使用 Web 身份验证保护 WordPress 登录的终极指南（免费！）

fabiha01

Defender 为您提供最佳的 WordPress 插件安全性，包括生物识别和 USB 安全密钥身份验证！
横幅图像
Defender实施双角色身份验证（2FA）、指纹/人脸识别和外部硬件安全密钥，以增强WordPress安全性！

越来越明显的是，严格依赖用户名和密码进行登录不再能提供最高级别的安全性。

WPMU DEV 解决此问题的方案是使用WebAuthn标准，该标准通过提供公钥加密协议作为登录身份验证方法来绕过漏洞。

Defender免费版和专业版均允许您充分利用Web身份验证；提供通过生物识别（面部或指纹识别）或USB安全密钥（如YubiKey）验证用户登录真实性的能力。

这些 Web 身份验证方法的使用类似于 Defender 中已有的 2FA 方法，以及现有的 TOTP（基于时间的一次性补充）、备份代码和后备电子邮件身份验证方法。

在本文中，我们将研究如何实现 Web 身份验证方法，作为 Defender 中 2FA WordPress 插件功能的一部分。

继续阅读，或通过以下链接跳转：

全方位防守者
Web 身份验证完整演练
启用生物识别或 USB 安全密钥
注册设备
验证设备
重命名或删除设备
GDPR 合规性
启用多种 2FA 方法
其他 2FA 功能：WooCommerce 集成、禁用用户、自定义图形 URL
完整套餐
让我们通过酷炫的全新 2FA WebAuth 功能来探索 Defender 在登录保护方面提供的所有功能。

全方位防守者
Defender 为您提供最佳的 WordPress 插件安全性，阻止 SQL 注入、跨站点脚本 XSS、暴力登录攻击和其他漏洞，并提供一键强化技术列表，可立即为您的网站添加层次保护。

它还利用最新的 WebAuth 安全措施，让您更加轻松地获得安全保障。

简单概述一下，Defender 的工作原理如下……用户输入用户名和密码登录，如果设备已配置平台身份验证，则用户可以通过指纹扫描仪或面部识别软件验证身份。同样，如果设备已配置漫游身份验证，则用户可以通过 USB 安全密钥验证身份。

因为我们使用的是WebAuthn协议，所以 Defender 在任何时候都不会接收任何生物特征或安全密钥数据，只会接收来自用户设备的确认或拒绝。

我想在这里快速插入一个有趣的观点，印度商务传真列表 由我们的一位技术人员 Marcel Oudejans 分享（并由我转述）......

给狗取名为“Fido”的习俗是由亚伯拉罕·林肯推广的，尽管它作为犬类宠物名的使用可以追溯到古罗马时期。

“ Fido ”意为“忠诚”。FIDO代表“在线快速身份验证实体”。新的生物识别身份验证功能使用FIDO的WebAuthn协议。

因此，以一种可爱而迂回的方式，通过使用 FIDO 协议来实现此功能，可以说我们正在将“忠诚”注入 Defender。

忠诚的同义词
忠实的 FIDO。
有关FIDO 的更多技术信息，请查看本文。

好的，现在让我们深入了解这些很棒的新 Web 身份验证功能。

Web 身份验证完整演练
首先，确保您已安装并激活 Defender 插件，并将其更新到最新版本。

首先要注意两件重要的事情：

由于身份验证与单个用户帐户相关联，因此需要根据每个用户配置授权设备。
需要 PHP 7.4 或更高版本，因为它可以提高性能和安全性，同时还支持新的生物识别功能。
启用生物识别或 USB 安全密钥
导航到 WordPress仪表板 > Defender。在左侧边栏上，单击2FA，然后单击“激活” 按钮。

Defender - 激活 2FA 屏幕。
只需单击一下即可在 Defender 中激活双因素身份验证。
现在您将看到双因素身份验证的所有部分信息，以及我们在此处提供的所有选项。

在同一个 Defender 2FA 页面中，在“用户角色”>“管理员”下，切换按钮“开”。确保滚动到页面底部，然后单击“保存更改”。

切换管理员用户角色。
通过用户角色授予启用 2FA 的权限。
从仪表板的侧面菜单，转到“用户”部分，然后单击您的管理员用户 配置文件。

向下滚动到“安全”部分，然后在“Web 身份验证”旁边，将按钮切换为 “开启”。

Defender - 配置文件 - Web 身份验证切换开启。
在 Defender 中选择 WebAuth 功能。
您会看到建议从以下选项中选择一种附加身份验证方法：TOTP、备份代码和后备电子邮件。

在下面的示例中，您会看到“备用电子邮件” 也已选中，但您可以选择任何您喜欢的方法。请记住点击底部的“更新个人资料”按钮。

在 Defender 中选择其他身份验证方法
Defender 中可用的其他身份验证方法的选择。
Web 身份验证不会取代传统的 WordPress 登录（即用户名和密码），而是添加一个额外的安全层，就像上面的其他身份验证选项一样。

虽然许多浏览器和操作系统都兼容用于管理身份验证过程的WebAuthn协议，但目前有些浏览器和操作系统尚不兼容。点击此处查看WebAuthn 的浏览器和操作系统兼容性列表。

注册设备
启用 WebAuth 身份验证后，将出现“已注册设备”表，其中包含“注册设备”或“身份验证设备”选项。