大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
为了不让你的博客哪天被人挂了个木马链接,适当的防范工作还是要做的。这里,我列举了几个常用的防范措施。 隐藏Wordpress的版本号 虽然Wordpress本身的安全性已经很好了,但多少还是会有些Bug(不然就不会有那么多的补丁发布了),一不小心就可能会被黑客利用。除了经常更新Wordpress之外,最好还是将Wordpress的版本号隐藏掉。 很多Wordpress主题,包括Wordpress默认的主题,都会把Wordpress的版本号加在网站的头部。在模板文件夹的header.php文件里你经常会看到这样一句话: meta name="genrator" content="WordPress php bloginfo('version'); ? / 这样就直接泄露了你的Wordpress版本号,于是可能导致在你没有来的及更新Wordpress时,被黑客利用旧版本中的Bug攻击你的博客。 禁止用户浏览目录 有些主机默认会允许用户访问目录列表,你可以尝试在浏览器中访问“/wp-includes”目录,看文件是否有被列出来。 Options All -Indexes 更多关于.htaccess的使用技巧可以参考我的另一篇文章: 《Wordpress中.htaccess的使用技巧》。 另外在Wordpress中,有很多不必要的路径是不需要被搜索引擎抓取到的。比方以wp-开头的管理面板。这个你可以在.htaccess中修改(方法见上面给出的那篇文章),也可以完全不管。因为如今的搜索已经足够只能,可以分析出网站所用的框架,并自动过滤掉那边不必要的文件了。 修改admin管理员名 Wordpress默认会用admin做为管理员的名称。这样使得黑客可以暴力破解你的网站。所以你可以把管理员改为自己的用户名。Wordpress 3.0以上的版本已经原生支持修改管理员的功能了。另外,一个好的密码也是很重要的,最好的密码是大小写混杂数字,并毫无意义,当然,前提是你也要记得住才行哦~ 其实,我更建议你在管理员之外,再创建一个用户,只赋予编辑权限,专门用来发布、修改文章。只有在必要的时候(比方添加删除插件),再登陆管理员账号。 文件夹权限登陆Wordpress后台后,Wordpress经常会提醒你,你的XXX目录权限过低。很多时候,这条警告都会被用户忽略掉,但其实文件的权限设置非常重要,过低的权限可以会导致黑客以一个其它用户登陆系统,修改你的wordpress文件。 对于文件夹,一般755的权限就足够了。 修改表的前缀 Wordpress默认会经wp_做为数据库中表的前缀,笔者建议把它修改成一个随即的值。这个在你安装的时候可以选择。对于已经安装好的博客,如果你不想手动修改表和配置文件,可以用插件来帮你完成这项工作:Change DB Prefix。 利用插件提高安全性 Exploit Scanner: 扫描网站的中恶意代码。 WordFence Security或WordPress Sentinel: 检测Wordpress原文件是否被修改。 VIP Scanner:检测被插入到你模板中的广告信息。 最后,希望每个Wordpress站长都能拥有一个安全的博客。引用朋友的一句话做结束语:做站长,开心最重要。^_^
创新互联服务项目包括石阡网站建设、石阡网站制作、石阡网页制作以及石阡网络营销策划等。多年来,我们专注于互联网行业,利用自身积累的技术优势、行业经验、深度合作伙伴关系等,向广大中小型企业、政府机构等提供互联网行业的解决方案,石阡网站推广取得了明显的社会效益与经济效益。目前,我们服务的客户以成都为中心已经辐射到石阡省份的部分城市,未来相信会继续扩大服务区域并继续获得客户的支持与信任!
