You are here:  Home » PHP » 保护WordPress管理区域的14个重要提示(更新)

您是否在WordPress管理区域看到了很多攻击?保护管理区域免受未经授权的访问,可以阻止许多常见的安全威胁。在本文中,我们将向您展示一些保护您的WordPress管理区域的重要提示和黑客。

Tips and hacks to protect WordPress admin area

1。使用网站应用程序防火墙

网站应用程序防火墙或WAF监控网站流量并阻止可疑请求到达您的网站。

虽然有几个WordPress防火墙插件,我们建议使用Sucuri。它是一个网站安全和监控服务,提供基于云的WAF来保护您的网站。

Website Application Firewall

您的所有网站的流量首先通过他们的云代理,在那里他们分析每个请求并阻止可疑到达您的网站。它可以防止您的网站遭受黑客攻击,网络钓鱼,恶意软件和其他恶意活动。

有关详细信息,请参阅Sucuri如何帮助我们在一个月内阻止450,000次攻击。

2.密码保护WordPress管理目录

您的WordPress管理区域已受到您的WordPress密码的保护。但是,为WordPress管理目录添加密码保护会为您的网站增加另一层安全性。

首先登录您的WordPress托管cPanel仪表板,然后单击“密码保护目录”或“目录隐私”图标。

Directory privacy

接下来,您需要选择您的wp-admin文件夹,通常位于/ public_html /目录中。

在下一个屏幕上,您需要选中“密码保护此目录”选项旁边的框,并提供受保护目录的名称。

之后,单击“保存”按钮设置权限。

Password protect directory settings

接下来,您需要点击后退按钮,然后创建一个用户。系统将要求您提供用户名/密码,然后单击“保存”按钮。

现在,当有人试图访问您网站上的WordPress管理员或wp-admin目录时,系统会要求他们输入用户名和密码。

Enter password

有关更详细的说明,请参阅有关如何使用密码保护WordPress管理员(wp-admin)目录的指南

3。始终使用强密码

Always use strong passwords

始终对所有在线帐户使用强密码,包括您的WordPress网站。我们建议您在密码中使用字母,数字和特殊字符的组合。这使黑客更难猜测你的密码。

初学者经常会问我们如何记住所有这些密码。最简单的答案是你不需要。您可以在计算机和手机上安装一些非常棒的密码管理器应用程序。

有关此主题的更多信息,请参阅我们的指南,了解管理WordPress初学者密码的最佳方法。

4。使用两步验证到WordPress登录屏幕

WordPress login screen with Google Authenticator enabled

两步验证会为您的密码添加另一个安全层。它会要求您输入由手机上的Google身份验证器应用生成的验证码,而不是单独使用密码。

即使有人能够猜到您的WordPress密码,他们仍然需要使用Google身份验证器代码才能进入。

有关详细的分步说明,请参阅我们的指南,了解如何设置2-使用Google身份验证器在WordPress中进行步骤验证。

5。限制登录尝试

Limit login attempts

默认情况下,WordPress允许用户根据需要多次输入密码。这意味着有人可以通过输入不同的组合继续尝试猜测您的WordPress密码。它还允许黑客使用自动脚本破解密码。

要解决此问题,您需要安装并激活Login LockDown插件。激活后,请访问设置»登录LockDown 页面以配置插件设置。

有关详细说明,请参阅我们的指南,了解为何限制WordPress中的登录尝试。

6。限制登录访问IP地址

另一种保护WordPress登录的好方法是限制对特定IP地址的访问。如果您或只有少数可信用户需要访问管理区域,此提示特别有用。

只需将此代码添加到.htaccess文件即可。

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed"s IP address
allow from xx.xx.xx.xxx
# whitelist David"s IP address
allow from xx.xx.xx.xxx
</LIMIT>

