您是否正在尋找保護您的 wordpress 管理區域的方法？

保護管理區域免遭未經授權的訪問可以讓您阻止許多常見的安全威脅。如果您在 wordpress 網站上發現大量攻擊，這會很有幫助。

在本教程中，我們將向您展示一些保護您的 WordPress 管理區域的重要提示和技巧。

我們將介紹許多技巧，您可以使用下面的快速鏈接在它們之間跳轉：

• 使用網站應用程序防火墻
• 密碼保護 WordPress 管理目錄
• 始終使用強密碼
• 在 WordPress 登錄屏幕上使用兩步驗證
• 限制登錄嘗試
• 限制對 IP 地址的登錄訪問
• 禁用登錄提示
• 要求用戶使用強密碼
• 為所有用戶重置密碼
• 保持 WordPress 更新
• 創建自定義登錄和注冊頁面
• 了解 WordPress 用戶角色和權限
• 限制儀表板訪問
• 注銷閑置用戶

1.使用網站應用程序防火墻

網站應用程序防火墻或 WAF 監視網站流量并阻止可疑請求到達您的網站。

雖然有幾個WordPress 防火墻插件，例如 Wordfence，但我們建議使用Sucuri。它是一種網站安全和監控服務，提供基于云的 WAF 來保護您的網站。

您網站的所有流量首先都會經過Sucuri云代理，它們會分析每個請求并阻止可疑請求到達您的網站。這可以防止您的網站遭受可能的黑客攻擊、網絡釣魚、惡意軟件和其他惡意活動。

有關更多詳細信息，請參閱Sucuri 如何幫助我們在 3 個月內阻止 450,000 次攻擊。

2.密碼保護WordPress管理目錄

您的 WordPress 管理區域已受到您的 WordPress 密碼的保護。但是，向 WordPress 管理目錄添加密碼保護會為您的登錄頁面增加另一層安全性。

首先，您需要登錄WordPress 網絡托管cPanel 儀表板，然后單擊“密碼保護目錄”或“目錄隱私”圖標。

接下來，您需要選擇 wp-admin 文件夾，該文件夾通常位于 /public_html/ 目錄內。

在下一個屏幕上，您需要選中“密碼保護此目錄”選項旁邊的框，并提供受保護目錄的名稱。

之后，單擊“保存”按鈕以設置權限。

接下來，您需要點擊后退按鈕，然后創建一個用戶。系統會要求您提供用戶名/密碼，然后單擊“保存”按鈕。

現在，當有人嘗試訪問您網站上的 WordPress admin 或 wp-admin 目錄時，系統會要求他們輸入用戶名和密碼。

有關更詳細的說明，請參閱有關如何使用密碼保護 WordPress 管理 (wp-admin) 目錄的指南。

3. 始終使用強密碼

始終為您的所有在線帳戶（包括您的 WordPress 網站）使用強密碼。我們建議您在密碼中使用字母、數字和特殊字符的組合。這使得黑客更難猜測您的密碼。

初學者經常問我們如何記住所有這些密碼。最簡單的答案是您不需要。您可以在計算機和手機上安裝一些非常出色的密碼管理器應用程序。

有關此主題的更多信息，請參閱我們的有關 WordPress 初學者管理密碼的最佳方法的指南。

4. 在 WordPress 登錄屏幕上使用兩步驗證

兩步驗證，也稱為兩因素驗證、兩因素身份驗證或 2FA，為您的密碼添加了另一個安全層。它不是單獨使用密碼，而是要求您輸入手機上的 Google 身份驗證器應用程序生成的驗證碼。

即使有人能夠猜出您的 WordPress 密碼，他們仍然需要 Google 身份驗證器代碼才能進入。

有關詳細的分步說明，請參閱有關如何使用 Google Authenticator 在 WordPress 中設置兩步驗證的指南。

5. 限制登錄嘗試

默認情況下，WordPress 允許用戶根據需要多次輸入密碼。這意味著有人可以通過輸入不同的組合來不斷嘗試猜測您的 WordPress 密碼。它還允許黑客使用自動化腳本來破解密碼。

