我曾经写过一些关于遵守WP安全实践的重要性,比如保持主题和插件的更新,选择一个稳定的服务器等等。
但是在这篇文章中,我们想关注一个经常被忽视的防御:自定义WP登录页面。
什么是WordPress登录页面?
每次打开网站的后端编辑一篇文章或安装一个插件时,都要经过一个WordPress登录页面,默认的用户界面是这样的:
众所周知,如果你想登录任何WordPress站点,只需要获取URL并在末尾放置/wp-admin.php即可。
在今天的internet上,蛮力攻击的发生率非常高,特别是针对WP站点。这些类型的攻击通过登录尝试快速循环,试图获取站点密码。如果使用的是“password”或“123456789”这样的简单密码,那么很有可能网站很快就会被黑。
蛮力攻击试图攻击最脆弱的地方,成功的攻击会导致黑客篡改网站,窃取支付信息,或者在最坏的情况下——完全控制网站。
部分站长喜欢使用默认的登录用户名“admin”,如果网站上线后还没有更改用户名,那么,请加以整改。
为什么改变默认的WordPress登录页面可以提高网站的安全性?
通过对登录页面进行一些简单的更改,可以极大地降低蛮力攻击成功的可能性。使用强密码并更改默认的管理员用户名,在此基础上,还有其他一些简单的更改来帮助保护登录页面,比如找到一个工具来限制登录尝试。还应该考虑将默认URL更改为惟一的URL,而不是在最后使用可预测的/wp-admin.php。
如何更改默认的WordPress登录页面?
虽你可以在CSS中建立自己的自定义WP登录页面,但对于那些不太懂技术的人来说,也有一些无代码选项。一个不错的选择是LoginPress,一个简单的无代码WordPress登录页面生成器。
作为一个WordPress插件,只需下载,使用拖放工具设计登录页面,但是该插件的价格为39美元。
完全自定义
LoginPress不仅允许您自定义登录页面URL和限制登录尝试,而且还可以使登录屏幕看起来很棒。
如果您运行一个会员网站或管理一个庞大的作家团队,这个工具让您重新设计登录页面,以符合品牌的确切外观和感觉。
安全
在限制登录尝试的同时,还可以跟踪用户的尝试,以进一步防止蛮力攻击。可以为每个用户选择登录尝试限制,甚至可以预先设置每个用户在登录尝试之间必须等待的时间。
LoginPress的自动登录甚至为用户创建了独特的url,以完全绕过登录屏幕直接访问他们的帐户。您可以访问插件后端中的每个自动登录URL,以便根据需要添加/删除URL。
结论
LoginPress在WordPress上有276+ 5星的评论,在AppSumo上有5/5的评分,LoginPress是一个流行的、初学者友好的解决方案,用于保护和定制登录页面。