两步验证

您的 WordPress.com 站点就是您在互联网上的家，您当然希望保证自己的家安全无虞。希望您已为自己的帐户选择了独特且难以破解的密码。为了给这个“家”额外添加一层安全性，您可以启用两步验证功能。

在此指南中

1. 什么是两步验证？
2. 使用验证器应用程序设置
3. 使用短信代码设置
4. 安全密钥验证
   1. 要求
   2. 添加密钥
   3. 删除密钥
5. 登录
6. 备份代码
7. 应用程序特定的密码
8. 禁用两步验证
9. 转为使用新设备
10. 如果您的设备丢失

---

什么是两步验证？

两步验证是一种保护帐户安全的方法，它不仅要求您 知道用于登录的信息（密码），而且还要求您 持有某些物品（移动设备或物理密钥）。这种安全保护方法的好处是，即使有人猜出了您的密码，他们也只有 在窃取到您持有的这类物品后才能入侵您的帐户。

在 WordPress.com，我们通过移动设备和物理安全密钥提供两步验证。我们首先通过以下两种方法之一发送代码，以验证您的移动设备。在验证移动设备后，您还可以添加使用物理密钥的验证机制。

设置两步验证后，每次您使用密码登录时，我们都会向您的设备发送一个新代码，您必须输入该代码或者插入物理密钥之后才能登录。这只是登录过程中增加了一个简单的附加步骤，但能够大幅度提升您的帐户安全性。

---

使用验证器应用程序设置

要通过设备上的 Google Authenticator、Authy 或 Duo 等验证器应用程序设置两步验证，您需要在桌面版浏览器中开始操作。

首先，转到 WordPress.com 上的 两步验证 设置页面。

您也可以通过点击 WordPress.com 主页上的 个人资料图片来访问“设置”：

然后点击屏幕左侧导航栏中的“安全”链接：

再依次点击两步验证并开始。

在这里，系统会提示您选择您所在国家/地区，并提供您的手机号码（不带国家/地区代码，也不要使用空格或短划线）。之后点击通过应用程序验证。

接下来，扫描您的验证器应用程序显示的随附的二维码 。验证器应用程序中将出现一个 6 位数字。在系统提供的字段中输入这个数字，然后点击启用。

最后， 系统会提示您打印备份代码。不要跳过这一步，因为一旦您的设备丢失，那么这是在无需人工协助的情况下重新登录帐户的唯一方法 ！

请注意： 如果您的 Web 浏览器设置为阻止弹出窗口，则可能需要暂时禁用此功能，否则它会阻止您打开显示备份代码的窗口。

单击全部完成。

此时，您的站点已启用了两步验证。接下来的一个步骤让您通过输入所打印的代码之一来确认您的备份代码可以正常使用。

---

使用短信代码设置

如果您无法使用验证器应用程序设置两步验证，也可以将其设置为通过短信发挥作用。为此，请按照上述说明设置您的电话号码，但改为点击通过短信验证。

稍后，您应该会收到一条包含 7 位数字的短信。在系统提供的空白处输入此数字，然后点击启用。

从此时开始，您就可以打印并验证上述备份代码。您的帐户现在就受到了两步验证的保护。

阻止自动呼叫的智能手机应用程序也可能会阻止我们的信息。

---

安全密钥验证

WordPress.com 支持使用 WebAuthn 标准通过物理安全密钥进行登录验证。

输入密码后，您不需要输入通过短信或通过 Google Authenticator 之类的应用收到的密码，而是插入物理密钥。然后，您可以按物理密钥上的一个按钮以完成验证并登录。如果没有这个物理密钥，任何人都无法登录您的帐户，就算他们知道您的密码也是如此。

