您是否在WordPress管理区域看到了很多攻击？保护管理员区域免受未经授权的访问，可以阻止许多常见的安全威胁。在本文中，我们将向您展示一些重要的提示和技巧，以保护您的WordPress管理区域。

1.使用网站应用程序防火墙

网站应用程序防火墙或WAF监视网站流量，并阻止可疑请求到达您的网站。

虽然有几个WordPress防火墙插件，但我们建议使用Sucuri。这是一个网站安全和监视服务，提供基于云的WAF以保护您的网站。

您网站的所有流量都首先通过其云代理，他们在其中分析每个请求并阻止可疑请求到达您的网站。它可以防止您的网站遭受可能的黑客攻击，网络钓鱼，恶意软件和其他恶意活动。

有关更多详细信息，请参阅Sucuri如何帮助我们在一个月内阻止450,000次攻击。

2.密码保护WordPress管理员目录

您的WordPress管理区域已经受到WordPress密码的保护。但是，向您的WordPress管理员目录添加密码保护会为您的网站增加另一层安全性。

首先登录到您的WordPress托管 cPanel仪表板，然后单击“密码保护目录”或“目录隐私”图标。

接下来，您将需要选择wp-admin文件夹，该文件夹通常位于/ public_html /目录中。

在下一个屏幕上，您需要选中“密码保护此目录”选项旁边的框，并提供受保护目录的名称。

之后，单击“保存”按钮以设置权限。

接下来，您需要单击“后退”按钮，然后创建一个用户。系统将要求您提供用户名/密码，然后单击“保存”按钮。

现在，当有人尝试访问您网站上的WordPress admin或wp-admin目录时，将要求他们输入用户名和密码。

有关更多详细说明，请参阅有关如何密码保护WordPress admin（wp-admin）目录的指南。

3.始终使用强密码

始终对所有在线帐户（包括WordPress网站）使用强密码。我们建议在密码中使用字母，数字和特殊字符的组合。这使黑客更难猜测您的密码。

初学者经常问我们如何记住所有这些密码。最简单的答案是您不需要。您可以在计算机和电话上安装一些非常好的密码管理器应用程序。

有关此主题的更多信息，请参阅关于为WordPress初学者管理密码的最佳方法的指南。

4.使用两步验证到WordPress登录屏幕

两步验证为您的密码添加了另一个安全层。它会要求您输入手机上Google Authenticator应用程序生成的验证码，而不是仅使用密码。

即使有人能够猜出您的WordPress密码，他们仍将需要Google Authenticator代码才能进入。

有关详细的分步说明，请参阅我们的指南，了解如何使用Google Authenticator在WordPress中设置两步验证。

5.限制登录尝试

默认情况下，WordPress允许用户根据需要多次输入密码。这意味着有人可以通过输入不同的组合来继续尝试猜测您的WordPress密码。它还允许黑客使用自动脚本来破解密码。

要解决此问题，您需要安装并激活Login LockDown插件。激活后，请访问设置»登录锁定页面以配置插件设置。

有关详细说明，请参阅我们的指南，以了解为什么应限制WordPress中的登录尝试。

6.将登录访问限制为IP地址

保护WordPress登录的另一种好方法是限制对特定IP地址的访问。如果您或只有几个受信任的用户需要访问管理区域，则此技巧特别有用。

只需将此代码添加到您的.htaccess文件中。

AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "WordPress Admin Access Control"AuthType Basic<LIMIT GET>order deny,allowdeny from all# whitelist Syed's IP addressallow from xx.xx.xx.xxx# whitelist David's IP addressallow from xx.xx.xx.xxx</LIMIT>

不要忘记用自己的IP地址替换xx值。如果您使用多个IP地址访问Internet，请确保同时添加它们。

有关详细说明，请参阅我们的指南，了解如何使用.htaccess限制对WordPress管理员的访问。

7.禁用登录提示

如果登录尝试失败，WordPress会显示错误，告诉用户其用户名不正确或密码。有人可以使用这些登录提示进行恶意尝试。

通过将此代码添加到主题的functions.php文件或特定于站点的插件中，可以轻松隐藏这些登录提示。

function no_wordpress_errors(){  return 'Something is wrong!';}add_filter( 'login_errors', 'no_wordpress_errors' );

