如何在Ubuntu 14.04上使用双因素身份验证保护您的WordPress帐户登录

介绍

安全性是运行WordPress网站最重要的方面之一。我们中的许多人都倾向于认为黑客不会打扰我们的网站，但实际上，未经授权的登录尝试是在公共互联网上运行服务器的常见部分。

在本教程中，我们将学习如何在WordPress中为登录过程添加额外的安全层：双因素身份验证。这是网络安全领域最重要的发展之一。

登录站点或系统时，双因素身份验证或“2FA”包含两个步骤：

1. 您的用户名和密码
2. 随机生成的，时间相关的代码（即代码在固定的持续时间后到期）称为一次性密码（OTP）

您可以通过多种方式访问OTP：

• 短信
• 电话
• 电子邮件
• 离线，通过移动应用程序

虽然银行和交易账户等高风险系统使用SMS交付进行敏感交易，但我们将使用离线模式生成OTP。使用移动应用程序是免费的，可在高可用性，实施成本和易用性之间实现最佳平衡。

目标

安装并启用双因素身份验证后，WordPress将具有更安全的登录过程。

除了输入用户名和密码登录外，您还需要输入移动应用程序生成的密码。这意味着即使您的WordPress凭据遭到破坏，黑客也无法在没有您的手机的情况下登录WordPress。

在本教程结束时，我们还将介绍一种防故障恢复技术，以防您丢失手机。让我们开始！

准备

• 一台已经设置好可以使用sudo命令的非root账号的Ubuntu服务器，并且已开启防火墙。没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。
• 使用Nginx重新安装WordPress，这也需要读者安装LEMP。

第1步 - 安装Google身份验证器插件

在此步骤中，我们将为WordPress网站安装Google身份验证器插件。

安装插件的最简单方法是通过WordPress仪表板。立即登录您的WordPress仪表板。

按照下面提到的步骤顺利安装：

• 在仪表板中，转到“ 插件”>“添加新”
• 在“ 搜索”字段中，键入google authenticator
• 这将加载几个与查询名称匹配的插件
• 安装所谓的插件谷歌身份验证由亨里克·沙克
• 安装完成后，选择Activate Plugin链接

注意：如果这是您第一次为此WordPress实例安装插件，则可能必须输入SSH凭据。输入您的Linux sudo用户用户名和密码（或为了更高的安全性，上传公钥），然后选择SSH2选项。

（可选）手动安装插件

或者，您也可以手动下载插件并激活它。我们在下面介绍这些步骤。

登录您的腾讯云CVM并导航到您的plugins目录：

cd /var/www/html/wp-content/plugins/

注意：在本教程中，该安装程序在/var/www/html/目录中安装WordPress 。如果您使用的是其他设置，请确保输入安装WordPress的正确目录。

接下来，我们从WordPress存储库下载插件：

wget https://downloads.wordpress.org/plugin/google-authenticator.0.47.zip

注意：在撰写本文时，最新版本的Google身份验证器插件版本为0.47。请确保安装最新版本。

第2步 - 下载FreeOTP应用程序

在此步骤中，我们将在移动设备上下载并安装FreeOTP应用程序。

FreeOTP是一个开源应用程序，支持具有一次性密码协议的系统的双因素身份验证。换句话说，它是Google身份验证器的替代品。我们将使用此应用程序生成我们的一次性密码以登录我们的WordPress网站。

FreeOTP由RedHat赞助，拥有适用于Android和iOS的应用程序。以下是获取应用程序及其官方项目的链接。

• Google Play商店
• iTunes商店
• 官方项目网站

第3步 - 激活您的个人资料的Authenticator插件

在这一步中，我们将激活管理WordPress配置文件的WordPress插件，并将其配置为与我们的FreeOTP应用程序一起使用。

在WordPress仪表板中，转到用户>您的个人资料下的“ 个人资料”页面。找到名为Google身份验证器设置的子部分。

我们来看看插件的各种配置选项：

• 活动：选中此框以激活插件
• 放松：这会将进入OTP的时间限制从10秒增加到4分钟。如果您在分配的时间内复制OTP时遇到问题，请启用此选项
• 描述：输入名称（最好是您的博客名称）。此值将显示在移动设备上的FreeOTP应用程序中
• 显示/隐藏QR码：单击此按钮显示QR码

连接FreeOTP应用程序

在手机或平板电脑上启动FreeOTP应用。

单击应用程序中的小QR码图标。按住手机扫描WordPress中的二维码，该二维码现在应该显示在您的计算机屏幕上。

您应该立即在FreeOTP中看到一个指定为WordPress的条目，其中包含您在其下方描述中输入的文本。这表示我们已成功将WordPress网站链接到FreeOTP应用程序。

保存更改：最后，我们必须保存到目前为止所做的更改。在WordPress中，滚动到页面底部，然后单击“ 更新配置文件”按钮。

第4步 - 测试登录

在此步骤中，我们将验证是否启用了双因素身份验证。

退出WordPress网站并尝试重新登录。您应该会看到相同的登录屏幕，以及Google身份验证器代码输入框。

在您的移动设备上启动FreeOTP应用。单击WordPress按钮以生成新的一次性密码。

在输入框中键入该值。您应该能够登录WordPress。

为其他用户启用双因素身份验证

您可以（并且应该）为有权访问WordPress安装的其他用户启用双因素身份验证。设置它们时，确保它们在自己的移动设备上安装FreeOTP时非常方便！

帐户恢复

如果您丢失了手机，那么您将被锁定在WordPress网站之外。这是实施双因素身份验证的主要缺点。值得庆幸的是，我们对这种情况有一个非常简单的解决方法。

您所要做的就是禁用Google身份验证器插件。

启动DigitalOcean Droplet的shell并导航到该plugins目录。

cd /var/www/html/wp-content/plugins/

将google-authenticator文件夹重命名为其他内容。

mv 'google-authenticator' 'deactivate-plug-google-authenticator'

这会停用插件，因为WordPress将无法找到插件的工作目录。

接下来，像往常一样登录您的WordPress帐户。这次，它不会要求额外的令牌，只需要你的普通密码。

一旦您可以访问WordPress管理员仪表板，并恢复旧设备或获得安装了FreeOTP的新设备，您需要启用插件增益。从Droplet的shell中，使用以下命令：

mv 'deactivate-plug-google-authenticator' 'google-authenticator'

如果您使用的是旧设备，那应该就是您所需要的。您可以再次按照步骤4来测试登录过程。或者您可能需要转到WP Dashboard> Plugins> Installed Plugins并再次激活Google Authenticator插件。

转到用户个人资料，在用户>您的个人资料下，找到Google身份验证器设置子部分。

如果您这次使用新设备，请单击“ 创建新密码”。生成新的QR码，旧的QR码无效。扫描新设备上的新QR码。这与我们激活双因素身份验证并连接FreeOTP应用程序时所做的相同，如步骤3所示。

或者，您可以禁用双因素身份验证，直到找到您的设备。选择适当的选项后，请确保通过单击“ 更新配置文件”按钮保存更改。

结论

集成双因素身份验证是提高WordPress站点安全性的重要一步。现在，即使攻击者获得了您的帐户凭据，他们也无法在没有OTP代码的情况下登录您的帐户！当您找不到手机时，灾难恢复技术很有用。

WordPress管理员应该采取哪些其他安全措施？在下面的评论中分享您的想法！

更多Linux教程请前往腾讯云+社区学习更多知识。

参考文献：《How To Protect Your WordPress Account Login with Two-Factor Authentication on Ubuntu 14.04》