使用这些易于使用的插件保护您的 WordPress 登录
已发表: 2020-05-29在管理您的 WordPress 网站时,确保您的登录安全和运行良好应该是重中之重。 无论您是经营电子商务商店还是会员网站,确保您的用户使用强大的用户名和密码组合对于保护您的网站免受外部威胁和黑客攻击至关重要。
然而,您的一些用户可能会继续使用较弱的密码和用户名进行 WordPress 登录。 密码 123 甚至1234之类的密码会在您的网站防御中留下一个巨大的漏洞。 但是,通过使用几个插件,您可以保护您的 WordPress 登录。 使用插件,您可以强制使用强密码并使用更安全的身份验证机制。
本指南将引导您了解这些插件是什么以及如何使用它们。 它还解释了为什么它们在确保您的 WordPress 登录安全的战斗中如此重要。 但首先,了解为什么需要采取这些步骤来保护您的网站非常重要。
为什么你应该保护你的 WordPress 登录
出于多种原因,为您的用户提供安全的 WordPress 登录至关重要。 首先,弱用户名和密码组合是恶意未经授权的用户入侵网站的主要方法之一。 在几种情况下,个人可以利用 WordPress 登录过程中的弱点。
更糟糕的是,由于他们通过真正的用户帐户获得访问权限,除非您使用 WordPress 活动日志插件,否则您可能直到为时已晚才意识到损坏。 例如,如果管理员使用“admin”作为用户名和简单密码,自动机器人可以在几秒钟内猜到。
有些人只会在你的网站上搞乱设置,练习当他们破解更大的目标时。 其他人可能会插入恶意软件、使用您的网站分发盗版软件或将流量从您的网站重定向。
考虑到这一点,让我们探讨一下为什么安全的 WordPress 登录对于任何类型的网站都如此重要,包括电子商务网站。
为什么安全的 WordPress 登录对电子商务网站如此重要
破坏您的网站是一回事。 电子商务商店或基于订阅的会员网站被黑是另一回事! 这些类型的网站处理付款并存储敏感的用户数据。 如果被黑客入侵,攻击者可能会窃取您所有客户的个人记录。
在这种情况下,经验丰富的黑客不希望您知道您的网站数据已被盗。 这意味着他们将掩盖他们的踪迹。 这让您不知道发生了什么,直到数百名客户抱怨他们卡上的虚假费用。
这种性质的数据泄露会永久性地损害您公司的声誉。 您还将受到国家监管机构的巨额罚款,例如 PCI SSC。 希望现在了解关闭网站防御中这些潜在漏洞的重要性。
我们现在知道为什么无论您运行哪种网站,安全登录都如此重要。 因此,让我们看看实际上什么是安全密码,以及如何为您的 WordPress 网站生成一个。
什么使密码安全?
您可以使用密码生成器为您的关键帐户生成一个强大且难以破解的密码。 但是,了解什么是强大的 WordPress 密码至关重要。 这使您可以在您的网站上注册时向您的用户推荐这些要求。
时间越长越强
长度对于任何强密码都至关重要。 您可能已经注意到,许多网站至少需要 8 个字符。 但是,理想情况下,您应该更进一步并要求至少十个字符。
即使这只是几个额外的字符,它也会产生巨大的差异。 短密码很快就会被蛮力攻击破解。 但是十个字符及以上,黑客破解它们的可能性就会降低。 取得成功可能需要数年时间。
越随机越好
如果您没有使密码足够随机,您可以撤消选择长密码的好工作。 自动猜测机器人使用非常全面的密码字典。 事实上,有些人可以在一分钟内破解由随机字母组成的八位密码。
那就对了; 即使是像“qkcrmztd”这样难以记住的密码也是完全没用的。 包含几个数字会产生很大的不同。 即使是像“iown2dogsand1cat”这样简单易记的密码,也需要六亿年才能破解(如果您愿意,也需要 330,130 世纪)。
为了保护密码免受暴力破解和字典攻击,必须将长度与字母、数字以及理想情况下的特殊符号的组合结合起来,以使计算机程序无法破解密码。
定期更换
用户可能有点懒惰。 他们经常为多个站点使用相同的密码。 这意味着另一个站点上的漏洞可能会立即影响您的站点。 通过强制用户每季度(三个月)更改一次密码,您可以消除对网站安全的威胁。 无论如何,这也是一个很好的最佳实践,因为它还会在任何蛮力尝试时重新启动时钟。
什么是密码管理器?
