如何保护您的 WordPress 登录页面(完整指南)

已发表: 2022-08-16

运行成功的 WordPress 网站的一个关键因素是实施监控和安全措施。 毕竟,被黑的网站会引起很多麻烦——无论您的网站是用于商业目的还是个人目的。 它可能会影响您的收入,冒着访问者信息的风险,并破坏您的声誉。

黑客的一个典型入口点是 WordPress 登录页面,这将是我们今天的重点。 以下是强化 WordPress 登录安全性的 14 种方法的概要,以便恶意行为者不会破坏您的网站。

为什么要保护您的 WordPress 登录页面?

在我们进入安全提示列表之前,让我们首先简要讨论一下为什么您可能希望首先保护您的 WordPress 登录页面——免受暴力攻击或其他方式的攻击。

  • WordPress 非常受欢迎,因此网络犯罪分子经常寻找可以在大量网站上利用的新漏洞。
  • 因为黑客熟悉 WordPress,所以他们知道网站何时过时以及每个版本中存在哪些安全漏洞。
  • 要通过登录页面获得访问权限,黑客并不总是需要高级开发知识或特殊技能。

保持安全的 WordPress 登录页面对于您网站的长期成功和整体性能至关重要。

如何加强您的 WordPress 登录安全性

所以你知道为什么你需要创建一个安全的 WordPress 登录,但是你怎么能做到呢? 我们收集了 14 种方法来正确保护您的 WordPress 登录页面,这样您就不必担心数据或客户信息的安全性。

1.安装WordPress安全插件

通过安装高质量的 WordPress 安全插件,您可以在几分钟内解决大多数安全问题。 虽然许多插件专门用于保护站点的特定方面或针对某些类型的攻击,但更全面的方法最适合普通站点。 一个多合一的安全插件将在一个解决方案中包含审计日志、恶意软件扫描、防火墙和登录安全工具等功能。

Jetpack Security 位于我们推荐列表的首位。

Jetpack 安全主页

Jetpack Security 通过自动处理大量安全任务来工作。 通过免费和付费功能,每个拥有 WordPress 网站的人都可以获得一定程度的保护。 它具有一系列强大的功能,可以防止安全漏洞,还可以帮助您诊断并从您遇到的任何事件中恢复。 这些包括:

  • 蛮力攻击保护
  • 垃圾邮件预防
  • 恶意软件扫描
  • 停机时间监控
  • 备份
  • 活动日志
  • 两因素身份验证

虽然您可以自行完成此处列出的其余步骤,但使用 Jetpack Security 之类的插件将简化登录强化过程。

2. 更改和隐藏您的 WordPress 登录 URL

使您的登录页面更安全的另一种方法是将其隐藏起来以防窥探。 默认情况下,所有 WordPress 网站的登录地址都是 http://www.yourwebsitename.com/wp-admin,这基本上就像给窃贼你的家庭住址一样。 因此,您可以做任何事情来掩盖这一点是个好主意。

更改 WordPress 登录 URL 是设置障碍以使黑客的工作更加困难的好方法。 您可以找到一个为您执行此操作的插件,但您也可以自己执行此操作。

为此,您需要通过 FTP 访问您的网站。 完成后,只需按照我们教程中的说明进行操作:WordPress 登录 URL:如何查找、更改和隐藏它。

3.使用强密码登录WordPress

您还可以通过升级到更强的密码来增强站点的安全性。 实施强密码措施可以大大降低黑客或机器人“猜测”它的可能性。 尽管“fluffy21”可能很容易记住,但它太容易猜到了——尤其是如果“Fluffy”是心爱的宠物的名字。

与其根据姓名、年龄或宠物来选择密码,不如创建一个结合了字母和数字、大写和小写字母以及几个符号的密码。 您可以通过以下几种方式构建强密码:

  • 内置强密码工具。 WordPress 有一个强大的密码工具,它鼓励您创建一个比您自然倾向于选择的密码更强大的密码。
  • 密码生成器。 许多密码生成器可以很容易地开发一个难以凭直觉猜测的强密码。
  • 密码管理员/管理员。 强密码的唯一问题是它们很难记住。 使用密码管理器或管理工具可消除此问题。 流行的选项包括 LastPass、DashLane 和 1Password。
LastPass 主页

4.密码保护您的登录页面

默认情况下,任何人都可以访问您的 WordPress 网站的登录页面。 虽然您可以隐藏或更改您的登录 URL,但正如我们之前讨论的那样,如果wp-admin文件夹仍然可以访问,黑客可能会找到它。

