1.请勿使用“ admin”作为用户名
大多数WordPress的“ hacks”和攻击行为都比尝试通过猜测密码强行进入您的管理区域更为复杂。如果他们也不必猜测您的管理员用户名,这对他们来说就容易得多!避免在用户名中使用常见字词(例如admin),会使蛮力攻击的效率大大降低。
如果您正在使用的网站已经是“管理员”用户,则可能是时候删除该帐户并转移任何内容或访问更安全的用户名了!
2.使用复杂的密码
拥有更好的密码会使猜测或暴力破解变得更加困难。一个容易记住的技巧是CLU:复杂。长。独特。
但是更长的独特密码可能很难记住,对吧?这就是诸如1Password和LastPass之类的工具发挥作用的地方,因为它们各自都有密码生成器。您输入所需的长度,它将为您生成一个密码。您可以保存链接,保存密码并继续前进。根据您希望密码的安全性,可以设置一个较长的密码(20个字符为佳)并决定添加诸如#或*之类的不太常用的字符是明智的。
3.添加两因素身份验证
即使您不使用“管理员”并拥有一个随机生成的强密码,暴力攻击仍然可能是一个问题。不过请放心,双重身份验证可以帮助保护您的网站。
原理是,您不仅需要输入登录详细信息,还需要通过从自己拥有的另一台设备(通常是通过手机上的应用程序)输入一次验证码来确认自己的身份。攻击者很难伪造!
两种在WordPress中处理身份验证的流行插件是Google Authenticator和Rublon插件(采用略有不同的方法)。只要确保您不会丢失备用验证码,否则您可能会发现自己被锁定在外了。
4.采用最低特权原则
WordPress.org团队在WordPress Codex中撰写了一篇有关角色和功能的出色文章。我们鼓励您阅读并熟悉它,因为它适用于以下步骤。