最後更新時間: 2020/8/18
阿力獅有不少網路帳號,只要該帳號提供了兩步驟驗證功能,我一定都會加以啟用;因為兩步驟驗證這項帳號安全性功能,是目前最有效、成本也最低的帳號保護方式。阿力獅自己的網站是用 WordPress.org 提供的免費架站程式架設而成,為了登入後台進行管理或撰文,當然也有一個登入帳號。
如果自架網站只靠不為他人所知的帳號及複雜密碼進行保護,其實遠遠不夠;但是使用 WordPress.org 架設的網站,預設並沒有兩步驟驗證這項帳號保護功能,以帳號安全性來說,既低又危險。
如果你同為 WordPress.org 自架站的網站管理員,想為網站帳號的登入機制加上兩步驟驗證這項安全性功能,與 UpdraftPlus 系出同源的 Two Factor Authentication,是個相當不錯的兩步驟驗證外掛。
外掛用途說明
WordPress.org 自架站的登入機制,並未內建兩步驟驗證功能,即使安裝了 Jetpack 之後可以加入該項功能,但也需擁有帳號的網站使用者同時擁有 WordPress.com 帳號,且在 WordPress.com 帳號中啟用兩步驟驗證保護。也就是說,對一個多帳號的網站來說,Jetpack 外掛的提供的兩步驟驗證機制,是比較滯礙難行的。
但 WordPress 自架站帳號沒有兩步驟驗證,幾乎等於裸體逛大街的狀況,但是為 WordPress 自架站安裝 Two Factor Authentication 外掛,可以為網站立刻加入兩步驟驗證的保護。
但是 Two Factor Authentication 外掛所提供的兩步驟驗證功能,僅有驗證碼產生器產生驗證碼的方式,並不提供驗證碼簡訊、安全金鑰驗證其他驗證方式。
外掛使用方式
這個外掛並不是一個安裝完畢、完成啟用就可以馬上有效果的外掛,無論是網站管理員、或是任何一位有權限登入網站後台的使用者,都有需要設定的項目。
請注意,以下每一項設定,設定之後都必須點擊所屬區段中的 [儲存變更] 按鈕,否則不會生效。以下便將這兩者需要設定的部分進行說明。
WordPress 網站管理員
多數的 WordPress 外掛都只有網站管理員才具備進行設定的權限,這類安全性外掛自然也不例外。以下是網站管理員該為 Two Factor Authentication 外掛進行的設定,請網站管理員點擊 [設定] 選單中的 [Two Factor Authentication] 進入外掛設定頁。
使用者角色
這個區段會列出所有可登入網站管理後台的使用者角色。或許你的 WordPress 網站中所出現的使用者角色比螢幕擷圖中的多,也可能比較少,那是因為除了 WordPress 網站預設的 Administrator (管理員)、編輯 (Editor)、Author (作者)、Contributor (寫手) 及 Subscriber (訂閱者) 使用者角色之外,有些外掛會為外掛功能建立專屬的使用者角色[1]。
網站管理員要決定為要哪些使用者角色帳號加入兩步驟驗證功能,核取必要的使用者角色後,記得點擊 [儲存變更]。
XMLRPC 要求
如果所有網站使用者都沒有使用能透過 XMLRPC 要求管理網站的 App,建議直接設定為 [透過 XMLRPC 連線時強制使用兩步驟驗證];如此一來,即使有惡意第三者得悉某位網站使用者的帳號密碼[2],也無法透過 XMLRPC 要求管理網站,因為還需要兩步驟驗證碼才行。
設定完畢後,記得點擊 [儲存變更]。
預設演算法
一般來說,選取以時間為基礎的 TOTP 演算法最為通用,且可透過所有支援 TOTP 演算法的驗證碼產生器,例如 Google Authenticator[3]。
所有使用者的 [兩步驟驗證] 設定頁中的 [進階設定] 預設值,都會受 [預設演算法] 設定的影響;設定完畢後,記得點擊 [儲存變更]。
其他進階功能,在免費版外掛中並未提供,例如強制網站所有使用者啟用兩步驟驗證;但是網站管理員也不必太擔心,透過其他外掛一樣可以達成「網站管理員手動為所有使用者強制啟用兩步驟驗證」的目標。
WordPress 可登入管理後台的使用者
當網站管理員完成 Two Factor Authentication 外掛的全域設定後,便可以通知網站使用者設定自己帳號的兩步驟驗證功能。設定步驟相當簡單,幾個點擊便可以完成。
啟用兩步驟驗證
- 網站使用者登入 WordPress 網站控制台後,點擊畫面左側管理選單上的 [兩步驟驗證]。
- 點擊 [啟用],然後點擊 [儲存變更]。
請注意,一旦使用者啟用兩步驟驗證並儲存設定後,就代表功能正式生效,下次登入就會開始需要輸入第二步驟驗證碼;如果沒有完成接下來的設定,下次無法順利登入會成為必然現象,所以請接著完成下一個設定。
