如何保护您的 WordPress 登录页面：最佳实践

评估您网站的安全级别需要从最明显的入口点开始：您的登录页面。拥有一个安全的 WordPress 登录页面对于防止安全漏洞至关重要。

较差的登录安全性会对您的数据保护程度以及您为网站访问者提供的安全级别产生巨大影响。尽管WordPress是一个非常安全的CMS平台，但由于其巨大的受欢迎程度，它通常容易受到攻击。未受保护的登录页面可能是恶意实体最方便的入口点之一，并可能给您（作为网站所有者或管理员）带来巨大的安全问题。

WordPress登录页面安全吗？

认真对待 WordPress 登录安全性意味着查看登录页面的每个可利用方面。虽然 WordPress 登录页面是安全的，但它并非坚不可摧。创建一个 100% 防弹的网站，该网站无法被黑客入侵且可利用的功能为零，这不是您可以做的事情。您可以做的是让黑客尽可能难以访问您的数据。

例如，在一定程度上让您立即暴露的一件事是，除非更改，否则登录页面位于众所周知的位置 （www.sitename.com/wp-admin/）。这是创建 WordPress 网站后 WordPress 登录页面的默认位置。这意味着黑客确切地知道攻击哪里。

我们需要考虑的另一个漏洞是允许无限制的登录尝试。这意味着，除非您实施额外的安全措施，否则机器人可以通过暴力攻击强制登录。

WordPress 是一个安全的 CMS，它默认提供一系列保护措施。例如，SSL 加密是所有 WordPress 网站的默认设置。防火墙已到位。定期进行安全测试。WordPress提供数据备份和恢复选项，以防所有其他方法都失败。一个专门的安全团队孜孜不倦地工作，并致力于保护通过WordPress网站共享的所有数据。

尽管采取了所有这些安全措施，但您仍然应该注意一些漏洞。限制登录尝试和更改登录 URL 可以对您的 WordPress 登录的安全性产生积极影响。

如何保护WordPress登录页面？

好消息是，您可以通过多种方式影响 WordPress 登录过程的安全级别。您可以从许多技巧和窍门中受益，幸运的是，我们知道其中的大部分。以下是一些最重要的：

1. 实施强密码策略

我们越是了解拥有一个安全网站意味着什么，我们往往会比我们应该做的更进一步。有时，拥有一个安全的WordPress网站的最简单解决方案就是简单地注意我们设置密码的方式。

为了更好地理解强密码的威力，让我们看看根据密码的字符数，通过暴力破解密码需要多长时间。

• 8 个字符 – 如果它只包含数字，可以立即破解;如果包含数字、大小写字母和特殊字符，可以在 5 分钟内破解。
• 10 个字符 – 如果它只包含数字，可以立即破解;如果包含数字、大小写字母和特殊字符，可以在 2 周内破解
• 12 个字符 – 如果它只包含数字，可以在 1 秒内破解;如果包含数字、大小写字母和特殊字符，可以在 226 年内破解
• 16 个字符 – 如果仅包含数字，则可以在 1 小时内破解;如果包含数字、大小写字母和特殊字符，可以在 50 亿年内破解。

如您所见，强密码可以产生巨大的影响。只需使用强密码，就可以将 5 分钟的暴力破解变成长达 50 亿年的暴力破解。当然，拥有一个强密码，记住它，并在每次登录时使用它可能很困难。

这就是为什么某些服务（密码管理器平台）可以成为帮助您克服必须使用强密码的困难的绝佳工具。

2. 激活双因素身份验证 （2FA）

双因素身份验证可能是提高 WordPress 登录安全性的另一种好方法。顾名思义，2FA 为您执行的每次登录添加了第二层保护。它基于每次登录时使用您知道的东西和您拥有的东西的原则，它可以极大地减少安全漏洞。

2FA 是一项服务，每次您想登录您的网站时，您都需要使用您之前设置的密码和生成并发送给您的唯一代码。您可以选择通过电子邮件、短信、电话或特殊的身份验证器应用程序获取发送给您的验证码。

您可以使用专用插件在 WordPress 登录页面上集成双因素身份验证。一些最好的 2FA WordPress 插件是：

• Two Factor
• WP 2FA系列
• miniOrange的谷歌身份验证器

3.安装全面的WordPress安全插件

通过使用安全插件，可以显着提高 WordPress 登录安全性和整体安全性。有几种选择，有些可以保护您的网站免受各种潜在威胁。

总体而言，WordPress的安全性通常与网站中最不安全的组件一样好。这意味着，即使WordPress的核心是安全的，由于您使用的插件，您可能会面临其他几个漏洞。

