Wordfence 在 2026 年 5 月發出一份正式公告,預告 2026 年 7 月 1 日左右停止支援 SMS 簡訊形式的兩階段驗證,所有舊版 Legacy 2FA 帳號必須改用驗證器 App 產生的一次性密碼。對全台使用 Wordfence 守住後台登入的站長來說,這是一條硬截止線,不是建議。
對中小型企業網站尤其有感。多數站台只有少數幾組編輯與管理員帳號,過去設定 SMS 驗證求其方便,現在要在退場前把每一個有後台權限的角色重新走一遍 TOTP 設定,順便檢查備用碼有沒有保管妥當、有沒有殘留的舊帳號。趁這次切換把整套登入防線一次補齊,比之後出事再補救要省力得多。
這篇文章談 wordpress 兩階段驗證在 2026 年的實作走向,從 SMS 退場前的盤點、TOTP 工具的挑選,到 WP 2FA 與 Wordfence Login Security 兩款外掛的搭配方式、強制角色開啟的策略,最後補上應用程式專用密碼、備用碼保管、邊緣防火牆與登入限制怎麼疊成完整防線。
SMS 退場時間表與站長要做的事
Wordfence 官方文件已標示 Legacy 兩階段驗證將於 2026 年 7 月 1 日前後停止運作,過去靠手機簡訊收驗證碼的帳號,到那天之後等同於只剩單因素登入,攻擊者拿到密碼就能直接進入後台。
退場原因不只是 Wordfence 單方面的決定,整個產業這幾年都在淘汰 SMS。簡訊容易被 SIM 卡盜換、被門號劫持,國際電信通道也屢屢出現中間人攔截事件。Google、Microsoft、Apple 三大平台早已把 SMS 列為「不建議的 2FA 方式」,Wordfence 跟進只是時間問題。
站長要做的盤點分三層。網站本身要確認 Wordfence 版本是 8.x 系列的 Login Security 模組,舊版 Legacy 2FA 已經不在介面內,必須先升級。帳號層要列出所有具備 administrator、editor 角色的使用者,逐一通知對方在期限前完成 TOTP 設定。流程層則是把新員工到職、離職時的 2FA 註冊與撤銷寫進交接清單,避免某個離職編輯的舊備用碼還能被拿來換密碼。
TOTP 是什麼,為什麼比 SMS 安全
TOTP 全名是時間式一次性密碼(Time-based One-Time Password),原理是手機端的驗證器 App 跟伺服器共享一組密鑰,雙方各自用同一個時間戳記算出一組 6 位數,每 30 秒更新一次。整個過程不經過電信網路,也不需要連網(密鑰交換完成後驗證器離線就能算),抓不到、攔不到。
跟 SMS 比,TOTP 的優勢有三層。一是抗 SIM 盜換,密鑰存在手機本機,換門號不影響;二是抗中間人,沒有簡訊流量可以被攔截;三是不依賴電信費,國外出差也能照常使用。代價是初次設定要掃 QR Code、要備份備用碼,比簡訊稍嫌繁瑣,但這是一次性成本。
常見驗證器 App 對照
挑驗證器 App 不必只認 Google Authenticator,現在市面成熟選項已經很多,可以依照團隊既有的密碼管理流程整合。
| 驗證器 | 雲端同步 | 多裝置 | 適合對象 |
|---|---|---|---|
| Google Authenticator | 支援(綁 Google 帳號) | 支援 | 個人站長,已習慣 Google 生態 |
| Microsoft Authenticator | 支援 | 支援 | 公司用 Microsoft 365 帳號 |
| Authy | 支援 | 支援 | 跨平台需求高,含桌面版 |
| 1Password | 支援 | 支援 | 已採購 1Password 做密碼管理 |
| Bitwarden | 支援(付費) | 支援 | 用 Bitwarden 管密碼的團隊 |
| Aegis(Android)/Raivo(iOS) | 本機加密匯出 | 不支援 | 不信任雲端同步、要完全本機 |
