保护 WordPress 用户安全的 7 个技巧
如何采取哪些措施来保护 WordPress 用户?北京六翼开发工程师指出这些安全方法将有助于保护各种类型的 WordPress 用户主要让您知道您应该要求哪些用户使用该方法。
- 只赋予人们所需的能力
保护网站的最简单方法是只为用户提供他们需要的功能,仅此而已。如果某人在您的网站上要做的唯一一件事就是创建和编辑他们自己的博客文章,那么他们不需要编辑其他人的文章的能力。
2.限制登录尝试
蛮力攻击是指用于发现用户名和密码组合以侵入网站的试错法。默认情况下,WordPress 中没有内置任何内容来限制某人可以进行的失败登录尝试次数。
如果没有限制登录尝试失败的次数,攻击者可以继续尝试无数次用户名和密码,直到成功为止。
- 使用强密码保护 WordPress 用户
您的 WordPress 用户帐户密码越强,就越难被猜到。破解一个七字符密码需要 0.29 毫秒。但是,黑客需要两个世纪才能破解十二个字符的密码!
理想情况下,强密码是十二个字符长的字母数字字符串。密码应包含大小写字母以及其他 ASCII 字符。
虽然每个人都可以从使用强密码中获益,但您可能只想强制具有作者级别及以上能力的人使用强密码。
4.拒绝泄露的密码
黑客经常使用一种称为字典攻击的蛮力攻击形式。字典攻击是一种使用数据库转储中出现的常用密码闯入 WordPress 网站的方法。托管在 MEGA 上的数据泄露包括 1,160,253,228 个电子邮件地址和密码的独特组合。这种分数确实有助于字典攻击缩小最常用的 WordPress 密码范围。
必须防止具有作者级别和更高级别功能的用户使用泄露的密码。您还可以考虑不让较低级别的用户使用泄露的密码。
尽可能轻松地创建新客户帐户是完全可以理解和鼓励的。但是,您的客户可能不知道他们使用的密码已在数据转储中找到。通过提醒客户他们使用的密码已被泄露这一事实,您将为客户提供优质的服务。如果他们在任何地方都使用该密码,您可以让他们免于遇到一些令人头疼的问题。
- 使用双因素身份验证保护 WordPress 用户
双因素身份验证是通过在用户登录之前要求两种不同的验证方法来验证一个人身份的过程。谷歌在其博客上分享说,使用双因素身份验证可以阻止 100% 的自动机器人攻击。我真的很喜欢这些赔率。
至少,您应该要求您的管理员和编辑使用双因素身份验证。
- 限制设备访问 WP 仪表板
将对 WordPress 仪表板的访问限制为一组设备可以为您的网站增加一层强大的安全性。如果黑客不在用户的正确设备上,他们将无法使用受感染的用户对您的网站造成损害。
您应该只将设备访问权限限制为您的管理员和编辑。
- 保护 WordPress 用户免受会话劫持
每次您登录您的网站时,WordPress 都会生成一个会话 cookie。假设您有一个已被开发人员放弃并且不再发布安全更新的浏览器扩展。不幸的是,被忽视的浏览器扩展有一个漏洞。该漏洞允许不良行为者劫持您的浏览器 cookie,包括前面提到的 WordPress 会话 cookie。这种类型的黑客攻击称为 会话劫持。因此,攻击者可以利用扩展漏洞窃取您的登录信息,并开始对您的 WordPress 用户进行恶意更改。
管理员和编辑设置会话劫持保护。
