給門外漢的WordPress安全貼士：保護WordPress登錄頁面以及其他安全措施

WordPress自二十年前推出以来持续发展，现在被誉为全球最受欢迎的 內容管理系統。如今，網上 超過四分之一 的网站都在WordPress上运行。

然而，自古以来，一个东西越知名，越多人就想利用它来达到恶意的目的。例如，Microsoft Windows 面对 众多的恶意软件、病毒和其他攻击 。它们专门设计用来攻击这个特定的操作系统。

为什么 WordPress 博客会成为黑客的攻击目标？

黑客想要控制 Wordpress 博客的原因有几个，包括；

• 用它偷偷發送垃圾郵件
• 窃取数据，如邮件联系名单或信用卡信息
• 将您的网站添加到僵尸网络中

庆幸的是， WordPress 平台提供了许多方法，让您可以保护自己的网站。

作为一名帮助设置和管理过多个网站和博客的人，我想与你分享一些更基础、能保护WordPress网站的方法·。

以下是 10 个可行的安全贴士。

保護 WordPress 登錄頁面

登录页面无法仅靠一种特定技术来实现保护，但您可以采取一些步骤和使用免费的安全插件来抵御攻击。

登录页面是网站上最容易受到攻击的页面之一，因此我们应该加强登录页面的安全设置。

1. 选择一个好的管理员用户名

使用独特的用户名。在旧版的WordPress中，您必须使用默认的管理员用户名，但现在不再需要。尽管如此，大多数网络管理员新手仍使用默认用户名。您可以使用 Admin Renamer Extended 更改管理員用戶名。

蛮力攻击登录页面是常见的网络攻击之一。如果您的密码或用户名容易被猜到，那么网站可能会成为黑客的目标，最终遭受攻击。根据我的经验，大多数黑客会尝试使用三个主要的用户名尝试登录。前两个通常是“admin”或“administrator”，而第三个通常是网站的 域名.

例如，如果网站名称是crazymonkey33.com，黑客可能会使用“crazymonkey33”尝试登录。

2. 使用强大且安全的密码

您可能认为人们已经知道如何设置强大、复杂的密码来保护帐户，但仍然有许多人认为“password”是一个好选择。

Splash Data 匯集了一份 2018年常用的密碼清单。密码按使用量排名。

1. 123456
2. password
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwerty
10. iloveyou

如果您使用上述任何一个密码，并且网站有一定的流量，那么迟早会有人尝试破解密码，导致网站被撤下。

强大的密码包含：

• 大写和小写字母
• 字母数字（“A到Z" 和 "a到z"）
• 一个特殊符号（！、@、＃、$等）
• 至少8个字符的长度

密码越随机，网站就越难被破解，越安全。如果您想不到一个随机且强大的密码， 使用密碼管理器 生成密碼。

3. 使用reCaptcha

reCaptcha 旨在阻止自動化工具攻擊網站。當然，考慮到目前黑客工具的複雜性，這些工具可以輕易地繞過這層安全防護，但它至少提供了額外的安全層。

網上有很多 reCaptcha插件，您可以在安裝中使用。

4. 使用雙重身份驗證（2FA）

2FA（雙重身份驗證）是一種身份驗證方法，在用戶登錄時驗證身份。例如，當您使用用戶名和密碼登錄，系統可能會向您的手機發送短信或通過電子郵件向您發送代碼以驗證身份。

這種認證方法提供了良好的保護，許多銀行和金融機構都在使用它。您只需添加一個2FA插件即可啟用2FA功能。

觀看以下視頻，查看miniOrange（一個 2FA 插件）如何與 WordPress 登錄配合使用。

5. 重新命名登錄網址

大多數黑客會通過默認頁面嘗試登錄Wordpress，一般的網址長這樣

sample.com/wp-admin.

要添加另一層保護，您可以使用類似WPS Hide Login的工具，輕鬆快速地更改登陸頁面的網址。

6. 限制登錄次數

這是一種非常簡單的技術，可以立即阻止對登錄頁面的蠻力攻擊。蠻力攻擊的原理是通過不斷嘗試多種密碼組合來獲取用戶名和密碼。

如果跟踪到實施攻擊的特定 IP，則您可以阻止重複的暴力破解嘗試並確保您的網站安全。 這也是全球 DDOS 攻擊多發的原因 IP地址 具有不同的攻擊源，拋出託管服務和 網站安全 難以防範。

Login LockDown 和 Login Security Solution  都提供了很好的方案，可以保護網站的登錄頁面。他們通過跟踪IP地址以及限製網站的登錄次數來保護網站。

加強網站防火牆

以上是幾個保護 WordPress 登錄頁面的的策略，這些步驟是一些基本的安全措施。您應該已經註意到，某些網絡託管服務會強制用戶執行一些安全措施。你可以把幾個安全措施應用在網站上。

7. 保護 wp-admin 目錄

wp-admin目錄是WordPress安裝的核心。設置密碼保護目錄，進一步保護網站。

登錄託管帳戶的控制面板以完成設置。無論您使用的是 cPanel 還是 Plesk，點擊密碼保護目錄“。

或者，您可以通過調整 .htaccess 和 .htpasswds 文件開啟密碼保護目錄。免費的分步指南和代碼生成器只在 Dynamic Drive.

