WordPress 登錄安全:輕鬆保護您的登錄頁面 - MalCare

已發表: 2023-04-19

您是否知道每分鐘對 WordPress 網站的黑客攻擊超過 90,000 次? 這是一個非常高的統計數據,我們根本無法忽視。

要破解 WordPress 網站,黑客最常瞄準登錄頁面。 這是因為通過此頁面訪問您的站點,黑客可以完全控制您的站點。

隨之而來的破壞將對您的網站產生嚴重影響。 黑客可以以您的名義銷售非法產品或將您的訪問者引導至惡意網站。 他們還可以誘騙訪問者購買重複產品或下載惡意軟件。 這會對您的業務和聲譽造成嚴重損害。

幸運的是,您可以通過保護最具針對性的頁面(登錄頁面)來防止黑客濫用您的網站。 在 MalCare,我們每天都會處理這些黑客攻擊,並希望向所有 WordPress 用戶解決這個問題。 在這裡,我們將向您展示可以採取的最佳安全措施,使您的登錄頁面免受黑客攻擊。 您也可以查看我們的指南,了解如何保護您的網站免受黑客攻擊。

TL;DR:如果您需要易於實施且會自動保護您的登錄頁面的 WordPress 安全解決方案,請安裝我們的 MalCare 安全插件。 它將立即啟用限制登錄嘗試,並為您提供強化 WordPress 網站的選項。

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

保護您的 WordPress 登錄頁面的 5 個步驟

您可以採取多種措施來保護您的 WordPress 登錄頁面。 但是,並非您採取的每一步都是有效的。 有時您只是在添加噪音,而您的登錄頁面仍然容易受到攻擊。

在本文中,我們將重點介紹您可以採取的 5 個重要步驟,這些步驟已被證明是有效的,並且一定會確保您的網站安全。

我們假設您已經在站點上安裝了 SSL。 如果您沒有 SSL 保護,則需要立即從您的託管服務提供商或 SSL 提供商處添加它。 每個網站都應該安裝 SSL 作為第一個基本的站點安全措施。 它加密在您的網站和服務器之間傳輸的數據。 這意味著當數據在您的站點和託管服務器之間傳遞時,黑客無法竊取您的數據。 因此,將阻止試圖從登錄頁面竊取用戶憑據的黑客這樣做。

1.使用強用戶名和密碼來保護登錄頁面

在 WordPress 網站上創建用戶帳戶時,人們傾向於使用容易記住的內容或他們在其他所有帳戶中使用過的內容。 這樣做的問題是它使黑客的工作變得如此容易。

首先,黑客使用一種稱為暴力破解的技術,他們會嘗試使用不同的用戶名和密碼來猜測進入您帳戶的方式。 他們通過使用能夠在幾秒鐘內進行數千次嘗試的自動化機器人和算法來做到這一點。 如果您使用像“password123”這樣的簡單密碼,機器人將能夠在前幾次嘗試中猜出它。

其次,如果您對所有帳戶使用相同的憑據,這會帶來麻煩。 頂級公司的數據洩露事件如此之多,僅在 2019 年,就有 41 億條記錄被洩露。 如果您的用戶名和密碼在購物網站上被盜,黑客可以使用它來嘗試破解您的其他帳戶,例如您的電子郵件、網上銀行或您的 WordPress 網站。

您的管理員登錄憑據就像您家或辦公室的鑰匙。 這就是為什麼登錄安全的第一步是使用可靠的用戶名和密碼。

  • 我們建議您永遠不要使用默認用戶名“admin”。 如果您的網站名稱是thefirstexample.com ,請不要將您的管理員用戶名設置為“thefirstexample”。 這些是黑客將在登錄屏幕上嘗試的前幾個用戶名。 相反,使用任何人都難以猜測的不尋常和獨特的。
  • 談到密碼,您需要使用任何人都難以猜到的密碼。 我們建議將密碼短語與符號和數字結合使用。 這使您的密碼非常強大。

創建密碼時,WordPress 會指示您的密碼強度。 舉個例子,我們在 WordPress 管理員帳戶中創建了以下內容:

wordpress弱密碼

WordPress 表示密碼很弱。 所以我們用這個提升了我們的遊戲:

