如何为WordPress网站添加两步认证双因素认证

越来越多的网站支持增加两步认证来提高安全性。在国内使用较多的是账号密码+短信码，但海外网站可能更多使用两步认证。

如果你觉得有必要为你的WordPress网站打开两步认证，你可以继续阅读这篇教程，学习如何通过使用Google认证器或SMS验证码为WordPress添加双因素认证。

为什么要为WordPress登录增加两步验证？

黑客最常用的技术之一叫做暴力攻击。通过使用自动脚本，黑客将试图猜测正确的用户名和密码来闯入WordPress网站。

如果他们窃取了密码或者准确猜出了密码，就有可能用恶意软件感染你的网站，比如挂马，加密数据进行勒索。

防止WordPress网站密码被盗的最简单的方法之一是添加两步认证。这样，即使有人窃取了密码，也无法跳过用手机输入防伪码这一步来访问。

有很多方法可以设置WordPress两步认证登录。然而，最安全和最简单的方法是使用验证器应用程序。

1.使用WP 2FA插件添加两步认证(更简单的方法)

2.使用双因素插件添加两步身份认证。

1.使用WP 2FA插件添加两步认证。

这种方法最简单，我们推荐作为首选。这种方法非常灵活，允许您对所有用户实施两步身份验证。

首先，您需要安装并启用wp2fa-双因素认证插件。

一旦启用，你需要访问用户的个人资料页面，向下滚动到“WP 2FA设置”部分。

单击“配置二元身份验证(2fa)”按钮启动设置向导。

该插件将要求您选择一种身份验证方法:

使用由您选择的应用程序生成的一次性代码(推荐)

通过电子邮件发送给您的一次性代码

建议你选择app进行认证，这样更安全可靠。然后单击“下一步”按钮继续。

该插件将向您显示一个二维码，您需要使用验证器应用程序扫描该二维码。

什么是验证器应用？

Authenticator应用程序是一个智能手机应用程序，可以为您保存在其中的帐户生成临时的一次性密码。

基本上，应用程序和您的服务器使用一个密钥来加密信息并生成一个一次性代码，您可以将它用作第二层保护。

有很多这样的应用可以免费使用。

最流行的是Google Authenticator，但不是最好的。虽然它运行良好，但它没有提供手机丢失时可以使用的备份。

我们推荐使用Authy，因为它是一个简单易用的免费应用程序，它还允许您将帐户以加密格式保存在云中。这样如果手机丢了，只要输入主密码就可以找回所有账号。

其他密码管理器(如LastPass、1password等。)都有自己的授权码版本。它们比Google认证器好得多，因为它们支持恢复密钥。

在本教程中，我们将以Authy为例。

首先，单击authenticator应用程序中的添加帐户按钮:

然后，该应用程序将请求允许访问您手机上的摄像头。您需要允许此权限，以便您可以扫描插件设置页面上显示的二维码。

Authenticator应用程序现在将保存您的网站帐户，并开始显示可用于登录的一次性密码。

在插件的设置向导中，点击“我准备好了”按钮继续。

该插件现在会要求您验证您的一次性密码。只需在authenticator应用中点击您的帐户，它就会显示一个六位数的一次性密码。输入该密码。

之后，插件会给你生成和保存备份代码的选项。如果你不能使用你的手机，你可以使用这些代码。您可以打印这些备份代码，并将其保存在安全的地方。

之后，您可以退出安装向导。

为所有WordPress用户设置WP 2-FA两步认证登录

如果你运行一个多用户的WordPress网站，比如一个会员网站，这个插件也允许你为网站上的所有用户启用或强制两步认证登录验证。

只需转到设置双因素身份验证页面来配置插件设置。

该插件支持为所有用户启用两步认证登录，强制所有用户登录，并给用户足够的时间进行设置。

如果你的WordPress网站使用定制的登录表单页面，那么你也可以创建一个定制页面，用户可以在这里管理他们的两步认证设置，而不需要访问WordPress管理后台。

不要忘记点击“保存更改”按钮来保存您的新设置。

以下是用户输入常规WordPress密码后，WordPress默认登录界面所需的两步验证码。

2.使用双因素插件添加两步身份认证。

这种方法不太灵活，因为插件不支持所有用户强制两步认证登录。每个用户必须自己设置它，并且可以从他们的个人资料中禁用它。

首先，您需要安装并启用双因素插件。

启用插件后，请访问用户资料页面，向下滚动到双因素选项部分。

在这里，您需要选择一个两步身份验证登录选项。该插件支持使用电子邮件、验证器应用程序和FIDO U2F安全密钥方法。

我们建议使用验证器应用程序方法。只需下载Google Authenticator、Authy或LastPass Authenticator等认证器app，然后扫描屏幕上显示的二维码即可。

扫描二维码后，应用程序会向您显示验证码，您需要在插件选项中输入验证码，然后单击提交按钮。

插件现在将设置密钥。您可以随时从设置页面重置此键，以重新扫描QR码。

不要忘记点击“更新档案”按钮来保存您的设置。

现在每次登录WordPress网站都会被要求输入手机上app生成的验证码。

WordPress中两步认证(2FA)的常见问题

以下是关于在WordPress中使用两步认证登录的一些常见问题的答案。

1.如果我的手机无法访问，我如何登录？

如果您正在使用带有云备份选项(如Authy)的authenticator应用程序，那么您也可以在笔记本电脑上安装该应用程序。

即使你没带手机，也可以访问验证码。它还支持在购买新手机时恢复您的密钥。

上面提到的两种方法也支持你生成备份代码。这些代码也可以在你不能使用手机的时候作为一次性密码。

2.没有密码怎么登录？

如果无法访问手机、笔记本电脑或备用代码，只能通过禁用插件来登录。

停用所有插件后，它还会禁用两步认证插件，这样你就可以登录你的WordPress网站了。登录后，您可以重新启用插件并重置两步认证设置。

3.我还需要密码保护WordPress管理文件夹吗？

从诸如HTTPS和安全WordPress主机这样的基础开始，当你有多层安全保护来保护你的网站时，网站安全工作得最好。两步认证的主要目的是加强WordPress的登录安全性，但是你可以通过密码保护WordPress管理后台，使其更加安全。

如果我们的WordPress网站是会员网站、网店或者在线课程网站，就要做两步认证登录。

关于WordPress安全，建议大家可以阅读《如何有效保护自己的WordPress站点免受攻击和入侵》和《WordPress站点免费SSL证书申请和配置教程》，进一步完善WordPress安全保护措施。