[WordPress 外掛] Two Factor Authentication 繁體中文本地化及使用方式

阿力獅有不少網路帳號，只要該帳號提供了兩步驟驗證功能，我一定都會加以啟用；因為兩步驟驗證這項帳號安全性功能，是目前最有效、成本也最低的帳號保護方式。阿力獅自己的網站是用 WordPress.org 提供的免費架站程式架設而成，為了登入後台進行管理或撰文，當然也有一個登入帳號。

如果自架網站只靠不為他人所知的帳號及複雜密碼進行保護，其實遠遠不夠；但是使用 WordPress.org 架設的網站，預設並沒有兩步驟驗證這項帳號保護功能，以帳號安全性來說，既低又危險。

如果你同為 WordPress.org 自架站的網站管理員，想為網站帳號的登入機制加上兩步驟驗證這項安全性功能，與 UpdraftPlus 系出同源的 Two Factor Authentication，是個相當不錯的兩步驟驗證外掛。

外掛用途說明

WordPress.org 自架站的登入機制，並未內建兩步驟驗證功能，即使安裝了 Jetpack 之後可以加入該項功能，但也需擁有帳號的網站使用者同時擁有 WordPress.com 帳號，且在 WordPress.com 帳號中啟用兩步驟驗證保護。也就是說，對一個多帳號的網站來說，Jetpack 外掛的提供的兩步驟驗證機制，是比較滯礙難行的。

但 WordPress 自架站帳號沒有兩步驟驗證，幾乎等於裸體逛大街的狀況，但是為 WordPress 自架站安裝 Two Factor Authentication 外掛，可以為網站立刻加入兩步驟驗證的保護。

但是 Two Factor Authentication 外掛所提供的兩步驟驗證功能，僅有驗證碼產生器產生驗證碼的方式，並不提供驗證碼簡訊、安全金鑰驗證其他驗證方式。

外掛使用方式

這個外掛並不是一個安裝完畢、完成啟用就可以馬上有效果的外掛，無論是網站管理員、或是任何一位有權限登入網站後台的使用者，都有需要設定的項目。

請注意，以下每一項設定，設定之後都必須點擊所屬區段中的 [儲存變更] 按鈕，否則不會生效。以下便將這兩者需要設定的部分進行說明。

WordPress 網站管理員

多數的 WordPress 外掛都只有網站管理員才具備進行設定的權限，這類安全性外掛自然也不例外。以下是網站管理員該為 Two Factor Authentication 外掛進行的設定，請網站管理員點擊 [設定] 選單中的 [Two Factor Authentication] 進入外掛設定頁。

使用者角色

這個區段會列出所有可登入網站管理後台的使用者角色。或許你的 WordPress 網站中所出現的使用者角色比螢幕擷圖中的多，也可能比較少，那是因為除了 WordPress 網站預設的 Administrator (管理員)、編輯 (Editor)、Author (作者)、Contributor (寫手) 及 Subscriber (訂閱者) 使用者角色之外，有些外掛會為外掛功能建立專屬的使用者角色[ref]例如螢幕擷圖中的 [譯者] 使用者角色，便是由 GlotPress 這個外掛所建立的，而 [譯者] 使用者角色僅有由 GlotPress 外掛所建立的頁面的編輯權限。[/ref]。

網站管理員要決定為要哪些使用者角色帳號加入兩步驟驗證功能，核取必要的使用者角色後，記得點擊 [儲存變更]。

XMLRPC 要求

如果所有網站使用者都沒有使用能透過 XMLRPC 要求管理網站的 App，建議直接設定為 [透過 XMLRPC 連線時強制使用兩步驟驗證]；如此一來，即使有惡意第三者得悉某位網站使用者的帳號密碼[ref]無須暴力破解，透過社交工程取得帳號密碼反而容易，比較實在。[/ref]，也無法透過 XMLRPC 要求管理網站，因為還需要兩步驟驗證碼才行。

設定完畢後，記得點擊 [儲存變更]。

預設演算法

一般來說，選取以時間為基礎的 TOTP 演算法最為通用，且可透過所有支援 TOTP 演算法的驗證碼產生器，例如 Google Authenticator[ref]除了外掛明列的 Google Authenticator 外，主流的驗證碼產生器 App 都支援 TOPT 演算法，例如 Microsoft Authenticator、LastPass Authenticator、Authy 或 Duo Mobile。[/ref]。

