WordPress 兩步驟驗證該裝哪個外掛,答案看你想做到多細。只是想幫後台加一道防護、開了就放著,官方免費的 Two-Factor 就很夠;想自己訂規則,像是多站統一管理、強制團隊成員啟用,甚至設成只有人在國外登入才要求驗證,那 WP 2FA 免費版加一點程式就能搞定,而且不用買 Pro。這篇帶你看這兩款差在哪、各自適合誰、WP 2FA 的進階玩法,還有免費版到哪為止其實就夠用了。
WordPress 兩步驟驗證外掛,到底該選哪一個?
先給結論:只想單純開啟就用官方 Two-Factor,想要規則和彈性就用 WP 2FA。兩款都是完全免費、各自獨立的外掛,不綁 Jetpack、不用 WordPress.com 帳號,這點先放心。
簡單說它們做的事都一樣:登入時除了帳號密碼,再要你輸入一組手機上才看得到的驗證碼,密碼就算外洩,別人也進不來。差別在管理彈性,還有要不要動程式。
| 外掛 | 費用 | 設定方式 | 強制與管理 | 程式可控性 |
|---|---|---|---|---|
| Two Factor(官方) | 全免費 | 每位使用者自己設定 | 沒有強制引擎 | 高,filter 豐富 |
| Two Factor Authentication(UpdraftPlus) | 免費(另有 Premium) | 後台設定頁,無精靈 | 可按角色開放;強制、備用碼需 Premium | 中等 |
| WP 2FA(Melapress) | 免費(另有 Pro) | 精靈一步步引導 | 免費就有強制政策加寬限期 | 高,filter 加 REST |
你可能也看過 Two Factor Authentication 這款,它出自知名的 UpdraftPlus 團隊,老牌穩定、中文教學也多。不過要說清楚,它的免費版把強制啟用和備用碼都放在付費版,單純免費使用的話,功能完整度其實不如前面兩款。另外,如果你想要的是連同防火牆、惡意掃描一起顧的全套,那要看的是 Wordfence 這類綜合安全外掛,那已經是另一個量級的工具,不在這篇純驗證外掛的討論範圍。
這幾款的兩步驟驗證原理一樣,想先搞懂驗證碼怎麼運作,可以先看 Google Authenticator 的用法,這裡就不重複,直接講選哪個。
只想簡單開起來:官方 Two-Factor 兩步驟驗證就夠
如果你只是想幫管理員帳號加一道防護,設定完就不想再管,官方 Two-Factor 是最省事的選擇。它由 WordPress.org 核心社群維護,安裝量 10 萬以上、評分高達 4.8 顆星,程式碼乾淨、體積極輕。
它免費就支援三種方式:驗證器 App(搭 Google Authenticator、Authy 都行)、Email 驗證碼、10 組備用碼。對單人經營的部落格,這樣完全夠用。
它的限制要先講清楚。第一,沒有設定精靈,每位使用者得自己到個人資料頁開啟。第二,沒有強制引擎,你沒辦法在後台一鍵要求所有人啟用。第三,使用者可以自己把驗證關掉,外掛不會擋。這些對單人自保沒影響,有團隊就會卡。
很多人會問我:官方這款這麼陽春,安全性會不會比較差?答案是不會。驗證核心都是同一套 TOTP 標準,陽春的是管理介面,不是防護強度,單站自保它一點都不弱。
想自己訂規則:WP 2FA 免費版加程式
如果你要的是彈性,像是一次管很多站、強制成員啟用、或設計自己的驗證規則,那就用 WP 2FA。它由 Melapress 開發,安裝量同樣 10 萬以上、4.7 顆星,最近兩週都還在更新,維護很勤。
它的免費版就給了不少進階能力:強制政策加寬限期、隱藏「移除驗證」按鈕、免費的無密碼登入,還有 16 碼備用碼防鎖死。
真正讓它好玩的是程式可控性。只要你會寫一點程式,就能用它開放的鉤子把規則寫死。舉個實用的例子:可以設成只有國外 IP 登入時才要求驗證。原理是駭客幾乎都從國外 IP 嘗試登入,而你本人不太可能用國外的網路配台灣的身分登入,把門檻精準架在國外登入上,對攻擊者門檻很高,對自己平常在國內登入卻幾乎無感。
這裡要強調一件事:這些進階用法不用買 Pro。WP 2FA 的付費版主要加簡訊、YubiKey 實體金鑰、信任裝置、WooCommerce 整合這些介面功能。會寫程式的話,免費版開放的鉤子已經夠你控制大部分規則,先別急著掏錢。
當然也有要注意的坑。WP 2FA 官方評論區有一位使用者分享,他的站開了驗證之後,WooCommerce 的自訂結帳付款連結被擋掉、客人付款時跳出頁面不存在,最後是把顧客角色的驗證關掉才解決。如果你的部落格有接金流或用了自訂結帳流程,建議先在測試環境試過再全站開。
既然要驗證,為什麼不用 Email 或簡訊就好?
