WordPress 登录安全:轻松保护您的登录页面 - MalCare

已发表: 2023-04-19

您是否知道每分钟对 WordPress 网站的黑客攻击超过 90,000 次? 这是一个非常高的统计数据,我们根本无法忽视。

要破解 WordPress 网站,黑客最常瞄准登录页面。 这是因为通过此页面访问您的站点,黑客可以完全控制您的站点。

随之而来的破坏将对您的网站产生严重影响。 黑客可以以您的名义销售非法产品或将您的访问者引导至恶意网站。 他们还可以诱骗访问者购买重复产品或下载恶意软件。 这会对您的业务和声誉造成严重损害。

幸运的是,您可以通过保护最具针对性的页面(登录页面)来防止黑客滥用您的网站。 在 MalCare,我们每天都会处理这些黑客攻击,并希望向所有 WordPress 用户解决这个问题。 在这里,我们将向您展示可以采取的最佳安全措施,使您的登录页面免受黑客攻击。 您也可以查看我们的指南,了解如何保护您的网站免受黑客攻击。

TL;DR:如果您需要易于实施且会自动保护您的登录页面的 WordPress 安全解决方案,请安装我们的 MalCare 安全插件。 它将立即启用限制登录尝试,并为您提供强化 WordPress 网站的选项。

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

保护您的 WordPress 登录页面的 5 个步骤

您可以采取多种措施来保护您的 WordPress 登录页面。 但是,并非您采取的每一步都是有效的。 有时您只是在添加噪音,而您的登录页面仍然容易受到攻击。

在本文中,我们将重点介绍您可以采取的 5 个重要步骤,这些步骤已被证明是有效的,并且一定会确保您的网站安全。

我们假设您已经在站点上安装了 SSL。 如果您没有 SSL 保护,则需要立即从您的托管服务提供商或 SSL 提供商处添加它。 每个网站都应该安装 SSL 作为第一个基本的站点安全措施。 它加密在您的网站和服务器之间传输的数据。 这意味着当数据在您的站点和托管服务器之间传递时,黑客无法窃取您的数据。 因此,将阻止试图从登录页面窃取用户凭据的黑客这样做。

1.使用强用户名和密码来保护登录页面

在 WordPress 网站上创建用户帐户时,人们倾向于使用容易记住的内容或他们在其他所有帐户中使用过的内容。 这样做的问题是它使黑客的工作变得如此容易。

首先,黑客使用一种称为暴力破解的技术,他们会尝试使用不同的用户名和密码来猜测进入您帐户的方式。 他们通过使用能够在几秒钟内进行数千次尝试的自动化机器人和算法来做到这一点。 如果您使用像“password123”这样的简单密码,机器人将能够在前几次尝试中猜出它。

其次,如果您对所有帐户使用相同的凭据,这会带来麻烦。 顶级公司的数据泄露事件如此之多,仅在 2019 年,就有 41 亿条记录被泄露。 如果您的用户名和密码在购物网站上被盗,黑客可以使用它来尝试破解您的其他帐户,例如您的电子邮件、网上银行或您的 WordPress 网站。

您的管理员登录凭据就像您家或办公室的钥匙。 这就是为什么登录安全的第一步是使用可靠的用户名和密码。

  • 我们建议您永远不要使用默认用户名“admin”。 如果您的网站名称是thefirstexample.com ,请不要将您的管理员用户名设置为“thefirstexample”。 这些是黑客将在登录屏幕上尝试的前几个用户名。 相反,使用任何人都难以猜测的不寻常和独特的。
  • 谈到密码,您需要使用任何人都难以猜到的密码。 我们建议将密码短语与符号和数字结合使用。 这使您的密码非常强大。

创建密码时,WordPress 会指示您的密码强度。 举个例子,我们在 WordPress 管理员帐户中创建了以下内容:

wordpress弱密码

WordPress 表示密码很弱。 所以我们用这个提升了我们的游戏:

强密码wordpress

最后,由于您的 WordPress 网站是一项宝贵的资产,我们认为它值得拥有一个独特的密码。 想出一个你不在任何其他网站上使用的。

现在您知道您的登录凭据是安全的。 如果您的 WordPress 站点上有多个用户,那么所有用户都遵循这些建议很重要,因为这是保护您的 WordPress 登录页面的非常重要的一步。

2. 限制登录尝试次数以提高安全性

默认情况下,WordPress 允许无限次登录尝试。 黑客通过暴力攻击利用此功能。 您可以通过简单地限制授予用户的失败登录尝试次数来获得暴力破解保护。

当您在网站上输入错误的密码时,您可能会看到此提示,尤其是网上银行的密码:

登录尝试失败

这是因为该网站实施了有限的登录尝试。 用户有 3 次机会输入正确的凭据以进入他们的帐户。 在三次错误尝试后,他们将被锁定在他们的帐户之外,并且必须使用“忘记密码”选项。

您可以通过两种方式实现此功能:

  • 使用插件——我们推荐 MalCare 安全插件。 安装后,会自动实施有限的 WordPress 登录保护。 该插件还为您提供基于验证码的保护,可防止恶意机器人访问您的网站。
  • 手动 –要手动限制登录尝试次数,您需要访问您的 functions.php 文件。 您需要添加一个带有相应回调函数的 WordPress 操作和钩子过滤器。 这种方法技术性强,风险大。 如果您不精通编码,最好不要尝试此操作。

有了这两项措施,您的 WordPress 网站就为您的登录页面采取了基本的安全措施。 现在,我们可以继续采取更高级的措施。

[ss_click_to_tweet tweet=”WordPress 默认允许无限次登录尝试。 使用 MalCare 自动实施有限的登录尝试。” content=”WordPress 默认允许无限次登录尝试。 使用 MalCare 自动实施有限的登录尝试。” 样式=“默认”]

