關於如何保護 WordPress 管理員的指南 - MalCare

已發表: 2023-04-13

安全的 WordPress 管理員:您是否知道一天中每一分鐘都有超過 90,000 次黑客嘗試在 WordPress 網站上進行? 這意味著無論網站大小,黑客攻擊都迫在眉睫。 安全是網站最關心的問題之一。

黑客採用各種技術來破解 WordPress 網站暴力攻擊就是其中一種技術。 它涉及在網站登錄頁面上嘗試組合使用常用的用戶名密碼

成功的暴力攻擊可讓您訪問 WordPress 管理員。 WordPress 管理區域是 WordPress 支持的網站的管理中心。 任何擁有管理員完全訪問權限的人都可以完全控制該站點。 因此,保護您的 WordPress 管理員免受暴力攻擊非常重要。

如何保護 WordPress 管理員?

我們已經提出了一些技術來幫助您保護您網站的 WordPress 管理員免受黑客攻擊。

1.使用強密碼

網站所有者最常犯的錯誤之一是使用弱密碼。 多年來,密碼破解技術已經成熟。 容易猜測的密碼會在幾分鐘內被破解。 強密碼有助於保護您的站點免受精明的密碼破解技術的侵害。 這是一篇關於如何為您的 WordPress 網站創建真正強密碼的優秀文章

但是,記住強密碼可能是個問題。 這篇文章解釋瞭如何管理強 WordPress 密碼

許多人犯的另一個非常常見的錯誤是他們在多個站點上使用相同的密碼。 當一個密碼被洩露時,與該密碼關聯的所有帳戶都會被洩露。 因此,為帳戶使用不同的密碼可以幫助避免這種情況。

2.避免使用普通用戶名

保護 WordPress 密碼是保護 WordPress 登錄憑據的重要一步。 登錄憑證的第二個組成部分是用戶名。 如果您的用戶名很容易猜到,那麼黑客只需要關注密碼即可。

最常見的 WordPress 用戶名之一是“admin”。 直到幾年前,WordPress 自動建議“admin”作為用戶名。 儘管 WordPress 不再推薦“admin”,但許多網站所有者仍在使用它。 正在使用“admin”作為用戶名創建幾個新的用戶帳戶。 所有這些網站都使自己很容易成為攻擊目標。

由於 WordPress 不強制使用唯一的用戶名,您需要確保您的用戶都沒有使用通用的用戶名,並且沒有使用“admin”創建新帳戶。 查看常用用戶名的詳盡列表,以便您知道應避免使用哪些用戶名。

3.隱藏您的WordPress登錄頁面

WordPress 網站以預先確定的方式工作。 舉個例子,所有的 WordPress 網站都有一個默認的登錄頁面,看起來像這樣的“www.anysite.com/wp-admin”。 這使得黑客的工作更加容易,因為他們可以同時對多個目標 WordPress 站點發起自動攻擊。 但是,如果您通過更改登錄頁面來隱藏它,則可以防止對您的站點進行此類攻擊。

您可以使用許多插件來更改登錄頁面並使用插件建議您的 URL。 使用相同插件的其他網站可能使用相同的 URL。 如果黑客知道 URL 格式,隱藏您的登錄頁面將無濟於事。 因此,請使用一種工具,使您能夠創建自己的自定義登錄頁面 URL。

4.實現HTTP認證

為了保護 WordPress 管理員,您可以使用密碼保護整個 wp-admin 文件夾。 wp-admin 文件夾包含為 WordPress 儀表板提供支持的管理文件。 有權訪問此文件夾的任何人都可以控制整個站點。 如果您的密碼保護整個文件夾,則每次有人請求管理部分時,服務器都會啟動身份驗證過程。 瀏覽器將要求用戶提供 HTTP 身份驗證密碼。 您可以使用許多工具在 WordPress 管理員上實施 HTTP 身份驗證,例如HTTP Auth AskApache Password Protect等。

安全的 WordPress 管理員
在我們的 WordPress 登錄頁面上啟用了 HTTP 身份驗證

5.使用谷歌驗證器

隨著如今網站黑客技術變得越來越複雜,添加另一層登錄保護以及強大的用戶憑據是很常見的。 這種技術稱為雙因素身份驗證(2FA)。 該方法涉及發送只有您可以在智能手機上接收的代碼。 在您被授予訪問 WordPress 儀表板的權限之前,您需要在您的網站上輸入唯一代碼。 這種方法的好處是,即使黑客設法破解了您的憑據,他們仍然需要將代碼專門發送到您的設備。

