5步骤到安全的WordPress登录页面

文章撰写者:
  • WordPress
  • 更新:Oct 17,2019

保护您的登录页面不能通过任何特定的技术来完成,但肯定有步骤和 免费安全插件 你可以采取任何攻击成功的可能性更小。

您网站的登录页面肯定是您网站上最易受攻击的网页之一,因此让我们开始让您的WordPress网站登录页面更加安全。

1。 使用强密码和奇怪的用户名

暴力破解登录页面是您的网站可能面临的常见网络攻击形式之一。 如果你有一个容易猜到的密码或用户名,你的网站几乎肯定不仅仅是一个目标,但最终成为受害者。

启动数据 编译了2014常用密码列表。

密码按使用情况排名。

  1. 123456
  2. 密码
  3. 12345
  4. 12345678
  5. QWERTY
  6. 123456789
  7. 1234
  8. 棒球
  9. 足球

如果您使用其中一个密码并且您的网站收到任何流量,您的网站迟早会被删除。

使用强密码和不寻常的用户名。 以前使用WordPress,您必须从默认的管理员用户名开始,但现在不再如此。 不过,大多数新的网络管理员都使用默认用户名,需要更改用户名。 您可以使用 Admin Renamer扩展 更改您的管理员用户名。

使用安全插件,您可以轻松地对所有用户强制执行强密码。 你不希望有编辑级别访问权限的人现在使用弱密码,不是吗? 它极大地损害了您的安全性。

使用在线提供的随机密码生成器工具 安全密码生成器 or 诺顿的密码生成器 or LastPass的。 所有这些都是免费使用的。

如果您在记住密码时遇到困难,可以使用 KeePass密码安全 or Dashlane的密码管理器.

2。 隐藏登录页面和Wp-Admin页面

黑客需要找到您的登录页面,如果他或她打算 蛮力 获取访问权限的登录页面。 您可以通过使用默认设置调用安全性来防止这种情况,隐藏登录页面的想法将保护您,因为攻击者无法识别潜在的入口点。 您的网站相当于没有门或任何其他公共接入点的银行。

大多数WordPress网站都在yourwebsite.com/login.php上有登录入口点。

尝试在浏览器的地址栏中输入webhostingsecretrevealed.net/login.php。 不起作用,是吗? 因为它不存在。 登录条目 WHSR 位于不同的URL上。

同样,您可以将网站上的访问点更改为其他内容。 基本上我们 更改登录页面URL.

ProtectYourAdmin

与login.php页面类似,还有wp-admin目录,也需要保护。 使用这两个插件中的任何一个都相当容易 - WPS隐藏登录保护您的管理员.

3。 SSL

SSL或安全套接字层是一个额外的安全层,它使您在浏览器和服务器之间发送和接收的任何信息都不可读。 如果有人要拦截这些信息,他们就无法阅读它,也没有任何意义。

SSL始终用于金融交易门户以及共享任何敏感信息。 网站存储大量有关用户的信息,SSL有助于确保信息的安全。

同样,SSL通过使浏览器与服务器通信过程更加安全,在登录页面上运行。

SimpleSSl

对于个人博客和小型企业,免费的共享SSL - 您通常可以从您的托管服务提供商处获得, Let's Encrypt, 或 CloudFlare的 - 通常是足够好的。

对于处理客户付款的企业而言,最好是您 购买专用的SSL证书 来自您的Web主机或证书颁发机构(CA)。 真的很简单的SSLWP Force SSL 一旦购买了SSL证书,两者都可以帮助您在网站上设置SSL。

4。 限制登录尝试次数

这是一种非常简单的技术,可以直接阻止登录页面上的暴力攻击。 通过反复尝试多种组合来尝试获取您的用户名和密码,从而实施暴力攻击。

如果跟踪进行攻击的特定IP,则可以阻止重复的暴力强制尝试并保持站点安全。 这也是为什么全球DDOS攻击发生在具有不同攻击来源的多个IP地址,以使托管服务和网站安全措施措手不及的原因。

LoginLockdown

登录锁定登录安全解决方案 两者都提供了很好的解决方案来保护您网站的登录页面。 他们跟踪IP地址并限制保护您网站的登录尝试次数。

5。 双因素身份验证

谷歌身份验证 是一个WordPress插件,通过安装在Android / iPhone / Blackberry上的应用程序运行。 该插件会生成一个QR码,您可以使用移动设备进行扫描,也可以手动输入密码。

授权码

您的登录信息将需要在移动设备上生成的用于登录的验证码。 该插件可以逐个用户使用,不建议用户使用较少的权限。 鉴于黑客极不可能对您的移动设备进行任何物理访问,因此您网站的登录页面确实非常安全(假设没有其他漏洞)。

附加安全性

我们已经讨论了隐藏/重命名登录页面和wp-admin目录,在登录页面上启用SSL,使用双因素身份验证,限制登录尝试以及使用强密码和不寻常的用户名。 您还应该知道,某些Web主机会对其用户强制执行某些安全措施。

如果你愿意,你也可以使用完整的安全插件 的iThemes安全 or Wordfence 除了整体WordPress站点安全措施之外,它还提供许多登录保护功能。

没有 WordPress安全文章 完整而无需提及安全性始终会受到损害。 预先计划并使用免费工具备份您的网站 Updraft Plus 或像高级解决方案提供商 VaultPress or BackUp Buddy.

我希望这篇文章有用,让你的网站更安全一些。

关于毗湿奴

Vishnu是一名夜间自由撰稿人,白天担任数据分析师。