您是否正在寻找保护您的 wordpress 管理区域的方法?
保护管理区域免遭未经授权的访问可以让您阻止许多常见的安全威胁。如果您在 WordPress 网站上发现大量攻击,这会很有帮助。
在本教程中,我们将向您展示一些保护您的 WordPress 管理区域的重要提示和技巧。
我们将介绍许多技巧,您可以使用下面的快速链接在它们之间跳转:
- 使用网站应用程序防火墙
- 密码保护 WordPress 管理目录
- 始终使用强密码
- 在 WordPress 登录屏幕上使用两步验证
- 限制登录尝试
- 限制对 IP 地址的登录访问
- 禁用登录提示
- 要求用户使用强密码
- 为所有用户重置密码
- 保持 WordPress 更新
- 创建自定义登录和注册页面
- 了解 WordPress 用户角色和权限
- 限制仪表板访问
- 注销闲置用户
1.使用网站应用程序防火墙
网站应用程序防火墙或 WAF 监视网站流量并阻止可疑请求到达您的网站。
虽然有几个WordPress 防火墙插件,例如 Wordfence,但我们建议使用Sucuri。它是一种网站安全和监控服务,提供基于云的 WAF 来保护您的网站。
您网站的所有流量首先都会经过Sucuri云代理,它们会分析每个请求并阻止可疑请求到达您的网站。这可以防止您的网站遭受可能的黑客攻击、网络钓鱼、恶意软件和其他恶意活动。
有关更多详细信息,请参阅Sucuri 如何帮助我们在 3 个月内阻止 450,000 次攻击。
2.密码保护WordPress管理目录
您的 WordPress 管理区域已受到您的 WordPress 密码的保护。但是,向 WordPress 管理目录添加密码保护会为您的登录页面增加另一层安全性。
首先,您需要登录WordPress 网络托管cPanel 仪表板,然后单击“密码保护目录”或“目录隐私”图标。
接下来,您需要选择 wp-admin 文件夹,该文件夹通常位于 /public_html/ 目录内。
在下一个屏幕上,您需要选中“密码保护此目录”选项旁边的框,并提供受保护目录的名称。
之后,单击“保存”按钮以设置权限。
接下来,您需要点击后退按钮,然后创建一个用户。系统会要求您提供用户名/密码,然后单击“保存”按钮。
现在,当有人尝试访问您网站上的 WordPress admin 或 wp-admin 目录时,系统会要求他们输入用户名和密码。
有关更详细的说明,请参阅有关如何使用密码保护 WordPress 管理 (wp-admin) 目录的指南。
3. 始终使用强密码
始终为您的所有在线帐户(包括您的 WordPress 网站)使用强密码。我们建议您在密码中使用字母、数字和特殊字符的组合。这使得黑客更难猜测您的密码。
初学者经常问我们如何记住所有这些密码。最简单的答案是您不需要。您可以在计算机和手机上安装一些非常出色的密码管理器应用程序。
有关此主题的更多信息,请参阅我们的有关 WordPress 初学者管理密码的最佳方法的指南。
4. 在 WordPress 登录屏幕上使用两步验证
两步验证,也称为两因素验证、两因素身份验证或 2FA,为您的密码添加了另一个安全层。它不是单独使用密码,而是要求您输入手机上的 Google 身份验证器应用程序生成的验证码。
即使有人能够猜出您的 WordPress 密码,他们仍然需要 Google 身份验证器代码才能进入。
有关详细的分步说明,请参阅有关如何使用 Google Authenticator 在 WordPress 中设置两步验证的指南。
5. 限制登录尝试
默认情况下,WordPress 允许用户根据需要多次输入密码。这意味着有人可以通过输入不同的组合来不断尝试猜测您的 WordPress 密码。它还允许黑客使用自动化脚本来破解密码。
要解决此问题,您需要安装并激活登录锁定插件。激活后,请访问“设置”»“登录锁定”页面以配置插件设置。
有关详细说明,请参阅我们关于为何应限制 WordPress 登录尝试的指南。
6.限制IP地址的登录访问
保护 WordPress 登录安全的另一个好方法是限制对特定 IP 地址的访问。如果您或少数受信任的用户需要访问管理区域,则此提示特别有用。
只需将此代码添加到您的.htaccess 文件中:
登录尝试失败时,WordPress 会显示错误,告诉用户其用户名或密码是否不正确。这些登录提示可能会被某些人用来进行恶意尝试,例如暴力攻击。
您可以通过将以下代码添加到主题的functions.php文件或使用代码片段插件(例如WPCode(推荐))来轻松隐藏这些登录提示:
有关详细说明,请参阅有关如何在 WordPress 中为所有用户重置密码的指南
10.保持WordPress更新
WordPress 经常发布该软件的新版本。WordPress 核心的每个新版本都包含重要的错误修复、新功能和安全修复。
在您的网站上使用旧版本的 WordPress 会让您容易遭受已知的漏洞和潜在的漏洞。要解决此问题,您需要确保使用的是最新版本的 WordPress。
有关此主题的更多信息,请参阅我们的指南,了解为什么应始终使用最新版本的 WordPress。
同样,WordPress 插件也经常更新以引入新功能或修复安全和其他问题。确保您的 WordPress 插件也是最新的。
11. 创建自定义登录和注册页面
许多 WordPress 网站要求用户注册。例如,会员网站、学习管理网站和在线商店需要用户创建帐户。
但是,这些用户可以使用他们的帐户登录 WordPress 管理区域。这不是一个大问题,因为他们只能执行其用户角色和能力允许的操作。
但是,它会阻止您正确限制对登录和注册页面的访问,因为您需要这些页面供用户注册、管理其个人资料和登录。
解决此问题的简单方法是创建自定义登录和注册页面,以便用户可以直接从您的网站注册和登录。
有关详细的分步说明,请参阅有关如何在 WordPress 中创建自定义登录和注册页面的指南。
12.了解 WordPress 用户角色和权限
WordPress 配备了强大的用户管理系统,具有不同的用户角色和功能。将新用户添加到 WordPress 网站时,您可以为其选择用户角色。此用户角色定义他们可以在您的 WordPress 网站上执行哪些操作。
分配不正确的用户角色可能会给人们带来超出他们需要的能力。为了避免这种情况,您需要了解 WordPress 中不同用户角色具有哪些功能。
有关此主题的更多信息,请参阅我们的WordPress 用户角色和权限初学者指南。
13.限制WordPress仪表板访问
某些 WordPress 网站的某些用户需要访问仪表板,而某些用户则不需要。但是,默认情况下,他们都可以访问管理区域。
要解决此问题,您需要安装并激活删除仪表板访问插件。激活后,转到“设置”»“仪表板访问”页面,然后选择哪些用户角色将有权访问您网站上的管理区域。
有关更详细的说明,请参阅有关如何限制 WordPress 中的仪表板访问的指南。
14. 注销空闲用户
在用户明确注销或关闭浏览器窗口之前,WordPress 不会自动注销用户。对于包含敏感信息的 WordPress 网站来说,这可能是一个问题。这就是为什么金融机构网站和应用程序会在用户不活跃时自动注销用户。
要解决此问题,您可以安装并激活非活动注销插件。激活后,转到“设置”»“非活动注销”页面,然后输入您希望用户自动注销的时间。
有关更多详细信息,请参阅我们关于如何在 WordPress 中自动注销空闲用户的文章。
我们希望本文能帮助您学习一些新的技巧和技巧来保护您的 WordPress 管理区域。您可能还想查看我们针对初学者的终极分步WordPress 安全指南以及我们专家精选的最佳WordPress 安全插件。
