Google Authenticator登录验证和All In One WP Security & Firewall防火墙

WordPress   2013年10月01日 17:20  

Google Authenticator登录验证和All In One WP Security & Firewall防火墙

WordPress安全一直是大家非常关心的问题, 尤其是Wordpress的后台管理员账号安全性一定要非常高,否则一旦被人破解后果将不堪设想。比如前一段时间专门针对Wordpress默认的Admin账号进行暴力破解的攻击波就让不少的WP遭黑。

要禁止非授权的Wordpress管理员账号登录后台,在WordPress防暴力破解一文中我们可以用BulletProof Security和Better WP Security这两款插件来设置好黑白名单,更改后台登录URL,禁止Admin账号等方式提升Wordpress的安全性。

当然也可以用.htpasswd保护WordPress控制面板,让所有访问Wordpress后台的用户都必须先输入服务器用户名和验证密码,以此达到防止暴力攻击Wordpress账号和密码的目的。本篇文章将继续Wordpress安全的问题。

我们可以利用Google Authenticator来为Wordpress增加一个类似于Google账号登录的两步验证,即当管理员登录Wordpress时除了要输入管理员账号和密码外,还要输入一个手机动态验证码,这个动态验证码是实时变化的,因此安全性相当高。

All In One WP Security & Firewall也是一款Wordpress的安全插件,与上面两款经典的安全插件不同的是,All In One WP Security & Firewall还多了一个防火墙的功能,根据部落的试用来看,这个防火墙可以自定义规则,默认自带的规则可以防止多数日常不安全性攻击。

增强WordPress安全性除了日常维护需要特别注意外,切记不要忘记Wordpress版本的更新了,新版本的WP经常会修复之前版本的各种安全漏洞:

Google Authenticator登录验证和All In One WP Security & Firewall防火墙

一、Wordpress Google Authenticator插件安装使用

1、Google Authenticator官网:

  • 1、WP插件:https://wordpress.org/plugins/google-authenticator/

2、Google Authenticator插件可以自己到插件官网下载手动再安装,也可以直接到Wordpress后台搜索快速安装。

Google Authenticator搜索安装

3、安装好了Google Authenticator后,激活,然后到管理员的个人资料中,勾选启用Google Authenticator。

Google Authenticator勾选启用

二、在手机上安装Google 身份验证器

1、Google 身份验证器在Google Play中可以搜索下载到,也可以通过其它的Android应用平台下载安装得到。

Google Authenticator在手机安装

2、首次在手机启用Google 身份验证器会要你设置好一个账号。

Google Authenticator设置账号

3、添加你的谷歌账号。

Google Authenticator手动输入

4、输入谷歌邮箱账号和密码。

Google Authenticator谷歌账号

5、成功添加账号。这个可以用来给Google账号提供两步验证。

Google Authenticator两步验证

6、再在Google 身份验证器中设置中添加账号。

Google Authenticator添加账号

7、账号和密钥可以在刚刚安装的Wordpress Google Authenticator插件中找到。

Google Authenticator找到密钥

8、添加好了Wordpress的两步验证,动态验证码会实时变化。

Google Authenticator动态验证码

三、使用Google账号两步验证保障Wordpress管理员账号安全

1、启用了Wordpress的Google账号两步验证后,在后台登录账号时会有Google Authenticator验证码一栏。

Google Authenticator多出一栏

2、每次要登录账号时就需要打开手机查看Google 身份验证器生成的验证码了,如果不正确,则无法登录。

Google Authenticator无法登录

四、All In One WP Security & Firewall给Wordpress配置安全防火墙

1、All In One WP Security & Firewall官网:

  • 1、插件下载:https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

2、All In One WP Security & Firewall功能有全,除了有用户登录安全、文件系统安全、数据库安全等,还有防火墙、防止垃圾评论、阻止简单恶意攻击等。

All In One WP Security & Firewall功能大全

3、在All In One WP Security & Firewall的控制页面中,可以很直观地看到自己的Wordpress安全系数,还有一些需要改进的安全建议操作。