3.使用双因素身份验证来增强登录安全性

您一定已经注意到,当您尝试登录 Gmail 帐户时,必须执行两个步骤。

第一步涉及输入您的凭据。 在第二步中,Gmail 会向您的注册电话号码或电子邮件地址发送验证码。 之后,您需要在 Gmail 帐户中输入此号码才能访问您的电子邮件。 这是两步验证或双因素身份验证。

登录安全的双因素验证

为确保访问帐户的用户是真实的,该过程使用常规凭据加上实时生成的一次性密码 (OTP)。

因此,即使黑客猜到了您的凭据,他们仍然需要输入发送给您的一次性代码,您可以轻松保护您的 WordPress 登录页面。

您可以使用插件实施 2 因素身份验证。 我们推荐的两个插件是 Google Authenticator 2FA 和 Two Factor Authentication。

注意:如果您使用的是 MalCare 插件,2 因素身份验证将很快可用。

4. 地理封锁——防止黑客访问您的 WordPress 网站

当您设置 WordPress 站点时,您会自动欢迎来自世界各地的流量,除非您将其配置为特定区域。

要查看您的流量来源,您需要注册 Google Analytics。 在仪表板上,您会看到选项“您的用户在哪里?” 通过单击“位置概览”,您可以准确了解访问者的来源。

博客的主要流量

或者,像 MalCare 这样的插件也可以显示您的流量来源。

很多时候,我们遇到过网站所有者发现他们正在从特定国家/地区获得不需要的流量。

为了向您展示我们的意思,让我们举个例子。 假设您有一个仅面向英国的网站 – example.co.uk。 但是,当您查看 Analytics(分析)时,您会发现您网站的大量流量来自俄罗斯、新加坡和美国等其他国家/地区。 您应该将其视为危险信号。

这只是黑客的指示,您可以使用 MalCare 插件来查看流量是否真的是恶意的。

安装 MalCare 插件后,访问仪表板。 在“安全”下,您会看到在您的网站上进行的登录尝试次数以及插件被阻止的次数。

MalCare 登录请求

通过单击“显示更多”,审核日志将准确显示流量的来源以及尝试使用的用户名。

malcare 限制登录尝试以获得更好的 WordPress 安全性

如果您觉得这种流量是一种不必要的风险,您可以简单地屏蔽整个国家。 为此,MalCare 有一个名为“地理封锁”的选项,可通过阻止来自您选择的国家/地区的任何 IP 地址来增加一层安全性。 就是这样:

  • 在仪表板上,选择您的站点,然后单击“地理封锁”。
恶意地理封锁
  • 接下来,从下拉菜单中选择要阻止的国家/地区。 单击“阻止国家/地区”后,将显示提示“已成功阻止所选国家/地区的 IP。
恶意地理封锁

地理封锁或国家封锁有助于降低被黑客攻击的风险。 阻止整个国家/地区是不可取的,因为某些流量可能是合法的。 但是,如果您 100% 确定不需要来自该国家/地区的任何流量,最好只是阻止它,这样您就可以通过不让黑客访问来保护您的 WordPress 登录页面。

另请阅读:如何修复 WordPress 登录不安全问题

5. 自动退出

登录帐户并保持打开状态的习惯并不少见。 您可能会发现自己在没有注销帐户的情况下关闭了浏览器。 如果您让系统无人看管,黑客可能会重新打开您的浏览器并自动登录到您的帐户。

这种习惯会放大攻击的风险。 为了减轻此类风险,许多网站实施“自动注销”。 这是网上银行的常见做法。 如果您一段时间不活动,该网站会自动将您注销。 您可能会看到如下所示的提示:

导致注销的错误

这是您可以在 WordPress 网站上实施的一项基本措施。 它确保任何人都无法利用在用户离开系统时登录的帐户。

特别建议远程工作或使用自己的个人设备工作的人采取此措施。 作为网站所有者,您永远无法确保他们在不活动时会记得注销。 如果他们使用公共计算机或不安全的公共 wifi,这会使您的网站面临更大的风险。

与电子银行服务不同,WordPress 不会在用户不活动时自动注销用户。 但是您可以使用 Bulletproof Security 等插件来实施此安全措施。

该插件有一个名为“空闲会话注销”的安全功能,您可以启用该功能。 您可以选择不活动的时间段,超过该时间段后用户将自动注销。

自动登出

此措施将确保您的网站安全,以免落入坏人之手。

[ss_click_to_tweet tweet=“我使用 MalCare 的安全指南轻松保护了我的 WordPress 登录页面。” content=“我使用 MalCare 的安全指南轻松保护了我的 WordPress 登录页面。” 样式=“默认”]

结论:这不仅仅是您的登录页面

保护您的 WordPress 登录页面的安全让您离安全的 WordPress 网站更近了一步。 黑客喜欢攻击易于破解的网站。 因此,通过使用基本措施保护您的网站,黑客可能会尝试几次,然后转向更容易的目标。

但这并不能保证黑客无法入侵您的网站。 黑客识别并利用他们在您网站上发现的任何漏洞。 它可能位于您安装的具有安全漏洞的新插件中。 可能是您很久以前安装的主题忘记更新随着时间的推移开发了一个漏洞。 黑客可以利用很多这样的机会。

您真正需要的是一个全面的保护计划。 我们强烈建议采取更多的安全措施,例如 IP 阻止、使用 wp-config.php 保护站点、遵循有关 WordPress 安全的完整指南,以及使用最好的 WordPress 安全插件之一——MalCare,它将全天候保护您的站点。 它使您可以访问定期扫描报告,您还可以实施推荐的 WordPress 强化措施。 这样您的 WordPress 网站将很难被侵入!


 使用我们的MalCare 安全插件保护您的网站