应该更改/隐藏 WordPress 登入页面网址吗?

这是一篇与大家谈谈该不该更改 WordPress 登入页面网址的文章。

熟悉 WordPress 的朋友们都知道可以在浏览器地址栏输入 /wp-admin/ /wp-login.php 抵达 WordPress 登入页面,例如:

https://yourbeautifulwebsite.com/wp-admin/,或者 https://yourbeautifulwebsite.com/wp-login.php。

WordPress 登入页面
WordPress 登入页面

我们应不应该更改 WordPress 登入页面网址呢?这个课题,有人赞成、也有人反对。

赞成的一方说:“这会提升 WordPress 安全性!“

反对的一方说:“这只是一个通过模糊的方法来提升 WordPress 安全性,并不是完美的安全策略。”

其实,两方说得都没有错,那该如何抉择,聆听哪一方的意见比较好呢?我们觉得主要是看网站的需求和如何去使用它。

如果把更改 WordPress 登入页面网址当作是网站唯一的安全解决方案,那我们将不建议您更改。如果您的网站已采用其他安全解决方案,而把它当作是加强 WordPress 安全性的一道防线之一,那我们会站在赞成的一方。

在上一篇隐藏 WordPress 用户名以增加 WordPress 安全性的文章里,谈到我们的网站安装了 LoginPress Pro 插件里的“限制登入次数(登入表单暴力破解防护)”这一功能。由于它拥有精美的界面,让我们简便查看尝试登入失败详细信息(Limit Login Attempts → Attempt Details),我们才发现原来每天会有许多人抵达 /wp-admin/ /wp-login.php 页面尝试登入 WordPress 网站后台。

LoginPress Pro 的尝试登入失败的详细信息
LoginPress Pro 的尝试登入失败的详细信息(此图来自于 https://loginpress.pro/doc/limit-login-attempts/)

少的话一天会有大约十多几十多次尝试登入失败,多的话则有百多两百多次以上,这些尝试登入失败不是我们网站管理员或使用者所为。

那时很好奇地问,怎么每天会有这些尝试登入者?他们从哪里来?又往哪儿去呢?有如对生命的追问:“我从何处来,欲往何处去。。。” 😄

其实,大多数这些都是自动化恶意机器人(Bad Bots)的作为,它们7天24小时不间断地在网络空间里漫游和寻找 WordPress 登入页面目标并且尝试登入。如果不是以 WordPress 默认管理员的名字 admin 为用户名(username),加上使用复杂安全性高的密码(strong password),则不用担心,因为自动化恶意机器人尝试登入所使用的密码一般都比较简单。

所以反对更改的一方说,只要使用复杂安全性高的 WordPress 登入凭证(login credentials),如用户名和密码,就不用担心遭到攻击,也不用担心让人知道 WordPress 登入页面网址。

那是否该将 WordPress 登入页面网址更改呢?

如果您想、可以、同意的话,为何不呢?

世界上也没有100%绝对安全的解决方案,那采用各种安全预防措施是好的,不是吗?除非网站有特殊原因或因素不适合更改它。

LoginPress Pro 也具有更改 WordPress 登入页面网址的功能,所以我们使用它来更改,将先前所说的网站增加一道安全防线保护登入页面:

  1. 更改 WordPress 登入页面网址
  2. 隐藏 WordPress 用户名(我们主要对于网站管理员和编辑者)
  3. 复杂安全性高的 WordPress 登入凭证(用户名和密码)
  4. Web 应用防火墙(Web Application Firewall,简称 WAF)
  5. 限制登入尝试次数
  6. Google reCAPTCHA
  7. 双因素认证(Two-factor authentication,简称 2FA)

我们可以看见以上每一个安全解决方案都有其用处,那更改了 WordPress 登入页面网址对我们有哪些帮助?主要有两个:

一、更改了 WordPress 登入页面网址和观察一段时期之后,除了我们自己的输入错误外,不再看见 LoginPress Pro 里有任何人的尝试登入失败详细信息,因此不再浪费我们的 WordPress 资源和带宽(bandwidth),因为自动化恶意机器人不能每天以 /wp-admin/ wp-login.php 抵达登入页面并尝试多次登入。

更改了 WordPress 登入页面网址后,LoginPress Pro 不再有任何人尝试登入失败详细信息。
更改了 WordPress 登入页面网址后,LoginPress Pro 不再有任何人尝试登入失败详细信息。

二、由于不再有自动化恶意机器人打扰 WordPress 登入页面,避免了每天因为这些尝试失败登入而使数据库大小(database size)不断地在增长。

这是我们采用“限制登入次数”功能后更改 WordPress 登入页面网址的主要原因,同时也是为了将它作为保护登入页面的第一道安全防线。

由此可见,“限制登入次数(尝试登入失败详细信息)“和更改 WordPress 登入页面网址这两个安全解决方案可以结合起来加强保护登入页面。

后语

恶意攻击者还是会继续使用各种方法来猜测新的 WordPress 登入页面网址,如果尝试登入失败详细信息里存有可疑记录,我们也会继续更改登入页面网址。

实际上,基于还有各种安全解决方案守护着网站,我们并不十分担心更改了的登入页面网址是否有其他方法可以找得到它。因为我们采用安全解决方案的主要目的是为了建立几道墙以提高恶意攻击者入侵网站的难度,并没把它当作唯一的安全解决方案,而忽略其他安全建议。

除了以更改 WordPress 登入页面网址的方法外,也可使用 HTTP 认证(HTTP Authentication)方法来保护 WordPress 登入页面,只不过安装插件来更改登入网址对广大 WordPress 使用者来说是最简便的。

分享:

留下评论