关于如何保护 WordPress 管理员的指南 - MalCare

已发表: 2023-04-13

安全的 WordPress 管理员:您是否知道一天中每一分钟都有超过 90,000 次黑客尝试在 WordPress 网站上进行? 这意味着无论网站大小,黑客攻击都迫在眉睫。 安全是网站最关心的问题之一。

黑客采用各种技术来破解 WordPress 网站暴力攻击就是其中一种技术。 它涉及在网站登录页面上尝试组合使用常用的用户名密码

成功的暴力攻击可让您访问 WordPress 管理员。 WordPress 管理区域是 WordPress 支持的网站的管理中心。 任何拥有管理员完全访问权限的人都可以完全控制该站点。 因此,保护​​您的 WordPress 管理员免受暴力攻击非常重要。

如何保护 WordPress 管理员?

我们已经提出了一些技术来帮助您保护您网站的 WordPress 管理员免受黑客攻击。

1.使用强密码

网站所有者最常犯的错误之一是使用弱密码。 多年来,密码破解技术已经成熟。 容易猜测的密码会在几分钟内被破解。 强密码有助于保护您的站点免受精明的密码破解技术的侵害。 这是一篇关于如何为您的 WordPress 网站创建真正强密码的优秀文章

但是,记住强密码可能是个问题。 这篇文章解释了如何管理强 WordPress 密码

许多人犯的另一个非常常见的错误是他们在多个站点上使用相同的密码。 当一个密码被泄露时,与该密码关联的所有帐户都会被泄露。 因此,为帐户使用不同的密码可以帮助避免这种情况。

2.避免使用普通用户名

保护 WordPress 密码是保护 WordPress 登录凭据的重要一步。 登录凭证的第二个组成部分是用户名。 如果您的用户名很容易猜到,那么黑客只需要关注密码即可。

最常见的 WordPress 用户名之一是“admin”。 直到几年前,WordPress 自动建议“admin”作为用户名。 尽管 WordPress 不再推荐“admin”,但许多网站所有者仍在使用它。 正在使用“admin”作为用户名创建几个新的用户帐户。 所有这些网站都使自己很容易成为攻击目标。

由于 WordPress 不强制使用唯一的用户名,您需要确保您的用户都没有使用通用的用户名,并且没有使用“admin”创建新帐户。 查看常用用户名的详尽列表,以便您知道应避免使用哪些用户名。

3.隐藏您的WordPress登录页面

WordPress 网站以预先确定的方式工作。 举个例子,所有的 WordPress 网站都有一个默认的登录页面,看起来像这样的“www.anysite.com/wp-admin”。 这使得黑客的工作更加容易,因为他们可以同时对多个目标 WordPress 站点发起自动攻击。 但是,如果您通过更改登录页面来隐藏它,则可以防止对您的站点进行此类攻击。

您可以使用许多插件来更改登录页面并使用插件建议您的 URL。 使用相同插件的其他网站可能使用相同的 URL。 如果黑客知道 URL 格式,隐藏您的登录页面将无济于事。 因此,请使用一种工具,使您能够创建自己的自定义登录页面 URL。

4.实现HTTP认证

为了保护 WordPress 管理员,您可以使用密码保护整个 wp-admin 文件夹。 wp-admin 文件夹包含为 WordPress 仪表板提供支持的管理文件。 有权访问此文件夹的任何人都可以控制整个站点。 如果您的密码保护整个文件夹,则每次有人请求管理部分时,服务器都会启动身份验证过程。 浏览器将要求用户提供 HTTP 身份验证密码。 您可以使用许多工具在 WordPress 管理员上实施 HTTP 身份验证,例如HTTP Auth AskApache Password Protect等。

安全的 WordPress 管理员
在我们的 WordPress 登录页面上启用了 HTTP 身份验证

5.使用谷歌验证器

随着如今网站黑客技术变得越来越复杂,添加另一层登录保护以及强大的用户凭据是很常见的。 这种技术称为双因素身份验证(2FA)。 该方法涉及发送只有您可以在智能手机上接收的代码。 在您被授予访问 WordPress 仪表板的权限之前,您需要在您的网站上输入唯一代码。 这种方法的好处是,即使黑客设法破解了您的凭据,他们仍然需要将代码专门发送到您的设备。

