密码之外：一起聊聊二步认证（2FA）的必要性和重要性

如果您有一个网站，您就有责任保护您的数据以及用户和客户的数据。虽然密码是传统的第一道防线，但仅靠密码往往是不够的。

随着数据泄露的报道越来越多，人们对隐私的关注也越来越高，安全已成为许多企业的差异化因素。注重安全向用户发出的信号是，你非常重视保护他们的数据。这就是为什么双因子（二步）身份验证（2FA）超越了密码，成为安全策略的重要组成部分。

让我们来详细了解一下什么是 2FA，以及为什么要采用它。

了解基础知识： 什么是多因子身份验证和2FA？

多因子身份验证（MFA）要求试图访问网站、应用程序或在线账户等资源的用户提供两个或多个验证因素。MFA 不仅要求用户提供自己知道的信息（如密码），还要求用户通过其他通信渠道、生物识别技术或安全密钥等物理设备做出响应。

2FA 是最常见的 MFA 形式，需要两个不同的验证因素。最常见的方法是先输入密码，然后进行二次确认，通常使用以下方式之一：

• 通过短信发送的验证码
• 通过电子邮件发送的代码
• 验证程序中显示的代码
• 使用指纹或面部识别的生物特征数据
• 物理设备，如 USB 安全钥匙

通过实施这一额外的安全层，即使密码被泄露，未经授权访问的风险也会降低。

仅凭密码进行身份验证的问题

自计算机诞生以来，密码一直是主要的身份验证方法。然而，由于以下几个原因，密码变得越来越脆弱：

密码重复使用和薄弱环节

尽管一再发出警告，但用户的密码卫生状况仍然很差：

• 使用简单易猜的密码
• 在多个网站上重复使用同一个密码
• 很少更改密码
• 把密码写在容易找到的地方

Ponemon 研究所的研究人员发现，即使是 IT 安全专业人员也经常在工作和个人账户中使用相同的密码，当一个账户被泄露时，就会产生危险的多米诺骨牌效应。

数据泄露和凭证填充

备受瞩目的数据泄露事件暴露了数十亿个凭证。黑客在“凭证填充”攻击中使用这些泄露的用户名和密码组合，在多个网站上自动尝试使用。

根据 WordPress 安全插件制造商最新发布的《漏洞和威胁报告》（PDF），2024 年 Wordfence 共阻止了超过 550 亿次密码黑客尝试。这些攻击以 WordPress 登录页面为目标，进行凭证填充、暴力攻击和其他与密码相关的漏洞利用。

密码漏洞的真实案例

Dropbox 漏洞：2016 年，Dropbox 证实发生了一起长达四年的漏洞事件，暴露了 6800 多万用户的凭据。这次攻击源于一名员工密码被盗，黑客因此得以访问包含用户凭证的项目文档。

WordPress VIP Go 平台攻击：2019 年，WordPress VIP Go 平台遭遇了一次重大攻击，黑客试图使用窃取的凭据访问管理账户。WordPress.com VIP 被迫重置所有密码，并要求所有用户使用 2FA。

2FA在虚拟主机控制面板中的关键作用

您的 WordPress 网站的安全性取决于它所处的主机环境。像 cPanel、Plesk 或宝塔控制面板这样的虚拟主机控制面板是攻击者的主要目标，因为它们提供了对您所有网站和域的全面访问。

为什么要确保控制面板访问的安全性？

当攻击者访问您的主机控制面板时，他们可以

• 访问和修改所有网站文件
• 创建或删除电子邮件账户
• 安装恶意脚本
• 为网站添加后门
• 下载包含敏感用户信息的完整数据库
• 将您的域名重定向到恶意网站
• 利用您的服务器进行网络钓鱼活动或分发恶意软件

许多主要托管服务提供商都报告了越来越多的试图入侵 cPanel 账户的行为。2022 年，Hostinger 记录的未经授权访问客户控制面板的尝试比前一年增加了 43%。

在托管账户上实施2FA

大多数知名的托管服务提供商现在都为其控制面板提供内置的 2FA 选项：

• cPanel：cPanel 提供本地 2FA，支持认证应用程序和硬件安全密钥。
• Plesk：Plesk 通过 Plesk 扩展提供双因素身份验证。
• 宝塔：宝塔支持通过手机短信以实现二步认证。

在 Linode 登录和认证中启用 2FA。

其他主要主机提供商：

• Bluehost 通过 Google Authenticator 提供 2FA
• SiteGround 通过其网站工具提供专有的 2FA 功能
• WP Engine 为所有用户门户登录提供 2FA 保护
• 国内大部分云服务器提供商采用短信或者 APP 扫码来提供 2FA

如果您的托管服务提供商不为控制面板访问提供 MFA 保护，则应将此视为重大安全隐患，可能需要更换托管服务提供商。

在WordPress网站管理中实施2FA的好处

以下是将 2FA 作为安全协议一部分的四个充分理由：

1. 大大降低未经授权访问的风险

启用 2FA 后，即使攻击者掌握了您的密码，他们仍然需要第二个因素（通常是您的智能手机）才能访问。据微软称，受 MFA 保护的账户可阻止 99.9% 的自动攻击。

