当您的网站上线后,如果打开访问日志,仔细分析就会发现,有很多访问网站的链接的路径和参数十分奇怪,比如说访问根本不存在的路径,或者参数由一些特殊字符拼接而成,这些大多都是由那些黑客控制的计算机发起的,他们不断扫描检测你的网站的漏洞,猜测你的网站是各种常见的系统,然后利用已知的漏洞探测缺陷并攻击。
对于WordPress系统,第一道防线就是后台,由于原始的后台登陆授权没有验证码机制,攻击者就可以利用穷举的方法试图登入。为了阻止这种入侵,简便的做法是安装验证码插件,这样就可以阻止绝大部分非人类操作。
对于安全性要求更高的网站,还可以安装双重多因素身份认证插件,然后在自己手机上安装一个Google身份验证器,就可以建立起多层次的防御机制。
还有一个安全策略是,在后台的用户管理页面,添加一个用户,用户名不要使用admin/root之类的字符,角色授权为管理员,不要使用这个账号发表文章,其他的用户降低权限为编辑投稿等人员,这样黑客就无法猜到管理员的账号了。