[ad_1]
想知道您是否应该担心 WordPress 登录安全?
WordPress 是世界上最受欢迎的 CMS,因为使用它构建网站非常容易。 虽然它是一个免费的 CMS,但需要付出代价。 WordPress 是非常可预测的,这有时使它成为一个容易的目标。
以登录页面为例。
每个 WordPress 网站都有相同的登录页面(/wp-admin.com 或 /wp-login.php)。 将可预测性与人类对使用弱凭据的偏好相结合,页面成为黑客的诱人目标。
安全专家表示,登录页面是网站上最容易受到攻击的页面。 每天,黑客都会部署机器人来执行 蛮力攻击 在那个页面上。 通过找出您的登录凭据,他们可以轻松访问您的 CMS。 因此,您必须竭尽全力保护它免受这些不速之客的侵害。
在本文中,我们将向您展示五种提高 WordPress 登录安全性和防止被黑客入侵的高级方法。
如何在 2021 年保护 WordPress 登录页面
在网络安全领域有很多糟糕的建议。 其中大部分旨在使人们陷入恐惧并让他们屈服于强迫性选择。 在本文中,我们将向您展示实际有效的方法,而不是增加噪音。 那些是:
想要#secure #WordPress #login 页面吗? 这就是你需要做的🔒
你一定已经注意到我们没有包括执行 强密码 和安装 SSL 证书. 那是因为它是给定的。 我们希望您已经在使用这些。 请参阅我们的其他指南,了解如何完成这项工作。
注意:要执行我们在下面提到的措施,您需要安装一两个插件。 我们知道即使是最好的插件也会导致故障。 所以做一个 备份您的网站 在您继续之前。
现在,让我们开始:
1.修改登录页面地址
正如我们在文章开头所说,默认的 WordPress 登录页面如下所示:
- www.website.com/wp-admin/
- www.website.com/wp-login.php/
每个人都知道这一点,包括设计针对 WordPress 登录页面的机器人的黑客。 由于 59% 的美国人 [1] 使用弱密码,通过暴力破解登录页面来破解网站太容易了。
保护登录页面的一种方法是更改 URL。
创建新的自定义登录页面 URL 很容易。 有许多可用的插件让您只需点击几下即可完成。
我们将使用 WPS 隐藏登录 插件来演示该过程,但如果您更喜欢任何其他插件,请继续。 这些步骤将同样简单快捷。
如何更改您的 WordPress 登录 URL
安装并激活 WPS 隐藏登录。 转到设置 → WPS 隐藏登录。
在页面底部向下滚动,在登录 URL 部分插入新 URL,然后点击保存更改。
尝试使用新 URL 登录。 不要忘记与您的队友分享。
👉如果您需要帮助,这是我们的专用指南: 如何更改您的 WordPress 登录页面 URL.
2.实现两步验证
您在使用 Facebook 和 Gmail 时一定遇到过双因素身份验证。 每当您尝试登录帐户时,这些服务通常会向您注册的手机号码发送一个唯一代码。 实施此安全措施是为了确保只有帐户的所有者才能访问它。 即使黑客可以获取您的凭据,他们也无法窃取发送到您注册手机号码的唯一代码。
双因素身份验证也可以应用于您的 WordPress 网站。 它将为登录页面添加一层安全性。 您需要做的就是安装以下任何插件:
设置两因素身份验证插件非常简单。 我们将使用 miniOrange 的 Google 身份验证器向您展示设置过程。
如何实现两因素身份验证
在您的 WordPress 登录页面上安装 miniOrange 的 Google 身份验证器。 一旦您激活插件,就会出现一个设置小部件。 选择第一个选项,即 Google Authenticator。
接下来,在您的智能手机上下载 Google Authenticator 应用程序。 打开应用程序并扫描二维码。
该应用程序生成一个代码。 在设置小部件上输入它并点击保存。
2FA WordPress 登录安全性现在在您的登录页面上处于活动状态。
3. 限制失败的登录尝试
WordPress 允许其用户无限次登录尝试。 这听起来可能无害,但老实说,这是一个明显的安全漏洞。
无限制的登录尝试使黑客能够进行暴力攻击。 在这种类型的攻击中,黑客会部署机器人来寻找正确的用户名和密码组合。 在找到正确的凭据之前,机器人会失败几次。 对抗机器人攻击的最有效方法之一是限制登录尝试。
下面的插件将帮助您做到这一点:
如何限制失败的登录尝试
安装插件,然后转到限制登录尝试 → 设置 → 本地应用程序。 您可以在此处设置允许在您的网站上尝试登录的次数。 以及在上述登录尝试次数后,某人将保持锁定状态的时间。
4. 防止用户名被发现
通常,用户名被认为不如密码重要。 这是一个公开可用的记录,这就是为什么我们假设它的价值一定很低。 不对。
用户名占您凭据的一半。 它必须受到保护,就像密码一样。
在 WordPress 网站上,您会发现帖子和作者档案中显示的用户名。 值得庆幸的是,有一种方法可以同时禁用它们。
如何禁用作者档案
这可以在任何 SEO 插件的帮助下完成。 在下面的教程中,我们使用 Yoast SEO 来展示它。
转到 SEO → 搜索外观 → 档案,然后禁用作者档案。 点击保存更改。
如何更改显示名称
显示名称显示在已发表的文章和评论中。 默认情况下,显示名称和用户名(您用于登录的用户名)是相同的。 为防止用户名被发现,您可以将显示名称更改为其他名称。
转至用户 → 个人资料 → 昵称。 您不能直接更改显示名称。 相反,更改昵称。 然后从下面的下拉菜单中选择新昵称。
5. 自动退出
自动注销可保护网站免受窥探者的侵害。 当用户离开会话无人看管时,自动注销会结束会话,保护网站。
默认的 WordPress 行为是在登录会话 cookie 过期后 48 小时注销用户。 如果用户选中“记住我”框,您将保持登录状态 14 天。 由于有点空闲时间而终止会话,您需要安装一个单独的插件。
以下插件可帮助您自动注销以结束空闲用户会话:
如何启用自动注销
激活插件,然后转到设置 → 非活动注销 → 基本管理。 设置空闲超时的时钟。 还有基于角色的超时选项。 喜欢的话就看看吧。
关于 WordPress 登录安全性的结论
搞定? 伟大的! 在您离开此页面之前,最后一条建议是:提高 WordPress 登录安全性使您离保护整个网站更近了一步,这是最终目标!
想要#secure #WordPress #login 页面吗? 这就是你需要做的🔒
即使您采取了措施来防止黑客强行进入您的网站,入侵者仍然可以通过易受攻击的主题和插件获得访问权限。 因此,请让您的网站全天候更新。
为了进一步保护您的网站,我们强烈建议您采取本指南中涵盖的所有安全措施: 10 个关键的 WordPress 安全提示.
如果您对如何处理 WordPress 登录安全有任何疑问,请在下面的评论中告诉我们。
参考
[1] https://www.comparitech.com/blog/information-security/password-statistics/