您是否看到很多对您的 WordPress 管理区域的攻击?保护管理区域免受未经授权的访问可以阻止许多常见的安全威胁。在本文中,我们将向您展示一些重要的提示和技巧,以保护您的 WordPress 管理区域。
1.使用网站应用防火墙
网站应用程序防火墙或 WAF 监控网站流量并阻止可疑请求到达您的网站。
虽然有几个WordPress 防火墙插件,但我们建议使用Sucuri。它是一种网站安全和监控服务,提供基于云的 WAF 来保护您的网站。
您网站的所有流量首先通过他们的云代理,在那里他们分析每个请求并阻止可疑的请求到达您的网站。它可以防止您的网站遭受可能的黑客攻击、网络钓鱼、恶意软件和其他恶意活动。
有关更多详细信息,请参阅Sucuri 如何帮助我们在一个月内阻止 450,000 次攻击。
2.密码保护WordPress管理员目录
您的 WordPress 管理区域已受 WordPress 密码保护。但是,为您的 WordPress 管理目录添加密码保护会为您的网站增加另一层安全性。
首先登录到您的WordPress 托管cPanel 仪表板,然后单击“密码保护目录”或“目录隐私”图标。
接下来,您需要选择 wp-admin 文件夹,该文件夹通常位于 /public_html/ 目录中。
在下一个屏幕上,您需要选中“密码保护此目录”选项旁边的框,并为受保护的目录提供名称。
之后,单击保存按钮以设置权限。
接下来,您需要点击后退按钮,然后创建一个用户。您将被要求提供用户名/密码,然后单击保存按钮。
现在,当有人试图访问您网站上的 WordPress 管理员或 wp-admin 目录时,他们将被要求输入用户名和密码。
有关更详细的说明,请参阅我们的关于如何密码保护 WordPress 管理员 (wp-admin) 目录的指南。
3. 始终使用强密码
始终为您的所有在线帐户(包括您的 WordPress 网站)使用强密码。我们建议您在密码中使用字母、数字和特殊字符的组合。这使黑客更难猜出您的密码。
初学者经常问我们如何记住所有这些密码。最简单的答案是你不需要。您可以在计算机和手机上安装一些非常棒的密码管理器应用程序。
有关此主题的更多信息,请参阅我们的指南,了解为 WordPress 初学者管理密码的最佳方式。
4.对WordPress登录屏幕使用两步验证
两步验证为您的密码添加了另一个安全层。它不是单独使用密码,而是要求您输入由手机上的 Google Authenticator 应用程序生成的验证码。
即使有人能够猜出您的 WordPress 密码,他们仍然需要 Google Authenticator 代码才能进入。
有关详细的分步说明,请参阅我们的指南,了解如何使用 Google Authenticator 在 WordPress 中设置两步验证。
5.限制登录尝试
默认情况下,WordPress 允许用户根据需要多次输入密码。这意味着有人可以通过输入不同的组合继续尝试猜测您的 WordPress 密码。它还允许黑客使用自动化脚本来破解密码。
要解决此问题,您需要安装并激活Login LockDown插件。激活后,访问设置»登录锁定页面以配置插件设置。
有关详细说明,请参阅我们的指南,了解为何应限制 WordPress 中的登录尝试。
6. 限制对 IP 地址的登录访问
保护 WordPress 登录的另一种好方法是限制对特定 IP 地址的访问。如果您或只有少数受信任的用户需要访问管理区域,则此提示特别有用。
只需将此代码添加到您的 .htaccess 文件中。
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName “WordPress Admin Access Control”AuthType Basic
不要忘记将 xx 值替换为您自己的 IP 地址。如果您使用多个 IP 地址访问互联网,请确保也添加它们。
有关详细说明,请参阅我们的指南,了解如何使用 .htaccess 限制对 WordPress 管理员的访问。
7.禁用登录提示
在登录尝试失败时,WordPress 会显示错误,告诉用户他们的用户名或密码是否不正确。某些人可能会使用这些登录提示进行恶意尝试。
