如何保护 WordPress 登录页面? (带视频)

已发表: 2019-11-14
WordPress login page

最后更新 - 2021 年 7 月 8 日

网站安全是 WordPress 网站所有者的常见问题之一。 即使 WordPress 是一个安全的平台,网站也经常受到大量黑客攻击。 一般来说,WordPress专家建议使用安全解决方案要小心。 值得庆幸的是,WordPress 生态系统中有多种安全解决方案可帮助您保护您的网站。 而且,您可以采用多种策略来保护您的网站免受恶意软件和攻击者的侵害。 最好遵循这些做法,以确保您的网站不易受到攻击。 在本文中,我们将讨论一些保护您的 WordPress 登录页面的策略。

使用安全的用户名和密码

您需要为您的 WordPress 网站设置一个安全的用户名和密码。 这将帮助您保护您的网站免受暴力攻击。 蛮力攻击是黑客试图通过无情地尝试不同的用户名和密码组合来破坏您的站点登录的情况。 在这种情况下,拥有不同于默认“admin”用户名的用户名尤为重要。 如果您将 admin 作为您的用户名,黑客就不必费心猜测您的用户名。 您可以采取的保护 WordPress 登录页面的第一步是将用户名从 admin 更改为其他名称。

WordPress登录页面
确保安全的 WordPress 登录页面的第一步是使用强用户名和密码。

现在,众所周知,您必须使用安全密码。 默认情况下,WordPress 会生成强密码,即使您可以选择较弱的密码。 专家强烈建议不要选择弱密码。 为此,您可以使用一种流行的安全插件来强制使用强密码。 如果您有很多外部用户,这可能是使您的网站更安全的好方法。

限制您添加的用户数量

如果您允许其他用户登录您网站的后端,则必须谨慎行事。 当允许多个用户在您的站点上进行管理员访问时,该站点变得更容易受到攻击。 所以明智的做法是避免这种情况,除非非常必要。 如果您的站点允许用户生成内容,您可以根据您的具体要求创建用户角色并限制每个用户角色的功能。

详细了解 WordPress 用户角色以及如何自定义用户功能。

限制登录尝试

黑客采用的主要策略之一是暴力登录尝试。 为了成功,他们将不得不多次尝试登录您的网站。 通过限制登录尝试次数,您可以阻止此选项。 WordPress 生态系统中有一些工具可以帮助您限制网站上的登录尝试。 我们将在本文后面讨论一些您可以使用的流行安全选项。

禁用登录提示

您可以专注于使您的 WordPress 登录页面更安全的另一个方面是禁用 WordPress 提供的登录提示。 基本上,当您输入错误的密码或用户名时,WordPress 会清楚地指示哪个凭据错误。 例如,它会清楚地显示一个警告,显示哪个是正确的,什么是不正确的。 这将帮助攻击者知道他们猜对了用户名或密码。

您可以使用下面的代码片段来禁用这些登录提示。 只需将代码粘贴到主题的 functions.php 文件中即可。
function no_wordpress_errors(){
return 'You have entered the wrong credentials!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

这将显示一般错误消息,而不是帮助攻击者的特定消息。

自定义登录网址

在另一篇文章中,我们讨论了如何访问浏览器上的登录页面。 现在,这是访问登录页面的默认方法,这可能也是黑客看到的方式。 您可以隐藏登录页面,并使其不那么明显,以避免黑客甚至试图破坏您的安全墙。

有一些方法可以保护登录页面以及 wp-admin 目录,以使您的站点更加安全。 您可以使用 WPS 隐藏登录插件安全地更改 url 页面。 基本上它只是中断页面请求并帮助您显示自定义的登录网址。 只有您提供此 URL 的站点用户才能访问该页面。 您只需停用插件即可将站点恢复为默认登录页面。

