 wordpress 仪表板，并意识到您完全被锁定了。更糟糕的是，其他人可以访问您的所有内容和数据。此时，它们可能会对您的整个网站造成严重破坏。

对于许多 WordPress 用户来说，安全性是一个巨大的问题，这是有充分理由的。没有人愿意仅仅因为有人设法窃取甚至猜测他们的密码而失去他们的网站。

这就是双重身份验证的用武之地。这是潜在的黑客在访问您的 WordPress 仪表板之前需要通过的额外安全检查。

在这篇文章中，我将向您展示如何使用免费插件为您的网站添加额外的保护层。我们还将实施故障保护，以防万一出现问题并且您无法完成双因素身份验证检查。

您需要了解的有关两因素身份验证的所有信息

有时称为多因素身份验证，双因素身份验证是一种非常流行的安全机制。使用双因素身份验证后，您需要输入正确的用户名和密码，然后通过额外的安全检查，然后才能访问您的帐户。

这种额外的安全检查可以采取多种形式。例如，WordPress 可能会要求您输入它发送到您的电子邮件地址的一次性 PIN 或密码。或者，您可能需要输入通过短信发送到您的个人智能手机的验证码。

世界上一些最大的科技公司依靠双重身份验证来保证用户的安全。事实上，微软已经公开表示，两因素身份验证阻止了超过 99.9% 的帐户泄露攻击。如果它对科技巨头来说足够好，那么两因素身份验证显然可以为您的 WordPress 网站提供很多东西。

如何向 WordPress 添加双重身份验证

在 WordPress 星球上，几乎所有东西都有一个插件，两因素身份验证也不例外。在本教程中，我们将使用双因素插件保护您的网站。

安装并激活此插件后，导航到Users > Profile。然后，您可以滚动到“双因素选项”部分。

Two-Factor 插件支持几种不同的身份验证方法。例如，您可以选择通过电子邮件或输入基于时间的一次性密码 (TOTP) 来证明您的身份。

您甚至可以配置多种身份验证方法。这可以确保您不会因为损坏智能手机或忘记电子邮件帐户密码而永久失去对网站的访问权限。

如果您确实配置了多种方法，那么您可以指定一个主要的身份验证过程。在默认使用任何替代方法之前，WordPress 将始终要求您通过此方法进行身份验证。

设置好两因素插件后，让我们仔细看看您的身份验证选项！

1. 电子邮件认证

每当您尝试登录您的网站时，Two-Factor 插件都会向与您的 WordPress 帐户关联的电子邮件地址发送验证码。然后，您将此代码输入 WordPress 登录页面以访问您的仪表板。

您可能会查看这些设置并意识到您想要使用替代电子邮件进行双重身份验证 - 以及您的 WordPress 网站。如果是这种情况，请导航到用户 > 所有用户。然后，您可以将鼠标悬停在您的用户名上并在出现时选择“编辑”链接。

现在，滚动到“联系信息”部分，然后输入要与 WordPress 帐户关联的新电子邮件地址。

不要忘记通过单击更新配置文件来保存您的更改。WordPress 现在将通过向您发送测试电子邮件来验证此地址。一旦您收到此消息并单击其 URL，WordPress 就会将此地址链接到您的帐户。您现在可以将此帐户用作双因素身份验证的一部分。

如果您确实进行了此更改，请导航回插件的设置（用户 > 配置文件）。在此屏幕上，选择电子邮件旁边显示的启用按钮。如果您要配置多种方法，那么您还需要指定电子邮件是否是您的主要身份验证过程。

要保存您的更改，请单击更新配置文件。现在，每当您尝试登录仪表板时，WordPress 都会向与您的帐户关联的地址发送一封电子邮件。

此消息将包含一个验证码，您需要在 WordPress 仪表板中输入该验证码才能访问您的帐户。

2. TOTP（基于时间的一次性密码）认证

TOTP 是一串字母和数字，经过一定时间后会自动更改。

Two-Factor 插件可以与您安装在智能手机或平板电脑上的身份验证器应用程序合作生成此代码。如果恶意第三方想要侵入您的帐户，那么他们需要输入您的 WordPress 用户名和密码，然后使用您的个人智能手机或平板电脑验证他们的身份。立即，这使得闯入您的网站变得更加困难。

要将 TOTP 用作您的身份验证方法，您需要先在移动设备上安装身份验证器应用程序。一些流行的选项包括Microsoft Authenticator和Google Authenticator应用程序。

在智能手机或平板电脑上设置身份验证器应用程序后，在 WordPress 仪表板中找到基于时间的一次性密码 (TOTP)。然后，选择其随附的已启用图标。WordPress 现在将生成一个二维码。

拿起您的移动设备并使用其内置摄像头扫描此二维码。片刻之后，您的智能手机或平板电脑上应该会出现一个弹出窗口，提示您启动您选择的身份验证器应用程序。

现在，点击打开以启动您的身份验证器应用程序。接下来的步骤可能会有所不同，具体取决于相关应用程序以及在您的移动设备上设置身份验证的方式。例如，如果您使用的是 Microsoft 身份验证应用程序，则需要点击解锁。

