17713433920 info@mac163.com
wordpress动态

网络安全应该是所有网站长期以来一直关注的问题。无论您采取了什么预防措施,始终都有改进的余地。这是因为没有万无一失的安全性。此外,黑客全天候24×7徘徊,因此您必须时刻保持警惕。托管,弱密码,WordPress的旧版本或可疑的主题/插件是机器人进入您的网站的可能入口点。

使黑客更难的一种方法是加强对WordPress管理员或登录页面的保护。它是通向您网站的门户,您可以通过加强此页面上的安全性来立即阻止大多数麻烦。

您可以采取以下几种方式来保护“管理”页面,

变更使用者名称

WordPress中的默认用户名是“ Admin”,并且机器人知道这一点。现在,如果他们能猜出您的密码,那么您实际上已经给了他们邀请函。因此,将您的用户名更改为唯一且不可猜测的名称。例如,对于纽约足球俱乐部,“ NY Soccer”不是合适的用户名。

您可以按照以下简单步骤更改用户名,

  • 使用您现有的管理员用户帐户登录WordPress。
  • 通过单击用户>添加新来添加新用户
  • 选择“管理员”作为该新用户的角色。在此处输入唯一的用户名,因为这个新添加的用户将成为新的管理员用户。
  • 注销旧的“管理员”用户帐户。
  • 使用您创建的新的唯一用户名再次登录。
  • 删除原始的“管理员”用户。您需要将所有旧帖子从旧的“管理员”用户重新分配给新用户。

您还可以通过访问phpMyAdmin来更改用户名。在SiteGround上阅读此内容。

如何保护wordpress中的登录页面
如何保护wordpress中的登录页面

强密码

更改用户名只是其中的一半。加强您的密码,使机器人无法猜测。可以正确猜出生日,宠物的名字,喜欢的运动员。蛮力攻击只是反复尝试通过反复试验来猜测密码的尝试。如果密码很弱,它们势必会成功。因此,强密码很重要。

理想情况下,强密码应使用大小写字母和数字的组合。加上一两个符号,例如“!” 要么 ‘@’。WordPress提供了生成强密码的选项,您也可以使用它。或借助密码生成器。在“我的密码多么安全”中检查密码是否安全。并定期更改密码。

很难记住密码?查看密码管理器,例如LastPass,DashLane,KeePass,1Password和RoboForm。密码管理器以加密形式存储所有密码,您可以从任何设备访问它。

如果我没有为强密码  辩护,那么SplashData的这份报告列出了2015年最差的密码,也许可以说服您。

限制用户访问

如果您是唯一一个访问管理员的人,那么此人不适合您。但是,如果允许多个用户访问后端,则应严格控制他们的特权。仅在区域执行他们的任务所必需的范围内允许访问和特权。

不仅如此,还应该要求您站点上的用户使用强密码。为此,您可以安装Force Strong Passwords插件。仅当用户为自己设置了强密码时,该插件才允许用户访问该网站。或者,您可以查看“登录安全解决方案”,该解决方案还检查并增强密码强度,而不会惹恼真正的用户。

限制登录尝试

机器人可以通过尝试各种用户名和密码组合来进入您的网站。他们可能需要经过很多尝试才能闯入。如果我们限制了单个IP可以进行的尝试次数,则可以大大减少僵尸程序获得访问权限的机会。

有专门的插件可以执行此任务–

  • 限制登录尝试次数 –限制每个IP的登录尝试次数。即使很长时间没有更新,它也是一个常用的插件。
  • 暴力登录保护 –使用.htaccess保护您的网站免受暴力攻击。
  • Jetpack Protect –保护WordPress网站免受僵尸网络攻击。

还值得注意的是,某些虚拟主机提供了内置的此功能。例如,WP Engine早在2015年初就将其添加到其托管平台中,以使其托管的网站更加安全(除了免费的SSL,两要素身份验证,自动备份,多个防火墙,恶意软件扫描等)。

更改您的登录网址

该网址登录到WordPress的所有网站,默认情况下,您的网站的主要网址之后WP-login.php中可湿性粉剂管理员  例如,mywebsite.com/wp-login.php。黑客知道这一点,并且如果您可以更改此URL,将会使他们更难以进入您的网站。