要求

• 拥有带 USB 端口并安装有最新版本的兼容浏览器（如 Chrome、Firefox、Opera 或 Edge）的计算机。
  （注意：目前，Chrome 和 Firefox 为这项功能提供的整体支持最好，因此我们建议使用这些浏览器以获得最一致的体验。）
• 有一个插入 USB 端口并且支持 FIDO2 的密钥，比如 Yubico 的 YubiKey 或 Google 的 Titan Key（使用较早的 FIDO U2F 标准的设备也应该可以正常使用）。请查看您的特定密钥的支持文档，以获取有关密钥支持的设备和浏览器类型的更多信息。

添加密钥

注意：您需要按照上述步骤通过短信或验证器应用程序启用两步验证，然后才能添加安全密钥。

使用应用程序或短信设置两步验证后，您将看到添加安全密钥的选项。单击注册密钥。

我们允许注册多个密钥，因此您可以为密钥指定一个名称，以便在将来添加其他密钥时区分。输入一个唯一名称，然后点击注册密钥。

此时，将密钥插入计算机上的 USB 端口，然后根据密钥的类型，按相应的按钮或点按密钥上的金色圆盘位置。

如果注册成功，您会在屏幕上看到一条消息，并且该密钥现在会列在“安全密钥”部分中。

设置完成后，如果没有密钥，您就无法访问自己的帐户，因此请像保管自己的家或汽车的钥匙一样妥善保管好它！

您还可以考虑添加第二个密钥作为备份选项，并将其保管在某处，以便在主密钥发生问题时可以作为备用。要添加其他密钥，只需再次点击注册密钥。

删除密钥

如果您想删除之前添加的安全密钥（例如，如果密钥丢失或不能再正常使用），则可以将该密钥与帐户取消关联。

转到个人资料设置中的“两步验证”页面，单击密钥旁边的垃圾桶图标，然后在所显示的确认消息中点击删除密钥。

---

登录

启用两步验证之后，登录过程将与通常有所不同。无论您是使用 Google Authenticator 方法还是短信方法来启用两步验证，首先都要像往常一样使用用户名和密码登录。

登录 WordPress.com

接下来，系统将提示您输入已发送到您设备上的验证码。

如果您使用验证器应用程序设置了两步验证，请在您的设备上打开该应用程序并提供其中为您的帐户列出的 6 位数字。如果您使用短信进行两步验证，我们将向您发送一条包含 6 位数字的短信。输入代码后，即可登录并撰写博客文章。

如果您配置了安全密钥，则会看到一条提示，询问您要使用密钥还是身份验证器应用程序/短信进行验证。要使用密钥验证，请点击使用安全密钥继续。

接下来，您会看到提示您连接密钥的提示。将密钥插入计算机上的 USB 端口，然后根据密钥的类型，按相应的按钮或点按密钥上的金色圆盘位置以完成登录。

注意：如果验证时间太长，验证请求将被取消，并显示一条错误消息。此时只需再次点击使用安全密钥继续即可重新启动验证。

---

备份代码

我们不希望您失去对 WordPress.com 帐户的访问权限 – 如果您的密钥丢失、被盗、您出于任何原因被禁止访问或者需要彻底擦除 设备（这会删除 Google Authenticator)，您仍然需要能够登录。

为确保您不会被禁止访问帐户，您可以生成一组 10 个一次性备份代码。我们建议您打印出备份代码，并将其存放在钱包或文件保险箱等安全地点。 （切勿 将其保存在计算机上。因为使用您计算机的任何人都可以使用这些代码。） 

生成备份代码意义重大，务必执行。如果您需要使用备份代码，只需像平常一样登录，然后在系统要求提供登录密码时，输入备份代码即可。

在两步授权的设置过程结束时，系统将为您提供生成备份代码的选项：

打印出代码（而不要仅仅保存这些代码），并确认操作已经完成。然后点击全部完成！以关闭该屏幕。

如果您丢失了备份列表，或者其遭到破坏，您可以生成一组新的代码。为了提高安全性，在您执行此操作时，您以前生成的所有代码都会被禁用。

您只能通过桌面版浏览器生成备份代码。例如，iOS 版 Safari 将无法显示备份代码。此外，如果您的 Web 浏览器设置为阻止弹出窗口，则可能需要暂时禁用此功能，否则它会阻止您打开显示备份代码的窗口。

