Wordfence 在 2026 年 5 月發出一份正式公告,預告 2026 年 7 月 1 日左右停止支援 SMS 簡訊形式的兩階段驗證,所有舊版 Legacy 2FA 帳號必須改用驗證器 App 產生的一次性密碼。這對全台採用該防火牆保護後台登入的站長來說,是一條硬截止線,不是建議事項。
對中小型企業網站尤其有感。多數站台只有少數幾組編輯與管理員帳號,過去設定 SMS 驗證圖個方便,現在要在退場前把每一個有後台權限的角色重新走一遍 TOTP 設定,順便檢查備用碼有沒有存妥、有沒有殘留的舊帳號。趁這次切換把整套登入防線一次補齊,比之後出事再補更省力許多。
本文談 WordPress 兩階段驗證在 2026 年的實作走向,涵蓋 SMS 退場前的盤點、TOTP 工具的挑選、WP 2FA 與該防火牆兩款外掛的搭配方式、強制角色開啟的策略,以及 App Password、備用碼保管、Edge WAF 與登入限制的完整防線疊組。
SMS 退場時間表與站長要做的事
該防火牆官方文件已標示 Legacy 兩階段驗證將於 2026 年 7 月 1 日前後停止運作,過去靠手機簡訊收驗證碼的帳號,到那天之後等同於只剩單因素登入,攻擊者一旦掌握密碼就能直接進入後台。
退場原因不只是該防火牆單方面決定,整個產業這幾年都在淘汰 SMS。簡訊容易被 SIM 卡盜換、被門號劫持,國際電信通道也屢屢出現中間人攔截事件。Google、Microsoft、Apple 三大平台早就把 SMS 列為「不建議的 2FA 方式」,相關廠商跟進只是時間問題。
站長要做的盤點涵蓋三個層面。網站層面要確認該防火牆版本是 8.x 系列的 Login Security 模組,舊版 Legacy 2FA 已經不在介面內,必須先升級。帳號層面要列出所有具備 administrator、editor 角色的使用者,逐一通知對方在期限前完成 TOTP 設定。流程層面則是把新員工到職、離職時的 2FA 註冊與撤銷寫進交接清單,避免離職編輯的舊備用碼仍可用於密碼更新。
TOTP 是什麼,為什麼比 SMS 安全
TOTP 全名是時間式一次性密碼(Time-based One-Time Password),原理是手機端的驗證器 App 與伺服器共享一組密鑰,雙方各自用同一個時間戳記算出一組 6 位數,每 30 秒更新一次。整個過程不經過電信網路,也不需要連網(密鑰交換完成後驗證器離線就能運算),無法被攔截或盜竊。
與 SMS 相較,TOTP 的優勢有三層。一是抗 SIM 盜換,密鑰在手機本機,換門號不影響;二是抗中間人,沒有簡訊流量可以被攔截;三是不依賴電信費率,國外出差也能使用。代價是初次設定需掃描 QR Code、需備份備用碼,較簡訊繁瑣,但這是一次性成本。
常見驗證器 App 對照
挑驗證器 App 不必只認 Google Authenticator,現在市面成熟選項已經很多,可以依照團隊既有的密碼管理流程整合。
| 驗證器 | 雲端同步 | 多裝置 | 適合對象 |
|---|---|---|---|
| Google Authenticator | 支援(綁 Google 帳號) | 支援 | 個人站長,已習慣 Google 生態 |
| Microsoft Authenticator | 支援 | 支援 | 公司用 Microsoft 365 帳號 |
| Authy | 支援 | 支援 | 跨平台需求高,含桌面版 |
| 1Password | 支援 | 支援 | 已採購 1Password 做密碼管理 |
| Bitwarden | 支援(付費) | 支援 | 用 Bitwarden 管密碼的團隊 |
| Aegis(Android)/Raivo(iOS) | 本機加密匯出 | 不支援 | 不信任雲端同步、要完全本機 |
雲端同步是把雙面刃。同步開啟時換手機順利,但同步帳號本身的密碼若被攻破,所有 TOTP 密鑰隨之外流。判斷原則是同步帳號本身有沒有獨立的強密碼與 2FA 保護,沒有就改用本機型驗證器。
備用碼與裝置遺失的處理
註冊 TOTP 時,外掛會產出一組備用碼(通常 8 至 10 組),用於手機遺失、驗證器資料毀損時應急。備用碼應當視為與密碼同等級的機密,建議列印一份放入保險箱,再存一份在密碼管理員的安全筆記,避免單純截圖放在雲端硬碟。
裝置遺失的流程要事先規劃。管理員角色若由單一人持有,至少應設置兩個獨立驗證器(例如手機與備用平板),或將備用碼委由另一位信任的同事保管。團隊型網站建議至少配置兩位管理員角色,互為備援,避免單點故障導致後台被鎖。
主流 2FA 外掛的角色分工
WordPress 後台要上 2FA,社群有兩款外掛特別常見,定位不一樣,可以單用也可以搭配。
該防火牆的 Login Security 模組是其防火牆整套方案的一部分,原本就與封鎖暴力破解、IP 黑名單、CAPTCHA 整合在同一個外掛。優點是已經安裝該防火牆的站台毋須再多裝一支,TOTP 介面也直接在原本的選單內。缺點是強制特定角色的選項相對簡單,缺乏寬限期、缺乏逐角色細部規則。
WP 2FA 是 Melapress(WP Security Audit Log 同公司)的專門 2FA 外掛,2026 年 2 月發布的 3.1 版本支援 TOTP、Email OTP、Passkey 三種方式,免費版即可設定政策,強制特定角色在 N 天寬限期內完成註冊,逾期未設定的帳號自動阻擋登入。對團隊型網站、editor 與 author 多人共用後台的站台特別適用。
Login Security 模組的設定路線
