通过google authenticator可使wordpress在登录后台时要求输入动态密码进行验证,降低被暴力破解的概率。
google authenticator工作原理是服务器上生成一组字母和数字混合的字符串作为种子,服务器和手机令牌都通过这个种子及当前时间计算动态密码。如果时间一致,则动态密码一致。使用google authenticator需使手机和服务器保持严格的时间同步,使用外国服务器需确定系统/php/mysql时区与手机是否一致,否则会出现密码正确但不能登陆的问题。
在手机上,是下面的样子,APP store输入google authenticator即可下载,没有安卓手机,将只在iphone上演示。
1,手机安装google authenticator,待用。
2,登录到博客后台,安装google authenticator插件,并启用之。
3,用户–>我的个人资料中勾选启用,点击创建新密钥,生成一组16位混合字母和数字的字符串,这里作为种子。如需使用api发稿,需勾选启用应用专用密码将在总体上降低登录的安全性选项,并点击创建新密码生成一组16位混合字幕和数字的专用密码,注意,此密码需要记录,只显示一次就再也无法看到。
也可生成二维码,通过手机扫描。
完成后点击更新个人资料,保存。
4,完成后不要退出后台,打开手机上的google authenticator,点击右上角+,选择手动输入验证码,账号随意填写只作为区分账号的标签使用,密钥填写第三步生成的密钥,勾选基于时间。
如果第三步使用二维码,可选择扫描二维码进行种子同步。
5,保存后即可看到生成的动态密码。退出后台,再次登录,页面上将在密码下方出现动态密码框,输入验证器生成的动态密码之后才可登录,否则即使用户名密码正确也无法登陆。
如需停止动态密码登录,需进行下列操作,注意两步有严格顺序,出错将会导致wordpress不能登陆:
6,停用并卸载在google authenticator插件。
7,删除手机上的google authenticator应用。
如果手机遗失或其它原因更换设备,在新手机上重复1,4两步就能恢复。由于新旧手机使用的种子是同一个种子,依旧会带来盗用风险,请重新生成种子。
附:google authenticator插件下载。
本文链接地址: https://danteng.org/wordpress-google-authenticator-2fa-login/