简而言之,密码管理器是一种用于安全存储用户名和密码组合的软件或在线服务。 密码管理器中存储的所有信息均由一个主密码和双因素身份验证机制保护。
作为网站所有者,您需要教育客户并推动他们使用网站。 为什么? 好吧,您的网站用户不太可能选择难以记住的复杂密码。 因此,向您的网站用户推广使用密码管理器是有意义的。
在安全性与用户体验 (UX) 之间取得适当的平衡
实施包含耗时任务的安全 WordPress 登录过程将使一些用户无法注册帐户。 考虑到这一点,您需要在网站安全性和网站可用性之间取得平衡。
对于处理支付信息的电子商务网站,它们的安全级别非常高也就不足为奇了。 鉴于客户会知道他们正在与您共享他们的付款详细信息,考虑到您的流程信息的价值,他们不太可能会遇到被迫使用“不可破解”密码和双重身份验证的问题。
另一方面,一个更简单的会员网站,将支付细节交给符合 PCI-DSS 的第三方,可能不需要任何接近相同级别的安全协议。 这并不是说安全应该掉以轻心。 相反,必须找到一个平衡点,在不过度干扰用户体验 (UX) 或完全推迟潜在客户的情况下提供安全的 WordPress 登录。
确保您的 WordPress 登录安全的两个最佳插件
借助插件,实现安全的 WordPress 登录要简单得多。 他们为您完成所有繁重的工作。 考虑到这一点,为您的 WordPress 网站下载和安装 WPassword 和 WP 2FA 插件是有意义的。
虽然 WordPress 确实强调用户正在创建弱密码,但该平台仍然允许他们使用弱密码。 强制执行强密码策略的唯一方法是使用插件。 通过插件,您不仅可以规定最小密码长度等项目,还可以根据用户角色区分密码策略,以免破坏您的 WordPress 网站的用户体验。
然后,您可以通过实施两因素身份验证 (2FA) 更进一步。 即使是最强的用户名和密码组合也可能被盗,因此为恶意网络犯罪分子提供了后门入口。 通过添加双因素身份验证,黑客可以在登录后阻止他们的踪迹,除了凭据之外,他们还需要一个只有用户才能生成的一次性代码。
使用这些插件的组合使外部威胁几乎不可能通过不安全的登录获得访问权限。 使用只有真实用户才能知道或拥有的难以破解的密码和详细信息,您的站点登录将自动变得更加安全并降低黑客威胁级别。
如何在 WordPress 上强制使用强密码
强制执行安全 WordPress 登录的第一步是下载和安装 WPassword。 下载并安装后,转到 WordPress 仪表板中设置菜单中的“密码策略”。
在这里,您可以配置您网站的密码策略并强制您的用户使用强 WordPress 密码。 您可以规定管理密码的规则,例如:
- 最小密码长度
- 强制使用大写和小写字母
- 使用数字的要求
- 强制使用特殊字符
- 密码过期策略(因此用户经常更改密码)
使用密码历史功能来防止用户重复使用旧密码也是一个好主意。 使用此插件,您可以根据用户的角色配置密码策略。 您还可以一键重置所有密码。 在不幸的 WordPress 黑客事件中,后一个功能可以帮助阻止攻击者的踪迹。
最后,不要忘记您的休眠 WordPress 用户! 即使他们已经有一段时间没有使用您的网站了,但他们会带来最大的威胁,尤其是如果他们在您实施更严格的密码政策之前就注册了。 使用 WPassword 上的休眠 WordPress 用户策略功能来锁定非活动用户并防止帐户劫持。
实施这些密码策略后,添加双因素身份验证作为额外的安全层是有意义的。
如何在 WordPress 网站上启用双重身份验证
与上述步骤类似,您的第一个停靠点是前往下载并安装适用于 WordPress 的 WP 2FA 插件。 或者您可以通过以下步骤直接在您的网站内安装插件:
- 导航到插件>添加新
- 搜索WP 2FA > 单击“立即安装” ,然后单击“激活”
激活后,您可以在几秒钟内为您的 WordPress 用户设置双重身份验证。 完成该步骤后,就可以为您的 WordPress 网站配置双重身份验证策略了。 对于这一步,只需前往:
- 设置>双重身份验证
向下滚动到“您想对部分或所有用户强制执行 2FA 吗?”部分。 在这里,您可以决定哪些用户需要双重身份验证才能访问该站点(我们建议所有用户获得最大保护)。 您还可以确定在用户被锁定帐户之前,让他们设置两因素身份验证的时间。
请记住,只要一个用户名和密码被泄露,您的安全 WordPress 网站就会突然受到立即攻击的威胁。 使用 WP 2FA 插件,您可以利用以下优势:
- 提高网站安全性
- 更好地保护用户数据
- 增加客户的信任和信心
- 为自己节省与成功的 WordPress 黑客尝试相关的成本
不要冒险使用您的 WordPress 登录安全性
希望您现在了解一个弱密码可能对您的网站造成的损害。 因此,实施安全的 WordPress 登录过程对于保护客户的个人信息和业务的完整性至关重要。
幸运的是,借助两个易于设置的插件,您可以消除与不安全的 WordPress 登录相关的威胁。 通过安装 WPassword 和 WP 2FA 插件,您可以利用以下功能:
- 强制对用户使用强密码
- 提高整体站点安全性
- 保护高度敏感的个人数据免受黑客攻击
- 根据用户角色确定安全级别
- 消除非活动/休眠用户帐户带来的威胁
那你还在等什么? 立即使用 WPassword 和 WP 2FA 保护您的 WordPress 登录。