前言介紹
- 這款 WordPress 外掛「Two Factor Auth」是 2013-04-19 上架。
- 目前有 20 個安裝啟用數。
- 上一次更新是 2014-07-29,距離現在已有 3932 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 3.1.0 以上版本才可以安裝。
- 有 22 人給過評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
外掛標籤
auth | login | security | authenticate | two factor auth |
內容簡介
使用這個雙步驟驗證外掛,確保您的 WordPress 登入安全。使用者登入時必須輸入一次性密碼。
為什麼需要這個外掛?
使用者可能使用共同或弱的密碼,讓駭客/機器人對您的 WordPress 網站進行暴力破解,並獲得存取您的檔案並在其中放置惡意軟體的權限。
就像不久前發生的事件一樣:TechCrunch 上的文章
如果所有網站都使用了這個外掛,這種事情就不會發生了。
無論您的使用者密碼有多弱,沒有人可以進入您的 WordPress 網站,除非他已經能夠存取使用者的行動電話或電子郵件收件匣(取決於使用者如何取得 OTP)。
這是如何運作的?
這個外掛採用工業標準演算法TOTP或HOTP來建立一次性密碼。
一次性密碼在一段時間內有效,之後必須輸入新代碼。
現在您可以選擇使用第三方應用程式,例如適用於大多數手機平臺的Google Authenticator,或支援生成6位數 OTP 的任何支援 TOTP/HOTP 的第三方應用程式。
或如以往那樣,您可以選擇透過電子郵件收到您的一次性密碼。
由於使用者必須輸入密碼才能使用第三方應用程式,因此電子郵件是傳送一次性密碼的預設方式。使用者必須自行啟用第三方應用程式的傳送。
易於使用
只需安裝這個外掛,您就完成了所有工作。真的沒有什麼其他的了。
如果您想使用第三方應用程式,請轉到管理選單中的 Two Factor Auth,啟用並設置您的應用程式。
一般設置可以在設置 -> Two Factor Auth 中找到。每個使用者的設置可以在管理選單的根層級中的 Two Factor Auth 中找到。
登錄時間可能會更長,但安全性會更高!
如果您使用 WooCommerce 或其他製作自訂登入表單的外掛程式,您將無法再透過這些登入。
我會添加一個可以在 WooCommerce 中添加一次性密碼欄位的外掛程式。如果您使用其他需要支援此功能的外掛程式,請在支援論壇中讓我知道。
TOTP 或 HOTP
您和您的使用者選擇哪種演算法並不重要。基於時間的 TOTP 更安全,因為一次性密碼僅在一段時間內有效。但這需要伺服器時間和客戶端時間同步(如果OTP不是通過電子郵件交付)。在嵌入式客戶端上實現這一點通常很難,因此基於事件的 HOTP 更好。
如果您的電子郵件伺服器速度較慢並且已經選擇電子郵件傳送,您可能無法及時收到 TOTP。
結論:選擇您想要的任何一個。 TOTP稍微更安全,因為 OTP 只有在短時間內有效。
請注意,使用電子郵件傳送的使用者始終使用站點的預設演算法,您可以在設置頁面上設置。第三方應用程式使用者可以選擇他們想要的演算法。
這真的是雙因素驗證嗎?
在3.0版本之前,此外掛具有“類似”雙因素驗證的功能,其中 OTP 會傳送到電子郵件地址。
自3.0版本以來,如果您啟用了第三方應用程式傳送類型,您可以擁有真正的雙向驗證。
Re
原文外掛簡介
Secure WordPress login with this two factor auth. Users will have to enter an One Time Password when they log in.
Why You Need This
Users can have common or weak passwords that lets hackers/bots brute-force your WordPress site and gain access to your files and place malware there.
Just like happend not that long ago: Article on TechCrunch
If all sites would have used this plugin, this would never happend.
It doesn’t matter how weak your users passwords are, no one can gain access to your WordPress site
without already having access to the users mobile phone or email inbox (depending on how the user gets his OTP).
How Does It Work?