WordPress登录页面
WPS 隐藏登录插件可以帮助您隐藏默认的 WordPress 登录页面并自定义一个新页面。

保护 WordPress 管理目录

您的 WordPress 网站基本上受到您使用的密码的保护。 据专家介绍,您可以通过密码保护 WordPress 管理目录来添加额外的保护选项。 您可以通过登录托管服务的 cPanel 手动执行此操作。 在这里,您将能够找到 wp-admin 目录,您可以对它进行密码保护并创建可以访问的用户。 您也可以通过创建 .htpasswds 文件手动执行此操作。

获取 SSL 证书

SSL 或安全套接字层为网站创建了一个额外的安全选项。 它加密服务器和浏览器之间的通信。 这将防止黑客访问信息,尤其是在线金融交易。 为您的网站拥有 SSL 证书将使 WordPress 登录页面也更加安全。 您可以从 Comodo 等第三方提供商处购买 SSL。 或者,您甚至可以从 Let's Encrypt 获得免费的 SSL 证书。 当您选择其中一种托管计划时,许多托管服务免费提供共享 SSL。

您可以在此处了解有关获得 SSL 证书的好处的更多信息。

两因素身份验证

当用户尝试登录您的站点时,两因素身份验证会添加另一个登录步骤。 基本上,当用户尝试登录时,连同用户名和密码,他们将不得不输入额外的验证码。 此验证码将被发送到另一台设备,该设备主要是手机。 只有在用户输入此验证码后,他们才会被允许访问您的网站。

Google Authenticator 在手机上创建两步验证码。 同样,reCAPTCHA 将有助于减少您网站上的垃圾邮件登录。

定期更新 WordPress

作为 WordPress 网站所有者,您可能已经看到 WordPress 软件的定期更新。 这就是 WordPress 引入新功能并进行安全更新和错误修复的方式。 将您的网站更新到最新版本的 WordPress 非常重要。 如果您不更新,您的网站仍然容易受到许多已经解决的威胁的影响。 此外,通过最新更新,您还将获得新功能。

如果您在站点上使用多个插件和自定义设置,请确保新更新不会破坏任何内容。 您可以制定更新计划以确保一切正常。 阅读我们的文章以了解如何毫无问题地管理 WordPress 更新。

使用安全插件

您可以采取许多具体的预防措施来保护您的 WordPress 登录页面。 但是,也有一些选项可以帮助您全面保护您的网站安全。 在 WordPress 生态系统中,您会发现众多解决网站安全多个方面的解决方案。 它们将帮助您进行持续的站点监控、恶意软件防护、提供防火墙等等,以加强您网站的防御。

让我们来看看一些可以帮助您保护 WordPress 网站的重要 WordPress 安全插件:

喷气背包

Jetpack 将通过持续监控、定期备份和针对任何不受欢迎的入侵者的可靠保护来确保保护您的站点。 以下是 Jetpack 的一些相关功能:

  • 有助于防止暴力攻击
  • 为您的 WordPress 登录页面提供安全身份验证。
  • 恶意软件扫描
  • 及时通知任何站点停机。
  • 备份保存在不同的位置和简单的恢复选项。
  • 使用准确的时间表报告所有站点活动。
  • 评论过滤器。

文字围栏

Wordfence 是另一种流行的解决方案,可为您的 WordPress 网站提供全方位保护。 您会发现许多有用的功能,如下所示:

  • Web 应用程序防火墙阻止恶意流量到您的站点。
  • 安全扫描程序,以检查任何违反企图。
  • 识别泄露的密码并阻止这些用户登录。
  • 监控实时流量并阻止感知到的威胁。
  • 两因素身份验证
  • 文件修复。

医疗保健

这是在不影响您的网站性能的情况下提供完整的 WordPress 安全性的可靠选项之一。 您将找到使用此插件即时删除恶意软件的选项。 其他一些需要注意的功能是:

  • 恶意软件扫描和删除
  • WordPress防火墙
  • WordPress登录页面保护。
  • 安全加固

希望这篇文章能让您对如何保护您的 WordPress 登录页面有一个基本的了解。 如果您有任何疑问或要分享的见解,请给我们留言。

您还可以观看下面的视频教程以获得更好的理解。

进一步阅读

  • WordPress安全插件
  • 常见的 WordPress 登录错误