很多人會問我:既然都要多一道驗證,用 Email 或簡訊收驗證碼不就好了,何必裝外掛?我自己試過一輪,最後還是回到驗證器 App,原因很實際。
Email 驗證碼我不當主力,有兩個原因。第一,現在越來越多主機商本身不附 Mail Server,你得自己另外接發信服務才寄得出信,光設定就一道工。第二,Email 很容易掉信,驗證碼掉進垃圾信匣、或延遲好幾分鐘才到,登入當下卡在那邊乾等的感覺很差。一個要拿來登入的東西卻不保證即時送達,這就不夠可靠。
簡訊驗證的問題是要錢。簡訊得接簡訊發送服務,每一則都是成本,量一大就是長期支出。對部落客來說,為了登入一直付簡訊費並不划算,何況免費的驗證器 App 安全性一點都不輸它。
生物辨識也有,但挑裝置。這篇介紹的 WP 2FA 免費版就有提供生物辨識登入,正式名稱叫 Passkey 通行密鑰,背後是 WebAuthn 這套標準,可以用手機的指紋或人臉,甚至用電腦掃手機跳出的 QR Code 來完成。聽起來很潮,但我沒把它當主力,因為它對裝置條件比較挑:手機系統版本太舊、或手機根本沒開指紋或人臉辨識時,這個方式很可能直接失敗,你就被擋在門外。當備用方式可以,當主力風險太高。
繞一圈,還是驗證器 App 最穩。它免費、不靠主機發信、不用付簡訊費、絕大多數手機都跑得動,掃一次 QR Code 綁定之後每 30 秒自動產生一組碼,斷網也能用。所以這篇從頭到尾都建議優先用驗證器 App,Email、簡訊、生物辨識當備援就好。
WP 2FA 使用前要注意什麼?適合誰用?
不管你選哪一款,裝之前先把這幾件事放心上。優先用驗證器 App(TOTP),比 Email 收信更即時也更安全;備用碼一定要保管好,它是你被鎖在門外時的唯一鑰匙,存到密碼管理工具或抄在安全的地方,別截圖丟在隨便的相簿;如果你要玩「國外才驗證」這類規則,記得先確認備用碼設好,萬一判斷有誤也進得去。
那這兩款各適合誰?
- 適合官方 Two-Factor:單人經營、只想保護自己帳號、設定完就不想再管、追求最輕量的部落客。
- 適合 WP 2FA:要管理多個站、有助理或多位作者、想自己用程式訂規則、需要強制成員啟用的人。
- 兩款都不適合:用 WordPress.com 免費方案(裝不了外掛)的人,得改用平台內建的驗證機制。
保護後台登入這件事,兩步驟驗證只是其中一層,建議搭配其他做法一起做更穩,像 用 Cloudflare 保護 WordPress 後台 講的隱藏登入頁、擋惡意流量,兩者合起來防護更完整。自架站本來就有不少安全細節要顧,這部分 WordPress 自架站會碰到的問題 也整理過。另外,帳號的另一道防線是密碼本身,每個網站用不同的強密碼、交給密碼管理器統一收好,做法可以看 Bitwarden 教學。
金城老師觀點
說真的,兩步驟驗證是我會叫每個部落客「今天就去開」的東西,特別是管理員帳號。我看過太多人辛苦經營好幾年,結果一次密碼外洩全沒了。如果你只想單純保護自己,官方 Two-Factor 開一開就好,別想太多;如果你像我一樣管很多站、又愛自己訂規則,WP 2FA 配上一點程式就很夠用,真的不用急著買 Pro。會寫程式的人,免費版能玩的空間比你想的大很多。
延伸閱讀
參考資料
常見問題
WordPress 兩步驟驗證外掛哪個好,官方 Two-Factor 還是 WP 2FA?
看需求。只想單純幫帳號加一道防護、開了就放著,官方 Two-Factor 最省事也最輕;想要多站管理、強制成員或自訂規則,就用 WP 2FA。兩款都免費,也都不需要 Jetpack。
這些 2FA 外掛需要安裝 Jetpack 或註冊 WordPress.com 嗎?
不需要。官方 Two-Factor 和 WP 2FA 都是完全獨立的外掛,不綁 Jetpack、不用 WordPress.com 帳號。只有 Jetpack 自己內建的驗證才需要 WordPress.com 帳號,那是另一回事。
WP 2FA 一定要買 Pro 版才好用嗎?
不用。免費版就有強制政策、隱藏移除鈕、Passkey、備用碼,會寫程式的話還能用它的鉤子自訂規則。Pro 版主要加簡訊、YubiKey、信任裝置這些介面功能,不寫程式又需要這些才考慮升級。
可以設定成只有出國時才需要兩步驟驗證嗎?
可以,這要靠程式搭配 WP 2FA 的鉤子做到。原理是依登入來源的 IP 國別判斷,國外登入才要求驗證,國內免驗。因為攻擊者多半從國外 IP 嘗試,這樣能把防護精準架在風險高的登入上。
兩步驟驗證為什麼建議用驗證器 App,不用 Email 或簡訊?
Email 受限於主機要有發信服務、又容易掉信,簡訊則要付費。驗證器 App 免費、不靠發信、絕大多數手機都能用,掃一次 QR Code 之後每 30 秒自動產碼,斷網也能用,最穩定。