All In One WP Security & Firewall安全系数

4、在用户登录中一般会要求你禁止Admin这样默认的用户名。

All In One WP Security & Firewall禁止默认用户名

5、限制登录次数。All In One WP Security & Firewall还要限制后台登录错误次数,封锁IP登录时间间隔,这些都对防暴力破解账号有作用。(点击放大)

All In One WP Security & Firewall限制登录次数

6、在数据库安全方面,All In One WP Security & Firewall是建议你修改默认以wp-开头的MysqL表。

All In One WP Security & Firewall数据库开头

7、All In One WP Security & Firewall提供的基本防火墙设置中,主要功能有保护 htaccess和wp-config.php不被恶意修改、禁止服务器签名、限制最大文件上传10MB等。

All In One WP Security & Firewall防火墙

8、All In One WP Security & Firewall还提供了一个防止垃圾评论的功能,垃圾评论一般是直接调用comments.php和HTTP_REFERRER经常为空,插件可以根据此特点来阻止机器人评论。

All In One WP Security & Firewall阻止垃圾评论

五、提升Wordpress账号安全小结

1、在使用Wordpress的Google两步验证时,一定要保存好WordPress Google Authenticator插件安装生成的密钥,防止泄露。如果想要修改密钥可以在Wordpress后台的用户个人资料中重新生成一个。

2、All In One WP Security & Firewall功能过于全面了,对于WP高手来说有些功能是有些鸡肋。特别提醒的是:由于该安全插件会涉及到MysqL数据库等操作,大家在使用前一定要作好备份工作。

文章出自:免费资源部落 https://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。

十个便宜VPS主机分享-VPS服务器建站和搭建应用服务体验
购买VPS主机

您或许对下面这些文章有兴趣:                    本月吐槽辛苦排行榜

在这个部落村庄里,已经有86 位神马家族成员冒出泡来在农场开始干活了
  • 疯子 12

    沙发。。

    嘴角12 回复:

    插队,看我的新的info博客,lqblog.info新站求看看

    这是农场的第 1 块农田,部落批准 [疯子] 在[2013-10-1 17:23]开垦完成.
  • yeendoin 5

    #的两步验证,不错嘛

    这是农场的第 2 块农田,部落批准 [yeendoin] 在[2013-10-1 17:54]开垦完成.
  • voncing 5

    #的确实不错,安全

    这是农场的第 3 块农田,部落批准 [voncing] 在[2013-10-1 17:59]开垦完成.
  • exexue

    前排。

    这是农场的第 4 块农田,部落批准 [exexue] 在[2013-10-1 18:09]开垦完成.
  • 正版软件分享 8

    2步验证确实不错

    这是农场的第 5 块农田,部落批准 [正版软件分享] 在[2013-10-1 18:22]开垦完成.
  • PHP应用层防御很鸡肋,被攻击时插件只能造成更多系统负载

    qi 回复:

    @SaFly_Mini Robots-54.221.63.224, 你网站怎么回事?Forbidden

    You don’t have permission to access / on this server.

    SaFly_WebMaster 回复:

    @qi, 服务器维护中

    这是农场的第 6 块农田,部落批准 [SaFly_Mini Robots-54.221.63.224] 在[2013-10-1 18:40]开垦完成.
  • peascloud 16

    那个是谷歌官方的插件吗?

    包子 回复:

    @peascloud, 不是,调用API而已

    qi 回复:

    @peascloud, 不是。

    这是农场的第 7 块农田,部落批准 [peascloud] 在[2013-10-1 18:57]开垦完成.
  • 嘴角12 12

    来看看,表示freenom挂了。dl也进不去

    洛克 回复:

    @嘴角12, 暂时抽了吧

    Kung 回复:

    @嘴角12, TK官方发推特说机房停电了..所有DNS都受影响了..[img]https://feixueimg.bcs.duapp.com/2013/10/QQ%E6%88%AA%E5%9B%BE20131001192549.jpg[/img]

    Aivier 回复:

    @Kung, 真喜感。

    包子 回复:

    @嘴角12, 喜大普奔

    寒冰 回复:

    @嘴角12, 表示赞同

    这是农场的第 8 块农田,部落批准 [嘴角12] 在[2013-10-1 19:09]开垦完成.
  • Tokin 17

    今天下载了better-wp-security插件,看起来还不错

    Aivier 回复:

    @Tokin, 哎呦,你也在用?

