使用這些易於使用的插件保護您的 WordPress 登錄
已發表: 2020-05-29在管理您的 WordPress 網站時,確保您的登錄安全和運行良好應該是重中之重。 無論您是經營電子商務商店還是會員網站,確保您的用戶使用強大的用戶名和密碼組合對於保護您的網站免受外部威脅和黑客攻擊至關重要。
然而,您的一些用戶可能會繼續使用較弱的密碼和用戶名進行 WordPress 登錄。 密碼 123 甚至1234之類的密碼會在您的網站防禦中留下一個巨大的漏洞。 但是,通過使用幾個插件,您可以保護您的 WordPress 登錄。 使用插件,您可以強制使用強密碼並使用更安全的身份驗證機制。
本指南將引導您了解這些插件是什麼以及如何使用它們。 它還解釋了為什麼它們在確保您的 WordPress 登錄安全的戰鬥中如此重要。 但首先,了解為什麼需要採取這些步驟來保護您的網站非常重要。
為什麼你應該保護你的 WordPress 登錄
出於多種原因,為您的用戶提供安全的 WordPress 登錄至關重要。 首先,弱用戶名和密碼組合是惡意未經授權的用戶入侵網站的主要方法之一。 在幾種情況下,個人可以利用 WordPress 登錄過程中的弱點。
更糟糕的是,由於他們通過真正的用戶帳戶獲得訪問權限,除非您使用 WordPress 活動日誌插件,否則您可能直到為時已晚才意識到損壞。 例如,如果管理員使用“admin”作為用戶名和簡單密碼,自動機器人可以在幾秒鐘內猜到。
有些人只會在你的網站上搞亂設置,練習當他們破解更大的目標時。 其他人可能會插入惡意軟件、使用您的網站分發盜版軟件或將流量從您的網站重定向。
考慮到這一點,讓我們探討一下為什麼安全的 WordPress 登錄對於任何類型的網站都如此重要,包括電子商務網站。
為什麼安全的 WordPress 登錄對電子商務網站如此重要
破壞您的網站是一回事。 電子商務商店或基於訂閱的會員網站被黑是另一回事! 這些類型的網站處理付款並存儲敏感的用戶數據。 如果被黑客入侵,攻擊者可能會竊取您所有客戶的個人記錄。
在這種情況下,經驗豐富的黑客不希望您知道您的網站數據已被盜。 這意味著他們將掩蓋他們的踪跡。 這讓您不知道發生了什麼,直到數百名客戶抱怨他們卡上的虛假費用。
這種性質的數據洩露會永久性地損害您公司的聲譽。 您還將受到國家監管機構的巨額罰款,例如 PCI SSC。 希望現在了解關閉網站防禦中這些潛在漏洞的重要性。
我們現在知道為什麼無論您運行哪種網站,安全登錄都如此重要。 因此,讓我們看看實際上什麼是安全密碼,以及如何為您的 WordPress 網站生成一個。
什麼使密碼安全?
您可以使用密碼生成器為您的關鍵帳戶生成一個強大且難以破解的密碼。 但是,了解什麼是強大的 WordPress 密碼至關重要。 這使您可以在您的網站上註冊時向您的用戶推薦這些要求。
時間越長越強
長度對於任何強密碼都至關重要。 您可能已經註意到,許多網站至少需要 8 個字符。 但是,理想情況下,您應該更進一步並要求至少十個字符。
即使這只是幾個額外的字符,它也會產生巨大的差異。 短密碼很快就會被蠻力攻擊破解。 但是十個字符及以上,黑客破解它們的可能性就會降低。 取得成功可能需要數年時間。
越隨機越好
如果您沒有使密碼足夠隨機,您可以撤消選擇長密碼的好工作。 自動猜測機器人使用非常全面的密碼字典。 事實上,有些人可以在一分鐘內破解由隨機字母組成的八位密碼。
那就對了; 即使是像“qkcrmztd”這樣難以記住的密碼也是完全沒用的。 包含幾個數字會產生很大的不同。 即使是像“iown2dogsand1cat”這樣簡單易記的密碼,也需要六億年才能破解(如果您願意,也需要 330,130 世紀)。
為了保護密碼免受暴力破解和字典攻擊,必須將長度與字母、數字以及理想情況下的特殊符號的組合結合起來,以使計算機程序無法破解密碼。
定期更換
用戶可能有點懶惰。 他們經常為多個站點使用相同的密碼。 這意味著另一個站點上的漏洞可能會立即影響您的站點。 通過強制用戶每季度(三個月)更改一次密碼,您可以消除對網站安全的威脅。 無論如何,這也是一個很好的最佳實踐,因為它還會在任何蠻力嘗試時重新啟動時鐘。
什麼是密碼管理器?