不要忘记用您自己的IP地址替换xx值。如果您使用多个IP地址访问互联网,请确保同时添加它们。

有关详细说明,请参阅我们的指南,了解如何使用.htaccess限制对WordPress管理员的访问。

7。禁用登录提示

Disabled login hints

在失败的登录尝试中,WordPress显示错误,告知用户其用户名是否不正确或密码。某些人可能会使用这些登录提示进行恶意尝试。

您可以通过将此代码添加到主题的functions.php文件或特定于站点的插件中来轻松隐藏这些登录提示。

function no_wordpress_errors(){
  return "Something is wrong!";
}
add_filter( "login_errors", "no_wordpress_errors" );

8.要求用户使用强密码

如果您运行多作者WordPress网站,则这些用户可以编辑其个人资料并使用弱密码。这些密码可以被破解,并允许某人访问WordPress管理区域

要解决此问题,您可以安装并激活Force Strong Passwords插件。它开箱即用,没有您可以配置的设置。一旦激活,它将阻止用户保存较弱的密码。

它不会检查现有用户帐户的密码强度。如果用户已使用弱密码,则他们将能够继续使用其密码。

9。重置所有用户的密码

关注多用户WordPress网站上的密码安全性?您可以轻松地要求所有用户重置密码。

首先,您需要安装并激活紧急密码重置插件。激活后,请访问用户»紧急密码重置页面并单击“重置所有密码”按钮。

Reset all passwords

有关详细说明,请参阅我们的指南,了解如何在WordPress

10中为所有用户重置密码。保持WordPress更新

WordPress经常发布该软件的新版本。每个新版本的WordPress都包含重要的错误修复,新功能和安全修复程序。

在您的网站上使用旧版本的WordPress会让您对已知漏洞和潜在漏洞持开放态度。要解决此问题,您需要确保使用的是最新版本的WordPress。有关此主题的更多信息,请参阅我们的指南,了解为何应始终使用最新版本的WordPress。

同样,WordPress插件也经常更新,以引入新功能或修复安全性和其他问题。确保您的WordPress插件也是最新的。

11。创建自定义登录和注册页面

许多WordPress网站要求用户注册。例如,会员网站,学习管理网站或在线商店需要用户创建帐户。

但是,这些用户可以使用他们的帐户登录WordPress管理区域。这不是一个大问题,因为他们只能做他们的用户角色和功能所允许的事情。但是,它会阻止您正确限制对登录和注册页面的访问,因为您需要这些页面供用户注册,管理其配置文件和登录。

解决此问题的简单方法是创建自定义登录和注册页面,以便用户可以直接从您的网站注册和登录。

有关详细的分步说明,请参阅我们的指南,了解如何在WordPress中创建自定义登录和注册页面。

12。了解WordPress用户角色和权限

WordPress带有强大的用户管理系统,具有不同的用户角色和功能。将新用户添加到WordPress网站时,您可以为其选择用户角色。此用户角色定义了他们可以在WordPress网站上执行的操作。

分配不正确的用户角色可以为人们提供比他们需要的更多功能。为避免这种情况,您需要了解WordPress中不同用户角色的功能。有关此主题的更多信息,请参阅我们的初学者WordPress用户角色和权限指南。

13。限制仪表板访问

某些WordPress站点具有某些需要访问仪表板的用户和一些不需要访问仪表板的用户。但是,默认情况下,他们都可以访问管理区域。

要解决此问题,您需要安装并激活Remove Dashboard Access插件。激活后,转到设置»仪表板访问页面,然后选择哪些用户角色可以访问您网站上的管理区域。

有关更详细的说明,请参阅我们的指南,了解如何限制WordPress中的仪表板访问。

14。注销空闲用户

Idle user logout

WordPress在显式注销或关闭其浏览器窗口之前不会自动注销用户。对于包含敏感信息的WordPress网站,这可能是一个问题。这就是为什么金融机构网站和应用程序会在用户未激活时自动注销的原因。

要解决此问题,您可以安装并激活Idle User Logout插件。激活后,转到设置»空闲用户注销页面,然后输入您希望用户自动注销的时间。

有关更多详细信息,请参阅有关如何在WordPress中自动注销空闲用户的文章。

我们希望本文能帮助您学习一些新技巧和黑客来保护您的WordPress管理区域。您可能还希望看到我们为初学者提供的最终一步一步的WordPress安全指南。

评论被关闭。