如何保護 WordPress 登錄頁面? (帶視頻)

已發表: 2019-11-14
WordPress login page

最後更新 - 2021 年 7 月 8 日

網站安全是 WordPress 網站所有者的常見問題之一。 即使 WordPress 是一個安全的平台,網站也經常受到大量黑客攻擊。 一般來說,WordPress專家建議使用安全解決方案要小心。 值得慶幸的是,WordPress 生態系統中有多種安全解決方案可幫助您保護您的網站。 而且,您可以採用多種策略來保護您的網站免受惡意軟件和攻擊者的侵害。 最好遵循這些做法,以確保您的網站不易受到攻擊。 在本文中,我們將討論一些保護您的 WordPress 登錄頁面的策略。

使用安全的用戶名和密碼

您需要為您的 WordPress 網站設置一個安全的用戶名和密碼。 這將幫助您保護您的網站免受暴力攻擊。 蠻力攻擊是黑客試圖通過無情地嘗試不同的用戶名和密碼組合來破壞您的站點登錄的情況。 在這種情況下,擁有不同於默認“admin”用戶名的用戶名尤為重要。 如果您將 admin 作為您的用戶名,黑客就不必費心猜測您的用戶名。 您可以採取的保護 WordPress 登錄頁面的第一步是將用戶名從 admin 更改為其他名稱。

WordPress登錄頁面
確保安全的 WordPress 登錄頁面的第一步是使用強用戶名和密碼。

現在,眾所周知,您必須使用安全密碼。 默認情況下,WordPress 會生成強密碼,即使您可以選擇較弱的密碼。 專家強烈建議不要選擇弱密碼。 為此,您可以使用一種流行的安全插件來強制使用強密碼。 如果您有很多外部用戶,這可能是使您的網站更安全的好方法。

限制您添加的用戶數量

如果您允許其他用戶登錄您網站的後端,則必須謹慎行事。 當允許多個用戶在您的站點上進行管理員訪問時,該站點變得更容易受到攻擊。 所以明智的做法是避免這種情況,除非非常必要。 如果您的站點允許用戶生成內容,您可以根據您的具體要求創建用戶角色並限制每個用戶角色的功能。

詳細了解 WordPress 用戶角色以及如何自定義用戶功能。

限制登錄嘗試

黑客採用的主要策略之一是暴力登錄嘗試。 為了成功,他們將不得不多次嘗試登錄您的網​​站。 通過限制登錄嘗試次數,您可以阻止此選項。 WordPress 生態系統中有一些工具可以幫助您限製網站上的登錄嘗試。 我們將在本文後面討論一些您可以使用的流行安全選項。

禁用登錄提示

您可以專注於使您的 WordPress 登錄頁面更安全的另一個方面是禁用 WordPress 提供的登錄提示。 基本上,當您輸入錯誤的密碼或用戶名時,WordPress 會清楚地指示哪個憑據錯誤。 例如,它會清楚地顯示一個警告,顯示哪個是正確的,什麼是不正確的。 這將幫助攻擊者知道他們猜對了用戶名或密碼。

您可以使用下面的代碼片段來禁用這些登錄提示。 只需將代碼粘貼到主題的 functions.php 文件中即可。
function no_wordpress_errors(){
return 'You have entered the wrong credentials!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

這將顯示一般錯誤消息,而不是幫助攻擊者的特定消息。

自定義登錄網址

在另一篇文章中,我們討論瞭如何訪問瀏覽器上的登錄頁面。 現在,這是訪問登錄頁面的默認方法,這可能也是黑客看到的方式。 您可以隱藏登錄頁面,並使其不那麼明顯,以避免黑客甚至試圖破壞您的安全牆。

有一些方法可以保護登錄頁面以及 wp-admin 目錄,以使您的站點更加安全。 您可以使用 WPS 隱藏登錄插件安全地更改 url 頁面。 基本上它只是中斷頁面請求並幫助您顯示自定義的登錄網址。 只有您提供此 URL 的站點用戶才能訪問該頁面。 您只需停用插件即可將站點恢復為默認登錄頁面。