您可以安装Protect WP-Admin来更改管理面板的URL并阻止默认链接。您可以将其更改为喜欢的任何内容,例如mywebsite.com/allow_admin_access。当对mywebsite.com/wp-login.phpmywebsite.com/wp-admin的查询到达站点时,它将被重定向到主页。并且只有自定义网址将被允许进入管理面板。

保护您的管理页面的一种完全可靠的方法是完全阻止对wp-adminwp-login.php页面的访问。但这仅在您使用一个不变的IP地址时可以使用。否则,您将面临被锁定在网站之外的风险。如果您可以跟踪多个IP地址,则仍然可以继续采用此选项。

您还可以使用HTTP基本身份验证来限制对wp-login.php文件的访问。这是用户进入登录页面之前必须经过的外部安全保护层。您需要生成一个.htpasswd文件,以列出所有授权的用户名及其各自的加密密码。也可以针对HTTP基本身份验证发起蛮力攻击,但这将使黑客破解这两个层的工作加倍。

将SSL添加到您的网站

SSL是标准的安全技术。HTTP是用于在服务器和浏览器之间传输数据的超文本传输​​协议。HTTP的安全版本是HTTPS,“ S”代表安全。他们一起向用户验证网站的身份,并向用户保证网站与用户浏览器之间的机密性。

设置SSL / HTTPS后,服务器将对数据进行加密,只有用户的浏览器才能解密数据。对于任何不受欢迎的第三方,数据都没有任何意义,只会显示为字符串。作为奖励,您会发现Google在对网站进行排名时偏爱HTTPS。

自己获取SSL证书可能不再是可选的,尤其是如果您使用的是Chrome浏览器。这是因为Google计划将所有非HTTPS网站标记为“不安全”。

如今,所有非HTTPS网站对于SSL状态的指示都是中立的,但是它将在2017年1月发生变化。所有需要密码或收集信用卡信息的网站都必须变得安全,否则可能会被Google标记为不安全。

有像Comodo,DigiCert和SSL.com这样的许多公司提供认证服务。可以从SSLMate获得证书而无需花费太多,而从Lets Encrypt免费获得证书。一些托管服务提供商在其托管计划中提供免费的SSL。您可以在我们的HTTPS和免费的SSL指南中阅读有关安装SSL的更多信息。

两要素认证

两因素身份验证是保护您的网站免受黑客攻击的最安全方法之一。除了您已经拥有的标准用户名/密码之外,它还可以工作。键入这些凭据后,就会在您拥有的设备(通常是智能手机)上生成一个代码。仅在输入此代码后,您才能访问该站点。

许多免费和高级插件可在您的网站上安装。这种安全方法已经存在了一段时间,但是现在正越来越多地应用于网站访问。您可以在我们之前的文章中阅读有关两因素身份验证的更多信息。

安全插件

许多网站安装了可全面保护WordPress安全性的插件。它们包含防火墙保护,恶意软件扫描,将IP列入黑名单和白名单,监视用户活动,审核日志记录,并通常增强全方位的安全性。提供免费和高级选项。

一些插件包括登录保护,

  • Wordfence –强制使用强密码,并防止暴力攻击。
  • iThemes –对抗自动攻击并限制登录尝试的次数。它还实现了更严格的用户凭据。
  • 一站式安全和防火墙 –防止暴力攻击并允许IP级别阻止,在指定时间段后将用户锁定。其他登录保护功能包括登录锁定以及将IP地址列入白名单和黑名单。
  • BulletProof Security –登录和蛮力保护。
  • McAfee Secure –提供多层保护,包括受信任的站点标记,恶意软件扫描和针对电子商务商店的身份保护范围(一项巨大资产)。
微信二维码

微信扫描二维码联系我们!
我们在微信上24小时期待你的声音
提供外贸路由器设备产品,轻松翻墙,解答:WP主题推荐,WP网站建设,Google SEO,百度SEO,专业服务器环境搭建等!

需要提供WordPress主题/插件的汉化服务可以随时联系我们!另外成品WordPress网站以及半成品WordPress网站建设,海外Google SEO优化托管服务,百度SEO优化托管服务,Centos/Debian服务器WP专用环境搭建,WP缓存服务器搭建,我们都是你的首选,拥有多年WP开源程序服务经验,我们一直在坚持客户体验,没有最好,只有更好!

随机推荐

回到顶部