8.要求用户使用强密码

如果您运行一个多作者WordPress网站，则这些用户可以编辑其个人资料并使用弱密码。这些密码可以被破解，并允许某人访问WordPress管理区域。

要解决此问题，您可以安装并激活Force Strong Passwords插件。它开箱即用，没有可供您配置的设置。一旦激活，它将阻止用户保存较弱的密码。

它不会检查现有用户帐户的密码强度。如果用户已经在使用弱密码，那么他们将能够继续使用其密码。

9.重设所有用户的密码

是否担心多用户WordPress网站上的密码安全性？您可以轻松地要求所有用户重置其密码。

首先，您需要安装并激活紧急密码重置插件。激活后，访问“ 用户»紧急密码重置”页面，然后单击“重置所有密码”按钮。

有关详细说明，请参阅我们的指南，了解如何为WordPress中的所有用户重置密码

10.保持WordPress更新

WordPress经常发布该软件的新版本。WordPress的每个新版本都包含重要的错误修复，新功能和安全修复。

在您的网站上使用旧版本的WordPress会使您容易受到已知漏洞和潜在漏洞的影响。要解决此问题，您需要确保使用的是最新版本的WordPress。有关此主题的更多信息，请参阅我们的指南，了解为什么您始终应使用最新版本的WordPress。

同样，WordPress插件也经常更新以引入新功能或修复安全性和其他问题。确保您的WordPress插件也是最新的。

11.创建自定义登录和注册页面

许多WordPress网站要求用户进行注册。例如，会员站点，学习管理站点或在线商店需要用户创建帐户。

但是，这些用户可以使用其帐户登录WordPress管理区域。这不是一个大问题，因为他们将只能执行用户角色和功能所允许的事情。但是，它使您无法正确限制对登录和注册页面的访问，因为您需要这些页面供用户注册，管理其个人资料和登录。

解决此问题的简单方法是创建自定义登录和注册页面，以便用户可以直接从您的网站进行注册和登录。

有关详细的分步说明，请参阅有关如何在WordPress中创建自定义登录和注册页面的指南。

12.了解WordPress用户角色和权限

WordPress带有功能强大的用户管理系统，具有不同的用户角色和功能。在将新用户添加到WordPress网站时，您可以为其选择用户角色。该用户角色定义了他们可以在WordPress网站上执行的操作。

分配错误的用户角色可能会给人们带来超出其所需的功能。为了避免这种情况，您需要了解WordPress中不同的用户角色具有哪些功能。有关此主题的更多信息，请参阅WordPress用户角色和权限的初学者指南。

13.限制仪表板访问

某些WordPress网站具有某些需要访问仪表板的用户，而有些则不需要。但是，默认情况下，他们都可以访问管理区域。

要解决此问题，您需要安装并激活“ 删除仪表板访问”插件。激活后，转到“设置”»“仪表板访问”页面，然后选择哪些用户角色将有权访问您站点上的管理区域。

有关更多详细说明，请参阅有关如何限制WordPress中的仪表板访问的指南。

14.注销空闲用户

WordPress不会自动注销用户，除非他们明确注销或关闭其浏览器窗口。对于具有敏感信息的WordPress网站，这可能是一个问题。因此，如果金融机构的网站和应用未处于活动状态，则会自动将其注销。

要解决此问题，您可以安装并激活空闲用户注销插件。激活后，转到设置»空闲用户注销页面，然后输入希望用户自动注销的时间。

有关更多详细信息，请参阅有关如何自动注销WordPress中的空闲用户的文章。

---

---

需要提供WordPress主题/插件的汉化服务可以随时联系我们！另外成品WordPress网站以及半成品WordPress网站建设，海外Google SEO优化托管服务，百度SEO优化托管服务，Centos/Debian服务器WP专用环境搭建，WP缓存服务器搭建，我们都是你的首选，拥有多年WP开源程序服务经验，我们一直在坚持客户体验，没有最好，只有更好！