2021 年保護 WordPress 用戶的 7 個技巧

已發表: 2021-03-16

在 2021 年保護 WordPress 用戶的最佳方法是使用強密碼和雙因素身份驗證。 這看起來很簡單,對吧? 現實情況是 WordPress 用戶安全性更微妙一些。

每當我們談論用戶安全時,我們經常會聽到這樣的問題,每個 WordPress 用戶是否應該有相同的安全要求,多少安全是太多安全?

別擔心。 我們回答所有這些問題。 但首先,讓我們談談不同類型的 WordPress 用戶。

有哪些不同類型的 WordPress 用戶?

有 5 個不同的默認 WordPress 用戶。

  1. 行政人員
  2. 編輯
  3. 作者
  4. 貢獻者
  5. 訂戶
注意:WordPress 多站點有第六個用戶。 超級管理員擁有對站點網絡管理功能和所有其他功能的所有訪問權限。 他們可以在網絡上創建新站點和刪除站點,以及管理網絡的用戶、插件和主題。

每個用戶都有不同的能力。 這些功能決定了他們訪問儀表板後可以執行的操作。 閱讀有關 WordPress 用戶角色和權限的更多信息。

不同被黑 WP 用戶的潛在損害

在我們了解如何保護 WordPress 用戶的安全之前,我們必須首先了解每種類型的受感染用戶的威脅級別。 攻擊者可以造成的損害類型和級別因他們攻擊的用戶的角色和能力而異。

管理員 –威脅級別高

管理員用戶可以隨心所欲。

  • 創建、刪除和修改用戶。
  • 安裝、刪除和編輯插件和主題。
  • 創建、刪除和編輯所有帖子和頁面。
  • 發布和取消發布帖子和頁面。
  • 添加和刪除媒體。

如果黑客可以接觸到您網站的管理員之一,他們就可以持有您的網站以索要贖金。 勒索軟件是指黑客接管您的網站並且不會將其發布給您,除非您向他們支付高額費用。

如果黑客可以控制您網站的管理員之一,他們就可以持有您的網站以索要贖金。 勒索軟件是指黑客接管您的網站並且不會將其發布給您,除非您向他們支付高額費用。

勒索軟件攻擊的平均停機時間為 9.5 天。 10 天的無銷售會花費多少收入?

編輯器 –威脅級別高

編輯器管理網站的所有內容。 這些用戶仍然有相當多的權力。

  • 創建、刪除和編輯所有帖子和頁面。
  • 發布和取消發布所有帖子和頁面。
  • 上傳媒體文件。
  • 管理所有鏈接。
  • 管理評論。
  • 管理類別。

如果攻擊者控制了編輯器的帳戶,他們就可以修改您的一個頁面以用於網絡釣魚攻擊。 網絡釣魚是一種用於竊取用戶數據的攻擊,包括登錄憑據和信用卡號。

網絡釣魚是讓您的網站被 Google 列入黑名單的最可靠方法之一。 每天,有 10,000 個網站因各種原因進入 Google 的屏蔽名單。

注意:iThemes 安全站點掃描每天都會檢查您網站的 Google 阻止列表狀態。

作者 –威脅級別中等

作者旨在創建和管理自己的內容。

  • 創建、刪除和編輯自己的帖子和頁面。
  • 發布和取消發布他們自己的帖子。
  • 上傳媒體文件

如果攻擊者要獲得作者帳戶的控制權,他們可以創建頁面和帖子,將您的站點訪問者發送到惡意網站。

貢獻者和訂閱者 -威脅級別低

貢獻者是作者用戶角色的精簡版。 他們沒有出版權。

  • 創建和編輯自己的帖子。
  • 刪除自己未發表的帖子。

訂閱者可以閱讀其他用戶發布的內容。

雖然具有貢獻者或訂閱者角色的黑客無法進行任何惡意更改,但他們可以竊取存儲在用戶帳戶或個人資料頁面中的任何敏感信息。

保護 WordPress 用戶安全的 7 個技巧

好的,這是黑客可以對我們的網站做的一些非常討厭的事情。 好消息是,只要您稍加努力,就可以防止對您的 WordPress 用戶帳戶的大多數攻擊。

讓我們來看看您可以採取哪些措施來保護 WordPress 用戶的安全。 事實是,這些安全方法將有助於保護各種類型的 WordPress 用戶。 但是,在我們介紹每種方法時,我們會告知您應該要求哪些用戶使用該方法。

1. 只為人們提供他們需要的能力

保護網站的最簡單方法是只為用戶提供他們需要的功能,而不是其他任何功能。 如果某人在您的網站上唯一要做的就是創建和編輯他們自己的博客文章,那麼他們不需要能夠編輯其他人的文章。

2. 限制登錄嘗試

蠻力攻擊是指一種反複試驗的方法,用於發現用戶名和密碼組合以入侵網站。 默認情況下,WordPress 沒有內置任何內容來限制某人可以進行的失敗登錄嘗試次數。

攻擊者可以在沒有登錄嘗試失敗次數限制的情況下,繼續嘗試無數個用戶名和密碼,直到成功。

iThemes Security Pro 本地暴力保護功能會跟踪 IP 地址和用戶名進行的無效登錄嘗試。 一旦某個 IP 或用戶名連續多次嘗試無效登錄,它們就會被鎖定,並且無法再進行任何登錄嘗試。

3. 使用強密碼保護 WordPress 用戶

您的 WordPress 用戶帳戶密碼越強,就越難猜測。 破解一個七字符密碼需要 0.29 毫秒。 但是,黑客需要兩個世紀才能破解十二個字符的密碼!