您可以通过将此代码添加到主题的functions.php文件或特定于站点的插件中轻松隐藏这些登录提示。
function no_wordpress_errors(){ return ‘Something is wrong!’;}add_filter( ‘login_errors’, ‘no_wordpress_errors’ );
8. 要求用户使用强密码
如果您运行一个多作者 WordPress 网站,那么这些用户可以编辑他们的个人资料并使用弱密码。这些密码可以被破解,并允许某人访问 WordPress 管理区域。
要解决此问题,您可以安装并激活强制强密码插件。它开箱即用,您无需配置任何设置。一旦激活,它将阻止用户保存较弱的密码。
它不会检查现有用户帐户的密码强度。如果用户已经在使用弱密码,那么他们将能够继续使用他们的密码。
9.为所有用户重置密码
担心您的多用户 WordPress 网站的密码安全?您可以轻松要求所有用户重置密码。
首先,您需要安装并激活紧急密码重置插件。激活后,访问用户»紧急密码重置页面并单击“重置所有密码”按钮。
有关详细说明,请参阅我们的指南,了解如何在 WordPress 中为所有用户重置密码
10.保持WordPress更新
WordPress 经常发布该软件的新版本。WordPress 的每个新版本都包含重要的错误修复、新功能和安全修复。
在您的网站上使用旧版本的 WordPress 会使您容易受到已知漏洞和潜在漏洞的影响。要解决此问题,您需要确保您使用的是最新版本的 WordPress。有关此主题的更多信息,请参阅我们的指南,了解为什么您应该始终使用最新版本的 WordPress。
同样,WordPress 插件也经常更新以引入新功能或修复安全性和其他问题。确保您的 WordPress 插件也是最新的。
11. 创建自定义登录和注册页面
许多 WordPress 网站要求用户注册。例如,会员网站、学习管理网站或在线商店都需要用户创建帐户。
但是,这些用户可以使用他们的帐户登录 WordPress 管理区域。这不是一个大问题,因为他们只能做他们的用户角色和能力允许的事情。但是,它会阻止您正确限制对登录和注册页面的访问,因为您需要这些页面供用户注册、管理他们的个人资料和登录。
解决此问题的简单方法是创建自定义登录和注册页面,以便用户可以直接从您的网站注册和登录。
有关详细的分步说明,请参阅我们关于如何在 WordPress 中创建自定义登录和注册页面的指南。
12. 了解 WordPress 用户角色和权限
WordPress 带有一个强大的用户管理系统,具有不同的用户角色和功能。向您的 WordPress 站点添加新用户时,您可以为他们选择用户角色。此用户角色定义了他们可以在您的 WordPress 网站上执行的操作。
分配不正确的用户角色会给人们带来比他们需要的更多的能力。为避免这种情况,您需要了解 WordPress 中不同用户角色具有哪些功能。有关此主题的更多信息,请参阅我们的 WordPress 用户角色和权限初学者指南。
13. 限制仪表板访问
一些 WordPress 网站的某些用户需要访问仪表板,而一些用户不需要。但是,默认情况下,他们都可以访问管理区域。
要解决此问题,您需要安装并激活Remove Dashboard Access插件。激活后,转到设置»仪表板访问页面并选择哪些用户角色将有权访问您网站上的管理区域。
有关更详细的说明,请参阅我们关于如何限制 WordPress 中的仪表板访问的指南。
14.注销空闲用户
在用户明确注销或关闭浏览器窗口之前,WordPress 不会自动注销用户。对于具有敏感信息的 WordPress 网站来说,这可能是一个问题。这就是为什么金融机构网站和应用程序会在用户不活跃时自动注销用户的原因。
要解决此问题,您可以安装并激活空闲用户注销插件。激活后,转到设置»空闲用户注销页面并输入您希望用户自动注销的时间。
有关更多详细信息,请参阅我们关于如何在 WordPress 中自动注销空闲用户的文章。
我们希望这篇文章能帮助您学习一些新的技巧和技巧来保护您的 WordPress 管理区域。您可能还想查看我们针对初学者的最终一步一步的WordPress 安全指南。