2021 年保护 WordPress 用户的 7 个技巧

在 2021 年保护 WordPress 用户的最佳方法是使用强密码和双因素身份验证。 这看起来很简单，对吧？ 现实情况是 WordPress 用户安全性更微妙一些。

每当我们谈论用户安全时，我们经常会听到这样的问题，每个 WordPress 用户是否应该有相同的安全要求，多少安全才算是安全？

别担心。 我们回答所有这些问题。 但首先，让我们谈谈不同类型的 WordPress 用户。

有哪些不同类型的 WordPress 用户？

有 5 个不同的默认 WordPress 用户。

1. 行政人员
2. 编辑
3. 作者
4. 贡献者
5. 订户

每个用户都有不同的能力。 这些功能决定了他们访问仪表板后可以执行的操作。 阅读有关 WordPress 用户角色和权限的更多信息。

不同被黑 WP 用户的潜在损害

在我们了解如何保护 WordPress 用户的安全之前，我们必须首先了解每种类型的受感染用户的威胁级别。 攻击者可以造成的损害类型和级别因他们攻击的用户的角色和能力而异。

管理员 –威胁级别高

管理员用户可以随心所欲。

• 创建、删除和修改用户。
• 安装、删除和编辑插件和主题。
• 创建、删除和编辑所有帖子和页面。
• 发布和取消发布帖子和页面。
• 添加和删​​除媒体。

如果黑客可以接触到您网站的管理员之一，他们就可以持有您的网站以索要赎金。 勒索软件是指黑客接管您的网站并且不会将其发布给您，除非您向他们支付高额费用。

勒索软件攻击的平均停机时间为 9.5 天。 10 天的 NO 销售会花费您多少收入？

编辑器 –威胁级别高

编辑器管理网站的所有内容。 这些用户仍然有相当多的权力。

• 创建、删除和编辑所有帖子和页面。
• 发布和取消发布所有帖子和页面。
• 上传媒体文件。
• 管理所有链接。
• 管理评论。
• 管理类别。

如果攻击者控制了编辑器的帐户，他们就可以修改您的一个页面以用于网络钓鱼攻击。 网络钓鱼是一种用于窃取用户数据的攻击，包括登录凭据和信用卡号。

网络钓鱼是让您的网站被 Google 列入黑名单的最可靠方法之一。 每天，有 10,000 个网站因各种原因进入 Google 的屏蔽名单。

作者 –威胁级别中等

作者旨在创建和管理自己的内容。

• 创建、删除和编辑自己的帖子和页面。
• 发布和取消发布他们自己的帖子。
• 上传媒体文件

如果攻击者要获得作者帐户的控制权，他们可以创建页面和帖子，将您的站点访问者发送到恶意网站。

贡献者和订阅者 -威胁级别低

贡献者是作者用户角色的精简版。 他们没有出版权。

• 创建和编辑自己的帖子。
• 删除自己未发表的帖子。

订阅者可以阅读其他用户发布的内容。

虽然具有贡献者或订阅者角色的黑客无法进行任何恶意更改，但他们可以窃取存储在用户帐户或个人资料页面中的任何敏感信息。

保护 WordPress 用户安全的 7 个技巧

好的，这是黑客可以对我们的网站做的一些非常讨厌的事情。 好消息是，只要您稍加努力，就可以防止对您的 WordPress 用户帐户的大多数攻击。

让我们来看看您可以采取哪些措施来保护 WordPress 用户的安全。 事实是，这些安全方法将有助于保护各种类型的 WordPress 用户。 但是，在我们介绍每种方法时，我们会告知您应该要求哪些用户使用该方法。

1. 只为人们提供他们需要的能力

保护网站的最简单方法是只为用户提供他们需要的功能，而不是其他任何功能。 如果某人在您的网站上唯一要做的就是创建和编辑他们自己的博客文章，那么他们不需要能够编辑其他人的文章。

2. 限制登录尝试

蛮力攻击是指一种反复试验的方法，用于发现用户名和密码组合以入侵网站。 默认情况下，WordPress 没有内置任何内容来限制某人可以进行的失败登录尝试次数。

攻击者可以在没有登录尝试失败次数限制的情况下，继续尝试无数个用户名和密码，直到成功。

iThemes Security Pro 本地暴力保护功能会跟踪 IP 地址和用户名进行的无效登录尝试。 一旦某个 IP 或用户名连续多次尝试无效登录，它们就会被锁定，并且无法再进行任何登录尝试。