簡而言之,密碼管理器是一種用於安全存儲用戶名和密碼組合的軟件或在線服務。 密碼管理器中存儲的所有信息均由一個主密碼和雙因素身份驗證機制保護。
作為網站所有者,您需要教育客戶並推動他們使用網站。 為什麼? 好吧,您的網站用戶不太可能選擇難以記住的複雜密碼。 因此,向您的網站用戶推廣使用密碼管理器是有意義的。
在安全性與用戶體驗 (UX) 之間取得適當的平衡
實施包含耗時任務的安全 WordPress 登錄過程將使一些用戶無法註冊帳戶。 考慮到這一點,您需要在網站安全性和網站可用性之間取得平衡。
對於處理支付信息的電子商務網站,它們的安全級別非常高也就不足為奇了。 鑑於客戶會知道他們正在與您共享他們的付款詳細信息,考慮到您的流程信息的價值,他們不太可能會遇到被迫使用“不可破解”密碼和雙重身份驗證的問題。
另一方面,一個更簡單的會員網站,將支付細節交給符合 PCI-DSS 的第三方,可能不需要任何接近相同級別的安全協議。 這並不是說安全應該掉以輕心。 相反,必須找到一個平衡點,在不過度干擾用戶體驗 (UX) 或完全推遲潛在客戶的情況下提供安全的 WordPress 登錄。
確保您的 WordPress 登錄安全的兩個最佳插件
借助插件,實現安全的 WordPress 登錄要簡單得多。 他們為您完成所有繁重的工作。 考慮到這一點,為您的 WordPress 網站下載和安裝 WPassword 和 WP 2FA 插件是有意義的。
雖然 WordPress 確實強調用戶正在創建弱密碼,但該平台仍然允許他們使用弱密碼。 強制執行強密碼策略的唯一方法是使用插件。 通過插件,您不僅可以規定最小密碼長度等項目,還可以根據用戶角色區分密碼策略,以免破壞您的 WordPress 網站的用戶體驗。
然後,您可以通過實施兩因素身份驗證 (2FA) 更進一步。 即使是最強的用戶名和密碼組合也可能被盜,因此為惡意網絡犯罪分子提供了後門入口。 通過添加雙因素身份驗證,黑客可以在登錄後阻止他們的踪跡,除了憑據之外,他們還需要一個只有用戶才能生成的一次性代碼。
使用這些插件的組合使外部威脅幾乎不可能通過不安全的登錄獲得訪問權限。 使用只有真實用戶才能知道或擁有的難以破解的密碼和詳細信息,您的站點登錄將自動變得更加安全並降低黑客威脅級別。
如何在 WordPress 上強制使用強密碼
強制執行安全 WordPress 登錄的第一步是下載和安裝 WPassword。 下載並安裝後,轉到 WordPress 儀表板中設置菜單中的“密碼策略”。
在這裡,您可以配置您網站的密碼策略並強制您的用戶使用強 WordPress 密碼。 您可以規定管理密碼的規則,例如:
- 最小密碼長度
- 強制使用大寫和小寫字母
- 使用數字的要求
- 強制使用特殊字符
- 密碼過期策略(因此用戶經常更改密碼)
使用密碼歷史功能來防止用戶重複使用舊密碼也是一個好主意。 使用此插件,您可以根據用戶的角色配置密碼策略。 您還可以一鍵重置所有密碼。 在不幸的 WordPress 黑客事件中,後一個功能可以幫助阻止攻擊者的踪跡。
最後,不要忘記您的休眠 WordPress 用戶! 即使他們已經有一段時間沒有使用您的網站了,但他們會帶來最大的威脅,尤其是如果他們在您實施更嚴格的密碼政策之前就註冊了。 使用 WPassword 上的休眠 WordPress 用戶策略功能來鎖定非活動用戶並防止帳戶劫持。
實施這些密碼策略後,添加雙因素身份驗證作為額外的安全層是有意義的。
如何在 WordPress 網站上啟用雙重身份驗證
與上述步驟類似,您的第一個停靠點是前往下載並安裝適用於 WordPress 的 WP 2FA 插件。 或者您可以通過以下步驟直接在您的網站內安裝插件:
- 導航到插件>添加新
- 搜索WP 2FA > 單擊“立即安裝” ,然後單擊“激活”
激活後,您可以在幾秒鐘內為您的 WordPress 用戶設置雙重身份驗證。 完成該步驟後,就可以為您的 WordPress 網站配置雙重身份驗證策略了。 對於這一步,只需前往:
- 設置>雙重身份驗證
向下滾動到“您想對部分或所有用戶強制執行 2FA 嗎?”部分。 在這裡,您可以決定哪些用戶需要雙重身份驗證才能訪問該站點(我們建議所有用戶獲得最大保護)。 您還可以確定在用戶被鎖定帳戶之前,讓他們設置兩因素身份驗證的時間。
請記住,只要一個用戶名和密碼被洩露,您的安全 WordPress 網站就會突然受到立即攻擊的威脅。 使用 WP 2FA 插件,您可以利用以下優勢:
- 提高網站安全性
- 更好地保護用戶數據
- 增加客戶的信任和信心
- 為自己節省與成功的 WordPress 黑客嘗試相關的成本
不要冒險使用您的 WordPress 登錄安全性
希望您現在了解一個弱密碼可能對您的網站造成的損害。 因此,實施安全的 WordPress 登錄過程對於保護客戶的個人信息和業務的完整性至關重要。
幸運的是,借助兩個易於設置的插件,您可以消除與不安全的 WordPress 登錄相關的威脅。 通過安裝 WPassword 和 WP 2FA 插件,您可以利用以下功能:
- 強制對用戶使用強密碼
- 提高整體站點安全性
- 保護高度敏感的個人數據免受黑客攻擊
- 根據用戶角色確定安全級別
- 消除非活動/休眠用戶帳戶帶來的威脅
那你還在等什麼? 立即使用 WPassword 和 WP 2FA 保護您的 WordPress 登錄。