保護您的WordPress管理區域的14條重要技巧(已更新)


您是否在WordPress管理區域看到了很多攻擊? 保護管理員區域免受未經授權的訪問,可以阻止許多常見的安全威脅。 在本文中,我們將向您展示一些重要的提示和技巧,以保護您的WordPress管理區域。

保護WordPress管理區域的提示和技巧

1.使用網站應用程序防火牆

網站應用程序防火牆或WAF監視網站流量,並阻止可疑請求到達您的網站。

雖然有幾個WordPress防火牆插件,但我們建議使用Sucuri。 這是一個網站安全和監視服務,提供基於雲的WAF以保護您的網站。

網站應用防火牆

您網站的所有流量都首先通過其云代理,它們在其中分析每個請求並阻止可疑請求到達您的網站。 它可以防止您的網站遭受可能的黑客攻擊,網絡釣魚,惡意軟件和其他惡意活動。

有關更多詳細信息,請參閱Sucuri如何幫助我們在一個月內阻止450,000次攻擊。

2.密碼保護WordPress管理員目錄

您的WordPress管理區域已受到WordPress密碼的保護。 但是,向您的WordPress管理員目錄添加密碼保護會為您的網站增加另一層安全性。

首先登錄到您的WordPress託管cPanel儀表板,然後單擊“密碼保護目錄”或“目錄隱私”圖標。

目錄隱私

接下來,您將需要選擇wp-admin文件夾,該文件夾通常位於/ public_html /目錄中。

在下一個屏幕上,您需要選中“密碼保護此目錄”選項旁邊的框,並提供受保護目錄的名稱。

之後,單擊“保存”按鈕以設置權限。

密碼保護目錄設置

接下來,您需要單擊“後退”按鈕,然後創建一個用戶。 系統將要求您提供用戶名/密碼,然後單擊“保存”按鈕。

現在,當有人嘗試訪問您網站上的WordPress admin或wp-admin目錄時,將要求他們輸入用戶名和密碼。

輸入密碼

有關更多詳細說明,請參閱有關如何密碼保護WordPress admin(wp-admin)目錄的指南。

3.始終使用強密碼

一律使用強密碼

始終對所有在線帳戶(包括WordPress網站)使用強密碼。 我們建議您在密碼中使用字母,數字和特殊字符的組合。 這使黑客更難猜測您的密碼。

初學者經常問我們如何記住所有這些密碼。 最簡單的答案是您不需要。 您可以在計算機和電話上安裝一些非常好的密碼管理器應用程序。

有關此主題的更多信息,請參閱關於為WordPress初學者管理密碼的最佳方法的指南。

4.使用兩步驗證到WordPress登錄屏幕

啟用了Google Authenticator的WordPress登錄屏幕

兩步驗證為您的密碼添加了另一個安全層。 它會要求您輸入手機上Google Authenticator應用程序生成的驗證碼,而不是僅使用密碼。

即使有人能夠猜出您的WordPress密碼,他們仍將需要Google Authenticator代碼才能進入。

有關詳細的分步說明,請參閱我們的指南,了解如何使用Google Authenticator在WordPress中設置兩步驗證。

5.限制登錄嘗試

限制登錄嘗試

默認情況下,WordPress允許用戶根據需要多次輸入密碼。 這意味著有人可以通過輸入不同的組合來繼續嘗試猜測您的WordPress密碼。 它還允許黑客使用自動腳本來破解密碼。