是需要做什么样的安全防护呢?这个需要多个方面的来做才能做好,
一、服务器安全
选择一个安全稳定的服务器这个比较重要,一个是服务好二个是数据的安全,保证数据的定时备份。
二、程序的安全
这里包括,我们博客的主题是否是经过检测的,有没有含有木马后门等程序,这个尤其是网上下回来的主题,还有就是插件安全,不要随意去网上下载插件来安装,最好是直接用后台去收索插件的名字来安装。
三、管理员的习惯
这个主要是人工层面的东西,比如用户口令是否是弱口令,是不是定期修改,还有及时重要的信息要保管好。我自己的,熊照旭博客,就是严格按照这些来做的,都没出过什么问题。
推荐使用Limit Login Attempts这款插件,可以记录登陆IP,同时可以设置登陆错误时间,禁止同一用户输错密码后进行。重复登陆。禁止登陆的时间可以自由设置。
越来越多的网站支持添加二步认证Two-Factor Authentication以提高安全性,在国内更多是以账号密码+短信码的方式,但海外网站可能更多采用二步认证的方式。
如果你觉得有必要为你的WordPress网站开启二步认证,则可以继续阅读本教程,了解如何使用Google Authenticator或者SMS短信验证码为WordPress添加Two-Factor Authentication。
为什么要为WordPress登录添加二步验证?
黑客使用的最常见的技巧之一称为暴力攻击。通过使用自动化脚本,黑客会尝试猜测正确的用户名和密码以攻入WordPress 网站。
如果他们窃取了密码或准确猜到了密码,则他们可能会用恶意软件感染您的网站,比如挂马、加密数据要挟。
保护WordPress网站免遭密码被盗的最简单方法之一是添加二步认证。这样,即使有人窃取了密码,他们无法跳过使用手机输入安全代码才能访问的步骤。
有多种方法设置WordPress二步认证登录。但是,最安全、最简单的方法是使用身份验证器应用程序。
方法 1. 使用WP 2FA插件添加二步认证(更简单的方法)
方法 2. 使用Two Factor插件添加二步认证
方法 1. 使用WP 2FA插件添加二步认证
这种方法最为简单,推荐大家首选此方法。这个方法很灵活,允许您对所有用户强制执行二步身份验证。
首先,您需要安装并启用WP 2FA – Two-factor Authentication插件。
启用后,您需要访问用户»您的个人资料页面并向下滚动到“WP 2FA Settings”部分。
点击“Configure Two-factor authentication (2FA)”按钮以启动设置向导。
插件将要求您选择一种身份验证方法:
使用您选择的应用程序生成的One-time code(推荐)
通过电子邮件发送给您的One-time code
建议您选择app方式认证,更安全可靠。然后单击下一步按钮继续。
该插件将向您展示一个二维码,您需要使用身份验证器应用(authenticator app)扫描该二维码。
什么是身份验证器应用(Authenticator App)?
身份验证器应用是一种智能手机应用程序,可为您保存在其中的帐户生成一个临时的一次性密码。
基本上,应用和您的服务器使用密钥来加密信息并生成一次性代码,您可以将其用作第二层保护。
有很多这样的应用可以免费使用。
最受欢迎的是Google Authenticator,但它并不是最好的。虽然它工作得很好,但它不提供可以在手机丢失时使用的备份。
我们建议使用Authy,因为它是一个易于使用且免费的应用程序,该应用还允许您以加密格式将您的帐户保存在云中。这样,如果您丢失了手机,则只需输入主密码即可恢复所有帐户。
其他密码管理器(如LastPass、1password等)都带有自己的身份验证器版本,它们都比Google身份验证器要好用得多,因为它们支持恢复密钥。
在本教程中,我们将使用Authy作为示例。
首先,单击身份验证器应用程序中的添加帐户按钮:
然后,该应用程序将请求访问您手机上的相机的权限。您需要允许此权限,以便您可以扫描插件设置页面上显示的二维码。
身份验证器应用现在将保存您的网站帐户,并开始显示可用于登录的一次性密码。
在插件的设置向导中,单击“I’m Ready”按钮继续。
