保护 WordPress 登录免受未经授权访问的十大方法

始终使用长尾复杂的密码

对于暴力破解的黑客来说，强密码可能是一场噩梦。实际上，这些讨厌的黑客使用的工具也不过是计算机程序。他们还处理一些预先指定的逻辑。如果您使用的长尾密码中也包含数字和符号，则此类密码会变得非常复杂，足以突破暴力破解应用程序的算法。在任何情况下都不得使用“admin”、“root”、电子邮件 ID、“1234”等密码登录 WordPress。

您可以使用密码管理器创建安全、复杂的密码，这些密码由随机字母、数字和符号创建。但专家建议在您的头脑中创建密码，因为人类的头脑比任何机器都要复杂得多。尽量让您的密码/密码非常随机，毫无意义，并使用随机符号和多个数字使它们非常难以记住。您还可以使用 WordPress 商店中的各种密码生成器插件。

限制登录尝试次数

这是对抗蛮力攻击者的最佳武器之一。默认情况下，WordPress 的登录尝试次数是无限的，这是一个严重的问题。您只需使用“限制登录尝试”插件即可应对这种安全风险。该插件允许您限制每个 IP 地址的登录尝试，并让您在指定时间内将 IP 地址超时。例如，您可以设置 3 次尝试，之后输入错误的密码将使 IP 地址超时 12 小时。

使用这样的插件，您不需要实现任何复杂的编码或实现过程。它简单、快速且安全。如果您正在寻找登录尝试限制器插件，还有许多其他选项可供使用，例如 –限制登录尝试重新加载、   WP 限制登录尝试、Wordfence 安全、多合一 WP 安全、WP 登录尝试、登录锁定等. 使用这样的“限制登录尝试”插件，您可以简单地使暴力攻击过时，因为它不能运行超过插件允许的登录尝试次数。

使用 Google 身份验证器启用双重身份验证

此过程也称为双因素身份验证，它被认为是最安全的登录方法之一。您需要有 Google Authentication App 和Google Authenticator WordPress 插件，才能设置双因素身份验证。整个过程的运行方式是，您每次都必须输入用户名和密码，以及由 Google Authenticator 应用程序生成的附加代码。每次尝试登录时都会生成此附加代码，因此该代码每次都是唯一的。

要使用此方法，您必须在登录 WordPress 管理员时随身携带智能手机。该过程起初可能看起来有点复杂，但它提供了一种非常安全的额外保护来抵御登录攻击者。

虽然过程看起来很复杂，但配置过程非常简单。首先，下载WordPress插件“Google Authenticator”并安装。安装插件后，在您的智能手机上下载并安装“Google Authenticator 应用程序”（Android 应用程序、iOS 应用程序）。在这里，您可以简单地使用 WordPress 插件设置中的条形码将 WordPress 插件链接到您的智能手机应用程序。

现在，每当您打开 Google Authenticator 应用程序时，您的 WordPress 网站的登录代码都会定期生成一次又一次。每当您尝试登录 WordPress 管理面板时，您都可以在 WordPress 登录屏幕中检查并输入代码。您还可以在多个网站和服务中使用相同的“Google Authenticator 应用程序”进行双因素身份验证。

通过 .htaccess 文件设置额外密码

作为 WordPress 网站的所有者和管理员，您可以访问 .htaccess 文件。通过访问 .htaccess 文件，您还可以选择设置附加密码。如果你这样做，你可以比粗暴的黑客拥有独特的优势，因为第三方用户甚至无法调用实际的 WordPress 登录。因此，可以在实际攻击尝试发生之前阻止蛮力攻击。

通过这种方式，您可以大量减少对 WordPress 网站的调用，并且在任何情况下都可以保证网站的可访问性。设置 .htaccess 登录也没有听起来那么复杂。您必须能够通过 FTP 访问访问您的 .htaccess 文件，但问题是，这取决于您的托管服务提供商提供的托管服务。如果可用，那么您将拥有一个代码编辑器来编辑 .htaccess 文件和一个新的 .htpasswd 文件（该文件包含您的密码）来创建。

如何设置 .htaccess 密码 – 这就是它的工作原理

1.首先，您必须通过 FTP 访问在您网站的主目录（即 .htaccess 文件应该已经存在的位置）中创建一个名为.htpasswd的新空文件。请记住，只有当您的服务提供商通过您的托管套餐优惠授予您此类访问权限时才有可能。

2.如果您的托管服务提供商提供 Cpanel，那么您可以轻松使用文件管理器来编辑和创建文件。如果没有，那么您必须在您的计算机本地下载新的、仍然为空的.htpasswd文件，然后使用记事本或代码编辑器打开和编辑它。

