给网站登陆加上两步验证

我居然给我这个每天访问人数不到2位数的网站加上了两步验证！这你敢信？

近年来，我吃饱了没事干，不断增强我这个日活用户就我自己一人的网站的安全性。

除了在第一时间升级wordpress到最新版本外，我还将网站的默认传输协议由http改为了https，并不断演练网站的灾难恢复。

这还不够，为了不断给自己添麻烦，我终于给这个破网站加上了登录两步验证的强制要求。那问题来了：

什么是两步验证？

最常见的两步验证就是你用网银付款时，除了输入密码，还需要输入你收到短信中的验证码。支付密码是第一步验证，短信中的验证码是第二步验证，合在一起就是两步验证。

为什么要在网站上应用两步验证来登陆呢？

对于大型网站来说两步验证能大幅提高账号的安全性，密码很容易被偷看到，哪怕你的密码再复杂也有可能被木马软件记录下来。两步验证就不同了，其中的第二步通常是一次性的验证码，并和你的移动设备绑定，很难泄露。

对于我这个网站来说，这纯粹是吃饱了撑的，我这网站十年里就我自己这一个活人登录过。

那要怎么在一个基于wordpress的网站上加上两步验证呢？

非常简单，安装两步验证的插件，而且还有很多插件可供选择。在wordpress网站上以“2 step verification” 或 “ Two Factor Authentication” 为关键字搜下插件，每个都能找到上百个相关插件。

其中，比较流行的有下面几个：

• Rublon Two-Factor Authentication
• Two Factor Authentication
• Google Authenticator – Two Factor Authentication (2FA)
• Duo Two-Factor Authentication

我选用了最后一个Duo 2FA，Why?

最主要的，也有可能是唯一的原因是：我的工作单位已经用了Duo 2FA来两步验证公司的VPN服务，我几年前就在手机上安装了Duo mobile。简单说就是已经用习惯了。要说缺点，Duo 2FA的免费服务只支持10个用户。10个呢，我就1个人用，所以也够够的了。

安装了这个插件，你登陆时输入用户和密码后，登录页面会跳出下面这个窗口

这时你可以选择通过手机上的Duo Mobile确认，电话确认或者收到的短信验证码确认。我一般电话，总收到国外来电，是不是觉得档次一下就上去了。