如何:保護您的 WordPress 登錄免受黑客攻擊

已發表: 2015-04-03

黑客已經佔領了世界。

有足夠的關於信息安全的統計數據,沒有一個系統是安全的。

黑客在不斷發展,網上有足夠多的工具和技術,可以很容易地教任何人成為黑客。

沒有系統是完全安全的,一切都是可以破解的。 原因很簡單; 創造力沒有限制,要讓任何系統站在人類思維的道路上都很難。 但是,我們不能僅僅因為相信有一天會被黑客入侵而離開 WordPress 網站。

WordPress 最薄弱的部分是它的登錄頁面。 每個人都知道它的局限性,黑客特別想暴力破解登錄頁面以訪問 WordPress 儀表板。 一旦黑客到達儀表板,他們就擁有無限的權力,很容易對網站造成嚴重破壞。

正確使用安全插件、實踐和對 WordPress 平台的一次性更改可以降低它被黑客入侵的機會。 有大量的插件、教程和其他東西可以幫助您實現這一目標,今天我們將通過一些方法來保護 WordPress 登錄免受黑客攻擊。

目錄

1.使用限制登錄嘗試

BurteForce 攻擊很常見——黑客會嘗試所有可能的組合併想出一個有效的組合。 那麼,你會如何阻止它呢? 限制登錄嘗試次數? 是的,你是對的。

而要達到預期的效果,最好使用Limit Login Attempts插件。 該插件已安裝超過 100 萬次,可與最新的 4.1.1 版本完美配合。

該插件可用於限制任何人對登錄提示的重試次數。 如果發生違規行為,它會阻止 IP 並阻止任何暴力破解 WordPress 登錄頁面的嘗試。

在此處下載限制登錄嘗試。

2.通過IP地址限制WordPress管理員登錄

如果只有您需要訪問您的管理區域,請將此代碼添加到位於域根文檔中的.htaccess文件中,確保您已勾選“顯示隱藏文件”。 cPanel隱藏文件

3. 對於單一 IP 地址訪問,請使用:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

對於多個 IP 訪問使用: 

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.121</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.122</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

請注意,您需要將 123\.123\.123\.121 替換為您自己的 IP 地址。 如果您不知道,請訪問:whatismyipaddress.com

4. 將默認用戶名從 admin 更改為其他用戶名。

在過去的六個月裡,我一直在使用 WordPress,並提出了數百個我處理的 WordPress 客戶,他們有一個共同點。 博客的用戶名,是的,它的“管理員”。

出於非常明顯的原因,創建另一個超級用戶並刪除管理員用戶名是一個好習慣。 為您一生中創建的每個 WordPress 網站保持這種做法。 這可以節省您寶貴的博客。

原因很簡單; 黑客嘗試從您的主機中提供 WordPress 博客的默認設置。 而且,我也不能按需要更改密碼。 默認密碼也是您登錄頁面安全的殺手。

讓我們在下一點討論它。

5.使用創意長密碼

密碼是保護所必需的。 我們都喜歡簡短而甜美的密碼,因為它們易於記憶和使用。 但是,它們是有代價的。 123456、name123、schoname123等弱密碼非常常見,黑客利用它來暴力破解登錄頁面。 暴力字典默認包含所有這些密碼,可以在幾分鐘內輕鬆破解登錄頁面。

那麼,什麼是好的密碼呢?

任何包含字母、特殊字符和數字的字母數字密碼都是最好的密碼。 但有一個問題,用戶也可以創建一個非常簡單的密碼。 比如name123#,這個組合很容易被暴力破解。

如何克服創建密碼時的人為錯誤?

答案是使用自動密碼生成器。 最著名的是 Random.org 密碼生成器。 密碼生成器生成高強度密碼。

6.使用谷歌驗證碼

我喜歡谷歌驗證碼。 它為 WordPress 頁面提供了基本的登錄保護。 我在我的 WordPress 博客上同時使用登錄限制和 Google Captcha。 儘管可以正常工作,但我會反對它,因為它提供了針對自動暴力攻擊的保護,比登錄限制插件要好得多。

您會在 WordPress 上找到大量的 Google Captcha 插件,但 BestWebSoft Plugin 的 Google Captcha 是最佳選擇。 它在登錄頁面上乾淨地實現了 Google Captcha。 此外,您可以在您的 WordPress 博客上將該插件與其他表單一起使用,從而擴大 Google Captcha 在 WordPress 博客中的使用範圍。

7.更改登錄頁面的默認URL

我已經提到黑客如何利用在安裝 WordPress 網站期間設置的默認設置。 另一個高度易受攻擊的方面是登錄頁面 URL。

WordPress登錄的默認URL頁面是www.websitename.com/wp-admin

那麼,這裡有什麼問題呢? 最好的辦法是完成更改WordPress網站的登錄網頁。 這樣,大多數黑客會在他們第一次找不到登錄頁面時離開。

更改登錄頁面非常適合在 WordPress 網站上工作並且擁有大量用戶不斷登錄和註銷系統的組織。

有一篇很棒的文章關於在 manage wp 上更改登錄頁面的默認 URL。 我建議您通過鏈接並將默認登錄 URL 更改為不同的內容。

包起來

登錄頁面是任何網站中最強大的地方的入口點,即 WordPress 儀表板。 從儀表板(具有正確權限)可以輕鬆更改網站的所有不同方面。 儀表板還可用於征服整個網站並竊取有關插件、設置和內容的重要信息。

為了保護您的網站免受黑客攻擊,最好定期備份您的網站。 通常,網絡託管服務提供商會備份您的網站,但一般規則是您自己創建備份。

WordPress 是一個了不起的平台,但不注意基本的安全設置很容易激發黑客侵入系統的動機。 我已經解決了登錄頁面不安全的問題,而且我的登錄歷史總是顯示有人嘗試登錄。通過使用登錄限制嘗試和 Google Captcha,錯誤登錄嘗試已完全減少。

有什麼要補充的嗎? 在下面發表評論,讓我們知道。