保護 WordPress 管理區域的 12 個最佳技巧和技巧

已發表: 2023-05-01

在此博客中,我們將討論有效保護 WordPress 網站管理區域的最佳技術。

人們通常認為他們的網站太小,黑客不會對它感興趣。 但那將是一個巨大的錯誤。 任何網站都可能容易受到網絡威脅,如垃圾郵件、惡意軟件、暴力攻擊、SQL 注入等。此外,黑客甚至可能利用您的網站將惡意軟件傳播到其他網站。

顯然,您不希望有一天醒來後發現您的網站遭到黑客攻擊並且所有敏感數據都已洩露。 因此,最好使用一些可靠的工具來加強 WordPress 網站的管理區域。

目錄顯示
  • 保護 WordPress 網站管理區域的最佳提示和技術
    • 1.WordPress版本更新
    • 2.安全插件
    • 3.修改管理員用戶名和密碼
    • 4. 創建自定義登錄 URL
    • 5.限制登錄嘗試
    • 6. 使用 SSL 證書保護登錄頁面和管理區域
    • 7. 用密碼保護 wp-admin 目錄
    • 8. 在登錄頁面添加驗證碼
    • 9.刪除登錄頁面的錯誤信息
    • 10.允許特定IP登錄
    • 11.通過雙因素身份驗證添加一個額外的層
    • 12.一次性密碼(OTP)
  • 最後!

保護 WordPress 網站管理區域的最佳提示和技術

WordPress-work-laptop-desk-office

這些安全提示對於保護網站免受以下漏洞的侵害非常重要:

  • 分佈式拒絕服務 (DDoS) 攻擊: DDoS 通過用冗餘連接淹沒您的網站,使其崩潰,從而使您的網站無法移動。
  • SQL注入(SQLi):它在系統上強制執行惡意SQL查詢來操縱數據。
  • 本地文件包含 (LFI): LFI 強制站點處理放置在 Web 服務器上的惡意文件。
  • 跨站點請求偽造 (CSRF):它可能會迫使 Web 用戶在可靠的 Web 應用程序中執行不需要的操作。
  • 身份驗證繞過:這種安全威脅使黑客可以在未經真實性驗證的情況下訪問您網站的敏感資源。
  • 跨站點腳本 (XSS): XSS 注入惡意代碼以通過您的網站傳輸惡意軟件。

為確保您的網站不易受到這些安全威脅的影響,請務必實施以下提示和技術:

為您推薦:您的 WordPress 網站需要維護的 10 個原因。

1.WordPress版本更新

同步同步同步更新

加強網站安全性的一種簡單方法是將 WordPress 和所有已安裝的安全插件更新到最新版本。 WordPress 是開源的,因此貢獻者不懈地努力改進每個新版本的功能和安全性。 這就是為什麼您應該將 CMS 更新到最新版本以提高網站的安全性。

2.安全插件

安全 WordPress 管理員安全插件

關於 WordPress 的最好的事情之一是,您可以為網站的幾乎所有特性和功能找到一個插件。 但是,並非每個安全插件都適合保護登錄頁面。 因此,加強網站管理區域安全性的最佳方式是通過 WordPress 插件,如 Sucuri、MalCare、Wordfence 等。

這些插件有助於阻止惡意流量,而不會對網站的性能產生絲毫影響。

3.修改管理員用戶名和密碼

WordPress-Dashboard-Admin-Area-Add-New-User

保護網站安全的首要方法之一是更改默認用戶名和密碼。 對於每個 WordPress 安裝,默認情況下的第一個登錄用戶名是 Admin。 這種用戶名只是黑客的誘餌; 他們只需要在那之後預測密碼。

因此,您應該將用戶名和密碼更改為更自定義的內容。 首先,打開 WordPress 儀表板。 選擇用戶並單擊“所有用戶”。

即使將用戶名從“admin”更改為“mynameisadmin”也可能有助於保護您的網站免受黑客攻擊。 當涉及到密碼時,有一個小顯示屏可以顯示它的強度。 因此,嘗試使用大寫和小寫字母、符號和數字組合的不同密碼,直到您對一個滿意為止。 始終確保密碼盡可能強,以保護網站免受黑客攻擊。 專家甚至建議在密碼中使用符號和數字而不是字母,以使其更加隱晦。 例如,如果您希望密碼為“California”,請改用“[email protected][email protected]”。 這將使它更難猜測。