3. 使用强密码保护 WordPress 用户

您的 WordPress 用户帐户密码越强，就越难猜测。 破解一个七字符密码需要 0.29 毫秒。 但是，黑客需要两个世纪才能破解十二个字符的密码！

理想情况下，强密码是十二个字符长的字母数字字符串。 密码应包含大小写字母以及其他 ASCII 字符。

虽然每个人都可以从使用强密码中受益，但您可能只想强制具有作者级别及以上能力的人使用强密码。

iThemes Security Pro 密码要求功能允许您强制特定用户使用强密码。

4. 拒绝泄露密码

尽管 91% 的人知道重复使用密码是不好的做法，但仍有 59% 的人在任何地方重复使用他们的密码！ 这些人中的许多人仍在使用他们知道出现在数据库转储中的密码。

黑客使用一种称为字典攻击的蛮力攻击形式。 字典攻击是一种使用出现在数据库转储中的常用密码闯入 WordPress 网站的方法。 “系列#1？ 托管在 MEGA 托管的数据泄露包括 1,160,253,228 种独特的电子邮件地址和密码组合。 那是一个 b 的十亿。 这种分数确实有助于字典攻击缩小最常用的 WordPress 密码的范围。

必须防止具有作者级别及以上权限的用户使用已泄露的密码。 您还可以考虑不让您的低级别用户使用已泄露的密码。

完全可以理解并鼓励尽可能轻松地创建新客户帐户。 但是，您的客户可能不知道他们使用的密码是在数据转储中找到的。 通过提醒客户他们使用的密码已被泄露这一事实，您将为您的客户提供出色的服务。 如果他们在任何地方都使用该密码，您就可以避免他们以后遇到一些重大的麻烦。

iThemes Security Pro Refuse Compromised Passwords功能强制用户使用没有出现在 Have I Being Pwned 跟踪的任何密码泄露事件中的密码。

5. 使用双因素身份验证保护 WordPress 用户

双因素身份验证是通过需要两种不同的验证方法来验证个人身份的过程。 谷歌在其博客上分享说，使用双因素身份验证可以阻止 100% 的自动机器人攻击。 我真的很喜欢这些赔率。

至少，您应该要求您的管理员和编辑使用双因素身份验证。

在您的网站上实施 2fa 时， iThemes Security Pro 两因素身份验证功能提供了极大的灵活性。 您可以为所有或部分用户启用双重验证，并且可以强制高级用户在每次登录时使用 2fa。

6. 限制设备访问 WP 仪表板

将 WordPress 仪表板的访问权限限制为一组设备可以为您的网站增加一层强大的安全性。 如果黑客没有为用户使用正确的设备，他们将无法使用受感染的用户对您的网站造成损害。

您应该只将设备访问权限限制为您的管理员和编辑。

iThemes Security Pro 可信设备功能可识别您和其他用户用于登录您的 WordPress 站点的设备。 当用户登录到无法识别的设备时，受信任的设备可以限制其管理员级别的功能。 这意味着，如果攻击者能够闯入您的 WordPress 网站的后端，他们将无法对您的网站进行任何恶意更改。

7. 保护 WordPress 用户免受会话劫持

每次您登录网站时，WordPress 都会生成一个会话 cookie。 假设您有一个已被开发人员放弃且不再发布安全更新的浏览器扩展。 不幸的是，被忽视的浏览器扩展有一个漏洞。 该漏洞允许不法分子劫持您的浏览器 cookie，包括前面提到的 WordPress 会话 cookie。 这种类型的黑客被称为会话劫持。 因此，攻击者可以利用扩展漏洞来捎带您的登录名并开始对您的 WordPress 用户进行恶意更改。

您应该为管理员和编辑设置会话劫持保护。

iThemes Security Pro 可信设备功能使会话劫持成为过去。 如果用户的设备在会话期间发生变化，iThemes Security 将自动将用户注销，以防止用户帐户上发生任何未经授权的活动，例如更改用户的电子邮件地址或上传恶意插件。

包起来

WordPress 的流行使其成为全世界黑客的目标。 正如我们所讨论的，攻击者甚至可以通过入侵最低级别的 WordPress 用户来造成损害。 好消息是，虽然没有办法阻止对您的 WordPress 用户的攻击，但只要我们付出一点努力，我们就可以防止攻击得逞。

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。 作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子，喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。