[WordPress] 外掛分享： Two Factor Auth

內容簡介

使用這個雙步驟驗證外掛，確保您的 WordPress 登入安全。使用者登入時必須輸入一次性密碼。
為什麼需要這個外掛？
使用者可能使用共同或弱的密碼，讓駭客/機器人對您的 WordPress 網站進行暴力破解，並獲得存取您的檔案並在其中放置惡意軟體的權限。
就像不久前發生的事件一樣：TechCrunch 上的文章
如果所有網站都使用了這個外掛，這種事情就不會發生了。
無論您的使用者密碼有多弱，沒有人可以進入您的 WordPress 網站，除非他已經能夠存取使用者的行動電話或電子郵件收件匣（取決於使用者如何取得 OTP）。
這是如何運作的？
這個外掛採用工業標準演算法TOTP或HOTP來建立一次性密碼。
一次性密碼在一段時間內有效，之後必須輸入新代碼。
現在您可以選擇使用第三方應用程式，例如適用於大多數手機平臺的Google Authenticator，或支援生成6位數 OTP 的任何支援 TOTP/HOTP 的第三方應用程式。
或如以往那樣，您可以選擇透過電子郵件收到您的一次性密碼。
由於使用者必須輸入密碼才能使用第三方應用程式，因此電子郵件是傳送一次性密碼的預設方式。使用者必須自行啟用第三方應用程式的傳送。
易於使用
只需安裝這個外掛，您就完成了所有工作。真的沒有什麼其他的了。
如果您想使用第三方應用程式，請轉到管理選單中的 Two Factor Auth，啟用並設置您的應用程式。
一般設置可以在設置 -> Two Factor Auth 中找到。每個使用者的設置可以在管理選單的根層級中的 Two Factor Auth 中找到。
登錄時間可能會更長，但安全性會更高！
如果您使用 WooCommerce 或其他製作自訂登入表單的外掛程式，您將無法再透過這些登入。
我會添加一個可以在 WooCommerce 中添加一次性密碼欄位的外掛程式。如果您使用其他需要支援此功能的外掛程式，請在支援論壇中讓我知道。
TOTP 或 HOTP
您和您的使用者選擇哪種演算法並不重要。基於時間的 TOTP 更安全，因為一次性密碼僅在一段時間內有效。但這需要伺服器時間和客戶端時間同步（如果OTP不是通過電子郵件交付）。在嵌入式客戶端上實現這一點通常很難，因此基於事件的 HOTP 更好。
如果您的電子郵件伺服器速度較慢並且已經選擇電子郵件傳送，您可能無法及時收到 TOTP。
結論：選擇您想要的任何一個。 TOTP稍微更安全，因為 OTP 只有在短時間內有效。
請注意，使用電子郵件傳送的使用者始終使用站點的預設演算法，您可以在設置頁面上設置。第三方應用程式使用者可以選擇他們想要的演算法。
這真的是雙因素驗證嗎？
在3.0版本之前，此外掛具有“類似”雙因素驗證的功能，其中 OTP 會傳送到電子郵件地址。
自3.0版本以來，如果您啟用了第三方應用程式傳送類型，您可以擁有真正的雙向驗證。
Re

外掛標籤

開發者團隊

原文外掛簡介

Secure WordPress login with this two factor auth. Users will have to enter an One Time Password when they log in.
Why You Need This
Users can have common or weak passwords that lets hackers/bots brute-force your WordPress site and gain access to your files and place malware there.
Just like happend not that long ago: Article on TechCrunch
If all sites would have used this plugin, this would never happend.
It doesn’t matter how weak your users passwords are, no one can gain access to your WordPress site
without already having access to the users mobile phone or email inbox (depending on how the user gets his OTP).
How Does It Work?
This plugin uses the industry standard algorithm TOTP or HOTP for creating One Time Passwords.
A OTP is valid for a certain time and after that a new code has to be entered.
You can now choose to use third party apps like Google Authenticator which is available for most mobile platforms. You can really use any
third party app that supports TOTP/HOTP that generates 6 digits OTP’s.
Or, as before, you can choose to get your One Time Passwords by email.
Since you have to enter a secret code to third party apps, email is the default way of delivering One Time Passwords. Your
users will have to activate delivery by third party apps themselves.
Easy To Use
Just install this plugin and you’re all set. There’s really nothing more to it.
If you want to use a third party app, goto Two Factor Auth in the admin menu and activate it and set up your app.
General settings can be found uner Settings -> Two Factor Auth in admin menu. Settings for each individual user
can be found at the root level of the admin menu, in Two Factor Auth.
A bit more work to get logged in, but a whole lot more secure!
If you use WooCommerce or other plugins that make custom login forms, you will not be able to login through those anymore.
I will be adding a plugin that puts a One Time Password field to WooCommerce. If you use some other plugin that needs
support for this, let me know in the support forum.
TOTP or HOTP
Which algorithm you and your users choose doesn’t really matter. The time based TOTP is a bit more secure since a One Time
Password is valid only for a certain amount of time. But this requires the server time to be in sync the clients time (if
the OTP isn’t delivered by email). This is often hard to do with embedded clients and the event based HOTP is then a better choice.
If you have a somewhat slow email server and have chosen email delivery, you might not get the TOTP in time.
Conslusion: Choose which ever you want. TOTP is a little bit safer since OTP:s only are valid for a short period.
Note that email delivery users always uses the site default algorithm, which you can set on the settings page. Third party
apps users can choose which one they want.
Is this really Two Factor Auth?
Before version 3.0 this plugin had ‘kind of’ two factor auth where the OTP was delivered to an email address.
Since version 3.0 you can have real two factor auth if you activate the Third Party Apps delivery type.
Read more about what two factor auth means >>.
See http://oskarhane.com/plugin-two-factor-auth-for-wordpress/ for more info.

延伸相關外掛

authLdap使用現有的 LDAP 作為 WordPress 的身份驗證後端！ 那麼，這...WP BASIC Auth啟用這個外掛可以讓您使用 WordPress 的使用者名稱和密碼在您...WP Cron HTTP Auth這個外掛可在使用 HTTP 授權的網站上啟用 WP Cron。 使用方式...WP Cassify如果您對這個外掛程式很滿意： 作為我的努力報酬，我希望能夠...Site PIN當一個網站正在開發階段，或者其內容需要保密時，您希望防止...InstallActivateGo Remember Me重要提醒：支援已經轉移到ZATZLabs網站，將不再提供在WordPre...HTTP Basic Auth這個外掛可以使用基本認證（Basic Auth）來保護您的 WordPres...Wp AuthWP Auth是一組工具，讓您的網站更適合新使用者的需求。它包含...VA Simple Basic Auth這個外掛非常簡單。 只需啟用外掛，即可設置基本驗證到儀表板...Password Protect Staging啟用此外掛以後，透過 WP 後台設置使用者名稱和密碼，使用者...MW Auth這個外掛只允許已驗證的使用者登入 WordPress。 訂閱者無法...Frontend HTTP Auth ProtectionFrontend HTTP Authentication Protection（前端 HTTP 身份驗...WP Similar Basic Auth攻擊者想要突破 WordPress 管理員頁面。基本身分驗證可幫助預...IP Dependent Cookies每次您登入 WordPress 網站時，系統會建立一個會話 cookie，...HTTP Authentication By KIMoFyHTTP Authentication 外掛允許您使用現有的身份驗證方式來認...