如何保護您的 WordPress 登錄頁面（完整指南）

運行成功的 WordPress 網站的一個關鍵因素是實施監控和安全措施。 畢竟，被黑的網站會引起很多麻煩——無論您的網站是用於商業目的還是個人目的。 它可能會影響您的收入，冒著訪問者信息的風險，並破壞您的聲譽。

黑客的一個典型入口點是 WordPress 登錄頁面，這將是我們今天的重點。 以下是強化 WordPress 登錄安全性的 14 種方法的概要，以便惡意行為者不會破壞您的網站。

為什麼要保護您的 WordPress 登錄頁面？

在我們進入安全提示列表之前，讓我們首先簡要討論一下為什麼您可能希望首先保護您的 WordPress 登錄頁面——免受暴力攻擊或其他攻擊。

• WordPress 非常受歡迎，因此網絡犯罪分子經常尋找可以在大量網站上利用的新漏洞。
• 因為黑客熟悉 WordPress，所以他們知道網站何時過時以及每個版本中存在哪些安全漏洞。
• 要通過登錄頁面獲得訪問權限，黑客並不總是需要高級開發知識或特殊技能。

保持安全的 WordPress 登錄頁面對於您網站的長期成功和整體性能至關重要。

如何加強您的 WordPress 登錄安全性

所以你知道為什麼你需要創建一個安全的 WordPress 登錄，但是你怎麼能做到呢？ 我們收集了 14 種方法來正確保護您的 WordPress 登錄頁面，這樣您就不必擔心數據或客戶信息的安全性。

1.安裝WordPress安全插件

通過安裝高質量的 WordPress 安全插件，您可以在幾分鐘內解決大多數安全問題。 雖然許多插件專門用於保護站點的特定方面或針對某些類型的攻擊，但更全面的方法最適合普通站點。 一個多合一的安全插件將在一個解決方案中包含審計日誌、惡意軟件掃描、防火牆和登錄安全工具等功能。

Jetpack Security 位於我們推薦列表的首位。

Jetpack Security 通過自動處理大量安全任務來工作。 通過免費和付費功能，每個擁有 WordPress 網站的人都可以獲得一定程度的保護。 它具有一系列強大的功能，可以防止安全漏洞，還可以幫助您診斷並從您遇到的任何事件中恢復。 這些包括：

• 蠻力攻擊保護
• 垃圾郵件預防
• 惡意軟件掃描
• 停機時間監控
• 備份
• 活動日誌
• 兩因素身份驗證

雖然您可以自行完成此處列出的其餘步驟，但使用 Jetpack Security 之類的插件將簡化登錄強化過程。

2. 更改和隱藏您的 WordPress 登錄 URL

使您的登錄頁面更安全的另一種方法是將其隱藏起來以防窺探。 默認情況下，所有 WordPress 網站的登錄地址都是 http://www.yourwebsitename.com/wp-admin，這基本上就像給竊賊你的家庭住址一樣。 因此，您可以做任何事情來掩蓋這一點是個好主意。

更改 WordPress 登錄 URL 是設置障礙以使黑客的工作更加困難的好方法。 您可以找到一個為您執行此操作的插件，但您也可以自己執行此操作。

為此，您需要通過 FTP 訪問您的網站。 完成後，只需按照我們教程中的說明進行操作：WordPress 登錄 URL：如何查找、更改和隱藏它。

3.使用強密碼登錄WordPress

您還可以通過升級到更強的密碼來增強站點的安全性。 實施強密碼措施可以大大降低黑客或機器人“猜測”它的可能性。 儘管“fluffy21”可能很容易記住，但它太容易猜到了——尤其是如果“Fluffy”是心愛的寵物的名字。

與其根據姓名、年齡或寵物來選擇密碼，不如創建一個結合了字母和數字、大寫和小寫字母以及幾個符號的密碼。 您可以通過以下幾種方式構建強密碼：

• 內置強密碼工具。 WordPress 有一個強大的密碼工具，它鼓勵您創建一個比您自然傾向於選擇的密碼更強大的密碼。
• 密碼生成器。 許多密碼生成器可以很容易地開發一個難以憑直覺猜測的強密碼。
• 密碼管理員/管理員。 強密碼的唯一問題是它們很難記住。 使用密碼管理器或管理工具可消除此問題。 流行的選項包括 LastPass、DashLane 和 1Password。
  

4.密碼保護您的登錄頁面

默認情況下，任何人都可以訪問您的 WordPress 網站的登錄頁面。 雖然您可以隱藏或更改您的登錄 URL，但正如我們之前討論的那樣，如果wp-admin文件夾仍然可以訪問，黑客可能會找到它。

這就是為什麼在訪問登錄頁面之前添加另一層保護是一個好主意的原因。 您可以通過密碼保護wp-admin文件夾來完成此操作。 如果您的網絡主機使用 cPanel，此過程相對容易。