雲端同步是一把雙面刃。同步開啟後換手機很順手,但同步帳號本身的密碼若被攻破,所有 TOTP 密鑰會跟著外流。判斷原則是同步帳號本身有沒有獨立的強密碼跟 2FA 保護,沒有就改用本機型驗證器。
備用碼與裝置遺失的處理
註冊 TOTP 時,外掛會產出一組備用碼(通常 8 到 10 組),用於手機遺失、驗證器資料毀損時應急。備用碼要當成跟密碼同等級的機密處理,建議印一份放保險箱,再存一份在密碼管理員的安全筆記裡,不要單純截圖存進雲端硬碟。
裝置遺失的流程要事先想好。管理員角色若是單一人持有,最少要設兩個獨立驗證器(例如手機跟一支備用平板),或是把備用碼交給另一個信任的同事保管。團隊型網站建議至少兩位管理員角色,互為救援,避免單點故障鎖死整個後台。
主流 2FA 外掛的角色分工
WordPress 後台要上 2FA,社群有兩款外掛特別常見,定位不同,可以單用也可以搭配。
Wordfence Login Security 模組是 Wordfence 整套防火牆的一部分,原本就跟封鎖暴力破解、IP 黑名單、CAPTCHA 整合在同一個外掛。優點是已經裝 Wordfence 的站台不必再多裝一支,TOTP 介面也直接在原本的選單裡。缺點是強制特定角色的選項相對簡單,沒有寬限期、沒有逐角色細部規則。
WP 2FA 是 Melapress(WP Security Audit Log 同公司)的專門 2FA 外掛,2026 年 2 月發布的 3.1 版本支援 TOTP、Email OTP、Passkey 三種方式,免費版就能設定政策,強制特定角色在 N 天寬限期內完成註冊,逾期未設定的帳號自動阻擋登入。對團隊型網站、有 editor/author 多人共用後台的站台特別合用。
Wordfence Login Security 的設定路線
Wordfence 模組的設定路徑在後台「Login Security → Two-Factor Authentication」分頁。每位使用者自行掃 QR Code 註冊,管理員可以在同分頁的 Settings 區塊勾選「Require 2FA for administrators」「Require 2FA for editors」這類選項,啟用後該角色的使用者下次登入會被擋下,要求立刻完成 2FA 設定。
Wordfence 也支援 reCAPTCHA v3 整合,跟 2FA 搭配可以擋掉沒帶 TOTP 的暴力登入嘗試。要注意的是 Wordfence Free 版的 IP 黑名單只跟社群即時資料庫同步,Premium 才有商業情資的即時更新,預算允許的話付費版更值得投入。
WP 2FA 的政策化管理
WP 2FA 的核心是「政策」概念,外掛安裝後會跑一個精靈,要求站長選擇強制哪些角色、寬限期幾天、寬限期結束後是直接阻擋還是給最後通牒。設定完成後新註冊或既有的目標角色使用者,下次登入會看到設定流程的引導畫面。
對中型團隊來說,這套政策化的好處是讓 2FA 變成站台規範,而不是個人偏好。新編輯到職第一次登入就被導向設定流程,不需要主管口頭叮嚀,也不會出現「忘了開」的個案。WP 2FA 跟 Wordfence 不衝突,可以兩支同時開啟,由 WP 2FA 管 2FA 政策、Wordfence 管防火牆與登入限制。
強制角色開啟 2FA 的步驟
不是每個角色都要強制 2FA。subscriber(訂閱者)、customer(WooCommerce 客戶)這類前台角色強制反而會增加客服負擔,重點放在能進後台寫入內容的角色。
按照角色權限由高到低排序,建議的強制範圍是 administrator、editor、author 三個層級必開,contributor 視站台政策決定,shop_manager(WooCommerce 商店經理)絕對要開。前台角色除非有特殊需求,預設不強制。
在 WP 2FA 設定角色政策
