Google Authenticator登录验证和All In One WP Security & Firewall防火墙

WordPress 2023年10月09日 12:35

文章目录

Authenticator
安装身份验证器
WP账号两步验证
配置安全防火墙
提升WP账号安全

WordPress安全一直是大家非常关心的问题，尤其是Wordpress的后台管理员账号安全性一定要非常高，否则一旦被人破解后果将不堪设想。比如前一段时间专门针对Wordpress默认的Admin账号进行暴力破解的攻击波就让不少的WP遭黑。

要禁止非授权的Wordpress管理员账号登录后台，在WordPress防暴力破解一文中我们可以用BulletProof Security和Better WP Security这两款插件来设置好黑白名单，更改后台登录URL，禁止Admin账号等方式提升Wordpress的安全性。

当然也可以用.htpasswd保护WordPress控制面板，让所有访问Wordpress后台的用户都必须先输入服务器用户名和验证密码，以此达到防止暴力攻击Wordpress账号和密码的目的。本篇文章将继续Wordpress安全的问题。

我们可以利用Google Authenticator来为Wordpress增加一个类似于Google账号登录的两步验证，即当管理员登录Wordpress时除了要输入管理员账号和密码外，还要输入一个手机动态验证码，这个动态验证码是实时变化的，因此安全性相当高。

All In One WP Security & Firewall也是一款Wordpress的安全插件，与上面两款经典的安全插件不同的是，All In One WP Security & Firewall还多了一个防火墙的功能，根据部落的试用来看，这个防火墙可以自定义规则，默认自带的规则可以防止多数日常不安全性攻击。

增强WordPress安全性除了日常维护需要特别注意外，切记不要忘记Wordpress版本的更新了，新版本的WP经常会修复之前版本的各种安全漏洞：

1、手动升级：WordPress自动升级失败原因盘点和手动升级WordPress四个步骤
2、防护攻击：WordPress加速防护技巧:多重CDN和Better WP Security强化安全
3、暴力破解：WordPress防暴力破解:安全插件和用.htpasswd保护WordPress控制面板

Google Authenticator登录验证和All In One WP Security & Firewall防火墙

一、Wordpress Google Authenticator插件安装使用

1、Google Authenticator官网：

1、WP插件：https://wordpress.org/plugins/google-authenticator/

2、Google Authenticator插件可以自己到插件官网下载手动再安装，也可以直接到Wordpress后台搜索快速安装。

3、安装好了Google Authenticator后，激活，然后到管理员的个人资料中，勾选启用Google Authenticator。

二、在手机上安装Google 身份验证器

1、Google 身份验证器在Google Play中可以搜索下载到，也可以通过其它的Android应用平台下载安装得到。

2、首次在手机启用Google 身份验证器会要你设置好一个账号。

3、添加你的谷歌账号。

4、输入谷歌邮箱账号和密码。

5、成功添加账号。这个可以用来给Google账号提供两步验证。

6、再在Google 身份验证器中设置中添加账号。

7、账号和密钥可以在刚刚安装的Wordpress Google Authenticator插件中找到。

8、添加好了Wordpress的两步验证，动态验证码会实时变化。

三、使用Google账号两步验证保障Wordpress管理员账号安全

1、启用了Wordpress的Google账号两步验证后，在后台登录账号时会有Google Authenticator验证码一栏。

2、每次要登录账号时就需要打开手机查看Google 身份验证器生成的验证码了，如果不正确，则无法登录。

四、All In One WP Security & Firewall给Wordpress配置安全防火墙

1、All In One WP Security & Firewall官网：

1、插件下载：https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

2、All In One WP Security & Firewall功能有全，除了有用户登录安全、文件系统安全、数据库安全等，还有防火墙、防止垃圾评论、阻止简单恶意攻击等。

3、在All In One WP Security & Firewall的控制页面中，可以很直观地看到自己的Wordpress安全系数，还有一些需要改进的安全建议操作。

