WordPress登入 3騎士 | 保護你的WordPress網站及帳戶安全

WordPress登入 3騎士 更新於 2020/ 8

人怕出名豬怕肥,當您的網站越來越肥的時候,您應該要擔心還沒賣個好價錢就被人給偷了。

資訊安全對您到底有多重要? 台灣對網路資安的重視性並不高,而資安也不太可能仰賴法律保障您的網站安全,學好自我保謢也許是個值得的投資。

🔻某個知名網站的登入頁面,這證明就算您是專家也不一定會注意到資訊安全問題。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/8a5271ff-ee2f-469a-83e4-7ff93643927b/Untitled.png

其實您在網站上安裝完 WordPress 後,就應該使用菈喜的方法來保護您的帳戶安全,所以我準備了 3 個 WordPress 外掛推薦給您,讓 WordPress 登入 3 騎士為您守護網站樂園。

您可以在文章中得到好處有:

  • 網站被駭怎麼辦?
  • WordPress 登入頁面變更 – 讓壞人找不到門進入。
  • WordPress 登入次數限制 – 防止大力士的暴力破解。
  • 兩步驟驗證 – 小心再小心,安心更安心。
  • WordPress Google 登入設定、自制登入頁面

還有興趣嗎? 那就讓我們看下。如果沒提到您的痛點的話,請留言讓我知道好嗎或是填寫問題表單直接偷偷討論。( Google 表單 )

網站被駭的可能性和處理?


那些不請自來的客人到底想要幹嘛? 聽說多數的黑客 ( 駭客 ) 進入您的網站的原因只是…

  • 練習自己的黑客技術
  • 炫耀一下自己的技術
  • 討厭你,黑你剛好而已。
  • 竊取資料

🔻別覺得自己的資料不重要,想要的人多是;你女友就很想要知道你昨天跟誰在聊天。

網站被駭的處理方法

假設您和我一樣只是管理幾個小型的網站,那最直接和有效的方法就是還原系統;那大型網站的話,應該要怎麼處理?

延伸閱讀:參考 Google九步驟 處理網站被駭自己來

由 IThome 提供的方法看來,除了有技術問題之外,最重要的是您還要找出問題點並修復它,第 2 個問題是這會花費我們多少寶貴的時間?

但不管我們花了多少心思和努力都不可能讓網站無懈可擊,但治療的成本太高了,學習預防才是我們小網站的重點,當然如果您已經是龐大的賺錢網站,花點錢買保險來平衡風險才聰明。

https://images.unsplash.com/photo-1553986782-9f6de60b51b4?ixlib=rb-1.2.1&q=85&fm=jpg&crop=entropy&cs=srgb&ixid=eyJhcHBfaWQiOjYzOTIxfQ

那接下來大叔介紹三個帥哥騎士給您,因為長得太帥了,所以請自行斟酌是否需要全部服用或是選擇適合的留下來就好。

更改 WordPress 網站登入網址的小騎士 – WPS Hide Login


我們都知道登入網頁是開放的,所以在網址後面加上 “wp-admin” 或者 “wp-login.php” 就會連到您的後台登入頁面。(抖)

所以為了防止有心人士想要測試我們的密碼,大叔建議一開始就更改登入頁面的網址。

WPS Hide Login 由 WPServeur 開發,由評價和安裝數看來是值得信任的外掛。

安裝前,大叔習慣看一下它的評價和更新時間,就像是 Google SEO 更新時間越新越好,而回饋或是留言的人越多越好。

🔻一開始先搜索 ” WPS Hide Login ” 然後安裝它。

https://lashiblog.com/wp-content/uploads/2020/08/1_20200807_3.png

🔻安裝後,點擊 Settings 進入設定。

https://lashiblog.com/wp-content/uploads/2020/08/1_20200807_4.png

在 Setting 裡面,小騎士提供了 2 種防禦功能來保護您的網站。( 事實上是同一種 😈 )

  1. 變更 Login URL 的位置 – 在修改位置之後,登入的網址就是您設定的 URL,立馬加入「 我的最愛 」才不會忘記。
  2. Redirection URL – 將原本「網站登入頁」轉域到您指定的頁面。
https://lashiblog.com/wp-content/uploads/2020/08/1_20200807_2.jpg

🔻大叔一般都放上兇猛照片來喝止那些試圖登入我帳號的壞蛋 – 看我的登入頁

限制 WordPress 網站登入次數的2騎士 – Limit Login Attempts


WordPress 系統登入預設是無限次數的,這讓故意要找碴的人有機可乘。

那限制登入次數就是一個簡單但有效的方法,讓 Limit Login Attempts 為您的網站設下第 2 道防護線。

🔻立即免費下載 Limit Login Attempts

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/7cca44f2-6d5c-49a0-9a6e-ba223b4375c1/Untitled.png

