5步驟到安全的WordPress登錄頁面

文章撰寫者:
  • WordPress
  • 更新:Jun 19,2019

保護您的登錄頁面不能通過任何特定的技術來完成,但肯定有步驟和 免費安全插件 你可以採取任何攻擊成功的可能性更小。

您網站的登錄頁面肯定是您網站上最易受攻擊的網頁之一,因此讓我們開始讓您的WordPress網站登錄頁面更加安全。

1。 使用強密碼和奇怪的用戶名

暴力破解登錄頁面是您的網站可能面臨的常見網絡攻擊形式之一。 如果你有一個容易猜到的密碼或用戶名,你的網站幾乎肯定不僅僅是一個目標,但最終成為受害者。

啟動數據 編譯了2014常用密碼列表。

密碼按使用情況排名。

  1. 123456
  2. 密碼
  3. 12345
  4. 12345678
  5. QWERTY
  6. 123456789
  7. 1234
  8. 棒球
  9. 足球

如果您使用其中一個密碼並且您的網站收到任何流量,您的網站遲早會被刪除。

使用強密碼和不尋常的用戶名。 以前使用WordPress,您必須從默認的管理員用戶名開始,但現在不再如此。 不過,大多數新的網絡管理員都使用默認用戶名,需要更改用戶名。 您可以使用 Admin Renamer擴展 更改您的管理員用戶名。

使用安全插件,您可以輕鬆地對所有用戶強制使用強密碼。 你不希望有編輯級訪問權限的人現在使用弱密碼,不是嗎? 它極大地損害了您的安全性。

使用在線提供的隨機密碼生成器工具 安全密碼生成器 or 諾頓的密碼生成器 or LastPass的。 所有這些都是免費使用的。

如果您在記住密碼時遇到困難,可以使用 KeePass密碼安全 or Dashlane的密碼管理器.

2。 隱藏登錄頁面和Wp-Admin頁面

黑客需要找到您的登錄頁面,如果他或她打算 蠻力 獲取訪問權限的登錄頁面。 您可以通過使用默認設置調用安全性來防止這種情況,隱藏登錄頁面的想法將保護您,因為攻擊者無法識別潛在的入口點。 您的網站相當於沒有門或任何其他公共接入點的銀行。

大多數WordPress網站都在yourwebsite.com/login.php上有登錄入口點。

嘗試在瀏覽器的地址欄中輸入webhostingsecretrevealed.net/login.php。 不起作用,是嗎? 因為它不存在。 登錄條目 WHSR 位於不同的URL上。

同樣,您可以將網站上的訪問點更改為其他內容。 基本上我們 更改登錄頁面URL.

ProtectYourAdmin

與login.php頁麵類似,還有wp-admin目錄,也需要保護。 使用這兩個插件中的任何一個都相當容易 - WPS隱藏登錄 - 保護您的管理員.

3。 SSL

SSL或安全套接字層是一個額外的安全層,它使您在瀏覽器和服務器之間發送和接收的任何信息都不可讀。 如果有人要攔截這些信息,他們就無法閱讀它,也沒有任何意義。

SSL始終用於金融交易門戶以及共享任何敏感信息。 網站存儲大量有關用戶的信息,SSL有助於確保信息的安全。

同樣,SSL通過使瀏覽器與服務器通信過程更加安全,在登錄頁面上運行。

SimpleSSl

對於個人博客和小型企業,免費的共享SSL - 您通常可以從您的託管服務提供商處獲得, 讓我們加密, 或者叫 CloudFlare的 - 通常是足夠好的。

對於處理客戶付款的企業而言,最好是您 購買專用的SSL證書 來自您的Web主機或證書頒發機構(CA)。 真的很簡單的SSL - WP Force SSL 一旦購買了SSL證書,兩者都可以幫助您在網站上設置SSL。

4。 限制登錄嘗試次數

這是一種非常簡單的技術,可以直接阻止登錄頁面上的暴力攻擊。 通過反复嘗試多種組合來嘗試獲取您的用戶名和密碼,從而實施暴力攻擊。

如果跟踪進行攻擊的特定IP,則可以阻止重複的暴力強制嘗試並保持站點安全。 這也是為什麼全球DDOS攻擊發生在具有不同攻擊來源的多個IP地址,以使託管服務和網站安全措施措手不及的原因。

LoginLockdown

登錄鎖定 - 登錄安全解決方案 兩者都提供了很好的解決方案來保護您網站的登錄頁面。 他們跟踪IP地址並限制保護您網站的登錄嘗試次數。

5。 雙因素身份驗證

谷歌的Authenticator 是一個WordPress插件,通過安裝在Android / iPhone / Blackberry上的應用程序運行。 該插件會生成一個QR碼,您可以使用移動設備進行掃描,也可以手動輸入密碼。

授權碼

您的登錄信息將需要在移動設備上生成的用於登錄的驗證碼。 該插件可以逐個用戶使用,不建議用戶使用較少的權限。 鑑於黑客極不可能對您的移動設備進行任何物理訪問,您的網站登錄頁面確實非常安全(假設沒有其他漏洞)。

額外的安全

我們已經討論了隱藏/重命名登錄頁面和wp-admin目錄,在登錄頁面上啟用SSL,使用雙因素身份驗證,限制登錄嘗試以及使用強密碼和不尋常的用戶名。 您還應該知道,某些Web主機會對其用戶強制執行某些安全操作。

如果你願意,你也可以使用完整的安全插件 iThemes安全 or Wordfence 除了整體WordPress站點安全措施之外,它還提供許多登錄保護功能。

沒有提到安全性總是會受到損害,沒有WordPress安全性文章是完整的。 提前計劃並使用免費工具備份您的網站 Updraft Plus 或像高級解決方案提供商 VaultPress or BackUp Buddy.

我希望這篇文章有用,讓你的網站更安全一些。

關於毘濕奴

Vishnu是一名夜間自由撰稿人,白天擔任數據分析師。

連接: