[教學] WordPress 後台登入網址隱藏、避免暴力破解安全防護外掛 – Lockdown WP Admin

近日駭客針對 WordPress 漏洞進行大規模的攻擊、暴力破解,透過臉書 WP 社團討論區就發現有不少受害者,其實在這之前就注意到 WordPress 本身安全性就不夠嚴謹,加上前些日子我的部落格也遭受駭客攻擊,也因為如此網站後台、帳號安全性成了很重要的問題,推薦兩款外掛分享給大家,分別是「Lockdown WP Admin」以及「Limit Login Attempts」,前者可以隱藏登入後台網址避免惡意入侵、後者則可針對嘗試進行暴力破解駭客進行IP上鎖及限制,都蠻好用的!! 而且使用到現在對於網站安全性可說是完全不用擔心啦!!有這類顧慮、擔憂的朋友可以參考本篇文章看看 ~



【外掛名稱】Lockdown WP Admin

【作者網站】http://seanfisher.co/lockdown-wp-admin/

【檔案下載】http://wordpress.org/extend/plugins/lockdown-wp-admin/

 

【外掛名稱】Limit Login Attempts

【作者網站】http://devel.kostdoktorn.se/limit-login-attempts

【檔案下載】http://wordpress.org/extend/plugins/limit-login-attempts/

 

首先第一款介紹的是 – Lockdown WP Admin 這套外掛

外掛安裝、下載教學這部分我想就不多加以介紹及補充

簡單說明後台設定方式,點選 Lockdown WP 進入管理

使用紅筆圈起來的地方就是需要設定、注意的小細節!!!

第一個選項打勾,主要是將"wp-admin"."wp-login"隱藏

第二個紅框則是要設定你的後台登入網址 (建議加入 – )

而且還要避免登入後台網址與部落格文章不要重覆到

登入名稱含有1~2個特殊符號,比較不會重疊、出錯 …

HTTP Authentication 預設 Disable HTTP Auth 即可

 

 

設定完成後輸入原本登入後台網址,馬上出現 404 ERROR 啦!!

緊接著輸入剛設定好 WordPress Login URL 登入後台馬上顯示

然而這一步驟的安全防護措施,不少朋友應該會感到驚呼連連吧

比起需要修改 .htaccess 檔案進行防護措施來說真的簡單許多 ~

 

 

第二套要推薦外掛則是 – Limit Login Attempts

後台能設定密碼錯誤幾次即進行 IP 上鎖的動作

鎖定間隔時間、次數都可以在這裡來進行調整

錯誤次數達限制還能自動發信通知站長 (方便)

這兩款外掛則一選擇來使用我想就綽綽有餘啦

如果要我推薦的話,我建議使用第一款 (大推)

因為具有隱藏後台網址功能,讓駭客猜不透 …

 

以上是這兩款外掛近日下載統計表,這陣子有暴衝跡象

尤其是 Limit Login Attempts (圖二) 下載量更是驚人

Lockdown WP Admin 下載量跟網路較少介紹或許有關

至少裝這兩套其中一套外掛後,到現在也沒有被入侵過

如果不想裝外掛朋友則可以參考香腸文章,頗實用的說

【外掛名稱】Lockdown WP Admin

【作者網站】http://seanfisher.co/lockdown-wp-admin/

【檔案下載】http://wordpress.org/extend/plugins/lockdown-wp-admin/

 

【外掛名稱】Limit Login Attempts

【作者網站】http://devel.kostdoktorn.se/limit-login-attempts

【檔案下載】http://wordpress.org/extend/plugins/limit-login-attempts/

臉書留言

一般留言

  • 謝謝阿福大大
    我也根據你的教學設定好了
    感恩

    阿福:不客氣!! 有任何 WordPress 問題也可以問我 ^^

  • 這個確實該用喔~~
    不怕一萬只怕萬一咩~~~
    我好早之前就用了~~
    雖然家裡沒啥東西~~但是還是怕被入侵亂PO東西啊:P

    阿福:除了做好安全防護外,定期備份也是很重要的
    簡單幾個小動作才能確保網站的安全性 ~ ^^

  • 我有裝第二套軟體,今天收到8封 lockout(s)的mail通知,而且都是不同ip,表示有人想嘗試登入,請問碰到這個問題該怎麼辨? 這種情況有辨法檢舉嗎?

    • 一般來說這都是機器人來嘗試用暴力破解!! 可以使用 Lockdown WP Admin 變更後台網址,這情況會改善很多的。

  • safely

    請問 我使用了 Lockdown WP Admin 外掛後 修改後台的位置名稱 之後
    就算打入 修改後的網址 也無法進入後台~~ 請問有辦法可解嗎?

    • 能否說明詳細一點?? 你的這問題要不要先把它給刪除重新安裝在啟用呢??

  • 小志 林

    樓下的朋友,我剛剛也遇到您一樣的問題,Google一下暫時找到解決的方法,先直接在FTP上,路徑/public_html/wp-content/plugins,將這個「plugins」外掛資料夾暫時修改名稱,接著用原先的wp-login登入,就可以進入後台。教學轉貼自:http://yeouching.com/?p=3030

  • 感謝你的解決方法!!

  • 小林

    請問我用Lockdown WP Admin也遇到無法進入自訂的後台網址,會到apache設定的404頁面,我是不是應該設定httpd.conf檔指定404頁面轉發位置?????

    • 若有問題的話將網站資料夾根目錄 .htaccess 權限改為 755 看能否正常??

  • jason

    阿福請問一下喔如果說我之前有下載使用過的主題布景但是我不要了要怎麼刪除?謝謝

    • 直接登入 FTP 來到 wp-content/themes 資料夾將欲刪除佈景點選即可移除。

  • 酷酷云

    安装了试试看,感谢分享好的技术文。另外请问一下你的这个相关文章是怎么实现的?代码还是插件?

    • 相關文章是使用 “WordPress Related Posts" 達成,你也可以選擇 Jetpack 內建外掛使用。