WordPress 登录安全的 5 条简单规则

已发表: 2022-07-12

成功的 WordPress 安全策略应包括加强 WordPress 登录的步骤。 在这篇文章中,我们介绍了五个简单的规则来提高 WordPress 登录安全性。

WordPress 的伟大之处在于它如何创建一个几乎任何人都可以访问的网站。 但伴随着可访问性而来的是可预测性。 任何有使用 WordPress 经验的人都知道网站的更改是在哪里进行的:通过 wp-admin 区域。 他们甚至知道他们需要去哪里访问 wp-admin,wp-login.php 页面。

默认情况下,每个 WordPress 站点的 WordPress 登录 URL 都是相同的,并且不需要任何特殊权限即可访问。 这就是为什么 WordPress 登录页面是任何 WordPress 网站中受攻击最多且可能易受攻击的部分。

不幸的是,创建一个漫游互联网并实施暴力攻击的机器人并不需要太多技能,任何初学者级别的黑客都可以创建一个。 由于对 WordPress 登录页面的攻击具有较低的进入门槛,因此 WordPress 登录安全性对于保护任何 WordPress 站点都至关重要。

通过遵循这些规则并使用 WordPress 安全最佳实践,您可以避免容易受到常见用户登录错误的影响。

1.使用强密码

互联网上有很多关于密码安全最佳实践的令人困惑和矛盾的信息。 为了消除这种困惑,让我们分解一下使用强密码如何提高 WordPress 安全性的基础知识。

每当创建密码时,您首先要考虑的是密码的长度。 下面的列表显示了使用四核 i5 处理器破解密码所需的估计时间。

  • 破解 7 个字符需要 0.29 毫秒。
  • 破解8个字符需要5个小时。
  • 9个字符需要5天才能破解。
  • 10个字符需要4个月才能破解
  • 11个字符需要10年才能破解
  • 12 个字符需要 2 个世纪才能破解。

如您所见,在密码中添加单个字符可以显着提高登录的安全性。

一个至少有 12 个字符长的随机密码,并且包含大量字符,例如“ ISt8XXa!28X3 ”,将使其非常难以破解。

不幸的是,一些黑客正在利用 GPU 和更强大的 CPU 来减少破解密码所需的时间。 因此,为了加强您的登录,还要注意您的密码熵。 密码熵越高,密码越难破解。

例如,仅根据长度要求,像“abcdefghijkl”这样的密码是 12 个字符,这很好,需要 200 年才能破解。 但是,由于密码使用连续的字母字符串,与具有随机字符的“rfybolaawtpm”之类的密码相比,它使密码更容易预测。

随机化字符会降低可预测性并增加密码的强度。 但是这两个密码都有一个共同点,最终会降低密码熵。 两者都只使用小写字母,将可能的字符池限制为 26 个。这就是为什么包含字母数字、大写字母和常见 ASCII 字符以将破解密码所需的字符池增加到 92 个至关重要的原因。

提示:使用 LastPass 等密码管理器轻松生成和安全存储密码。
提示:至少,您应该要求可以对 WordPress 进行编辑的用户使用强密码。 使用像 iThemes Security Pro 这样的 WordPress 安全插件来强制特权用户使用强密码将有助于提高 WordPress 登录安全性。

2. 为每个帐户使用唯一密码

在线安全的另一个最佳做法是为您拥有的每个帐户和网站登录使用唯一密码。 这非常重要,我们再说一遍:您应该为每个站点使用不同的密码。

为什么重用密码如此重要? 如果您对每个站点都使用相同的密码,并且其中一个站点遭到入侵,那么您现在在每个站点上的每个帐户都使用了已泄露的密码。 黑客可以使用与您的电子邮件地址或用户名配对的已泄露密码的数据转储来访问您的帐户。 最好不要冒险。

您拥有的重复使用密码的用户越多,您的 WordPress 登录安全性就越弱。

在 Cyber​​news 编制的列表中,2022 年最常见的密码是 123456。您网站的 WordPress 登录安全性仅与最薄弱的链接一样强,因此请积极应对强密码要求。

提示:保护 WordPress 免受密码泄露

您可以使用 iThemes Security Pro 等插件保护 WordPress 免受密码泄露。 iThemes Security Pro 利用 HaveIBeenPwned API 来检测密码是否出现在数据泄露中。