---

应用程序特定的密码

某些连接到您的 WordPress.com 帐户的应用程序可能尚未完全支持两步验证。最常见的是用于订阅 WordPress.com 博客的 Jabber 应用程序。对于这些应用程序，您可以为每个应用程序生成唯一密码（例如，您可以为手机和平板电脑使用不同的密码）。然后，您可以禁用个别密码并阻止这些应用程序访问您的帐户，以防止其他人访问您的站点。

要生成应用程序特定的密码，请返回两步验证， 然后再向下找到“应用程序密码”：

给应用程序指定一个名称 – 这个名称只有您可以看到，所以您可以随意取名，然后点击“生成密码”。WordPress.com 将创建一个包含 16 个字符的唯一密码，您下次再该设备上登录帐户时可以复制并粘贴该密码。应用程序会记住这个密码，您不需要费心记忆。

您的“安全”页面将维护一个您已经为其生成了密码的所有应用程序的列表。如果您的任何设备丢失或被盗，或者您只是想撤消对特定应用程序的访问权限，则可以随时访问此页面，然后单击“X”以禁用密码并阻止该应用程序访问您的帐户：

---

禁用两步验证

我们不建议您禁用两步验证，因为即便您认为自己的密码非常安全，它的实际安全性也要比您想像得低得多。但是，如果您坚持要这样做，可以通过进入两步验证 页面来禁用该功能。

该页面将显示此功能已启用，您可以点击禁用两步验证按钮。此时系统将提示您输入代码，以确认您仍然可以访问最初用于设置两步验证的设备。如果您使用的是 身份验证器应用程序，请打开该应用程序并提供所列出的代码。如果您使用的是短信，则会通过短信收到可供您使用的代码。（此代码与您用于登录帐户的代码不同。您也可以在此步骤中使用备份代码之一。）

输入代码后单击禁用 ，您的帐户将不再受到两步验证的保护。

注意：安全密钥不能用于禁用两步验证 – 只能使用通过短信收到的代码、您的验证器应用程序或备份代码来禁用此功能。

---

转为使用新设备

如果您打算改用新设备，并且启用了两步验证，则需要执行以下步骤，以避免被禁止访问您的用户帐户。

如果您使用验证器应用程序生成验证码，请执行以下操作：

1. 请按照此处的步骤为您的用户帐户打印一组备份代码。不要跳过这一步。
2. 在新设备上，安装验证器应用程序。
3. 请按照此处的步骤禁用两步验证与您的旧设备的关联。
4. 请按照此处的步骤设置用户帐户以关联新设备。
5. 如果系统提示您输入验证码，请使用备份代码列表中的一个代码。备份代码仅供一次性使用。
6. 现在，您就可以从旧设备上卸载验证器应用程序。

如果您使用 WordPress.com 移动应用程序来管理您的站点并向其发布内容：

1. 请按照此处的步骤创建新的应用程序特定的密码。
2. 在新设备上使用此应用程序时，请输入新的应用程序密码。

如果您使用短信接收验证代码，那么除非您还要换用新电话号码，否则无需更新设置。如果换用新电话号码，您将需要按照此处的步骤先设置一个新的恢复用电话号码，然后再取消与旧短信号码之间的关联。

---

如果您的设备丢失

如果您的设备或安全密钥丢失、意外删除了验证器应用程序，或者被禁止访问您的帐户，那么重新进入帐户的唯一方法是使用备份代码。

要使用备份代码，请像往常一样填写您的登录详细信息。在系统询问有关登录代码的信息时，请输入备份代码。注意：每个备份代码只能使用一次，因此在使用时要谨慎。