本文章介紹的 Clef 外掛程式僅適用於以 WordPress 自架網站的使用者,若你是使用 WordPress.com 提供的免費網誌服務則無法安裝。
之前我曾經利用一些篇幅來針對 WordPress 架設的網站安全提供建議,例如 9 個提升 WordPress 網站安全性的方法、或者是安裝 WordPress 後你應該要做的 25 件事,如果你也是使用 WordPress 架站的話,請一定要對這些細節特別用心,因為任何一點微小的疏失,都可能成為未來被有心人士入侵或破壞的漏洞。
若你對於網站安全特別重視,一定不難發現,上面的兩篇文章裡提到許多關於帳號密碼和登入的細節。就 Pseric 的經驗來說,設定一組難以被猜測出來的帳號密碼,搭配上 Google Authenticator 之類的兩步驟驗證外掛,在帳號密碼以外多一道防護其實就能大幅提昇安全性。
最近我又發現一款全新的安全防護工具 Clef,簡單來說,它是帳號密碼、兩步驟驗證以外的另一種選擇,使用者無須輸入難以記憶的密碼組合,也不用等待手機來產生兩步驟驗證隨機代碼,利用手機上的 Clef 應用程式對著登入畫面的條碼一掃,直接驗證身份登入。
Clef 將安全驗證的複雜過程交給使用者最貼身的配備,也就是手機或行動裝置,讓驗證變得更快、更簡單。目前已經支援 iOS、Android 兩大平台。
Clef Two-Factor Authentication 雖然名稱上是兩步驟驗證,但它其實跟我們熟悉產生驗證碼方式有些微不同,Clef 會在畫面產生類似於條碼的波浪狀驗證碼(Wave),利用身份驗證後的 Clef 手機應用程式,以鏡頭對著電腦上的驗證碼一掃,就能夠確認你的身份並完成登入的程序。
外掛名稱:Clef Two-Factor Authentication
外掛鏈結:https://wordpress.org/plugins/wpclef/
使用教學
STEP 1
使用 Clef 完全不需要用到帳號密碼,減少密碼在傳輸過程中被擷取而造成安全問題的可能性。不僅如此,Clef 還能將 WordPress 原有的帳號密碼登入驗證方式停用,以 Clef 取代傳統登入表單(新的登入畫面會如同下圖)。
STEP 2
要安裝這個功能非常簡單。首先,你要有一支 iPhone 或 Android 手機、平板電腦,因為每次登入都會用到,請先在手機或平板電腦上安裝 Clef 應用程式(可以在 Clef 官方網站找到下載鏈結),安裝後先放著,我們要先進行 WordPress 端的設定。
開啟、登入你的 WordPress 網站後,點選左側選單的「外掛」->「安裝外掛」,然後搜尋「Clef」即可找到這個外掛功能,點選右上角的「立刻安裝」把它安裝到網站。
STEP 3
下載、啟用外掛功能後,第一次使用需要進行設定。點選外掛的「Get Started」開始進行初次使用設定。
STEP 4
如果你還沒有下載 Clef App 的話,在開始前也會提示使用者先下載,把 Clef 安裝到自己的手機才能繼續。若已安裝完成,點選「I already have the app」繼續下一步。
接著畫面上會出現 Clef Wave,也就是波浪狀的驗證碼,拿出你的手機或平板電腦,打開剛才下載的 Clef 應用程式,對著螢幕上的驗證碼掃描。完成這步驟後,就能讓你的網站與手機 Clef 進行連結。
STEP 5
接下來會跳轉到一個隨機的 clef.io 鏈結,看到箭頭了嗎?請依照指示,選擇在畫面上出現的網址(在你的手機上進行選擇),這個步驟是 Clef 後來再加入的額外驗證,目的是避免不小心被其他人掃描、登入,多一層驗證的防護措施。
STEP 6
在結束 Clef 外掛設定前,可以選擇是否邀請其他使用者來使用 Clef,可以點選藍色按鈕來發送邀請,或者點選「Continue and finish setup」完成設定。
STEP 7
順帶一提,如果你想用 Clef 驗證方式來取代 WordPress 傳統帳號密碼登入框,可以在外掛設定的「Disable Passwords」將相關功能關閉。若你使用 WordPress App 或離線編輯器,必須要透過 API 驗證身份,也記得把 Allow passwords for API 功能打開才能正常連線。
值得一試的三個理由:
- 以全新的驗證波浪(Clef Wave)取代原有的帳號密碼登入
- 支援 iOS、Android,掃描即可快速驗證身份
- 可設定自動登出時間,或從遠端登出帳號