目前的驗證碼
完成啟用 WordPress 網站帳號的兩步驟驗證功能後,一定要完成這項設定,拿出手機便可輕鬆完成。
- 執行手機上已預先安裝好的驗證碼產生器 App[4],掃描這個設定頁中提供的 QR 碼。
- 如果掃描不順利,請改以輸入這個畫面中提供的私密金鑰取代掃描 QR 碼。
- 掃描 QR 碼之後,驗證碼產生器便開始產生屬於這個網站帳號的第二步驟驗證碼,請與畫面上顯示的驗證碼進行比對,完全一致的話代表設定無誤,下次使用驗證碼產生器 App 產生的驗證碼,一定可以順利登入。
- 有些朋友操作的比較謹慎,完成時間會長一點,所以畫面上的驗證碼會過時,與驗證碼產生器內的不同[5],這時只要點擊一下畫面上的 [更新] 連結,便能顯示最新的驗證碼讓你進行比對。
- 有些朋友操作的比較謹慎,完成時間會長一點,所以畫面上的驗證碼會過時,與驗證碼產生器內的不同[5],這時只要點擊一下畫面上的 [更新] 連結,便能顯示最新的驗證碼讓你進行比對。
進階設定
雖然使用者可以變更 [進階設定] 中的演算法設定,但管理員必須與所有網站使用者溝通,請他們不要變更這項設定,免生意外。
設定完畢後的登入方式
安裝 Two Factor Authentication 外掛,且網站管理員及使用者均設定完畢後,登入原來的登入程序是輸入正確的帳號密碼即可登入,多了一個現在自然是多了一個輸入第二步驟驗證碼的流程。
執行裝置上的驗證碼產生器,輸入正確的驗證碼,就可以完成登入。
外掛使用注意事項
由於使用的是 Two Factor Authentication 外掛的免費版,所以有些功能並未在免費版中提供,列在下方一一說明。
- 對網站管理員來說,免費版與付費版外掛的最大差別,在於外掛設定完畢後,並未提供集中啟用、停用以及檢視所有使用者兩步驟驗證的功能,無法讓使用者在這之後登入必須強制啟用兩步驟驗證功能[6],得靠網站管理員宣導或代為設定。
- 並未提供復原碼 (Recovery Code) 的功能,所以個別使用者因故無法通過第二步驟驗證時[7],便會無法登入,得靠網站管理員為這位使用者進行手動操作協助。
- 如果你的 WordPress 自架站只有你一個人使用,那 Jetpack 外掛所提供的 WordPress.com 兩步驟驗證會是最佳解決方案。
上列三點中屬於免費版外掛限制的部分,都不算難以解決,所以使用免費版外掛並不會造成很大的困擾,更不用說一般 WordPress 網站並沒有數量多到無法想像的使用者;如果使用者數量真的非常多,為了你的網站安全及網站管理員的管理負荷來說,購買付費版外掛也是合情合理。
最後,無論你最後有沒有採用這個外掛,只要你的 WordPress 自架站尚未為網站帳號加上兩步驟驗證功能,都請趕快加上。
外掛狀態
WordPress 外掛 | |
---|---|
外掛名稱 | Two Factor Authentication |
外掛網址 | WordPress.org 上的 Two Factor Authentication |
開發者官方網站 | Simba Hosting |
外掛價格 | 免費,另備有完整功能的付費版。 |
繁體中文本地化作者 | 由《阿力獅的教室》站長阿力獅提供。 |
繁體中文本地化狀態 | 已發佈,目前透過 WordPress 內建機制更新,無須自行下載檔案。 |
譯文問題回報 | 如果發現譯文有錯譯、錯字,或是因為外掛更新之後產生新字串未譯,都歡迎在下方留言。 |


附註
1⇧ | 例如螢幕擷圖中的 [譯者] 使用者角色,便是由 GlotPress 這個外掛所建立的,而 [譯者] 使用者角色僅有由 GlotPress 外掛所建立的頁面的編輯權限。 |
---|---|
2⇧ | 無須暴力破解,透過社交工程取得帳號密碼反而容易,比較實在。 |
3⇧ | 除了外掛明列的 Google Authenticator 外,主流的驗證碼產生器 App 都支援 TOPT 演算法,例如 Microsoft Authenticator、LastPass Authenticator、Authy 或 Duo Mobile。 |
4⇧ | 現在該沒有不支援 TOTP 演算法的驗證碼產生器 App 才對。 |
5⇧ | TOTP 演算法會每 30 秒重新產生一個新的驗證碼。 |
6⇧ | 就是在外掛啟用設定完畢後的使用者在第一次登入時,登入後會馬上導向至兩步驟驗證設定頁,並完成兩步驟驗證的設定。 |
7⇧ | 例如安裝了驗證碼產生器的行動裝置遺失或損毀,導致無法取得驗證碼。 |