4、在用户登录中一般会要求你禁止Admin这样默认的用户名。

5、限制登录次数。All In One WP Security & Firewall还要限制后台登录错误次数，封锁IP登录时间间隔，这些都对防暴力破解账号有作用。（点击放大）

6、在数据库安全方面，All In One WP Security & Firewall是建议你修改默认以wp-开头的MysqL表。

7、All In One WP Security & Firewall提供的基本防火墙设置中，主要功能有保护 htaccess和wp-config.php不被恶意修改、禁止服务器签名、限制最大文件上传10MB等。

8、All In One WP Security & Firewall还提供了一个防止垃圾评论的功能，垃圾评论一般是直接调用comments.php和HTTP_REFERRER经常为空，插件可以根据此特点来阻止机器人评论。

五、提升Wordpress账号安全小结

1、在使用Wordpress的Google两步验证时，一定要保存好WordPress Google Authenticator插件安装生成的密钥，防止泄露。如果想要修改密钥可以在Wordpress后台的用户个人资料中重新生成一个。

2、All In One WP Security & Firewall功能过于全面了，对于WP高手来说有些功能是有些鸡肋。特别提醒的是：由于该安全插件会涉及到MysqL数据库等操作，大家在使用前一定要作好备份工作。

您或许对下面这些文章有兴趣: 本月吐槽辛苦排行榜

免费资源部落博主

经常混迹于各种免费资源中，尝鲜后乐于分享给他人。用WP搭建了部落博客，没事儿就折腾Wordpress，喜欢找免费空间，但只求精，稳定，耐用。有时也会介绍一点关于建站的知识和主机、服务器的使用心得与体会。

TA的专栏：qi | qi 的博客 | 我要投稿

关于本文的作者

本文标签：All In One WP Security & Firewall, Wordpress Google Authenticator, Wordpress安全, 免费wordpress教程

所属分类：WordPress

链接地址：http://www.lamuba.com/google-authenticator/

浏览前页：

浏览后页：鲜美牛肉面，滋味无穷

在这个部落村庄里，已经有86 位神马家族成员冒出泡来在农场开始干活了

疯子 12

沙发。。

[回复]
嘴角12 回复:
插队，看我的新的info博客，lqblog.info新站求看看

[回复]
这是农场的第 1 块农田，部落批准 [疯子] 在[2013-10-1 17:23]开垦完成.
yeendoin 5

#的两步验证，不错嘛

[回复]
这是农场的第 2 块农田，部落批准 [yeendoin] 在[2013-10-1 17:54]开垦完成.
voncing 5

#的确实不错，安全

[回复]
这是农场的第 3 块农田，部落批准 [voncing] 在[2013-10-1 17:59]开垦完成.
exexue 神

前排。

[回复]
这是农场的第 4 块农田，部落批准 [exexue] 在[2013-10-1 18:09]开垦完成.
正版软件分享 8

2步验证确实不错

[回复]
这是农场的第 5 块农田，部落批准 [正版软件分享] 在[2013-10-1 18:22]开垦完成.
SaFly_Mini Robots-54.221.63.224 7

PHP应用层防御很鸡肋，被攻击时插件只能造成更多系统负载

[回复]
qi 回复:
@SaFly_Mini Robots-54.221.63.224, 你网站怎么回事？Forbidden

You don’t have permission to access / on this server.

[回复]
SaFly_WebMaster 回复:
@qi, 服务器维护中

[回复]
这是农场的第 6 块农田，部落批准 [SaFly_Mini Robots-54.221.63.224] 在[2013-10-1 18:40]开垦完成.
peascloud 16

那个是谷歌官方的插件吗？

[回复]
包子回复:
@peascloud, 不是，调用API而已

[回复]
qi 回复:
@peascloud, 不是。

[回复]
这是农场的第 7 块农田，部落批准 [peascloud] 在[2013-10-1 18:57]开垦完成.
嘴角12 12

来看看，表示freenom挂了。dl也进不去

[回复]
洛克回复:
@嘴角12, 暂时抽了吧

[回复]
Kung 回复:
@嘴角12, TK官方发推特说机房停电了..所有DNS都受影响了..[img]https://feixueimg.bcs.duapp.com/2013/10/QQ%E6%88%AA%E5%9B%BE20131001192549.jpg[/img]

