一个成功的WordPress安全策略应该包括加强WordPress登录的步骤。安全登录是WordPress网站开发中需要特别注意的一个环节。在本文中,北京六一信息技术有限公司的开发工程师介绍了提高WordPress登录安全的五个简单规则。WordPress的伟大之处在于它如何使创建一个几乎任何人都可以访问的网站成为可能。但随着可访问性而来的是可预测性。任何有WordPress经验的人都知道对站点进行了哪些更改:通过wp-admin区域。他们甚至知道需要去哪里访问wp-admin、wp-login.php页面以及joowp.com。默认情况下,每个WordPress站点的WordPress登录URL都是相同的,不需要任何特殊权限即可访问。这就是为什么WordPress登录页面是任何WordPress站点中最易受攻击和潜在易受攻击的部分。不幸的是,创建一个在互联网上漫游并执行暴力攻击的机器人并不需要太多技巧,任何初学者级别的黑客都可以创建一个。由于对WordPress登录页面的攻击具有较低的进入门槛,因此WordPress登录安全对于保护任何WordPress站点都至关重要。通过遵循这些规则并使用WordPress安全最佳实践,您可以避免常见的用户登录错误。1.使用强密码互联网上有很多关于密码安全最佳实践的令人困惑和矛盾的信息。为了消除这种困惑,让我们分解一下使用强密码如何提高WordPress安全性的基础知识。每当创建密码时,您首先要考虑的是密码的长度。下面的列表显示了使用四核i5处理器破解密码所需的估计时间。破解7个字符需要0.29毫秒。8个字符需要5个小时才能破解。9个字符需要5天才能破解。破解10字需要4个月,破解11字需要1年,破解12字需要2个世纪。如您所见,在密码中添加单个字符可以显着提高登录的安全性。长度至少为12个字符、随机且包含大量字符(例如“ISt8XXa!28X3”)的密码将很难破解。不幸的是,一些黑客正在利用GPU和更强大的CPU来减少破解密码所需的时间。因此,要加强您的登录,还要注意您的密码熵。密码熵越大,越难破解密码。例如,像“abcdefghijkl”这样的密码是12个字符,这很好,仅根据长度要求,需要200年才能破解。但是,由于密码使用连续的字母串,因此它使密码比具有随机字符(如“rfybolaawtpm”)的密码更容易预测。随机化字符会降低可预测性并增加密码的强度。但是这两种密码都有一个共同点,那就是它们最终都会降低密码熵。两者都只使用小写字母,将可能的字符池限制为26个。这就是为什么包含字母数字、大写和常见ASCII字符以将破解密码所需的字符池增加到92个至关重要的原因。2.使用唯一密码每个帐户另一个确保在线安全的最佳做法是为您拥有的每个帐户和网站登录名使用唯一的密码。这一点非常重要,我们会再说一遍:您应该为每个站点使用不同的密码。为什么密码重用如此重要?如果您对每个站点都使用相同的密码,并且其中一个站点被泄露,那么您现在每个站点上的每个帐户都有一个被泄露的密码。黑客可以使用与您的电子邮件地址或用户名配对的泄露密码的数据转储来访问您的帐户。最好不要冒险。重复使用密码的用户越多,您的WordPress登录安全性就越弱。3.限制登录尝试默认情况下,WordPress没有内置任何内容来限制某人可以进行的失败登录尝试次数。攻击者可以进行的失败登录尝试次数没有限制,他们可以继续尝试无限次数的用户名和密码,直到成功为止。通过安装像iThemesSecurityPro这样的WordPress安全插件来限制登录尝试失败的次数,从而提高您的WordPress登录安全性。暴力破解保护功能使您能够设置在用户名或IP被锁定之前允许的失败登录尝试次数。锁定暂时禁用攻击者进行登录尝试的能力。一旦攻击者被锁定三次,他们将被禁止访问该站点。注意:在决定对失败登录尝试的规则有多严格时,请牢记您网站的实际用户。如果您将锁定规则设置得过于严格,就会冒无意中将真实用户锁定在外的风险。4.限制每个请求的外部验证尝试除了使用登录表单之外,还有其他方法可以登录WordPress。使用XML-RPC,攻击者可以在单个HTTP请求中进行数百次用户名和密码尝试。暴力放大方法允许攻击者在几个HTTP请求中使用XML-RPC进行数千次用户名和密码尝试。当您知道攻击者可以使用数据库转储作为起点并对每个请求进行数千次猜测时,就更能理解WordPress登录安全的重要性。使用WordPressTweaks设置,您可以阻止每个XML-RPC请求的多次身份验证尝试。将每个请求的用户名和密码尝试次数限制为一次将大大有助于保护您的WordPress登录。此外,当您规划WordPress登录安全时,请务必注意WordPressRestAPI添加了额外的方法来验证WordPress用户。Cookie身份验证是WordPress在您登录时自动存储一个cookie以便插件和主题可以代表您执行功能的一种身份验证方法。Cookie身份验证将受益于您添加到wp-login.php的保护。5.使用双重身份验证我把提高WordPress登录安全性的最佳方法留到最后:WordPress双重身份验证。双因素身份验证需要额外的代码以及您的WordPress用户名和密码才能登录。双因素身份验证的方法有很多,但并非所有方法都是一样的。如果可以,请避免使用短信进行双因素身份验证。美国国家标准技术研究院不再建议使用短信发送和接收验证码。使用WordPress安全插件,您应该启用双因素电子邮件或移动应用程序方法。请注意,许多网站要求您使用电子邮件地址作为用户名。如果攻击者破坏了其中一个网站,下一步就是尝试使用他们窃取的新电子邮件地址和密码登录电子邮件帐户。如果您的用户或客户之一在每个站点上重复使用已泄露的密码,则他们的电子邮件帐户以及他们的双因素电子邮件代码将被泄露。双因素移动应用程序方法将最大限度地提高WordPress登录安全性。登录所需的附加验证码将发送到用户的手机。因此,即使攻击者可以访问WordPress和电子邮件凭据,他们仍然无法登录。
