前言
WordPress是一款开源、直观易用的内容管理系统,最初设计用于博客,现已发展成适用于各类网站的强大工具,拥有丰富的插件和主题生态系统,深受用户欢迎。
虽然wordpress的发展已经很成熟了,但是现在的黑客技术也是突飞猛进,很多新手创建网站之后没有注重wordpress的安全问题,就会出现网站被串改,被挂马,被植入后门等,而且还浑然不知!
今天就来分享一下新手可以如何提升网站的防护,不至于经常被黑客光顾!
防护措施
防护措施其实有很多方面可以讲,内容太多了,对于新手使用插件是最快的方法!
今天主要分享下哪几款比较好用的安全防护插件
1.WPS Hide Login
从我们网站创建上线之后,如果不修改我们的后台登录地址的话,那么你的后台地址其实任何人都可以看到。wordpress的默认后台地址是/wp-admin和/wp-login.php,这其实是非常不安全的存在!
“WPS Hide Login” 插件其主要功能是隐藏WordPress登录页面的默认URL,提高网站的安全性。修改后自己要记住这个地址,怕忘记就在本地保存一下!
主要功能
- 自定义登录URL: 允许用户自定义WordPress登录页面的URL,替换默认的/wp-login.php,使其更难被暴力攻击或恶意访问。
- 404错误保护: 插件会在尝试访问默认登录URL时返回404错误,使潜在攻击者难以确认实际登录位置。
- 简单配置: 提供简单直观的设置页面,让用户轻松配置自定义登录URL,无需深入了解技术细节。
- 无需修改核心文件: 通过插件实现功能,无需直接修改WordPress核心文件,减少对系统的影响。
- 轻量级: 插件本身体积小巧,对网站性能影响较小,不会导致加载速度下降。
2.Math Captcha
Math Captcha 这个插件添加了一个数学问题验证码,用户需要解答简单的数学问题才能完成登录。
特点包括:
- 选择在哪里使用数学验证码:登录页、注册页和丢失密码页、评论、联系表格 7 和 bbPress
- 隐藏登录用户的验证码
- 选择要使用的数学运算
- 将验证码显示为数字和/或单词
- 一页支持多个验证码
- 阻止垃圾邮件机器人直接访问 wp-comments-post.php
- 设置验证码字段标题的选项
- 设置验证码输入时间的选项
- 包含翻译的 .pot 文件
- IP 过滤(隐藏 IP 或子网的验证码)
- GEO 过滤(隐藏选定受信任国家/地区的验证码)
- 后台设置保存启用即可
3.Wordfence安全
Wordfence Security是一款用于WordPress网站的综合性安全插件,旨在提供强大的安全性防护和监控功能。
Wordfence安全功能很强大,包括防火墙保护,登录尝试监控,漏洞扫描(收费版),实时流量监控,两步验证,性能优化等
简单说下它的两步验证
两步验证:开启两步验证之后,需要搭配google Authenticator(谷歌身份验证器),提供额外的安全层,确保只有授权用户能够访问后台。
google Authenticator(谷歌身份验证器)是一种双因素身份验证(2FA)工具。除了常规的用户名和密码外,用户还需要使用手机上的Google Authenticator生成的动态验证码来完成登录。
登录后台输入账户,密码,数学计算问题
然后下一步就会跳转到第二步验证,在手机app上打开google Authenticator,此时此刻显示的就是当前的验证码,一分钟自动刷新一个新的验证码。
总结
安装网上上面三个插件,基本上你的后台安全度已经很不错了,当然你还可以安装Jetpack,它也有安全防护功能,比如防火墙保护,宕机时间监控等
使用注意事项:
在安装和配置插件之前,建议先进行网站备份,以防配置变更导致问题。
插件的目的是增加登录安全性,但并不代表可以忽视其他安全措施,如使用强密码、定期备份等。
留言 | Comments