WordPress 是用于发布网站和博客的最常用的内容管理器之一。 虽然它是一个非常可靠的平台,但许多用户因各种原因遭受攻击。
更糟糕的是,黑客经常以后端为目标,即 WordPress 管理面板。 这样做的原因当然是对站点的完全控制。 这就是为什么您应该特别关注 WP-Admin(WordPress 管理员)。
为了帮助您保护您的站点,这里有一些安全提示,它们可以非常有用地保持您的站点或博客没有漏洞,让您安心工作。
要检查您的连接有多好,以及您的 Vpn 是否真的在保护您的身份,您可以在此处使用 Anonymster 提供的这个免费工具。
创建自定义登录链接
很明显,要访问 WordPress 的管理面板,每个人都必须使用“/wp-login.php”输入站点的 URL。 现在,如果您在多个位置使用相同的密码,并且密码已被破解,那么有人很容易入侵您的网站。
一个名为 Stealth Login Page 的插件允许您为 WordPress 博客的登录、注销、管理和注册创建自定义 URL。
您还可以启用隐形模式,这将阻止用户直接访问“ wp-login.php ”。 然后,您可以将登录 url 设置为更神秘的内容。
这并不能保证您的网站完美无缺,但如果有人可以破解您的密码,他/她就很难找到登录名的真正位置。 这也可以防止任何用于恶意目的的机器人访问您的“ wp-login.php ”文件并试图破坏它。
选择强密码
这一步看似很明显,但可能还是不够强调。 不要在其他地方使用相同的密码。 尝试使每个密码不同且难以猜测。
使用 WordPress 强度检测器——“WordPress 密码强度检测器”——对您有利,并创建一个强密码。
您应该做的另一件事是定期更改您的密码,这样即使有人猜到了您的密码,一旦您更改了密码,他们将毫无用处。 强密码 请参阅创建强密码的优秀指南。
限制登录尝试
有时黑客可能认为他知道密码,或者他可以开发一个脚本来猜测密码,这是更糟糕的。 在这种情况下,您需要做的是限制您的登录尝试。
您可以使用名为限制登录尝试的插件轻松实现此目的,如果用户输入错误密码的次数超过插件中指定的次数,该插件将阻止用户。
它将被锁定一段时间也指定。 您可以通过 wp-admin 面板控制这些设置。
使用带有 SSL 的安全登录页面
SSL 登录页面 您可以通过 SSL 加密的通道登录 WordPress 管理面板,即您的会话 URL 将带有“https://”。 您必须与您的托管服务提供商确认您是否拥有共享 SSL ' Shared SSL ',或者您是否拥有自己的 SSL 证书。 一旦您确认将以下代码粘贴到您的“ wp-config.php ”文件中:
定义('FORCE_SSL_ADMIN',真);
还有一个名为 Admin SSL 的插件,它将在每个页面上强制使用 SSL。 如果你使用这个插件会更容易,但它只兼容 2.7 或更高版本。
使用密码保护 WP-Admin 目录
有两个密码没有错。 这只会为 WordPress 管理区域增加额外的安全级别。 这可以通过使用名为 AskApache Password Protect 的插件来完成。它会加密您的密码并创建“.htpasswd”文件,并设置正确的高级安全文件权限。
如果您使用的是 cPanel 托管(例如 Hostagor),您还可以使用 cPanel 目录中的密码保护来密码保护“ wp-admin ”目录。 询问 Apache Protect
通过 IP 地址限制访问
您可以限制对 Wp-Admin 的访问,并且只允许某些 IP 地址访问它。 您所要做的就是在“/wp-admin/”文件夹中创建一个 .htaccess 文件(如果还没有的话)。 粘贴以下代码:
AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName “WordPress 管理员访问控制”
AuthType 基本命令拒绝,允许
拒绝所有人
# 允许 Asllan IP
允许来自 xx.xx.xx.xxx
# 允许 Aline 的 IP
允许来自 xx.xx.xx.xxx
# 允许家庭 IP
允许来自 xx.xx.xx.xxx
# 允许工作IP
允许来自 xx.xx.xx.xxx设置可以访问的IP地址。 这个 hack 的缺点是,如果你想从其他地方访问管理面板,除非你在 .htaccess 文件中添加额外的 IP,否则你将无法做到这一点。 来源
切勿使用用户名“admin”
这是安装 WordPress 时创建的第一个用户。 您永远不应使用或维护此用户。 这是在入侵的主要原因。 您必须使用 WordPress 的管理面板创建另一个用户,并为其分配管理员角色。
尽量让这个用户名不那么明显,这样黑客就更难猜测了。 然后完全删除管理员用户以确保安全。
删除登录页面上的错误消息
默认错误消息,当您输入错误的密码或无效的用户名时,您会在登录页面上收到错误消息。 所以,如果黑客得到了某个东西,错误信息将帮助你识别这一点。
因此,建议您完全删除此错误消息。 打开位于主题文件夹中的functions.php文件并粘贴以下代码:
add_filter('login_errors', create_function('$a', 'return null;'));
一个名为 Secure WordPress 的插件也可以做到这一点,并且还有其他功能。 检查一下,看看你是否在乎。
在登录时使用加密密码
当您没有启用 SSL 时,此方法会派上用场。 允许您完成此工作的插件是名为 Semisecure Login Reimagined 的插件。
Semisecure Login Reimagined 通过使用 RSA 公钥在用户登录时对客户端的密码进行加密来提高登录过程的安全性。服务器对用私钥加密的密码进行解密。 启用加密需要 JavaScript。
WordPress 反病毒保护
WordPress 的 AntiVirus 插件是一种智能而有效的解决方案,可以保护您的博客免受攻击和垃圾邮件注入。 该插件的特殊功能是手动测试感染文件的即时结果和每日自动验证并通过电子邮件通知。
随时了解最新的 WordPress 版本
最后但并非最不重要的一点是与最新版本的 WordPress 保持同步,因为每个版本都是一个版本。
因此,WordPress 还在发行版中包含了以前版本的错误和漏洞,如果您不升级,这会使您的管理区域处于危险之中。
一次性密码
一次性密码插件允许您使用对单个会话有效的密码登录您的 WordPress 博客。 一次性密码可防止您的主要 WordPress 密码在不太受信任的环境(例如网吧和 PC)中被窃取,例如被键盘记录器窃取。
WordPress 防火墙插件
WordPress 防火墙插件检测、拦截和记录可疑的外观参数,并防止它们危害 WordPress。 它还可以保护大多数 WordPress 插件免受相同的攻击。
或者,它可以配置为第一个加载的插件,以实现最大的安全性。 您可以选择向您发送电子邮件,其中包含有关阻止潜在攻击等的有用信息。