保護 WordPress 管理區域的 10 個絕妙技巧
已發表: 2022-07-12根據其 2016 年被黑網站報告,在 Sucuri 已知的 8,000 個受感染網站中,其中 74% 是基於 WordPress 的。這一嚴肅的統計數據在一定程度上有助於您意識到對網站網絡安全的持續關注。
惡意第三方使用各種方法攻擊您的 WordPress 網站。 管理儀表板將是最容易受到攻擊的目標。 它就像您網站的中心,其中包含重要數據。 一旦闖入您的管理儀表板,他們就會採取危險的行動,這將嚴重損害您的網站。
要有效防止可疑攻擊,您需要保護 WordPress 管理員。 我們今天的文章集中在 10 種收緊登錄區域的方法。 在深入研究細節之前,讓我們簡要解釋一些保護您的管理員登錄的原因。
為什麼要保護 WordPress 管理員
在談論網站漏洞時,我們肯定會想到黑客使用複雜的計算機系統侵入您的服務器。
事實上,這個過程比這要容易得多。 他們可以簡單地訪問您網站的後端並對其進行控制。 然後,您將遭受丟失數據、面臨法律問題以及花錢清理網站的後果。
在大多數情況下,黑客會在您的網站上留下惡意軟件以竊取憑據客戶數據,例如電話號碼或信用卡詳細信息。 一旦這些私人信息被盜,您的客戶不僅會蒙受損失和煩惱,還會損害您的品牌聲譽。
買家永遠不會回到您的在線商店購買,因為他們不確定他們的信息是否完全安全。 您也可能因未仔細保護客戶數據而被捲入訴訟。
此外,由於網絡攻擊而清理網站的成本很高。 您必須聘請 WordPress 維護服務來處理這個問題。
您可以應用多種技術來保護 WordPress 管理員。 以下是適用於任何網站所有者的 10 個最簡單的解決方案,從非技術人員到精通技術的人。
#1 更改默認管理員用戶名
WordPress 將admin分配給所有網站的默認用戶名。 網絡犯罪分子肯定知道這一點。 他們很容易猜出您的密碼以登錄您的網站。 他們可以在某處獲得它,也可以嘗試暴力攻擊。
您應該使用另一個用戶名而不是管理員來保護管理員登錄。 幸運的是,在 WordPress 中更改用戶名是小菜一碟。
- 在您的網站管理菜單中訪問用戶
- 選擇所有用戶並打開管理員配置文件
- 更新用戶名和密碼
- 保存您的更改
#2 使用強密碼保護 WordPress 管理員
據估計,8% 的被黑 WordPress 網站源自弱密碼。 因此,請記住為您的帳戶使用強密碼。 密碼必須至少包含 8 個字符,包括字母、數字和特殊字符。 您可以在更改用戶名的用戶頁面上輸入新密碼。
密碼生成器極大地幫助您創建隨機和強密碼。 只需選擇要包含在密碼中的元素,然後讓工具處理工作。
但是,記住所有密碼是很痛苦的,因為您擁有大量的密碼和帳戶需要管理。 幸運的是,您手頭有密碼管理器應用程序,支持您安全地存儲密碼,而不必擔心被黑客入侵。
#3 創建自定義登錄 URL
除了用戶名之外,WordPress 還通過將/wp-login.php添加到網站域來為您提供默認登錄鏈接。 例如, www.example.com /wp-login.php。 如果您同時保留默認登錄 URL 和用戶名,黑客將在中途獲得對您站點管理員的訪問權限。
儘管您可以通過編輯 wp-login.php 文件來創建自定義管理員登錄 URL,但我們強烈建議您使用插件。 您不必接觸服務器或更改可能會破壞網站的文件和文件夾。
選擇插件來自定義 WordPress 登錄鏈接時,請考慮 WPS 隱藏登錄。 該插件獲得了全球超過 100 萬用戶的信任,並被證明是迄今為止該領域最受歡迎的解決方案。
請按照以下 4 個步驟開始使用該插件。
- 在您的網站上安裝並激活 WPS 隱藏登錄
- 前往管理菜單中的設置
- 選擇WPS 隱藏登錄
- 在登錄 URL 框中輸入新的登錄鏈接
請記住保存您的更改。 完成後,只有擁有新登錄鏈接和正確帳戶詳細信息的用戶才能訪問您的管理頁面。
#4 密碼保護 wp-admin 文件夾
wp-admin 文件夾包含重要的管理文件,位於根目錄中。 您可以通過密碼保護此 wp-admin 文件夾來為您的管理員創建一個額外的安全層。
- 登錄您的主機 cPannel 或連接 FTP 客戶端
- 點擊密碼保護目錄或目錄隱私
- 在/public_html/目錄下找到 wp-admin 文件夾
- 啟用選項密碼保護此目錄
- 提供用戶名和密碼
- 點擊保存
這是用戶在嘗試獲取您的 WordPress 管理頁面時看到的內容。 在提交管理員憑據數據之前,他們必須輸入正確的用戶名和密碼才能通過第一個身份驗證層。
#5 為所有用戶重置密碼
保護 WordPress 管理員的另一種方法是強制每個用戶重置密碼,尤其是在多用戶網站上。 為了快速實現這一點,您需要緊急密碼重置插件的幫助。
激活後,管理員可以一鍵重置密碼並自動通過電子郵件將重置鏈接發送給他們。 採取以下步驟:
- 安裝緊急密碼重置插件
- 轉到用戶→緊急密碼重置
- 按重置所有密碼按鈕
而已!
