WordPress 登錄安全:保護登錄頁面的 5 個簡單步驟
已發表: 2021-10-20想知道您是否應該擔心 WordPress 登錄安全性?
WordPress 是世界上最受歡迎的 CMS,因為使用它構建網站非常容易。 儘管它是免費的 CMS,但還是要付出代價的。 WordPress 是非常可預測的,這有時使它成為一個容易的目標。
以登錄頁面為例。
每個 WordPress 網站都有相同的登錄頁面(/wp-admin.com 或 /wp-login.php)。 將可預測性與人類使用弱憑據的偏好結合起來,該頁面成為黑客的誘人目標。
安全專家表示,登錄頁面是網站上最容易受到攻擊的頁面。 每天,黑客都會部署機器人對該頁面進行暴力攻擊。 通過找出您的登錄憑據,他們可以輕鬆訪問您的 CMS。 因此,您必須竭盡全力保護它免受這些不速之客的侵害。
在本文中,我們將向您展示五種高級方法來提高 WordPress 登錄安全性並防止被黑客入侵。
如何在 2022 年保護 WordPress 登錄頁面
在網絡安全領域有很多糟糕的建議。 其中大部分旨在使人們陷入恐懼並讓他們屈服於強迫性選擇。 在本文中,我們將向您展示實際有效的方法,而不是增加噪音。 那些是:
- 更改登錄頁面 URL
- 實施兩因素身份驗證
- 限制失敗的登錄嘗試
- 防止發現用戶名
- 使用自動註銷
您一定已經註意到我們沒有包含強密碼的強制執行和 SSL 證書的安裝。 那是因為它是給定的。 我們希望您已經在使用這些。 請參閱我們的其他指南,了解如何完成這項工作。
注意:要執行我們下面提到的措施,您需要安裝一個或兩個插件。 而且我們知道即使是最好的插件也會導致故障。 因此,在繼續之前備份您的網站。
現在,讓我們開始吧:
1.更改登錄頁面URL
正如我們在文章開頭所說,默認的 WordPress 登錄頁面如下所示:
-
www.website.com/wp-admin/
-
www.website.com/wp-login.php/
每個人都知道這一點,包括設計針對 WordPress 登錄頁面的機器人的黑客。 而且由於 59% 的美國人[1]使用弱密碼,因此通過暴力破解登錄頁面來破解網站太容易了。
保護登錄頁面的一種方法是更改 URL。
創建新的自定義登錄頁面 URL 很容易。 有許多可用的插件可讓您單擊幾下即可完成此操作。
我們將使用 WPS 隱藏登錄插件來演示該過程,但如果您更喜歡其他任何插件,請繼續。 這些步驟將同樣簡單快捷。
如何更改您的 WordPress 登錄 URL
安裝並激活WPS 隱藏登錄。 轉到設置 → WPS 隱藏登錄。
在頁面底部向下滾動,在Login URL部分插入新 URL,然後點擊Save Changes 。
嘗試使用新 URL 登錄。 不要忘記與您的隊友分享。
如果您需要幫助,這裡是我們的專用指南:如何更改您的 WordPress 登錄頁面 URL。
2.實施雙因素認證
您在使用 Facebook 和 Gmail 時一定遇到過雙重身份驗證。 每當您嘗試登錄帳戶時,這些服務通常會向您註冊的手機號碼發送一個唯一代碼。 實施此安全措施是為了確保只有帳戶所有者才能訪問它。 即使黑客可以獲取您的憑據,他們也無法竊取發送到您註冊手機號碼的唯一代碼。
雙重身份驗證也可以應用於您的 WordPress 網站。 它將為登錄頁面增加一層安全性。 您需要做的就是安裝以下任何插件:
- miniOrange 的 Google 身份驗證器
- Google 身份驗證器 - 兩因素身份驗證 (2FA)
- WP White Security 的 WP 2FA
