WordPress 登錄安全的 5 條簡單規則

已發表: 2022-07-12

成功的 WordPress 安全策略應包括加強 WordPress 登錄的步驟。 在這篇文章中,我們介紹了五個簡單的規則來提高 WordPress 登錄安全性。

WordPress 的偉大之處在於它如何創建一個幾乎任何人都可以訪問的網站。 但伴隨著可訪問性而來的是可預測性。 任何有使用 WordPress 經驗的人都知道網站的更改是在哪裡進行的:通過 wp-admin 區域。 他們甚至知道他們需要去哪裡訪問 wp-admin,wp-login.php 頁面。

默認情況下,每個 WordPress 站點的 WordPress 登錄 URL 都是相同的,並且不需要任何特殊權限即可訪問。 這就是為什麼 WordPress 登錄頁面是任何 WordPress 網站中受攻擊最多且可能易受攻擊的部分。

不幸的是,創建一個漫遊互聯網並實施暴力攻擊的機器人並不需要太多技能,任何初學者級別的黑客都可以創建一個。 由於對 WordPress 登錄頁面的攻擊具有較低的進入門檻,因此 WordPress 登錄安全性對於保護任何 WordPress 站點都至關重要。

通過遵循這些規則並使用 WordPress 安全最佳實踐,您可以避免容易受到常見用戶登錄錯誤的影響。

1.使用強密碼

互聯網上有很多關於密碼安全最佳實踐的令人困惑和矛盾的信息。 為了消除這種困惑,讓我們分解一下使用強密碼如何提高 WordPress 安全性的基礎知識。

每當創建密碼時,您首先要考慮的是密碼的長度。 下面的列表顯示了使用四核 i5 處理器破解密碼所需的估計時間。

  • 破解 7 個字符需要 0.29 毫秒。
  • 破解8個字符需要5個小時。
  • 9個字符需要5天才能破解。
  • 10個字符需要4個月才能破解
  • 11個字符需要10年才能破解
  • 12 個字符需要 2 個世紀才能破解。

如您所見,在密碼中添加單個字符可以顯著提高登錄的安全性。

一個至少有 12 個字符長的隨機密碼,並且包含大量字符,例如“ ISt8XXa!28X3 ”,將使其非常難以破解。

不幸的是,一些黑客正在利用 GPU 和更強大的 CPU 來減少破解密碼所需的時間。 因此,為了加強您的登錄,還要注意您的密碼熵。 密碼熵越高,密碼越難破解。

例如,僅根據長度要求,像“abcdefghijkl”這樣的密碼是 12 個字符,這很好,需要 200 年才能破解。 但是,由於密碼使用連續的字母字符串,與具有隨機字符的“rfybolaawtpm”之類的密碼相比,它使密碼更容易預測。

隨機化字符會降低可預測性並增加密碼的強度。 但是這兩個密碼都有一個共同點,最終會降低密碼熵。 兩者都只使用小寫字母,將可能的字符池限制為 26 個。這就是為什麼包含字母數字、大寫字母和常見 ASCII 字符以將破解密碼​​所需的字符池增加到 92 個至關重要的原因。

提示:使用 LastPass 等密碼管理器輕鬆生成和安全存儲密碼。
提示:至少,您應該要求可以對 WordPress 進行編輯的用戶使用強密碼。 使用像 iThemes Security Pro 這樣的 WordPress 安全插件來強制特權用戶使用強密碼將有助於提高 WordPress 登錄安全性。

2. 為每個帳戶使用唯一密碼

在線安全的另一個最佳做法是為您擁有的每個帳戶和網站登錄使用唯一密碼。 這非常重要,我們再說一遍:您應該為每個站點使用不同的密碼。

為什麼重用密碼如此重要? 如果您對每個站點都使用相同的密碼,並且其中一個站點遭到入侵,那麼您現在在每個站點上的每個帳戶都使用了已洩露的密碼。 黑客可以使用與您的電子郵件地址或用戶名配對的已洩露密碼的數據轉儲來訪問您的帳戶。 最好不要冒險。

您擁有的重複使用密碼的用戶越多,您的 WordPress 登錄安全性就越弱。

在 Cyber​​news 編制的列表中,2022 年最常見的密碼是 123456。您網站的 WordPress 登錄安全性僅與最薄弱的鏈接一樣強,因此請積極應對強密碼要求。

提示:保護 WordPress 免受密碼洩露

您可以使用 iThemes Security Pro 等插件保護 WordPress 免受密碼洩露。 iThemes Security Pro 利用 HaveIBeenPwned API 來檢測密碼是否出現在數據洩露中。

