WordPress对登录过程及其总体安全性的建议

您好，我们是一家法国网站代理商，我们使用WordPress处理各种网站：商店、房地产网站、漂亮整洁的网站、市政厅网站等。我们致力于为客户提供最好的服务。不幸的是，我们的一位客户最近指出，在WordPress登录过程中，几乎没有安全问题，或者可能缺少安全选项。 #1：如果有人试图连接到WordPress管理员，并且用户名错误，密码字段将清空。但是，如果他尝试一个用户名是一个现有的，密码字段不会被清空，这样就可以帮助这个人知道他试图登录的用户名是一个有效的用户名。据我们所知，你需要使用Wordfence来修复这个问题。这可能是一种标准行为。 #2：WordPress允许用户使用他以前使用过的密码。如果用户决定更改密码，WordPress仍然允许他使用以前登录时使用的完全匹配的密码。WordPress不存档以前的密码来防止这种情况。一件很酷的事情是不允许用户重复使用他们以前使用过的密码。我们的一些客户要求这样做，以确保他们的网站背后的人改变其密码定期作为他们的内部法规要求。顺便说一下，管理员不能为后台用户设置密码更改请求。从安全性的角度来说，这将是一个很好的特性。 #3：当登录WordPress管理员时，恶意用户可以使用WireShark这样的程序读取密码，该程序将以十六进制格式显示未加密的密码。在这一点上加强安全性是非常好的。 #4：对于忘记密码的检索方法可能会更加安全。如果一个恶意的人可以访问该人的电子邮件，他可以很容易地获得密码。最好的办法是在这个过程中添加一些秘密问题（比如管理员和编辑），谢谢你的考虑，继续做好工作。这是我对他们的看法。所有的意见都是我的，而不是我可能加入的任何团体的一部分。 #1由插件正确处理。这是一个用户界面的东西，虽然有一些数据泄漏，但它不是一个真正的安全功能。它只是确认帐户存在。安全性在于密码，而不是帐户ID。 #2也最好由插件来处理，尽管我想不出有哪个插件可以处理密码哈希存储。一个安全插件可以做到这一点。这也是一个用户界面的东西。有时用户希望回收密码。是的，这总是一个坏主意，但这是一个WordPress安装而不是一个核发射代码系统。我同意你的看法，但这不是WordPress的问题。如果您有足够的时间和CPU周期，则最终可以获得在clear中传递的任何凭据。有两种方法可以处理此问题。一种方法是对您的管理员帐户强制执行2FA。 https://codex.wordpress.org/Twou Stepu认证另一种方法是在站点上强制TLS加密。 https://codex.wordpress.org/Administrationu Overu SSL 我使用这两个选项。我认为这是一个有趣的想法，但我个人曾与那些提出空洞违约问题的公司发生过冲突。用户输入的自定义问题？如果他们选择了糟糕的问题怎么办？当前系统不传输密码，而是一个重置链接（我认为它是在4.4中引入的？）它使用电子邮件，因为大多数安装和用户都可以访问电子邮件

WordPress对登录过程及其总体安全性的建议

admin_action_{$_REQUEST[‘action’]}

admin_footer-{$GLOBALS[‘hook_suffix’]}

customize_save_{$this->id_data[‘base’]}

customize_value_{$this->id_data[‘base’]}

get_comment_author_url

network_admin_edit_{$_GET[‘action’]}

network_sites_updated_message_{$_GET[‘updated’]}

pre_wp_is_site_initialized

WordPress 的SEO 教学：如何在网站中加入关键字（Meta Keywords）与Meta 描述（Meta Description）？

谷歌的SEO是什么