[教學] 為 WordPress 開啟「單一登入」機制,讓網站更安全

未分類 / By



[教學] 為 WordPress 開啟「單一登入」機制,讓網站更安全[教學] 為 WordPress 開啟「單一登入」機制,讓網站更安全

好像有一段時間沒有寫關於 WordPress 架站的相關文章,事實上,最近找到一個能夠有效提升 WordPress 安全性的方法,簡單來說,啟用內建於 Jetpack 外掛的「單一登入」模組,也就是 Single Sign On(SSO)功能,然後把原本帳號密碼驗證方式關閉停用,將驗證導回讓 WordPress.com 處理。

這麼做有那些好處呢?除了可為帳號加上兩階段驗證保護,從應用程式或手機來接受驗證碼,提高帳號安全性以外,更大的優點是自己的網站無須負載被暴力攻擊、破解的資源耗費問題,因為驗證會被導向 WordPress.com,這個由 Automattic 營運的平台將提供更好的安全性防護。

使用 WordPress 架站的話一定知道:WordPress 登入畫面預設是對外開放的,這也表示任何人都可以存取你的登入頁面,甚至可能從其他地方取得密碼並登入網站。為了更好的安全性,建議要妥善保護好登入頁面(延伸閱讀:安裝 WordPress 後你應該做的 25 件事、9 個提升 WordPress 網站安全性的方法)。

不過,現在不用這麼麻煩了!因為 Jetpack 的 Single Sign On(SSO)把登入驗證的任務交給 WordPress.com 為你把關,拋棄那些第三方登入、兩階段驗證的相關外掛吧!照著接下來的教學,我會教你如何快速有效提升網站的登入頁面安全性。

使用「單一登入」功能保護你的 WordPress

WordPress 的「單一登入(SSO)」功能提供了一個更安全的驗證方法,以保護你的網站免於受到暴力破解攻擊。一旦啟用,你原有的 WordPress 登入畫面會被關閉,你必須登入 WordPress.com 帳號才能進入自己的 WordPress 網站控制台。

Digital Inspiration 在這篇文章提到開啟「單一登入」有這些好處:

  1. 由於 WordPress.com 已經支援兩階段驗證,現在啟用後將能為你的網站提供相同等級的安全防護機制,而且不需要安裝額外的外掛功能。
  2. 你網站所有登入請求,包括惡意登入嘗試,現在都會被導向 WordPress.com,進而減少伺服器和資料庫的負載
  3. 如果你管理多個網站,你可以使用單一 WordPress.com 帳戶來登入、管理,無須記住多組不同的帳號密碼組合。

如何使用 Jetpack 實現「單一登入」?

STEP 1

如果你從來沒用過 Jetpack 外掛,那麼你可能也沒有 WordPress.com 帳戶,可以先開啟這個鏈結,填入 Email、使用者名稱、密碼等相關資訊來建立一個 WP.com 帳號。在註冊時你可能會被要求建立一個 WordPress 網誌,但這不會影響接下來的操作。

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

STEP 2

申請好 WordPress.com 帳號後,開啟這個鏈結,為你的帳號設定「兩步驟驗證」,增添額外的安全防護。設定前要先填入自己的手機號碼,下載兩階段驗證專用的手機應用程式,跟著網頁步驟操作即可完成設定。

延伸閱讀:

  • 8 個線上服務「兩步驟驗證」設定說明,確保帳戶免於威脅

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

一旦啟用你的 WordPress.com 兩步驟驗證後,未來當你登入帳號時不僅要輸入正確的使用者名稱、密碼,同時也要輸入一組由行動裝置產生的驗證碼。

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

STEP 3

回到你的 WordPress 網站,從「外掛 | 安裝外掛」頁面找到 Jetpack,點選「立刻安裝」來自動下載、安裝到你的網站。

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

第一次使用 Jetpack 時會要求連接到你的 WordPress.com 帳戶,按下連接、登入帳號後,點選「Approve」藍色按鈕即可把網站與你的帳號連結。

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

STEP 4

設定好 Jetpack 後,即可開啟相關模組功能(在 Jetpack 3.8 版時出現一個問題,那就是介面會變成英文版,不過不影響使用)。

找到我們需要的「單一登入(英文為 Single Sign On)」,然後將它啟用。

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

STEP 5

以 FTP、SFTP 或 SSH 連接到你的 WordPress 伺服器,開啟當前使用的佈景主題資料夾(路徑為 wp-content/themes/theme-name),編輯 functions.php 檔。複製以下程式碼,貼到檔案後儲存:

add_filter( 'jetpack_sso_bypass_login_forward_wpcom', '__return_true' );

這個步驟主要用於「停用 WordPress 內建的登入頁面」,改由重新導向至 WordPress.com 進行登入及驗證身份。如果你的網誌是屬於多人協作,或者你希望保留原有的登入畫面,可跳過此步驟。

STEP 6

前往「帳號 | 個人資訊」頁面,可以在最底部找到「Log in with WordPress.com」按鈕,這是用來把你的網站登入帳號連結 WordPress.com 帳號。登入後,你就能看到如下畫面,表示已成功連結(Connected)至這個帳號,同時也啟用了兩步驟驗證。

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

STEP 7

最後,當你登出、重新登入 WordPress 時,就不會出現原有的登入頁面,而是被引導至 WordPress.com 網站,你必須在這裡登入已連結的 WordPress.com 帳號,通過驗證後就可以進入你的控制台囉!

啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全啟用 Jetpack「單一登入」機制,讓你的 WordPress 網站更安全

若你在設定途中發現任何問題,導致無法正確登入網站的話,可以把步驟五的程式碼從檔案裡移除,然後將 Jetpack 外掛資料夾整個刪除,就能暫時關閉、停用「單一登入」。

另外,Jetpack 裡也提供了幾個非常實用的模組,建議開啟:

  • Photon 免費 CDN 圖片分流、加速服務,每個 WordPress 用戶都該開啟的外掛
  • Jetpack Monitor 免費 24/7 網站監測服務,WordPress 無法連線自動發送提醒

Ten articles before and after

Facebook 推出「On This Day」我的這一天,快速倒轉回顧過往大小事

關閉 Facebook 我的這一天,不再顯示不想看到的過往訊息

Dropbox 學生空間大滿貫即將過期,回收 25GB 容量後六個替代方案選擇

OneDrive 全面縮減容量,開啟這網頁避免空間被降為 5 GB!

將 pCloud 連接 OneDrive 帳號,免費增加 50 GB 雲端硬碟空間教學

為網站提供離線版!UpUp 讓使用者在無連線時也可瀏覽內容

解決 Facebook 與 Chrome 桌面通知同時出現的問題

Tab Counter 在瀏覽器分頁標籤即時顯示網站數字變化,例如線上人數、按讚數、影片播放時間等等…

將 Microsoft Translator 加入網站,讓你的網站或部落格支援多國語言!

Microsoft Translator 微軟全新免費翻譯 App 下載,支援全世界 50 種語言(iOS、Android、WP)