理想情況下,強密碼是十二個字符長的字母數字字符串。 密碼應包含大小寫字母以及其他 ASCII 字符。

雖然每個人都可以從使用強密碼中受益,但您可能只想強制具有作者級別及以上能力的人使用強密碼。

iThemes Security Pro 密碼要求功能允許您強制特定用戶使用強密碼。

4. 拒絕洩露密碼

儘管 91% 的人知道重複使用密碼是不好的做法,但仍有 59% 的人在任何地方重複使用他們的密碼! 這些人中的許多人仍在使用他們知道出現在數據庫轉儲中的密碼。

黑客使用一種稱為字典攻擊的蠻力攻擊形式。 字典攻擊是一種使用出現在數據庫轉儲中的常用密碼闖入 WordPress 網站的方法。 “系列#1? 託管在 MEGA 託管的數據洩露包括 1,160,253,228 種獨特的電子郵件地址和密碼組合。 那是一個 b 的十億。 這種分數確實有助於字典攻擊縮小最常用的 WordPress 密碼的範圍。

必須防止具有作者級別及以上權限的用戶使用已洩露的密碼。 您還可以考慮不讓您的低級別用戶使用已洩露的密碼。

完全可以理解並鼓勵盡可能輕鬆地創建新客戶帳戶。 但是,您的客戶可能不知道他們使用的密碼是在數據轉儲中找到的。 通過提醒客戶他們使用的密碼已被洩露這一事實,您將為您的客戶提供出色的服務。 如果他們在任何地方都使用該密碼,您就可以避免他們以後遇到一些重大的麻煩。

iThemes Security Pro Refuse Compromised Passwords功能強制用戶使用沒有出現在 Have I Being Pwned 跟踪的任何密碼洩露事件中的密碼。

5. 使用雙因素身份驗證保護 WordPress 用戶

雙因素身份驗證是通過需要兩種不同的驗證方法來驗證個人身份的過程。 谷歌在其博客上分享說,使用雙因素身份驗證可以阻止 100% 的自動機器人攻擊。 我真的很喜歡這些賠率。

至少,您應該要求您的管理員和編輯使用雙因素身份驗證。

在您的網站上實施 2fa 時, iThemes Security Pro 兩因素身份驗證功能提供了極大的靈活性。 您可以為所有或部分用戶啟用雙重驗證,並且可以強制高級用戶在每次登錄時使用 2fa。

6. 限制設備訪問 WP 儀表板

將 WordPress 儀表板的訪問權限限制為一組設備可以為您的網站增加一層強大的安全性。 如果黑客沒有為用戶使用正確的設備,他們將無法使用受感染的用戶對您的網站造成損害。

您應該只將設備訪問權限限制為您的管理員和編輯。

iThemes Security Pro 可信設備功能可識別您和其他用戶用於登錄您的 WordPress 站點的設備。 當用戶登錄到無法識別的設備時,受信任的設備可以限制其管理員級別的功能。 這意味著,如果攻擊者能夠闖入您的 WordPress 網站的後端,他們將無法對您的網站進行任何惡意更改。

7. 保護 WordPress 用戶免受會話劫持

每次您登錄網站時,WordPress 都會生成一個會話 cookie。 假設您有一個已被開發人員放棄且不再發布安全更新的瀏覽器擴展。 不幸的是,被忽視的瀏覽器擴展有一個漏洞。 該漏洞允許不法分子劫持您的瀏覽器 cookie,包括前面提到的 WordPress 會話 cookie。 這種類型的黑客被稱為會話劫持。 因此,攻擊者可以利用擴展漏洞來捎帶您的登錄名並開始對您的 WordPress 用戶進行惡意更改。

您應該為管理員和編輯設置會話劫持保護。

iThemes Security Pro 可信設備功能使會話劫持成為過去。 如果用戶的設備在會話期間發生變化,iThemes Security 將自動將用戶註銷,以防止對用戶帳戶進行任何未經授權的活動,例如更改用戶的電子郵件地址或上傳惡意插件。

包起來

WordPress 的流行使其成為全世界黑客的目標。 正如我們所討論的,攻擊者甚至可以通過入侵最低級別的 WordPress 用戶來造成損害。 好消息是,雖然沒有辦法阻止對您的 WordPress 用戶的攻擊,但只要我們付出一點努力,我們就可以防止攻擊得逞。