3.在文件中添加您要用于保护您的网站的用户名和密码，格式如下：

Username:Password

注意：将用户名和密码替换为您要设置的用户名和密码。

例如– 我想添加四个用户及其对应的可以访问该网站的用户：

user1:password1
user2:password2
user3:password3

4.保存文件并将其上传到您的托管服务器。

通过这种方式，我们可以添加可以访问该网站的单个或多个用户。

5.现在，编辑现有的 . htaccess文件。添加以下给定代码，但请记住确定 AuthUserFile 路径到您的 . htpasswd文件并在代码中替换它。

[code]
            <Files wp-login.php>
            AuthType Basic
            AuthName "My Protected Area"
            AuthUserFile /path/to/.htpasswd
            Require valid-user
            </Files>
            [/ code]

在您完成在 .htaccess 文件中插入代码并将带有您的代码的新 .htpasswd 文件上传到您网站的主目录后，密码查询现在应该出现在浏览器中，因此添加了一个额外的层保护。

始终使用唯一的用户名

大多数用户通常会忽略此步骤，但请记住，唯一的用户名也可以阻止未经授权的登录尝试。在进行蛮力攻击时，攻击者不仅要破解密码，还需要破解该密码的用户名。如果您使用电子邮件或命名您的用户 ID，则更容易猜到。使用蛮力攻击工具，如果您使用这样一个简单的用户 ID，任何攻击者都可以在一分钟内确定管理员 ID。通过这种方式，您可以通过故意设置周用户 ID 来帮助攻击者。

所以永远不要使用您的电子邮件 ID、姓名或 name123、name@123 、anyword123 作为您的用户 ID。就像创建长尾密码一样，创建一个长尾，使用字母、符号和数字的组合很难检测到用户 ID。

确保您使用的是网站应用程序防火墙插件

网站应用防火墙 (WAF) 插件的职责是监控网站流量。它还阻止来自远程服务器和 IP 的任何可疑请求或管理员登录尝试。您可以使用任何 WAF 插件，如Wordfence Security、MalCare Security、Cloudflare、Sucuri Security、Shield Security等。

使用此类应用程序防火墙插件可确保任何传入流量首先通过其云代理，在那里可以对其进行扫描和分析。它提高了网站的安全性，保护您的网站免受网络钓鱼攻击、黑客攻击、恶意软件感染等。此外，此类插件经常会阻止大多数不需要和可疑的传入流量访问网站数据。

使用密码保护管理员目录

除了 WordPress 管理面板，您还应该使用强密码保护 WordPress 管理目录。大多数人不使用任何密码来保护他们的管理员目录，这不是一个好习惯，尤其是当您担心 WordPress 站点的安全性时。

如何在 WordPress 管理目录上设置密码

1.首先，登录您的 WordPress 主机的 cPanel 仪表板；
2.现在点击“密码保护目录”或“目录隐私”图标；
3.现在选择您的 wp-admin 文件夹，（通常位于 – /public_html/directory）；
4.然后单击“密码保护此目录”选项的复选框，并为管理目录命名。
5.现在，您必须单击“保存”按钮，权限将被设置。
6.然后转到上一页并创建一个新用户。出现提示时输入“用户名和密码”，完成后“保存”。
7. 从现在开始，要访问您网站的 WordPress 管理目录，系统会询问用户名和密码。

禁用登录提示功能

根本不需要此功能，它会以某种方式削弱您网站的安全功能。因此，请确保从 WordPress 登录页面中删除登录提示功能。大多数 WordPress 主题都自动内置并始终启用此功能。要隐藏登录提示，您可以将以下代码复制并粘贴到主题的 functions.php 文件中（粘贴在它的末尾并保存）。

function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

始终保持 WordPress 更新

保留您的 WordPress 插件和 WordPress 版本对于安全性和性能都非常重要。通过不时更新，您可以使您的站点与新插件兼容，并增强已安装插件的功能，从而确保更好的性能和更好的安全性。

如果您使用的是旧版 WordPress，您可能永远不知道它有哪些安全威胁和漏洞。黑客可以利用这些漏洞来关闭您过时的安全系统。同样的逻辑也适用于插件。您必须始终更新所有插件，尤其是安全插件。这些更新修复了错误，提高了安全性，并经常添加新功能和选项，所以不要错过更新。

如果可能，使用自定义登录页面

如果您是高级开发人员，或者您有足够的预算，那么您应该考虑开发自定义和专用的登录页面和注册页面。许多网站都有这样的系统，但通常 WordPress 网站所有者、博主和小型电子商务网站所有者不会将此作为经验法则。

但是，使用自定义登录页面和自定义注册页面，使得暴力破解攻击者和常规登录攻击者几乎不可能进行未经授权的登录。