    CoolSpring 回复:

    @Tokin, 貌似升级后变成iTheme了

    这是农场的第 9 块农田,部落批准 [Tokin] 在[2013-10-1 19:11]开垦完成.
  • Kung 23

    学习了..

    这是农场的第 10 块农田,部落批准 [Kung] 在[2013-10-1 19:19]开垦完成.
  • 免费部落 16

    看来博主还是上次让人搞怕了!其实只要密码足够强大,应该没什么问题的!

    这是农场的第 11 块农田,部落批准 [免费部落] 在[2013-10-1 19:39]开垦完成.
  • Nin 3

    正所谓树大招风,越是大的东西,却越是不安全了。

    这是农场的第 12 块农田,部落批准 [Nin] 在[2013-10-1 19:41]开垦完成.
  • 小白菜 7

    typecho怎么破

    qi 回复:

    @小白菜, 好像没有这个插件。

    小白菜 回复:

    @qi, 开玩笑的啦,我这种小博客用了也是白用

    包子 回复:

    @小白菜, 也没搞这么麻烦的必要

    Aivier 回复:

    @小白菜, Typecho 设置好写入和执行权限,并设置足够强的密码就可以了

    这是农场的第 13 块农田,部落批准 [小白菜] 在[2013-10-1 20:20]开垦完成.
  • musk 18

    先收藏,

    这是农场的第 14 块农田,部落批准 [musk] 在[2013-10-1 21:03]开垦完成.
  • 洛克 14

    bs模拟器。。

    qi 回复:

    @洛克, 什么模拟器?

    洛克 回复:

    @qi, [img]https://img.freehao123.com/wp-content/uploads/2013/10/#-Authenticator_03.gif[/img]这个啊

    这是农场的第 15 块农田,部落批准 [洛克] 在[2013-10-1 21:17]开垦完成.
  • 包子 19

    #的两步验证挺有趣

    这是农场的第 16 块农田,部落批准 [包子] 在[2013-10-1 21:25]开垦完成.
  • Bill Gates 7

    @qi.本人博客地址更改为www.yyblog.ml 感谢大家的关注!!

    qi 回复:

    @Bill Gates, 怎么又换域名了?

    Bill Gates 回复:

    @qi, 额,这才是第二个域名耶。。。

    包子 回复:

    @Bill Gates, 大批的图挂了

    Bill Gates 回复:

    @包子, 哪里?

    包子 回复:

    @Bill Gates, 你博客很多外链的图被禁了

    嘴角12 回复:

    @Bill Gates, lqblog.info我的新博客同求看看。。

    Bill Gates 回复:

    @嘴角12, 额,嗯嗯

    包子 回复:

    @嘴角12, 献IP (v5的域名好看多了

    这是农场的第 17 块农田,部落批准 [Bill Gates] 在[2013-10-1 22:30]开垦完成.
  • qq374594 6

    手机不是安卓的路过…

    这是农场的第 18 块农田,部落批准 [qq374594] 在[2013-10-1 22:41]开垦完成.
  • 棒棒糖 14

    太多这类的安全插件了…qi推荐个

    qi 回复:

    @棒棒糖, 安全插件也是通过修改.htaccess来实现的,高手可以自己根据需要来修改。

    这是农场的第 19 块农田,部落批准 [棒棒糖] 在[2013-10-2 09:03]开垦完成.
  • 时晞 2

    Emlog 有类似的插件吗?

    qi 回复:

