[ad_1]
想知道您是否應該擔心 WordPress 登錄安全?
WordPress 是世界上最受歡迎的 CMS,因為使用它構建網站非常容易。 雖然它是一個免費的 CMS,但需要付出代價。 WordPress 是非常可預測的,這有時使它成為一個容易的目標。
以登錄頁面為例。
每個 WordPress 網站都有相同的登錄頁面(/wp-admin.com 或 /wp-login.php)。 將可預測性與人類對使用弱憑據的偏好相結合,頁面成為黑客的誘人目標。
安全專家表示,登錄頁面是網站上最容易受到攻擊的頁面。 每天,黑客都會部署機器人來執行 蠻力攻擊 在那個頁面上。 通過找出您的登錄憑據,他們可以輕鬆訪問您的 CMS。 因此,您必須竭盡全力保護它免受這些不速之客的侵害。
在本文中,我們將向您展示五種提高 WordPress 登錄安全性和防止被黑客入侵的高級方法。
如何在 2021 年保護 WordPress 登錄頁面
在網路安全領域有很多糟糕的建議。 其中大部分旨在使人們陷入恐懼並讓他們屈服於強迫性選擇。 在本文中,我們將向您展示實際有效的方法,而不是增加噪音。 那些是:
想要#secure #WordPress #login 頁面嗎? 這就是你需要做的🔒
你一定已經注意到我們沒有包括執行 強密碼 和安裝 SSL 證書. 那是因為它是給定的。 我們希望您已經在使用這些。 請參閱我們的其他指南,了解如何完成這項工作。
注意:要執行我們在下面提到的措施,您需要安裝一兩個插件。 我們知道即使是最好的插件也會導致故障。 所以做一個 備份您的網站 在您繼續之前。
現在,讓我們開始:
1.修改登錄頁面地址
正如我們在文章開頭所說,默認的 WordPress 登錄頁面如下所示:
- www.website.com/wp-admin/
- www.website.com/wp-login.php/
每個人都知道這一點,包括設計針對 WordPress 登錄頁面的機器人的黑客。 由於 59% 的美國人 [1] 使用弱密碼,通過暴力破解登錄頁面來破解網站太容易了。
保護登錄頁面的一種方法是更改 URL。
創建新的自定義登錄頁面 URL 很容易。 有許多可用的插件讓您只需點擊幾下即可完成。
我們將使用 WPS 隱藏登錄 插件來演示該過程,但如果您更喜歡任何其他插件,請繼續。 這些步驟將同樣簡單快捷。
如何更改您的 WordPress 登錄 URL
安裝並激活 WPS 隱藏登錄。 轉到設置 → WPS 隱藏登錄。
在頁面底部向下滾動,在登錄 URL 部分插入新 URL,然後點擊保存更改。
嘗試使用新 URL 登錄。 不要忘記與您的隊友分享。
👉如果您需要幫助,這是我們的專用指南: 如何更改您的 WordPress 登錄頁面 URL.
2.實現兩步驗證
您在使用 Facebook 和 Gmail 時一定遇到過雙因素身份驗證。 每當您嘗試登錄帳戶時,這些服務通常會向您註冊的手機號碼發送一個唯一代碼。 實施此安全措施是為了確保只有帳戶的所有者才能訪問它。 即使黑客可以獲取您的憑據,他們也無法竊取發送到您註冊手機號碼的唯一代碼。
雙因素身份驗證也可以應用於您的 WordPress 網站。 它將為登錄頁面添加一層安全性。 您需要做的就是安裝以下任何插件:
設置兩因素身份驗證插件非常簡單。 我們將使用 miniOrange 的 Google 身份驗證器向您展示設置過程。
如何實現兩因素身份驗證
在您的 WordPress 登錄頁面上安裝 miniOrange 的 Google 身份驗證器。 一旦您激活插件,就會出現一個設置小部件。 選擇第一個選項,即 Google Authenticator。
接下來,在您的智能手機上下載 Google Authenticator 應用程序。 打開應用程序並掃描二維碼。
該應用程序生成一個代碼。 在設置小部件上輸入它並點擊保存。
2FA WordPress 登錄安全性現在在您的登錄頁面上處於活動狀態。
3. 限制失敗的登錄嘗試
WordPress 允許其用戶無限次登錄嘗試。 這聽起來可能無害,但老實說,這是一個明顯的安全漏洞。
無限制的登錄嘗試使黑客能夠進行暴力攻擊。 在這種類型的攻擊中,黑客會部署機器人來尋找正確的用戶名和密碼組合。 在找到正確的憑據之前,機器人會失敗幾次。 對抗機器人攻擊的最有效方法之一是限制登錄嘗試。
下面的插件將幫助您做到這一點:
如何限制失敗的登錄嘗試
安裝插件,然後轉到限制登錄嘗試 → 設置 → 本地應用程序。 您可以在此處設置允許在您的網站上嘗試登錄的次數。 以及在上述登錄嘗試次數後,某人將保持鎖定狀態的時間。
4. 防止用戶名被發現
通常,用戶名被認為不如密碼重要。 這是一個公開可用的記錄,這就是為什麼我們假設它的價值一定很低。 不對。
用戶名占您憑據的一半。 它必須受到保護,就像密碼一樣。
在 WordPress 網站上,您會發現帖子和作者檔案中顯示的用戶名。 值得慶幸的是,有一種方法可以同時禁用它們。
如何禁用作者檔案
這可以在任何 SEO 插件的幫助下完成。 在下面的教程中,我們使用 Yoast SEO 來展示它。
轉到 SEO → 搜索外觀 → 檔案,然後禁用作者檔案。 點擊保存更改。
如何更改顯示名稱
顯示名稱顯示在已發表的文章和評論中。 默認情況下,顯示名稱和用戶名(您用於登錄的用戶名)是相同的。 為防止用戶名被發現,您可以將顯示名稱更改為其他名稱。
轉至用戶 → 個人資料 → 昵稱。 您不能直接更改顯示名稱。 相反,更改昵稱。 然後從下面的下拉菜單中選擇新昵稱。
5. 自動退出
自動註銷可保護網站免受窺探者的侵害。 當用戶離開會話無人看管時,自動註銷會結束會話,保護網站。
默認的 WordPress 行為是在登錄會話 cookie 過期後 48 小時註銷用戶。 如果用戶選中「記住我」框,您將保持登錄狀態 14 天。 由於有點空閑時間而終止會話,您需要安裝一個單獨的插件。
以下插件可幫助您自動註銷以結束空閑用戶會話:
如何啟用自動註銷
激活插件,然後轉到設置 → 非活動註銷 → 基本管理。 設置空閑超時的時鐘。 還有基於角色的超時選項。 喜歡的話就看看吧。
關於 WordPress 登錄安全性的結論
搞定? 偉大的! 在您離開此頁面之前,最後一條建議是:提高 WordPress 登錄安全性使您離保護整個網站更近了一步,這是最終目標!
想要#secure #WordPress #login 頁面嗎? 這就是你需要做的🔒
即使您採取了措施來防止黑客強行進入您的網站,入侵者仍然可以通過易受攻擊的主題和插件獲得訪問許可權。 因此,請讓您的網站全天候更新。
為了進一步保護您的網站,我們強烈建議您採取本指南中涵蓋的所有安全措施: 10 個關鍵的 WordPress 安全提示.
如果您對如何處理 WordPress 登錄安全有任何疑問,請在下面的評論中告訴我們。
參考
[1] https://www.comparitech.com/blog/information-security/password-statistics/