#6 限制登錄嘗試
WordPress 允許用戶根據需要多次輸入登錄信息,直到他們成功訪問您的管理區域。 儘管如此,這個選項還是讓黑客有機會暴力攻擊您的網站。
這些惡意用戶通常擁有最常見的密碼庫。 黑客將使用自動化腳本並檢查數以千計的潛在密碼。
為了降低風險,您可以使用 Wordfence 安全插件限制登錄嘗試。 它不僅僅是一個防止暴力攻擊的插件,它負責站點安全和 WordPress 防火牆。 我們將在接下來的部分討論這個插件的用處。
- 為您的站點安裝並激活 Wordfence 安全插件
- 打開Wordfence並選擇所有選項
- 在防火牆選項下打開啟用蠻力保護
- 輸入允許用戶提交失敗登錄信息的時間
如果他們在達到最大嘗試次數後仍能登錄,插件將立即阻止他們的 IP 地址。
#7 通過 IP 地址限制登錄訪問
如果您有少數用戶需要訪問您的管理區域,則此方法非常有用。 它要求您通過文件傳輸協議 (FTP) 或您的網絡主機的文件管理器編輯 .htaccess 文件。
將以下代碼添加到文件中:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress 管理員訪問控制" AuthType 基本 <限制獲取> 命令拒絕,允許 否認一切 # 白名單IP地址 允許來自 xx.xx.xx.xxx </限制>
將 xx.xx.xx.xxx 替換為真實 IP 地址。
修改 .htaccess 文件是非常危險的。 請記住在編輯 .htaccess 文件之前創建站點的備份。 這樣,如果站點發生任何錯誤,您可以反轉以前的版本。
#8 設置雙重身份驗證
雙重身份驗證 (2FA) 可讓您為 WordPress 管理員添加額外的安全層。 例如,輸入發送到您的移動設備的安全碼,或使用您的面容 ID。
如果您已經安裝了我們上面介紹的 Wordfence 插件,則無需任何其他解決方案即可使用此功能。
- 訪問Wordfence並打開登錄安全部分
- 使用您的身份驗證器應用程序掃描 QR 碼
#9 禁用登錄提示
當用戶無法登錄管理儀表板時,WordPress 將顯示一條錯誤消息,告知他們用戶名或密碼是否不正確。 這為用戶提供了有關登錄憑據的提示。
以黑客使用隨機用戶名和密碼訪問管理頁面為例。 如果他們知道其中一個細節,他們只需要尋找正確的另一個。
您可以通過編輯主題的 functions.php 文件來停止此操作。 前往 WordPress 後端的外觀→主題編輯器→ functions.php 。 然後,將以下代碼輸入到您的 functions.php 文件中。
函數 no_wordpress_errors(){ return '出了點問題!'; } add_filter('login_errors', 'no_wordpress_errors');
#10 使用網站應用防火牆
防火牆從來都不是保護 WordPress 管理員的舊解決方案。 它監控站點流量並阻止惡意請求訪問您的站點。 您可以試用的一些流行插件包括 Wordfence、iThemes Security 和 Sucuri。
他們不僅將可疑用戶拒之門外,而且這些插件還掃描惡意軟件。 有很多登錄保護選項可供選擇,從暴力攻擊預防、雙因素身份驗證、CAPTCHA 等。
是時候保護 WordPress 管理員了
WordPress 漏洞利用的後果是毀滅性的。 由於管理員登錄網絡犯罪,您將失去客戶、品牌聲譽和金錢。
預防總是勝於治療。 您已經了解了使用和不使用插件來保護 WordPress 管理區域的 10 個最佳技巧。
只需單擊幾下即可更改管理員用戶名和密碼。 您可以安裝插件來生成自定義登錄 URL、限制登錄嘗試、設置 2FA 和應用防火牆。 您必須使用密碼來保護 wp-admin 文件夾,通過 IP 地址限制登錄,並禁用登錄提示。
這些方法你應用了多少? 在下面的評論部分與我們分享。