WordPress 登錄安全：保護登錄頁面的 5 個簡單步驟

想知道您是否應該擔心 WordPress 登錄安全性？

WordPress 是世界上最受歡迎的 CMS，因為使用它構建網站非常容易。 儘管它是免費的 CMS，但還是要付出代價的。 WordPress 是非常可預測的，這有時使它成為一個容易的目標。

以登錄頁面為例。

每個 WordPress 網站都有相同的登錄頁面（/wp-admin.com 或 /wp-login.php）。 將可預測性與人類使用弱憑據的偏好結合起來，該頁面成為黑客的誘人目標。

安全專家表示，登錄頁面是網站上最容易受到攻擊的頁面。 每天，黑客都會部署機器人對該頁面進行暴力攻擊。 通過找出您的登錄憑據，他們可以輕鬆訪問您的 CMS。 因此，您必須竭盡全力保護它免受這些不速之客的侵害。

在本文中，我們將向您展示五種高級方法來提高 WordPress 登錄安全性並防止被黑客入侵。

如何在 2022 年保護 WordPress 登錄頁面

在網絡安全領域有很多糟糕的建議。 其中大部分旨在使人們陷入恐懼並讓他們屈服於強迫性選擇。 在本文中，我們將向您展示實際有效的方法，而不是增加噪音。 那些是：

您一定已經註意到我們沒有包含強密碼的強制執行和 SSL 證書的安裝。 那是因為它是給定的。 我們希望您已經在使用這些。 請參閱我們的其他指南，了解如何完成這項工作。

注意：要執行我們下面提到的措施，您需要安裝一個或兩個插件。 而且我們知道即使是最好的插件也會導致故障。 因此，在繼續之前備份您的網站。

現在，讓我們開始吧：

1.更改登錄頁面URL

正如我們在文章開頭所說，默認的 WordPress 登錄頁面如下所示：

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

每個人都知道這一點，包括設計針對 WordPress 登錄頁面的機器人的黑客。 而且由於 59% 的美國人[1]使用弱密碼，因此通過暴力破解登錄頁面來破解網站太容易了。

保護登錄頁面的一種方法是更改​​ URL。

創建新的自定義登錄頁面 URL 很容易。 有許多可用的插件可讓您單擊幾下即可完成此操作。

我們將使用 WPS 隱藏登錄插件來演示該過程，但如果您更喜歡其他任何插件，請繼續。 這些步驟將同樣簡單快捷。

如何更改您的 WordPress 登錄 URL

安裝並激活WPS 隱藏登錄。 轉到設置 → WPS 隱藏登錄。

在頁面底部向下滾動，在Login URL部分插入新 URL，然後點擊Save Changes 。

嘗試使用新 URL 登錄。 不要忘記與您的隊友分享。

如果您需要幫助，這裡是我們的專用指南：如何更改您的 WordPress 登錄頁面 URL。

2.實施雙因素認證

您在使用 Facebook 和 Gmail 時一定遇到過雙重身份驗證。 每當您嘗試登錄帳戶時，這些服務通常會向您註冊的手機號碼發送一個唯一代碼。 實施此安全措施是為了確保只有帳戶所有者才能訪問它。 即使黑客可以獲取您的憑據，他們也無法竊取發送到您註冊手機號碼的唯一代碼。

雙重身份驗證也可以應用於您的 WordPress 網站。 它將為登錄頁面增加一層安全性。 您需要做的就是安裝以下任何插件：

• miniOrange 的 Google 身份驗證器
• Google 身份驗證器 - 兩因素身份驗證 (2FA)
• WP White Security 的 WP 2FA

設置兩因素身份驗證插件非常容易。 我們將使用 miniOrange 的 Google Authenticator 向您展示設置過程。

如何實現雙因素身份驗證

在您的 WordPress 登錄頁面上安裝 miniOrange 的 Google Authenticator。 一旦您激活插件，就會出現一個設置小部件。 選擇第一個選項，即Google Authenticator 。

接下來，在您的智能手機上下載 Google Authenticator 應用程序。 打開應用程序並掃描二維碼。

該應用程序生成一個代碼。 在設置小部件中輸入它並點擊Save 。

2FA WordPress 登錄安全性現在在您的登錄頁面上處於活動狀態。

3.限制失敗的登錄嘗試

WordPress 允許其用戶無限制的登錄嘗試。 這聽起來可能無害，但老實說，這是一個明顯的安全漏洞。

無限的登錄嘗試使黑客能夠進行暴力攻擊。 在這種類型的攻擊中，黑客部署機器人來找到用戶名和密碼的正確組合。 在獲得正確的憑據之前，機器人會失敗幾次。 對抗機器人攻擊的最有效方法之一是限制登錄嘗試。

下面的插件將幫助您做到這一點：

• 限制重新加載的登錄嘗試
• WPS限制登錄
• WP 限制登錄嘗試由 Arshid

如何限制失敗的登錄嘗試

安裝插件，然後轉到限制登錄嘗試 → 設置 → 本地應用程序。 在這裡，您可以設置在您的網站上應允許多少次登錄嘗試。 以及在上述次數的登錄嘗試後，某人將被鎖定多長時間。

4.防止發現用戶名

通常，用戶名被認為不如密碼重要。 這是一個公開的記錄，這就是為什麼我們認為它一定是低價值的。 不對。

用戶名佔您憑據的一半。 它必須受到保護，就像密碼一樣。

在 WordPress 網站上，您會發現帖子和作者檔案中顯示的用戶名。 值得慶幸的是，有一種方法可以同時禁用它們。

如何禁用作者檔案

這可以在任何 SEO 插件的幫助下完成。 在下面的教程中，我們使用 Yoast SEO 來展示它。

轉到SEO → 搜索外觀 → 檔案，然後禁用作者檔案。 點擊保存更改。

如何更改顯示名稱

顯示名稱顯示在已發表的文章和評論上。 默認情況下，顯示名稱和用戶名（用於登錄的用戶名）是相同的。 為防止用戶名被發現，您可以將顯示名稱更改為其他名稱。

轉到用戶 → 個人資料 → 暱稱。 您不能直接更改顯示名稱。 相反，更改暱稱。 然後從下面的下拉菜單中選擇新暱稱。

5. 自動登出

自動註銷可保護網站免受窺探。 當用戶離開會話無人看管時，自動註銷會結束會話，從而保護網站。

默認的 WordPress 行為是在登錄會話 cookie 過期 48 小時後註銷用戶。 如果用戶選中“記住我”框，您將保持登錄狀態 14 天。 由於一些空閒時間而終止會話，您需要安裝一個單獨的插件。

以下插件可幫助您自動註銷以結束空閒用戶會話：

• 非活動註銷
• iThemes 安全

如何啟用自動註銷

激活插件，然後轉到Settings → Inactive Logout → Basic Management 。 設置空閒超時的時鐘。 還有基於角色的超時選項。 如果您喜歡，請查看。

關於 WordPress 登錄安全性的結論

即使您實施了防止黑客暴力破解您的網站的措施，入侵者仍然可以通過易受攻擊的主題和插件獲得訪問權限。 因此，請讓您的網站全天候更新。

為了進一步保護您的網站，我們強烈建議您採取本指南中涵蓋的所有安全措施：10 個關鍵 WordPress 安全提示。

如果您對如何處理 WordPress 登錄安全性有任何疑問，請在下面的評論中告訴我們。