登錄到您的託管服務提供商帳戶，訪問 cPanel，然後轉到目錄隱私文件夾。

查看站點文件時，導航到public_html/wp-admin 。 應該有一個可見的複選框，讀取密碼保護此目錄。 選中該框。 然後創建一個新的用戶名和密碼來訪問 wp-admin 文件夾。 保存您的更改。

嘗試照常登錄您的網​​站。 您現在應該必須輸入另一組憑據才能獲得登錄 WordPress 的權限。

注意：即使您移動了登錄頁面的位置，此過程也是相同的。 密碼保護登錄頁面所在的文件夾，即使它不是 wp-admin。

5.限制登錄嘗試次數

保護 WordPress 登錄頁面需要做的另一件事是限制登錄嘗試。 黑客可以使用機器人進行重複登錄嘗試，直到他們破解代碼——即，找出您的密碼並訪問您的網站。 不幸的是，WordPress 默認允許無限制登錄。

為了防止這種潛在的訪問點，您可以限制登錄嘗試。 插件是完成此任務的最佳方式。 事實上，Jetpack Security 提供暴力攻擊保護作為其一體化安全解決方案的一部分。

即使在黑客獲得訪問權限之前，蠻力攻擊也會對您的網站功能造成難以置信的破壞。 例如，它們可能會大大降低您的網站速度 - 或使其完全停止響應。 重複的登錄嘗試最終可能會成功，然後黑客可以繼續注入惡意軟件、插入鏈接或以其他方式造成混亂。 這些攻擊也可能使您的個人信息面臨風險。

Jetpack Security 中包含的蠻力攻擊保護功能提供了阻止攻擊和防止惡意黑客訪問您的數據所需的工具。 它的工作原理是在惡意 IP 到達您的站點之前阻止它們。 它還提供總攻擊計數，並使您能夠將已知 IP 地址列入白名單。

6. 在您的 WordPress 登錄表單中添加安全問題

您還可以通過在登錄過程中添加一個（或兩個）安全問題來擴展登錄表單的安全性。 因此，用戶不僅要輸入用戶名和密碼，還必須回答安全問題才能獲得訪問權限。

這一步使您的網站更難破解。 而且實施起來相對容易。

No-Bot Registration 插件是實現此目的的好方法。 前往Plugins → Add New 下載它，然後輸入插件的名稱。 一旦出現，下載並激活它。

激活後，從 WordPress 儀表板轉到設置。 在這裡，您可以設置插件並配置使用安全問題的規則（在註冊、登錄或忘記密碼頁面上）。

這比驗證碼更加用戶友好，因為它只需要回答一個簡單且合乎邏輯的問題。

7.為WordPress添加雙重身份驗證

接下來，您可以啟用雙重身份驗證。 許多網站和應用程序都使用這種流行的安全選項，包括 Gmail。 它的工作原理是向您的手機發送一個 SMS 代碼，您需要在完成登錄過程之前輸入該代碼。

這用於驗證您的身份並確保僅向授權用戶授予訪問權限。 您添加到流程中的每一層身份驗證都會使某人入侵您的網站變得更加困難。 即使不良行為者可以訪問您的登錄信息，他們也不太可能阻止 2FA 流程。

向 WordPress 添加雙重身份驗證的最簡單方法是使用 2FA 插件。 幾個安全插件包括此功能，但同樣，Jetpack Security 具有強大的安全身份驗證功能。

安全身份驗證允許您使用標準 WordPress.com 憑據登錄，還可以完全禁用或繞過默認登錄表單。 此外，您可以選擇將雙重身份驗證作為所有用戶的要求，以進一步保護您的網站。

8. 在您的 WordPress 網站上安裝 SSL 證書

另一種保護途徑是安裝 SSL 證書。 免費獲得 SSL 證書很容易，因此這是一項任何人都不應跳過的安全措施。

SSL 是大多數網站保護其數據的方式。 您可以判斷一個站點何時是安全的，因為 URL 字段中的“HTTP”將添加一個“S”，因此它顯示為“HTTPS”。 瀏覽器通常會使用其他視覺指示，如綠色鎖圖標，讓訪問者知道您的網站有一個有效的 SSL 證書。

除了安全隱患之外，如果訪問者發現您的網站不安全，他們可能不會繼續瀏覽您的網站。 此外，具有 SSL 證書的網站往往在搜索引擎中排名更高，如果您沒有 SSL 證書，某些瀏覽器甚至會向訪問者顯示警告。

不要跳過這一步。 了解如何獲得免費的 SSL 證書。

9. 登錄嘗試失敗後禁用 WordPress 登錄提示

登錄提示對真正的 WordPress 用戶來說確實很有幫助，但它們有時會向黑客洩露有關您的用戶名和密碼的太多信息。 當您嘗試登錄 WordPress 站點並輸入錯誤的用戶名時，您會遇到如下錯誤：“用戶名未在此站點上註冊。 如果您不確定您的用戶名，請嘗試使用您的電子郵件地址。”