将一些资金和网站资源投入到一个好的 WordPress 安全插件中，可以保护您的 WordPress 网站免受不仅仅是登录漏洞的影响。一些最好的 WordPress 安全插件有很多用于保护网站的应用程序，可以大大降低您的网站被黑客入侵的机会。以下是一些最好的：

• 字栅栏
• 一体化安全 （AIOS）
• Jetpack 保护

4.限制登录尝试次数

影响 WordPress 网站的最常见攻击类型之一是暴力攻击。这包括一种算法，尝试一次尝试猜测您的密码。防止这种情况的最简单方法之一是限制登录尝试。

不幸的是，WordPress 没有内置功能来限制登录尝试。这意味着为了能够限制 WordPress 中的登录尝试，您将需要一个包含此选项的安全插件或专用插件。以下是一些顶级专用插件：

• 限制重新加载的登录尝试次数
• 登录者
• WPS限量登录

5.更改默认的WordPress登录URL

保护您的网站免受暴力攻击的另一种方法是简单地更改您用于登录的 URL。如前所述，默认情况下，WordPress 具有相同的登录目的地，这类似于 www.sitename.com/wp-admin/。

黑客知道这一点，并且能够使用机器人自动攻击，这些机器人只需尝试查找每个网站的登录页面 URL，然后开始“猜测”密码的过程。

如果您更改登录页面 URL，您将显着降低机器人找到您的登录页面的机会，从而使它们甚至无法发起暴力攻击。您可以使用具有此选项的安全插件或使用专用插件（如 WPS Hide Login）轻松执行此操作。

6. 在您的登录页面添加额外的密码层

您可以在登录 WordPress 仪表板的过程中添加一个额外的步骤，可以对您的 WordPress 网站的安全性产生巨大影响。除了上面提到的安全措施（以及下面的安全措施）之外，您还可以选择通过在托管级别使用密码保护您的登录页面来添加另一层保护。

根据您的托管服务提供商是谁，此过程可能会有所不同。主要思想是访问您的 cPanel 或等效的控制面板，导航到您网站的文件夹，然后找到 /public_html/wp-admin/ 文件夹。

如果您使用密码保护此文件夹，则每次尝试访问登录页面 URL www.sitename.com/wp-admin/ 时，甚至在输入 WordPress 用户登录信息之前，您都需要输入用户名和密码。

密码保护 WordPress 是严重降低被黑客入侵机会的好方法。

7.禁用WordPress登录提示

提高 WordPress 登录安全性的另一个重要步骤是简单地禁用 WordPress 在登录尝试失败后本机提供的登录提示。例如，如果您尝试使用不正确的用户名登录，WordPress 将显示一条消息，指出您的用户名错误。

自动地，这些信息对试图找到进入方式的黑客或机器人很有帮助。任何从裂缝中泄露的信息都将在恶意过程中提供很大帮助。

为避免向攻击者提供任何线索，您需要禁用这些登录提示。这样，您就可以删除其他网站不情愿提供的一些信息。要完成此操作，您只需要在函数.php文件中添加几行代码：

function no_wordpress_errors()
{ return 'an error message of your choice.'; }
add_filter( 'login_errors', 'no_wordpress_errors' );

现在，每当登录尝试失败时，WordPress 都会显示“您选择的错误消息”，而不是默认消息，其中包含有关登录信息哪一部分错误的详细信息。

要记住的一件事是，每次WordPress更新时，functions.php文件都会被覆盖，这意味着您刚刚添加的额外代码将消失。

一个易于实现的解决方案是使用专用插件或子主题。 

8.隐藏您的WordPress登录用户名

与拥有强密码相比，我们通常倾向于关注的一件事是，我们的用户名通常代表恶意实体访问我们数据所需的登录信息的 50%。

话虽如此，我们保护密码并使其尽可能安全的努力与努力保持用户名的私密性同样重要。许多 WordPress 网站所有者往往会忘记的一条相关信息是，默认情况下用户名是公开的，因为每个帖子的作者姓名实际上是登录用户名。这可能因设置方式和作者姓名的显示形式而异：昵称/用户名/全名/名字/姓氏。

