WordPress登入 3騎士 | 保護你的WordPress網站及帳戶安全

WordPress登入 3騎士 更新於 2020/ 8

人怕出名豬怕肥，當您的網站越來越肥的時候，您應該要擔心還沒賣個好價錢就被人給偷了。

資訊安全對您到底有多重要? 台灣對網路資安的重視性並不高，而資安也不太可能仰賴法律保障您的網站安全，學好自我保謢也許是個值得的投資。

?某個知名網站的登入頁面，這證明就算您是專家也不一定會注意到資訊安全問題。

其實您在網站上安裝完 WordPress 後，就應該使用菈喜的方法來保護您的帳戶安全，所以我準備了 3 個 WordPress 外掛推薦給您，讓 WordPress 登入 3 騎士為您守護網站樂園。

您可以在文章中得到好處有：

• 網站被駭怎麼辦?
• WordPress 登入頁面變更 – 讓壞人找不到門進入。
• WordPress 登入次數限制 – 防止大力士的暴力破解。
• 兩步驟驗證 – 小心再小心，安心更安心。
• WordPress Google 登入設定、自制登入頁面

還有興趣嗎? 那就讓我們看下。如果沒提到您的痛點的話，請留言讓我知道好嗎或是填寫問題表單直接偷偷討論。( Google 表單 )

網站被駭的可能性和處理?

那些不請自來的客人到底想要幹嘛? 聽說多數的黑客 ( 駭客 ) 進入您的網站的原因只是…

• 練習自己的黑客技術
• 炫耀一下自己的技術
• 討厭你，黑你剛好而已。
• 竊取資料
  

?別覺得自己的資料不重要，想要的人多是；你女友就很想要知道你昨天跟誰在聊天。

網站被駭的處理方法

假設您和我一樣只是管理幾個小型的網站，那最直接和有效的方法就是還原系統；那大型網站的話，應該要怎麼處理?

延伸閱讀：參考 Google九步驟 處理網站被駭自己來

由 IThome 提供的方法看來，除了有技術問題之外，最重要的是您還要找出問題點並修復它，第 2 個問題是這會花費我們多少寶貴的時間?

但不管我們花了多少心思和努力都不可能讓網站無懈可擊，但治療的成本太高了，學習預防才是我們小網站的重點，當然如果您已經是龐大的賺錢網站，花點錢買保險來平衡風險才聰明。

那接下來大叔介紹三個帥哥騎士給您，因為長得太帥了，所以請自行斟酌是否需要全部服用或是選擇適合的留下來就好。

更改 WordPress 網站登入網址的小騎士 – WPS Hide Login

我們都知道登入網頁是開放的，所以在網址後面加上 “wp-admin” 或者 “wp-login.php” 就會連到您的後台登入頁面。(抖)

所以為了防止有心人士想要測試我們的密碼，大叔建議一開始就更改登入頁面的網址。

WPS Hide Login 由 WPServeur 開發，由評價和安裝數看來是值得信任的外掛。

安裝前，大叔習慣看一下它的評價和更新時間，就像是 Google SEO 更新時間越新越好，而回饋或是留言的人越多越好。

?一開始先搜索 ” WPS Hide Login ” 然後安裝它。

?安裝後，點擊 Settings 進入設定。

在 Setting 裡面，小騎士提供了 2 種防禦功能來保護您的網站。( 事實上是同一種 ? )

1. 變更 Login URL 的位置 – 在修改位置之後，登入的網址就是您設定的 URL，立馬加入「 我的最愛 」才不會忘記。
2. Redirection URL – 將原本「網站登入頁」轉域到您指定的頁面。

?大叔一般都放上兇猛照片來喝止那些試圖登入我帳號的壞蛋 – 看我的登入頁

限制 WordPress 網站登入次數的2騎士 – Limit Login Attempts

WordPress 系統登入預設是無限次數的，這讓故意要找碴的人有機可乘。

那限制登入次數就是一個簡單但有效的方法，讓 Limit Login Attempts 為您的網站設下第 2 道防護線。

?立即免費下載 Limit Login Attempts

?在 WP 設定內找到 Limit Login Attempts 然後點擊「 設定 」來設定您要的設定，這麼多的設定#像極了愛情。

WordPress 兩步驟驗證的大騎士 – Two Factor ( Google Authenticator )

兩步驟驗證 Two-Factor Authentication ( 2FA ) 是很常見的一種登入驗證，功能就是在登入時候，除了輸入帳號密碼之外，還必須再輸入一個由 Google Authenticator 產生的 金鑰密碼 ( Code ) ，而 Google Authenticator Code 則是由手機上安裝的 Google Authenticator APP 產生。

所以我們除了在網架要安裝一個外掛之外，我們還需要下載一個手機 APP ，籍由雙重的驗證方法 ( 帳號密碼 + Google Authenticator Code )，讓網站安全滿分。

什麼是 Google 身分驗證器 ( Google Authenticator ) ?

簡單來說就是您可以在智慧性手機上安裝 Google Authenticator APP，它會給一組密碼用來登入驗證，而密碼約 30 秒就會更新一次。

?使用 Two – Factor 來提升被盜帳號的難度。

那就一步一步來教大家怎麼做吧：

• 第一步先安裝 ” Two – Factor ” 外掛 – 如果您是用搜索 ” Two Factor ” 的話，應該還會看到更多有兩步驟驗證，選一個喜歡的來用吧，大叔選 Two -Factor 是因為它功能簡單，也有蠻多人給 5 星回饋，還有它有中文! 讚。
• 這裡要注意的是外掛設定的地方在「使用者 → 個人資料」。

?設定在這

?將畫面滾到最下方，有個「 兩步驟驗證選項 」，大叔已經註冊好了；基本上我們會把電子郵件傳送備用驗證碼打勾☑️ 和 TOTP 驗證碼打勾☑️ ，主要驗證方式為 TOTP 驗證碼。

• 第二步設定 Google Authenticator ，我們須要下載安裝 APP。
  1. OS – Google Authenticator by Google
  2. Google play – Google Authenticator by Google LLC

?下載後，我們開啟 APP 掃描 QR CODE ( 是掃您網站的，不是掃大叔的喔! )

掃完後，您應該會在手機上看到一組 6 個數字的密碼，在下方驗證碼中輸入並送出。

?沒問題的話，那您應該會看到它說「 金鑰已完成設定及註冊 」，打勾☑ 並設為主要驗證方式。

?我們重新登入帳密，就會出現下面請求輸入驗證碼，打開手機 Google Authenticator APP 然後打上它那個跑很快的 Code。

?大叔在下面也設定一個電子郵件，如果 Google Authenticator 有問題無法登入的話，但這樣好像有 BUG。?

外掛會用自己網站的電子郵件系統寄信，所以不用依附在別人的系統，也許也是一件好事。

好啦，以上就是大叔推薦的 WordPress 網站登入 3 騎士，如同一開始所說，不一定需要 3 種同時使用，請依自己的喜好和習慣，這是大叔的「 免責聲明 」，但是有問題還是可以問我，我會盡力做我可以幫忙的事。

安裝這麼多外掛後，速度會變慢嗎?

大叔是用 Siteground 主機，SG 有內建優化的外掛，可以用簡單的分數來顯示目前您網站的速度，基本上安裝了今天介紹的全部外掛後，對網站的速度並沒有什麼特別的變慢的感覺。

WordPress登入外掛加碼送

再加入 2 個外掛幫您為登入網頁添增新力軍。

• 硬漢 Google 圓桌武士 – Google Apps Login
• 美化自訂登錄頁面外掛程式 – WORDPRESS CUSTOM LOGIN PAGE PLUGIN

Google Apps Login for WordPress 登入教學 –

1. 安裝 Google Apps Login 外掛
   
   
   
2. 到 Google API 新增一個專案
   
   
3. 設定您的專案名稱和位置，大叔是用個人申請，所以位置為無機構。
   
   
4. 再來可能會花個幾秒建立您的專案，完成後，請確認下述：
   • 上面的專案名
   • 點擊左側的憑證
   • 設定同意畫面
     
     
     
5. 進入 OAuth 同意畫面，因為是個人申請，所以我們只能選外部這個選項，然後建立。
   
   
6. 再來就是設定「應用程式名稱」並確認一下 Email 登入帳號；其他都空白沒關係。
   
   
7. 回到憑證 → 點擊上方的建立憑證 → 再點 OAuth 用戶端 ID
   
   
8. 進入建立 OAuth 用戶端 ID 選擇應用程式類型 → 網頁應用程式 ，名稱就看大爺們的心情。
   
   
   上面的 URI → 網域，下面的 URI → 登入頁面。
   
   
9. OKAY! 建立後，我們應該可以看到下面這個訊料；你將得到用戶端 ID 和 用戶端密碼
10. 回到 WordPress 外掛 → Google Apps Login setup ，將 Client ID 和 Client Secret 輸入，然後下面 Save Changes。
    
    
11. 那重新登入的時候，應該就可看到 Sign in with Google 在上面了。

Google WordPress 登出 – 如果出現授權錯誤 – 代碼 400

如果發生下面畫面的問題的話，那就是您的登入頁面的網域有誤，改為正確的登入頁面網址就可以了。

?改為正確登入網址。

為美化您的登入頁而存在 – Custom Login Page Customizer | LoginPress

這外掛基本上和網站安全沒有關係，完全是為了 「自爽」而存在。

1. 安裝 Custom Login Page Customizer | LoginPress
   
   
2. 到設定去重新設定登入頁面
   
   
3. 登出看一下新的頁面設計，好啦! 這外掛好玩的成分居多。

WordPress 網站資訊安全 您準備好了嗎?

大叔最後想提醒的事情是「網站資安，預防成本低，急救風險高。」 不論您喜不喜歡，天有不測風雲，家有隻貓咪就行。

⚠️延伸閱讀 External links – 這樣會離開網站喔?

• 參考Google九步驟 處理網站被駭自己來 | IThome