如果您輸入了正確的用戶名或電子郵件地址，但輸入了錯誤的密碼，就會發生類似的情況。

要刪除登錄提示，您需要在站點的functions.php文件中添加幾行代碼。

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

當某人（無論是真人還是機器人）輸入了錯誤的用戶名或密碼時，他們會收到“有錯誤”消息，而不是默認消息。

10. 讓您的 WordPress 安裝和插件保持最新

黑客還通過過時的安裝找到進入 WordPress 網站的入口點。 每次更新 WordPress 時，所有已修復的錯誤修復和安全漏洞都會在線發布。 如果您的安裝已過時，黑客有一本用於破壞您的網站的說明手冊。

當新的 WordPress 核心更新推出時，您必須備份您的網站並儘快安裝更新。

但這並不是您需要注意的全部。 第三方軟件——即插件和主題——也是潛在的弱點。 由於插件和主題是由具有不同標準和方法的各種開發公司製作的，因此它們對於保持更新更為重要。

這也是為什麼您必須選擇安裝的插件和主題的原因。 如果您的首選社交分享插件兩年沒有更新，那麼可能是時候找到一個定期更新的插件了。

11.隱藏你的WordPress版本號

提高登錄頁面安全性的一種快速方法是隱藏 WordPress 版本號。 至少，這將使黑客更徹底地確定要利用的安全漏洞。 你可以很容易地刪除它。

找到functions.php文件並（在您備份站點之後）將以下代碼行添加到文件中：

 remove_action('wp_head', 'wp_generator');

12. 隱藏您的 WordPress 登錄用戶名

您可以採取的另一個步驟是隱藏您的 WordPress 登錄用戶名。 很多時候，重點是創建一個超級安全的密碼——這很好——但你也需要考慮你的用戶名。 通常，它對公眾開放——黑客可以利用的機會。

隱藏您的用戶名以免被窺探的最快方法是將其從博客文章和作者檔案中刪除。

要從博客文章中刪除您的用戶名，您只需在登錄 WordPress 時轉到用戶 → 個人資料 → 暱稱。 從這裡，您可以更改暱稱，以便站點訪問者不再看到您的用戶名。 因此，他們不會看到“blogperson02”，而是看到您的名字、名字和姓氏，或您配置的另一個暱稱。

要從作者檔案中刪除您的用戶名，您需要一個 SEO 插件，例如 Yoast SEO。

像任何其他插件一樣安裝 Yoast，然後轉到 WordPress 儀表板中的SEO → 搜索外觀 → 檔案菜單。 這裡有一個選項可以禁用作者檔案。 執行此操作，然後單擊Save Changes 。

13. 縮短您的 WordPress 自動註銷計時器

當您經常使用帳戶時，通常會保持登錄狀態。 但這可能會造成潛在的違規行為，特別是如果有幾個人在您的網站上擁有帳戶。 實現自動註銷計時器是關閉這些安全漏洞的好方法。

當會話無人看管時，它將自動註銷。 默認情況下，WordPress 將在 48 小時後註銷用戶。 選中“記住我”框可讓用戶在 14 天內保持登錄狀態。 您可以使用第三方插件稍微更改這些時間範圍。 專用於此功能的是非活動註銷。

安裝後，導航至Settings → Inactive Logout → Basic Management 。 然後選擇要觸發註銷的空閒時間。

14. 刪除舊的和未使用的 WordPress 用戶帳戶

最後，刪除不再使用的帳戶也有助於提高 WordPress 的安全性。 在您的網站上擁有多個開放賬戶意味著每個賬戶都是私人數據的訪問點。 而且，如果您不定期更新這些帳戶的密碼，它們可能會出現嚴重的弱點。

為避免這種情況，請刪除舊的和未使用的帳戶。 將此作為常規站點維護計劃的一部分。

您還應該只向需要它們的用戶提供權限。 並非每個用戶都需要編輯或管理員權限。

同樣，請留意列出的帳戶。 有時，黑客會創建一個虛假帳戶。 如果出現，請立即將其刪除並加強其餘的安全措施。 了解如果您的 WordPress 網站被黑客入侵該怎麼辦。

保護您的 WordPress 登錄頁面

擁有一個網站意味著對其內容和用戶承擔一定程度的責任。 當然，如果您收集客戶信息，情況就更是如此。 但是，無論您如何使用 WordPress 網站，加強登錄頁面的安全性都是確保您的數據長期安全的好方法。

此處介紹的提示應該可以幫助您立即高效地進行 WordPress 安全維護。

準備好邁出第一步了嗎？ 開始使用 Jetpack 安全。