这就是为什么在访问登录页面之前添加另一层保护是一个好主意的原因。 您可以通过密码保护wp-admin文件夹来完成此操作。 如果您的网络主机使用 cPanel,此过程相对容易。

登录到您的托管服务提供商帐户,访问 cPanel,然后转到目录隐私文件夹。

查看站点文件时,导航到public_html/wp-admin 。 应该有一个可见的复选框,读取密码保护此目录。 选中该框。 然后创建一个新的用户名和密码来访问 wp-admin 文件夹。 保存您的更改。

尝试照常登录您的网站。 您现在应该必须输入另一组凭据才能获得登录 WordPress 的权限。

注意:即使您移动了登录页面的位置,此过程也是相同的。 密码保护登录页面所在的文件夹,即使它不是 wp-admin。

5.限制登录尝试次数

保护 WordPress 登录页面需要做的另一件事是限制登录尝试。 黑客可以使用机器人进行重复登录尝试,直到他们破解代码——即,找出您的密码并访问您的网站。 不幸的是,WordPress 默认允许无限制登录。

为了防止这种潜在的访问点,您可以限制登录尝试。 插件是完成此任务的最佳方式。 事实上,Jetpack Security 提供暴力攻击保护作为其一体化安全解决方案的一部分。

Jetpack 阻止的蛮力攻击次数

即使在黑客获得访问权限之前,蛮力攻击也会对您的网站功能造成难以置信的破坏。 例如,它们可能会大大降低您的网站速度 - 或使其完全停止响应。 重复的登录尝试最终可能会成功,然后黑客可以继续注入恶意软件、插入链接或以其他方式造成混乱。 这些攻击也可能使您的个人信息面临风险。

Jetpack Security 中包含的蛮力攻击保护功能提供了阻止攻击和防止恶意黑客访问您的数据所需的工具。 它的工作原理是在恶意 IP 到达您的站点之前阻止它们。 它还提供总攻击计数,并使您能够将已知 IP 地址列入白名单。

6. 在您的 WordPress 登录表单中添加安全问题

您还可以通过在登录过程中添加一个(或两个)安全问题来扩展登录表单的安全性。 因此,用户不仅要输入用户名和密码,还必须回答安全问题才能获得访问权限。

这一步使您的网站更难破解。 而且实施起来相对容易。

No-Bot Registration 插件是实现此目的的好方法。 前往Plugins → Add New 下载它,然后输入插件的名称。 一旦出现,下载并激活它。

无机器人注册插件

激活后,从 WordPress 仪表板转到设置。 在这里,您可以设置插件并配置使用安全问题的规则(在注册、登录或忘记密码页面上)。

这比验证码更加用户友好,因为它只需要回答一个简单且合乎逻辑的问题。

7.为WordPress添加双重身份验证

接下来,您可以启用双重身份验证。 许多网站和应用程序都使用这种流行的安全选项,包括 Gmail。 它的工作原理是向您的手机发送一个 SMS 代码,您需要在完成登录过程之前输入该代码。

这用于验证您的身份并确保仅向授权用户授予访问权限。 您添加到流程中的每一层身份验证都会使某人入侵您的网站变得更加困难。 即使不良行为者可以访问您的登录信息,他们也不太可能阻止 2FA 流程。

向 WordPress 添加双重身份验证的最简单方法是使用 2FA 插件。 几个安全插件包括此功能,但同样,Jetpack Security 具有强大的安全身份验证功能。

安全身份验证允许您使用标准 WordPress.com 凭据登录,还可以完全禁用或绕过默认登录表单。 此外,您可以选择将双重身份验证作为所有用户的要求,以进一步保护您的网站。

8. 在您的 WordPress 网站上安装 SSL 证书

另一种保护途径是安装 SSL 证书。 免费获得 SSL 证书很容易,因此这是一项任何人都不应跳过的安全措施。

SSL 是大多数网站保护其数据的方式。 您可以判断一个站点何时是安全的,因为 URL 字段中的“HTTP”将添加一个“S”,因此它显示为“HTTPS”。 浏览器通常会使用其他视觉指示,如绿色锁图标,让访问者知道您的网站有一个有效的 SSL 证书。

除了安全隐患之外,如果访问者发现您的网站不安全,他们可能不会继续浏览您的网站。 此外,具有 SSL 证书的网站往往在搜索引擎中排名更高,如果您没有 SSL 证书,某些浏览器甚至会向访问者显示警告。

不要跳过这一步。 了解如何获得免费的 SSL 证书。

9. 登录尝试失败后禁用 WordPress 登录提示

登录提示对真正的 WordPress 用户来说确实很有帮助,但它们有时会向黑客泄露有关您的用户名和密码的太多信息。 当您尝试登录 WordPress 站点并输入错误的用户名时,您会遇到如下错误:“用户名未在此站点上注册。 如果您不确定您的用户名,请尝试使用您的电子邮件地址。”