提示:鼓勵用戶經常更改密碼

iThemes Security 的密碼要求功能允許您強制所有用戶在下次登錄時更改密碼。強制用戶創建新密碼,讓每個人都可以使用強大且不妥協的密碼重新開始,這將增加您的 WordPress 登錄安全。

提示:使用密碼管理器

最終,使用密碼管理器可以幫助您跟踪您的登錄名和唯一密碼。 在密碼管理器的幫助下,您不必記住密碼。

3.限制登錄嘗試

默認情況下,WordPress 沒有內置任何東西來限制某人可以進行的失敗登錄嘗試次數。 攻擊者可以嘗試登錄失敗的次數沒有限制,他們可以繼續嘗試無數次的用戶名和密碼,直到成功。

通過安裝像 iThemes Security Pro 這樣的 WordPress 安全插件來限制登錄嘗試失敗的次數,從而提高您的 WordPress 登錄安全性。 iThemes Security Pro WordPress蠻力保護功能使您能夠設置在用戶名或IP被鎖定之前允許的失敗登錄嘗試次數。 鎖定將暫時禁用攻擊者進行登錄嘗試的能力。 一旦攻擊者被鎖定 3 次,他們將被禁止訪問該網站。 注意:在決定您希望登錄嘗試失敗的規則有多嚴格時,請牢記您網站的實際用戶。 如果您將鎖定規則設置得過於嚴苛,您就會冒著無意中鎖定真實用戶的風險。

4. 限制每個請求的外部身份驗證嘗試

除了使用登錄表單之外,還有其他方法可以登錄 WordPress。 使用 XML-RPC,攻擊者可以在單個 HTTP 請求中進行數百次用戶名和密碼嘗試。 暴力放大方法允許攻擊者在幾個 HTTP 請求中使用 XML-RPC 進行數千次用戶名和密碼嘗試。 當您知道攻擊者可以使用數據庫轉儲作為起點並對每個請求進行數千次猜測時,它就更加清楚了 WordPress 登錄安全性的重要性。 使用 iThemes Security Pro 的 WordPress Tweaks 設置,您可以阻止每個 XML-RPC 請求的多次身份驗證嘗試。 將每個請求的用戶名和密碼嘗試次數限制為一次將大大有助於保護您的 WordPress 登錄。

此外,在開發 WordPress 登錄安全計劃時,請務必注意 WordPress Rest API 添加了其他方式來驗證 WordPress 用戶。 Cookie 身份驗證是您登錄時的一種身份驗證方法 WordPress 會自動存儲 cookie,以便插件和主題可以代表您執行功能。 Cookie 身份驗證將受益於您添加到 wp-login.php 的保護。

5.使用雙重身份驗證

我最後保存了提高 WordPress 登錄安全性的最佳方法:WordPress 雙重身份驗證。 雙重身份驗證需要額外的代碼以及您的 WordPress 用戶名和密碼才能登錄。

雙重身份驗證的方法有很多,但並非所有方法都是平等的。 如果可以,請避免使用 SMS 進行雙重身份驗證。 美國國家標準與技術研究院不再推薦使用 SMS 發送和接收驗證碼。

使用 WordPress 安全插件,如 iThemes Security Pro,您應該啟用兩因素的電子郵件或移動應用程序方法。

請注意,許多網站要求您使用電子郵件地址作為用戶名。 如果攻擊者入侵其中一個網站,下一步將嘗試使用他們竊取的新電子郵件地址和密碼登錄電子郵件帳戶。 如果您的一個用戶或客戶在每個站點上重複使用被洩露的密碼,他們的電子郵件帳戶以及他們的雙因素電子郵件代碼將被洩露。 雙重因素的移動應用程序方法將最大程度地提高 WordPress 登錄安全性。 登錄所需的額外驗證碼將發送到用戶的手機。 因此,即使攻擊者可以訪問 WordPress 和電子郵件憑據,他們仍然無法登錄。

回顧:一個簡單的 WordPress 登錄安全清單

WordPress 登錄安全應該是每個網站的重中之重。 既然您知道如何提高網站的登錄安全性,您就可以利用這種有效的黑客預防策略了。

  • 1.使用強密碼
  • 2. 為每個帳戶使用唯一密碼
  • 3.限制登錄嘗試
  • 4. 限制身份驗證嘗試
  • 5.使用雙重身份驗證

獲得獎勵內容:WordPress 安全指南
點擊這裡

保護和保護 WordPress 的最佳 WordPress 安全插件

WordPress 目前為超過 40% 的網站提供支持,因此它已成為惡意黑客的輕鬆目標。 iThemes Security Pro 插件消除了 WordPress 安全性的猜測,使保護您的 WordPress 網站變得容易。 這就像擁有一個全職的安全專家,他們不斷地為您監控和保護您的 WordPress 網站。

獲取 iThemes 安全專業版