保护 WordPress 管理区域的 12 个最佳技巧和技巧
已发表: 2023-05-01在此博客中,我们将讨论有效保护 WordPress 网站管理区域的最佳技术。
人们通常认为他们的网站太小,黑客不会对它感兴趣。 但那将是一个巨大的错误。 任何网站都可能容易受到网络威胁,如垃圾邮件、恶意软件、暴力攻击、SQL 注入等。此外,黑客甚至可能利用您的网站将恶意软件传播到其他网站。
显然,您不希望有一天醒来后发现您的网站遭到黑客攻击并且所有敏感数据都已泄露。 因此,最好使用一些可靠的工具来加强 WordPress 网站的管理区域。
- 保护 WordPress 网站管理区域的最佳提示和技术
- 1.WordPress版本更新
- 2.安全插件
- 3.修改管理员用户名和密码
- 4. 创建自定义登录 URL
- 5.限制登录尝试
- 6. 使用 SSL 证书保护登录页面和管理区域
- 7. 用密码保护 wp-admin 目录
- 8. 在登录页面添加验证码
- 9.删除登录页面的错误信息
- 10.允许特定IP登录
- 11.通过双因素身份验证添加一个额外的层
- 12.一次性密码(OTP)
- 最后!
保护 WordPress 网站管理区域的最佳提示和技术
这些安全提示对于保护网站免受以下漏洞的侵害非常重要:
- 分布式拒绝服务 (DDoS) 攻击: DDoS 通过用冗余连接淹没您的网站,使其崩溃,从而使您的网站无法移动。
- SQL注入(SQLi):它在系统上强制执行恶意SQL查询来操纵数据。
- 本地文件包含 (LFI): LFI 强制站点处理放置在 Web 服务器上的恶意文件。
- 跨站点请求伪造 (CSRF):它可能会迫使 Web 用户在可靠的 Web 应用程序中执行不需要的操作。
- 身份验证绕过:这种安全威胁使黑客可以在未经真实性验证的情况下访问您网站的敏感资源。
- 跨站点脚本 (XSS): XSS 注入恶意代码以通过您的网站传输恶意软件。
为确保您的网站不易受到这些安全威胁的影响,请务必实施以下提示和技术:
为您推荐:您的 WordPress 网站需要维护的 10 个原因。
1.WordPress版本更新
加强网站安全性的一种简单方法是将 WordPress 和所有已安装的安全插件更新到最新版本。 WordPress 是开源的,因此贡献者不懈地努力改进每个新版本的功能和安全性。 这就是为什么您应该将 CMS 更新到最新版本以提高网站的安全性。
2.安全插件
关于 WordPress 的最好的事情之一是,您可以为网站的几乎所有特性和功能找到一个插件。 但是,并非每个安全插件都适合保护登录页面。 因此,加强网站管理区域安全性的最佳方式是通过 WordPress 插件,如 Sucuri、MalCare、Wordfence 等。
这些插件有助于阻止恶意流量,而不会对网站的性能产生丝毫影响。
3.修改管理员用户名和密码
保护网站安全的首要方法之一是更改默认用户名和密码。 对于每个 WordPress 安装,默认情况下的第一个登录用户名是 Admin。 这种用户名只是黑客的诱饵; 他们只需要在那之后预测密码。
因此,您应该将用户名和密码更改为更自定义的内容。 首先,打开 WordPress 仪表板。 选择用户并单击“所有用户”。
即使将用户名从“admin”更改为“mynameisadmin”也可能有助于保护您的网站免受黑客攻击。 当涉及到密码时,有一个小显示屏可以显示它的强度。 因此,尝试使用大小写字母、符号和数字组合的不同密码,直到您对一个满意为止。 始终确保密码尽可能强,以保护网站免受黑客攻击。 专家甚至建议在密码中使用符号和数字而不是字母,以使其更加隐晦。 例如,如果您希望密码为“California”,请改用“[email protected][email protected]”。 这将使它更难猜测。
通常,当人们尝试在不应该登录的地方登录时,他们只会关注密码,并在不同的尝试中保持用户名相同。 因此,同时更改用户名和密码是个好主意。
4. 创建自定义登录 URL
您可以通过在其 URL 后写入 /wp-login.php 来访问任何 WordPress 网站的登录页面。 例如,如果您的 WordPress 网站的 URL 是 www.mywebsitename.com,您可以通过 www.mywebsitename.com/wp-login.php 访问其登录页面。
如此简单的登录页面访问使您的网站更容易受到网络威胁。 因此,通过 WPS Hide Login 等插件将登录 URL slug 更改为更加自定义的内容。 此插件将登录表单页面的 URL 更改为您想要的任何内容,并使 wp-admin 目录和 wp-login.php 页面不可访问。 因此,最好将这些页面加入书签,因为您可能会丢失它们。
安装 WPS 隐藏登录后,转到设置并在 WordPress 仪表板上选择 WPS 隐藏登录。 然后,在登录 URL 字段中输入新 URL 并保存更改。 之后,您网站的管理页面将只能通过这些页面访问。
所以现在,即使有人在您不知情的情况下获得了您的用户名和密码,他们仍然无法访问您的登录页面,这是一个巨大的安慰。 这就是个性化登录 URL 始终包含在自定义 WordPress 开发中的原因。
5.限制登录尝试
您是否知道即使黑客可能不知道您网站的密码,他们仍然可以破解您的网站? 通过自动化脚本,他们可以立即尝试数千个可能的密码,以找到正确的密码并最终成功。 要阻止这种情况发生,您可以限制网站上的登录尝试。
