一個強大的、獨特的密碼可以幫助防止對你的WordPress網站的未授權訪問。然而,攻擊者有聰明的方法來繞過這一點。因此,這並不總是足以適當地保護你的網站免受攻擊。
換句話說,密碼往往不足以保護網站免受攻擊。
幸運的是,你可以通過把你的WordPress登入頁面移到一個新的URL上,來減少黑客進入你的網站的風險。這可以使你處於一個更好的位置來防禦黑客和暴力攻擊。
如果你對 WordPress 不太熟悉,這可能沒什麼意義。因此,本文將詳細介紹為什麼要考慮更改 WordPress 登入網址、如何在丟失登入網址時找到它,以及最重要的–幾種修改網址以提高安全性的方法。
為什麼修改WordPress預設登入連結
由於WordPress沒有隱藏你的登入頁面,任何使用者都可以找到它,只要他們知道WordPress是如何構造它的URL的。一個登入頁面的預設結構看起來像這樣:
https://example.com/wp-login.php
這意味著當使用者將你的網站名稱插入上述URL結構時,他們應該在瀏覽器中看到一個頁面,提示他們登入到你的網站後端:
當然,使用者會缺乏進入你的網站的憑證。
為了簡單起見,許多人喜歡堅持使用這種預設的wp-login結構來登入WordPress。然而,如果讓它保持原樣,你實際上是把你的一半登入憑證交給了攻擊者。
如果你的密碼很普通,很弱,很容易被猜中,這就特別危險。簡而言之,這是一個不必要的漏洞,很容易解決。
WPScan 發現,WordPress 在 2024 年有超過 50,000 個漏洞。絕大多數都是在 WordPress 外掛中發現的,而且每年都會發現數百個甚至數千個漏洞。
簡而言之,現在是加強網站安全的時候了。
你可以通過改變你的WordPress登入URL來更徹底地保護你的登入頁面。因此,你可以防止未經授權訪問你的網站,減少暴力攻擊的風險。
如何找到你的WordPress登入URL
正如我們在上一節提到的,WordPress使用一個標準的登入連結結構,看起來像這樣:
https://example.com/wp-login.php
所以,你所要做的就是把字尾加到你的域名上,然後你應該登陸到你的登入頁面。你也可以在登出時嘗試訪問你的WordPress儀表板來找到你的登入頁面。只要在搜尋欄中輸入 “yourwebsite.com/wp-admin“,你就會登陸到相同的登入頁面。
然而,請記住,有些虛擬主機出於安全原因會自動改變你的WordPress登入頁面。因此,你可能已經有一個自定義的登入URL。我們將在下一節告訴你如何找到它。
如何找到一個自定義的WordPress登入連結
如果你的虛擬主機改變了你的登入網址,你通常可以從電子郵件中找回它,或者在你的控制面板中找到它。有些主機甚至包括一鍵訪問WordPress管理面板的連結,這可能是有用的。
然而,如果你不能使用這些選項之一來識別你的自定義登入網址,你可以手動找到它。你所需要做的就是用SFTP連線到你的網站。
你可以使用像FileZilla這樣的客戶端。請記住,你將需要你的FTP憑證,你可以從你的虛擬主機上得到。然後,開啟包含登入連結的根資料夾。這個資料夾通常被標記為public_html(這個似乎所使用的伺服器環境)。
找到並開啟wp-login.php檔案,注意檢視讀作site_url的字串。 這將導致一行程式碼,指定你的自定義登入URL。
如何修改WordPress登入連結
現在你知道在哪裡可以找到你的WordPress登入網址,讓我們來看看你可以用兩種簡單的方法來改變它。
方法1:用外掛改變你的WordPress登入連結
改變你的WordPress登入網址的最簡單的方法是使用一個外掛。幸運的是,有很多外掛可以實現這個功能。
WPS Hide Login是一個偉大的選擇,因為它是輕量級的。它允許你安全地將你的WordPress管理登入頁面改為任何你想要的東西。
