[WordPress 外掛] Two Factor Authentication 繁體中文本地化及使用方式

Two Factor Authentication 繁體中文本地化及使用方式

最後更新時間: 2018/11/24

阿力獅有不少網路帳號,只要該帳號提供了兩步驟驗證功能,我一定都會加以啟用;因為兩步驟驗證這項帳號安全性功能,是目前最有效、成本也最低的帳號保護方式。阿力獅自己的網站是用 WordPress.org 提供的免費架站程式架設而成,為了登入後台進行管理或撰文,當然也有一個登入帳號。

如果自架網站只靠不為他人所知的帳號及複雜密碼進行保護,其實遠遠不夠;但是使用 WordPress.org 架設的網站,預設並沒有兩步驟驗證這項帳號保護功能,以帳號安全性來說,既低又危險。

如果你同為 WordPress.org 自架站的網站管理員,想為網站帳號的登入機制加上兩步驟驗證這項安全性功能,與 UpdraftPlus 系出同源的 Two Factor Authentication,是個相當不錯的兩步驟驗證外掛。

外掛用途說明

WordPress.org 自架站的登入機制,並未內建兩步驟驗證功能,即使安裝了 Jetpack 之後可以加入該項功能,但也需擁有帳號的網站使用者同時擁有 WordPress.com 帳號,且在 WordPress.com 帳號中啟用兩步驟驗證保護。也就是說,對一個多帳號的網站來說,Jetpack 外掛的提供的兩步驟驗證機制,是比較滯礙難行的。

但 WordPress 自架站帳號沒有兩步驟驗證,幾乎等於裸體逛大街的狀況,但是為 WordPress 自架站安裝 Two Factor Authentication 外掛,可以為網站立刻加入兩步驟驗證的保護。

但是 Two Factor Authentication 外掛所提供的兩步驟驗證功能,僅有驗證碼產生器產生驗證碼的方式,並不提供驗證碼簡訊、安全金鑰驗證其他驗證方式。

外掛使用方式

這個外掛並不是一個安裝完畢、完成啟用就可以馬上有效果的外掛,無論是網站管理員、或是任何一位有權限登入網站後台的使用者,都有需要設定的項目。

請注意,以下每一項設定設定之後都必須點擊所屬區段中的 [儲存變更] 按鈕,否則不會生效。以下便將這兩者需要設定的部分進行說明。

WordPress 網站管理員

多數的 WordPress 外掛都只有網站管理員才具備進行設定的權限,這類安全性外掛自然也不例外。以下是網站管理員該為 Two Factor Authentication 外掛進行的設定,請網站管理員點擊 [設定] 選單中的 [Two Factor Authentication] 進入外掛設定頁。
網站管理員可點擊 [設定] 選單中的 [Two Factor Authentication] 進入外掛設定頁

使用者角色

這個區段會列出所有可登入網站管理後台的使用者角色。或許你的 WordPress 網站中所出現的使用者角色比螢幕擷圖中的多,也可能比較少,那是因為除了 WordPress 網站預設的 Administrator (管理員)、編輯 (Editor)、Author (作者)、Contributor (寫手) 及 Subscriber (訂閱者) 使用者角色之外,有些外掛會為外掛功能建立專屬的使用者角色[1]
網站管理員要決定為要哪些使用者角色帳號加入兩步驟驗證功能

網站管理員要決定為要哪些使用者角色帳號加入兩步驟驗證功能,核取必要的使用者角色後,記得點擊 [儲存變更]。

XMLRPC 要求

如果所有網站使用者都沒有使用能透過 XMLRPC 要求管理網站的 App,建議直接設定為 [透過 XMLRPC 連線時強制使用兩步驟驗證];如此一來,即使有惡意第三者得悉某位網站使用者的帳號密碼[2],也無法透過 XMLRPC 要求管理網站,因為還需要兩步驟驗證碼才行。
建議直接設定為 [透過 XMLRPC 連線時強制使用兩步驟驗證]

設定完畢後,記得點擊 [儲存變更]。

預設演算法

一般來說,選取以時間為基礎的 TOTP 演算法最為通用,且可透過所有支援 TOTP 演算法的驗證碼產生器,例如 Google Authenticator[3]
選取以時間為基礎的 TOTP 演算法最為通用

所有使用者的 [兩步驟驗證] 設定頁中的 [進階設定] 預設值,都會受 [預設演算法] 設定的影響;設定完畢後,記得點擊 [儲存變更]。

其他進階功能,在免費版外掛中並未提供,例如強制網站所有使用者啟用兩步驟驗證;但是網站管理員也不必太擔心,透過其他外掛一樣可以達成「網站管理員手動為所有使用者強制啟用兩步驟驗證」的目標。

WordPress 可登入管理後台的使用者

當網站管理員完成 Two Factor Authentication 外掛的全域設定後,便可以通知網站使用者設定自己帳號的兩步驟驗證功能。設定步驟相當簡單,幾個點擊便可以完成。

啟用兩步驟驗證

  1. 網站使用者登入 WordPress 網站控制台後,點擊畫面左側管理選單上的 [兩步驟驗證]。
    點擊畫面左側管理選單上的 [兩步驟驗證]
  2. 點擊 [啟用],然後點擊 [儲存變更]。
    點擊 [啟用],然後點擊 [儲存變更]

