WordPress 被黑的事情听得多了。但其实大部分攻击不是针对 WordPress 核心的漏洞,而是因为用户没做好基础防护。以下十个设置花一两个小时做完,能挡住 90% 以上的常见攻击。
保持更新
WordPress 核心、主题、插件都要保持最新版本。很多攻击利用的是已公开的漏洞,官方早就修复了,但用户没更新。可以在后台开启自动更新,至少安全更新要自动执行。
强密码和双因素认证
弱密码是最大的安全漏洞。管理员账号不要用 admin 作为用户名,密码至少 12 位以上。推荐用 1Password 或 Bitwarden 生成和保存密码。双因素认证可以装 Wordfence 或者 Google Authenticator 插件来实现。
限制登录尝试
WordPress 默认允许无限次尝试登录,这就是暴力破解攻击能成功的原因。装一个限制登录次数的插件,连续失败五次就锁定 IP 一段时间,大部分自动攻击脚本就会放弃。
更多 WordPress 技术文章,欢迎访问六翼开源WordPress专栏。