你在你的WordPress管理区看到很多攻击吗? 保护管理区域免受未经授权的访问,可以阻止许多常见的安全威胁。 在本文中,我们将向您展示一些重要的提示和黑客来保护您的WordPress管理区域。
1.使用网站应用程序防火墙
网站应用程序防火墙或WAF监视网站流量并阻止可疑请求到达您的网站。
虽然有几个WordPress防火墙插件,我们推荐使用Sucuri。 这是一个网站安全和监控服务,提供了一个基于云的WAF来保护您的网站。
您的所有网站的流量都先通过他们的云代理,然后分析每个请求并阻止可疑的访问者到达您的网站。 它可以防止您的网站遭受可能的黑客攻击,网络钓鱼,恶意软件和其他恶意活动。
有关更多详细信息,请参阅Sucuri如何帮助我们在一个月内阻止45万次攻击。
2.密码保护WordPress管理员目录
你的WordPress管理区已经被你的WordPress密码保护了。 但是,为您的WordPress管理员目录添加密码保护为您的网站添加了另一层安全性。
首先登录到您的WordPress托管cPanel仪表板,然后点击“密码保护目录”或“目录隐私”图标。
接下来,您将需要选择通常位于/ public_html /目录中的wp-admin文件夹。
在下一个屏幕上,您需要选中“密码保护此目录”选项旁边的框,并提供受保护目录的名称。
之后,点击保存按钮来设置权限。
接下来,您需要点击后退按钮,然后创建一个用户。 你会被要求提供一个用户名/密码,然后点击保存按钮。
现在,当有人试图访问您的网站上的WordPress管理员或wp-admin目录时,系统会要求他们输入用户名和密码。
有关更详细的说明
3.始终使用强密码
始终使用强大的密码为您的所有在线帐户,包括您的WordPress网站。 我们建议您在密码中使用字母,数字和特殊字符的组合。 这使得黑客更难猜测您的密码。
初学者经常会问我们如何记住所有这些密码。 最简单的答案是你不需要。 有一些非常棒的密码管理器应用程序,你可以在你的电脑和手机上安装。
有关此主题的更多信息
4.使用两步验证WordPress登录屏幕
两步验证为您的密码添加了另一个安全层。 它不要单独使用密码,而是要求您在手机上输入Google身份验证器应用生成的验证码。
即使有人能够猜到你的WordPress密码,他们仍然需要Google Authenticator代码才能进入。
5.限制登录尝试
默认情况下,WordPress允许用户多次输入密码。 这意味着有人可以通过输入不同的组合来不断尝试猜测您的WordPress密码。 它也允许黑客使用自动脚本来破解密码。
要解决这个问题,你需要安装并激活Login LockDown插件。 激活后,去拜访 设置»登录锁定 页面配置插件设置。
有关详细说明
6.限制登录访问IP地址
保护WordPress登录的另一个好方法是限制对特定IP地址的访问。 如果您或只有少数可信用户需要访问管理区域,此提示特别有用。
只需将此代码添加到.htaccess文件。
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName“WordPress管理访问控制” AuthType基本命令否认,允许 否认所有 #白名单Syed的IP地址 允许来自xx.xx.xx.xxx #将David的IP地址列入白名单 允许来自xx.xx.xx.xxx
不要忘记用你自己的IP地址替换xx值。 如果您使用多个IP地址访问互联网,请确保您添加它们。
有关详细说明
7.禁用登录提示
在失败的登录尝试中,WordPress会显示错误信息,告诉用户他们的用户名是不正确的还是密码。 这些登录提示可能被某人用于恶意尝试。
您可以通过将这些代码添加到您的主题的functions.php文件或特定于站点的插件来轻松隐藏这些登录提示。
函数no_wordpress_errors(){ 返回“有什么不对!”; } add_filter('login_errors','no_wordpress_errors');
8.要求用户使用强密码
如果您运行多作者WordPress网站,那么这些用户可以编辑他们的配置文件并使用弱密码。 这些密码可以被破解,并允许某人访问WordPress管理员区域。
要解决这个问题,你可以安装并激活Force Strong Passwords插件。 它可以直接使用,并且没有设置可以配置。 一旦激活,它将阻止用户保存较弱的密码。
它不会检查现有用户帐户的密码强度。 如果用户已经在使用弱密码,那么他们将能够继续使用他们的密码。
9.重置所有用户的密码
担心您的多用户WordPress网站上的密码安全性? 您可以轻松地要求所有用户重置密码。
首先,您需要安装并激活紧急密码重置插件。 激活后,去拜访 用户»紧急密码重置 页面,然后点击“重置所有密码”按钮。
10.保持WordPress更新
WordPress经常发布新版本的软件。 WordPress的每个新版本都包含重要的错误修复,新功能和安全修复程序。
在您的网站上使用较旧版本的WordPress会导致您知道已知的漏洞和潜在的漏洞。 解决这个问题
同样,WordPress插件也经常更新,以引入新功能或修复安全性和其他问题。 确保你的WordPress插件也是最新的。
11.创建自定义登录和注册页面
许多WordPress网站要求用户注册。 例如,会员网站,学习管理网站或在线商店需要用户创建账户。
但是,这些用户可以使用他们的帐户登录WordPress管理区域。 这不是一个大问题,因为他们只能做他们的用户角色和能力所允许的事情。 但是,它会阻止您正确限制登录和注册页面的访问,因为您需要这些页面供用户注册,管理其配置文件和登录。
解决这个问题的简单方法是创建自定义登录和注册页面,以便用户可以直接从您的网站注册和登录。
详细的分步说明
12.了解关于WordPress用户角色和权限
WordPress带有一个功能强大的用户管理系统,具有不同的用户角色和功能。 在向WordPress站点添加新用户时,您可以为他们选择一个用户角色。 这个用户角色定义了他们可以在你的WordPress网站上做什么。
分配不正确的用户角色可以为他们提供比他们需要更多的功能
13.限制仪表板访问
一些WordPress网站有某些用户需要访问仪表板,有些用户不需要。 但是,默认情况下,他们都可以访问管理区域。
要解决这个问题,你需要安装并激活Remove Dashboard Access插件。 激活后,转到 设置»仪表板访问 页面,并选择哪些用户角色将访问您的网站上的管理区域。
有关更详细的说明
14.注销空闲用户
在明确注销或关闭浏览器窗口之前,WordPress不会自动注销用户。 这可能是一个敏感的信息WordPress网站的关注。 这就是为什么金融机构的网站和应用程序自动注销用户,如果他们不活跃。
要解决这个问题,您可以安装并激活“空闲用户注销”插件。 激活后,转到 设置»空闲用户注销 页面,然后输入您希望用户自动注销的时间。
更多细节
我们希望这篇文章能帮助你学习一些新的技巧和黑客来保护你的WordPress管理区域