保護 WordPress 登錄的 4 種方法

黑客不需要狡猾或老練就能得到他們想要的東西。 通常，他們只是從前門闖入。 使用正確的工具會有所幫助，但您還可以採取更多措施來保護您的網站並確保 WordPress 登錄安全。

在這份由 Aussie Hosting 的 Nathan Finch 撰寫的報告中，他們根據不同的託管公司的表現對其進行了審查和比較。 他們發現，停機時間較長的公司的服務器維護不善，這增加了安全問題的風險。

據報導，由於 WordPress 登錄安全問題，如惡意軟件和網絡釣魚，谷歌每週將大約 70,000 個網站列入黑名單。 您抵禦滲透的第一道防線是保護您的 WordPress 登錄信息。 這種形式的訪問控制似乎很簡單，但您會驚訝於最簡單的安全措施經常被忽視或被擱置。

無論您的託管服務在後端提供何種安全功能，作為網站所有者，您都無需承擔任何責任。

– 來源：Wordfence

是什麼讓 WordPress 登錄變得脆弱？

WordPress 的流行使它成為一個簡單而有吸引力的目標。 但是，是什麼讓平台容易受到攻擊和利用呢？

一方面，黑客在破解系統之前會進行大量偵察。 他們知道某些 WP 版本比其他版本具有更多的漏洞，並且該平台已經存在了足夠長的時間，專業人士知道它們是什麼。 版本號位於您的網頁和 URL 中，除非您將其刪除。

查看您的目錄還提供了許多有用的信息，例如您安裝的插件和主題的類型。 因為它適用於開源編碼，所以將未使用或不受支持的插件留在您的目錄中，即使它們被禁用，也是黑客獲取代碼訪問權限的一種簡單方法。 一旦進入，他們就可以啟動漏洞利用、更改編碼、劫持會話或將您鎖定在自己的網站之外。

黑客可以通過瀏覽文件夾位置並檢查“Index Of”響應來檢查您的目錄索引，如下所示：

/wp-內容/

/wp-內容/插件/

/wp-內容/主題/

/上傳/

/圖片/

他們可以使用腳本工具或用普通的HTML請求被動搜索查找電話簿中的弱勢插件通過主動搜索。 這是通過查看 HTML 源代碼並通過 CSS 樣式表、註釋和 JS 鏈接搜索已安裝的插件來實現的。

黑客訪問 WordPress 網站的另一種方式是通過用戶枚舉。 這是蠻力攻擊的簡單前奏，包括通過字典攻擊發現用戶名並猜測其密碼或嘗試通過默認機制進入。 例如，可以通過迭代他們的 ID 並將其添加到 URL 中來發現用戶，如下所示：

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

如果它有效，登錄 ID 將通過 303 重定向顯示。

用於漏洞測試的名為WPScan的工具可以在不到一分鐘的時間內篩選出數百個可能的密碼。 它能夠在幾秒鐘內從廉價主題返回以下輸出：

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* 剪輯 ********************

[+] 啟動密碼暴力破解

使用 500 個密碼強制使用用戶“testadmin”... 100% 完成。
[+] 2013 年 7 月 18 日星期四 03:39:02 完成
[+] 已用時間：00:01:16

保護 WordPress 登錄的 4 種方法

幸運的是，WP 開發人員和用戶社區在提供支持方面都很勤奮。 因此，有一些免費可用的工具和最佳實踐可供您學習和部署，以確保您的網站安全。

您可以實施以下四種技術來提高 WordPress 登錄安全性。

1.刪除WP版本號

由於黑客在檢查漏洞時通常首先查找版本號，因此這是您在設置網站時應該更改的第一件事。 這應該以這樣一種方式完成，即從頁面、URL 和元標記中刪除它，而不刪除標題掛鉤或其他在 Internet 上被吹捧的不良方法。

刪除 WP 版本號的最佳方法是將這段代碼添加到functions.php 文件中：

要從標題中刪除：

 remove_action('wp_head', 'wp_generator');

要從 RSS 提要中刪除：

 函數 remove_version_info() {
返回 '​​';
}
add_filter('the_generator', 'remove_version_info');

從腳本和样式中刪除版本號：

 函數 remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg('ver', $src);
返回 $src;
}
add_filter('style_loader_src', 'remove_version_from_style_js',9999);
add_filter('script_loader_src', 'remove_version_from_style_js',9999);

無論您何時安裝 WP，您都應該在 WordPress 發布後立即將其更新到最新版本。 插件和主題也是如此。

閱讀更多：更新對於 WordPress 安全至關重要！

2. 更改您的登錄網址

WP 管理員的默認登錄地址是 yourwebsite.com/wp-admin，幾乎每個熟悉該平台的人都知道這一點。 所需要的只是在域名後添加 /wp-login.php 即可進入。只需對 URL 進行簡單的更改即可防止黑客猜測您的登錄頁面。

您可以使用iThemes Security 之類的插件來有效地完成此操作。

3. 減少登錄嘗試次數

另一個有缺陷的 WP 默認功能是允許無限制的登錄嘗試。 這使得字典攻擊和其他密碼猜測技術成為可能。 iThemes Security 插件具有一項功能，可在一定次數的登錄嘗試失敗後鎖定您的網站並向您發送警報。

如果您只需要登錄註銷功能，您可以安裝一個名為Limit Login Attempts Reloaded的插件並進入其設置以配置允許的登錄次數。

4. 限制訪問和使用兩步驗證

到目前為止，您應該知道使用兩因素身份驗證插件來選擇安全密碼。 限制訪問的下一步是限制可以訪問您網站內部工作的人數。 第三，使用 2-Factor 身份驗證，即使用密碼和加密密鑰的組合登錄。

最後的想法！

雖然本文中解釋的這些安全預防措施和預防措施不會 100% 保護您的站點，但它們將提供巨大的安全措施。

請務必記住，黑客和惡意第三方正在尋找進入您網站的最簡單的後門程序。 大多數情況下，自動化解決方案用於查找這些後門。

保護您的 WP 登錄名可以關閉這些門，並確保唯一可以訪問您的站點的人是您自己。

免責聲明：這是AussieHosting的Nathan Goldfinch 提供的客座帖子。