提示:鼓励用户经常更改密码

iThemes Security 的密码要求功能允许您强制所有用户在下次登录时更改密码。强制用户创建新密码,让每个人都可以使用强大且不妥协的密码重新开始,这将增加您的 WordPress 登录安全。

提示:使用密码管理器

最终,使用密码管理器可以帮助您跟踪您的登录名和唯一密码。 在密码管理器的帮助下,您不必记住密码。

3.限制登录尝试

默认情况下,WordPress 没有内置任何东西来限制某人可以进行的失败登录尝试次数。 攻击者可以尝试登录失败的次数没有限制,他们可以继续尝试无数次的用户名和密码,直到成功。

通过安装像 iThemes Security Pro 这样的 WordPress 安全插件来限制登录尝试失败的次数,从而提高您的 WordPress 登录安全性。 iThemes Security Pro WordPress蛮力保护功能使您能够设置在用户名或IP被锁定之前允许的失败登录尝试次数。 锁定将暂时禁用攻击者进行登录尝试的能力。 一旦攻击者被锁定 3 次,他们将被禁止访问该网站。 注意:在决定您希望登录尝试失败的规则有多严格时,请牢记您网站的实际用户。 如果您将锁定规则设置得过于严苛,您就会冒着无意中锁定真实用户的风险。

4. 限制每个请求的外部身份验证尝试

除了使用登录表单之外,还有其他方法可以登录 WordPress。 使用 XML-RPC,攻击者可以在单个 HTTP 请求中进行数百次用户名和密码尝试。 暴力放大方法允许攻击者在几个 HTTP 请求中使用 XML-RPC 进行数千次用户名和密码尝试。 当您知道攻击者可以使用数据库转储作为起点并对每个请求进行数千次猜测时,它就更加清楚了 WordPress 登录安全性的重要性。 使用 iThemes Security Pro 的 WordPress Tweaks 设置,您可以阻止每个 XML-RPC 请求的多次身份验证尝试。 将每个请求的用户名和密码尝试次数限制为一次将大大有助于保护您的 WordPress 登录。

此外,在开发 WordPress 登录安全计划时,请务必注意 WordPress Rest API 添加了其他方式来验证 WordPress 用户。 Cookie 身份验证是您登录时的一种身份验证方法 WordPress 会自动存储 cookie,以便插件和主题可以代表您执行功能。 Cookie 身份验证将受益于您添加到 wp-login.php 的保护。

5.使用双重身份验证

我最后保存了提高 WordPress 登录安全性的最佳方法:WordPress 双重身份验证。 双重身份验证需要额外的代码以及您的 WordPress 用户名和密码才能登录。

双重身份验证的方法有很多,但并非所有方法都是平等的。 如果可以,请避免使用 SMS 进行双重身份验证。 美国国家标准与技术研究院不再推荐使用 SMS 发送和接收验证码。

使用 WordPress 安全插件,如 iThemes Security Pro,您应该启用两因素的电子邮件或移动应用程序方法。

请注意,许多网站要求您使用电子邮件地址作为用户名。 如果攻击者入侵其中一个网站,下一步将尝试使用他们窃取的新电子邮件地址和密码登录电子邮件帐户。 如果您的一个用户或客户在每个站点上重复使用被泄露的密码,他们的电子邮件帐户以及他们的双因素电子邮件代码将被泄露。 双重因素的移动应用程序方法将最大程度地提高 WordPress 登录安全性。 登录所需的额外验证码将发送到用户的手机。 因此,即使攻击者可以访问 WordPress 和电子邮件凭据,他们仍然无法登录。

回顾:一个简单的 WordPress 登录安全清单

WordPress 登录安全应该是每个网站的重中之重。 既然您知道如何提高网站的登录安全性,您就可以利用这种有效的黑客预防策略了。

  • 1.使用强密码
  • 2. 为每个帐户使用唯一密码
  • 3.限制登录尝试
  • 4. 限制身份验证尝试
  • 5.使用双重身份验证

获得奖励内容:WordPress 安全指南
点击这里

保护和保护 WordPress 的最佳 WordPress 安全插件

WordPress 目前为超过 40% 的网站提供支持,因此它已成为恶意黑客的轻松目标。 iThemes Security Pro 插件消除了 WordPress 安全性的猜测,使保护您的 WordPress 网站变得容易。 这就像拥有一个全职的安全专家,他们不断地为您监控和保护您的 WordPress 网站。

获取 iThemes 安全专业版