[WP外掛]利用Google Authenticator加強WordPress安全性

8 / 29, 2012 Google , Wordpress , 外掛 , 架站軟體 , 網站優化 , 網路安全

雖然wp本身已經有很好的安全性,實在不用修補什麼,不過如果還是會怕怕的,除了把密碼改的更強以外,還有一招,利用Google Authenticator手機驗證功能,要登入之前,除了要輸入帳密以外,還要到手機收驗證碼,沒手機就別想登入


**依照Ramma.net通知及小弟測試,一旦啟用此功能,將無法使用Wordpress for iOS/Android等行動版登入,因為行動版無法輸入Google Authenticator驗證碼而導致Google Authenticator欄位空白驗證失敗**
http://wordpress.org/extend/plugins/google-authenticator/
安裝後到「帳號->個人資訊」,找到Google Authenticator Settings,把Active打勾
如果等一下不想打字,可以按「Show/Hide QR code」,專屬的QR Code就會出現
google authenticator設定
註:詳細設定教學在文章最下方
接著拿起手機,安裝Google Authenticator
App Store:http://itunes.apple.com/tw/app/google-authenticator/id388497605?l=zh&mt=8
Google Play Store:https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
新增一個帳戶,建議選「掃描條碼」,不然會打字打到死(本文已掃描條碼為例)
google authenticator新增帳號
註:如果無法正常開啟相機功能,請安裝goggles
看到相機功能之後,拍一下剛剛出現的QR code

接著就會看到一連串的數字
google authenticator手機驗證
當有人要登入時,必須在Google Authenticator(密碼欄位下面)輸入出現在手機上面的數字,不對就進不去(除非那個帳號沒有開啟此功能,如果未開啟,該欄位留白就好)
google authenticator登入介面


詳細設定教學
Relaxed mode:如果沒開啟,當手機更新數字後,舊數字會馬上失效,如果有開啟,四分鐘內出現過的數字都有效(此方法可能會降低安全性,但是建議開啟)
Description:出現在Google Authenticator中的帳號名稱
Secret:把帳號輸入到手機時的代碼及QR code
Enable App password:這一般來說不會用到


以下是當遇到緊急事件卻沒手機時的方法
1.連上ftp
2.到wp-content把google authenticator資料夾刪除
3.回到登入頁面,直接輸入帳密就可以登入