WordPress 登錄安全的 5 條簡單規則

已發表: 2020-09-25

成功的 WordPress 安全策略應包括加強 WordPress 登錄的步驟。 在這篇文章中,我們介紹了提高 WordPress 登錄安全性的五個簡單規則。

WordPress 的偉大之處在於它如何讓幾乎任何人都可以訪問創建網站。 但是隨著可訪問性而來的是可預測性。 任何有使用 WordPress 經驗的人都知道在哪裡對網站進行了更改:通過wp-admin區域。 他們甚至知道他們需要去哪裡訪問wp-admin ,即wp-login.php頁面。

默認情況下,每個 WordPress 站點的 WordPress 登錄 URL 都是相同的,並且不需要任何特殊權限即可訪問。 這就是為什麼 WordPress 登錄頁面是任何 WordPress 站點中受攻擊最多且可能易受攻擊的部分。

不幸的是,創建一個漫遊互聯網進行暴力攻擊的機器人不需要太多技能,任何初學者級別的黑客都可以創建一個。 由於對 WordPress 登錄頁面的攻擊具有較低的進入門檻,因此 WordPress 登錄安全性對於保護任何 WordPress 站點至關重要。

通過遵循這些規則並使用 WordPress 安全最佳實踐,您可以避免容易受到常見用戶登錄錯誤的影響。

WordPress登錄安全

1. 使用強密碼

互聯網上有很多關於密碼安全最佳實踐的令人困惑和矛盾的信息。 為了消除這種困惑,讓我們分解一下使用強密碼如何提高 WordPress 安全性的基礎知識。

每當創建密碼時,您首先要考慮的是密碼的長度。 下面的列表顯示了使用四核 i5 處理器破解密碼所需的估計時間。

  • 破解 7 個字符需要 0.29 毫秒。
  • 8 個字符需要 5 個小時才能破解。
  • 9 個字符需要 4 個月才能破解。
  • 10個字符需要10年才能破解
  • 12 個字符需要 2 個世紀才能破解。

如您所見,在密碼中添加一個字符可以顯著提高登錄的安全性。 至少 12 個字符長、隨機且包含大量字符(如“ ISt8XXa!28X3 ”)的密碼將使其很難破解。

不幸的是,一些黑客正在利用 GPU 和更強大的 CPU 來減少破解密碼所需的時間。 因此,為了加強您的登錄,還要注意您的密碼熵。 密碼熵越高,密碼越難破解。

例如,僅基於長度要求,像“ abcdefghijkl ”這樣的密碼是 12 個字符,這很好,應該需要 200 年才能破解。 但是,由於密碼使用連續的字母字符串,因此與具有隨機字符的“ rfybolaawtpm ”之類的密碼相比,它使密碼更具可預測性。

隨機字符會降低可預測性並增加密碼的強度。 但是這兩個密碼有一個共同點,最終減少了密碼熵。 兩者都只使用小寫字母,將可能的字符池限制為 26 個。這就是為什麼包含字母數字、大寫字母和常見 ASCII 字符以將破解密碼​​所需的字符池增加到 92 個至關重要的原因。

提示:使用 LastPass 等密碼管理器輕鬆生成和安全存儲密碼。
提示:至少,您應該要求可以對 WordPress 進行編輯的用戶使用強密碼。 使用像 iThemes Security Pro 這樣的 WordPress 安全插件來強制特權用戶使用強密碼將有助於提高 WordPress 登錄安全性。

2.為每個帳戶使用唯一的密碼

在線安全的另一個最佳實踐是為您擁有的每個帳戶和網站登錄使用唯一的密碼。 這非常重要,我們再說一遍:您應該為每個站點使用不同的密碼。

為什麼重用密碼如此重要? 如果您對每個站點使用相同的密碼,而其中一個站點被盜用,那麼您現在在每個站點上的每個帳戶都使用了一個被盜用的密碼。 黑客可以使用與您的電子郵件地址或用戶名配對的已洩露密碼的數據轉儲來訪問您的帳戶。 最好不要冒險。

重複使用密碼的用戶越多,您的 WordPress 登錄安全性就越弱。 在 Splash Data 編制的列表中,所有數據轉儲中包含的最常見密碼是 123456。您站點的 WordPress 登錄安全性僅與最弱的鏈接一樣強,因此請主動提出強密碼要求。

提示:保護 WordPress 免受密碼洩露

您可以使用 iThemes Security Pro 等插件保護 WordPress 免受密碼洩露。 iThemes Security Pro 利用 HaveIBeenPwned API 來檢測密碼是否出現在數據洩露中。