WordPress登錄頁面
WPS 隱藏登錄插件可以幫助您隱藏默認的 WordPress 登錄頁面並自定義一個新頁面。

保護 WordPress 管理目錄

您的 WordPress 網站基本上受到您使用的密碼的保護。 據專家介紹,您可以通過密碼保護 WordPress 管理目錄來添加額外的保護選項。 您可以通過登錄託管服務的 cPanel 手動執行此操作。 在這裡,您將能夠找到 wp-admin 目錄,您可以對它進行密碼保護並創建可以訪問的用戶。 您也可以通過創建 .htpasswds 文件手動執行此操作。

獲取 SSL 證書

SSL 或安全套接字層為網站創建了一個額外的安全選項。 它加密服務器和瀏覽器之間的通信。 這將防止黑客訪問信息,尤其是在線金融交易。 為您的網站擁有 SSL 證書將使 WordPress 登錄頁面也更加安全。 您可以從 Comodo 等第三方提供商處購買 SSL。 或者,您甚至可以從 Let's Encrypt 獲得免費的 SSL 證書。 當您選擇其中一種託管計劃時,許多託管服務免費提供共享 SSL。

您可以在此處了解有關獲得 SSL 證書的好處的更多信息。

兩因素身份驗證

當用戶嘗試登錄您的站點時,兩因素身份驗證會添加另一個登錄步驟。 基本上,當用戶嘗試登錄時,連同用戶名和密碼,他們將不得不輸入額外的驗證碼。 此驗證碼將被發送到另一台設備,該設備主要是手機。 只有在用戶輸入此驗證碼後,他們才會被允許訪問您的網站。

Google Authenticator 在手機上創建兩步驗證碼。 同樣,reCAPTCHA 將有助於減少您網站上的垃圾郵件登錄。

定期更新 WordPress

作為 WordPress 網站所有者,您可能已經看到 WordPress 軟件的定期更新。 這就是 WordPress 引入新功能並進行安全更新和錯誤修復的方式。 將您的網站更新到最新版本的 WordPress 非常重要。 如果您不更新,您的網站仍然容易受到許多已經解決的威脅的攻擊。 此外,通過最新更新,您還將獲得新功能。

如果您在站點上使用多個插件和自定義設置,請確保新更新不會破壞任何內容。 您可以製定更新計劃以確保一切正常。 閱讀我們的文章以了解如何毫無問題地管理 WordPress 更新。

使用安全插件

您可以採取許多具體的預防措施來保護您的 WordPress 登錄頁面。 但是,也有一些選項可以幫助您全面保護您的網站安全。 在 WordPress 生態系統中,您會發現眾多解決網站安全多個方面的解決方案。 它們將幫助您進行持續的站點監控、惡意軟件防護、提供防火牆等等,以加強您網站的防禦。

讓我們來看看一些可以幫助您保護 WordPress 網站的重要 WordPress 安全插件:

噴氣背包

Jetpack 將通過持續監控、定期備份和針對任何不受歡迎的入侵者的可靠保護來確保保護您的站點。 以下是 Jetpack 的一些相關功能:

  • 有助於防止暴力攻擊
  • 為您的 WordPress 登錄頁面提供安全身份驗證。
  • 惡意軟件掃描
  • 及時通知任何站點停機。
  • 備份保存在不同的位置和簡單的恢復選項。
  • 使用準確的時間表報告所有站點活動。
  • 評論過濾器。

文字圍欄

Wordfence 是另一種流行的解決方案,可為您的 WordPress 網站提供全方位保護。 您會發現許多有用的功能,如下所示:

  • Web 應用程序防火牆阻止惡意流量到您的站點。
  • 安全掃描程序,以檢查任何違反企圖。
  • 識別洩露的密碼並阻止這些用戶登錄。
  • 監控實時流量並阻止感知到的威脅。
  • 兩因素身份驗證
  • 文件修復。

醫療保健

這是在不影響您的網站性能的情況下提供完整的 WordPress 安全性的可靠選項之一。 您將找到使用此插件即時刪除惡意軟件的選項。 其他一些需要注意的功能是:

  • 惡意軟件掃描和刪除
  • WordPress防火牆
  • WordPress登錄頁面保護。
  • 安全加固

希望這篇文章能讓您對如何保護您的 WordPress 登錄頁面有一個基本的了解。 如果您有任何疑問或要分享的見解,請給我們留言。

您還可以觀看下面的視頻教程以獲得更好的理解。

進一步閱讀

  • WordPress安全插件
  • 常見的 WordPress 登錄錯誤