保护 WordPress 登录的 4 种方法

黑客不需要狡猾或老练就能得到他们想要的东西。 通常，他们只是从前门闯入。 使用正确的工具会有所帮助，但您还可以采取更多措施来保护您的网站并确保 WordPress 登录安全。

在这份由 Aussie Hosting 的 Nathan Finch 撰写的报告中，他们根据不同的托管公司的表现对其进行了审查和比较。 他们发现，停机时间较长的公司的服务器维护不善，这增加了安全问题的风险。

据报道，由于 WordPress 登录安全问题，如恶意软件和网络钓鱼，谷歌每周将大约 70,000 个网站列入黑名单。 您抵御渗透的第一道防线是保护您的 WordPress 登录信息。 这种形式的访问控制似乎很简单，但您会惊讶于最简单的安全措施经常被忽视或被搁置。

无论您的托管服务在后端提供何种安全功能，作为网站所有者，您都无需承担任何责任。

– 来源：Wordfence

是什么让 WordPress 登录变得脆弱？

WordPress 的流行使它成为一个简单而有吸引力的目标。 但是，是什么让平台容易受到攻击和利用呢？

一方面，黑客在破解系统之前会进行大量侦察。 他们知道某些 WP 版本比其他版本具有更多的漏洞，并且该平台已经存在了足够长的时间，专业人士知道它们是什么。 版本号位于您的网页和 URL 中，除非您将其删除。

查看您的目录还提供了许多有用的信息，例如您安装的插件和主题的类型。 因为它适用于开源编码，所以将未使用或不受支持的插件留在您的目录中，即使它们被禁用，也是黑客获取代码访问权限的一种简单方法。 一旦进入，他们就可以启动漏洞利用、更改编码、劫持会话或将您锁定在自己的网站之外。

黑客可以通过浏览文件夹位置并检查“Index Of”响应来检查您的目录索引，如下所示：

/wp-内容/

/wp-内容/插件/

/wp-内容/主题/

/上传/

/图片/

他们可以使用脚本工具或用普通的HTML请求被动搜索查找电话簿中的弱势插件通过主动搜索。 这是通过查看 HTML 源代码并通过 CSS 样式表、注释和 JS 链接搜索已安装的插件来实现的。

黑客访问 WordPress 网站的另一种方式是通过用户枚举。 这是蛮力攻击的简单前奏，包括通过字典攻击发现用户名并猜测其密码或尝试通过默认机制进入。 例如，可以通过迭代他们的 ID 并将其添加到 URL 中来发现用户，如下所示：

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

如果它有效，登录 ID 将通过 303 重定向显示。

用于漏洞测试的名为WPScan的工具可以在不到一分钟的时间内筛选出数百个可能的密码。 它能够在几秒钟内从廉价主题返回以下输出：

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* 剪辑 ********************

[+] 启动密码暴力破解

使用 500 个密码强制使用用户“testadmin”... 100% 完成。
[+] 2013 年 7 月 18 日星期四 03:39:02 完成
[+] 已用时间：00:01:16

保护 WordPress 登录的 4 种方法

幸运的是，WP 开发人员和用户社区在提供支持方面都很勤奋。 因此，有一些免费可用的工具和最佳实践可供您学习和部署，以确保您的网站安全。

您可以实施以下四种技术来提高 WordPress 登录安全性。

1.删​​除WP版本号

由于黑客在检查漏洞时通常首先查找版本号，因此这是您在设置网站时应该更改的第一件事。 这应该以这样一种方式完成，即从页面、URL 和元标记中删除它，而不删除标题挂钩或其他在 Internet 上被吹捧的不良方法。

删除 WP 版本号的最佳方法是将这段代码添加到functions.php 文件中：

要从标题中删除：

 remove_action('wp_head', 'wp_generator');

要从 RSS 提要中删除：

 函数 remove_version_info() {
返回 '​​';
}
add_filter('the_generator', 'remove_version_info');

从脚本和样式中删除版本号：

 函数 remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg('ver', $src);
返回 $src;
}
add_filter('style_loader_src', 'remove_version_from_style_js',9999);
add_filter('script_loader_src', 'remove_version_from_style_js',9999);

无论您何时安装 WP，您都应该在 WordPress 发布后立即将其更新到最新版本。 插件和主题也是如此。

阅读更多：更新对于 WordPress 安全至关重要！

2. 更改您的登录网址

WP 管理员的默认登录地址是 yourwebsite.com/wp-admin，几乎每个熟悉该平台的人都知道这一点。 所需要的只是在域名后添加 /wp-login.php 即可进入。只需对 URL 进行简单的更改即可防止黑客猜测您的登录页面。

您可以使用iThemes Security 之类的插件来有效地完成此操作。

3. 减少登录尝试次数

另一个有缺陷的 WP 默认功能是允许无限制的登录尝试。 这使得字典攻击和其他密码猜测技术成为可能。 iThemes Security 插件具有一项功能，可在一定次数的登录尝试失败后锁定您的网站并向您发送警报。

如果您只需要登录注销功能，您可以安装一个名为Limit Login Attempts Reloaded的插件并进入其设置以配置允许的登录次数。

4. 限制访问和使用两步验证

到目前为止，您应该知道使用两因素身份验证插件来选择安全密码。 限制访问的下一步是限制可以访问您网站内部工作的人数。 第三，使用 2-Factor 身份验证，即使用密码和加密密钥的组合登录。

最后的想法！

虽然本文中解释的这些安全预防措施和预防措施不会 100% 保护您的站点，但它们将提供巨大的安全措施。

请务必记住，黑客和恶意第三方正在寻找进入您网站的最简单的后门程序。 大多数情况下，自动化解决方案用于查找这些后门。

保护您的 WP 登录名可以关闭这些门，并确保唯一可以访问您的站点的人是您自己。

免责声明：这是AussieHosting的Nathan Goldfinch 提供的客座帖子。