你花了几万块做的网站,后台密码还是“admin123”。
别笑,我见过太多老板,前端页面做得漂漂亮亮,后台却跟没锁门一样。每天成百上千次自动登录尝试在撞你的后台,只要密码稍微弱一点,或者员工电脑中过木马,你的网站、客户数据、甚至绑定的收款账户,一夜之间就能被人连锅端。
先算一笔账:
一个网站被黑,恢复数据找外包公司至少几千块,客户信息泄露可能面临索赔,更别说网站打不开那几天损失的订单。而你防住这一切,只需要花不到半小时,成本为零。
为什么你的网站后台这么容易被攻破?
你肯定觉得,密码设得复杂点就行了。但现实是,黑客根本不用猜你的密码。他们用脚本自动跑几百万个常用密码组合,这叫“暴力破解”。更狠的是,你员工在别的网站上用过同一个密码,那边数据库一泄露,这边就直接被“撞库”登录。密码这东西,早就不靠谱了。
答案就一个:给登录加第二把锁。
这就是两步验证(2FA)。你登录的时候,不光要输密码,还得掏手机看一个验证码。这个码每30秒变一次,黑客就算拿到你的密码,没你手机也进不去。
你该选哪种两步验证?
别选短信验证码。现在骗子搞个“SIM卡换绑”太容易了,一个电话打给运营商就能把你手机号劫走。
最靠谱的是身份验证器App(比如你手机应用商店里搜“身份验证器”或“谷歌验证器”之类的免费软件)。它不依赖手机信号,离线也能生成验证码,而且支持云备份。万一你换手机了,登录云账号就能恢复所有验证码,不会把自己锁在门外。
怎么给你的网站加上这把锁?(两种方法,看你的情况选)
方法一:适合所有老板,省心又全面
去你网站后台的插件市场,搜一个叫“WP 2FA”的插件,安装激活。
激活后它会自动弹出一个设置向导,你跟着点“下一步”就行。
关键几步你得自己拿主意:
- 选验证方式:选“通过验证器App生成的一次性验证码”,别选邮箱验证码(邮箱本身也可能被盗)。
- 要不要强制所有员工用:建议选“所有用户”。你公司里但凡有一个人账号被盗,整个网站就危险了。
- 给员工几天适应期:设个3天,让他们有时间在自己手机上装好App。过了期限还没设置的,就让他们进不了后台,只能看前台页面。
- 给自己设置:向导走完后,会提示你给自己配置。打开手机上的验证器App,扫一下电脑屏幕上的二维码,然后把App里出现的6位数字填回电脑上,点“验证并保存”。
- 存好备用码:系统会给你一串一次性备用码。打印出来放钱包里,或者截图存到只有你知道的加密笔记里。万一手机丢了,靠这些码还能登录。
方法二:就你一个人用,图省事
如果你网站就你自己管理,不想折腾那么多设置,可以搜一个叫“Two-Factor”的插件。
安装后,去后台“用户”->“个人资料”,拉到最下面找到“两步验证选项”。同样是用验证器App扫二维码,填上验证码,保存即可。这个方法简单,但没法强制别人用,每个员工得自己去设置。
万一手机丢了怎么办?
别慌,三条路:
- 如果你用的验证器App支持云备份(比如Authy),在备用手机或电脑上下载同一个App,登录你的账号,验证码自动同步过来。
- 用之前存好的备用码。每个码只能用一次,用完记得补充新的。
- 如果啥都没准备,那就只能通过FTP或者主机管理面板,把那个两步验证插件强制禁用了。这是最后的办法,操作起来有点麻烦,但能救命。
最后给你三个保命建议:
- 去后台把登录错误的提示信息改掉。别让黑客知道“用户名存在”还是“密码错误”,就统一显示“用户名或密码错误”,让他慢慢猜去。
- 限制登录尝试次数。装个能限制登录次数的插件,输错5次就锁他15分钟,暴力破解基本就废了。
- 给后台登录地址换个路径。别用默认的/wp-admin,改成只有你知道的一串字母,大部分自动扫描脚本直接就找不到了。
别等网站被黑了才想起来搞安全。现在花半小时设好两步验证,比你明天花几千块找人恢复数据划算得多。
微信扫码