請注意,一旦使用者啟用兩步驟驗證並儲存設定後,就代表功能正式生效下次登入就會開始需要輸入第二步驟驗證碼;如果沒有完成接下來的設定,下次無法順利登入會成為必然現象,所以請接著完成下一個設定。

目前的驗證碼

完成啟用 WordPress 網站帳號的兩步驟驗證功能後,一定要完成這項設定,拿出手機便可輕鬆完成。

  1. 執行手機上已預先安裝好的驗證碼產生器 App[4],掃描這個設定頁中提供的 QR 碼。
    • 如果掃描不順利,請改以輸入這個畫面中提供的私密金鑰取代掃描 QR 碼。
  2. 掃描 QR 碼之後,驗證碼產生器便開始產生屬於這個網站帳號的第二步驟驗證碼,請與畫面上顯示的驗證碼進行比對,完全一致的話代表設定無誤,下次使用驗證碼產生器 App 產生的驗證碼,一定可以順利登入。
    • 有些朋友操作的比較謹慎,完成時間會長一點,所以畫面上的驗證碼會過時,與驗證碼產生器內的不同[5],這時只要點擊一下畫面上的 [更新] 連結,便能顯示最新的驗證碼讓你進行比對。
      只要點擊一下畫面上的 [更新] 連結,便能顯示最新的驗證碼讓你進行比對

進階設定

雖然使用者可以變更 [進階設定] 中的演算法設定,但管理員必須與所有網站使用者溝通,請他們不要變更這項設定,免生意外。

設定完畢後的登入方式

安裝 Two Factor Authentication 外掛,且網站管理員及使用者均設定完畢後,登入原來的登入程序是輸入正確的帳號密碼即可登入,多了一個現在自然是多了一個輸入第二步驟驗證碼的流程。
多了一個輸入第二步驟驗證碼的流程

執行裝置上的驗證碼產生器,輸入正確的驗證碼,就可以完成登入。

外掛使用注意事項

由於使用的是 Two Factor Authentication 外掛的免費版,所以有些功能並未在免費版中提供,列在下方一一說明。

  • 對網站管理員來說,免費版與付費版外掛的最大差別,在於外掛設定完畢後,並未提供集中啟用、停用以及檢視所有使用者兩步驟驗證的功能,無法讓使用者在這之後登入必須強制啟用兩步驟驗證功能[6],得靠網站管理員宣導或代為設定。
  • 並未提供復原碼 (Recovery Code) 的功能,所以個別使用者因故無法通過第二步驟驗證時[7],便會無法登入,得靠網站管理員為這位使用者進行手動操作協助。
  • 如果你的 WordPress 自架站只有你一個人使用,那 Jetpack 外掛所提供的 WordPress.com 兩步驟驗證會是最佳解決方案。

上列三點中屬於免費版外掛限制的部分,都不算難以解決,所以使用免費版外掛並不會造成很大的困擾,更不用說一般 WordPress 網站並沒有數量多到無法想像的使用者;如果使用者數量真的非常多,為了你的網站安全及網站管理員的管理負荷來說,購買付費版外掛也是合情合理。

最後,無論你最後有沒有採用這個外掛,只要你的 WordPress 自架站尚未為網站帳號加上兩步驟驗證功能,都請趕快加上。

外掛狀態

WordPress 外掛
外掛名稱Two Factor Authentication
外掛網址WordPress.org 上的 Two Factor Authentication
開發者官方網站Simba Hosting
外掛價格免費,另備有完整功能的付費版。
繁體中文本地化作者由《阿力獅的教室》站長阿力獅提供。
繁體中文本地化狀態已發佈,目前透過 WordPress 內建機制更新,無須自行下載檔案。
譯文問題回報如果發現譯文有錯譯、錯字,或是因為外掛更新之後產生新字串未譯,都歡迎在下方留言。
文章摘要
Two Factor Authentication 繁體中文本地化及使用方式
文章標題
Two Factor Authentication 繁體中文本地化及使用方式
內容說明
如果你是 WordPress.org 自架站的網站管理員,想為網站帳號的登入機制加上兩步驟驗證這項安全性功能,與 UpdraftPlus 系出同源的 Two Factor Authentication,是個相當不錯的兩步驟驗證外掛。
文章作者
文章出處
阿力獅的教室
作者標誌

附註   [ + ]

1. 例如螢幕擷圖中的 [譯者] 使用者角色,便是由 GlotPress 這個外掛所建立的,而 [譯者] 使用者角色僅有由 GlotPress 外掛所建立的頁面的編輯權限。
2. 無須暴力破解,透過社交工程取得帳號密碼反而容易,比較實在。
3. 除了外掛明列的 Google Authenticator 外,主流的驗證碼產生器 App 都支援 TOPT 演算法,例如 Microsoft Authenticator、LastPass Authenticator、Authy 或 Duo Mobile。
4. 現在該沒有不支援 TOTP 演算法的驗證碼產生器 App 才對。
5. TOTP 演算法會每 30 秒重新產生一個新的驗證碼。
6. 就是在外掛啟用設定完畢後的使用者在第一次登入時,登入後會馬上導向至兩步驟驗證設定頁,並完成兩步驟驗證的設定。
7. 例如安裝了驗證碼產生器的行動裝置遺失或損毀,導致無法取得驗證碼。