安全的 WordPress 管理員
我們必須輸入發送到您智能手機的密碼才能訪問我們的 WordPress 儀表板

有許多 WordPress 插件可用於雙因素身份驗證。 我們使用 Mini Orange 在我們的網站上啟用了 2FA 以保護 WordPress 管理員的安全,並就此編寫了一份指南

6.限制登錄嘗試失敗的次數

遭受暴力攻擊的網站會經歷數百次失敗的登錄嘗試。 為了防止這種對您的 WordPress 管理員的無情攻擊,您可以限制在您的站點上進行的失敗登錄嘗試的次數。 MalCare 安全插件可防止用戶在 3 次登錄嘗試失敗後嘗試登錄。 在被允許再次訪問 WordPress 登錄頁面之前,他們必須解決驗證碼問題。 這有助於確定用戶是人類還是試圖在站點上執行暴力攻擊的自動機器人。

安全的 WordPress 管理員
機器人無法繞過基於圖像的驗證碼

7.安裝SSL證書

看看我們的網站網址! 你能看到旁邊有“Secure”字樣的綠色鎖嗎? 我們的站點安裝了 SSL 證書,這意味著沒有人可以窺探和讀取我們用戶的登錄憑據。 沒有 SSL 證書的網站有無意中暴露網站敏感信息的危險。

安全的 WordPress 管理員
本網站安裝了SSL證書

在過去,SSL 證書要么用於支付頁面,要么用於 WordPress 管理區域。 但現在 SSL 證書可以幫助保護您的整個站點。 為了讓網絡變得更安全,谷歌明確表示SSL 證書是一個排名因素 您可以從Comodo Let's Encrypt等提供商處獲得 SSL 證書,您的網絡託管服務商將幫助您在網站上設置證書。

8. 黑名單惡意IP地址

每個使用互聯網的人都有一個 IP 地址。 即使是對 WordPress 網站發起攻擊的黑客也有一個 IP 地址。 如果您保留這些 IP 地址的記錄,您可以阻止它們訪問您的站點。 MalCare – 最好的 WordPress 安全插件之一,提供網站上失敗登錄嘗試的詳細信息(IP 地址)。 如果您觀察到幾乎經常從相同的 IP 進行大量失敗的嘗試,您可以通過簡單地將以下代碼放入我們的 .htaccess 文件中來阻止這些可疑的 IP 訪問您的網站:

 訂單允許,拒絕

拒絕來自 192.168.20.10

允許所有

“192.168.20.10”是我們想要在我們的網站之一上阻止的 IP 地址。 您可以將其替換為您要阻止的 IP。

9. 更改安全密鑰

您不必在每次需要登錄站點時都輸入登錄憑據。 有沒有想過您的瀏覽器如何存儲這些憑據? 在您登錄帳戶後,您的登錄信息將以加密方式存儲在瀏覽器 cookie 中。 安全密鑰只是幫助改進這種加密的隨機變量。 如果您的站點被黑客入侵,更改密鑰將使 cookie 失效並強制每個活躍用戶自動註銷。 一旦被淘汰,黑客就無法訪問您的 WordPress 管理員。

安全的 WordPress 管理員
使用 MalCare 安全服務更改安全密鑰

交給你

沒有一種方法可以保護 WordPress 管理員,因此請務必使用多種方法。 我們與您分享了一些最推薦的保護 WordPress 管理員的方法。 但在實施任何這些方法之前,您必須備份您的站點 如果出現問題,您可以簡單地恢復備份並立即啟動和運行我們的網站。

除此之外,您還可以採取更多的安全措施,例如 IP 阻止、保護登錄頁面、使用 wp-config.php 保護站點、遵循有關 WordPress 安全性的完整指南,以及安裝 WordPress 安全插件(如 MalCare)。

MalCare 將幫助您實施我們上面提到的一些措施。 例如,MalCare Security Plugin 將幫助您更改安全密鑰、限制登錄嘗試失敗的次數、保持您的網站更新等。

立即試用 MalCare 安全插件!