为此,WordPress 在官方库中提供了某些插件,例如 Wordfence Security 和 Login Lockdown,它们可能会有所帮助。 安装这些插件中的任何一个后,您可以定义允许的登录尝试次数以及超过登录限制后该人将被锁定多长时间的设置。
例如,您可以将尝试次数限制为 3 次,将锁定时间设置为 24 小时。 因此,如果有人尝试失败超过 3 次,他们的 IP 将在接下来的 24 小时内被锁定,之后他们可以重试。
6. 使用 SSL 证书保护登录页面和管理区域
有时,您可能必须在公共网络上登录您的网站,使其在任意攻击情况下容易受到黑客的攻击。 在公共网络上,黑客可以访问您的 HTTP 请求并一目了然地查看您的登录凭据。
为了防止这些任意攻击,您可以使用 SSL 登录,通过它您可以通过 HTTPS 访问您的网站。 通常,您可以从托管服务提供商处获得 SSL 登录证书。 但如果没有,您将不得不购买一个并将其安装在您网站的服务器上。
如果您的网站上已经有 SSL 证书以在 HTTPS 上运行,请打开您的 wp-config.php 文件并按如下方式编辑它:
// Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);
使用 FORCE_SSL_LOGIN,您的登录页面将仅在 HTTPS 上打开,并且将在您网站的整个管理区域保持安全连接。 这就是为什么当您雇用 WordPress 开发人员时,他们首先要处理的安全设置之一是为登录页面和管理区域使用 SSL 证书。
您可能喜欢:想要创建一个 WordPress 网站? 遵循以下 13 个简单步骤。
7. 用密码保护 wp-admin 目录
密码保护“wp-admin”目录就像在您的网站及其 WordPress 管理区域上添加第二层安全。 处理它的最佳方法之一是通过托管的“目录隐私”设置。 如果您使用 cPanel 虚拟主机来密码保护您的 wp-admin 目录,您还可以在目录上使用 cPanel 密码保护。
8. 在登录页面添加验证码
管理区域中的验证码可以帮助防止由自动脚本驱动的暴力网络攻击。 您可以通过 WordPress 插件(例如 Google reCAPTCHA、BestWebSoft 的 reCaptcha、WPForms 等)将验证码添加到您的登录页面。
这种技术在通过自动化脚本阻止黑客攻击方面非常有效。
9.删除登录页面的错误信息
包括验证码在内,黑客想要正确登录您的网站的三件事。 通常,当他们尝试登录但失败时,会出现一条错误消息,指出一个或多个凭据不正确。
因此,假设黑客输入了用户名、密码和验证码,其中一个凭据是错误的; 他们将看到一条错误消息“不正确的用户名”或“不正确的密码”。 在这种情况下,他们会知道其中一个凭据是正确的,他们只需要处理另一个凭据。
但是,如果您删除错误消息,他们将被误导,误以为他们插入了其中一个或两个错误。 然后,他们将再次开始这两个方面的工作。 现在,如果您除了此策略之外还限制了登录尝试的次数,那么它将为您争取更多时间来对抗黑客。
因此,从登录页面中删除错误消息。
10.允许特定IP登录
您可以限制对特定静态 IP 的访问以保护网站。 如果您知道自己的 IP 地址,请通过 wp-admin 文件夹中的 .htaccess 文件为其提供访问权限。
只需打开 wp-admin 文件夹,编辑一个名为 .htaccess 的文件,然后添加以下代码:
order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all
您需要做的就是将 99.99.99.99 替换为您的 IP 或您要授予访问权限的 IP。
所以现在,如果没有访问权限的人尝试登录,他们将看到此消息。
11.通过双因素身份验证添加一个额外的层
另一种增强网站安全性的方法是使用 WordPress 插件添加具有双因素身份验证的另一层。 您需要做的就是安装和设置 WP 2FA 之类的插件,您的网站将可以安全地抵御自动化脚本和暴力攻击等网络威胁。
12.一次性密码(OTP)
顾名思义,一次性密码让您通过一个只能使用一次的密码登录网站。 您会在邮件或手机号码中收到这些密码。 由于 OTP 是通过邮件和手机号码发送的,并且只适用于一次会话,因此您不必担心在从网吧等地方登录时主密码被盗。 不用说,一些 WordPress 插件可能有助于将 OTP 功能添加到您的登录页面。
这些技术将有助于保护您的 WordPress 网站的管理区域免受网络威胁,例如暴力攻击、垃圾邮件、恶意机器人、SQL 注入,以及最重要的自动化脚本(用于生成密码)。
您可能还喜欢:什么是 Schema? 如何将架构标记添加到您的 WordPress 网站?
最后!
当您设计一个新的 WordPress 网站时,它被黑客入侵的想法并不遥远。 但这仍然是一种可能性。 因此,您需要使安全性成为自定义 WordPress 开发的一个独特部分,以保护和保护管理区域,使黑客无法访问您网站的敏感信息。
这就是为什么我们列出了这些提示和技术,例如 WordPress 更新、安全插件、OTP、加密密码、双因素身份验证、验证码等,以确保您的网站免受黑客攻击。 确保在聘请 WordPress 开发人员创建新网站或更新旧网站时讨论这些技术。
添加一名作者
本文由 Palak Shah 撰写。 Palak 是 WPWeb Infotech 的优质内容作家,她喜欢撰写有关 WordPress、技术和小型企业的文章。 她是一位令人难以置信的团队合作者,并与团队密切合作以取得出色的成绩。 她观看 Netflix 并阅读非小说类、自助类和伟大人物的自传。