WordPress 核心沒有內置雙因素身份驗證。但是如果你在WordPress二次開發中需要這樣的應用,雙因素身份驗證是您使用 WordPress 插件(有時是外部服務)添加到站點的額外安全層。換句話說,它建立在默認 WordPress 安裝的核心用戶帳戶功能之上。
2FA 使您的 WordPress 網站不僅需要密碼,還需要額外的信息來驗證您的每個用戶每次嘗試登錄時的身份。
2FA 驗證來自授權站點用戶可以訪問的來源,例如:
l 推送到他們手機的短信、電話或通知
l 通過電子郵件發送的鏈接或代碼
l 二維碼
雙因素身份驗證非常安全。惡意攻擊者和黑客無法物理訪問您用戶的外部渠道和設備。這意味著即使他們能夠破解密碼,如果沒有第二層身份驗證,他們仍然無法獲得對您網站的未授權訪問。要破解用戶的密碼,他們還需要破解用戶的電子郵件、計算機或電話。這可能會發生,但與每天測試數百萬個密碼的腳本暴力攻擊相比極為罕見。
WordPress 網站開發需要 2FA 嗎?
運行雙因素身份驗證將阻止在線世界中的許多不良行為者甚至試圖未經授權訪問您的網站。雖然這不是絕對必要的,但誰不需要那種保護和安心呢?
如果您的 WordPress 網站曾經遭到黑客攻擊或聽說過有人遭到黑客攻擊,那么您就會知道垃圾鏈接、重定向和惡意代碼會以多快的速度散播,這些垃圾郵件鏈接、重定向和惡意代碼會對您的聲譽造成直接且無法彌補的損害。
更糟糕的是,如果您使用 WooCommerce 運行電子商務網站,黑客可能會訪問客戶數據,例如姓名、地址、電話號碼、電子郵件地址,甚至信用卡號碼。
如果發生這種情況,您將很難擺脫困境。
WordPress 2FA 是第二道防線,可以將壞人拒之門外,同時確保即使密碼被泄露,只要第二層保護仍然是黑客牢不可破的鎖,帳戶就會保持安全。
作為 WordPress 網站所有者,請了解雙因素身份驗證功能是 100% 選擇加入的。由于它不是核心功能,因此您只需選擇在您的網站上實施它。它是完全免費的,并增加了一個幾乎牢不可破的保護層,可以減輕許多對黑客和攻擊的擔憂。
話雖如此,2FA 是一種無需動腦筋的 WordPress 站點安全方法,如果每個人還沒有使用它,都應該使用它,或者使用密鑰而不是密碼的更強大、安全的登錄方法。
2FA 對多用戶 WordPress 網站的好處
在標準的、未修改的 WordPress 登錄頁面上,您和您的用戶只需輸入用戶名和密碼即可訪問該站點。提交登錄憑據后,如果用戶名和密碼組合與 WordPress 數據庫中的內容相匹配,則用戶會立即獲得對 WordPress 后端的訪問權限以及基于您應用的權限規則的任何權限。
WordPress 有六個預定義的用戶角色:
- 超級管理員
- 行政
- 編輯
- 作者
- 貢獻者
- 訂戶
默認情況下,允許這些角色在您的站點上執行特定的任務集。角色可以執行的任務稱為“能力”。
您的大多數標準站點用戶可能處于訂閱者角色,該角色具有最少的功能。但是,您可能有其他管理員、編輯和作者會定期訪問您網站的后端。一些用戶可能對他們的密碼很草率,他們可能會共享帳戶,而一些擁有特殊權限的用戶可能會在您不知情的情況下將權限授予其他用戶。當用戶不再活躍或不再需要時,您可能會忘記刪除用戶或降級他們的權限。所有這些情況都很常見,并為攻擊者創造了機會。
如果黑客只知道其中一個管理員用戶名和密碼,他們將立即以完全權限訪問您的整個站點。顯然,這很糟糕,但您也不希望您的訂閱者遭到黑客攻擊。即使在那種情況下,您也必須報告違規行為,這會損害用戶對您和您的品牌的信任。
