密码问题至今仍是导致 WordPress 被攻破的最大单一原因。在公共网络上爬行的机器人每天每分钟都在发动暴力破解攻击,依靠的是过去数据泄露中外泄的数十亿条凭据。只要你的密码在任何一次泄露中出现过,它就已经在某份名单上;如果密码太弱,就能被猜到;如果在多个服务中重复使用,一个网站被攻破就会牵连其余所有网站。
本文是一份实用清单,帮助你在 WordPress 网站上做好密码安全,尤其是在多人共同使用同一个网站时。
使用密码管理器,真的要用。
这是最重要的一步。选择一款信誉良好的密码管理器,并将它用于每一个账户,而不只是 WordPress。1Password、Bitwarden、Dashlane 和 KeePassXC 都是不错的选择,它们在云端同步的便利与自托管的掌控之间各有取舍。
密码管理器让你能为每个服务使用独一无二、足够长且随机的密码,而无需记住它们。它还会自动填充密码,这意味着你不再手动输入,钓鱼页面也无法靠模仿真实的登录表单来骗过你——自动填充会悄悄拒绝在伪造域名上填入密码。
让每个密码都独一无二
最大的单一错误就是在多个服务中重复使用同一个密码。一旦其中之一发生泄露,外泄的密码就会被拿去尝试它可能解锁的所有其他网站。你的 WordPress 管理员账户可能因为一个毫不相关的网站发生泄露而被攻破。
有了密码管理器,这件事很简单。为每个账户生成一个全新的随机密码,保存,然后继续。你永远不必输入它、不会重复使用它、也不会看到它。
长度优先于复杂度
对于确实需要记住的密码,比如密码管理器的主密码,应优先考虑长度而非特殊字符。由四到六个不相关单词组成的口令短语,远比一串混杂符号的短密码更强,也更容易记住。NIST 和澳大利亚网络安全中心等机构的最新建议,已经从复杂度规则转向了长度与唯一性。
对照泄露数据库检查密码
Have I Been Pwned 等服务维护着一个公开数据库,收录了在泄露事件中出现过的密码。许多密码管理器直接集成了这项检查。如果你正在使用的某个密码已经被曝光,管理器会标记出来。请立即更换它。
这对较旧的密码尤为重要,它们可能在一次你从未听说过的泄露事件中已经遭到泄露。
修改默认的管理员用户名
针对 WordPress 的暴力破解攻击通常会把常见用户名与常见密码搭配使用。如果你的管理员账户叫 admin、administrator、你的公司名或你的名字,攻击者就已经猜中了一半凭据。请选择一个无法被猜到的用户名。
WordPress 不允许重命名用户,但你可以创建一个使用无法被猜到名称的新管理员,然后将旧账户降级或删除。删除前请务必先重新指定内容的作者归属。
限制拥有管理员权限的人数
每一个管理员账户都是又一份可能被攻破的凭据。审查这份名单。只需发布文章的人应当是编辑,而非管理员;只需查看统计数据的人则完全不需要管理员权限。管理员账户越少,你需要防守的攻击面就越小。
成员离开时及时移除账户
当员工或外包人员完成工作后,请立即删除其 WordPress 账户。不是一周后,也不是项目结束时,而是当天。他们的密码可能仍被用于日后会发生泄露的服务,他们的设备可能仍保留着有效会话,或者他们只是出于你并不希望的原因重新登录。
同样的逻辑也适用于与其账户关联的 API 密钥和应用程序密码。请全部撤销。
轮换 WordPress 的密钥与 salt
WordPress 在 wp-config.php 中使用一组密钥和 salt 来签名 Cookie 并保护会话数据。每年轮换一到两次会使所有现有会话失效,对任何可能已被截获的会话令牌而言,这是一次彻底的重置。在任何安全事件或人员变动之后,这都是必不可少的。
WordPress.org 的密钥生成器几秒钟就能生成一组全新的密钥。把它们粘贴到 wp-config.php 中,轮换便完成了。
为每个管理员账户启用双重验证
即便做到以上所有,单凭密码仍然不够。双重验证能在确实发生泄露时堵上这道缺口。对任何具有管理员或编辑角色的账户,都应将其视为不可妥协的要求。
培训团队
密码安全不是一个人的事。如果团队中有人中了钓鱼邮件、在不同服务间重复使用密码,或把密码写在便利贴上,其余的所有策略都会随之崩溃。每六个月一次简短而友好的培训,就能让这些基础知识保持鲜活。
内容应涵盖密码管理器、钓鱼的样子、为什么唯一性很重要,以及在怀疑某个凭据已经泄露时该怎么做。大多数人在听过解释后都愿意遵循良好做法。阻力通常在于意识,而非动力。
需要帮忙吗?
如果你希望 Smart Coding 为你审查 WordPress 用户、为团队搭建密码管理器工作流、为每个管理员账户启用双重验证并轮换密钥,欢迎联系我们。这只需一个下午的工作,就能消除 WordPress 网站上大部分与密码相关的风险。若想聊聊你的网站,Defyn 团队随时为你服务。
