作为一个网站的管理员,对于网站的安全意识一刻也不能松懈,对于大型多用户网站来说,更是如此。当我们的 wordpress 网站中出现大量不常活跃的空闲账户时,对于网站的安全来说是很不利的。那么,我们是否有必要自动注销空闲用户,并强制非活动用户再次登录?
现在很多银行网站和应用程序已经使用此技术来避免未经授权的用户访问帐户或劫持帐户。当然,我们也可以在自己的 WordPress 网站上实现此功能,来提高网站安全性。下面将介绍如何在 WordPress 中自动注销非活动用户,注销后,只有用户再次登录才能恢复他们的账户。使用 Inactive Logout 插件,安装并激活 Inactive Logout 插件,转到【设置】»【非活动注销】页面即可配置插件设置。
首先,需要输入用户将自动注销的时间。可以以分钟为单位输入,并保证它不要太短或太长。之后,可以输入要向不活动用户显示的消息。在消息字段下方,找到更多插件选项来更改注销功能。默认设置适用于大多数网站,但可以根据自己需要进行更改。
弹出背景:如果要在用户会话超时时更改屏幕的背景颜色,则可以启用此选项。此选项将覆盖用户的浏览器屏幕,并保持内容不被窥探。
禁用超时倒计时:此选项将删除倒计时警告,并将直接注销空闲用户。
仅显示警告消息:如果您不想使用自动注销功能,请选中此选项。它只会显示警告信息,如果您选中了弹出背景选项,它将覆盖屏幕。
禁用并发登录:此选项将限制您的 WordPress 用户进行并发登录。这意味着他们将无法使用同一帐户从不同设备同时登录。
启用重定向:默认情况下,插件会显示一个登录弹出窗口,但不会重定向用户。您可以启用此选项将用户重定向到所需的任何其他页面。
查看和更改设置后,记得单击“保存设置”。
根据用户角色设置不同的超时设置
如果要根据用户角色和功能设置超时规则,则可以在插件的设置页面的“高级管理”选项卡下执行此操作。首先,需要选择与全局设置不同的用户角色。之后,能够以分钟为单位选择超时,重定向甚至禁用该用户角色的超时设置。
对设置满意后,单击“保存设置”。要查看插件的运行情况,可以登录到网站,并在插件设置中设置的持续时间内不执行任何操作。之后,将看到显示倒数计时器弹出窗口。
可以单击“继续”按钮继续工作而不会使会话到期。未单击“继续”按钮的用户将被注销,他们将看到登录界面。
使用两步验证添加更多安全性
以上这种方法存在一个弊端,很多用户如果使用了密码管理器或浏览器内置的密码存储功能来保存密码。那么他们在登录弹出窗口时就已经填写了用户名和密码字段。任何人只需点击登录按钮即可访问他们的帐户。
通过向 WordPress 登录界面添加两步验证,可以使未经授权的访问更加困难。它要求用户在手机上输入应用程序生成的唯一一次性密码。具体如何实现,我们可以参考以下插件或方法:
Two Factor (通过短信验证)
Two Factor SMS (通过短信验证)
Google Captcha(reCAPTCHA)人机身份验证
