使用双因素身份验证保护您的WordPress博客管理
Wordpress是一个非常受欢迎的博客服务。 最近受到一个令人不安的漏洞的攻击 ,允许攻击者重置管理员的密码。 虽然现在有一个针对该漏洞的修补程序,但最好不要使用静态密码?
向Wordpress添加双因素身份验证确实很简单。
首先下载并安装Wordpress的http验证插件 。 这个插件允许您使用您的Web服务器进行身份验证,在我们的Apache中。 我们已经介绍了如何使用radius为Apache添加双因素身份验证 。
在Wordpress中激活插件:
请确保在Wordpress中添加您的WiKID用户名作为管理员。 很明显,您可以将管理员用户添加到WiKID,但最好还是单独使用一个帐户。
现在,在Apache中限制/ wp-admin /和wp-login.php
<FilesMatch "wp-login\.php$"> Satisfy all AuthType Basic AuthBasicProvider xradius AuthName "Please enter your username and WiKID one-time passcode." AuthXRadiusAddServer "192.168.1.171:1812" "openid_secret" AuthXRadiusTimeout 7 AuthXRadiusRetries 2 require valid-user </FilesMatch> <Location /wp-admin> Satisfy all AuthType Basic AuthBasicProvider xradius AuthName "Please enter your username and WiKID one-time passcode." AuthXRadiusAddServer "192.168.1.171:1812" "openid_secret" AuthXRadiusTimeout AuthXRadiusRetries 2 require valid-user </Location>
现在当您尝试访问Wordpress的管理部分时,系统将提示您输入WiKID用户名和一次性密码。
您可以通过定位/ wordpress /来保护整个博客。 您还应该可以使用WiKID强认证社区版服务器和mod_auth_ldap而不是Radius。