要使这一重要信息私密，如果您想为自己的用户进行更改，您只需要在“用户”->“个人资料”-“>”昵称“下对WordPress用户配置文件进行一些调整。在这里，您可以将昵称更改为与登录用户名不同的昵称。

如果要为其他用户进行此更改，则需要导航到“用户”菜单，然后在所需用户上单击“编辑”，您可以在其中编辑“昵称”字段。

值得一提的是，作为 WordPress 用户，您将拥有一个用户名（您将用于登录）和一个昵称（将出现在您撰写的所有帖子中）。

在同一页面上，您还可以设置您的公开名称的外观。您应该会看到“公开显示名称为”选项，并且您将能够从下拉菜单中的不同选项中进行选择。

最后要提到的是，任何 WordPress 管理员用户的默认用户名都是 admin。将此用户名更改为任何其他用户名将为您提供额外的网站安全层，因为它将绕过任何使用基于已知漏洞的自动化系统的黑客。

要更改它，您只需单击同一页面上“用户名”字段右侧的“更改用户名”即可。

9. 启用和配置自动注销

对于拥有多个用户的网站尤其重要，配置不同的自动注销规则将大大降低人为错误导致安全漏洞的机会。由于您几乎无法控制用户访问WordPress网站仪表板的方式，因此以另一种方式降低风险非常重要。

例如，如果您的一个用户从公共计算机登录并忘记注销，WordPress 会在 48 小时后自动注销用户。对于在登录屏幕上选中“记住我”框的用户，此期限最多可延长 2 周。

为了缩短这些可能导致严重安全问题的时间范围，您需要使用第三方插件，例如非活动注销、WPForce 注销或其他包含此功能的安全插件。

10. 集成验证码和安全问题

如果您了解一个简单的事实，则可以大大提高 WordPress 登录安全性：网络上的大多数恶意流量都是非人类的。这意味着，在大多数情况下，防止您的网站被黑客入侵是让机器人流量远离它的简单问题。

这就是 CAPTCHA 作为区分人类流量和机器人流量的一种方式。这些是专门设计的图灵测试，您可以在您的网站上使用，以阻止机器人。要实现它们，您需要使用第三方插件，例如：

• 登录 否验证码 reCAPTCHA
• 登录安全验证码
• reCaptcha 的 BestWebSoft

11. 定期审查用户帐户

WordPress 登录安全性也会受到您对有权访问您仪表板的用户的谨慎程度的影响。

如果您的网站贡献者数量高于平均水平，则必须不断检查用户列表及其权限。您应该始终关注活动帐户，并确保在不再需要访问权限时不要让任何用户处于活动状态。

此外，清楚地了解用户是谁以及他们的权限是什么，您将能够注意到是否有任何具有高访问权限的可疑用户突然出现。

为什么要保护您的 WordPress 登录页面？

虽然每天被黑客入侵的WordPress网站的真实数量尚不清楚，但专家估计，每天至少有13,000个网站遭受某种形式的恶意攻击。事实上，每分钟大约有 9 个网站被黑客入侵，这应该让事情从某种角度来看。

当您阅读完本文时，大约有 100 个网站被黑客入侵。

如果你想避免成为这个统计数据的一部分，你应该认真对待WordPress登录安全，这需要从最明显的入口点开始：登录页面。如果你偷工减料，你就会有相当多的风险。

您可能会不情愿地允许恶意行为者访问您的数据，冒着网站完全关闭或污损的风险，或者您可能会将其他用户的个人信息置于危险之中。

这可能会让你付出高昂的代价。无论这转化为金钱损失、用户信任，还是仅仅是您的博客或企业的在线声誉，恶意攻击的后果都可能非常严重。

好消息是，只需相对较少的努力，所有这些都可以避免。将重点放在WordPress登录安全性上可以大大有助于防止各种安全威胁，因此您应该毫不犹豫地尽早进行这些调整。

结论

在提高 WordPress 登录安全性方面付出很少的努力可能是保护您网站的好方法。无论是通过双因素身份验证、添加登录尝试限制、更改用于登录的页面的 URL，还是所有这些，重要的是始终保持领先地位。

您还应该优先考虑随时了解和了解 WordPress 在安全性方面提出的建议，并始终与他们的最佳实践列表保持一致。