WordPress 核心没有内置双因素身份验证。但是如果你在WordPress二次开发中需要这样的应用,双因素身份验证是您使用 WordPress 插件(有时是外部服务)添加到站点的额外安全层。换句话说,它建立在默认 WordPress 安装的核心用户帐户功能之上。
2FA 使您的 WordPress 网站不仅需要密码,还需要额外的信息来验证您的每个用户每次尝试登录时的身份。
2FA 验证来自授权站点用户可以访问的来源,例如:
l 推送到他们手机的短信、电话或通知
l 通过电子邮件发送的链接或代码
l 二维码
双因素身份验证非常安全。恶意攻击者和黑客无法物理访问您用户的外部渠道和设备。这意味着即使他们能够破解密码,如果没有第二层身份验证,他们仍然无法获得对您网站的未授权访问。要破解用户的密码,他们还需要破解用户的电子邮件、计算机或电话。这可能会发生,但与每天测试数百万个密码的脚本暴力攻击相比极为罕见。
WordPress 网站开发需要 2FA 吗?
运行双因素身份验证将阻止在线世界中的许多不良行为者甚至试图未经授权访问您的网站。虽然这不是绝对必要的,但谁不需要那种保护和安心呢?
如果您的 WordPress 网站曾经遭到黑客攻击或听说过有人遭到黑客攻击,那么您就会知道垃圾链接、重定向和恶意代码会以多快的速度散播,这些垃圾邮件链接、重定向和恶意代码会对您的声誉造成直接且无法弥补的损害。
更糟糕的是,如果您使用 WooCommerce 运行电子商务网站,黑客可能会访问客户数据,例如姓名、地址、电话号码、电子邮件地址,甚至信用卡号码。
如果发生这种情况,您将很难摆脱困境。
WordPress 2FA 是第二道防线,可以将坏人拒之门外,同时确保即使密码被泄露,只要第二层保护仍然是黑客牢不可破的锁,帐户就会保持安全。
作为 WordPress 网站所有者,请了解双因素身份验证功能是 100% 选择加入的。由于它不是核心功能,因此您只需选择在您的网站上实施它。它是完全免费的,并增加了一个几乎牢不可破的保护层,可以减轻许多对黑客和攻击的担忧。
话虽如此,2FA 是一种无需动脑筋的 WordPress 站点安全方法,如果每个人还没有使用它,都应该使用它,或者使用密钥而不是密码的更强大、安全的登录方法。
2FA 对多用户 WordPress 网站的好处
在标准的、未修改的 WordPress 登录页面上,您和您的用户只需输入用户名和密码即可访问该站点。提交登录凭据后,如果用户名和密码组合与 WordPress 数据库中的内容相匹配,则用户会立即获得对 WordPress 后端的访问权限以及基于您应用的权限规则的任何权限。
WordPress 有六个预定义的用户角色:
- 超级管理员
- 行政
- 编辑
- 作者
- 贡献者
- 订户
默认情况下,允许这些角色在您的站点上执行特定的任务集。角色可以执行的任务称为“能力”。
您的大多数标准站点用户可能处于订阅者角色,该角色具有最少的功能。但是,您可能有其他管理员、编辑和作者会定期访问您网站的后端。一些用户可能对他们的密码很草率,他们可能会共享帐户,而一些拥有特殊权限的用户可能会在您不知情的情况下将权限授予其他用户。当用户不再活跃或不再需要时,您可能会忘记删除用户或降级他们的权限。所有这些情况都很常见,并为攻击者创造了机会。
如果黑客只知道其中一个管理员用户名和密码,他们将立即以完全权限访问您的整个站点。显然,这很糟糕,但您也不希望您的订阅者遭到黑客攻击。即使在那种情况下,您也必须报告违规行为,这会损害用户对您和您的品牌的信任。