WordPress 是全球数百万人使用的流行内容管理系统 (CMS),网络犯罪分子一直在寻找该平台的新漏洞也就不足为奇了。
作为 WordPress 用户,您必须知道如何保护您的网站免受未经授权的访问和恶意攻击。在这篇文章中,我们将分享四个简单的技巧来帮助您做到这一点。通过遵循这些提示,您将能够保护您的 wp-admin 网站后台免受未经授权的访问,保护自己免受恶意软件攻击,并保持您的网站顺利运行。
保护 WordPress 管理后台
1.不要默认使用admin用户名
默认情况下,每个全新的 WordPress 安装都会将用户名 admin 提供给初始用户帐户。如果您保留默认设置,黑客将已经知道您的用户名,并且只需要获取或猜测您的密码即可获得访问权限。
在安装 WordPress 程序时,请一定不要使用默认的 admin 用户名。
如果你现在的网站已经在使用 admin 作为管理员用户名了,可以参考《3种修改WordPress用户名的方法》进行修改。
此外,我们应该使用较为复杂的密码,通过混合使用大小写字母、数字和符号来确保您的密码安全。
或者,您可以使用 WordPress 平台的内置密码生成器来生成完全随机的强密码。如果您担心忘记它们,请考虑使用密码管理器来存储您的凭据。
2. 密码保护您的wp-admin文件夹
重要的管理文件位于wp-admin文件夹中。任何第三方都可以在不需要任何身份验证的情况下请求您的wp-admin文件夹,除非您使用密码保护此文件夹。
由于我们正在谈论保护位于您服务器上的文件夹,因此您需要通过您的托管管理面板执行此操作。例如,在 cPanel 中,您将拥有目录隐私(Directory Privacy),如下图所示。
从那里,转到public_html / wp-admin并选择 密码保护此目录 复选框:
选择您的凭据,填写并在出现提示时点击保存。现在您已完成此操作,每次访问example.com/wp-admin时,系统都会提示您填写这些凭据,然后再询问您的 WordPress 登录详细信息。
如果是宝塔面板,可以参考文章《宝塔面板加密 WordPress 网站管理后台》进行设置。
3. 创建自定义登录网址
您只需将/wp-login.php附加到任何 WordPress 网站的 URL 即可访问网站的登录屏幕。使用 WordPress 默认登录 URL,您网站的登录页面是公共知识。更糟糕的是,如果您使用标准/wp-login.php URL 和默认管理员用户名,黑客已经拥有访问您的管理区域所需的三条信息中的两条。
改变这一点的最简单方法是使用像WPS Hide Login这样的插件。安装后,从仪表板菜单中选择设置 > WPS 隐藏登录并填写您要使用的新登录 URL。 保存您的更改,从现在开始,只有这个新 URL 才能访问您的 WordPress 管理区域。即使使用您的用户名和密码,黑客也无法访问您的登录屏幕。
4.限制登录尝试
即使用户多次输入错误密码,WordPress 也不会阻止他们尝试登录。黑客可以使用自动脚本向您的帐户注入数百个(如果不是数千个)潜在密码。这会使您的网站遭受暴力攻击。
使用 Limit Login Attempts 插件,您可以限制密码猜测暴力攻击。
总结
使您的网站完全防黑客是昂贵的,需要时间和艰苦的工作,但是采取这四个简单的预防措施对于保护您的 WordPress 网站免受最常见类型的攻击并使黑客更难访问有很大帮助您的登录页面并控制您的网站。
拓展阅读:
- 宝塔面板下运维WordPress网站
- WordPress 限制用户登录尝试次数 Limit Login Attempts Reloaded
- 如何强化您的 WordPress 网站以防止黑客入侵
- 让你的WordPress网站更安全的15个基本步骤
- 10个好用的免费WordPress安全插件
- 为什么您的WordPress网站会容易被黑客攻击
- 增强WordPress安全性的10个Nginx规则