• 主页
  • 文章
  • SEO
  • WordPress 安全基础知识:如何处理多次失败的登录尝试

WordPress 安全基础知识:如何处理多次失败的登录尝试

已发表: 2022-04-28

如果您正在运行一个网站或只是创建一个网站,您就会知道 WordPress 是全球许多人使用的最好的 CMS 系统之一,这也是许多黑客瞄准它的原因。

不要以为只有大网站会被黑客入侵; 小型的同样对黑客具有吸引力,因为它们也存储私人客户的数据。 攻击 WordPress 网站的最常见方法之一是多次登录尝试。 这就是为什么我们将解释为什么识别和观察多次失败的登录尝试以及防止它们的方法很重要。

我们将首先详细介绍托管。 但从本质上讲,出色的托管始终是您的第一道防线。 WPMU DEV 托管符合所有条件。 它价格实惠、快速、安全、完全专用,并且是 TrustPilot 上排名第一的 WordPress 主机。 在这里享受他们的任何计划的 20% 折扣。

登录尝试失败

黑色纯平电脑显示器

要使用任何 WordPress 网站,您需要有用户名和密码,这意味着您需要登录。忘记密码和试图破解您网站的机器人之间有一条细线。 因此,这就是对失败登录尝试进行监控作为安全措施的地方。

当您的站点显示错误消息“登录尝试失败次数过多”时,请检查发生了什么。 不要只是将其视为“好的”。 有人刚刚忘记了他们的密码”,因为有针对性的暴力攻击可能导致 DDoS,并且您的网站可能会崩溃。

这种攻击的第一个障碍可能是在特定用户尝试使用错误的凭据登录后,WordPress 会设置需要过期的等待时间,即使同一用户尝试使用正确的凭据集再次登录也是如此。

这就是 OWASP.org 安全功能可以帮助您的地方。 这是一个开源软件,有助于阻止暴力攻击。

如何处理多次失败的登录尝试

画在纸上的问号

始终保持您的 WordPress 网站更新

WordPress 按固定时间表发布软件更新,因此请不要避免它们。 这些更新会照顾您的网站性能,其中包括最新的安全和隐私设置。 通过不断更新,您允许 WordPress 保护您的网站,这是保护您的网站的第二步。

限制登录尝试

默认情况下,WordPress 允许无限制的登录尝试,但这并不意味着您应该让它以这种方式运行。 将您站点上的登录尝试限制为 3 次(这通常是允许的失败尝试的首选次数)。 有两种方法可以实现这一点,使用插件或通过 WordPress 主机。

可以让您限制失败的登录尝试的免费插件是:

1.限制登录尝试(停止假登录)

限制登录尝试(停止虚假登录)

这个插件会自动屏蔽超过设置尝试限制的IP地址。 此插件允许您手动将 IP 地址添加到阻止列表,通知用户剩余的重试次数,并为您提供通过电子邮件或仪表板解锁锁定用户的能力。 它将限制每个 IP 的重试尝试,并且与 Google CAPTCHA 兼容。

2.限制登录尝试

限制登录尝试

这是一个插件,可以限制登录尝试,提高登录安全性,防止垃圾邮件,并为您的网站提供暴力攻击保护,阻止虚假用户注册,您将能够获得有关您网站上活动的报告和审核(如果需要,您甚至可以导出这些报告)。 这是一个免费的开源软件。

网络主机安全

即使您保护您的 WordPress 网站免受未经授权的访问,也不要忘记您的托管服务提供商的安全性与您的 WordPress 网站的安全性一样重要。 因此,请查看您的网络托管服务提供商功能。

也许您只需要将其升级到当前提供商的更高计划,但还可以考虑将您的站点迁移到新的可靠网络托管提供商,其服务器软件和硬件安全性具有强大且频繁的更新。

寻找能够提供 24/7 全天候技术支持团队的团队,该团队可以解决您网站的安全问题并保护您的信息。 提供完整网站自动备份的主机也是一个不错的选择。

正如我们已经提到的那样,最佳选择是 WPMU DEV。 我们最喜欢 WPMU DEV Hosting 的地方在于它包含了您在其他任何地方都找不到的独特而强大的托管功能(例如 7 个内置的 pro-WP 插件)。 亲自查看并在此处获得他们的任何托管计划 20% 的折扣。

提高登录安全性

使用 WordPress 安全插件,该插件将启用两步身份验证过程作为额外的安全层。 有不同的方法可以做到这一点; 代码发送到用户的电话、电子邮件验证等。任何最适合您的团队的方法。

1. iThemes 安全

iThemes 安全性(以前更好的 WP 安全性)

该插件及其其他功能将使用以下功能保护您的 WordPress 登录:双重身份验证 (2FA),这将要求您的用户输入安全代码(连同密码)、电子邮件、备份代码和 Google 身份验证。

2. SiteGround 安全

SiteGround安全

此插件将要求所有管理员用户在登录时提供从 Google 身份验证应用程序生成的令牌。

3.多合一的WP安全

多合一 WP 安全和防火墙

该插件的安全规则分为“基本”、“中级”和“高级”规则。 它是 100% 免费的,它的一些功能是用户帐户安全、用户登录安全,将保护您的网站免受“暴力登录攻击”和用户注册安全。

网络安全

您使用的网络也可能对您的站点构成安全威胁。 公共网络通常没有得到很好的保护; 我们说的是咖啡店、图书馆、购物中心的公共网络等场所。

在公共 Wi-Fi 网络中保护您的一项重要安全策略是使用虚拟专用网络 VPN。 在将家庭 Wi-Fi 用于商务或其他任何事情时,它也是很好的保护,因此请考虑查看一些提供商。

异地安全

这也是保护您的 WordPress 网站的一个非常重要的安全功能。 在离线模式下使用的所有应用程序和数据库都存在潜在的安全风险,因此请确保它们与您的 WordPress 网站安全集成。

结论

作为一个易于使用的网站构建器,WordPress 被数百万人使用。 要拥有一个安全的站点,第一步是通过监控和正确处理所有失败的登录尝试来防止暴力攻击。 这是保护网站的必备方法,也是黑客经常使用的攻击类型。

此外,我们在本文中提到的所有其他安全方面都将保护您的网站,因此请不要低估它们。