[回复]
Aivier 回复:
@Kung, 真喜感。

[回复]
包子回复:
@嘴角12, 喜大普奔

[回复]
寒冰回复:
@嘴角12, 表示赞同

[回复]
这是农场的第 8 块农田，部落批准 [嘴角12] 在[2013-10-1 19:09]开垦完成.
Tokin 17

今天下载了better-wp-security插件，看起来还不错

[回复]
Aivier 回复:
@Tokin, 哎呦，你也在用？

[回复]
CoolSpring 回复:
@Tokin, 貌似升级后变成iTheme了

[回复]
这是农场的第 9 块农田，部落批准 [Tokin] 在[2013-10-1 19:11]开垦完成.
Kung 23

学习了..

[回复]
这是农场的第 10 块农田，部落批准 [Kung] 在[2013-10-1 19:19]开垦完成.
免费部落 16

看来博主还是上次让人搞怕了！其实只要密码足够强大，应该没什么问题的！

[回复]
这是农场的第 11 块农田，部落批准 [免费部落] 在[2013-10-1 19:39]开垦完成.
Nin 3

正所谓树大招风，越是大的东西，却越是不安全了。

[回复]
这是农场的第 12 块农田，部落批准 [Nin] 在[2013-10-1 19:41]开垦完成.
小白菜 7

typecho怎么破

[回复]
qi 回复:
@小白菜, 好像没有这个插件。

[回复]
小白菜回复:
@qi, 开玩笑的啦，我这种小博客用了也是白用

[回复]
包子回复:
@小白菜, 也没搞这么麻烦的必要

[回复]
Aivier 回复:
@小白菜, Typecho 设置好写入和执行权限，并设置足够强的密码就可以了

[回复]
这是农场的第 13 块农田，部落批准 [小白菜] 在[2013-10-1 20:20]开垦完成.
musk 18

先收藏，

[回复]
这是农场的第 14 块农田，部落批准 [musk] 在[2013-10-1 21:03]开垦完成.
洛克 14

bs模拟器。。

[回复]
qi 回复:
@洛克, 什么模拟器？

[回复]
洛克回复:
@qi, [img]https://img.freehao123.com/wp-content/uploads/2013/10/#-Authenticator_03.gif[/img]这个啊

