WordPress是最受欢迎和使用最广泛的博客平台。它支持各种网站,从简单的博客到功能齐全的商业网站。全球26%的网站使用WordPress。由于这种流行,黑客和垃圾邮件发送者对破坏WordPress运营网站的安全性产生了浓厚的兴趣。
仅2017年1月,WordFence就报告了平均每天2600万次针对WordPress网站的暴力攻击。在同一份报告中,他们记录了在同一时间段内每天平均470万起更复杂、更有针对性的攻击。这是很多人和机器人做得不好。WordPress网站的安全性是一件大事,从登录屏幕开始就可以保护它。所以,让我们开始让WordPress站点的登录页面更加安全。
1. Don’t use admin as a username这可能是作为WordPress用户可以采取的最简单的WordPress安全基线步骤。它不需要任何费用,而且安装也很容易。今天的大多数攻击都是针对您的wp管理员/wp登录访问点,使用管理员和一些密码的组合,这就是所谓的暴力攻击。常识告诉我们,如果删除admin,也会彻底杀死攻击。
只需在WordPress中的“用户>新用户”中创建一个新用户,并使其成为具有管理员权限的用户。之后,删除管理员用户。不要担心管理员用户已经创建的帖子或页面。WordPress会很好地问你:“该如何处理该用户拥有的内容?”并允许您选择删除所有内容或将其分配给新用户,就像您刚刚创建的用户一样。
2.Use a Strong Password
强制登录页面是您的网站可能面临的常见web攻击形式之一。如果你有一个容易猜测的密码或用户名,那么你的网站几乎肯定不仅仅是一个目标,而且最终会成为受害者。
玩弄网站的密码并定期更改。通过添加大小写字母、数字和特殊字符来增强其强度。对所有用户强制使用强密码
3.Limit login attempts这是一种非常简单的技术,可以阻止对登录页面的暴力攻击。暴力攻击通过反复尝试多种组合来获取正确的用户名和密码。
如果跟踪了实施攻击的特定IP,那么您可以阻止重复的暴力强迫尝试,并确保您的站点安全。设置限制登录尝试次数以防止暴力攻击。
4.Stay up-to-date很大一部分网站黑客来自过时、易受攻击的插件版本。
每一个好的软件产品都有开发人员的支持,并且会不时更新,但WordPress的更新非常频繁。这些更新是为了修复bug,有时还有重要的安全补丁。
所以定期更新你的WordPress、插件和泰晤士河。
5. Back up your site regularly无论你的网站多么安全,总有改进的空间。但归根结底,无论发生什么情况,保持异地备份可能是最好的解毒剂。
如果您有备份,您可以随时将WordPress网站恢复到工作状态。有一些插件可以在这方面帮助您。
WP All Backup插件可帮助您轻松创建备份和恢复备份,只需单击一次。手动或自动备份,还可以将备份存储在安全的地方—dropbox、FTP。
创建整个网站的备份:即数据库、当前WP核心、所有主题、插件和上载。
WP ALL备份使WordPress管理员能够将站点从一个位置迁移、复制或克隆到另一个位置。如果您需要移动WordPress或备份WordPress,此插件可以帮助简化过程。
6.Set strong passwords for your database必须为主要数据库用户提供一个强大的密码–WordPress用于访问数据库的密码。
一如既往,密码使用大写、小写、数字和特殊字符。
7.Set up website lockdown and ban users针对失败登录尝试的锁定功能可以解决一个巨大的问题,即不再有连续的暴力尝试。每当有黑客试图使用重复的错误密码时,网站就会被锁定,并且您会收到有关此未经授权活动的通知。
WP用户WordPress插件具有减缓暴力攻击、限制登录尝试、锁定时通知、密码正则表达式、Google reCAPTCHA、登录日志、批准/拒绝用户、自动/电子邮件批准用户的机制。
