这周关于一个推荐插件的帖子实际上是一个二合一的插件,我们也宣布了一个新的,免费的插件,应该对每个人都有用。这是我们刚刚在wordpress.org上发布的一个新的双因素认证插件。什么是双因素身份验证(TFA)?维基百科的文章在这里…但基本上,它是关于保护你的登录,这样在一个不受欢迎的入侵者进入你的网站之前,链上不止一个环节需要被打破。默认情况下,你的WordPress账户只受一个东西的保护:你的密码。如果它坏了,那一切都敞开了。
这真的很重要吗?
与其让我喋喋不休,不如读读这个:https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/攻击者要抹去他的数字生活,容易得可怕,不是吗?“WordPress解决方案”
在WordPress上有各种各样的解决方案来保护您的登录。它们都是关于降低百分比——最小化风险。任何降低这个百分比的东西都是有价值的。一个很有帮助的插件是之前推荐的,BruteProtect,它可以使用云的力量阻止任何来自已知的错误IP地址的登录。在我个人看来,其他的则没有那么有用,比如在登录表单中添加验证码,或者让访问者回答一个数学问题。每一点都有帮助,但其中一些只会在攻击者准备好工具之前起作用,然后你又回到原点。从某种程度上说,我们总是在进行军备竞赛。但真正的“双因素”安全是完全增加另一层:不只是不方便,不只是需要工具,或从一个新的IP地址攻击,而是攻击者无法拥有的东西。“双因素”最流行的形式是某种类型的安全令牌(通常是6个数字),它被交付到您拥有的设备….这只会持续很短的时间(例如30秒-之后,设备将显示一个新的代码)。当插件处于活动状态时,合法登录的唯一方法就是物理上获得安全令牌或手机(以及知道密码)。我们不满足于现有的解决方案,现在有一些不错的双因素WordPress插件。我们已经使用并推荐了一些。然而,它们都没有达到我们想要的所有最佳点:
保护WooCommerce的登录表单和WordPress仪表板的登录表单。(不支持此表单的插件将以以下两种方式之一失败:要么没有有效的双因素认证,要么不允许任何人登录)。允许某个级别的每个用户(例如管理员、编辑器、普通用户)自行决定是否启用双因素身份验证。允许用户在网站的前端配置TFA -即不需要他们能够看到WordPress仪表板支持标准协议,允许任何TFA应用程序使用(例如谷歌Authenticator, Authy,甚至…是的!为我心爱的诺基亚开发的应用程序)。按照WordPress的标准实践(包括安全机制)编写良好的代码。你会惊讶地发现,找到不这样做的“安全”WP插件是多么容易。(错误是一回事——我们都会犯错误……但根本不使用机制……那简直是疯了)。所以我们制作了自己的
那么,该怎么办呢?因为这是WordPress,加上开源的神奇之处,我们分叉了一个足够体面的,并制作了我们自己的。
这就是”双因素认证”在wordpress.org目录上免费我们希望你喜欢它-它刚刚推出。我们把它推荐给你们大家;没有理由不锁定你的网站,在我们看来,TFA + BruteProtect是在2015年做到这一点的最佳直接方式。哦,你现在可能已经猜到这是怎么回事了。Updra将为客户提供双因素认证ftPlus.Com !
David Anderson (UpdraftPlus创始人、首席开发者)。