更好的是,WPS隱藏登入還可以防止所有已登入的使用者訪問wp-admin目錄和wp-login.php。
要開始使用,你需要安裝並啟用該外掛。然後,進入設定 > WPS Hide Login:
在這裡,你可以輸入一個新的登入網址,然後點選儲存更改。 就這麼簡單。這個外掛也有一個相當活躍的支援論壇,如果你需要任何幫助,你可以去看看。
請記住,一旦這個外掛被啟用,並且你進行了修改,你將無法訪問你的舊登入螢幕。相反,你將被引導到你建立的新登入介面。
根據我們上面的例子,你現在需要在你的域名後面輸入”/login“來訪問你的網站。此外,請記住,如果你停用該外掛,你的網站將恢復到使用wp-admin和wp-login.php。
方法2:通過編輯你的wp-login.php檔案改變你的WordPress登入連結
這第二種方法有點棘手,只適合有經驗的使用者。因此,在你開始下面的步驟之前,最好先對你的網站做一個新的備份,以防出現什麼問題。
同樣重要的是要知道,當你更新你的主題時,你的改變可能會恢復到以前的設定。然而,你可以通過使用一個子主題來避免這個問題。
首先,你需要訪問你的根資料夾,你可以通過你的檔案管理器或使用FTP來做到這一點。同樣,你要找的是名為public_html的資料夾。
在根目錄下,找到wp-login.php資料夾。這是生成你的網站登入頁面的程式碼的地方:
一旦你找到了這個檔案,你可以把它的副本下載到你的電腦上。然後,用Sublime或Notepad++等文字編輯器開啟該資料夾。
理想情況下,最好是使用一個提供 “搜尋和替換“工具的編輯器。這樣,你可以更迅速地改變所有現有的WordPress登入URL例項。
如果你能使用它,使用搜尋工具找到wp_login_url字串的每個例項:
然後,將這些字串改為你想使用的新的登入連結。記住,你可以保持它的簡單和直接,只要它是原創的(並且與預設的不同)。例如,你可能更喜歡access.php或wp-new-login這樣的東西。
一旦你對你的修改滿意,儲存並關閉編輯器。然後,用你選擇的新URL重新命名該檔案(如access.php)。
現在,你可以使用你的FTP客戶端或檔案管理器將新檔案上傳到你的根目錄。只需從你的電腦中選擇修改後的登入檔案。然後,使用 “login_url “過濾鉤子註冊新的登入檔案。這使你可以使用任何頁面作為你的登入頁面,只要它包含一個登入表格。
要做到這一點,請導航到wp-content > themes,找到你的主題功能檔案。 選擇你的活動主題並開啟 functions.php 檔案。
現在你在這裡,你可以把下面這行程式碼貼上到檔案中:
/*
*Change WP Login file URL using “login_url” filter hook
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}
然後記得儲存你的修改。
在刪除舊檔案之前,測試你的新登入是很重要的。要做到這一點,只需輸入你的網站的域名,並在最後加上你的新的登入網址。然後,如果你看到WordPress的登入表格,你可以刪除原來的wp-login.php檔案。
保護WordPress登入程序的其他方法
改變你的WordPress登入網址對於加強你的網站的安全是很好的。然而,這並不是你能做的全部。這裡有一些其他的方法來保護你的WordPress登入過程。
1. 限制登入嘗試
當你限制登入嘗試時,你可以阻止黑客和機器人試圖通過嘗試數百個使用者名稱和密碼來訪問你的網站。這一點特別重要,因為暴力攻擊是第二種最常見的線上威脅型別。
做到這一點的最簡單方法是使用一個像Limit Login Attempts Reloaded。
這個外掛在你的網站上被啟用後就開始工作了。預設情況下,使用者在被鎖在WordPress之外之前有四次登入的機會。然而,你可以訪問該外掛的設定來修改這一點:
在這裡,你也可以決定使用者被鎖定的時間長度。在你的儀表板上,你會看到有多少暴力攻擊被該外掛阻止了。此外,你可以切換到日誌選項卡,手動遮蔽特定的IP地址。
2. 實施二步認證
二步認證要求使用者提交的不僅僅是他們的標準登入憑證。相反,使用者被要求實時生成第二個金鑰。這通常是一個通過SMS簡訊、電子郵件或應用程式傳送的程式碼:
由於機器人和黑客無法產生第二個金鑰,這是防止未經授權訪問你的網站的一個好方法。在你的網站上新增這一功能的最好方法之一是使用像miniOrange這樣的外掛:
一旦啟用,在你的管理區進入新的miniOrange 2-Factor連結,找到Account部分。為了配置該外掛,你必須註冊一個賬戶。這完全是免費的,只需要一分鐘。然後,你會收到一個程式碼,使你能夠驗證你的電子郵件。
在這個階段,導航到Two Factor,使用Setup Two Factor 標籤。在這裡,你可以選擇你喜歡的認證方法。例如,你可以使用谷歌認證器應用程式、簡訊、QR碼或安全問題:
最後,如果你切換到設定,你可以為所有使用者、特定使用者啟用二步認證,並在登入頁面顯示你的二步提示。
3. 使用CAPTCHA
CAPTCHA或reCAPTCHA為你的網站提供了一個額外的安全層。通常情況下,它被用來控制對敏感頁面的訪問。更重要的是,它可以阻止機器人在你的網站上建立垃圾郵件或通過訂單表格或登入表格訪問個人資訊。
同樣,一個外掛是在你的網站上啟用驗證碼的最簡單方法。有了reCaptcha,你可以在你喜歡的任何表格中新增一個簡單的驗證碼覈取方塊:
你需要在WordPress上安裝並啟用該外掛。然後,在谷歌註冊你的網站,以檢索你的谷歌API金鑰。在WordPress,你可以前往Google Captcha > Settings,輸入你的金鑰,並確定哪些表單應該使用驗證碼。
4. 實施強密碼
改變WordPress的登入URL是個好主意,這樣你就不會使用容易猜到的 “admin “字尾了。然而,如果你繼續使用弱的或重複的密碼,使你的賬戶處於更大的攻擊風險中,你的努力就白費了。
事實上,只有24%的美國網路使用者為他們的每個線上賬戶使用不同的密碼。同時,只有44%的使用者使用密碼管理器來安全地生成和儲存密碼。
今後,最好選擇大、小寫字母結合數字和特殊字元的長密碼。我們還建議使用LastPass這樣的密碼管理器,以獲得額外的安全感:
另外,鼓勵有訪問權的使用者使用強密碼也很重要。你可以在使用者註冊你的網站時收到的歡迎郵件中說明這一點。
提高 WordPress 安全性的更多技巧
作為市場上最流行的內容管理系統(CMS),WordPress 也是最常受到攻擊的系統之一,這是可以理解的。
我們這麼說並不是要嚇唬你不要使用它,只是想讓你意識到全方位保護 WordPress 網站安全的重要性。
為了確保登入階段之外的整體安全,我們向您推薦另一款功能強大的自動化外掛:Jetpack。
確保您的SSL/TLS證書是最新的,這是確保您的重要網站和使用者資料得到加密的最佳方式。這通常也會對網站的搜尋引擎優化(SEO)產生積極影響。
瞭解如何使用 WordPress 外掛 Really Simple SSL。
想更深入地瞭解 WordPress 的安全性?檢視我們的《WordPress 安全須知》指南,瞭解更多網站加固方法。
小結
在你的WordPress網站上確保萬無一失的安全,這可能是一個挑戰。幸運的是,你可以通過改變你的WordPress登入URL來做到這一點。這樣,你的登入頁面幾乎不可能被找到,除非你向使用者提供你新的、自定義的登入URL。
這裡有兩種改變WordPress登入URL的方法:
- 使用一個像WPS Hide Login外掛。
- 編輯你的wp-login.php檔案。
評論留言