This plugin uses the industry standard algorithm TOTP or HOTP for creating One Time Passwords.
A OTP is valid for a certain time and after that a new code has to be entered.
You can now choose to use third party apps like Google Authenticator which is available for most mobile platforms. You can really use any
third party app that supports TOTP/HOTP that generates 6 digits OTP’s.
Or, as before, you can choose to get your One Time Passwords by email.
Since you have to enter a secret code to third party apps, email is the default way of delivering One Time Passwords. Your
users will have to activate delivery by third party apps themselves.
Easy To Use
Just install this plugin and you’re all set. There’s really nothing more to it.
If you want to use a third party app, goto Two Factor Auth in the admin menu and activate it and set up your app.
General settings can be found uner Settings -> Two Factor Auth in admin menu. Settings for each individual user
can be found at the root level of the admin menu, in Two Factor Auth.
A bit more work to get logged in, but a whole lot more secure!
If you use WooCommerce or other plugins that make custom login forms, you will not be able to login through those anymore.
I will be adding a plugin that puts a One Time Password field to WooCommerce. If you use some other plugin that needs
support for this, let me know in the support forum.
TOTP or HOTP
Which algorithm you and your users choose doesn’t really matter. The time based TOTP is a bit more secure since a One Time
Password is valid only for a certain amount of time. But this requires the server time to be in sync the clients time (if
the OTP isn’t delivered by email). This is often hard to do with embedded clients and the event based HOTP is then a better choice.
If you have a somewhat slow email server and have chosen email delivery, you might not get the TOTP in time.
Conslusion: Choose which ever you want. TOTP is a little bit safer since OTP:s only are valid for a short period.
Note that email delivery users always uses the site default algorithm, which you can set on the settings page. Third party
apps users can choose which one they want.
Is this really Two Factor Auth?
Before version 3.0 this plugin had ‘kind of’ two factor auth where the OTP was delivered to an email address.
Since version 3.0 you can have real two factor auth if you activate the Third Party Apps delivery type.
Read more about what two factor auth means >>.
See http://oskarhane.com/plugin-two-factor-auth-for-wordpress/ for more info.
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「Two Factor Auth」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
1.0 | 1.1 | 2.0 | 2.1 | 3.0 | 4.0 | 4.1 | 4.2 | 4.3 | 4.4 | 3.0.1 | 3.0.2 | 3.0.3 | 3.0.4 | 4.0.1 | 4.0.2 | 4.1.1 | 4.1.2 | 4.2.1 | 4.2.2 | 4.2.3 | 4.2.4 | 4.3.1 | 4.3.2 | 4.3.3 | 4.3.4 | 4.3.5 | trunk |
延伸相關外掛(你可能也想知道)
Two Factor Authentication 》>WordPress 二次驗證, 此外掛使用雙重認證(TFA / 2FA)來增強 WordPress 的登入安全性。啟用此功能的使用者需輸入一次性密碼才能登入。本掛件由UpdraftPlus ...。
Keyy Two Factor Authentication (like Clef) 》Keyy 提供與眾不同的雙因素驗證,使用複雜的 RSA 公鑰加密技術替代密碼,提供更強的安全性和更好的使用者體驗。Keyy 讓輸入以下內容成為過去:使用者名稱密碼...。
Value-Auth Two Factor and Access Control 》, 您可以為您的網站啟用雙重驗證。, 您可以設定登入限制。, , 您還可以檢查登入記錄。, , , 關於 Value-Auth, , Value-Auth 是 GMO-DigiRock 的服務。, 要使...。
Swipe 》Swipe 外掛讓您可以安全地登入 WordPress,提供二步驟驗證,不用再煩惱一次性密碼。它以加強版 RSA 公鑰密碼學取代密碼,增強安全性,同時讓使用者體驗更簡單...。
Two Factor Auth for WooCommerce 》這個外掛可以讓 WooCommerce 的登入表單與「Two Factor Auth 外掛」相容。它只需將一個一次性密碼欄位加入到 WooCommerce 的登入表單中。。