強密碼wordpress

最後,由於您的 WordPress 網站是一項寶貴的資產,我們認為它值得擁有一個獨特的密碼。 想出一個你不在任何其他網站上使用的。

現在您知道您的登錄憑據是安全的。 如果您的 WordPress 站點上有多個用戶,那麼所有用戶都遵循這些建議很重要,因為這是保護您的 WordPress 登錄頁面的非常重要的一步。

2. 限制登錄嘗試次數以提高安全性

默認情況下,WordPress 允許無限次登錄嘗試。 黑客通過暴力攻擊利用此功能。 您可以通過簡單地限制授予用戶的失敗登錄嘗試次數來獲得暴力破解保護。

當您在網站上輸入錯誤的密碼時,您可能會看到此提示,尤其是網上銀行的密碼:

登錄嘗試失敗

這是因為該網站實施了有限的登錄嘗試。 用戶有 3 次機會輸入正確的憑據以進入他們的帳戶。 在三次錯誤嘗試後,他們將被鎖定在他們的帳戶之外,並且必須使用“忘記密碼”選項。

您可以通過兩種方式實現此功能:

  • 使用插件——我們推薦 MalCare 安全插件。 安裝後,會自動實施有限的 WordPress 登錄保護。 該插件還為您提供基於驗證碼的保護,可防止惡意機器人訪問您的網站。
  • 手動 –要手動限制登錄嘗試次數,您需要訪問您的 functions.php 文件。 您需要添加一個帶有相應回調函數的 WordPress 操作和鉤子過濾器。 這種方法技術性強,風險大。 如果您不精通編碼,最好不要嘗試此操作。

有了這兩項措施,您的 WordPress 網站就為您的登錄頁面採取了基本的安全措施。 現在,我們可以繼續採取更高級的措施。

[ss_click_to_tweet tweet=”WordPress 默認允許無限次登錄嘗試。 使用 MalCare 自動實施有限的登錄嘗試。” content=”WordPress 默認允許無限次登錄嘗試。 使用 MalCare 自動實施有限的登錄嘗試。” 樣式=“默認”]

3.使用雙因素身份驗證來增強登錄安全性

您一定已經註意到,當您嘗試登錄 Gmail 帳戶時,必須執行兩個步驟。

第一步涉及輸入您的憑據。 在第二步中,Gmail 會向您的註冊電話號碼或電子郵件地址發送驗證碼。 之後,您需要在 Gmail 帳戶中輸入此號碼才能訪問您的電子郵件。 這是兩步驗證或雙因素身份驗證。

登錄安全的雙因素驗證

為確保訪問帳戶的用戶是真實的,該過程使用常規憑據加上實時生成的一次性密碼 (OTP)。

因此,即使黑客猜到了您的憑據,他們仍然需要輸入發送給您的一次性代碼,您可以輕鬆保護您的 WordPress 登錄頁面。

您可以使用插件實施 2 因素身份驗證。 我們推薦的兩個插件是 Google Authenticator 2FA 和 Two Factor Authentication。

注意:如果您使用的是 MalCare 插件,2 因素身份驗證將很快可用。

4. 地理封鎖——防止黑客訪問您的 WordPress 網站

當您設置 WordPress 站點時,您會自動歡迎來自世界各地的流量,除非您將其配置為特定區域。

要查看您的流量來源,您需要註冊 Google Analytics。 在儀表板上,您會看到選項“您的用戶在哪裡?” 通過單擊“位置概覽”,您可以準確了解訪問者的來源。

博客的主要流量

或者,像 MalCare 這樣的插件也可以顯示您的流量來源。

很多時候,我們遇到過網站所有者發現他們正在從特定國家/地區獲得不需要的流量。

為了向您展示我們的意思,讓我們舉個例子。 假設您有一個僅面向英國的網站 – example.co.uk。 但是,當您查看 Analytics(分析)時,您會發現您網站的大量流量來自俄羅斯、新加坡和美國等其他國家/地區。 您應該將其視為危險信號。

