啟動「單一登入」使 WordPress 自架站更安全 | WordPress 技巧

啟動「單一登入」使 Wordpress 自架站更安全

前言

WordPress 內建的後台,只有單純的帳號密碼作為防護,因此萬一有人知道後台的網址,就有可能被暴力破解進來,然後會被做什麼事情就不知道了。因此,想要在這裡跟大家分享關於 WordPress 當中 Jetpack 套件的一個模組,單一登入。

關於單一登入

簡單來說,透過這個設定,可以把自架站的登入的頁面導向到 WordPress.com 的登入頁面,這個有什麼好處呢?原本透過自架的網站登入頁面是任何人都可以進入的。

但透過單一登入模組,除了登入頁面全轉向 WordPress.com 管理之外,還可以透過兩階段登入機制來保護你的帳戶。也就是說除了需要輸入正確的帳號密碼之外,還需要通過手機的驗證(現在還有 App 驗證了)。因此,可以幫助我們省去一些安全上的麻煩。

單一登入需要的東西

其實只要準備兩樣東西即可。

1. 一個 WordPress.com 的帳戶
2. 在自架站上安裝 Jetpack 外掛

我們開始操作吧

STEP 1

如果你還沒有 WordPress.com 的帳戶的話,請到以下網址註冊一個帳號。

請參考:
1. WordPress.com 網站

之後點選「開始」,開始註冊帳號的流程。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 2

選擇一種你想要的網誌模式。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 3

輸入你想要的免費網址。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 4

點選「從免費開始」。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 5

最後輸入你的登入資訊,來完成註冊流程。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 6

點選個人的圖像,之後點選「安全性」後,點選「兩步驟驗證」,並開啟兩步驟驗證功能。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 7

回到你自架的網站,安裝「Jetpack」外掛。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 8

點選 Jetpack 的標籤頁,並按下「連結 Jetpack」。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 9

身份確認無誤,請按下「核准」。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 10

稍微等待一下。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 11

再次輸入你想要連結的網站,接著就會跳回你的自架網站了。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 12

回到自架站後,點選「Jetpack」標籤頁,並點選「設定」。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 13

回到自架站後,點選「Security」標籤頁,把「WordPress.com log in」欄位的選項啟用。

1. 允許使用者以 WordPress.com 帳號登入此網站
2. Match accounts using email addresses
3. Require accounts to use WordPress.com Two-Step Authentication

在最近新版的 Jetpack 當中,單一登入選項的名稱已經改為「以 WordPress 登入」,但功能是一樣的。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14

STEP 14

接著要修改佈景主題的 functions.php 檔案,通常應該會放在「wp-content/themes/目前你使用的佈景主題」。

請加入這一行:

add_filter( 'jetpack_sso_bypass_login_forward_wpcom', '__return_true' );

我會建議加入在檔案前面的位置,另外也要檢查一下是否檔案當中有互相衝突的部分。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14
將檔案存檔後,上傳到原本的佈景主題目錄,覆蓋原本的 functions.php。

另外有一些設定可以參考,像是:

add_filter( 'jetpack_remove_login_form', '__return_true' );
add_filter( 'jetpack_sso_require_two_step', '__return_true' );

可以達成一樣的功能,不過安照官方說法,這兩句要一起使用會比較好。

STEP 15

最後記得把快取清除乾淨,不管是瀏覽器的快取、或是如 Autopitimal、WTC3 外掛層級等的快取也一並清理乾淨。或是你可以嘗試另一個沒有登入過你的自架站的瀏覽器嘗試登入你的後台看看。

啟用Wordpress單一登入
作者ヤンヤン編輯於 2017 / 12 / 14
如果成功的話,會看到這個畫面才對,代表「單一登入」開啟成功了。

引用資料區
1. 『[教學] 為 WordPress 開啟「單一登入」機制,讓網站更安全』,n.l.,免費資源網路社群
2. WordPress.com / Automattic Inc.,WordPress.com Secure Sign On,n.l.