Google Authenticator登录验证和All In One WP Security & Firewall防火墙
WordPress安全一直是大家非常关心的问题, 尤其是Wordpress的后台管理员账号安全性一定要非常高,否则一旦被人破解后果将不堪设想。比如前一段时间专门针对Wordpress默认的Admin账号进行暴力破解的攻击波就让不少的WP遭黑。
要禁止非授权的Wordpress管理员账号登录后台,在WordPress防暴力破解一文中我们可以用BulletProof Security和Better WP Security这两款插件来设置好黑白名单,更改后台登录URL,禁止Admin账号等方式提升Wordpress的安全性。
当然也可以用.htpasswd保护WordPress控制面板,让所有访问Wordpress后台的用户都必须先输入服务器用户名和验证密码,以此达到防止暴力攻击Wordpress账号和密码的目的。本篇文章将继续Wordpress安全的问题。
我们可以利用Google Authenticator来为Wordpress增加一个类似于Google账号登录的两步验证,即当管理员登录Wordpress时除了要输入管理员账号和密码外,还要输入一个手机动态验证码,这个动态验证码是实时变化的,因此安全性相当高。
All In One WP Security & Firewall也是一款Wordpress的安全插件,与上面两款经典的安全插件不同的是,All In One WP Security & Firewall还多了一个防火墙的功能,根据部落的试用来看,这个防火墙可以自定义规则,默认自带的规则可以防止多数日常不安全性攻击。
增强WordPress安全性除了日常维护需要特别注意外,切记不要忘记Wordpress版本的更新了,新版本的WP经常会修复之前版本的各种安全漏洞:
- 1、手动升级:WordPress自动升级失败原因盘点和手动升级WordPress四个步骤
- 2、防护攻击:WordPress加速防护技巧:多重CDN和Better WP Security强化安全
- 3、暴力破解:WordPress防暴力破解:安全插件和用.htpasswd保护WordPress控制面板
Google Authenticator登录验证和All In One WP Security & Firewall防火墙
一、Wordpress Google Authenticator插件安装使用
1、Google Authenticator官网:
- 1、WP插件:https://wordpress.org/plugins/google-authenticator/
2、Google Authenticator插件可以自己到插件官网下载手动再安装,也可以直接到Wordpress后台搜索快速安装。
3、安装好了Google Authenticator后,激活,然后到管理员的个人资料中,勾选启用Google Authenticator。
1、Google 身份验证器在Google Play中可以搜索下载到,也可以通过其它的Android应用平台下载安装得到。
2、首次在手机启用Google 身份验证器会要你设置好一个账号。
3、添加你的谷歌账号。
4、输入谷歌邮箱账号和密码。
5、成功添加账号。这个可以用来给Google账号提供两步验证。
6、再在Google 身份验证器中设置中添加账号。
7、账号和密钥可以在刚刚安装的Wordpress Google Authenticator插件中找到。
8、添加好了Wordpress的两步验证,动态验证码会实时变化。
三、使用Google账号两步验证保障Wordpress管理员账号安全
1、启用了Wordpress的Google账号两步验证后,在后台登录账号时会有Google Authenticator验证码一栏。
2、每次要登录账号时就需要打开手机查看Google 身份验证器生成的验证码了,如果不正确,则无法登录。
四、All In One WP Security & Firewall给Wordpress配置安全防火墙
1、All In One WP Security & Firewall官网:
- 1、插件下载:https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
2、All In One WP Security & Firewall功能有全,除了有用户登录安全、文件系统安全、数据库安全等,还有防火墙、防止垃圾评论、阻止简单恶意攻击等。
3、在All In One WP Security & Firewall的控制页面中,可以很直观地看到自己的Wordpress安全系数,还有一些需要改进的安全建议操作。
4、在用户登录中一般会要求你禁止Admin这样默认的用户名。
5、限制登录次数。All In One WP Security & Firewall还要限制后台登录错误次数,封锁IP登录时间间隔,这些都对防暴力破解账号有作用。(点击放大)
6、在数据库安全方面,All In One WP Security & Firewall是建议你修改默认以wp-开头的MysqL表。
7、All In One WP Security & Firewall提供的基本防火墙设置中,主要功能有保护 htaccess和wp-config.php不被恶意修改、禁止服务器签名、限制最大文件上传10MB等。
8、All In One WP Security & Firewall还提供了一个防止垃圾评论的功能,垃圾评论一般是直接调用comments.php和HTTP_REFERRER经常为空,插件可以根据此特点来阻止机器人评论。
1、在使用Wordpress的Google两步验证时,一定要保存好WordPress Google Authenticator插件安装生成的密钥,防止泄露。如果想要修改密钥可以在Wordpress后台的用户个人资料中重新生成一个。
2、All In One WP Security & Firewall功能过于全面了,对于WP高手来说有些功能是有些鸡肋。特别提醒的是:由于该安全插件会涉及到MysqL数据库等操作,大家在使用前一定要作好备份工作。
文章出自:免费资源部落 / 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
您或许对下面这些文章有兴趣: 本月吐槽辛苦排行榜
-
#的两步验证,不错嘛
[回复] -
#的确实不错,安全
[回复] -
前排。
[回复] -
2步验证确实不错
[回复] -
学习了..
[回复] -
看来博主还是上次让人搞怕了!其实只要密码足够强大,应该没什么问题的!
[回复] -
正所谓树大招风,越是大的东西,却越是不安全了。
[回复] -
先收藏,
[回复] -
#的两步验证挺有趣
[回复] -
@qi.本人博客地址更改为www.yyblog.ml 感谢大家的关注!!
[回复] -
手机不是安卓的路过…
[回复] -
这个还不错,收藏备用先
[回复] -
可以下载的?
[回复] -
#的产品一向是严谨实用,好东西在大@陆生生给憋死
[回复] -
怎么不显示头像呀我。
[回复] -
谷歌常常登陆不上去。
[回复] -
前来撸一发
[回复] -
这个插件不错,心理上觉得很高端,哈哈。但是有个问题,VPS或服务器时区和时间不对的话会提示# Authenticator code错误,要把时间对上。
[回复] -
All In One WP Security是目前wp上最火的插件,简单强大,用后感觉不错.不仅解决了基本安全问题,还可以有效防止垃圾评论.可以省去很多其他插件.有人觉得这些插件很鸡肋.实际上高端的黑客数量很少,多数是会一点伎俩出来混的,一般的绝大多数博客小站经济价值不大,会一些基本安全技术,加上这些方便的插件,就可以挡住多数黑客攻击,那些高水平的黑客是看不上我们这些小站的,攻击都觉得掉价.就好比我们开一个街头便利店,我们担心的是那些小贼,不是银行大盗,没必要用银行的安保水准,要是雇一堆保安,花费谁也负担不起,没准还把大贼招来了.有多贵的车,配多贵的锁.
[回复] -
我也认为是主题的问题所以也试了但是还是无效,哎,算了不行就算了,对了再想问你一个问题就是你有没有颜色域名的优惠码, .RED .BLUE .PINK .BLACK的,谢谢
[回复]