WordPress 后台登录已经是一个很严峻的问题了,很多人已经修改了后台登陆地址,同样的,不少人也害怕别人找到了后台登录地址之后破解登陆,但是最重要的还是密码安全。抛开密码安全不算,两步验证是目前比较容易接受并且相对安全的方法,今天介绍的就是实现这样功能的插件 Google Authenticator。
Google Authenticator 下载
Google Authenticator 的设置
至于如何下载和安装,这里就不在赘述了。安装并启用插件后可以看到一段说明:使用 Android/iPhone/Blackberry 一次性密码生成应用为 WordPress 提供两步验证,所以切记先行在手机上安装 Google 身份验证器,成功后再安装和设置 Google Authenticator 插件。
接着点击后台右上角的“编辑我的个人资料”进行 Google Authenticator 设置:
- 启用:这个就不用多说了,直接勾选即可。
- 宽松模式:勾选后可以有更长时间输入验证码,一般情况下不需要勾选。
- 描述:在 Google Authenticator 应用中显示的帐户描述,建议输入自己的域名,如 boke112,这个在手机的 Google 身份验证器要用到。
- 密钥:点击『创建新密钥』按钮即可变更密钥(PS:这个在手机的 Google 身份验证器要用到,所以可以先行记录下来),点击『显示/隐藏 QR 码』即可看到二维码,此二维码需要使用 Google Authenticator 应用扫描才行。
- 启用应用专用密码:启用应用专用密码将会在总体上降低登录的安全性,所以不建议启用。如果要启用,在创建新密码的时候一定要记录下来,因为密码不是明文存储,所以这是你唯一一次看见密码。PS:boke112 在测试中没发现这个有什么用。
PS:这个描述和密钥一定要记住,或者下载这个二维码下来,因为手机端安装 Google 身份验证器应用的时候,需要用到这个描述和密钥,或者扫描二维码从而获取 WordPress 后台登录所需的 Google Authenticator 验证码。
最后点击『更新个人资料』后,我们的后台登录界面就会多出一个选项:Google Authenticator 验证码。
经过 boke112 的测试,在不输入 Google Authenticator 验证码的情况下点击『登陆』按钮将会显示“Google Authenticator 验证码有误或者已经失效。”的错误提示。
PS:万一真的无法获取到 Google Authenticator 验证码导致无法登录后台,可通过 FTP 将 wp-content/plugins/google-authenticator 文件夹改名或删除即可正常登录。
由于 boke112 的手机上无法安装最新版 Google 身份验证器,所以一直都无法正常登录,安卓机上搜索到的 Google 身份验证器版本都是低版本,使用的时候会显示“我们将不再支持此版本的 Google 身份验证器”的警告提示,所以这里就无法教大家如何设置了,具体请移步 WordPress 大学的《使用 Google Authenticator 实现 WordPress 多步验证登录》这篇文章学习。
如果手机上无法安装最新版 Google 身份验证器,但是又想使用谷歌的这个二次验证,最后只能在谷歌浏览器上安装一个 GAuth Authenticator 拓展程序来取代 Google 身份验证器。
添加好这个程序后,点击右上角的那个“G”标志,然后添加新账号,输入我们在 WordPress 后台个人资料所得的描述(其实就是账号,如 boke112)和密钥,然后点击【Add】按钮即可。
账号和密钥都正确后,就可以直接看到我们所需要的 Google Authenticator 验证码(这个验证码是实时变化的),根据这个验证码再次登录 WordPress 后台时就能成功了。
如果你手机上真的无法安装最新版 Google 身份验证器又想使用谷歌的这个二次验证,可以试试这个添加插件到浏览器的方法,不过这个也是必须处于帆樯状态才行,要不然还是白搭,而且这种方法肯定没有手机上安装 Google 身份验证器来得安全和方便。
桂公网安备 45010502000016号