近年来,我吃饱了没事干,不断增强我这个日活用户就我自己一人的网站的安全性。
除了在第一时间升级wordpress到最新版本外,我还将网站的默认传输协议由http改为了https,并不断演练网站的灾难恢复。
这还不够,为了不断给自己添麻烦,我终于给这个破网站加上了登录两步验证的强制要求。那问题来了:
什么是两步验证?
最常见的两步验证就是你用网银付款时,除了输入密码,还需要输入你收到短信中的验证码。支付密码是第一步验证,短信中的验证码是第二步验证,合在一起就是两步验证。
为什么要在网站上应用两步验证来登陆呢?
对于大型网站来说两步验证能大幅提高账号的安全性,密码很容易被偷看到,哪怕你的密码再复杂也有可能被木马软件记录下来。两步验证就不同了,其中的第二步通常是一次性的验证码,并和你的移动设备绑定,很难泄露。
对于我这个网站来说,这纯粹是吃饱了撑的,我这网站十年里就我自己这一个活人登录过。
那要怎么在一个基于wordpress的网站上加上两步验证呢?
非常简单,安装两步验证的插件,而且还有很多插件可供选择。在wordpress网站上以“2 step verification” 或 “ Two Factor Authentication” 为关键字搜下插件,每个都能找到上百个相关插件。
其中,比较流行的有下面几个:
- Rublon Two-Factor Authentication
- Two Factor Authentication
- Google Authenticator – Two Factor Authentication (2FA)
- Duo Two-Factor Authentication
我选用了最后一个Duo 2FA,Why?
最主要的,也有可能是唯一的原因是:我的工作单位已经用了Duo 2FA来两步验证公司的VPN服务,我几年前就在手机上安装了Duo mobile。简单说就是已经用习惯了。要说缺点,Duo 2FA的免费服务只支持10个用户。10个呢,我就1个人用,所以也够够的了。
安装了这个插件,你登陆时输入用户和密码后,登录页面会跳出下面这个窗口
这时你可以选择通过手机上的Duo Mobile确认,电话确认或者收到的短信验证码确认。我一般电话,总收到国外来电,是不是觉得档次一下就上去了。
[…] 给网站登陆加上两步验证 给网站加上Cloudflare Turnstile […]
[…] 给网站登陆加上两步验证 给网站加上Cloudflare Turnstile […]
[…] 还记得我老早就给我这个基于wordpress破网站加上了登录两步验证并把https变成默认设置吧。好吧,我闲的蛋疼,又开始折腾了。 […]