当我们安装主题和插件时,都会向…
WordPress是发布网站和博客最常用的内容管理器之一。尽管这是一个非常可靠的平台,但是许多用户由于各种原因而遭受攻击。更糟的是,黑客经常将后端锁定在WordPress管理面板上。原因当然是完全控制该站点。这就是为什么您应该特别关注WP-Admin(WordPress Admin)。为帮助保护您的网站,以下是一些安全提示,这些提示对于使您的网站或博客免受漏洞影响非常有用,使您可以安心工作。
要检查您的连接状况如何,以及您的Vpn是否真的在保护您的身份,您可以在此处使用Anonymster提供的免费工具。
-
创建自定义登录链接
很明显,要访问WordPress的管理面板,每个人都必须使用’/wp-login.php’输入站点的URL。现在,如果您在多个位置使用了相同的密码,并且该密码已被破解,那么很容易有人入侵您的网站。名为Stealth Login Page的插件可让您创建自定义URL,以用于WordPress博客的登录,注销,管理和注册。您还可以启用隐形模式,这将阻止用户直接访问“ wp-login.php”。然后,您可以将登录URL设置为更神秘。这不能保证您的网站完美无缺,但是如果有人可以破坏您的密码,则可能使他/她很难找到登录的真实位置。这也可以防止任何用于恶意目的的漫游器访问您的wp登录。
-
选择一个强密码
这个步骤看似非常明显,但可能仍未充分强调。请勿在其他地方使用相同的密码。尝试使每个密码不同且难以猜测。使用WordPress强度检测器-“ WordPress密码强度检测器”-发挥自己的优势,并创建一个强密码。您应该做的另一件事是定期更改您的密码,这样即使有人猜到了您的密码,对他们来说也将一无所用。强密码参阅有关创建强密码的出色指南。
-
限制登录尝试
有时,黑客可能会认为自己知道密码,或者可以开发脚本来猜测密码,这更糟。在这种情况下,您需要做的就是限制登录尝试。您可以使用名为Limit Login Attempts的插件轻松地执行此操作,如果用户输入的错误密码超过插件中指定的次数,该插件将阻止用户。它将锁定一段指定的时间。您可以通过wp-admin面板控制这些设置。
-
通过SSL使用安全登录页面
SSL登录页面,您可以通过使用SSL加密的通道登录WordPress管理面板,即您的会话URL将带有“ https://”。您必须与托管服务提供商确认是否拥有共享的SSL“共享的SSL”,或者您是否拥有自己的SSL证书。确认后,将以下代码粘贴到“ wp-config.php”文件中:
定义(’FORCE_SSL_ADMIN’,true);
还有一个名为Admin SSL的插件,它将在每个页面上强制使用SSL。如果使用此插件会更容易,但是它仅与2.7或更高版本兼容。
-
用密码保护WP-Admin目录
拥有两个密码没有错。这只会为WordPress管理员区域增加额外的安全级别。这可以通过使用名为AskApache Password Protect的插件来完成。它会加密您的密码并创建“ .htpasswd”文件,并设置正确的高级安全文件权限。如果您正在使用cPanel主机(例如Hostagor)来对’wp-admin’目录进行密码保护,则还可以从cPanel目录使用密码保护。询问Apache Protect
-
限制通过IP地址的访问
您可以限制对Wp-Admin的访问,并且仅允许某些IP地址对其进行访问。您需要做的就是在/ wp-admin /文件夹中创建一个.htaccess文件(如果还没有)。粘贴以下代码:
AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName“ WordPress管理员访问控制”
AuthType基本命令拒绝,允许
全部拒绝
#允许
xx.xx.xx.xxx允许Asllan IP允许
#允许xx.xx.xx.xxx允许Aline的IP
允许
#允许xx.xx.xx.xxx允许的家庭IP
允许
#允许工作IP
允许来自xx.xx.xx.xxx设置您可以访问的IP地址。这种黑客的缺点是,如果您想从其他地方访问管理面板,除非您在.htaccess文件中添加了额外的IP,否则将无法执行此操作。资源
-
切勿使用用户名“ admin”
这是安装WordPress时创建的第一个用户。您永远不要使用或维护该用户。这是入侵的主要原因。您必须使用WordPress的管理面板创建另一个用户,并为其分配管理员角色。尝试使此用户名不太明显,因此黑客更难以猜测。然后完全删除管理员用户以确保安全。
-
删除登录页面上的错误消息
默认情况下错误消息,当您输入错误的密码或无效的用户名时,您会在登录页面上收到错误消息。因此,如果黑客发现了某些东西,该错误消息将帮助您识别这一点。因此,建议您完全删除此错误消息。打开位于主题文件夹中的functions.php文件,并粘贴以下代码:
add_filter(’login_errors’,create_function(’$ a’,’return null;’));
名为Secure WordPress的插件也可以做到这一点,并且还具有其他功能。检查一下是否在乎。
-
在登录中使用加密密码
如果您未启用SSL,则此方法会派上用场。允许您执行此工作的插件是名为Semisecure Login Reimagined的插件。重新构想的半安全登录通过在用户登录时使用RSA公钥在客户端上对密码进行加密来提高登录过程的安全性。服务器对使用私钥加密的密码进行解密。需要JavaScript才能启用加密。
-
WordPress防病毒保护
WordPress的AntiVirus插件是一种聪明有效的解决方案,可保护您的博客免遭漏洞利用和垃圾邮件注入。此插件的特殊功能是对受感染文件的即时结果进行手动测试,并通过电子邮件通知每日自动验证。
-
保持最新的WordPress版本更新
最后但并非最不重要的一点是,要与WordPress的最新版本保持同步,因为每个版本都是一个版本。因此,WordPress在发行版中还包含先前版本的错误和漏洞利用,如果您不升级,则会使您的管理区域面临风险。
-
一次性密码
一次性密码插件可让您使用对单个会话有效的密码登录WordPress博客。一次性密码可防止您的主要WordPress密码在诸如键盘记录程序之类的不太受信任的环境(例如网吧和PC)中被盗。
-
WordPress防火墙插件
WordPress防火墙插件可检测,拦截和记录可疑的外观参数,并防止它们破坏WordPress。它还可以保护大多数WordPress插件免受相同的攻击。可以选择将其配置为要加载的第一个插件,以实现最大的安全性。它将为您提供一个选择,向您发送一封电子邮件,其中包含有关阻止潜在攻击等方面的有用信息。
微信扫描二维码联系我们!
我们在微信上24小时期待你的声音
提供外贸路由器设备产品,轻松翻墙,解答:WP主题推荐,WP网站建设,Google SEO,百度SEO,专业服务器环境搭建等!
需要提供WordPress主题/插件的汉化服务可以随时联系我们!另外成品WordPress网站以及半成品WordPress网站建设,海外Google SEO优化托管服务,百度SEO优化托管服务,Centos/Debian服务器WP专用环境搭建,WP缓存服务器搭建,我们都是你的首选,拥有多年WP开源程序服务经验,我们一直在坚持客户体验,没有最好,只有更好!