WordPress 安全性設定(四) 強化登入安全

當網站已經架設完成且可以到後台操作基本功能,接下來就是針對後台登入加強安全保護!

限制登入

最基礎的方式就是限制後台登入次數,可以使用 Limit Login Attempts 這套外掛直接限制同一個IP登入錯誤次數達到我們的設定值時直接封鎖該IP一段時間,避免有心人士透過自動化工具一直嘗試登入造成網站資源被耗盡。

隱藏後台

上述的方法很簡單操作,但有心人士依然可以改寫程式為只要該IP被封鎖就自動更換新的IP,所以將 WP 後台的預設網址 /wp-admin,以及 WP 預設登入網址 /wp-login.php 隱藏起來,駭客連登入的地方都找不到就安全多了。
後台網址隱藏推薦使用 Hide My WP Ghost 這套外掛,啟用外掛之後就可以自訂後台的登入路徑,還可以設定驗證碼和登入錯誤超過上限自動封鎖IP功能。

個人最推薦的方法是使用外掛插件 jetpack 將登入頁面直接轉由WordPress.com管理。
使用 Jetpack 的登入機制是在WordPress.com登入後會轉回自己的網站後台,這種方式的好處是登入頁面是在 WordPress.com ,不管駭客嘗試登入多少次對你的主機都不會造成負擔,同時 Jetpack 也有提供CDN和延遲載入功能,是一個很推薦的外掛。

相關文章: 【Jetpack by WordPress.com】WordPress必裝外掛,輕鬆設網站加速、CDN服務

Login Dongle 這個外掛使用一個非常獨特的方法來保護你的 WordPress。它能產生一個書籤列,你可以將它加入瀏覽器。當你要登入 WordPress 時,輸入你的密碼並按下書籤列才能登入 WordPress – 登入頁面的按鈕將無法使用。

更改管理員的暱稱

一般預設的權限都是「管理員」同時帳號也會是暱稱,這是不能被顯示的會增加被駭風險。
此時需要進行修改,修改位置:帳號→個人資訊→如何顯示你的大名,修改暱稱,換掉顯示名稱。

隱藏登入的錯誤訊息

當你輸入一個不存在的使用者名稱,或是錯誤密碼來登入 WordPress 時,它會顯示相當詳細的錯誤訊息,來告訴你使用者名稱錯誤,或是密碼錯誤,等於是提供線索讓人家猜。
將以下程式碼加入佈景主題的 functions.php 檔案,會把原本的錯誤資訊換成
「滾!! RIGHT NOW !!」,這一段文字你可以自己換上你想說的。

function no_errors_please(){
return '滾開 !! RIGHT NOW !!';}
add_filter( 'login_errors', 'no_errors_please' ); 

本系列文章會分成以下章節,持續更新

關於作者 Roy

軟體工程師,主要專注在後端開發


發佈留言