    @时晞, 好像没有。

    这是农场的第 20 块农田,部落批准 [时晞] 在[2013-10-2 10:14]开垦完成.
  • Dora 2

    @qi,求论坛邀请码

    qi 回复:

    @Dora, 用这个:quukke

    这是农场的第 21 块农田,部落批准 [Dora] 在[2013-10-2 10:32]开垦完成.
  • 无心问世 3

    求助qi,有木有用过淘宝整点聚,我点“抢”,每次都弹个验证得出来,然后就说繁忙

    qi 回复:

    @无心问世, 这都是那些用秒杀器造成的。

    包子 回复:

    @无心问世, 这个问题无解

    这是农场的第 22 块农田,部落批准 [无心问世] 在[2013-10-2 11:04]开垦完成.
  • Small Desert 4

    这个还不错,收藏备用先

    这是农场的第 23 块农田,部落批准 [Small Desert] 在[2013-10-2 18:46]开垦完成.
  • NOD32

    可以下载的?

    这是农场的第 24 块农田,部落批准 [NOD32] 在[2013-10-5 07:43]开垦完成.
  • 金弓

    #的产品一向是严谨实用,好东西在大@陆生生给憋死

    这是农场的第 25 块农田,部落批准 [金弓] 在[2013-10-9 23:41]开垦完成.
  • 小蔡 1

    怎么不显示头像呀我。

    这是农场的第 26 块农田,部落批准 [小蔡] 在[2013-10-25 19:48]开垦完成.
  • weijer

    使用后登录不进去了~

    qi 回复:

    @weijer, 是#验证那个吗?有错误提示没?

    weijer 回复:

    @qi, Better WP Security和他冲突

    这是农场的第 27 块农田,部落批准 [weijer] 在[2013-12-17 10:20]开垦完成.
  • 夏日博客 1

    谷歌常常登陆不上去。

    这是农场的第 28 块农田,部落批准 [夏日博客] 在[2014-1-3 12:53]开垦完成.
  • 家家 5

    今天下午写错了一句sql代码,把所有文章的标题重置为0了。。。。。
    欲哭无泪。没有备份。

    到现在,晚饭都没吃,还没有恢复好。

    qi 回复:

    @家家, 多少篇文章?

    这是农场的第 29 块农田,部落批准 [家家] 在[2014-1-3 19:43]开垦完成.
  • 七剑

    前来撸一发

    这是农场的第 30 块农田,部落批准 [七剑] 在[2014-1-13 21:06]开垦完成.
  • WeIwEi

    这个插件不错,心理上觉得很高端,哈哈。但是有个问题,VPS或服务器时区和时间不对的话会提示# Authenticator code错误,要把时间对上。

    这是农场的第 31 块农田,部落批准 [WeIwEi] 在[2014-4-14 21:18]开垦完成.
  • Prebeta 3

    你好,请问有没有用户注册时得先回答几个 验证,如果正确的话就可以下一步,如果不正确就不能注册,就是防别人乱注册

    qi 回复:

    @Prebeta, 插件没有的到,不过可以直接修改代码来实现,这里刚刚看到:https://www.wpdaxue.com/add-a-security-question-to-the-register-screen.html

    hot8bbs 回复:

    @Prebeta, All In One WP Security在注册上设个验证码,算个弱智的算术题,加上wp缺省的邮件验证就把乱注册的抵挡住,我先就这么搞,发帖机全挡住了.

    这是农场的第 32 块农田,部落批准 [Prebeta] 在[2014-6-20 23:47]开垦完成.
  • hot8bbs 8

    All In One WP Security是目前wp上最火的插件,简单强大,用后感觉不错.不仅解决了基本安全问题,还可以有效防止垃圾评论.可以省去很多其他插件.有人觉得这些插件很鸡肋.实际上高端的黑客数量很少,多数是会一点伎俩出来混的,一般的绝大多数博客小站经济价值不大,会一些基本安全技术,加上这些方便的插件,就可以挡住多数黑客攻击,那些高水平的黑客是看不上我们这些小站的,攻击都觉得掉价.就好比我们开一个街头便利店,我们担心的是那些小贼,不是银行大盗,没必要用银行的安保水准,要是雇一堆保安,花费谁也负担不起,没准还把大贼招来了.有多贵的车,配多贵的锁.

    这是农场的第 33 块农田,部落批准 [hot8bbs] 在[2014-8-30 06:58]开垦完成.
  • Prebeta 3

    用户名为中文名注册后访问wordpress中文URL是出现404,还有图片也是一样的,请问是什么回事,如何解决,是LINUX主机

    qi 回复:

    @Prebeta, Linux对中文支持是没有问题,你把中文改成英文,图片能否正常打开?

    这是农场的第 34 块农田,部落批准 [Prebeta] 在[2014-8-31 22:32]开垦完成.
  • Prebeta 3

    URL用英文那是可以的,但是就是想用中文的,BAIDU友好一些,中文的URL在WORDPRESS中可行吗

    qi 回复:

    @Prebeta, 可以用中文,不过SEO都是推荐用英文的URL,百度貌似对中文的识别能力反而不如谷歌。
    出现404错误,可能是你的这个Linux不支持中文。

    这是农场的第 35 块农田,部落批准 [Prebeta] 在[2014-9-1 15:00]开垦完成.
  • Prebeta 3

    不是,我用的是SUGARHOSTS空间,它们的空间是支持中文的,可能是WORDPRESS不支持中文的URL吧

    qi 回复:

    @Prebeta, 这个中文url和服务器有很大关系,Linux一般是没有问题,iis的会出现404错误。你把你的WP切换为默认主题看看是不是正常?

    这是农场的第 36 块农田,部落批准 [Prebeta] 在[2014-9-1 15:36]开垦完成.
  • Prebeta 3

    我也认为是主题的问题所以也试了但是还是无效,哎,算了不行就算了,对了再想问你一个问题就是你有没有颜色域名的优惠码, .RED .BLUE .PINK .BLACK的,谢谢

    这是农场的第 37 块农田,部落批准 [Prebeta] 在[2014-9-2 20:45]开垦完成.
  • Chias 4

    All In One WP Security & Firewall跟Wordfence Security相比哪个更好用?

    qi 回复:

    感觉前者功能强大些

    这是农场的第 38 块农田,部落批准 [Chias] 在[2014-10-8 22:02]开垦完成.
  • ehao 2

    @qi, 站长好, 我已经按您这教程加# Authenticator来为Wordpress增加两步验证, 请问这样还有存在其他可能被入侵的风险吗? 多谢指导!

    qi 回复:

    @ehao, 从Wordpress的角度来说基本上没有什么问题了。你用的是VPS还是虚拟主机?其实存在入侵的可能主要是存在于主机的安全性方面。

    ehao 回复:

    @qi, 用的openshift的免费paas空间, 数据库应该是没权限的吧?只有账号密码的,存在可能被入侵的风险吗? 拖库? 还有吗? 多谢指导!

    qi 回复:

    @ehao, 那应该没有什么担心了,openshift的服务器都还不错的。

    ehao 回复:

    @qi, 对于openshift的免费paas空间还有哪些我可以加强防范的

    qi 回复:

    @ehao, openshift本身服务器的安全性应该是没有什么问题了。

    ehao 回复:

    @qi, 站长上回说openshift的免费paas空间要转向收费了? 现在都没收到邮件, 真的吗?

    qi 回复:

    @ehao, 以前收到过邮件,说要收费,现在可能是延期了,但是收费应该是趋势了。

    这是农场的第 39 块农田,部落批准 [ehao] 在[2016-11-9 12:11]开垦完成.
看贴要回贴有N种理由!看帖不回贴的后果你懂得的!


评论内容 (*必填):
(Ctrl + Enter提交)   

部落快速搜索栏

各类专题梳理

网站导航栏

X
返回顶部