WordPress 登录安全：保护登录页面的 5 个简单步骤

想知道您是否应该担心 WordPress 登录安全性？

WordPress 是世界上最受欢迎的 CMS，因为使用它构建网站非常容易。 尽管它是免费的 CMS，但还是要付出代价的。 WordPress 是非常可预测的，这有时使它成为一个容易的目标。

以登录页面为例。

每个 WordPress 网站都有相同的登录页面（/wp-admin.com 或 /wp-login.php）。 将可预测性与人类使用弱凭据的偏好结合起来，该页面成为黑客的诱人目标。

安全专家表示，登录页面是网站上最容易受到攻击的页面。 每天，黑客都会部署机器人对该页面进行暴力攻击。 通过找出您的登录凭据，他们可以轻松访问您的 CMS。 因此，您必须竭尽全力保护它免受这些不速之客的侵害。

在本文中，我们将向您展示五种高级方法来提高 WordPress 登录安全性并防止被黑客入侵。

如何在 2022 年保护 WordPress 登录页面

在网络安全领域有很多糟糕的建议。 其中大部分旨在使人们陷入恐惧并让他们屈服于强迫性选择。 在本文中，我们将向您展示实际有效的方法，而不是增加噪音。 那些是：

您一定已经注意到我们没有包含强密码的强制执行和 SSL 证书的安装。 那是因为它是给定的。 我们希望您已经在使用这些。 请参阅我们的其他指南，了解如何完成这项工作。

注意：要执行我们下面提到的措施，您需要安装一个或两个插件。 而且我们知道即使是最好的插件也会导致故障。 因此，在继续之前备份您的网站。

现在，让我们开始吧：

1.更改登录页面URL

正如我们在文章开头所说，默认的 WordPress 登录页面如下所示：

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

每个人都知道这一点，包括设计针对 WordPress 登录页面的机器人的黑客。 而且由于 59% 的美国人[1]使用弱密码，因此通过暴力破解登录页面来破解网站太容易了。

保护登录页面的一种方法是更改​​ URL。

创建新的自定义登录页面 URL 很容易。 有许多可用的插件可让您单击几下即可完成此操作。

我们将使用 WPS 隐藏登录插件来演示该过程，但如果您更喜欢其他任何插件，请继续。 这些步骤将同样简单快捷。

如何更改您的 WordPress 登录 URL

安装并激活WPS 隐藏登录。 转到设置 → WPS 隐藏登录。

在页面底部向下滚动，在Login URL部分插入新 URL，然后点击Save Changes 。

尝试使用新 URL 登录。 不要忘记与您的队友分享。

如果您需要帮助，这里是我们的专用指南：如何更改您的 WordPress 登录页面 URL。

2.实施双因素认证

您在使用 Facebook 和 Gmail 时一定遇到过双重身份验证。 每当您尝试登录帐户时，这些服务通常会向您注册的手机号码发送一个唯一代码。 实施此安全措施是为了确保只有帐户所有者才能访问它。 即使黑客可以获取您的凭据，他们也无法窃取发送到您注册手机号码的唯一代码。

双重身份验证也可以应用于您的 WordPress 网站。 它将为登录页面增加一层安全性。 您需要做的就是安装以下任何插件：

• miniOrange 的 Google 身份验证器
• Google 身份验证器 - 两因素身份验证 (2FA)
• WP White Security 的 WP 2FA

设置两因素身份验证插件非常容易。 我们将使用 miniOrange 的 Google Authenticator 向您展示设置过程。

如何实现双因素身份验证

在您的 WordPress 登录页面上安装 miniOrange 的 Google Authenticator。 一旦您激活插件，就会出现一个设置小部件。 选择第一个选项，即Google Authenticator 。

接下来，在您的智能手机上下载 Google Authenticator 应用程序。 打开应用程序并扫描二维码。

该应用程序生成一个代码。 在设置小部件中输入它并点击Save 。

2FA WordPress 登录安全性现在在您的登录页面上处于活动状态。

3.限制失败的登录尝试

WordPress 允许其用户无限制的登录尝试。 这听起来可能无害，但老实说，这是一个明显的安全漏洞。

无限的登录尝试使黑客能够进行暴力攻击。 在这种类型的攻击中，黑客部署机器人来找到用户名和密码的正确组合。 在获得正确的凭据之前，机器人会失败几次。 对抗机器人攻击的最有效方法之一是限制登录尝试。

下面的插件将帮助您做到这一点：

• 限制重新加载的登录尝试
• WPS限制登录
• WP 限制登录尝试由 Arshid

如何限制失败的登录尝试

安装插件，然后转到限制登录尝试 → 设置 → 本地应用程序。 在这里，您可以设置在您的网站上应允许多少次登录尝试。 以及在上述次数的登录尝试后，某人将被锁定多长时间。

4.防止发现用户名

通常，用户名被认为不如密码重要。 这是一个公开的记录，这就是为什么我们认为它一定是低价值的。 不对。

用户名占您凭据的一半。 它必须受到保护，就像密码一样。

在 WordPress 网站上，您会发现帖子和作者档案中显示的用户名。 值得庆幸的是，有一种方法可以同时禁用它们。

如何禁用作者档案

这可以在任何 SEO 插件的帮助下完成。 在下面的教程中，我们使用 Yoast SEO 来展示它。

转到SEO → 搜索外观 → 档案，然后禁用作者档案。 点击保存更改。

如何更改显示名称

显示名称显示在已发表的文章和评论上。 默认情况下，显示名称和用户名（用于登录的用户名）是相同的。 为防止用户名被发现，您可以将显示名称更改为其他名称。

转到用户 → 个人资料 → 昵称。 您不能直接更改显示名称。 相反，更改昵称。 然后从下面的下拉菜单中选择新昵称。

5. 自动登出

自动注销可保护网站免受窥探。 当用户离开会话无人看管时，自动注销会结束会话，从而保护网站。

默认的 WordPress 行为是在登录会话 cookie 过期 48 小时后注销用户。 如果用户选中“记住我”框，您将保持登录状态 14 天。 由于一些空闲时间而终止会话，您需要安装一个单独的插件。

以下插件可帮助您自动注销以结束空闲用户会话：

• 非活动注销
• iThemes 安全

如何启用自动注销

激活插件，然后转到Settings → Inactive Logout → Basic Management 。 设置空闲超时的时钟。 还有基于角色的超时选项。 如果您喜欢，请查看。

关于 WordPress 登录安全性的结论

即使您实施了防止黑客暴力破解您的网站的措施，入侵者仍然可以通过易受攻击的主题和插件获得访问权限。 因此，请让您的网站全天候更新。

为了进一步保护您的网站，我们强烈建议您采取本指南中涵盖的所有安全措施：10 个关键 WordPress 安全提示。

如果您对如何处理 WordPress 登录安全性有任何疑问，请在下面的评论中告诉我们。