虽然WordPress已经是一个成熟的应用,核心程序的安全性毋庸置疑,但是除了程序本身,我们还需要注重用户名和密码的安全性。raksmart香港VPS主机分享提升WordPress安全性的4个办法
我们想象中,黑客要攻击一个网站的时候,可能会是像电影中那样,通过复杂的工具或者一些其他看似高端的操作来入侵服务器,然而实际情况中,攻击者进入网站账户和普通人进入网站的方式并无不同,而区别在于,他们需要先通过某种方式来获取到你的登陆权限。
除了过期和盗版插件的漏洞之外,暴力攻击和密码盗窃是网站被黑的最常见的两种方式,约占所有被黑的WordPress网站的20%。推荐阅读:《网站备份:网站安全中最强大的工具》
虽然WordPress的登陆系统本身具有极高的安全性,但是黑客任然可以通过下面的方式来获取访问权限:
– 反复尝试用户名和密码组合,知道找到有效组合,这种方式成为蛮力攻击。
– 通过其他方法窃取已经有效的登陆凭据。
这两种攻击方式都是可以通过加强登陆页面和仪表盘的安全性来杜绝的,那么具体需要如何来操作呢,以下是4个个人建议:
1.添加IP白名单
确保只有特定的IP地址可以访问WordPress的仪表盘,IP是唯一的,且几乎不可复制,除非有人可以访问你的电脑,否则几乎不可能通过外部网络登录你的网站后台。
WordPress是支持通过.htaccess文件来设置白名单的, 只需要在.htaccess中加入以下代码:
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP_ADDRESS_ONE$
RewriteCond %{REMOTE_ADDR} !^IP_ADDRESS_TWO$
RewriteRule ^(.*)$ – [R=403,L]
此代码段限制对仪表板及其登录页面的访问。每当有人尝试访问,WordPress 都会根据您列表中的地址检查他们的 IP,如果其中一个是匹配的,他们将被允许登录。推荐阅读:《确保您的网站安全的 7 个方法》
2.为wp-admin目录添加额外的密码保护
即给/wp-admin目录单独加一组目录,可以通过cPanel面板的目录密码保护功能来实现,请务必保证这个密码不同于admin账户本身的密码。这样,即使管理员账户被盗,仪表盘还有另一层保护。
3.为后台登陆增加一层身份验证
双重身份验证就是在登陆过程中添加额外的验证因素,通常可以通过短信,邮件,或者通过一些程序发送的代码的形式,登陆者必须正确输入该代码才能访问。
4.限制用户可以进行登录的尝试次数
如果访问者可以通过无限制的尝试密码来试图登陆后台,那么只需要通过暴力攻击不断尝试,密码就很容易被破解,限制登陆次数可以有效的防止暴力攻击产生的影响,并且一旦发现有可疑登陆,我们也有足够的时间来采取错误保护数据安全。推荐相关阅读:《如何提升网站安全性》
