介绍
安全是运行WordPress网站的最重要的方面之一,我们中的许多人被诱惑认为黑客不会打扰我们的网站,但实际上未经授权的登录尝试是在公共互联网上运行服务器的一个常见部分。
在本教程中,我们将学习如何为WordPress的登录过程添加 extra layer of security: 两个因素身份验证. 这是网络安全领域最重要的发展之一。
双重身份验证或2FA在登录网站或系统时包含两个步骤:
您的用户名和密码 2 随机生成的,时间依赖的代码(即代码在固定期限后到期)称为 一次密码(OTP)
您可以通过多种方式访问OTP:
- SMS
- 电话
- 电子邮件
- 离线,通过移动应用
虽然银行和交易账户等高风险系统使用SMS发送用于敏感交易,但我们将使用生成OTP的离线模式。
目标
安装并启用两因素身份验证后,WordPress将有一个更安全的登录程序。
除了输入您的用户名和密码来登录,您还需要输入由移动应用程序生成的密码,这意味着即使您的WordPress凭据受到威胁,黑客也无法在没有您的手机的情况下登录WordPress。
在教程结束时,我们还将讨论在您丢失手机的情况下,一个防故障恢复技术。
前提条件
我们需要在DigitalOcean Droplet上安装WordPress的功能,但您可以将本教程定制为现有WordPess安装,但它已经经过了具体的测试:
- 一个 Ubuntu 14.04 Droplet
- 一个 sudo的用户
- 一个新的安装 WordPress with Nginx,这也要求读者 安装 LEMP
DigitalOcean 自己的 WordPress 1 点击图像是另一个选择,作为一个开始的地方。
*您还需要访问运行iOS或Android的移动设备,在那里您可以安装FreeOTP移动应用
步骤 1 – 安装 Google Authenticator 插件
在此步骤中,我们将为我们的WordPress网站安装Google Authenticator插件。
安装插件的最简单方法是通过WordPress仪表板。 现在登录您的WordPress仪表板。
按照下面列出的步骤进行顺利安装:
- 从仪表板,前往 **插件 > 添加新 **
- 在 **搜索 **字段中,键入
google authenticator - 这将加载一对匹配查询名称的插件
- 安装名为 Google Authenticator的插件由 Henrik Schack
- 安装完成后,选择 激活插件 链接
注意:如果这是您第一次为此WordPress实例安装插件,您可能需要输入您的SSH凭证。输入您的Linux sudo用户名和密码(或为了更大的安全性,上传公共密钥),然后选择 SSH2选项。
(可选)手动安装插件
或者,您也可以手动下载插件并激活它,我们在下面描述了这些步骤。
登录您的 DigitalOcean Droplet 并导航到您的插件目录:
1cd /var/www/html/wp-content/plugins/
** 注意:** 在本教程中,我们正在跟随安装从 本教程安装WordPress在 /var/www/html/目录. 如果您正在使用不同的设置,请确保输入正确的目录,其中WordPress安装。
接下来,我们从WordPress存储库下载插件:
1wget https://downloads.wordpress.org/plugin/google-authenticator.0.47.zip
注意:在写作时,Google Authenticator插件的最新版本是版本 0.47。
第2步:下载FreeOTP应用程序
在此步骤中,我们将下载并在我们的移动设备上安装 FreeOTP 应用程序。
FreeOTP是一个开放源代码的应用程序,支持具有一次密码协议的系统的双重身份验证,换句话说,它是谷歌身份验证器的替代品,我们将使用此应用程序生成一次密码来登录我们的WordPress网站。
FreeOTP 是由 RedHat 赞助的,有适用于 Android 和 iOS 的应用程序. 这里有链接来获取该应用程序和其官方项目。
步骤 3 – 激活您的个人资料的身份验证器插件
在此步骤中,我们将激活 admin WordPress 配置文件的 WordPress 插件,并将其配置为与我们的 FreeOTP 应用程序一起工作。
在 WordPress 仪表板中,前往您的 ** 个人资料 ** 页面,位于 ** 用户 > 您的个人资料 **. 查找名为 ** Google 身份验证设置 ** 的子部分。
让我们来看看插件的各种配置选项:
- ** 激活:** 点击此框来激活插件
- ** 放松:** 这将输入 OTP 的时间限制从 10 秒增加到 4 分钟。 如果您在分配时间 中遇到问题,请启用此功能* ** 描述:** 输入一个名称(最好是您的博客名称)。
连接 FreeOTP 应用程序
在您的手机或平板电脑上启动 FreeOTP 应用程序。
点击应用程序中的小QR代码图标 保持手机扫描WordPress的QR代码,该代码现在应该显示在您的计算机屏幕上。
您应该立即看到一个名为 WordPress的 FreeOTP 条目,以及您在其下方的 ** Description** 中输入的文本,这意味着我们已经成功将我们的 WordPress 网站链接到 FreeOTP 应用程序。
** 保存更改:** 最后,我们必须保存迄今为止所做的更改. 在WordPress中,滚动到页面的底部,然后点击 ** 更新个人资料 ** 按钮。
步骤 4 - 测试登录
在此步骤中,我们将检查是否已启用双重身份验证。
退出您的WordPress网站,并尝试再次登录,您应该收到相同的登录屏幕,加上一个 Google Authenticator代码输入框。
在您的移动设备上启动 FreeOTP 应用程序. 点击 WordPress 按钮来生成新的一次性密码。
键入该值到输入框中. 您应该能够登录WordPress。
启用其他用户的两因素身份验证
您可以(而且应该)为其他用户启用双重身份验证,他们可以访问您的WordPress安装。
账户恢复
如果你失去了你的手机,那么你会被锁定出你的WordPress网站. 这是实施两因素身份验证的主要缺点. 幸运的是,我们有一个非常简单的解决方案**对于这种情况。
您只需禁用Google Authenticator插件即可。
启动您的 DigitalOcean Droplet 的壳,并导航到插件目录。
1cd /var/www/html/wp-content/plugins/
重命名google-authenticator文件夹为其他东西。
1mv 'google-authenticator' 'deactivate-plug-google-authenticator'
这会禁用插件,因为WordPress无法找到插件的工作目录。
接下来,像往常一样登录您的WordPress帐户,这一次,它不会要求额外的代币,只需要您的正常密码。
一旦您可以访问 WordPress 管理员仪表板,并恢复了旧设备或获得了安装 FreeOTP 的新设备,您需要启用插件获取功能。
「mv deactivate-plug-google-authenticator」「google-authenticator」」
如果你正在使用你的旧设备,这应该是你所需要的全部。你可以再次按照 步骤4来测试登录过程,或者你可能需要前往 WP仪表板 > 插件 > 已安装的插件,并再次激活Google Authenticator插件。
进入您的用户配置文件,在 ** 用户 > 您的个人资料 ** 和找到 ** Google 身份验证器设置 ** 子部分。
如果您这次使用的是新设备,请点击 创建新秘密。新 QR 代码被生成,旧 QR 代码被取消。在您的 new 设备上扫描新 QR 代码。这也是我们在激活双重身份验证并连接 FreeOTP 应用程序时所做的。
或者,您可以禁用双重身份验证,直到您找到您的设备. 选择合适的选项后,请确保通过点击更新个人资料按钮来保存更改。
结论
整合两因素身份验证是改善您的WordPress网站安全的绝佳步骤,即使攻击者获得您的帐户凭据,他们也无法在没有OTP代码的情况下登录您的帐户!当您无法找到手机时,灾难恢复技术很有帮助。
WordPress 管理员应该采取哪些其他安全步骤? 分享您的想法在下面的评论中!