設置兩因素身份驗證插件非常容易。 我們將使用 miniOrange 的 Google Authenticator 向您展示設置過程。
如何實現雙因素身份驗證
在您的 WordPress 登錄頁面上安裝 miniOrange 的 Google Authenticator。 一旦您激活插件,就會出現一個設置小部件。 選擇第一個選項,即Google Authenticator 。
接下來,在您的智能手機上下載 Google Authenticator 應用程序。 打開應用程序並掃描二維碼。
該應用程序生成一個代碼。 在設置小部件中輸入它並點擊Save 。
2FA WordPress 登錄安全性現在在您的登錄頁面上處於活動狀態。
3.限制失敗的登錄嘗試
WordPress 允許其用戶無限制的登錄嘗試。 這聽起來可能無害,但老實說,這是一個明顯的安全漏洞。
無限的登錄嘗試使黑客能夠進行暴力攻擊。 在這種類型的攻擊中,黑客部署機器人來找到用戶名和密碼的正確組合。 在獲得正確的憑據之前,機器人會失敗幾次。 對抗機器人攻擊的最有效方法之一是限制登錄嘗試。
下面的插件將幫助您做到這一點:
- 限制重新加載的登錄嘗試
- WPS限制登錄
- WP 限制登錄嘗試由 Arshid
如何限制失敗的登錄嘗試
安裝插件,然後轉到限制登錄嘗試 → 設置 → 本地應用程序。 在這裡,您可以設置在您的網站上應允許多少次登錄嘗試。 以及在上述次數的登錄嘗試後,某人將被鎖定多長時間。
4.防止發現用戶名
通常,用戶名被認為不如密碼重要。 這是一個公開的記錄,這就是為什麼我們認為它一定是低價值的。 不對。
用戶名佔您憑據的一半。 它必須受到保護,就像密碼一樣。
在 WordPress 網站上,您會發現帖子和作者檔案中顯示的用戶名。 值得慶幸的是,有一種方法可以同時禁用它們。
如何禁用作者檔案
這可以在任何 SEO 插件的幫助下完成。 在下面的教程中,我們使用 Yoast SEO 來展示它。
轉到SEO → 搜索外觀 → 檔案,然後禁用作者檔案。 點擊保存更改。
如何更改顯示名稱
顯示名稱顯示在已發表的文章和評論上。 默認情況下,顯示名稱和用戶名(用於登錄的用戶名)是相同的。 為防止用戶名被發現,您可以將顯示名稱更改為其他名稱。
轉到用戶 → 個人資料 → 暱稱。 您不能直接更改顯示名稱。 相反,更改暱稱。 然後從下面的下拉菜單中選擇新暱稱。
5. 自動登出
自動註銷可保護網站免受窺探。 當用戶離開會話無人看管時,自動註銷會結束會話,從而保護網站。
默認的 WordPress 行為是在登錄會話 cookie 過期 48 小時後註銷用戶。 如果用戶選中“記住我”框,您將保持登錄狀態 14 天。 由於一些空閒時間而終止會話,您需要安裝一個單獨的插件。
以下插件可幫助您自動註銷以結束空閒用戶會話:
- 非活動註銷
- iThemes 安全
如何啟用自動註銷
激活插件,然後轉到Settings → Inactive Logout → Basic Management 。 設置空閒超時的時鐘。 還有基於角色的超時選項。 如果您喜歡,請查看。
關於 WordPress 登錄安全性的結論
可以了,好了? 偉大的! 在您離開此頁面之前,最後一條建議:提高 WordPress 登錄安全性使您更接近保護整個網站的安全,這是最終目標!
即使您實施了防止黑客暴力破解您的網站的措施,入侵者仍然可以通過易受攻擊的主題和插件獲得訪問權限。 因此,請讓您的網站全天候更新。
為了進一步保護您的網站,我們強烈建議您採取本指南中涵蓋的所有安全措施:10 個關鍵 WordPress 安全提示。
如果您對如何處理 WordPress 登錄安全性有任何疑問,請在下面的評論中告訴我們。