要解決此問題，您需要安裝并激活登錄鎖定插件。激活后，請訪問“設置”?“登錄鎖定”頁面以配置插件設置。

有關詳細說明，請參閱我們關于為何應限制 WordPress 登錄嘗試的指南。

6.限制IP地址的登錄訪問

保護 WordPress 登錄安全的另一個好方法是限制對特定 IP 地址的訪問。如果您或少數受信任的用戶需要訪問管理區域，則此提示特別有用。

只需將此代碼添加到您的.htaccess 文件中：

登錄嘗試失敗時，WordPress 會顯示錯誤，告訴用戶其用戶名或密碼是否不正確。這些登錄提示可能會被某些人用來進行惡意嘗試，例如暴力攻擊。

您可以通過將以下代碼添加到主題的functions.php文件或使用代碼片段插件（例如WPCode（推薦））來輕松隱藏這些登錄提示：

有關詳細說明，請參閱有關如何在 WordPress 中為所有用戶重置密碼的指南

10.保持WordPress更新

WordPress 經常發布該軟件的新版本。WordPress 核心的每個新版本都包含重要的錯誤修復、新功能和安全修復。

在您的網站上使用舊版本的 WordPress 會讓您容易遭受已知的漏洞和潛在的漏洞。要解決此問題，您需要確保使用的是最新版本的 WordPress。

有關此主題的更多信息，請參閱我們的指南，了解為什么應始終使用最新版本的 WordPress。

同樣，WordPress 插件也經常更新以引入新功能或修復安全和其他問題。確保您的 WordPress 插件也是最新的。

11. 創建自定義登錄和注冊頁面

許多 WordPress 網站要求用戶注冊。例如，會員網站、學習管理網站和在線商店需要用戶創建帳戶。

但是，這些用戶可以使用他們的帳戶登錄 WordPress 管理區域。這不是一個大問題，因為他們只能執行其用戶角色和能力允許的操作。

但是，它會阻止您正確限制對登錄和注冊頁面的訪問，因為您需要這些頁面供用戶注冊、管理其個人資料和登錄。

解決此問題的簡單方法是創建自定義登錄和注冊頁面，以便用戶可以直接從您的網站注冊和登錄。

有關詳細的分步說明，請參閱有關如何在 WordPress 中創建自定義登錄和注冊頁面的指南。

12.了解 WordPress 用戶角色和權限

WordPress 配備了強大的用戶管理系統，具有不同的用戶角色和功能。將新用戶添加到 WordPress 網站時，您可以為其選擇用戶角色。此用戶角色定義他們可以在您的 WordPress 網站上執行哪些操作。

分配不正確的用戶角色可能會給人們帶來超出他們需要的能力。為了避免這種情況，您需要了解 WordPress 中不同用戶角色具有哪些功能。

有關此主題的更多信息，請參閱我們的WordPress 用戶角色和權限初學者指南。

13.限制WordPress儀表板訪問

某些 WordPress 網站的某些用戶需要訪問儀表板，而某些用戶則不需要。但是，默認情況下，他們都可以訪問管理區域。

要解決此問題，您需要安裝并激活刪除儀表板訪問插件。激活后，轉到“設置”?“儀表板訪問”頁面，然后選擇哪些用戶角色將有權訪問您網站上的管理區域。

有關更詳細的說明，請參閱有關如何限制 WordPress 中的儀表板訪問的指南。

14. 注銷空閑用戶

在用戶明確注銷或關閉瀏覽器窗口之前，WordPress 不會自動注銷用戶。對于包含敏感信息的 WordPress 網站來說，這可能是一個問題。這就是為什么金融機構網站和應用程序會在用戶不活躍時自動注銷用戶。

要解決此問題，您可以安裝并激活非活動注銷插件。激活后，轉到“設置”?“非活動注銷”頁面，然后輸入您希望用戶自動注銷的時間。

有關更多詳細信息，請參閱我們關于如何在 WordPress 中自動注銷空閑用戶的文章。

我們希望本文能幫助您學習一些新的技巧和技巧來保護您的 WordPress 管理區域。您可能還想查看我們針對初學者的終極分步WordPress 安全指南以及我們專家精選的最佳WordPress 安全插件。