[回复]
这是农场的第 15 块农田，部落批准 [洛克] 在[2013-10-1 21:17]开垦完成.
包子 19

#的两步验证挺有趣

[回复]
这是农场的第 16 块农田，部落批准 [包子] 在[2013-10-1 21:25]开垦完成.
Bill Gates 7

@qi.本人博客地址更改为www.yyblog.ml 感谢大家的关注！！

[回复]
qi 回复:
@Bill Gates, 怎么又换域名了？

[回复]
Bill Gates 回复:
@qi, 额，这才是第二个域名耶。。。

[回复]
包子回复:
@Bill Gates, 大批的图挂了

[回复]
Bill Gates 回复:
@包子, 哪里？

[回复]
包子回复:
@Bill Gates, 你博客很多外链的图被禁了

[回复]
嘴角12 回复:
@Bill Gates, lqblog.info我的新博客同求看看。。

[回复]
Bill Gates 回复:
@嘴角12, 额，嗯嗯

[回复]
包子回复:
@嘴角12, 献IP （v5的域名好看多了

[回复]
这是农场的第 17 块农田，部落批准 [Bill Gates] 在[2013-10-1 22:30]开垦完成.
qq374594 6

手机不是安卓的路过…

[回复]
这是农场的第 18 块农田，部落批准 [qq374594] 在[2013-10-1 22:41]开垦完成.
棒棒糖 14

太多这类的安全插件了…qi推荐个

[回复]
qi 回复:
@棒棒糖, 安全插件也是通过修改.htaccess来实现的，高手可以自己根据需要来修改。

[回复]
这是农场的第 19 块农田，部落批准 [棒棒糖] 在[2013-10-2 09:03]开垦完成.
时晞 2

Emlog 有类似的插件吗？

[回复]
qi 回复:
@时晞, 好像没有。

[回复]
这是农场的第 20 块农田，部落批准 [时晞] 在[2013-10-2 10:14]开垦完成.
Dora 2

@qi，求论坛邀请码

[回复]
qi 回复:
@Dora, 用这个：quukke

[回复]
这是农场的第 21 块农田，部落批准 [Dora] 在[2013-10-2 10:32]开垦完成.
无心问世 3

求助qi，有木有用过淘宝整点聚，我点“抢”，每次都弹个验证得出来，然后就说繁忙

[回复]
qi 回复:
@无心问世, 这都是那些用秒杀器造成的。

[回复]
包子回复:
@无心问世, 这个问题无解

[回复]
这是农场的第 22 块农田，部落批准 [无心问世] 在[2013-10-2 11:04]开垦完成.
Small Desert 4

这个还不错，收藏备用先

[回复]
这是农场的第 23 块农田，部落批准 [Small Desert] 在[2013-10-2 18:46]开垦完成.
NOD32

可以下载的？

[回复]
这是农场的第 24 块农田，部落批准 [NOD32] 在[2013-10-5 07:43]开垦完成.
金弓

#的产品一向是严谨实用，好东西在大@陆生生给憋死

[回复]
这是农场的第 25 块农田，部落批准 [金弓] 在[2013-10-9 23:41]开垦完成.
小蔡 1

怎么不显示头像呀我。

[回复]
这是农场的第 26 块农田，部落批准 [小蔡] 在[2013-10-25 19:48]开垦完成.
weijer

使用后登录不进去了~

[回复]
qi 回复:
@weijer, 是#验证那个吗？有错误提示没？

[回复]
weijer 回复:
@qi, Better WP Security和他冲突

[回复]
这是农场的第 27 块农田，部落批准 [weijer] 在[2013-12-17 10:20]开垦完成.
夏日博客 1

谷歌常常登陆不上去。

[回复]
这是农场的第 28 块农田，部落批准 [夏日博客] 在[2014-1-3 12:53]开垦完成.
家家 5

今天下午写错了一句sql代码，把所有文章的标题重置为0了。。。。。
欲哭无泪。没有备份。

到现在，晚饭都没吃，还没有恢复好。

[回复]
qi 回复:
@家家, 多少篇文章？

[回复]
这是农场的第 29 块农田，部落批准 [家家] 在[2014-1-3 19:43]开垦完成.
七剑

前来撸一发

[回复]
这是农场的第 30 块农田，部落批准 [七剑] 在[2014-1-13 21:06]开垦完成.
WeIwEi

这个插件不错，心理上觉得很高端，哈哈。但是有个问题，VPS或服务器时区和时间不对的话会提示# Authenticator code错误，要把时间对上。

[回复]
这是农场的第 31 块农田，部落批准 [WeIwEi] 在[2014-4-14 21:18]开垦完成.
Prebeta 3

你好，请问有没有用户注册时得先回答几个验证，如果正确的话就可以下一步，如果不正确就不能注册，就是防别人乱注册

[回复]
qi 回复:
@Prebeta, 插件没有的到，不过可以直接修改代码来实现，这里刚刚看到：https://www.wpdaxue.com/add-a-security-question-to-the-register-screen.html

[回复]
hot8bbs 回复:
@Prebeta, All In One WP Security在注册上设个验证码,算个弱智的算术题,加上wp缺省的邮件验证就把乱注册的抵挡住,我先就这么搞,发帖机全挡住了.