该插件现在会要求您验证一次性密码。只需在身份验证器应用中单击您的帐户,它就会显示一个六位数的一次性密码,输入该密码。
之后,该插件将为您提供生成和保存备份代码的选项。如果您无法使用手机,则可以使用这些代码。您可以打印这些备份代码并将它们保存在安全的地方。
之后,您可以退出设置向导。
为所有WordPress用户设置WP 2-FA两步认证登录
如果您运行多用户WordPress网站,例如会员网站,则该插件还允许您为网站上的所有用户启用或强制执行二步认证登录验证。
只需转到设置»Two-factor Authentication页面即可配置插件设置。
该插件支持为所有用户启用二步认证登录,强制所有用户登录,并给用户足够的时间进行设置。
如果您的WordPress网站使用自定义登录表单页面,那么您还可以创建一个自定义页面,用户无需访问WordPress管理后台即可在其中管理其二步认证身份验证器设置。
不要忘记单击“保存更改”按钮来存储您的新设置。
以下是用户输入常规WordPress密码后,WordPress默认登录界面要求输入二步认证身份验证代码。
方法 2. 使用Two Factor插件添加二步认证
这种方法不太灵活,因为该插件不支持为所有用户强制执行两步认证登录。每个用户都必须自己设置,并且可以从他们的个人资料中禁用它。
首先,您需要安装并启用Two Factor插件。
启用插件后,访问用户»个人资料页面并向下滚动到Two-Factor Options部分。
从这里,您需要选择一个二步认证登录选项。该插件支持使用电子邮件、身份验证器应用和FIDO U2F安全密钥方法。
我们建议使用身份验证器应用方法。只需下载Google Authenticator、Authy 或 LastPass Authenticator等身份验证器应用,然后扫描屏幕上显示的二维码。
扫描二维码后,应用程序将向您显示验证码,您需要在插件选项中输入该验证码,然后单击提交按钮。
该插件现在将设置密钥。您可以随时从设置页面重置此密钥以重新扫描二维码。
不要忘记单击“Update Profile”按钮以保存您的设置。
现在,每次您登录WordPress网站时,系统都会要求您输入手机上应用生成的验证码。
关于WordPress中二步认证 (2FA) 的常见问题
以下是有关在WordPress中使用两步认证登录的一些常见问题的解答。
1. 如果无法访问手机,如何登录?
如果您使用的是带有Authy等云备份选项的身份验证器应用,那么您也可以在笔记本电脑上安装该应用程序。
即使没有随身携带手机,您可以访问身份验证代码。它还支持在购买新手机时恢复您的密钥。
上面提到的两种方法还支持您生成备份代码。当您无法使用手机时,这些代码也可用作一次性密码。
2. 如何不用密码登录?
如果您无权访问手机、笔记本电脑或备用代码,则只能通过禁用该插件来登录。
停用所有插件后,它还将禁用二步身份验证插件,您将能够登录到您的WordPress网站。登录后,您可以重新启用插件并重置二步身份验证设置。
3. 我还需要密码保护WordPress管理文件夹吗?
从使用HTTPS和安全WordPress托管等基础知识开始,当您拥有多层安全保护来保护您的网站时,网站安全效果最佳。二步认证的主要目的是加强WordPress登录安全,但您可以通过密码保护WordPress管理后台使其更加安全。
如果的WordPress网站是一个会员网站、在线商店或在线课程网站,就更应该做二步认证登录。
关于WordPress安全,建议大家可以阅读“如何有效地保护您的WordPress站点免受攻击入侵”和“WordPress网站免费SSL证书申请及配置教程”,来进一步完善WordPress安全防护措施。
原创文章,作者:微想小云,如若转载,请注明出处:
Wordpress下载Wordpress主机推荐Wordpress使用心得Wordpress怎么建站Wordpress插件Wordpress虚拟主机Wordpress问题解决
赞 (0)
生成海报
如何有效地保护您的WordPress站点免受攻击入侵
上一篇2022年 9月 24日 am8:13
如何正确地删除WordPress