提示:鼓勵用戶經常更改密碼

iThemes Security 的密碼要求功能允許您強制所有用戶在下次登錄時更改他們的密碼。強制用戶創建新密碼,讓每個人都可以使用強大且不妥協的密碼重新開始,這將增加您的 WordPress 登錄安全。

提示:使用密碼管理器

最終,使用密碼管理器可以幫助您跟踪登錄信息和唯一密碼。 在密碼管理器的幫助下,您不必記住密碼。

3. 限制登錄嘗試

默認情況下,WordPress 沒有內置任何內容來限制某人可以進行的失敗登錄嘗試次數。 攻擊者可以進行的登錄嘗試失敗次數沒有限制,他們可以繼續嘗試無數的用戶名和密碼,直到成功。

通過安裝 WordPress 安全插件(如 iThemes Security Pro)來限制登錄嘗試失敗的次數,從而提高您的 WordPress 登錄安全性。 iThemes Security Pro WordPress 蠻力保護功能使您能夠在用戶名或 IP 被鎖定之前設置允許的失敗登錄嘗試次數。 鎖定將暫時禁用攻擊者進行登錄嘗試的能力。 一旦攻擊者被鎖定三次,他們將被禁止查看該網站。

注意:在決定您希望登錄嘗試失敗的規則有多嚴格時,請記住您網站的實際用戶。 如果您將鎖定規則設置得太嚴苛,就會冒著無意中鎖定真實用戶的風險。

4. 限制每個請求的外部身份驗證嘗試

除了使用登錄表單之外,還有其他方法可以登錄 WordPress。 使用 XML-RPC,攻擊者可以在單個 HTTP 請求中進行數百次用戶名和密碼嘗試。 蠻力放大方法允許攻擊者在幾個 HTTP 請求中使用 XML-RPC 進行數千次用戶名和密碼嘗試。 當您知道攻擊者可以使用數據庫轉儲作為起點並對每個請求進行數千次猜測時,WordPress 登錄安全性的重要性就更加清晰了。

使用 iThemes Security Pro 的 WordPress Tweaks 設置,您可以阻止每個 XML-RPC 請求的多次身份驗證嘗試。 將每個請求的用戶名和密碼嘗試次數限制為一次,將大大有助於保護您的 WordPress 登錄。

此外,在開發 WordPress 登錄安全計劃時,重要的是要注意 WordPress Rest API 添加了其他方法來驗證 WordPress 用戶。 Cookie 身份驗證是您登錄時的一種身份驗證方法 WordPress 會自動存儲 cookie,因此插件和主題可以代表您執行功能。 Cookie 身份驗證將受益於您添加到 wp-login.php 的保護。

5. 使用兩步驗證

我保存了最後一種提高 WordPress 登錄安全性的最佳方法:WordPress 雙因素身份驗證。 雙重身份驗證需要額外的代碼以及您的 WordPress 用戶名和密碼才能登錄。

有許多雙因素身份驗證方法,但並非所有方法都是平等的。 如果可以,請避免使用文本進行雙因素身份驗證。 美國國家標準與技術研究院不再推薦使用 SMS 發送和接收驗證碼。

使用 WordPress 安全插件,如 iThemes Security Pro,您應該啟用電子郵件或移動應用程序的雙重方法。

請注意,許多網站要求您使用電子郵件地址作為用戶名。 如果攻擊者入侵了其中一個網站,下一步將是嘗試使用他們竊取的新電子郵件地址和密碼登錄電子郵件帳戶。 如果您的用戶或客戶之一在每個站點上重複使用已洩露的密碼,則他們的電子郵件帳戶及其雙因素電子郵件代碼將受到損害。

雙因素移動應用方法將最大程度地提高WordPress登錄安全性。 登錄所需的額外驗證碼將發送到用戶的手機。 因此,即使攻擊者可以訪問 WordPress 和電子郵件憑據,他們仍然無法登錄。

回顧:一個簡單的 WordPress 登錄安全檢查表

WordPress 登錄安全應該是每個站點的重中之重。 既然您知道如何提高網站的登錄安全性,您就可以利用這種有效的黑客預防策略。

  • 1. 使用強密碼
  • 2. 為每個賬戶使用唯一的密碼
  • 3. 限制登錄嘗試
  • 4. 限制身份驗證嘗試
  • 5. 使用兩步驗證

wordpress 安全插件

WordPress 安全插件可以幫助保護您的 WordPress 網站

iThemes Security Pro 是我們的 WordPress 安全插件,提供 30 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress 雙重身份驗證、暴力破解保護、強密碼強制執行等功能,您可以為您的網站增加一層額外的安全保護。

立即獲取 iThemes Security