WordPress登入 3騎士 | 保護你的WordPress網站及帳戶安全

WordPress登入 3騎士 更新於 2020/ 8

人怕出名豬怕肥,當您的網站越來越肥的時候,您應該要擔心還沒賣個好價錢就被人給偷了。

資訊安全對您到底有多重要? 台灣對網路資安的重視性並不高,而資安也不太可能仰賴法律保障您的網站安全,學好自我保謢也許是個值得的投資。

?某個知名網站的登入頁面,這證明就算您是專家也不一定會注意到資訊安全問題。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/8a5271ff-ee2f-469a-83e4-7ff93643927b/Untitled.png

其實您在網站上安裝完 WordPress 後,就應該使用菈喜的方法來保護您的帳戶安全,所以我準備了 3 個 WordPress 外掛推薦給您,讓 WordPress 登入 3 騎士為您守護網站樂園。

您可以在文章中得到好處有:

  • 網站被駭怎麼辦?
  • WordPress 登入頁面變更 – 讓壞人找不到門進入。
  • WordPress 登入次數限制 – 防止大力士的暴力破解。
  • 兩步驟驗證 – 小心再小心,安心更安心。
  • WordPress Google 登入設定、自制登入頁面

還有興趣嗎? 那就讓我們看下。如果沒提到您的痛點的話,請留言讓我知道好嗎或是填寫問題表單直接偷偷討論。( Google 表單 )

網站被駭的可能性和處理?


那些不請自來的客人到底想要幹嘛? 聽說多數的黑客 ( 駭客 ) 進入您的網站的原因只是…

  • 練習自己的黑客技術
  • 炫耀一下自己的技術
  • 討厭你,黑你剛好而已。
  • 竊取資料

?別覺得自己的資料不重要,想要的人多是;你女友就很想要知道你昨天跟誰在聊天。

網站被駭的處理方法

假設您和我一樣只是管理幾個小型的網站,那最直接和有效的方法就是還原系統;那大型網站的話,應該要怎麼處理?

延伸閱讀:參考 Google九步驟 處理網站被駭自己來

由 IThome 提供的方法看來,除了有技術問題之外,最重要的是您還要找出問題點並修復它,第 2 個問題是這會花費我們多少寶貴的時間?

但不管我們花了多少心思和努力都不可能讓網站無懈可擊,但治療的成本太高了,學習預防才是我們小網站的重點,當然如果您已經是龐大的賺錢網站,花點錢買保險來平衡風險才聰明。

https://images.unsplash.com/photo-1553986782-9f6de60b51b4?ixlib=rb-1.2.1&q=85&fm=jpg&crop=entropy&cs=srgb&ixid=eyJhcHBfaWQiOjYzOTIxfQ

那接下來大叔介紹三個帥哥騎士給您,因為長得太帥了,所以請自行斟酌是否需要全部服用或是選擇適合的留下來就好。

更改 WordPress 網站登入網址的小騎士 – WPS Hide Login


我們都知道登入網頁是開放的,所以在網址後面加上 “wp-admin” 或者 “wp-login.php” 就會連到您的後台登入頁面。(抖)

所以為了防止有心人士想要測試我們的密碼,大叔建議一開始就更改登入頁面的網址。

WPS Hide Login 由 WPServeur 開發,由評價和安裝數看來是值得信任的外掛。

安裝前,大叔習慣看一下它的評價和更新時間,就像是 Google SEO 更新時間越新越好,而回饋或是留言的人越多越好。

?一開始先搜索 ” WPS Hide Login ” 然後安裝它。

https://lashiblog.com/wp-content/uploads/2020/08/1_20200807_3.png

?安裝後,點擊 Settings 進入設定。

https://lashiblog.com/wp-content/uploads/2020/08/1_20200807_4.png

在 Setting 裡面,小騎士提供了 2 種防禦功能來保護您的網站。( 事實上是同一種 ? )

  1. 變更 Login URL 的位置 – 在修改位置之後,登入的網址就是您設定的 URL,立馬加入「 我的最愛 」才不會忘記。
  2. Redirection URL – 將原本「網站登入頁」轉域到您指定的頁面。
https://lashiblog.com/wp-content/uploads/2020/08/1_20200807_2.jpg

?大叔一般都放上兇猛照片來喝止那些試圖登入我帳號的壞蛋 – 看我的登入頁

限制 WordPress 網站登入次數的2騎士 – Limit Login Attempts


WordPress 系統登入預設是無限次數的,這讓故意要找碴的人有機可乘。

那限制登入次數就是一個簡單但有效的方法,讓 Limit Login Attempts 為您的網站設下第 2 道防護線。

?立即免費下載 Limit Login Attempts

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/7cca44f2-6d5c-49a0-9a6e-ba223b4375c1/Untitled.png

?在 WP 設定內找到 Limit Login Attempts 然後點擊「 設定 」來設定您要的設定,這麼多的設定#像極了愛情。

WordPress 兩步驟驗證的大騎士 – Two Factor ( Google Authenticator )


兩步驟驗證 Two-Factor Authentication ( 2FA ) 是很常見的一種登入驗證,功能就是在登入時候,除了輸入帳號密碼之外,還必須再輸入一個由 Google Authenticator 產生的 金鑰密碼 ( Code ) ,而 Google Authenticator Code 則是由手機上安裝的 Google Authenticator APP 產生。

所以我們除了在網架要安裝一個外掛之外,我們還需要下載一個手機 APP ,籍由雙重的驗證方法 ( 帳號密碼 + Google Authenticator Code ),讓網站安全滿分。

什麼是 Google 身分驗證器 ( Google Authenticator ) ?

簡單來說就是您可以在智慧性手機上安裝 Google Authenticator APP,它會給一組密碼用來登入驗證,而密碼約 30 秒就會更新一次。

?使用 Two – Factor 來提升被盜帳號的難度。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/bbac6ac6-562a-41e6-8373-708f641ff88f/Untitled.png

那就一步一步來教大家怎麼做吧:

  • 第一步先安裝 ” Two – Factor ” 外掛 – 如果您是用搜索 ” Two Factor ” 的話,應該還會看到更多有兩步驟驗證,選一個喜歡的來用吧,大叔選 Two -Factor 是因為它功能簡單,也有蠻多人給 5 星回饋,還有它有中文! 讚。
  • 這裡要注意的是外掛設定的地方在「使用者 → 個人資料」。

?設定在這

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/3ba744af-d929-4e90-b52d-dddce7b3d042/Untitled.png

?將畫面滾到最下方,有個「 兩步驟驗證選項 」,大叔已經註冊好了;基本上我們會把電子郵件傳送備用驗證碼打勾☑️ 和 TOTP 驗證碼打勾☑️ ,主要驗證方式為 TOTP 驗證碼。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/89d03a70-dce1-4e5d-a0ad-67e469b2db71/Untitled.png

?下載後,我們開啟 APP 掃描 QR CODE ( 是掃您網站的,不是掃大叔的喔! )

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1f3768fd-88d7-45b9-ad7c-c8bcec7ae2cb/Untitled.png

掃完後,您應該會在手機上看到一組 6 個數字的密碼,在下方驗證碼中輸入並送出。

?沒問題的話,那您應該會看到它說「 金鑰已完成設定及註冊 」,打勾☑ 並設為主要驗證方式。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/7ffce261-ed40-48db-9cda-e796ff14b9da/Untitled.png

?我們重新登入帳密,就會出現下面請求輸入驗證碼,打開手機 Google Authenticator APP 然後打上它那個跑很快的 Code。

?大叔在下面也設定一個電子郵件,如果 Google Authenticator 有問題無法登入的話,但這樣好像有 BUG。?

外掛會用自己網站的電子郵件系統寄信,所以不用依附在別人的系統,也許也是一件好事。

好啦,以上就是大叔推薦的 WordPress 網站登入 3 騎士,如同一開始所說,不一定需要 3 種同時使用,請依自己的喜好和習慣,這是大叔的「 免責聲明 」,但是有問題還是可以問我,我會盡力做我可以幫忙的事。

安裝這麼多外掛後,速度會變慢嗎?