請注意，使用密碼保護wp-admin文件夾將 破壞WordPress中的公開AJAX– 為了避免發生網站錯誤，您需要通過.htaccess文件允許對admin-ajax的訪問權限。

8. 使用 SSL 加密數據

除了保護網站外，您還需要保護您與服務器之間的連接，這就是 SSL 發揮作用的地方。 SSL加密通訊。加密連接後，在與服務器通信時，黑客將無法截取數據（如密碼）。

此外，由於搜索引擎正逐漸關閉被視為“不安全”的網站，現在實施SSL也是一個明智的做法 。

個人博主和小型企業通常可以從託管服務提供商（例如 Let's Encrypt和 Cloudflare ）獲得一個免費、共享的 SSL，這已經足夠了。然而，對於需要處理客戶付款的企業，最佳做法是從網絡主機或證書頒發機構（CA） 購買專用的 SSL 證書 。

閱讀SSL的全方位指南深入了解 SSL。

9. 利用內容分發網絡（CDN）

雖然它不能阻止網站免遭黑客攻擊，但它能減輕惡意攻擊對網站的影響。有些黑客的目標是讓網站癱瘓，讓公眾無法訪問網站。 CDN可以減輕 DDoS攻擊 對網站的影響。

此外，它還可以通過緩存部分內容來 加速網站 。讓我們以Cloudflare為例，深入探討這一功能。 Cloudflare 在不同價位的計劃中都有提供CDN服務，包括免費計劃。即使是免費計劃，您也可以使用CDN的基本功能。

了解 Cloudflare 的操作原理以及使用該服務的好處.

10. 確保所有軟件更新至最新版本

無論一個軟件的質量有多好或價格多高，總會發現新的漏洞，使它們容易受到攻擊。 WordPress 也不例外，他們的團隊不斷更新版本來解決這些問題。

黑客總是利用漏洞和未修復的已知漏洞來進行攻擊，不更新軟件等於自找麻煩。對於資源較少的小型公司來說，受到的損害可能會是加倍的。

如果您正在使用插件，請確保它會定期更新，或者，您可以尋找 具有相似功能且會定期更新的知名插件.

然而，如果你正在運行一個實時的網站，我不建議你使用 會自動更新的 WordPress 和插件。這是因為某些更新可能會使網站發生問題，無論是內部問題還是與其他插件和設置發生衝突。

您可以創建一個測試環境，實時反映網站並在那裡測試更新系統。確定一切可以正常運作後再將更新應用到網站上。

控制面板（例如Plesk）讓您 克隆網站 ，從而創建一個測試環境。

11. 備份，備份和備份！

無論您採取什麼樣的安全措施或多麼謹慎，事故總是難以避免的。為了避免增加數百個小時的工作時間，請務必做好充足的備份。

一般來說，網絡主機會自帶一些基本的備份功能，但如果您像我一樣多疑，請進行單獨備份。備份不只是複製文件，您還要考慮數據庫中的信息。

選擇經過驗證的備份方案。要是能在緊急情況下派上用場，即使是投資一小筆錢也是值得的。例如， BackupBuddy 提供的方案可以一次性保存所有內容（包括數據庫）。

12. 虛擬主機很重要！

雖然傳統上， 網絡託管 公司只是為我們提供空間來託管我們的網站，時代已經變了。 網絡託管服務提供商， 明白漏洞的嚴重性，並提供了許多增值服務來提高網絡託管的安全性。

以託管領域中的老字號， HostGator，為例。除了 Cloudflare 的基本功能外，HostGator（每月價格大約為 10 美元）還會攔截垃圾郵件、自動刪除惡意軟件、自動備份、保護域隱私等。

受管理 WordPress 託管 供應商， Kinsta，構建硬件防火牆，並使用內部開發的系統監控服務器是否存在惡意軟件和DDoS攻擊。

如果您還沒有意識到這一點，我強烈建議您查看主機提供的安全功能，並將它與目前的功能進行比較。

如需所有功能的清單，點擊 WHSR的最佳網絡主機合集.

接下來要做什麼？

在你搜索互聯網，急忙尋找安全方案前，無需擔心，有人已經幫您整理了所有資料。

即使您把所有安全方案應用在網站上，您能確保網站 足夠 安全嗎？

這就是Security Ninja發揮作用的地方。它會尋找網站的漏洞。

當然，你可以選擇與Security Ninja相似的工具，但我認為，Security Ninja是一個能在任何階段保護網站的工具。

在進行改動之前，先按原樣在網站上運行它。讓插件刺激網站後再查看網站的安全狀態。

然後根據結果，對網站採取一系列安全措施。 Security Ninja 會執行超過50項測試來檢查網站的防禦能力。進行調整後，再次運行它（以及每次調整網站或更新插件後）以測試網站。

如果您覺得這太麻煩了，Security Ninja 也有提供額外的模塊（專業版，一個網站的價格為 29 美金），能幫助您解決它發現到的問題。

模塊中的主要功能包括：

• 掃描WP核心文件以識別有問題的文件
• 一鍵還原修改的文件
• 修復損壞的WP自動更新
• 禁止從數百萬個受到攻擊的網站中收集的600億個不良IP
• 列出自動更新，無需任何維護或手動尋找更新
• 保護登錄表免受蠻力攻擊

最後

雖然這對一般的 WordPress 用戶來說有點誇張 ，但我向你保證，以上的安全措施都是必要的。我們暫時忽略全球的黑客統計數據，讓我與您分享我所管理的，其中一個最不知名的網站的一些信息。

我最初創建 www.timothyshim.com是為了創建一個簡單的個人簡歷網站。很顯然，這只是我設置好後，大部分時間都將它擱置的東西。在每個月的時間裡，這個網站 基本什麼也沒做，也沒有收集任何數據卻遭到了超過30次攻擊 - 包括蠻力和較複雜的攻擊方式。

只要其中一個攻擊成功，我就會度過一個 非常 糟糕的一天。

閱讀更多

• 適合小型企業的最佳防病毒和防火牆軟件
• 比較最佳的VPN服務
• 最便宜 WordPress 託管
• 您的網絡託管服務提供商有多脆弱？