WordPress是最受欢迎的CMS,它帮助成千上万的用户们创建各种各样的网站和博客。与此同时,它也存在一系列的可能带来大危险的安全问题。这些安全问题可能会导致你的网站被黑客攻击或者导致你的电子商务销量大幅度降低。因此,站长们应该要随时注意这些安全问题并且尽可能快地解决它们。
众所周知,登录页面是通往WordPress网站的大门。一旦黑客拿到这扇门的钥匙,他们就能进入你的网站做一些破坏你网站的事。所以,为了消除一些潜在的WordPress安全问题,提高登录安全十分有必要。许多WordPress用户总是觉得更改默认设置很麻烦,例如他们会把”admin”默认为用户名,然而正是这样的行为给了黑客入侵他们网站的机会。
如果你想管理好你的网站,就一定要在安全方面花心思。今天我们总结了几个常见的WordPress安全问题以及提高WordPress网站登录页面安全的方法来帮助大家抵御黑客的进攻。
一、常见的WordPress安全问题
1、安全系数弱的用户名和密码
你有必要知道这么一点,WordPress会给每个用户一个默认的用户名,即admin,而且所有的黑客也都知道这一点。所以一旦你完成你的WordPress安装,你第一步要做的就是更改你的用户名。当然了,只是更改用户名对于抵御黑客攻击来说是远远不够的,如果你的密码强度不够大,黑客就可以毫不费力地破解。所以,为了保证你的网站不被黑客攻击,你需要设置一个强度很大的密码,它最好同时包括大小写字母,数字和字符。
你可以通过控制面板来更改你的用户名和密码。除此之外,为了加强你的网站安全,你可以采用用于导入,输出,和备份数据库的phpAdmin。 当然了,无论你采取哪种方法,你都要记得做好密码的保密工作。
2、免费的主题
在创建完你的WordPress网站之后你需要挑选一个漂亮的主题来装扮你的网站让它变得更独特。我们都知道,WordPress和许多主题供应商们提供了很多各种各样的免费主题供站长们使用。但是这些免费的主题大多数都使用了带有隐藏恶意编码的base64编码。所以,一旦使用这些主题,你就可能会把恶意软件带到你的账户,使得黑客更容易地入侵你的文件。
为了解决这个问题,避免你的网站受到入侵,我们建议你从顶级的主题市场选择一些高质量的主题来装扮你的网站。像Mojo 主题, Gabfire 主题,还有很多其他的主题市场。在这些顶级的主题市场里面你就比较容易获得一个高质量的WordPress主题,从而把你的网站装扮得更独特更美观,无论你的网站是关于酒店,杂志,婚礼还是其他的。
3、不好的插件
使用高质量的插件来改善你的网站是让你的网站变得更好的方法之一,此外,安装WordPress插件在你的网站上之后你就可以添加一些新功能在你的网站上。但是,如果你用错了插件,你就可能会让你的网站受到攻击。所以,我们真诚地建议你从WordPress官网上选择选择功能强大的,高质量的,易于使用的插件。
在WordPress.org,你可以选择有不同用途的插件,比如说你可以使用wiki插件来加入wiki功能。你也可以选择缓存插件来加速你的网站,还有你可以使用电子商务插件来提高你的销量,使用安全插件来保护你的网站。当然了,你还可以选择很多其他功能的插件。
4、不安全的托管服务
无论你使用什么版本的WordPress来创建网站,一旦有人利用了你托管平台上旧版PHP或者其他服务中的漏洞,那么你的网站就有可能被入侵。所以,你应该选择一个特别安全的主机公司来托管你的网站。当面临虚拟主机选择的时候,你一定要清楚地了解哪些主机供应商提供最新版本的PHP和MySQL。
而且,你需要在你的账户中采用账户隔离,网页应用防火墙和指令检测系统。事实上,保证网站安全的关键是你需要选择一个较好的主机供应商。我们必盛互联 的技术人员每天24小时不间断监测我们的数据中心,服务器和网络,所以我们能给大家提供安全性高的WordPress网络托管服务。
5、过时的WordPress,主题和插件
许多黑客都想通过软件开发漏洞来寻找入侵你网站的方法,这也就意味着过时的软件,主题和插件可能会给你带来一些麻烦。 所以,你需要保证你所使用的软件,主题和插件都是最新版本的。无论你是登陆你的WordPress网站还是登陆你的控制面板,你首先要做的第一件事就是查有没有新版本的更新提醒,如果有,一定要更新到最新版本。
除此之外,你一定要快速地查看你所访问的网站所提供主题和插件有没有更新。在看到新版本出现之后记得要及时更新。
二、提高Wordpress登录安全的主要方法
1、用密码保证wp-login.php的安全
由于wp-login.php是大多数WordPress网站的默认登录页面,入口密码保护有助于阻止未经授权的访问或者恶意访问。除此之外,这个方法也可以帮助减少强力攻击。一般来说,你可以通过这两种方式来实现密码保护:手动添加密码或者使用WordPress插件。
如果你选择手动设置的方法,你需要完成以下两个步骤。第一步:你需要创建一个文件并命名为.wpadmin,把新的用户名和密码放在这个文件中,格式为“用户名:密码”,然后把这个文件上传到访客看不到的主目录中。第二步:你需要用以下代码修改/home/username/.htaccess文件。
如果说你想用简单一些的方法的话,你可以使用插件。功能强大的AskApache Password Protect是一个不错的选择。使用这款插件,你可以通过简单的设置获得登录页面的密码保护功能。但是为了防止出问题记得要备份你的网站。
使用密码保护wp-login的方法来加强WordPress登录安全是快速而有效的,但是如果你管理的网站是一个拥有大量用户的大网站的话我们不推荐你使用这种方法。
2、限制管理区域的登录请求
即使近几年来的黑客入侵越来越先进,依然有很大部分尝试登录是使用自动机器人猜测你的密码然后入侵你的网站。这个问题你可以通过限制管理区域的登录请求来解决。
设置限制最好的方法是使用安全插件,例如Login LockDown,激活插件以后,你可以设置一定时间段内登录失败的次数。这个插件可以记录每个登录失败的IP地址信息和禁用在短时间内发
送太多登录请求的IP的登录功能。
3、确保所有用户都使用高强度的密码
从你开始管理一个WordPress网站,你就应该知道高强度登录密码的重要性,一定要设置一个黑客难以推测到的密码,还有在不同的区域一定要使用不同的密码。你最好使用密码强度检测器来检测你的
密码强度是否足够强。
如果你的网站不止一个用户,你应该确保所有其他的用户的密码对于保护登录区域来说足够强。使用Force Strong Passwords 插件能够帮助所有用户获得高强度密码。
4、设置谷歌两步验证
现如今两步验证的方法被广泛用于提高网站安全性,因为它可以生成并发送一个验证码到你的手机,而别人收不到。这个方法也可以应用到WordPress网站上,最常用的方式就是使用谷歌提供的认证。
你可以通过以下步骤设置谷歌两步验证,在你的WordPress网站安装谷歌身份验证器插件和在你的智能手机上安装谷歌身份验证器的应用。用这种方法,你在登录时候就不止需要输入用户名和密码,还要输入发到你手机上的验证码。这样的验证也能够提高你登录页面的安全性。
总结,无论你做了多少努力,都无法彻底杜绝密码被盗的风险。最好的方式,就是定期备份网站的文件和数据库。点击查看WordPress备份插件推荐。