[回复]
这是农场的第 32 块农田，部落批准 [Prebeta] 在[2014-6-20 23:47]开垦完成.
hot8bbs 8

All In One WP Security是目前wp上最火的插件,简单强大,用后感觉不错.不仅解决了基本安全问题,还可以有效防止垃圾评论.可以省去很多其他插件.有人觉得这些插件很鸡肋.实际上高端的黑客数量很少,多数是会一点伎俩出来混的,一般的绝大多数博客小站经济价值不大,会一些基本安全技术,加上这些方便的插件,就可以挡住多数黑客攻击,那些高水平的黑客是看不上我们这些小站的,攻击都觉得掉价.就好比我们开一个街头便利店,我们担心的是那些小贼,不是银行大盗,没必要用银行的安保水准,要是雇一堆保安,花费谁也负担不起,没准还把大贼招来了.有多贵的车,配多贵的锁.

[回复]
这是农场的第 33 块农田，部落批准 [hot8bbs] 在[2014-8-30 06:58]开垦完成.
Prebeta 3

用户名为中文名注册后访问wordpress中文URL是出现404，还有图片也是一样的，请问是什么回事，如何解决，是LINUX主机

[回复]
qi 回复:
@Prebeta, Linux对中文支持是没有问题，你把中文改成英文，图片能否正常打开？

[回复]
这是农场的第 34 块农田，部落批准 [Prebeta] 在[2014-8-31 22:32]开垦完成.
Prebeta 3

URL用英文那是可以的，但是就是想用中文的，BAIDU友好一些，中文的URL在WORDPRESS中可行吗

[回复]
qi 回复:
@Prebeta, 可以用中文，不过SEO都是推荐用英文的URL，百度貌似对中文的识别能力反而不如谷歌。
出现404错误，可能是你的这个Linux不支持中文。

[回复]
这是农场的第 35 块农田，部落批准 [Prebeta] 在[2014-9-1 15:00]开垦完成.
Prebeta 3

不是，我用的是SUGARHOSTS空间，它们的空间是支持中文的，可能是WORDPRESS不支持中文的URL吧

[回复]
qi 回复:
@Prebeta, 这个中文url和服务器有很大关系，Linux一般是没有问题，iis的会出现404错误。你把你的WP切换为默认主题看看是不是正常？

[回复]
这是农场的第 36 块农田，部落批准 [Prebeta] 在[2014-9-1 15:36]开垦完成.
Prebeta 3

我也认为是主题的问题所以也试了但是还是无效，哎，算了不行就算了，对了再想问你一个问题就是你有没有颜色域名的优惠码， .RED .BLUE .PINK .BLACK的，谢谢

[回复]
这是农场的第 37 块农田，部落批准 [Prebeta] 在[2014-9-2 20:45]开垦完成.
Chias 4

All In One WP Security & Firewall跟Wordfence Security相比哪个更好用？

[回复]
qi 回复:
感觉前者功能强大些

[回复]
这是农场的第 38 块农田，部落批准 [Chias] 在[2014-10-8 22:02]开垦完成.
ehao 2

@qi, 站长好, 我已经按您这教程加# Authenticator来为Wordpress增加两步验证, 请问这样还有存在其他可能被入侵的风险吗? 多谢指导!

[回复]
qi 回复:
@ehao, 从Wordpress的角度来说基本上没有什么问题了。你用的是VPS还是虚拟主机？其实存在入侵的可能主要是存在于主机的安全性方面。

[回复]
ehao 回复:
@qi, 用的openshift的免费paas空间, 数据库应该是没权限的吧?只有账号密码的，存在可能被入侵的风险吗? 拖库? 还有吗? 多谢指导!

[回复]
qi 回复:
@ehao, 那应该没有什么担心了，openshift的服务器都还不错的。

[回复]
ehao 回复:
@qi, 对于openshift的免费paas空间还有哪些我可以加强防范的

[回复]
qi 回复:
@ehao, openshift本身服务器的安全性应该是没有什么问题了。

[回复]
ehao 回复:
@qi, 站长上回说openshift的免费paas空间要转向收费了? 现在都没收到邮件, 真的吗?

[回复]
qi 回复:
@ehao, 以前收到过邮件，说要收费，现在可能是延期了，但是收费应该是趋势了。

[回复]
这是农场的第 39 块农田，部落批准 [ehao] 在[2016-11-9 12:11]开垦完成.