想知道您是否应该担心 WordPress 登录安全?

WordPress 是世界上最受欢迎的 CMS,因为使用它构建网站非常容易。 虽然它是一个免费的 CMS,但需要付出代价。 WordPress 是非常可预测的,这有时使它成为一个容易的目标。

以登录页面为例。

每个 WordPress 网站都有相同的登录页面(/wp-admin.com 或 /wp-login.php)。 将可预测性与人类对使用弱凭据的偏好相结合,页面成为黑客的诱人目标。

安全专家表示,登录页面是网站上最容易受到攻击的页面。 每天,黑客都会部署机器人对该页面进行暴力攻击。 通过找出您的登录凭据,他们可以轻松访问您的 CMS。 因此,您必须竭尽全力保护它免受这些不速之客的侵害。

在本文中,我们将向您展示五种提高 WordPress 登录安全性和防止被黑客入侵的高级方法。

如何在 2021 年保护 WordPress 登录页面

在网络安全领域有很多糟糕的建议。 其中大部分旨在使人们陷入恐惧并让他们屈服于强迫性选择。 在本文中,我们将向您展示实际有效的方法,而不是增加噪音。 那些是:

您一定已经注意到,我们没有包括强制执行强密码和安装 SSL 证书。 那是因为它是给定的。 我们希望您已经在使用这些。 请参阅我们的其他指南,了解如何完成这项工作。

注意:要执行我们在下面提到的措施,您需要安装一两个插件。 我们知道即使是最好的插件也会导致故障。 因此,在继续进行之前,请备份您的网站。

现在,让我们开始:

1.修改登录页面地址

正如我们在文章开头所说,默认的 WordPress 登录页面如下所示:

  • www.website.com/wp-admin/
  • www.website.com/wp-login.php/

每个人都知道这一点,包括设计针对 WordPress 登录页面的机器人的黑客。 由于 59% 的美国人 [1] 使用弱密码,黑客入侵网站太容易了 暴力破解登录页面.

保护登录页面的一种方法是更改​​ URL。

创建新的自定义登录页面 URL 很容易。 有许多可用的插件让您只需点击几下即可完成。

我们将使用 WPS 隐藏登录插件来演示该过程,但如果您更喜欢任何其他插件,请继续。 这些步骤将同样简单快捷。

如何更改您的 WordPress 登录 URL

安装并激活 WPS 隐藏登录。设置 → WPS 隐藏登录.

在页面底部向下滚动,在 登录网址 部分,然后点击 保存更改.

wps 隐藏登录设置 - WordPress 登录安全

尝试使用新 URL 登录。 不要忘记与您的队友分享。

👉 如果您需要帮助,这里是我们的专用指南:如何更改您的 WordPress 登录页面 URL。

2.实现两步验证

您在使用 Facebook 和 Gmail 时一定遇到过双因素身份验证。 每当您尝试登录帐户时,这些服务通常会向您注册的手机号码发送一个唯一代码。 实施此安全措施是为了确保只有帐户的所有者才能访问它。 即使黑客可以获取您的凭据,他们也无法窃取发送到您注册手机号码的唯一代码。

双因素身份验证也可以应用于您的 WordPress 网站。 它将为登录页面添加一层安全性。 您需要做的就是安装以下任何插件:

设置两因素身份验证插件非常简单。 我们将使用 miniOrange 的 Google 身份验证器向您展示设置过程。

如何实现两因素身份验证

在您的 WordPress 登录页面上安装 miniOrange 的 Google 身份验证器。 一旦您激活插件,就会出现一个设置小部件。 选择第一个选项,即 谷歌身份验证器.

迷你设置

接下来,在您的智能手机上下载 Google Authenticator 应用程序。 打开应用程序并 扫描二维码.

2fa 谷歌验证器

该应用程序生成一个 代码. 在设置小部件上输入它并点击 节省.

2FA WordPress 登录安全性现在在您的登录页面上处于活动状态。

WordPress 登录安全 2 因素身份验证

3. 限制失败的登录尝试

WordPress 允许其用户无限次登录尝试。 这听起来可能无害,但老实说,这是一个明显的安全漏洞。

无限制的登录尝试使黑客能够进行暴力攻击。 在这种类型的攻击中,黑客会部署机器人来寻找正确的用户名和密码组合。 在找到正确的凭据之前,机器人会失败几次。 对抗机器人攻击的最有效方法之一是限制登录尝试。

下面的插件将帮助您做到这一点:

如何限制失败的登录尝试

安装插件,然后去 限制登录尝试 → 设置 → 本地应用程序. 您可以在此处设置允许在您的网站上尝试登录的次数。 以及在上述登录尝试次数后,某人将保持锁定状态的时间。

限制登录尝试插件 - WordPress 登录安全

4. 防止用户名被发现

通常,用户名被认为不如密码重要。 这是一个公开可用的记录,这就是为什么我们假设它的价值一定很低。 不对。

用户名占您凭据的一半。 它必须受到保护,就像密码一样。

在 WordPress 网站上,您会发现帖子和作者档案中显示的用户名。 值得庆幸的是,有一种方法可以同时禁用它们。

如何禁用作者档案

这可以在任何 SEO 插件的帮助下完成。 在下面的教程中,我们使用 Yoast SEO 来展示它。

SEO → 搜索外观 → 档案 然后禁用作者档案。 打 保存更改.

yoast作者档案

如何更改显示名称

显示名称显示在已发表的文章和评论中。 默认情况下,显示名称和用户名(您用于登录的用户名)是相同的。 为防止用户名被发现,您可以将显示名称更改为其他名称。

用户名和显示名称

用户 → 个人资料 → 昵称. 您不能直接更改显示名称。 相反,更改昵称。 然后选择 新昵称 从下面的下拉菜单中。

显示名称下拉

5. 自动退出

自动注销可保护网站免受窥探者的侵害。 当用户离开会话无人看管时,自动注销会结束会话,保护网站。

默认的 WordPress 行为是在登录会话 cookie 过期后 48 小时注销用户。 如果用户选中“记住我”框,您将保持登录状态 14 天。 由于有点空闲时间而终止会话,您需要安装一个单独的插件。

以下插件可帮助您自动注销以结束空闲用户会话:

如何启用自动注销

激活插件,然后转到 设置 → 非活动注销 → 基本管理. 设置空闲超时的时钟。 还有基于角色的超时选项。 喜欢的话就看看吧。

非活动用户注销设置

关于 WordPress 登录安全性的结论

搞定? 伟大的! 在您离开此页面之前,最后一条建议是:提高 WordPress 登录安全性使您离保护整个网站更近了一步,这是最终目标!

即使您采取了措施来防止黑客强行进入您的网站,入侵者仍然可以通过易受攻击的主题和插件获得访问权限。 因此,请让您的网站全天候更新。

为了进一步保护您的网站,我们强烈建议您采取本指南中涵盖的所有安全措施:10 个关键的 WordPress 安全提示。

如果您对如何处理 WordPress 登录安全有任何疑问,请在下面的评论中告诉我们。

免费指南

加快速度的 5 个基本技巧
您的 WordPress 网站

将您的加载时间甚至减少 50-80%
只需遵循简单的提示。