WordPress核心没有内置双因素身份验证。但是如果您在WordPress二次开发中需要这样的应用程序,双因素身份验证是您使用WordPress插件(有时是外部插件)添加到您的站点的额外安全层服务)。换句话说,它建立在默认WordPress安装的核心用户帐户功能之上。2FA使您的WordPress站点不仅需要密码,还需要额外的信息来验证您的每个用户每次尝试登录时的身份。2FA验证来自授权站点用户可以访问的来源,例如:l短信、电话或推送到他们手机的通知l通过电子邮件发送链接或代码lQR码双因素身份验证非常安全。恶意攻击者和黑客失去了对用户外部渠道和设备的物理访问权限。这意味着即使他们能够破解密码,如果没有第二层身份验证,他们仍然无法未经授权访问您的网站。要破解用户密码,他们还需要破解用户的电子邮件、计算机或电话。这可能会发生,但与每天测试数百万个密码的脚本暴力攻击相比极为罕见。WordPress网站开发是否需要2FA?运行双因素身份验证将阻止在线世界中的许多不良行为者甚至试图未经授权访问您的网站。虽然不是绝对必要,但谁不需要那种保护和安心呢?如果您的WordPress网站曾被黑客入侵或听说有人被黑客入侵,您就会知道垃圾链接、重定向和恶意代码的传播速度有多快。代码可能会对您的声誉造成立即且无法弥补的损害。更糟糕的是,如果您使用WooCommerce运行电子商务网站,黑客可能会访问客户数据,例如姓名、地址、电话号码、电子邮件地址,甚至信用卡号码。如果发生这种情况,你将很难摆脱困境。WordPress2FA是第二道防线,可以将坏人拒之门外,同时确保即使密码被泄露,只要第二层保护仍然是黑客牢不可破的锁,帐户仍然安全。作为WordPress网站所有者,请知道双因素身份验证功能是100%选择加入的。由于它不是核心功能,您只需选择在您的网站上实施它。它是完全免费的,并增加了一个几乎牢不可破的保护层,减轻了许多对黑客和攻击的担忧。话虽如此,2FA是一种无需动脑筋的WordPress站点安全方法,如果每个人还没有使用它,都应该使用它,或者是一种使用密钥而不是密码的更强大、更安全的登录方法。2FA对多用户WordPress网站的好处在标准的、未修改的WordPress登录页面上,您和您的用户只需输入用户名和密码即可访问该网站。提交登录凭据后,如果用户名和密码组合与WordPress数据库中的相匹配,用户将立即获得WordPress后端的访问权限以及基于您应用的权限规则的任何权限。WordPress有六个预定义的用户角色:SuperAdminAdministrativeEditorAuthorContributorSubscriber默认情况下,允许这些角色在您的站点上执行一组特定的任务。角色可以执行的任务称为“能力”。您的大多数标准站点用户可能都是订阅者角色,该角色的功能最少。但是,您可能有其他管理员、编辑和作者会定期访问您网站的后端。有些用户可能对密码草率,他们可能共享帐户,有些拥有特殊权限的用户可能会在您不知情的情况下将权限授予其他用户。当用户不再活跃或不再需要时,您可能会忘记删除用户或降级他们的权限。所有这些情况都很常见,并为攻击者创造了机会。如果黑客只知道其中一个管理员用户名和密码,他们将立即拥有对您整个网站的完全访问权限。显然,这很糟糕,但您也不希望您的订阅者被黑。即使在那种情况下,您也必须举报违规行为,这会损害用户对您和您品牌的信任。