安全的 WordPress 管理员
我们必须输入发送到您智能手机的密码才能访问我们的 WordPress 仪表板

有许多 WordPress 插件可用于双因素身份验证。 我们使用 Mini Orange 在我们的网站上启用了 2FA 以保护 WordPress 管理员的安全,并就此编写了一份指南

6.限制登录尝试失败的次数

遭受暴力攻击的网站会经历数百次失败的登录尝试。 为了防止这种对您的 WordPress 管理员的无情攻击,您可以限制在您的站点上进行的失败登录尝试的次数。 MalCare 安全插件可防止用户在 3 次登录尝试失败后尝试登录。 在被允许再次访问 WordPress 登录页面之前,他们必须解决验证码问题。 这有助于确定用户是人类还是试图在站点上执行暴力攻击的自动机器人。

安全的 WordPress 管理员
机器人无法绕过基于图像的验证码

7.安装SSL证书

看看我们的网站网址! 你能看到旁边有“Secure”字样的绿色锁吗? 我们的站点安装了 SSL 证书,这意味着没有人可以窥探和读取我们用户的登录凭据。 没有 SSL 证书的网站有无意中暴露网站敏感信息的危险。

安全的 WordPress 管理员
本网站安装了SSL证书

在过去,SSL 证书要么用于支付页面,要么用于 WordPress 管理区域。 但现在 SSL 证书可以帮助保护您的整个站点。 为了让网络变得更安全,谷歌明确表示SSL 证书是一个排名因素 您可以从Comodo Let's Encrypt等提供商处获得 SSL 证书,您的网络托管服务商将帮助您在网站上设置证书。

8. 黑名单恶意IP地址

每个使用互联网的人都有一个 IP 地址。 即使是对 WordPress 网站发起攻击的黑客也有一个 IP 地址。 如果您保留这些 IP 地址的记录,您可以阻止它们访问您的站点。 MalCare – 最好的 WordPress 安全插件之一,提供网站上失败登录尝试的详细信息(IP 地址)。 如果您观察到几乎经常从相同的 IP 进行大量失败的尝试,您可以通过简单地将以下代码放入我们的 .htaccess 文件中来阻止这些可疑的 IP 访问您的网站:

 订单允许,拒绝

拒绝来自 192.168.20.10

允许所有

“192.168.20.10”是我们想要在我们的网站之一上阻止的 IP 地址。 您可以将其替换为您要阻止的 IP。

9. 更改安全密钥

您不必在每次需要登录站点时都输入登录凭据。 有没有想过您的浏览器如何存储这些凭据? 在您登录帐户后,您的登录信息将以加密方式存储在浏览器 cookie 中。 安全密钥只是帮助改进这种加密的随机变量。 如果您的站点被黑客入侵,更改密钥将使 cookie 失效并强制每个活跃用户自动注销。 一旦被淘汰,黑客就无法访问您的 WordPress 管理员。

安全的 WordPress 管理员
使用 MalCare 安全服务更改安全密钥

交给你

没有一种方法可以保护 WordPress 管理员,因此请务必使用多种方法。 我们与您分享了一些最推荐的保护 WordPress 管理员的方法。 但在实施任何这些方法之前,您必须备份您的站点 如果出现问题,您可以简单地恢复备份并立即启动和运行我们的网站。

除此之外,您还可以采取更多的安全措施,例如 IP 阻止、保护登录页面、使用 wp-config.php 保护站点、遵循有关 WordPress 安全性的完整指南,以及安装 WordPress 安全插件(如 MalCare)。

MalCare 将帮助您实施我们上面提到的一些措施。 例如,MalCare Security Plugin 将帮助您更改安全密钥、限制登录尝试失败的次数、保持您的网站更新等。

立即试用 MalCare 安全插件!