给网站登陆加上两步验证

我居然给我这个每天访问人数不到2位数的网站加上了两步验证!这你敢信?

近年来,我吃饱了没事干,不断增强我这个日活用户就我自己一人的网站的安全性。除了在第一时间升级wordpress到最新版本外,我还将网站的默认传输协议由http改为了https,并不断演练网站的灾难恢复

这还不够,为了不断给自己添麻烦,我终于给这个破网站加上了登录两步验证的强制要求。那问题来了:

什么是两步验证?

最常见的两步验证就是你用网银付款时,除了输入密码,还需要输入你收到短信中的验证码。支付密码是第一步验证,短信中的验证码是第二步验证,合在一起就是两步验证。

为什么要在网站上应用两步验证来登陆呢?

对于大型网站来说两步验证能大幅提高账号的安全性,密码很容易被偷看到,哪怕你的密码再复杂也有可能被木马软件记录下来。两步验证就不同了,其中的第二步通常是一次性的验证码,并和你的移动设备绑定,很难泄露。

对于我这个网站来说,这纯粹是吃饱了撑的,我这网站十年里就我自己这一个活人登录过。

那要怎么在一个基于wordpress的网站上加上两步验证呢?

非常简单,安装两步验证的插件,而且还有很多插件可供选择。在wordpress网站上以“2 step verification” 或 “ Two Factor Authentication” 为关键字搜下插件,每个都能找到上百个相关插件。

其中,比较流行的有下面几个:

我选用了最后一个Duo 2FA,Why?

最主要的,也有可能是唯一的原因是:我的工作单位已经用了Duo 2FA来两步验证公司的VPN服务,我几年前就在手机上安装了Duo mobile。简单说就是已经用习惯了。要说缺点,Duo 2FA的免费服务只支持10个用户。10个呢,我就1个人用,所以也够够的了。

安装了这个插件,你登陆时输入用户和密码后,登录页面会跳出下面这个窗口

这时你可以选择通过手机上的Duo Mobile确认,电话确认或者收到的短信验证码确认。我一般电话,总收到国外来电,是不是觉得档次一下就上去了。

发表评论

电子邮件地址不会被公开。