安裝 WordPress 後,一些簡單但能增強網站安全性的動作
- 新增一新管理者帳號,刪除原來 admin
- 外掛 WPS Hide Login
修改登入 Url,不使用預設的登入網址
跟永久網址似乎設定上有某些關聯,設定上必須一致否則會有問題。
避免之後改了什麼設定又導致問題,用以下 Cloudflare 的方式處理。 - 外掛 Wordfence Security
主要設定這幾個部分- 暴力密碼破解防護
- reCAPTCHA
- 2FA 兩步驟驗證
Cloudflare WAF 保護 login admin
只允許特定 IP 瀏覽 登入網址 與 後台,其餘擋掉
- /admin (不包括 /wp-admin/admin-ajax.php)
- /wp-login.php
- /xmlrpc.php (很多文章都沒提到,是暴力密碼破解的對象之一)
Cloudflare Console > 安全性 > 安全性規則 > 建立規則