🔻在 WP 設定內找到 Limit Login Attempts 然後點擊「 設定 」來設定您要的設定,這麼多的設定#像極了愛情。

WordPress 兩步驟驗證的大騎士 – Two Factor ( Google Authenticator )


兩步驟驗證 Two-Factor Authentication ( 2FA ) 是很常見的一種登入驗證,功能就是在登入時候,除了輸入帳號密碼之外,還必須再輸入一個由 Google Authenticator 產生的 金鑰密碼 ( Code ) ,而 Google Authenticator Code 則是由手機上安裝的 Google Authenticator APP 產生。

所以我們除了在網架要安裝一個外掛之外,我們還需要下載一個手機 APP ,籍由雙重的驗證方法 ( 帳號密碼 + Google Authenticator Code ),讓網站安全滿分。

什麼是 Google 身分驗證器 ( Google Authenticator ) ?

簡單來說就是您可以在智慧性手機上安裝 Google Authenticator APP,它會給一組密碼用來登入驗證,而密碼約 30 秒就會更新一次。

🔻使用 Two – Factor 來提升被盜帳號的難度。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/bbac6ac6-562a-41e6-8373-708f641ff88f/Untitled.png

那就一步一步來教大家怎麼做吧:

  • 第一步先安裝 ” Two – Factor ” 外掛 – 如果您是用搜索 ” Two Factor ” 的話,應該還會看到更多有兩步驟驗證,選一個喜歡的來用吧,大叔選 Two -Factor 是因為它功能簡單,也有蠻多人給 5 星回饋,還有它有中文! 讚。
  • 這裡要注意的是外掛設定的地方在「使用者 → 個人資料」。

🔻設定在這

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/3ba744af-d929-4e90-b52d-dddce7b3d042/Untitled.png

🔻將畫面滾到最下方,有個「 兩步驟驗證選項 」,大叔已經註冊好了;基本上我們會把電子郵件傳送備用驗證碼打勾☑️ 和 TOTP 驗證碼打勾☑️ ,主要驗證方式為 TOTP 驗證碼。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/89d03a70-dce1-4e5d-a0ad-67e469b2db71/Untitled.png

🔻下載後,我們開啟 APP 掃描 QR CODE ( 是掃您網站的,不是掃大叔的喔! )

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1f3768fd-88d7-45b9-ad7c-c8bcec7ae2cb/Untitled.png

掃完後,您應該會在手機上看到一組 6 個數字的密碼,在下方驗證碼中輸入並送出。

🔻沒問題的話,那您應該會看到它說「 金鑰已完成設定及註冊 」,打勾☑ 並設為主要驗證方式。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/7ffce261-ed40-48db-9cda-e796ff14b9da/Untitled.png

🔻我們重新登入帳密,就會出現下面請求輸入驗證碼,打開手機 Google Authenticator APP 然後打上它那個跑很快的 Code。

🔻大叔在下面也設定一個電子郵件,如果 Google Authenticator 有問題無法登入的話,但這樣好像有 BUG。🙄

外掛會用自己網站的電子郵件系統寄信,所以不用依附在別人的系統,也許也是一件好事。

好啦,以上就是大叔推薦的 WordPress 網站登入 3 騎士,如同一開始所說,不一定需要 3 種同時使用,請依自己的喜好和習慣,這是大叔的「 免責聲明 」,但是有問題還是可以問我,我會盡力做我可以幫忙的事。

安裝這麼多外掛後,速度會變慢嗎?


大叔是用 Siteground 主機,SG 有內建優化的外掛,可以用簡單的分數來顯示目前您網站的速度,基本上安裝了今天介紹的全部外掛後,對網站的速度並沒有什麼特別的變慢的感覺。

WordPress登入外掛加碼送


再加入 2 個外掛幫您為登入網頁添增新力軍。

  • 硬漢 Google 圓桌武士 – Google Apps Login
  • 美化自訂登錄頁面外掛程式 – WORDPRESS CUSTOM LOGIN PAGE PLUGIN

Google Apps Login for WordPress 登入教學 –

  1. 安裝 Google Apps Login 外掛
    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/6861ae8e-a351-4a8f-84bb-095f1aa54189/Untitled.png

  2. Google API 新增一個專案 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/d98720da-08a3-4b89-9334-012626246fed/Untitled.png

  3. 設定您的專案名稱和位置,大叔是用個人申請,所以位置為無機構。 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/e9e8e520-79cc-4633-9904-e6ffc2a08d7b/Untitled.png

  4. 再來可能會花個幾秒建立您的專案,完成後,請確認下述:
    • 上面的專案名
    • 點擊左側的憑證
    • 設定同意畫面https://s3-us-west-2.amazonaws.com/secure.notion-static.com/b2bea369-b892-43fc-9ad9-4417cf2e5ebb/Untitled.png


  5. 進入 OAuth 同意畫面,因為是個人申請,所以我們只能選外部這個選項,然後建立。 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/781a4ef3-dcdb-4a16-b9fd-d8c877bd7b3a/Untitled.png

  6. 再來就是設定「應用程式名稱」並確認一下 Email 登入帳號;其他都空白沒關係。 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/13304fd4-e4d4-4481-9f52-d8e0754e3d5b/Untitled.png

  7. 回到憑證 → 點擊上方的建立憑證 → 再點 OAuth 用戶端 ID https://s3-us-west-2.amazonaws.com/secure.notion-static.com/a9b32997-794f-47fd-ae85-2147fb081604/Untitled.png

  8. 進入建立 OAuth 用戶端 ID 選擇應用程式類型 → 網頁應用程式 ,名稱就看大爺們的心情。 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/bf47d494-080b-49a7-9591-f29788c3fb82/Untitled.png


    上面的 URI → 網域,下面的 URI → 登入頁面。 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/916d891d-1eee-4af7-a3ed-fbf8342a9dc0/Untitled.png

  9. OKAY! 建立後,我們應該可以看到下面這個訊料;你將得到用戶端 ID 和 用戶端密碼 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1e9be393-5112-45dd-a346-131baf015d84/Untitled.png
  10. 回到 WordPress 外掛 → Google Apps Login setup ,將 Client ID 和 Client Secret 輸入,然後下面 Save Changes。 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1ead5a1d-2d06-43d9-89ef-24c453a69cc6/Untitled.png

  11. 那重新登入的時候,應該就可看到 Sign in with Google 在上面了。 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/e659ff7d-59a1-47e0-820b-870332bb941b/Untitled.png

Google WordPress 登出 – 如果出現授權錯誤 – 代碼 400

如果發生下面畫面的問題的話,那就是您的登入頁面的網域有誤,改為正確的登入頁面網址就可以了。

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/fb3754da-efd5-41bb-9e1d-c1a6ad89e8fb/Untitled.png

🔻改為正確登入網址。

為美化您的登入頁而存在 – Custom Login Page Customizer | LoginPress

這外掛基本上和網站安全沒有關係,完全是為了 「自爽」而存在。

  1. 安裝 Custom Login Page Customizer | LoginPress https://s3-us-west-2.amazonaws.com/secure.notion-static.com/5c5eeee9-431e-44f7-a27c-e9bfbc67852b/Untitled.png

  2. 到設定去重新設定登入頁面 https://s3-us-west-2.amazonaws.com/secure.notion-static.com/9757faa5-aef8-4857-9a36-bb472321a414/Untitled.png

  3. 登出看一下新的頁面設計,好啦! 這外掛好玩的成分居多。

WordPress 網站資訊安全 您準備好了嗎?


大叔最後想提醒的事情是「網站資安,預防成本低,急救風險高。」 不論您喜不喜歡,天有不測風雲,家有隻貓咪就行。

⚠️延伸閱讀 External links – 這樣會離開網站喔?

30 thoughts on “WordPress登入 3騎士 | 保護你的WordPress網站及帳戶安全”

  1. 現在網路科技這麼發達
    很多資料都需要在電腦上完成的~~
    網路資安也是很重要的一門課程呢!
    btw~~
    網路駭客好厲害喔

  2. 這些資訊超有用的,說到兩步驗證,可以跟WPS Hide Login一起共用,安全性更會提升嗎?還是說擇一即可呢?
    謝謝分享 🙂

  3. 大家都認為自己沒什麼可以被偷的
    但駭客要的東西你不會知道是什麼˙
    多層保護多層安全
    目錄辛苦了XD

    1. HELLO 溫爺
      沒有,但還是準備了1個備案或是2個,讓我比較安心
      所以下面有個 Email認證和 由主機進入網站。
      我是這樣設計的。

  4. 感謝大叔用心分享解說安裝步驟,立刻要來加裝外掛了!
    大叔用的來嚇阻用的圖片真的非常具有警示意味XD

  5. 謝謝版主的介紹,很多駭客都想展示自己的技巧,但要是遇到真心想偷走資料的就得不償失了。
    這些外掛都很實用,多一層保護也更加安心,謝謝推薦。

  6. 之前網站在搜尋上出現同樣名字的網站 當下真的嚇死我了 而且文章內容也都一樣 後來不知道怎樣又突然消失了 請問版主有遇過這種狀況嗎 感謝回覆

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *