WordPress 安全性

安裝 WordPress 後,一些簡單但能增強網站安全性的動作

  1. 新增一新管理者帳號,刪除原來 admin
  2. 外掛 WPS Hide Login
    修改登入 Url,不使用預設的登入網址
    跟永久網址似乎設定上有某些關聯,設定上必須一致否則會有問題。
    避免之後改了什麼設定又導致問題,用以下 Cloudflare 的方式處理。
  3. 外掛 Wordfence Security
    主要設定這幾個部分
    1. 暴力密碼破解防護
    2. reCAPTCHA
    3. 2FA 兩步驟驗證

 

Cloudflare WAF 保護 login admin

只允許特定 IP 瀏覽 登入網址 與 後台,其餘擋掉

  • /admin (不包括 /wp-admin/admin-ajax.php)
  • /wp-login.php
  • /xmlrpc.php (很多文章都沒提到,是暴力密碼破解的對象之一)

Cloudflare Console > 安全性 > 安全性規則 > 建立規則

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *