一個(gè)成功的 WordPress 安全策略應(yīng)該包括加強(qiáng) WordPress 登錄的步驟。安全登錄是WordPress 建站開發(fā)中應(yīng)該也特別注意的環(huán)節(jié),需要在這篇文章中,北京六翼信息技術(shù)有限公司的開發(fā)工程師為大家介紹了提高 WordPress 登錄安全性的五個(gè)簡(jiǎn)單規(guī)則。
WordPress 的偉大之處在于它如何讓創(chuàng)建一個(gè)幾乎任何人都可以訪問的網(wǎng)站。但隨著可訪問性而來的是可預(yù)測(cè)性。任何有使用 WordPress 經(jīng)驗(yàn)的人都知道在哪里對(duì)網(wǎng)站進(jìn)行了更改:通過 wp-admin 區(qū)域。他們甚至知道需要去哪里訪問 wp-admin,即 wp-login.php 頁面,也可以訪問joowp.com。
默認(rèn)情況下,每個(gè) WordPress 站點(diǎn)的 WordPress 登錄 URL 都是相同的,并且不需要任何特殊權(quán)限即可訪問。這就是為什么 WordPress 登錄頁面是所有 WordPress 站點(diǎn)中最容易受到攻擊并且可能容易受到攻擊的部分。
不幸的是,創(chuàng)建一個(gè)在互聯(lián)網(wǎng)上漫游并實(shí)施暴力攻擊的機(jī)器人并不需要太多技巧,任何初學(xué)者級(jí)別的黑客都可以創(chuàng)建一個(gè)。由于對(duì) WordPress 登錄頁面的攻擊具有較低的進(jìn)入門檻,因此 WordPress 登錄安全對(duì)于保護(hù)任何 WordPress 站點(diǎn)至關(guān)重要。
通過遵循這些規(guī)則并使用 WordPress 安全最佳實(shí)踐,您可以避免出現(xiàn)常見的用戶登錄錯(cuò)誤。
1.使用強(qiáng)密碼
互聯(lián)網(wǎng)上有很多關(guān)于密碼安全最佳實(shí)踐的令人困惑和矛盾的信息。為了消除這種困惑,讓我們分解一下使用強(qiáng)密碼如何提高 WordPress 安全性的基礎(chǔ)知識(shí)。
每當(dāng)創(chuàng)建密碼時(shí),您首先要考慮的是密碼的長(zhǎng)度。下面的列表顯示了使用四核 i5 處理器破解密碼所需的估計(jì)時(shí)間。
- 破解 7 個(gè)字符需要 0.29 毫秒。
- 8個(gè)字符需要5個(gè)小時(shí)才能破解。
- 9個(gè)字符需要5天才能破解。
- 10個(gè)字符需要4個(gè)月才能破解
- 11個(gè)字符需要1年時(shí)間破解
- 12個(gè)字符需要2個(gè)世紀(jì)才能破解。
如您所見,在密碼中添加單個(gè)字符可以顯著提高登錄的安全性。
至少 12 個(gè)字符長(zhǎng)、隨機(jī)且包含大量字符(如“ ISt8XXa!28X3 ”)的密碼將使破解變得非常困難。
不幸的是,一些黑客正在利用 GPU 和更強(qiáng)大的 CPU 來減少破解密碼所需的時(shí)間。因此,為了加強(qiáng)您的登錄,還要注意您的密碼熵。密碼熵越大,破解密碼的難度就越大。
例如,僅根據(jù)長(zhǎng)度要求,像“abcdefghijkl”這樣的密碼是 12 個(gè)字符,這很好,需要 200 年才能破解。然而,由于密碼使用連續(xù)的字母串,與“rfybolaawtpm”這樣具有隨機(jī)字符的密碼相比,它使密碼更容易預(yù)測(cè)。
隨機(jī)化字符會(huì)降低密碼的可預(yù)測(cè)性并增加密碼的強(qiáng)度。但是這兩個(gè)密碼都有一個(gè)共同點(diǎn),那就是最終會(huì)降低密碼熵。兩者都只使用小寫字母,將可能的字符池限制為 26 個(gè)。這就是為什么包含字母數(shù)字、大寫字母和常見 ASCII 字符以將破解密碼所需的字符池增加到 92 個(gè)至關(guān)重要的原因。
2. 為每個(gè)帳戶使用唯一的密碼
在線安全的另一個(gè)最佳做法是為您擁有的每個(gè)帳戶和網(wǎng)站登錄使用唯一的密碼。這非常重要,我們會(huì)再說一遍:您應(yīng)該為每個(gè)站點(diǎn)使用不同的密碼。
為什么重用密碼如此重要?如果您對(duì)每個(gè)站點(diǎn)都使用相同的密碼,并且其中一個(gè)站點(diǎn)遭到破壞,那么您現(xiàn)在在每個(gè)站點(diǎn)上的每個(gè)帳戶都使用了一個(gè)被破壞的密碼。黑客可以使用與您的電子郵件地址或用戶名配對(duì)的泄露密碼的數(shù)據(jù)轉(zhuǎn)儲(chǔ)來訪問您的帳戶。最好不要冒險(xiǎn)。
重復(fù)使用密碼的用戶越多,您的 WordPress 登錄安全性就越弱。
3.限制登錄嘗試
默認(rèn)情況下,WordPress 中沒有內(nèi)置任何內(nèi)容來限制某人可以進(jìn)行的失敗登錄嘗試次數(shù)。攻擊者可以嘗試登錄失敗的次數(shù)不受限制,他們可以繼續(xù)嘗試無數(shù)次用戶名和密碼,直到成功為止。
通過安裝像 iThemes Security Pro 這樣的 WordPress 安全插件來限制登錄嘗試失敗的次數(shù),從而提高您的 WordPress 登錄安全性。蠻力保護(hù)功能使您能夠在用戶名或 IP 被鎖定之前設(shè)置允許的失敗登錄嘗試次數(shù)。鎖定將暫時(shí)禁用攻擊者進(jìn)行登錄嘗試的能力。一旦攻擊者被鎖定三次,他們將被禁止訪問該站點(diǎn)。注意:在決定對(duì)失敗登錄嘗試的規(guī)則的嚴(yán)格程度時(shí),請(qǐng)牢記站點(diǎn)的實(shí)際用戶。如果您將鎖定規(guī)則設(shè)置得過于嚴(yán)苛,就會(huì)冒無意中將真實(shí)用戶鎖定在外的風(fēng)險(xiǎn)。
4.限制每個(gè)請(qǐng)求的外部認(rèn)證嘗試
除了使用登錄表單之外,還有其他方法可以登錄 WordPress。使用 XML-RPC,攻擊者可以在單個(gè) HTTP 請(qǐng)求中進(jìn)行數(shù)百次用戶名和密碼嘗試。暴力放大方法允許攻擊者在幾個(gè) HTTP 請(qǐng)求中使用 XML-RPC 進(jìn)行數(shù)千次用戶名和密碼嘗試。當(dāng)您知道攻擊者可以使用數(shù)據(jù)庫轉(zhuǎn)儲(chǔ)作為起點(diǎn)并對(duì)每個(gè)請(qǐng)求進(jìn)行數(shù)千次猜測(cè)時(shí),它就會(huì)更加清楚 WordPress 登錄安全的重要性。使用 WordPress Tweaks 設(shè)置,您可以阻止每個(gè) XML-RPC 請(qǐng)求的多次身份驗(yàn)證嘗試。將每個(gè)請(qǐng)求的用戶名和密碼嘗試次數(shù)限制為一次,將大大有助于保護(hù)您的 WordPress 登錄。
此外,當(dāng)您制定 WordPress 登錄安全計(jì)劃時(shí),請(qǐng)務(wù)必注意WordPress Rest API 添加了額外的方法來驗(yàn)證 WordPress 用戶。Cookie 身份驗(yàn)證是一種身份驗(yàn)證方法,當(dāng)您登錄時(shí),WordPress 會(huì)自動(dòng)存儲(chǔ)一個(gè) cookie,以便插件和主題可以代表您執(zhí)行功能。Cookie 身份驗(yàn)證將受益于您添加到 wp-login.php 的保護(hù)。
5.使用雙因素身份驗(yàn)證
我將提高 WordPress 登錄安全性的最佳方法保存到最后: WordPress 雙因素身份驗(yàn)證。 雙因素身份驗(yàn)證需要額外的代碼以及您的 WordPress 用戶名和密碼才能登錄。
雙因素身份驗(yàn)證的方法有很多,但并非所有方法都是一樣的。如果可以,請(qǐng)避免使用SMS 進(jìn)行雙因素身份驗(yàn)證。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院不再推薦使用 SMS 發(fā)送和接收驗(yàn)證碼。
使用 WordPress 安全插件,您應(yīng)該啟用雙因素電子郵件或移動(dòng)應(yīng)用程序方法。
請(qǐng)注意,許多網(wǎng)站要求您使用電子郵件地址作為用戶名。如果攻擊者入侵其中一個(gè)網(wǎng)站,下一步將是嘗試使用他們竊取的新電子郵件地址和密碼登錄電子郵件帳戶。如果您的某個(gè)用戶或客戶在每個(gè)站點(diǎn)上重復(fù)使用泄露的密碼,則他們的電子郵件帳戶以及他們的雙因素電子郵件代碼將被泄露。雙因素移動(dòng)應(yīng)用程序方法將最大程度地提高 WordPress 登錄安全性。登錄所需的額外驗(yàn)證碼將發(fā)送到用戶的手機(jī)。因此,即使攻擊者可以訪問 WordPress 和電子郵件憑據(jù),他們?nèi)匀粺o法登錄。
