保护 WordPress 后台的 7 种方法

保护 WordPress 后台的 7 种方法

如果黑客闯入你的网站后台,他们可能会窃取你的机密客户数据,安装恶意软件,将你锁定在自己的帐户之外,甚至完全删除你的网站。为了帮助保护访问者,数据和内容,请务必采取步骤保护 WordPress 管理区域。

1. 切勿使用默认的管理员用户名

默认情况下,为每个新的 WordPress 安装的第一个用户帐户分配用户名 admin。如果你坚持这样做,那么黑客已经知道你的用户名,只需要获取或猜测你的密码即可破解。

如果你当前使用 admin 作为用户名,则强烈建议你更改它。为此,你可以在信息中心侧栏中选择 “用户”>“所有用户”,然后打开你的个人资料进行编辑:

更改 WordPress 默认的用户名和密码

在这里时,还应确保使用的安全密码具有大写和小写字母,数字和符号的组合。

或者,你可以使用 WordPress 的内置生成器或第三方工具(例如 LastPass)创建完全随机的密码 。如果你担心忘记它,请考虑使用密码管理器存储凭据。

2. 密码保护你的 wp-admin 文件夹

任何第三方都可以请求你的 wp-admin 文件夹和登录页面,而无需通过任何类型的身份验证。该可湿性粉剂管理员文件夹中包含重要的行政文件,所以你应该用一个用户名和密码来保护它。

你应该能够通过主机控制面板添加此额外的安全层。例如:在宝塔面板中,打开网站设置:

设置目录保护,以保护 WordPress 后台管理目录

将要保护的文件夹和用户名、密码填入文本框内,点击保存。现在,无论是谁访问该目录都将提示输入用户名和密码来继续访问。

3. 创建一个自定义的登录 URL

你可以通过将 /wp-login.php 附加到该网站的 URL 来访问任何 WordPress 网站的登录屏幕。例如,如果你的域名是 www.example.com,则你的登录页面位于 www.example.com/wp-login.php。

如果你使用的是 WordPress 默认设置,则你网站的登录页面是公共知识。更糟糕的是,如果你使用标准的 /wp-login.php URL 和默认的 admin 用户名,那么黑客已经拥有访问你的 admin 区域所需的三部分信息中的两项。

你可以使用 WPS 隐藏登录之类的插件创建自定义登录 URL 。安装完成后,从信息中心菜单中选择设置 > WPS 隐藏登录。然后,你可以在 “登录 URL” 字段中输入新的 URL 。

保存更改,现在只能通过此新 URL 访问 WordPress 管理区域。即使黑客拥有你的用户名和密码,他们也将无法访问你的登录屏幕。

4. 限制登录尝试

WordPress 不会阻止用户尝试登录,即使他们多次输入了错误的密码也是如此。这使你的网站容易受到暴力攻击。黑客可能会使用自动化脚本用数百甚至数千个潜在密码爆破你的帐户。

你可以使用 Wordfence Security 插件来限制登录尝试。安装后,导航至 Wordfence > 所有选项。在 “防火墙选项” 下,选择 “暴力攻击保护”:

设置 WordPress 后台登录次数

接下来,确保激活 “启用暴力破解保护” 设置。然后,你可以指定 WordPress 在阻止有问题的 IP 地址之前应允许多少次失败的登录尝试。

5. 设置两因素身份验证(2FA)

2FA 是一个安全系统,用户在访问你的 WordPress 管理区域之前,必须通过附加检查。你可以使用安全插件(如 Wordfence)将其添加到 WordPress 帐户中。

作为 Wordfence 的 2FA 功能的一部分,你将在智能手机或平板电脑上安装身份验证应用程序。当你尝试登录 WordPress 管理区域时,安全代码将发送到你的移动设备。

你可以通过在 WordPress 登录屏幕上输入此代码来验证你的身份。假设黑客无法访问你的个人智能手机或平板电脑,那么 2FA 是保护帐户安全的有效方法。

你还可以使用 2FA 保护 ManageWP 帐户,以使攻击者也无法通过这种方式访问你的网站。要激活此功能,请登录到你的帐户。然后,你可以单击你的用户名,然后单击设置 > 安全性:

为 WordPress 设置二步验证

然后,ManageWP 将指导你完成配置 2FA 的过程。ManageWP 使用 Google Authenticator 应用程序,该应用程序可用于 iOS 和 Android。

6. 使用网站应用程序防火墙(WAF)

WAF 监视你的网站流量,并防止可疑请求到达你的网站。你可以使用 Wordfence 等插件进行设置。

首次安装 Wordfence Web 应用程序防火墙时,建议你将其至少停留在学习模式下一周。这使 Wordfence 可以监视你的网站并了解如何最好地保护它,同时仍然允许合法访问者通过。

你还可以通过导航到 WordPress > 防火墙 > 单击此处进行配置来优化防火墙。作为优化过程的一部分,Wordfence 将为你的网站选择推荐的服务器配置。但是,如果需要,你可以手动选择服务器配置。

7. 限制登录访问特定的 IP 地址

如果只有少数用户需要访问 WordPress 管理区域,则可以通过编辑站点的来将登录名限制为特定的 IP 地址。htaccess 文件。这使你可以阻止用户访问所有未知 IP 地址。

建议你在编辑之前创建完整备份 .htaccess 文件。你可以通过文件传输协议(FTP)或使用 Web 主机的文件管理器来访问它:

设置指定 IP 可以登录 WordPress 后台

找到 .htaccess 并将其打开进行编辑后,可以添加以下代码:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist IP address
allow from xx.xx.xx.xxx
</LIMIT>

确保用你自己的 IP 地址替换 xx.xx.xx.xxx 并保存更改。现在,用户只能从此处列出的特定 IP 地址访问你的 WordPress 管理区域。