通常,當人們嘗試在不應該登錄的地方登錄時,他們只會關注密碼,並在不同的嘗試中保持用戶名相同。 因此,同時更改用戶名和密碼是個好主意。

4. 創建自定義登錄 URL

網站-安全-安全-https-ssl-secure-socket-layer

您可以通過在其 URL 後寫入 /wp-login.php 來訪問任何 WordPress 網站的登錄頁面。 例如,如果您的 WordPress 網站的 URL 是 www.mywebsitename.com,您可以通過 www.mywebsitename.com/wp-login.php 訪問其登錄頁面。

如此簡單的登錄頁面訪問使您的網站更容易受到網絡威脅。 因此,通過 WPS Hide Login 等插件將登錄 URL slug 更改為更加自定義的內容。 此插件將登錄表單頁面的 URL 更改為您想要的任何內容,並使 wp-admin 目錄和 wp-login.php 頁面不可訪問。 因此,最好將這些頁面加入書籤,因為您可能會丟失它們。

安裝 WPS 隱藏登錄後,轉到設置並在 WordPress 儀表板上選擇 WPS 隱藏登錄。 然後,在登錄 URL 字段中輸入新 URL 並保存更改。 之後,您網站的管理頁面將只能通過這些頁面訪問。

所以現在,即使有人在您不知情的情況下獲得了您的用戶名和密碼,他們仍然無法訪問您的登錄頁面,這是一個巨大的安慰。 這就是個性化登錄 URL 始終包含在自定義 WordPress 開發中的原因。

5.限制登錄嘗試

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protection

您是否知道即使黑客可能不知道您網站的密碼,他們仍然可以破解您的網站? 通過自動化腳本,他們可以立即嘗試數千個可能的密碼,以找到正確的密碼並最終成功。 要阻止這種情況發生,您可以限製網站上的登錄嘗試。

為此,WordPress 在官方庫中提供了某些插件,例如 Wordfence Security 和 Login Lockdown,它們可能會有所幫助。 安裝這些插件中的任何一個後,您可以定義允許的登錄嘗試次數以及超過登錄限制後該人將被鎖定多長時間的設置。

例如,您可以將嘗試次數限制為 3 次,將鎖定時間設置為 24 小時。 因此,如果有人嘗試失敗超過 3 次,他們的 IP 將在接下來的 24 小時內被鎖定,之後他們可以重試。

6. 使用 SSL 證書保護登錄頁面和管理區域

HTTP 到 HTTPS-SSL 證書

有時,您可能必須在公共網絡上登錄您的網​​站,使其在任意攻擊情況下容易受到黑客的攻擊。 在公共網絡上,黑客可以訪問您的 HTTP 請求並一目了然地查看您的登錄憑據。

為了防止這些任意攻擊,您可以使用 SSL 登錄,通過它您可以通過 HTTPS 訪問您的網站。 通常,您可以從託管服務提供商那裡獲得 SSL 登錄證書。 但如果沒有,您將不得不購買一個並將其安裝在您網站的服務器上。

如果您的網站上已經有 SSL 證書以在 HTTPS 上運行,請打開您的 wp-config.php 文件並按如下方式編輯它:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

使用 FORCE_SSL_LOGIN,您的登錄頁面將僅在 HTTPS 上打開,並且將在您網站的整個管理區域保持安全連接。 這就是為什麼當您僱用 WordPress 開發人員時,他們首先要處理的安全設置之一是為登錄頁面和管理區域使用 SSL 證書。

您可能喜歡:想要創建一個 WordPress 網站? 遵循以下 13 個簡單步驟。

7. 用密碼保護 wp-admin 目錄

電子郵件安全提示創建唯一密碼

密碼保護“wp-admin”目錄就像在您的網站及其 WordPress 管理區域上添加第二層安全。 處理它的最佳方法之一是通過託管的“目錄隱私”設置。 如果您使用 cPanel 虛擬主機來密碼保護您的 wp-admin 目錄,您還可以在目錄上使用 cPanel 密碼保護。

