共计 1437 个字符,预计需要花费 4 分钟才能阅读完成。
WordPress 外围没有内置双因素身份验证。然而如果你在 WordPress 二次开发中须要这样的利用,双因素身份验证是您应用 WordPress 插件(有时是内部服务)增加到站点的额定平安层。换句话说,它建设在默认 WordPress 装置的外围用户帐户性能之上。2FA 使您的 WordPress 网站不仅须要明码,还须要额定的信息来验证您的每个用户每次尝试登录时的身份。
2FA 验证来自受权站点用户能够拜访的起源,例如:
l 推送到他们手机的短信、电话或告诉
l 通过电子邮件发送的链接或代码
l 二维码
双因素身份验证 十分 平安。歹意攻击者和黑客无奈物理拜访您用户的内部渠道和设施。这意味着即便他们可能破解明码,如果没有第二层身份验证,他们依然无奈取得对您网站的未受权拜访。要破解用户的明码,他们还须要破解用户的电子邮件、计算机或电话。这可能会产生,但与每天测试数百万个明码的脚本暴力攻打相比极为常见。
WordPress 网站开发须要 2FA 吗?
运行双因素身份验证将阻止在线世界中的许多不良行为者甚至试图未经受权拜访您的网站。尽管这不是相对必要的,但谁不须要那种爱护和安心呢?
如果您的 WordPress 网站已经受到黑客攻击或据说过有人受到黑客攻击,那么您就会晓得垃圾链接、重定向和恶意代码会以多快的速度散播,这些垃圾邮件链接、重定向和恶意代码会对您的名誉造成间接且无法弥补的侵害。
更蹩脚的是,如果您应用 WooCommerce 运行电子商务网站,黑客可能会拜访客户数据,例如姓名、地址、电话号码、电子邮件地址,甚至信用卡号码。
如果产生这种状况,您将很难摆脱困境。
WordPress 2FA 是第二道防线,能够将好人拒之门外,同时确保即便明码被泄露,只有第二层爱护依然是黑客颠扑不破的锁,帐户就会放弃平安。
作为 WordPress 网站所有者,请理解双因素身份验证性能是 100% 抉择退出的。因为它不是外围性能,因而您只需抉择在您的网站上施行它。它是完全免费的,并减少了一个简直颠扑不破的保护层,能够加重许多对黑客和攻打的担心。
话虽如此,2FA 是一种无需动脑筋的 WordPress 站点平安办法,如果每个人还没有应用它,都应该应用它,或者应用密钥而不是明码的更弱小、平安的登录办法。
2FA 对多用户 WordPress 网站的益处
在规范的、未修改的 WordPress 登录页面上,您和您的用户只需输出用户名和明码即可拜访该站点。提交登录凭据后,如果用户名和明码组合与 WordPress 数据库中的内容相匹配,则用户会立刻取得对 WordPress 后端的拜访权限以及基于您利用的权限规定的任何权限。
WordPress 有六个预约义的用户角色:
- 超级管理员
- 行政
- 编辑
- 作者
- 贡献者
- 订户
默认状况下,容许这些角色在您的站点上执行特定的工作集。角色能够执行的工作称为“能力”。
您的大多数规范站点用户可能处于订阅者角色,该角色具备起码的性能。然而,您可能有其余管理员、编辑和作者会定期拜访您网站的后端。一些用户可能对他们的明码很粗率,他们可能会共享帐户,而一些领有非凡权限的用户可能会在您不知情的状况下将权限授予其余用户。当用户不再沉闷或不再须要时,您可能会遗记删除用户或降级他们的权限。所有这些状况都很常见,并为攻击者发明了机会。
如果黑客只晓得其中一个管理员用户名和明码,他们将立刻以齐全权限拜访您的整个站点。显然,这很蹩脚,但您也不心愿您的订阅者受到黑客攻击。即便在那种状况下,您也必须报告违规行为,这会侵害用户对您和您的品牌的信赖。