這只是黑客的指示,您可以使用 MalCare 插件來查看流量是否真的是惡意的。

安裝 MalCare 插件後,訪問儀表板。 在“安全”下,您會看到在您的網站上進行的登錄嘗試次數以及插件被阻止的次數。

MalCare 登錄請求

通過單擊“顯示更多”,審核日誌將準確顯示流量的來源以及嘗試使用的用戶名。

malcare 限制登錄嘗試以獲得更好的 WordPress 安全性

如果您覺得這種流量是一種不必要的風險,您可以簡單地屏蔽整個國家。 為此,MalCare 有一個名為“地理封鎖”的選項,可通過阻止來自您選擇的國家/地區的任何 IP 地址來增加一層安全性。 就是這樣:

  • 在儀表板上,選擇您的站點,然後單擊“地理封鎖”。
惡意地理封鎖
  • 接下來,從下拉菜單中選擇要阻止的國家/地區。 單擊“阻止國家/地區”後,將顯示提示“已成功阻止所選國家/地區的 IP。
惡意地理封鎖

地理封鎖或國家封鎖有助於降低被黑客攻擊的風險。 阻止整個國家/地區是不可取的,因為某些流量可能是合法的。 但是,如果您 100% 確定不需要來自該國家/地區的任何流量,最好只是阻止它,這樣您就可以通過不讓黑客訪問來保護您的 WordPress 登錄頁面。

另請閱讀:如何修復 WordPress 登錄不安全問題

5. 自動退出

登錄帳戶並保持打開狀態的習慣並不少見。 您可能會發現自己在沒有註銷帳戶的情況下關閉了瀏覽器。 如果您讓系統無人看管,黑客可能會重新打開您的瀏覽器並自動登錄到您的帳戶。

這種習慣會放大攻擊的風險。 為了減輕此類風險,許多網站實施“自動註銷”。 這是網上銀行的常見做法。 如果您一段時間不活動,該網站會自動將您註銷。 您可能會看到如下所示的提示:

導致註銷的錯誤

這是您可以在 WordPress 網站上實施的一項基本措施。 它確保任何人都無法利用在用戶離開系統時登錄的帳戶。

特別建議遠程工作或使用自己的個人設備工作的人採取此措施。 作為網站所有者,您永遠無法確保他們在不活動時會記得註銷。 如果他們使用公共計算機或不安全的公共 wifi,這會使您的網站面臨更大的風險。

與電子銀行服務不同,WordPress 不會在用戶不活動時自動註銷用戶。 但是您可以使用 Bulletproof Security 等插件來實施此安全措施。

該插件有一個名為“空閒會話註銷”的安全功能,您可以啟用該功能。 您可以選擇不活動的時間段,超過該時間段後用戶將自動註銷。

自動登出

此措施將確保您的網站安全,以免落入壞人之手。

[ss_click_to_tweet tweet=“我使用 MalCare 的安全指南輕鬆保護了我的 WordPress 登錄頁面。” content=“我使用 MalCare 的安全指南輕鬆保護了我的 WordPress 登錄頁面。” 樣式=“默認”]

結論:這不僅僅是您的登錄頁面

保護您的 WordPress 登錄頁面的安全讓您離安全的 WordPress 網站更近了一步。 黑客喜歡攻擊易於破解的網站。 因此,通過使用基本措施保護您的網站,黑客可能會嘗試幾次,然後轉向更容易的目標。

但這並不能保證黑客無法入侵您的網站。 黑客識別並利用他們在您網站上發現的任何漏洞。 它可能位於您安裝的具有安全漏洞的新插件中。 可能是您很久以前安裝的主題忘記更新隨著時間的推移開發了一個漏洞。 黑客可以利用很多這樣的機會。

您真正需要的是一個全面的保護計劃。 我們強烈建議採取更多的安全措施,例如 IP 阻止、使用 wp-config.php 保護站點、遵循有關 WordPress 安全的完整指南,以及使用最好的 WordPress 安全插件之一——MalCare,它將全天候保護您的站點。 它使您可以訪問定期掃描報告,您還可以實施推薦的 WordPress 強化措施。 這樣您的 WordPress 網站將很難被侵入!


 使用我們的MalCare 安全插件保護您的網站