自 WordPress 推出到現在已經近17年了,這段期間內 WordPress 成長為了世界上最大的 CMS 程式,並占據了世界上超過30%的網站,但是越是熱門的工具,也就成為越多人企圖要破解的目標,你只要看一下 Microsoft 與 Apple iOS 兩者間的病毒數量就可以深刻的瞭解到這一點,WordPress 作為最熱門的架站工具,有許多人試圖破解也是很正常的……。
使用安全的登入頁面
WordPress 有固定的帳號登入頁面,所以登入頁面也就成為駭客最喜歡暴力破解的目標之一。
不要使用預設的管理員帳號
現在許多主機都有提供一鍵安裝 WordPress 網站,而一鍵安裝 WordPress 雖然方便,但是預設的管理員帳號及密碼一定要記得更改,一般來說,駭客最愛嘗試暴力破解的帳號首選就是預設的 admin,再來就是使用你的域名,比如說本網站的網址是 Hostfree.cyou,那 hostfree 就很有可能成為駭客暴力入侵的測試帳號之一。
使用複雜的密碼
大家都知道密碼越複雜,越容易阻擋不名人士的入侵,但是還是有許多人使用簡單的密碼比如說:
- 123456
- 123456789
- password
- 1111
- pass
好的密碼組合建議:
- 大小寫字母組合
- 包含特殊符號,如:!、@、#、$
- 最少8個字母符號組合
如果你想不到好的密碼,那你也可以到 passwordsgenerator 建立一個。
重新設定登入頁面
WordPress 預設的登入網址是這樣:
Yourdomain.com/wp-admin
要避免別人測試你的網頁最快的方法就是直接改掉你的登入頁面
替登入頁面加入驗證碼
reCaptcha 可以避免自動程式去測試你的網站,當然,現在入侵的手段越來越多, reCaptcha 也是可以有技巧地被繞過,但多少增加駭客的麻煩,減少網站被入侵的機會。
限制登錄嘗試次數
暴力攻擊會多次嘗試各種帳號、密碼組合以獲得你的網站帳號及密碼,如果限制登入的 IP 來源或是限制一定時間內登入的測試次數,可以有效的阻止暴力破解。
為你的網站加入 SSL 加密
SSL 不但可以增加 Google 搜尋的加分,同時也可以為你的網站通訊加密,現在的各個主機通常都會提供免費的 SSL加密,當你在管理網站的時候,千萬要替你的網站加入 SSL。
將你的 WordPress 外掛與主題更新到最新
多數的 WordPress 網站遭到入侵,最大的來源就是第三方的外掛或是主題,所以各個團隊總是不斷地在修補程式的漏洞,為了確保你網站的安全,最好還是維持你的網站的主題與外掛都還是有人在維護的狀況。
做好網站備份
不管你的網站是何種類型,做好備份都是身為一個站長應做的工作,你的虛擬主機商可能會提供網站的備份,但是除了廠商的備份之外,你還是應該定期為你的網站做好自己的備份,以免廠商發生不可回復的意外造成你的損失。