大叔是用 Siteground 主機,SG 有內建優化的外掛,可以用簡單的分數來顯示目前您網站的速度,基本上安裝了今天介紹的全部外掛後,對網站的速度並沒有什麼特別的變慢的感覺。

WordPress登入外掛加碼送


再加入 2 個外掛幫您為登入網頁添增新力軍。

  • 硬漢 Google 圓桌武士 – Google Apps Login
  • 美化自訂登錄頁面外掛程式 – WORDPRESS CUSTOM LOGIN PAGE PLUGIN

Google Apps Login for WordPress 登入教學 –

  1. 安裝 Google Apps Login 外掛


  2. Google API 新增一個專案

  3. 設定您的專案名稱和位置,大叔是用個人申請,所以位置為無機構。

  4. 再來可能會花個幾秒建立您的專案,完成後,請確認下述:
    • 上面的專案名
    • 點擊左側的憑證
    • 設定同意畫面


  5. 進入 OAuth 同意畫面,因為是個人申請,所以我們只能選外部這個選項,然後建立。

  6. 再來就是設定「應用程式名稱」並確認一下 Email 登入帳號;其他都空白沒關係。

  7. 回到憑證 → 點擊上方的建立憑證 → 再點 OAuth 用戶端 ID

  8. 進入建立 OAuth 用戶端 ID 選擇應用程式類型 → 網頁應用程式 ,名稱就看大爺們的心情。


    上面的 URI → 網域,下面的 URI → 登入頁面。

  9. OKAY! 建立後,我們應該可以看到下面這個訊料;你將得到用戶端 ID 和 用戶端密碼
  10. 回到 WordPress 外掛 → Google Apps Login setup ,將 Client ID 和 Client Secret 輸入,然後下面 Save Changes。

  11. 那重新登入的時候,應該就可看到 Sign in with Google 在上面了。

Google WordPress 登出 – 如果出現授權錯誤 – 代碼 400

如果發生下面畫面的問題的話,那就是您的登入頁面的網域有誤,改為正確的登入頁面網址就可以了。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/fb3754da-efd5-41bb-9e1d-c1a6ad89e8fb/Untitled.png

?改為正確登入網址。

為美化您的登入頁而存在 – Custom Login Page Customizer | LoginPress

這外掛基本上和網站安全沒有關係,完全是為了 「自爽」而存在。

  1. 安裝 Custom Login Page Customizer | LoginPress

  2. 到設定去重新設定登入頁面

  3. 登出看一下新的頁面設計,好啦! 這外掛好玩的成分居多。

WordPress 網站資訊安全 您準備好了嗎?


大叔最後想提醒的事情是「網站資安,預防成本低,急救風險高。」 不論您喜不喜歡,天有不測風雲,家有隻貓咪就行。

⚠️延伸閱讀 External links – 這樣會離開網站喔?

菈喜大叔 - 減法生活提案

喜歡這篇文章嗎?

請幫大叔一個忙

分享文章給需要的朋友
Share on facebook
Share on pinterest
Share on linkedin
用手機聽我的文章
Share on pocket

相關文章

30 則留言

  1. 感謝大叔用心分享解說安裝步驟,立刻要來加裝外掛了!
    大叔用的來嚇阻用的圖片真的非常具有警示意味XD

  2. 謝謝版主的介紹,很多駭客都想展示自己的技巧,但要是遇到真心想偷走資料的就得不償失了。
    這些外掛都很實用,多一層保護也更加安心,謝謝推薦。

  3. 之前網站在搜尋上出現同樣名字的網站 當下真的嚇死我了 而且文章內容也都一樣 後來不知道怎樣又突然消失了 請問版主有遇過這種狀況嗎 感謝回覆

  4. 網站安全真的很重要,這個外掛感覺超實用的,
    寫的非常完整,感謝版主的介紹

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

登入/ 註冊

註冊會員