保护 WordPress 管理区域的 10 个绝妙技巧
已发表: 2022-07-12根据其 2016 年被黑网站报告,在 Sucuri 已知的 8,000 个受感染网站中,其中 74% 是基于 WordPress 的。这一严肃的统计数据在一定程度上有助于您意识到对网站网络安全的持续关注。
恶意第三方使用各种方法攻击您的 WordPress 网站。 管理仪表板将是最容易受到攻击的目标。 它就像您网站的中心,其中包含重要数据。 一旦闯入您的管理仪表板,他们就会采取危险的行动,这将严重损害您的网站。
要有效防止可疑攻击,您需要保护 WordPress 管理员。 我们今天的文章集中在 10 种收紧登录区域的方法。 在深入研究细节之前,让我们简要解释一些保护您的管理员登录的原因。
为什么要保护 WordPress 管理员
在谈论网站漏洞时,我们肯定会想到黑客使用复杂的计算机系统侵入您的服务器。
事实上,这个过程比这要容易得多。 他们可以简单地访问您网站的后端并对其进行控制。 然后,您将遭受丢失数据、面临法律问题以及花钱清理网站的后果。
在大多数情况下,黑客会在您的网站上留下恶意软件以窃取凭据客户数据,例如电话号码或信用卡详细信息。 一旦这些私人信息被盗,您的客户不仅会蒙受损失和烦恼,还会损害您的品牌声誉。
买家永远不会回到您的在线商店购买,因为他们不确定他们的信息是否完全安全。 您也可能因未仔细保护客户数据而被卷入诉讼。
此外,由于网络攻击而清理网站的成本很高。 您必须聘请 WordPress 维护服务来处理这个问题。
您可以应用多种技术来保护 WordPress 管理员。 以下是适用于任何网站所有者的 10 个最简单的解决方案,从非技术人员到精通技术的人。
#1 更改默认管理员用户名
WordPress 将admin分配给所有网站的默认用户名。 网络犯罪分子肯定知道这一点。 他们很容易猜出您的密码以登录您的网站。 他们可以在某处获得它,也可以尝试暴力攻击。
您应该使用另一个用户名而不是管理员来保护管理员登录。 幸运的是,在 WordPress 中更改用户名是小菜一碟。
- 在您的网站管理菜单中访问用户
- 选择所有用户并打开管理员配置文件
- 更新用户名和密码
- 保存您的更改
#2 使用强密码保护 WordPress 管理员
据估计,8% 的被黑 WordPress 网站源自弱密码。 因此,请记住为您的帐户使用强密码。 密码必须至少包含 8 个字符,包括字母、数字和特殊字符。 您可以在更改用户名的用户页面上输入新密码。
密码生成器极大地帮助您创建随机和强密码。 只需选择要包含在密码中的元素,然后让工具处理工作。
但是,记住所有密码是很痛苦的,因为您拥有大量的密码和帐户需要管理。 幸运的是,您手头有密码管理器应用程序,支持您安全地存储密码,而不必担心被黑客入侵。
#3 创建自定义登录 URL
除了用户名之外,WordPress 还通过将/wp-login.php添加到网站域来为您提供默认登录链接。 例如, www.example.com /wp-login.php。 如果您同时保留默认登录 URL 和用户名,黑客将在中途获得对您站点管理员的访问权限。
尽管您可以通过编辑 wp-login.php 文件来创建自定义管理员登录 URL,但我们强烈建议您使用插件。 您不必接触服务器或更改可能会破坏网站的文件和文件夹。
选择插件来自定义 WordPress 登录链接时,请考虑 WPS 隐藏登录。 该插件获得了全球超过 100 万用户的信任,并被证明是迄今为止该领域最受欢迎的解决方案。
请按照以下 4 个步骤开始使用该插件。
- 在您的网站上安装并激活 WPS 隐藏登录
- 前往管理菜单中的设置
- 选择WPS 隐藏登录
- 在登录 URL 框中输入新的登录链接
请记住保存您的更改。 完成后,只有拥有新登录链接和正确帐户详细信息的用户才能访问您的管理页面。
#4 密码保护 wp-admin 文件夹
wp-admin 文件夹包含重要的管理文件,位于根目录中。 您可以通过密码保护此 wp-admin 文件夹来为您的管理员创建一个额外的安全层。
- 登录您的主机 cPannel 或连接 FTP 客户端
- 点击密码保护目录或目录隐私
- 在/public_html/目录下找到 wp-admin 文件夹
- 启用选项密码保护此目录
- 提供用户名和密码
- 点击保存
这是用户在尝试获取您的 WordPress 管理页面时看到的内容。 在提交管理员凭据数据之前,他们必须输入正确的用户名和密码才能通过第一个身份验证层。
#5 为所有用户重置密码
保护 WordPress 管理员的另一种方法是强制每个用户重置密码,尤其是在多用户网站上。 为了快速实现这一点,您需要紧急密码重置插件的帮助。
激活后,管理员可以一键重置密码并自动通过电子邮件将重置链接发送给他们。 采取以下步骤:
- 安装紧急密码重置插件
- 转到用户→紧急密码重置
- 按重置所有密码按钮
而已!
#6 限制登录尝试
WordPress 允许用户根据需要多次输入登录信息,直到他们成功访问您的管理区域。 尽管如此,这个选项还是让黑客有机会暴力攻击您的网站。
这些恶意用户通常拥有最常见的密码库。 黑客将使用自动化脚本并检查数以千计的潜在密码。
为了降低风险,您可以使用 Wordfence 安全插件限制登录尝试。 它不仅仅是一个防止暴力攻击的插件,它负责站点安全和 WordPress 防火墙。 我们将在接下来的部分讨论这个插件的用处。
- 为您的站点安装并激活 Wordfence 安全插件
- 打开Wordfence并选择所有选项
- 在防火墙选项下打开启用蛮力保护
- 输入允许用户提交失败登录信息的时间
如果他们在达到最大尝试次数后仍能登录,插件将立即阻止他们的 IP 地址。
#7 通过 IP 地址限制登录访问
如果您有少数用户需要访问您的管理区域,则此方法非常有用。 它要求您通过文件传输协议 (FTP) 或您的网络主机的文件管理器编辑 .htaccess 文件。
将以下代码添加到文件中:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress 管理员访问控制" AuthType 基本 <限制获取> 命令拒绝,允许 否认一切 # 白名单IP地址 允许来自 xx.xx.xx.xxx </限制>
将 xx.xx.xx.xxx 替换为真实 IP 地址。
修改 .htaccess 文件是非常危险的。 请记住在编辑 .htaccess 文件之前创建站点的备份。 这样,如果站点发生任何错误,您可以反转以前的版本。
#8 设置双重身份验证
双重身份验证 (2FA) 可让您为 WordPress 管理员添加额外的安全层。 例如,输入发送到您的移动设备的安全码,或使用您的面容 ID。
如果您已经安装了我们上面介绍的 Wordfence 插件,则无需任何其他解决方案即可使用此功能。
- 访问Wordfence并打开登录安全部分
- 使用您的身份验证器应用程序扫描 QR 码
#9 禁用登录提示
当用户无法登录管理仪表板时,WordPress 将显示一条错误消息,告知他们用户名或密码是否不正确。 这为用户提供了有关登录凭据的提示。
以黑客使用随机用户名和密码访问管理页面为例。 如果他们知道其中一个细节,他们只需要寻找正确的另一个。
您可以通过编辑主题的 functions.php 文件来停止此操作。 前往 WordPress 后端的外观→主题编辑器→ functions.php 。 然后,将以下代码输入到您的 functions.php 文件中。
函数 no_wordpress_errors(){ return '出了点问题!'; } add_filter('login_errors', 'no_wordpress_errors');
#10 使用网站应用防火墙
防火墙从来都不是保护 WordPress 管理员的旧解决方案。 它监控站点流量并阻止恶意请求访问您的站点。 您可以试用的一些流行插件包括 Wordfence、iThemes Security 和 Sucuri。
他们不仅将可疑用户拒之门外,而且这些插件还扫描恶意软件。 有很多登录保护选项可供选择,从暴力攻击预防、双因素身份验证、CAPTCHA 等。
是时候保护 WordPress 管理员了
WordPress 漏洞利用的后果是毁灭性的。 由于管理员登录网络犯罪,您将失去客户、品牌声誉和金钱。
预防总是胜于治疗。 您已经了解了使用和不使用插件来保护 WordPress 管理区域的 10 个最佳技巧。
只需单击几下即可更改管理员用户名和密码。 您可以安装插件来生成自定义登录 URL、限制登录尝试、设置 2FA 和应用防火墙。 您必须使用密码来保护 wp-admin 文件夹,通过 IP 地址限制登录,并禁用登录提示。
这些方法你应用了多少? 在下面的评论部分与我们分享。