要解決此問題,您需要安裝並激活Login LockDown插件。 激活後,前往 設置»登錄鎖定 頁面以配置插件設置。

有關詳細說明,請參閱我們的指南,以了解為什麼應限制WordPress中的登錄嘗試。

6.將登錄訪問限制為IP地址

保護WordPress登錄的另一種好方法是限制對特定IP地址的訪問。 如果您或只有幾個受信任的用戶需要訪問管理區域,則此技巧特別有用。

只需將此代碼添加到您的.htaccess文件中。

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx

不要忘記用自己的IP地址替換xx值。 如果您使用多個IP地址訪問Internet,請確保同時添加它們。

有關詳細說明,請參閱我們的指南,了解如何使用.htaccess限制對WordPress管理員的訪問。

7.禁用登錄提示

禁用的登錄提示

如果登錄嘗試失敗,WordPress會顯示錯誤,告訴用戶其用戶名不正確或密碼。 有人可以使用這些登錄提示進行惡意嘗試。

通過將此代碼添加到主題的functions.php文件或特定於站點的插件中,可以輕鬆隱藏這些登錄提示。

function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

8.要求用戶使用強密碼

如果您運行一個多作者WordPress網站,則這些用戶可以編輯其個人資料並使用弱密碼。 這些密碼可以被破解,並允許某人訪問WordPress管理區域。

要解決此問題,您可以安裝並激活Force Strong Passwords插件。 它開箱即用,沒有可供您配置的設置。 一旦激活,它將阻止用戶保存較弱的密碼。

它不會檢查現有用戶帳戶的密碼強度。 如果用戶已經在使用弱密碼,那麼他們將能夠繼續使用其密碼。

9.重置所有用戶的密碼

是否擔心您的多用戶WordPress網站上的密碼安全性? 您可以輕鬆地要求所有用戶重置其密碼。

首先,您需要安裝並激活緊急密碼重置插件。 激活後,前往 用戶»緊急密碼重置 頁,然後點擊“重置所有密碼”按鈕。

重設所有密碼

有關詳細說明,請參閱我們的指南,了解如何為WordPress中的所有用戶重置密碼

10.保持WordPress更新

WordPress經常發布該軟件的新版本。 WordPress的每個新版本均包含重要的錯誤修復,新功能和安全修復。

在您的網站上使用舊版本的WordPress會使您容易受到已知漏洞和潛在漏洞的影響。 要解決此問題,您需要確保使用的是最新版本的WordPress。 有關此主題的更多信息,請參閱我們的指南,了解為什麼您應始終使用最新版本的WordPress。

同樣,WordPress插件也經常更新,以引入新功能或修復安全性和其他問題。 確保您的WordPress插件也是最新的。

11.創建自定義登錄和註冊頁面

許多WordPress網站要求用戶進行註冊。 例如,會員站點,學習管理站點或在線商店需要用戶創建帳戶。

但是,這些用戶可以使用其帳戶登錄WordPress管理區域。 這不是一個大問題,因為他們將只能執行用戶角色和功能所允許的事情。 但是,它使您無法正確限制對登錄和註冊頁面的訪問,因為您需要這些頁面供用戶註冊,管理其個人資料和登錄。

解決此問題的簡單方法是創建自定義登錄和註冊頁面,以便用戶可以直接從您的網站進行註冊和登錄。

有關詳細的分步說明,請參閱有關如何在WordPress中創建自定義登錄和註冊頁面的指南。

12.了解WordPress用戶角色和權限

WordPress帶有功能強大的用戶管理系統,具有不同的用戶角色和功能。 在將新用戶添加到WordPress網站時,您可以為其選擇用戶角色。 該用戶角色定義了他們可以在WordPress網站上執行的操作。

分配錯誤的用戶角色可能給人們帶來超出其所需能力的更多功能。 為了避免這種情況,您需要了解WordPress中不同的用戶角色具有哪些功能。 有關此主題的更多信息,請參閱WordPress用戶角色和權限的初學者指南。

13.限制儀表板訪問

一些WordPress網站具有某些需要訪問儀表板的用戶,而有些則不需要。 但是,默認情況下,他們都可以訪問管理區域。

要解決此問題,您需要安裝並激活“刪除儀表板訪問”插件。 激活後,轉到 設置»儀表板訪問 頁,然後選擇哪些用戶角色將有權訪問您網站上的管理區域。

有關更多詳細說明,請參閱有關如何限制WordPress中的儀表板訪問的指南。

14.註銷空閒用戶

空閒用戶註銷

WordPress不會自動註銷用戶,除非他們明確註銷或關閉瀏覽器窗口。 對於具有敏感信息的WordPress網站,這可能是一個問題。 因此,如果金融機構的網站和應用未處於活動狀態,則會自動將其註銷。

要解決此問題,您可以安裝並激活空閒用戶註銷插件。 激活後,轉到 設置»空閒用戶註銷 頁面,然後輸入您希望用戶自動註銷的時間。

有關更多詳細信息,請參閱有關如何自動註銷WordPress中的空閒用戶的文章。

我們希望本文能幫助您學習一些新的提示和技巧,以保護WordPress管理區域。 您可能還想看看我們針對初學者的終極逐步WordPress安全指南。

如果您喜歡這篇文章,請訂閱我們的YouTube頻道WordPress視頻教程。 您也可以在找到我們 推特 和Facebook。