更改您的 WordPress 登录 URL 并隐藏您的 wp-admin 以智取黑客并防止暴力攻击……让您的网站比您想象的更难破解!
我们不要自欺欺人.即使是脚本小子也知道,要让 WordPress 网站所有者的生活变得悲惨,他们所要做的就是找到 WordPress 登录页面并猜测用户名和密码.
猜密码,顺便说一句,这并不难,特别是如果您在大多数登录时使用相同的密码并分享您的一生在社交媒体上.
WordPress 是世界上最受欢迎的 CMS 平台,这使其成为黑客和恶意登录尝试不可抗拒的磁铁.即使是最优秀的人也可能被一个可以使用蛮力工具的隐秘特立独行者打败,这些工具会通过一遍又一遍地点击您的 WordPress 登录页面来自动尝试猜测您的用户名和密码.
对抗蛮力攻击的最佳方法……隐藏!
暴力尝试登录 WordPress 非常普遍,甚至在 Codex 中有一个页面 专注于该主题.
但是……为什么要让黑客和恶意机器人有机会尝试猜测您的登录详细信息?只需隐藏您的 WordPress 登录页面,大多数机器人和自动化软件甚至都不知道您的网站存在.
在本文中,您将学习如何实施一种最简单、最简单的策略来保护您的网站免受黑客和恶意机器人的攻击:更改您的 WordPress 登录 URL、隐藏您的 wp-admin 和 wp-login 页面并将不需要的访问者从您的登录页面重定向.
为什么要更改 WordPress 登录 URL?
我有一个几年前安装的标准 WordPress 网站.要进入登录页面,您只需转到 /wp-admin 或 /wp-login.php.
这个网站没有看到大量的流量.在一个典型的月份,它会产生大约 5,000 次综合浏览量.然而,该站点的登录页面经常会看到恶意登录尝试.我在这个网站上激活了 Defender 插件,它会跟踪号码阻止的恶意登录尝试.自从我开始跟踪被阻止的恶意登录尝试次数后,我可以看到我的网站每月处理数百次恶意登录尝试,平均约为 每天 24 次,或每 60 分钟一次恶意登录尝试.
登录尝试不会以每小时一次的固定速度进行.几个星期都可以过去,而不会记录一次恶意登录尝试.然后,突然之间,在短时间内记录了几百甚至几千次登录尝试.
大多数设置为标准安装的 WordPress 网站都会定期遇到试图登录 WordPress 仪表板的蛮力攻击.不管你知不知道,你的可能也是如此.
隐匿的 WordPress 安全
您可能认为使用精明的登录可以保证您的网站安全.
黑客可以轻松判断网站是否由 WordPress 提供支持(通常只需查看页面源代码即可).
一旦黑客知道您的网站在 WordPress 上运行,他们也知道如何找到您的 WordPress 登录 URL(剧透警告:默认的 WordPress 登录 URL可以通过输入您的域名找到,后跟 /wp-login.php
).
当您访问 wp-login.php 时,默认的 WordPress 行为会加载登录页面.改为输入 wp-admin,您将被自动重定向到 wp-login.php.
除非您知道如何更改您的管理员用户名,否则您友好的邻居motherf 黑客也会知道您的用户名是最可能类似于 admin
.
黑客现在要做的就是猜测密码.即使他们无法猜测密码但继续尝试,这可能会耗尽您服务器的资源,并可能最终导致您的网站关闭.
如果他们看不到,他们就无法破解
许多黑客都是投机取巧的人,他们寻找成熟且易于采摘的低垂果实.
如果你不想别人偷你的水果,就把你的树藏起来.
继续这个非常糟糕的类比(当生活给你柠檬......),您的 WordPress 登录页面让管理员用户可以访问整个果园,因此作为我们"通过默默无闻创造安全"策略的一部分,让我们隐藏您的登录页面来自除管理员之外的其他所有人的 URL.
可选步骤:在自己的目录中安装 WordPress
无论您是处理全新的 WordPress 安装还是现有的 WordPress 网站,只要有可能,请考虑在子目录中安装 WordPress.虽然这不会阻止黑客找到你的 WordPress 登录页面,如果他们故意选择你的网站为目标,它会阻止许多随机机器人和恶意用户寻找简单的目标来开始攻击你的网站并摇晃你的树以查看结果.
将您的 WordPress 网站安装在子目录中,是迈向"通过默默无闻实现安全"的良好开端.
一如既往,在您执行任何其他操作之前,如果您要移动现有的 WordPress 安装,请创建您网站的完整备份和将其存储在您不会意外删除或修改的地方.(相关:如何备份您的备份以进行防弹保护)
还有一件事.创建子目录时,请选择一个不太容易预测的名称,例如 http://example.com/wordpress 或 http://example.com/wp.取而代之的是,选择一些没有人能够猜到的独特内容,例如 http://example.com/dwiiw(directory 的首字母缩写词) w这里I i安装了WordPress.)
您是否选择在子目录中安装 WordPress 作为额外的安全预防措施取决于您.
下一步是隐藏您的登录页面 URL(并可选择将 wp-login.php 访问者重定向到您网站上的另一个页面).
有几种方法可以对其他用户隐藏您的 WP 登录页面:
- 使用插件屏蔽您的登录网址(最简单的方法)
- 在没有插件的情况下屏蔽您的 WordPress 登录 URL(极客方式)
- 修改您的 .htaccess 文件("我需要从头开始编写所有代码"的方式)
隐藏您的网站登录页面 – 免责声明
在我们开始之前,如果您的网站需要一个登录页面,其他用户可以轻松找到(例如会员网站),则不建议使用下面分享的策略.
如果您的网站不是会员网站,并且登录尝试仅限于十几个或更少的管理员、作者、编辑和贡献者,那么隐藏您的登录页面将有助于保护您的网站免受恶意登录尝试.
使用插件隐藏 wp-login.php
有许多免费的 WordPress 插件可以让您隐藏登录页面 URL.其中一些插件还可以让您将 wp-login.php 访问者重定向到您网站的另一个页面.只需访问 WordPress.org 插件目录并搜索"隐藏 WP 登录"即可查看您可以使用的安全插件列表.
对于本教程,我们将使用 WPMU DEV 自己的 Defender 插件.
Defender 允许您隐藏和重定向 wp-login.php,并包含许多其他顶级安全功能.
您可以从 WordPress 插件存储库免费下载 Defender 或如果您是 WPMU DEV 成员,请继续从以下位置安装 Defender Pro您的 WordPress 站点管理中心.
注意:有关完整的安装和配置说明,请参阅Defender 插件文档部分.
安装并激活插件后,导航到您的主 WordPress 仪表板菜单并转到 Defender >仪表板.
找到"Mask Login Area"部分,然后点击"Active"按钮打开该功能.
单击"完成设置"按钮以显示 URL 屏蔽选项屏幕.
这会显示高级工具屏幕.