如何在Ubuntu 14.04上使用双因素身份验证保护您的WordPress帐户登录

介绍

安全性是运行WordPress网站最重要的方面之一。我们中的许多人都倾向于认为黑客不会打扰我们的网站,但实际上,未经授权的登录尝试是在公共互联网上运行服务器的常见部分。

在本教程中,我们将学习如何在WordPress中为登录过程添加额外的安全层双因素身份验证。这是网络安全领域最重要的发展之一。

登录站点或系统时,双因素身份验证或“2FA”包含两个步骤:

  1. 您的用户名和密码
  2. 随机生成的,时间相关的代码(即代码在固定的持续时间后到期)称为一次性密码(OTP)

您可以通过多种方式访问OTP:

  • 短信
  • 电话
  • 电子邮件
  • 离线,通过移动应用程序

虽然银行和交易账户等高风险系统使用SMS交付进行敏感交易,但我们将使用离线模式生成OTP。使用移动应用程序是免费的,可在高可用性,实施成本和易用性之间实现最佳平衡。

目标

安装并启用双因素身份验证后,WordPress将具有更安全的登录过程。

除了输入用户名和密码登录外,您还需要输入移动应用程序生成的密码。这意味着即使您的WordPress凭据遭到破坏,黑客也无法在没有您的手机的情况下登录WordPress。

在本教程结束时,我们还将介绍一种防故障恢复技术,以防您丢失手机。让我们开始!

准备

  • 一台已经设置好可以使用sudo命令的非root账号的Ubuntu服务器,并且已开启防火墙。没有服务器的同学可以在这里购买,不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后再购买服务器
  • 使用Nginx重新安装WordPress,这也需要读者安装LEMP。

第1步 - 安装Google身份验证器插件

在此步骤中,我们将为WordPress网站安装Google身份验证器插件。

安装插件的最简单方法是通过WordPress仪表板。立即登录您的WordPress仪表板。

按照下面提到的步骤顺利安装:

  • 在仪表板中,转到“ 插件”>“添加新”
  • 在“ 搜索”字段中,键入google authenticator
  • 这将加载几个与查询名称匹配的插件
  • 安装所谓的插件谷歌身份验证亨里克·沙克
  • 安装完成后,选择Activate Plugin链接

注意:如果这是您第一次为此WordPress实例安装插件,则可能必须输入SSH凭据。输入您的Linux sudo用户用户名和密码(或为了更高的安全性,上传公钥),然后选择SSH2选项。

(可选)手动安装插件

或者,您也可以手动下载插件并激活它。我们在下面介绍这些步骤。

登录您的腾讯云CVM并导航到您的plugins目录:

cd /var/www/html/wp-content/plugins/

注意:在本教程中,该安装程序在/var/www/html/目录中安装WordPress 。如果您使用的是其他设置,请确保输入安装WordPress的正确目录。

接下来,我们从WordPress存储库下载插件:

wget https://downloads.wordpress.org/plugin/google-authenticator.0.47.zip

注意:在撰写本文时,最新版本的Google身份验证器插件版本为0.47。请确保安装最新版本

第2步 - 下载FreeOTP应用程序

在此步骤中,我们将在移动设备上下载并安装FreeOTP应用程序。

FreeOTP是一个开源应用程序,支持具有一次性密码协议的系统的双因素身份验证。换句话说,它是Google身份验证器的替代品。我们将使用此应用程序生成我们的一次性密码以登录我们的WordPress网站。

FreeOTP由RedHat赞助,拥有适用于Android和iOS的应用程序。以下是获取应用程序及其官方项目的链接。

第3步 - 激活您的个人资料的Authenticator插件

在这一步中,我们将激活管理WordPress配置文件的WordPress插件,并将其配置为与我们的FreeOTP应用程序一起使用。

在WordPress仪表板中,转到用户>您的个人资料下的“ 个人资料”页面。找到名为Google身份验证器设置的子部分。

我们来看看插件的各种配置选项:

  • 活动:选中此框以激活插件
  • 放松:会将进入OTP的时间限制从10秒增加到4分钟。如果您在分配的时间内复制OTP时遇到问题,请启用此选项
  • 描述:输入名称(最好是您的博客名称)。此值将显示在移动设备上的FreeOTP应用程序中
  • 显示/隐藏QR码:单击此按钮显示QR码

连接FreeOTP应用程序

在手机或平板电脑上启动FreeOTP应用。

单击应用程序中的小QR码图标。按住手机扫描WordPress中的二维码,该二维码现在应该显示在您的计算机屏幕上。

您应该立即在FreeOTP中看到一个指定为WordPress的条目,其中包含您在其下方描述中输入的文本。这表示我们已成功将WordPress网站链接到FreeOTP应用程序。

保存更改:最后,我们必须保存到目前为止所做的更改。在WordPress中,滚动到页面底部,然后单击“ 更新配置文件”按钮。

第4步 - 测试登录

在此步骤中,我们将验证是否启用了双因素身份验证。

退出WordPress网站并尝试重新登录。您应该会看到相同的登录屏幕,以及Google身份验证器代码输入框。

在您的移动设备上启动FreeOTP应用。单击WordPress按钮以生成新的一次性密码。

在输入框中键入该值。您应该能够登录WordPress。

为其他用户启用双因素身份验证

您可以(并且应该)为有权访问WordPress安装的其他用户启用双因素身份验证。设置它们时,确保它们在自己的移动设备上安装FreeOTP时非常方便!

帐户恢复

如果您丢失了手机,那么您将被锁定在WordPress网站之外。这是实施双因素身份验证的主要缺点。值得庆幸的是,我们对这种情况有一个非常简单的解决方法。

您所要做的就是禁用Google身份验证器插件。

启动DigitalOcean Droplet的shell并导航到该plugins目录。

cd /var/www/html/wp-content/plugins/

google-authenticator文件夹重命名为其他内容。

mv 'google-authenticator' 'deactivate-plug-google-authenticator'

这会停用插件,因为WordPress将无法找到插件的工作目录。

接下来,像往常一样登录您的WordPress帐户。这次,它不会要求额外的令牌,只需要你的普通密码。

一旦您可以访问WordPress管理员仪表板,并恢复旧设备或获得安装了FreeOTP的新设备,您需要启用插件增益。从Droplet的shell中,使用以下命令:

mv 'deactivate-plug-google-authenticator' 'google-authenticator'

如果您使用的是旧设备,那应该就是您所需要的。您可以再次按照步骤4来测试登录过程。或者您可能需要转到WP Dashboard> Plugins> Installed Plugins并再次激活Google Authenticator插件。

转到用户个人资料,在用户>您的个人资料下,找到Google身份验证器设置子部分。

如果您这次使用新设备,请单击“ 创建新密码”。生成新的QR码,旧的QR码无效。扫描设备上的新QR码。这与我们激活双因素身份验证并连接FreeOTP应用程序时所做的相同,如步骤3所示

或者,您可以禁用双因素身份验证,直到找到您的设备。选择适当的选项后,请确保通过单击“ 更新配置文件”按钮保存更改。

结论

集成双因素身份验证是提高WordPress站点安全性的重要一步。现在,即使攻击者获得了您的帐户凭据,他们也无法在没有OTP代码的情况下登录您的帐户!当您找不到手机时,灾难恢复技术很有用。

WordPress管理员应该采取哪些其他安全措施?在下面的评论中分享您的想法!

更多Linux教程请前往腾讯云+社区学习更多知识。


参考文献:《How To Protect Your WordPress Account Login with Two-Factor Authentication on Ubuntu 14.04》

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏DeveWork

WordPress 设置与调用 Cookie 的相关代码

在开发Jeff的阳台目前正在使用的主题Geekwork 的时候,需要对向导那段js 代码进行只执行一次的设置,固然想到了利用cookie ,但对于js 层面的c...

21860
来自专栏腾讯IVWEB团队的专栏

使用HeadlessChrome做单页应用SEO

随着react、vue、angular等前端框架的流行越来越多的web应用变成了单页应用,它们的特点是异步拉取数据在浏览器中渲染出HTML。

17000
来自专栏魏艾斯博客www.vpsss.net

宝塔面板优化补充内容及添加 CC 防护

自从写了如何设置宝塔面板优化 php 服务器性能这篇文章后,很多网友纷纷向魏艾斯博客反应帮到他们了,按照教程操作后 wordpress 提速很大,不像以前那么卡...

66810
来自专栏小白课代表

手机迅雷『下载安装删除导出备份』的一站式使用说明。

费尽心思寻找下载链接,安装好以后又有证书随时失效的风险,资料不能导出,今天,课代表就带大家解决这一系列问题。

39820
来自专栏黑泽君的专栏

安装myeclipse后,打开时弹出:“该站点安全证书的吊销证书不可用”,怎样解决?

1、当弹出“该站点安全证书的吊销信息不可用。是否继续?”的对话框时,点击“查看证书”,切换到“详细信息”TAB页,找到其“CRL分发点”的URL,复制下来,用迅...

11710
来自专栏编程微刊

小程序模拟请求服务器json数据

怎么请求服务器json数据? 如果你是一枚前端,不会写后端接口的话 又想测试数据,看自己写的效果的时候 不要慌 那么,把你的json放在服务器底下 模...

28420
来自专栏deepcc

链接中 href='#' 和 href='###' 的区别以及优缺点

357120
来自专栏DeveWork

WordPress 网站开发“微信小程序”实战(二)

本文是“WordPress 开发微信小程序”系列的第二篇,本文记录的是开发“DeveWork极客”小程序v1.1 的过程。一如既往,目标读者为了解WordPre...

32470
来自专栏葡萄城控件技术团队

作为JavaScript开发人员,这些必备的VS Code插件你都用过吗?

如今,Visual Studio Code无疑是最流行的轻量级代码编辑器。它确实从其他代码编辑器那借鉴了很多,最主要是从Sublime和Atom那里。然而它的成...

39210
来自专栏企鹅号快讯

8.实战篇_关于前端路由

写在前面的话:有的读者提意见“文字太多,图片太少,不活泼可爱”,我已经尽力了。 1.一张图理解“页面路由” 这就是页面路由,很古老的J2EE开发,一般一个页面路...

26570

扫码关注云+社区

领取腾讯云代金券