所有使用者的 [兩步驟驗證] 設定頁中的 [進階設定] 預設值，都會受 [預設演算法] 設定的影響；設定完畢後，記得點擊 [儲存變更]。

其他進階功能，在免費版外掛中並未提供，例如強制網站所有使用者啟用兩步驟驗證；但是網站管理員也不必太擔心，透過其他外掛一樣可以達成「網站管理員手動為所有使用者強制啟用兩步驟驗證」的目標。

WordPress 可登入管理後台的使用者

當網站管理員完成 Two Factor Authentication 外掛的全域設定後，便可以通知網站使用者設定自己帳號的兩步驟驗證功能。設定步驟相當簡單，幾個點擊便可以完成。

啟用兩步驟驗證

1. 網站使用者登入 WordPress 網站控制台後，點擊畫面左側管理選單上的 [兩步驟驗證]。

1. 點擊 [啟用]，然後點擊 [儲存變更]。

請注意，一旦使用者啟用兩步驟驗證並儲存設定後，就代表功能正式生效，下次登入就會開始需要輸入第二步驟驗證碼；如果沒有完成接下來的設定，下次無法順利登入會成為必然現象，所以請接著完成下一個設定。

目前的驗證碼

完成啟用 WordPress 網站帳號的兩步驟驗證功能後，一定要完成這項設定，拿出手機便可輕鬆完成。

1. 執行手機上已預先安裝好的驗證碼產生器 App[ref]現在該沒有不支援 TOTP 演算法的驗證碼產生器 App 才對。[/ref]，掃描這個設定頁中提供的 QR 碼。

• 如果掃描不順利，請改以輸入這個畫面中提供的私密金鑰取代掃描 QR 碼。

1. 掃描 QR 碼之後，驗證碼產生器便開始產生屬於這個網站帳號的第二步驟驗證碼，請與畫面上顯示的驗證碼進行比對，完全一致的話代表設定無誤，下次使用驗證碼產生器 App 產生的驗證碼，一定可以順利登入。

• 有些朋友操作的比較謹慎，完成時間會長一點，所以畫面上的驗證碼會過時，與驗證碼產生器內的不同[ref]TOTP 演算法會每 30 秒重新產生一個新的驗證碼。[/ref]，這時只要點擊一下畫面上的 [更新] 連結，便能顯示最新的驗證碼讓你進行比對。

進階設定

雖然使用者可以變更 [進階設定] 中的演算法設定，但管理員必須與所有網站使用者溝通，請他們不要變更這項設定，免生意外。

設定完畢後的登入方式

安裝 Two Factor Authentication 外掛，且網站管理員及使用者均設定完畢後，登入原來的登入程序是輸入正確的帳號密碼即可登入，多了一個現在自然是多了一個輸入第二步驟驗證碼的流程。

執行裝置上的驗證碼產生器，輸入正確的驗證碼，就可以完成登入。

外掛使用注意事項

由於使用的是 Two Factor Authentication 外掛的免費版，所以有些功能並未在免費版中提供，列在下方一一說明。

• 對網站管理原來說，免費版與付費版外掛的最大差別，在於外掛設定完畢後，並未提供集中啟用、停用以及檢視所有使用者兩步驟驗證的功能，無法讓使用者在這之後登入必須強制啟用兩步驟驗證功能[ref]就是在外掛啟用設定完畢後的使用者在第一次登入時，登入後會馬上導向至兩步驟驗證設定頁，並完成兩步驟驗證的設定。[/ref]，得靠網站管理員宣導或代為設定。
• 並未提供復原碼 (Recovery Code) 的功能，所以個別使用者因故無法通過第二步驟驗證時[ref]例如安裝了驗證碼產生氣的行動裝置遺失或損毀，導致無法取得驗證碼。[/ref]，便會無法登入，得靠網站管理員為這位使用者進行手動操作協助。
• 如果你的 WordPress 自架站只有你一個人使用，那 Jetpack 外掛所提供的 WordPress.com 兩步驟驗證會是最佳解決方案。

上列三點鐘屬於免費版外掛限制的部分，都不算難以解決，所以使用免費版外掛並不會造成很大的困擾，更不用說一般 WordPress 網站並沒有數量多到無法想像的使用者；如果使用者數量真的非常多，為了你的網站安全及網站管理員的管理負荷來說，購買付費版外掛也是合情合理。

最後，無論你最後有沒有採用這個外掛，只要你的 WordPress 自架站尚未為網站帳號加上兩步驟驗證功能，都請趕快加上。

外掛狀態

[table id=twofactorauthentication /]

文章內容來源為《阿力獅的教室》。