2. 防范网络钓鱼攻击

网络钓鱼攻击可能会诱骗用户泄露密码，但大多数 2FA 方法都能抵御这些攻击，因为第二个因素会不断变化或物理分离。

3. 符合行业标准

许多行业的法规都要求处理敏感数据的系统具有更强的身份验证功能：

• 针对处理信用卡的电子商务网站的 PCI DSS
• 针对医疗保健相关信息的 HIPAA
• 要求采取适当安全措施的 GDPR 和其他隐私法规

4. 提高客户信任度

显示您的网站使用了 2FA 等先进的安全措施，有助于建立客户信心，尤其是对于用户共享个人信息的电子商务网站或会员制平台。

顶级WordPress 2FA插件

使用这些插件，您可以真正控制 WordPress 上的 2FA：

1. Two-Factor

Two-Factor 是一款由 WordPress.org 团队开发和维护的免费插件，因此非常值得信赖。

主要功能

• 支持多种 2FA 方法（验证器应用程序、电子邮件、备份代码）
• 设置过程简单
• 定期更新和兼容性测试
• 对性能影响最小

最适合：正在寻找由 WordPress 核心团队提供支持的简单、可靠解决方案的网站。

2. Wordfence Security

Wordfence Security 是一款全面的安全插件，其众多功能中包括 2FA。

主要功能

• 手机登录（通过短信 2FA）
• TOTP（基于时间的一次性密码）验证
• 与完整的安全套件集成，包括防火墙和恶意软件扫描
• 详细的登录尝试日志

最适合：希望将 2FA 作为更广泛安全解决方案一部分的网站。

3. MiniOrange 2-Factor Authentication

MiniOrange 2-Factor Authentication 是一款功能丰富的 2FA 插件，可提供多种身份验证方法。

主要功能

• 多种身份验证方法（Google Authenticator、短信、电子邮件、硬件令牌）
• 基于角色的 2FA（仅对管理员、编辑等强制执行）
• 登录后自定义重定向
• 可信设备管理

最适合：需要灵活的 2FA 部署选项和多种验证方法的网站。

4. WP 2FA

另一个用户友好型 2FA 解决方案是 WP 2FA，它专注于提供强大的双因素身份验证。

主要特点

• 为指定用户角色强制执行 2FA
• 2FA 设置宽限期
• 主 2FA 不可用时的备份方法
• 为机构和开发人员提供白标选项

最适合：客户网站和多用户 WordPress 安装，强制执行 2FA 合规性至关重要。

实施最佳实践

在 WordPress 网站上添加 2FA 时，请遵循以下最佳实践：

1. 从管理员账户开始

首先为管理员账户启用 2FA，因为这些账户一旦泄露，风险最高。

制定分阶段推广计划

对于有多个用户的网站：

• 宣布即将推出的安全增强功能
• 提供清晰的设置说明
• 考虑为用户启用 2FA 设置宽限期
• 逐步强制不同用户角色启用 2FA

提供恢复选项

确保配置备份代码或其他恢复方法，以防主要的第二个因素丢失或不可用。

全面测试

在全面部署之前，在不同设备和场景中测试 2FA 的实施情况，确保用户体验顺畅。

记录流程

为管理员和用户创建文档，说明

• 如何设置 2FA
• 如果他们失去了对身份验证设备的访问权限该怎么办
• 2FA 问题支持联系信息

关于2FA的常见问题和误解

对我的用户来说太复杂

现代 2FA 解决方案越来越方便用户使用。大多数用户已经通过银行应用程序和社交媒体账户熟悉了 2FA。此外，您可以从仅对管理角色要求 2FA，而对用户保持可选性开始。

这会造成登录问题

虽然任何安全措施都会给登录过程带来一些小麻烦，但这些麻烦都会被显著的安全优势所抵消。大多数身份验证应用程序都能快速、直接地使用。

我的网站太小，不会成为攻击目标

小型网站之所以成为攻击目标，是因为它们的安全性较弱。自动机器人不会因为网站规模而区别对待–它们会寻找漏洞。

2023 年 ITRC 商业影响报告显示，73% 的中小企业在过去一年中遭遇过网络攻击、数据泄露或两者兼有。

超越WordPress：保护您的整个数字存在

虽然使用 2FA 确保 WordPress 网站的安全至关重要，但请记住，全面的安全方法包括

尽可能在所有地方实施2FA

将 2FA 保护扩展到与网站连接的所有服务：

• 电子邮件账户（尤其是用于 WordPress 管理的账户）
• FTP/SFTP 访问
• 数据库管理工具
• CDN 和性能优化服务
• 域名注册商账户

定期安全审计

安排定期安全审计，以便在潜在漏洞被利用之前加以识别和解决。

员工培训

确保团队中的每个人都了解安全最佳实践以及遵循正确身份验证协议的重要性。

小结

为您的主机控制面板和 WordPress 网站实施多因素身份验证是最有效的安全措施之一。只需投入极少的时间和资源来设置 2FA，就能在防范最常见的攻击载体方面获得指数级的回报。

由于 WordPress 支持互联网上近 40% 的网站，因此它仍然是攻击者的主要目标。通过对 WordPress 管理访问和主机仪表盘采用这种简单的安全层，您可以大大降低风险，并表明您致力于保护您和您用户的数据。

在网络安全威胁不断变化的情况下，2FA 已经从一个“很好拥有”的功能转变为任何严肃的 WordPress 安全战略的重要组成部分。