WordPress 登录安全的 5 条简单规则

已发表: 2020-09-25

成功的 WordPress 安全策略应包括加强 WordPress 登录的步骤。 在这篇文章中,我们介绍了提高 WordPress 登录安全性的五个简单规则。

WordPress 的伟大之处在于它如何让几乎任何人都可以访问创建网站。 但是随着可访问性而来的是可预测性。 任何有使用 WordPress 经验的人都知道在哪里对网站进行了更改:通过wp-admin区域。 他们甚至知道他们需要去哪里访问wp-admin ,即wp-login.php页面。

默认情况下,每个 WordPress 站点的 WordPress 登录 URL 都是相同的,并且不需要任何特殊权限即可访问。 这就是为什么 WordPress 登录页面是任何 WordPress 站点中受攻击最多且可能易受攻击的部分。

不幸的是,创建一个漫游互联网进行暴力攻击的机器人不需要太多技能,任何初学者级别的黑客都可以创建一个。 由于对 WordPress 登录页面的攻击具有较低的进入门槛,因此 WordPress 登录安全性对于保护任何 WordPress 站点至关重要。

通过遵循这些规则并使用 WordPress 安全最佳实践,您可以避免容易受到常见用户登录错误的影响。

WordPress登录安全

1. 使用强密码

互联网上有很多关于密码安全最佳实践的令人困惑和矛盾的信息。 为了消除这种困惑,让我们分解一下使用强密码如何提高 WordPress 安全性的基础知识。

每当创建密码时,您首先要考虑的是密码的长度。 下面的列表显示了使用四核 i5 处理器破解密码所需的估计时间。

  • 破解 7 个字符需要 0.29 毫秒。
  • 8 个字符需要 5 个小时才能破解。
  • 9 个字符需要 4 个月才能破解。
  • 10个字符需要10年才能破解
  • 12 个字符需要 2 个世纪才能破解。

如您所见,在密码中添加一个字符可以显着提高登录的安全性。 至少 12 个字符长、随机且包含大量字符(如“ ISt8XXa!28X3 ”)的密码将使其很难破解。

不幸的是,一些黑客正在利用 GPU 和更强大的 CPU 来减少破解密码所需的时间。 因此,为了加强您的登录,还要注意您的密码熵。 密码熵越高,密码越难破解。

例如,仅基于长度要求,像“ abcdefghijkl ”这样的密码是 12 个字符,这很好,应该需要 200 年才能破解。 但是,由于密码使用连续的字母字符串,因此与具有随机字符的“ rfybolaawtpm ”之类的密码相比,它使密码更具可预测性。

随机字符会降低可预测性并增加密码的强度。 但是这两个密码有一个共同点,最终减少了密码熵。 两者都只使用小写字母,将可能的字符池限制为 26 个。这就是为什么包含字母数字、大写字母和常见 ASCII 字符以将破解密码所需的字符池增加到 92 个至关重要的原因。

提示:使用 LastPass 等密码管理器轻松生成和安全存储密码。
提示:至少,您应该要求可以对 WordPress 进行编辑的用户使用强密码。 使用像 iThemes Security Pro 这样的 WordPress 安全插件来强制特权用户使用强密码将有助于提高 WordPress 登录安全性。

2.为每个帐户使用唯一的密码

在线安全的另一个最佳实践是为您拥有的每个帐户和网站登录使用唯一的密码。 这非常重要,我们再说一遍:您应该为每个站点使用不同的密码。

为什么重用密码如此重要? 如果您对每个站点使用相同的密码,而其中一个站点被盗用,那么您现在在每个站点上的每个帐户都使用了一个被盗用的密码。 黑客可以使用与您的电子邮件地址或用户名配对的已泄露密码的数据转储来访问您的帐户。 最好不要冒险。

重复使用密码的用户越多,您的 WordPress 登录安全性就越弱。 在 Splash Data 编制的列表中,所有数据转储中包含的最常见密码是 123456。您站点的 WordPress 登录安全性仅与最弱的链接一样强,因此请主动提出强密码要求。

提示:保护 WordPress 免受密码泄露

您可以使用 iThemes Security Pro 等插件保护 WordPress 免受密码泄露。 iThemes Security Pro 利用 HaveIBeenPwned API 来检测密码是否出现在数据泄露中。

