如何配置WordPress双重验证

1. 先装个插件，应用市场搜“Two Factor Auth”之类的，比如「Two Factor」这个就挺多人用。安装完启用，它会往你的WordPress后台塞个新菜单项，通常叫“双重认证”或者“2FA”。

2. 进设置页面，一般会让你选验证方式。常见的有：

   • TOTP（时间型一次性密码）：用手机app扫二维码那种，比如Google Authenticator或Authy。
   • 邮箱收验证码：每次登录发个6位数到你邮箱。
   • 备用验证码：生成一串一次性数字让你存着，万一手机丢了能救急。

   推荐用TOTP，相对安全。点启用，会弹出个二维码，拿手机app扫一下，然后app里会显示个不断变化的6位码，填进去确认就行。

   // 插件背后大概这么干活（伪代码）：
   function generate_totp_secret() {
     $secret = random_bytes(16); // 生成随机密钥
     update_user_meta(get_current_user_id(), 'two_factor_secret', $secret);
     return base32_encode($secret); // 转成base32给二维码用
   }

3. 别忘了备份代码！插件通常会生成一组备用码，找个地方存起来（比如丢密码管理器里）。万一手机进水或者被狗啃了，还能靠备用码登录。

4. 强制团队启用2FA的话，可以加段代码到functions.php，让用户必须设置才能进后台：

   add_action('admin_init', 'force_2fa_setup');
   function force_2fa_setup() {
     if (!current_user_can('manage_options')) return; // 只对管理员生效
     $user_id = get_current_user_id();
     if (get_user_meta($user_id, 'two_factor_enabled', true) != 1) {
        wp_redirect(admin_url('profile.php?page=two-factor')); // 跳转到2FA设置页
        exit;
     }
   }

5. 最后测试下：退出账号重新登录，你会发现密码输完后多了个框要填验证码。填手机app里那个数就行，别填备用码除非真需要。

（完）

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。