8. 在登錄頁面添加驗證碼

wordpress-登錄頁面

管理區域中的驗證碼可以幫助防止由自動腳本驅動的暴力網絡攻擊。 您可以通過 WordPress 插件(例如 Google reCAPTCHA、BestWebSoft 的 reCaptcha、WPForms 等)將驗證碼添加到您的登錄頁面。

這種技術在通過自動化腳本阻止黑客攻擊方面非常有效。

9.刪除登錄頁面的錯誤信息

WordPress 管理區域登錄頁面

包括驗證碼在內,黑客想要正確登錄您的網​​站的三件事。 通常,當他們嘗試登錄但失敗時,會出現一條錯誤消息,指出一個或多個憑據不正確。

因此,假設黑客輸入了用戶名、密碼和驗證碼,其中一個憑據是錯誤的; 他們將看到一條錯誤消息“不正確的用戶名”或“不正確的密碼”。 在這種情況下,他們會知道其中一個憑據是正確的,他們只需要處理另一個憑據。

但是,如果您刪除錯誤消息,他們將被誤導,誤以為他們插入了其中一個或兩個錯誤。 然後,他們將再次開始這兩個方面的工作。 現在,如果您除了此策略之外還限制了登錄嘗試的次數,那麼它將為您爭取更多時間來對抗黑客。

因此,從登錄頁面中刪除錯誤消息。

10.允許特定IP登錄

403-禁止-HTTP-錯誤代碼

您可以限制對特定靜態 IP 的訪問以保護網站。 如果您知道自己的 IP 地址,請通過 wp-admin 文件夾中的 .htaccess 文件為其提供訪問權限。

只需打開 wp-admin 文件夾,編輯一個名為 .htaccess 的文件,然後添加以下代碼: 

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

您需要做的就是將 99.99.99.99 替換為您的 IP 或您要授予訪問權限的 IP。

所以現在,如果沒有訪問權限的人嘗試登錄,他們將看到此消息。

11.通過雙因素身份驗證添加一個額外的層

訪問警報家庭身份驗證鎖定安全保護密碼安全 WordPress-admin-2fa

另一種增強網站安全性的方法是使用 WordPress 插件添加具有雙因素身份驗證的另一層。 您需要做的就是安裝和設置 WP 2FA 之類的插件,您的網站將可以安全地抵禦自動化腳本和暴力攻擊等網絡威脅。

12.一次性密碼(OTP)

secure-WordPress-admin-OTP-safety-security-internet-密碼鎖

顧名思義,一次性密碼讓您通過一個只能使用一次的密碼登錄網站。 您會在郵件或手機號碼中收到這些密碼。 由於 OTP 是通過郵件和手機號碼發送的,並且只適用於一次會話,因此您不必擔心在從網吧等地方登錄時主密碼被盜。 不用說,一些 WordPress 插件可能有助於將 OTP 功能添加到您的登錄頁面。

這些技術將有助於保護您的 WordPress 網站的管理區域免受網絡威脅,例如暴力攻擊、垃圾郵件、惡意機器人、SQL 注入,以及最重要的自動化腳本(用於生成密碼)。

您可能還喜歡:什麼是 Schema? 如何將架構標記添加到您的 WordPress 網站?

最後!

成就業務營銷成功豎起大拇指雙贏結論

當您設計一個新的 WordPress 網站時,它被黑客入侵的想法並不遙遠。 但這仍然是一種可能性。 因此,您需要使安全性成為自定義 WordPress 開發的一個獨特部分,以保護和保護管理區域,使黑客無法訪問您網站的敏感信息。

這就是為什麼我們列出了這些提示和技術,例如 WordPress 更新、安全插件、OTP、加密密碼、雙因素身份驗證、驗證碼等,以確保您的網站免受黑客攻擊。 確保在聘請 WordPress 開發人員創建新網站或更新舊網站時討論這些技術。

添加一名作者

本文由 Palak Shah 撰寫。 Palak 是 WPWeb Infotech 的優質內容作家,她喜歡撰寫有關 WordPress、技術和小型企業的文章。 她是一位令人難以置信的團隊合作者,並與團隊密切合作以取得出色的成績。 她觀看 Netflix 並閱讀非小說類、自助類和偉大人物的自傳。