提示:鼓励用户经常更改密码

iThemes Security 的密码要求功能允许您强制所有用户在下次登录时更改他们的密码。强制用户创建新密码,让每个人都可以使用强大且不妥协的密码重新开始,这将增加您的 WordPress 登录安全。

提示:使用密码管理器

最终,使用密码管理器可以帮助您跟踪登录信息和唯一密码。 在密码管理器的帮助下,您不必记住密码。

3. 限制登录尝试

默认情况下,WordPress 没有内置任何内容来限制某人可以进行的失败登录尝试次数。 攻击者可以进行的登录尝试失败次数没有限制,他们可以继续尝试无数的用户名和密码,直到成功。

通过安装 WordPress 安全插件(如 iThemes Security Pro)来限制登录尝试失败的次数,从而提高您的 WordPress 登录安全性。 iThemes Security Pro WordPress 蛮力保护功能使您能够在用户名或 IP 被锁定之前设置允许的失败登录尝试次数。 锁定将暂时禁用攻击者进行登录尝试的能力。 一旦攻击者被锁定三次,他们将被禁止查看该网站。

注意:在决定您希望登录尝试失败的规则有多严格时,请记住您网站的实际用户。 如果您将锁定规则设置得太严苛,就会冒着无意中锁定真实用户的风险。

4. 限制每个请求的外部身份验证尝试

除了使用登录表单之外,还有其他方法可以登录 WordPress。 使用 XML-RPC,攻击者可以在单个 HTTP 请求中进行数百次用户名和密码尝试。 蛮力放大方法允许攻击者在几个 HTTP 请求中使用 XML-RPC 进行数千次用户名和密码尝试。 当您知道攻击者可以使用数据库转储作为起点并对每个请求进行数千次猜测时,WordPress 登录安全性的重要性就更加清晰了。

使用 iThemes Security Pro 的 WordPress Tweaks 设置,您可以阻止每个 XML-RPC 请求的多次身份验证尝试。 将每个请求的用户名和密码尝试次数限制为一次,将大大有助于保护您的 WordPress 登录。

此外,在开发 WordPress 登录安全计划时,重要的是要注意 WordPress Rest API 添加了其他方法来验证 WordPress 用户。 Cookie 身份验证是您登录时的一种身份验证方法 WordPress 会自动存储 cookie,因此插件和主题可以代表您执行功能。 Cookie 身份验证将受益于您添加到 wp-login.php 的保护。

5. 使用两步验证

我保存了最后一种提高 WordPress 登录安全性的最佳方法:WordPress 双因素身份验证。 双重身份验证需要额外的代码以及您的 WordPress 用户名和密码才能登录。

有许多双因素身份验证方法,但并非所有方法都是平等的。 如果可以,请避免使用文本进行双因素身份验证。 美国国家标准与技术研究院不再推荐使用 SMS 发送和接收验证码。

使用 WordPress 安全插件,如 iThemes Security Pro,您应该启用电子邮件或移动应用程序的双重方法。

请注意,许多网站要求您使用电子邮件地址作为用户名。 如果攻击者入侵了其中一个网站,下一步将是尝试使用他们窃取的新电子邮件地址和密码登录电子邮件帐户。 如果您的用户或客户之一在每个站点上重复使用已泄露的密码,则他们的电子邮件帐户及其双因素电子邮件代码将受到损害。

双因素移动应用方法将最大程度地提高WordPress登录安全性。 登录所需的额外验证码将发送到用户的手机。 因此,即使攻击者可以访问 WordPress 和电子邮件凭据,他们仍然无法登录。

回顾:一个简单的 WordPress 登录安全检查表

WordPress 登录安全应该是每个站点的重中之重。 既然您知道如何提高网站的登录安全性,您就可以利用这种有效的黑客预防策略。

  • 1. 使用强密码
  • 2. 为每个账户使用唯一的密码
  • 3. 限制登录尝试
  • 4. 限制身份验证尝试
  • 5. 使用两步验证

wordpress 安全插件

WordPress 安全插件可以帮助保护您的 WordPress 网站

iThemes Security Pro 是我们的 WordPress 安全插件,提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress 双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站增加一层额外的安全保护。

立即获取 iThemes Security