然后，您需要完成标准设备的身份验证过程，例如输入您的锁屏 PIN 码或执行触控 ID。确认身份后， Authenticator应用程序将显示一个时间敏感代码。

切换回您的 WordPress 仪表板，并将此代码输入到身份验证代码部分：

点击提交， Two-Factor 插件将设置一个密钥。请注意，此密钥不是永久的。如果您需要将 WordPress 链接到其他设备，只需导航回此屏幕，然后重新扫描 QR 码。这将生成一个新密钥，您可以使用它来将两因素插件连接到您的新设备。 

假设身份验证成功，请仔细检查您是否选择了显示在基于时间的一次性密码 (TOTP)部分旁边的已启用单选按钮。然后，单击更新配置文件。

现在，每当您尝试登录您的帐户时，WordPress 都会要求您输入由移动设备上的身份验证器应用程序生成的一次性代码。

3. FIDO U2F 安全密钥

FIDO U2F 安全密钥是一种防水的 USB 身份验证密钥，您可以在线购买。此密钥使用标准公钥加密技术对您的帐户进行身份验证。

如果您选择使用安全密钥，那么双重身份验证看起来会有些不同。您无需输入 PIN 或密码，而是将注册的密钥插入您的设备。然后，您只需按下 FIDO U2F 安全密钥上的按钮，WordPress 就会验证此 USB 是否包含正确的公钥。

如果您担心黑客可能绕过其他双重身份验证方法，则可以使用安全密钥。例如，如果恶意第三方设法闯入您的电子邮件帐户，那么他们可能会通过您基于电子邮件的双因素身份验证。

如果您想使用这种不寻常的身份验证方法，那么您首先需要注册一个新密钥。在用户 > 配置文件页面中，滚动到安全密钥部分。

在这里，选择Register New Keys。Two-Factor 插件现在将扫描任何可用的键。这是将 FIDO U2F 安全密钥插入设备并按住其按钮的提示。

将 USB 身份验证密钥与 WordPress 帐户成功配对后，滚动到FIDO U2F 安全密钥部分，然后选择其随附的启用按钮。如果您使用多种身份验证方法，请决定是否将此作为您的主要双因素身份验证过程。

接下来，单击更新配置文件。现在，每当您尝试登录您的帐户时，WordPress 都会提示您将注册的 USB 记忆棒插入您的设备。

如何创建备份验证码

双重身份验证使黑客更难侵入您的网站。但是，它也可能使您更难以访问您的网站。

您可能难以执行两因素身份验证有很多合理的原因。也许您丢失或损坏了您的智能手机，或者有人入侵了您的电子邮件帐户，然后立即更改了密码，从而将您永远锁在外面，从而无法通过您的双重身份验证检查。 

值得庆幸的是，Two-Factor 插件确实有一个故障保护，以十个一次性备份验证码的形式。

如果您一直在努力访问您的帐户，那么您可以输入任何未使用的代码并恢复您的帐户。然后，您可以直接导航到“用户”>“个人资料”屏幕并更新您的双因素身份验证设置。例如，您可能会生成一个新的 QR 码并将您的 WordPress 帐户链接到新的智能手机或平板电脑。

为确保您有此安全网，请选择“生成验证码”按钮。两因素现在将总共显示十个代码。

为了增加安全性，一旦您离开此页面，这些代码就会消失。这是您记录这些代码的唯一机会，因此请确保将它们存放在安全的地方。 

如何在没有备份验证码的情况下登录

如果您在无法访问备用验证码的情况下被锁定帐户，请不要惊慌！一切都没有丢失。您可以通过停用所有插件来恢复您的帐户。

一旦 Two-Factor 插件失效，您只需使用密码和用户名登录仪表板就应该没有问题。停用每个 WordPress 插件是一项重大举措，可能会暂时破坏您的网站，或使其对访问者完全无法访问。但是，这可能是恢复锁定帐户的唯一方法。

如果您真的别无选择，那么您可以使用FileZilla等文件传输协议 (FTP) 客户端连接到您的站点。在此客户端中，导航到您站点的wp-content文件夹。

找到插件目录，然后右键单击它。然后，您可以选择重命名。

将此目录命名为plugins.deactivate。这将立即禁用您网站上的所有插件。您现在应该能够在不执行双重身份验证的情况下登录仪表板。

成功访问您的帐户后，切换回 FileZilla 并将plugins.deactivate文件夹重命名为plugins。在 WordPress 仪表板中，导航到插件 > 已安装插件，然后重新激活所有插件。

您现在可以重新实现双因素身份验证。为确保您再也不会遇到这种情况，请借此机会生成一些备用验证码，并将它们存储在安全的地方。

结论

在这篇文章中，我向您展示了如何使用双重身份验证来保护您的 WordPress 网站。通过添加这种额外的安全检查，您可以使黑客的生活变得更加困难。

如果您确实决定实施两因素身份验证，那么生成备份验证码并将其存储在安全的地方至关重要。虽然有一些变通方法可以帮助您恢复被锁定的网站，但这些方法比简单地输入验证码要困难得多！