一个成功的 WordPress 安全策略应该包括加强 WordPress 登录的步骤。安全登录是WordPress 建站开发中应该也特别注意的环节,需要在这篇文章中,北京六翼信息技术有限公司的开发工程师为大家介绍了提高 WordPress 登录安全性的五个简单规则。
WordPress 的伟大之处在于它如何让创建一个几乎任何人都可以访问的网站。但随着可访问性而来的是可预测性。任何有使用 WordPress 经验的人都知道在哪里对网站进行了更改:通过 wp-admin 区域。他们甚至知道需要去哪里访问 wp-admin,即 wp-login.php 页面,也可以访问joowp.com。
默认情况下,每个 WordPress 站点的 WordPress 登录 URL 都是相同的,并且不需要任何特殊权限即可访问。这就是为什么 WordPress 登录页面是所有 WordPress 站点中最容易受到攻击并且可能容易受到攻击的部分。
不幸的是,创建一个在互联网上漫游并实施暴力攻击的机器人并不需要太多技巧,任何初学者级别的黑客都可以创建一个。由于对 WordPress 登录页面的攻击具有较低的进入门槛,因此 WordPress 登录安全对于保护任何 WordPress 站点至关重要。
通过遵循这些规则并使用 WordPress 安全最佳实践,您可以避免出现常见的用户登录错误。
1.使用强密码
互联网上有很多关于密码安全最佳实践的令人困惑和矛盾的信息。为了消除这种困惑,让我们分解一下使用强密码如何提高 WordPress 安全性的基础知识。
每当创建密码时,您首先要考虑的是密码的长度。下面的列表显示了使用四核 i5 处理器破解密码所需的估计时间。
- 破解 7 个字符需要 0.29 毫秒。
- 8个字符需要5个小时才能破解。
- 9个字符需要5天才能破解。
- 10个字符需要4个月才能破解
- 11个字符需要1年时间破解
- 12个字符需要2个世纪才能破解。
如您所见,在密码中添加单个字符可以显着提高登录的安全性。
至少 12 个字符长、随机且包含大量字符(如“ ISt8XXa!28X3 ”)的密码将使破解变得非常困难。
不幸的是,一些黑客正在利用 GPU 和更强大的 CPU 来减少破解密码所需的时间。因此,为了加强您的登录,还要注意您的密码熵。密码熵越大,破解密码的难度就越大。
例如,仅根据长度要求,像“abcdefghijkl”这样的密码是 12 个字符,这很好,需要 200 年才能破解。然而,由于密码使用连续的字母串,与“rfybolaawtpm”这样具有随机字符的密码相比,它使密码更容易预测。
随机化字符会降低密码的可预测性并增加密码的强度。但是这两个密码都有一个共同点,那就是最终会降低密码熵。两者都只使用小写字母,将可能的字符池限制为 26 个。这就是为什么包含字母数字、大写字母和常见 ASCII 字符以将破解密码所需的字符池增加到 92 个至关重要的原因。
2. 为每个帐户使用唯一的密码
在线安全的另一个最佳做法是为您拥有的每个帐户和网站登录使用唯一的密码。这非常重要,我们会再说一遍:您应该为每个站点使用不同的密码。
为什么重用密码如此重要?如果您对每个站点都使用相同的密码,并且其中一个站点遭到破坏,那么您现在在每个站点上的每个帐户都使用了一个被破坏的密码。黑客可以使用与您的电子邮件地址或用户名配对的泄露密码的数据转储来访问您的帐户。最好不要冒险。
重复使用密码的用户越多,您的 WordPress 登录安全性就越弱。
3.限制登录尝试
默认情况下,WordPress 中没有内置任何内容来限制某人可以进行的失败登录尝试次数。攻击者可以尝试登录失败的次数不受限制,他们可以继续尝试无数次用户名和密码,直到成功为止。
通过安装像 iThemes Security Pro 这样的 WordPress 安全插件来限制登录尝试失败的次数,从而提高您的 WordPress 登录安全性。蛮力保护功能使您能够在用户名或 IP 被锁定之前设置允许的失败登录尝试次数。锁定将暂时禁用攻击者进行登录尝试的能力。一旦攻击者被锁定三次,他们将被禁止访问该站点。注意:在决定对失败登录尝试的规则的严格程度时,请牢记站点的实际用户。如果您将锁定规则设置得过于严苛,就会冒无意中将真实用户锁定在外的风险。
4.限制每个请求的外部认证尝试
除了使用登录表单之外,还有其他方法可以登录 WordPress。使用 XML-RPC,攻击者可以在单个 HTTP 请求中进行数百次用户名和密码尝试。暴力放大方法允许攻击者在几个 HTTP 请求中使用 XML-RPC 进行数千次用户名和密码尝试。当您知道攻击者可以使用数据库转储作为起点并对每个请求进行数千次猜测时,它就会更加清楚 WordPress 登录安全的重要性。使用 WordPress Tweaks 设置,您可以阻止每个 XML-RPC 请求的多次身份验证尝试。将每个请求的用户名和密码尝试次数限制为一次,将大大有助于保护您的 WordPress 登录。
此外,当您制定 WordPress 登录安全计划时,请务必注意WordPress Rest API 添加了额外的方法来验证 WordPress 用户。Cookie 身份验证是一种身份验证方法,当您登录时,WordPress 会自动存储一个 cookie,以便插件和主题可以代表您执行功能。Cookie 身份验证将受益于您添加到 wp-login.php 的保护。
5.使用双因素身份验证
我将提高 WordPress 登录安全性的最佳方法保存到最后: WordPress 双因素身份验证。 双因素身份验证需要额外的代码以及您的 WordPress 用户名和密码才能登录。
双因素身份验证的方法有很多,但并非所有方法都是一样的。如果可以,请避免使用SMS 进行双因素身份验证。美国国家标准技术研究院不再推荐使用 SMS 发送和接收验证码。
使用 WordPress 安全插件,您应该启用双因素电子邮件或移动应用程序方法。
请注意,许多网站要求您使用电子邮件地址作为用户名。如果攻击者入侵其中一个网站,下一步将是尝试使用他们窃取的新电子邮件地址和密码登录电子邮件帐户。如果您的某个用户或客户在每个站点上重复使用泄露的密码,则他们的电子邮件帐户以及他们的双因素电子邮件代码将被泄露。双因素移动应用程序方法将最大程度地提高 WordPress 登录安全性。登录所需的额外验证码将发送到用户的手机。因此,即使攻击者可以访问 WordPress 和电子邮件凭据,他们仍然无法登录。