進 WordPress 後台「WP 2FA → Policies」分頁,第一個區塊「Which users are required to have 2FA」選 Only for specific roles,下拉選單勾選要強制的角色。第二區塊 Grace period 設定寬限期,建議給 7 至 14 天,讓使用者有時間自行設定。
寬限期結束後的行為有兩個選項,「Block user from accessing the WordPress dashboard until they configure 2FA」是直接阻擋登入,「Don’t enforce 2FA」則只是提醒。中型網站建議用前者,但要先確認所有目標角色的使用者都收到通知,否則寬限期一過會出現大量客服求救。
在 Wordfence Login Security 強制 2FA
Wordfence 的強制設定在「Login Security → Settings」分頁,下拉到「Require 2FA for these roles」區塊,逐一勾選 administrator、editor 等角色。這裡沒有寬限期設定,勾選後立刻生效。
如果 Wordfence 跟 WP 2FA 同時安裝,建議只在其中一支啟用強制政策,避免兩套系統互相衝突。多數情況選 WP 2FA 管政策更有彈性,Wordfence 留著管防火牆即可。
補上應用程式密碼、備用碼與整體防線
只裝 2FA 不夠。WordPress REST API、XML-RPC、第三方備份外掛常常需要應用程式專用密碼,這部分跟 2FA 是平行的另一條線,要分開規劃。
WordPress 5.6 起內建應用程式密碼(Application Passwords),後台使用者編輯頁就能產生。每組應用程式密碼可以單獨撤銷,建議每個第三方工具配一組獨立密碼,便於後續追蹤。XML-RPC 若沒有 Jetpack、行動 App 等實際需求,建議直接在伺服器層或 Wordfence 規則裡禁用,少一個攻擊面。
備用碼的保管前面提過,這裡補一層團隊面的處理。公司型網站建議在內部資安手冊裡寫明備用碼保存方式、誰負責保管、離職時怎麼撤銷,把口頭默契變成書面流程。
邊緣防火牆與登入限制疊加
2FA 防的是密碼洩漏後的最後一道,前面還可以再疊兩層。第一層是 Cloudflare、Sucuri 這類邊緣網頁應用程式防火牆(Edge WAF),把 wp-login.php 設定地理區域限制,台灣站台直接擋掉非亞洲 IP,過濾掉七、八成的暴力嘗試。第二層是登入失敗限制,Wordfence 跟 Limit Login Attempts Reloaded 都能做到,連續登入失敗 5 次自動鎖該 IP 一小時。
這三層疊起來的邏輯是邊緣防火牆先擋大量無差別流量,登入限制壓制針對性的密碼噴灑攻擊,2FA 守住密碼真的被猜中的最後一關。任何一層單獨用都會留下破口,疊三層才能稱得上完整防線。
Passkey 是下一步,但還不是現在
2026 年的另一個趨勢是 Passkey(通行密鑰),用 WebAuthn 標準把臉部辨識、指紋、裝置 PIN 當成登入因素,連密碼都省掉。WordPress 核心目前還沒內建支援,必須靠 Secure Passkeys、WP-WebAuthn 這類外掛實作。
對技術成熟的團隊,Passkey 可以跟 TOTP 並存,使用者自選用哪種登入。對多數中小企業網站,現階段先把 SMS 切換到 TOTP 才是優先項目,Passkey 等明後年生態更穩定再評估。WP 2FA 3.x 版已經把 Passkey 列為支援方式之一,未來要切換時不必再換外掛,這也是挑工具時值得考慮的點。
退場日期就在眼前,與其七月才臨時應變,建議把這個月當盤點期。先確認 Wordfence 版本、列出所有後台角色帳號、選定驗證器 App、規劃寬限期,下個月開始發出內部通知,留兩到三週讓使用者完成切換,七月退場那天才不會有人卡在登入畫面外面。