关于未注册用户名的错误消息

如果您输入了正确的用户名或电子邮件地址,但输入了错误的密码,就会发生类似的情况。

密码错误错误

要删除登录提示,您需要在站点的functions.php文件中添加几行代码。

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

当某人(无论是真人还是机器人)输入了错误的用户名或密码时,他们会收到“有错误”消息,而不是默认消息。

10. 让您的 WordPress 安装和插件保持最新

黑客还通过过时的安装找到进入 WordPress 网站的入口点。 每次更新 WordPress 时,所有已修复的错误修复和安全漏洞都会在线发布。 如果您的安装已过时,黑客有一本用于破坏您的网站的说明手册。

当新的 WordPress 核心更新推出时,您必须备份您的网站并尽快安装更新。

但这并不是您需要注意的全部。 第三方软件——即插件和主题——也是潜在的弱点。 由于插件和主题是由具有不同标准和方法的各种开发公司制作的,因此它们对于保持更新更为重要。

这也是为什么您必须选择安装的插件和主题的原因。 如果您的首选社交分享插件两年没有更新,那么可能是时候找到一个定期更新的插件了。

11.隐藏你的WordPress版本号

提高登录页面安全性的一种快速方法是隐藏 WordPress 版本号。 至少,这将使黑客更彻底地确定要利用的安全漏洞。 你可以很容易地删除它。

找到functions.php文件并(在您备份站点之后)将以下代码行添加到文件中:

 remove_action('wp_head', 'wp_generator');

12. 隐藏您的 WordPress 登录用户名

您可以采取的另一个步骤是隐藏您的 WordPress 登录用户名。 很多时候,重点是创建一个超级安全的密码——这很好——但你也需要考虑你的用户名。 通常,它对公众开放——黑客可以利用的机会。

隐藏您的用户名以免被窥探的最快方法是将其从博客文章和作者档案中删除。

要从博客文章中删除您的用户名,您只需在登录 WordPress 时转到用户 → 个人资料 → 昵称。 从这里,您可以更改昵称,以便站点访问者不再看到您的用户名。 因此,他们不会看到“blogperson02”,而是看到您的名字、名字和姓氏,或您配置的另一个昵称。

要从作者档案中删除您的用户名,您需要一个 SEO 插件,例如 Yoast SEO。

像任何其他插件一样安装 Yoast,然后转到 WordPress 仪表板中的SEO → 搜索外观 → 档案菜单。 这里有一个选项可以禁用作者档案。 执行此操作,然后单击Save Changes

使用 Yoast 禁用作者档案

13. 缩短您的 WordPress 自动注销计时器

当您经常使用帐户时,通常会保持登录状态。 但这可能会造成潜在的违规行为,特别是如果有几个人在您的网站上拥有帐户。 实现自动注销计时器是关闭这些安全漏洞的好方法。

当会话无人看管时,它将自动注销。 默认情况下,WordPress 将在 48 小时后注销用户。 选中“记住我”框可让用户在 14 天内保持登录状态。 您可以使用第三方插件稍微更改这些时间范围。 专用于此功能的是非活动注销。

安装后,导航至Settings → Inactive Logout → Basic Management 。 然后选择要触发注销的空闲时间。

14. 删除旧的和未使用的 WordPress 用户帐户

最后,删除不再使用的帐户也有助于提高 WordPress 的安全性。 在您的网站上拥有多个开放账户意味着每个账户都是私人数据的访问点。 而且,如果您不定期更新这些帐户的密码,它们可能会出现严重的弱点。

为避免这种情况,请删除旧的和未使用的帐户。 将此作为常规站点维护计划的一部分。

您还应该只向需要它们的用户提供权限。 并非每个用户都需要编辑或管理员权限。

同样,请留意列出的帐户。 有时,黑客会创建一个虚假帐户。 如果出现,请立即将其删除并加强其余的安全措施。 了解如果您的 WordPress 网站被黑客入侵该怎么办。

保护您的 WordPress 登录页面

拥有一个网站意味着对其内容和用户承担一定程度的责任。 当然,如果您收集客户信息,情况就更是如此。 但是,无论您如何使用 WordPress 网站,加强登录页面的安全性都是确保您的数据长期安全的好方法。

此处介绍的提示应该可以帮助您立即高效地进行 WordPress 安全维护。

准备好迈出第一步了吗? 开始使用 Jetpack 安全。