該模組的設定路徑在後台「Login Security → Two-Factor Authentication」分頁。每位使用者自行掃描 QR Code 註冊,管理員可在同分頁的 Settings 區塊勾選「Require 2FA for administrators」「Require 2FA for editors」等選項,啟用後該角色的使用者下次登入會被擋下,要求立即完成 2FA 設定。
該防火牆亦支援 reCAPTCHA v3 整合,與 2FA 搭配可攔阻未帶 TOTP 的暴力登入嘗試。需注意的是免費版的 IP 黑名單僅與社群即時資料庫同步,付費版才具備商業情資的即時更新,預算允許的話更值得考慮。
WP 2FA 的政策化管理
WP 2FA 的核心是「政策」概念,外掛安裝後會執行一個精靈,要求站長選擇強制哪些角色、寬限期幾天、寬限期結束後是直接阻擋還是發出最後通牒。設定完成後新註冊或既有的目標角色使用者,下次登入會看到設定流程的引導畫面。
對中型團隊來說,政策化管理的好處是讓 2FA 轉為站台規範而非個人偏好。新編輯到職首次登入就被導向設定流程,不需要主管口頭提醒,也不會出現「忘了開啟」的個案。WP 2FA 與該防火牆不相衝突,可同時啟用,由 WP 2FA 管理 2FA 政策、該防火牆管理登入防護與限制。
強制角色開啟 2FA 的步驟
並非所有角色都需強制 2FA。subscriber(訂閱者)、customer(WooCommerce 客戶)等前台角色強制反而會增加客服負擔,重點應放在能進後台寫入內容的角色。
按角色權限由高到低排序,建議的強制範圍是 administrator、editor、author 三個層級必開,contributor 視站台政策決定,shop_manager(WooCommerce 商店經理)務必啟用。前台角色除非有特殊需求,預設無須強制。
在 WP 2FA 設定角色政策
進入 WordPress 後台「WP 2FA → Policies」分頁,第一個區塊「Which users are required to have 2FA」選擇 Only for specific roles,下拉選單勾選要強制的角色。第二區塊 Grace period 設定寬限期,建議給予 7 至 14 天,讓使用者有時間自行設定。
寬限期結束後的行為有兩個選項,「Block user from accessing the WordPress dashboard until they configure 2FA」為直接擋登入,「Don’t enforce 2FA」則僅是提醒。中型網站建議採用前者,但要事先確認所有目標角色的使用者都收到通知,否則寬限期一過會出現大量客服求救。
在該防火牆模組強制 2FA
該外掛的強制設定在「Login Security → Settings」分頁,下拉至「Require 2FA for these roles」區塊,逐一勾選 administrator、editor 等角色。此處無寬限期設定,勾選後即刻生效。
若該外掛與 WP 2FA 同時安裝,建議僅在其中一支啟用強制政策,避免兩套系統互相衝突。多數情況由 WP 2FA 管理政策更具彈性,該防火牆專責登入防護即可。
補上 App Password、備用碼與整體防線
僅憑 2FA 尚不足夠。WordPress REST API、XML-RPC、第三方備份外掛常需應用程式專用密碼,此部分與 2FA 為平行的另一條線,應分開規劃。
WordPress 5.6 起內建 Application Passwords,後台使用者編輯頁即可產生。每組應用程式密碼可單獨撤銷,建議每個第三方工具配置一組獨立密碼,便於後續追蹤。XML-RPC 若無 Jetpack、行動 App 等實際需求,建議直接在伺服器層或該防火牆規則內禁用,減少攻擊面。
備用碼的保管前述已提及,此處補充團隊層面的處理。公司型網站建議在內部資安手冊內明確載明備用碼保存方式、保管責任人、離職時的撤銷流程,將口頭默契轉為書面流程。
Edge WAF 與登入限制疊加
2FA 防的是密碼洩漏後的最後一道防線,前面仍可再疊兩層。第一層是 Cloudflare、Sucuri 等 Edge WAF(邊緣網頁應用程式防火牆),將 wp-login.php 設定地理區域限制,台灣站台可直接擋住非亞洲 IP,過濾七至八成的暴力嘗試。第二層是登入失敗限制,該防火牆與 Limit Login Attempts Reloaded 均可實現,連續登入失敗 5 次後自動鎖該 IP 一小時。
三層疊疊起來的邏輯是 WAF 先擋大量無差別流量,登入限制抑制針對性的密碼噴灑攻擊,2FA 守住密碼真的被猜中的最後一關。任一層單獨使用都會留下破口,疊三層方稱得上完整防線。
Passkey 是下一步,但還不是現在
2026 年的另一個趨勢是 Passkey(通行密鑰),採用 WebAuthn 標準將臉部辨識、指紋、裝置 PIN 作為登入因素,無需密碼。WordPress 核心目前尚未內建支援,須依賴 Secure Passkeys、WP-WebAuthn 等外掛實現。
對技術成熟的團隊,Passkey 可與 TOTP 並存,使用者自選登入方式。對多數中小企業網站,當下優先將 SMS 轉換至 TOTP,Passkey 待明後年生態更臻穩定後再評估。WP 2FA 3.x 版已將 Passkey 列為支援方式之一,未來切換時毋須更換外掛,此亦是選擇工具時值得考量的要點。
截止日期近在眼前,與其於 7 月臨時抱佛腳,建議以本月作為盤點期。先確認該防火牆版本、列出所有後台角色帳號、選定驗證器 App、規劃寬限期,下月開始發出內部通知,預留兩到三週讓使用者完成轉換,7 月截止那日就不會有人卡在登入畫面外。