10 wspaniałych wskazówek, jak chronić obszar administracyjny WordPress
Opublikowany: 2022-07-12Spośród 8000 zainfekowanych stron internetowych znanych przez Sucuri, 74% z nich jest opartych na WordPressie, zgodnie z raportem dotyczącym hakerów z 2016 r. Ta poważna statystyka po części pomaga zdać sobie sprawę z utrzymującej się i ciągłej troski o bezpieczeństwo sieci w Twojej witrynie.
Złośliwe strony trzecie wykorzystują różne metody do atakowania Twojej witryny WordPress. Panel administracyjny byłby najbardziej wrażliwym celem. To jak centrum Twojej witryny zawierające ważne dane. Po włamaniu się do panelu administratora podejmują niebezpieczne działania, które znacznie uszkodzą Twoją witrynę.
Aby skutecznie zapobiegać podejrzanym atakom, musisz chronić administratora WordPressa. Nasz dzisiejszy artykuł skupia się na 10 sposobach zaostrzenia obszaru logowania. Zanim przejdziemy do szczegółów, wyjaśnijmy pokrótce kilka powodów, dla których warto zabezpieczyć login administratora.
Po co zabezpieczać administratora WordPress
Mówiąc o exploitach na stronach internetowych, zdecydowanie myślimy o hakerach włamujących się na Twój serwer przy użyciu zaawansowanych systemów komputerowych.
W rzeczywistości proces jest znacznie łatwiejszy. Mogą po prostu uzyskać dostęp do backendu Twojej witryny i kontrolować go. Ponosisz wtedy konsekwencje utraty danych, problemów prawnych i wydawania pieniędzy na czyszczenie witryny.
W większości przypadków hakerzy zostawiają złośliwe oprogramowanie w Twojej witrynie, aby wykraść dane uwierzytelniające klientów, takie jak numery telefonów lub dane karty kredytowej. Gdy te prywatne informacje zostaną skradzione, Twoi klienci nie tylko tracą pieniądze i przeszkadzają, ale także szkodzi reputacji Twojej marki.
Kupujący nigdy nie wrócą do Twojego sklepu internetowego, aby dokonać zakupu, ponieważ nie są pewni, czy ich informacje są w pełni zabezpieczone. Możesz zostać wciągnięty w spór sądowy również za nieostrożną ochronę danych klientów.
Co więcej, oczyszczenie witryny z powodu cyberataku jest kosztowne. Aby sobie z tym poradzić, musisz zatrudnić usługi konserwacji WordPress.
Istnieje wiele technik, które możesz zastosować, aby chronić administratora WordPressa. Poniżej znajduje się 10 najłatwiejszych rozwiązań dla każdego właściciela witryny, od osób nie posiadających wiedzy technicznej po osoby obeznane z technologią.
#1 Zmień domyślną nazwę użytkownika administratora
WordPress przypisuje administratora do domyślnych nazw użytkowników wszystkich witryn. Cyberprzestępcy na pewno o tym wiedzą. Z łatwością odgadną Twoje hasło, aby zalogować się do Twojej witryny. Mogą go gdzieś zdobyć lub spróbować brutalnego ataku.
Powinieneś wybrać inną nazwę użytkownika niż administratora , aby zabezpieczyć logowanie administratora. Na szczęście zmiana nazwy użytkownika w WordPressie to bułka z masłem.
- Odwiedź użytkowników w menu administratora swojej witryny
- Wybierz Wszyscy użytkownicy i otwórz profil administratora
- Zaktualizuj nazwę użytkownika i hasło
- Zapisz zmiany
#2 Używaj silnych haseł do ochrony administratora WordPress
Szacuje się, że 8% zhakowanych witryn WordPress pochodzi ze słabych haseł. Pamiętaj więc, aby używać silnego hasła do swojego konta. Hasło musi zawierać co najmniej 8 znaków, łącząc litery, cyfry i znaki specjalne. Możesz wprowadzić nowe hasło bezpośrednio na stronie Użytkownicy , na której zmieniasz nazwę użytkownika.
Generatory haseł bardzo pomagają w tworzeniu losowych i silnych haseł. Po prostu wybierz elementy, które chcesz zawrzeć w haśle i pozwól narzędziu obsłużyć zadanie.
Jednak zapamiętywanie wszystkich haseł jest bolesne, ponieważ posiadasz mnóstwo haseł i kont do zarządzania. Na szczęście masz pod ręką aplikacje do zarządzania hasłami, które pomagają w bezpiecznym przechowywaniu haseł bez obawy o zhakowanie.
#3 Utwórz niestandardowy adres URL logowania
Oprócz nazwy użytkownika WordPress zapewnia również domyślny link logowania, dodając /wp-login.php do domeny witryny. Na przykład www.example.com/wp-login.php . Jeśli pozostaniesz zarówno domyślnym adresem URL logowania, jak i nazwą użytkownika, hakerzy uzyskają w połowie dostęp do administratora Twojej witryny.
Chociaż możesz utworzyć niestandardowy adres URL logowania administratora, edytując plik wp-login.php, zdecydowanie zalecamy użycie wtyczki. Nie musisz dotykać serwera ani wprowadzać zmian w plikach i folderach, które mogą zniszczyć witrynę.
Weź pod uwagę WPS Hide Login przy wyborze wtyczki, aby dostosować link do logowania WordPress. Wtyczka zdobywa zaufanie ponad 1 miliona użytkowników na całym świecie i jest jak dotąd najpopularniejszym rozwiązaniem w tej niszy.
Wykonaj 4 poniższe kroki, aby rozpocząć korzystanie z wtyczki.
- Zainstaluj i aktywuj WPS Ukryj logowanie na swojej stronie
- Przejdź do Ustawień w menu administratora
- Wybierz WPS Ukryj Login
- Wprowadź nowy link logowania w polu URL logowania
Pamiętaj o zapisaniu zmian. Po zakończeniu tylko użytkownicy z nowym linkiem logowania i poprawnymi danymi konta mogą przejść do Twojej strony administratora.
#4 Ochrona hasłem folderu wp-admin
Folder wp-admin składa się z ważnych plików administracyjnych znajdujących się w katalogu głównym. Możesz utworzyć dodatkową warstwę bezpieczeństwa dla administratora, chroniąc hasłem ten folder wp-admin.
- Zaloguj się do swojego hostingu cPanel lub połącz się z klientem FTP
- Hit Hasło Chroń katalogi lub Prywatność katalogu
- Znajdź folder wp-admin w katalogu /public_html/
- Włącz opcję Chroń ten katalog hasłem
- Podaj nazwę użytkownika i hasło
- Kliknij Zapisz
To jest to, co użytkownicy widzą za każdym razem, gdy próbują uzyskać stronę administratora WordPress. Muszą wprowadzić odpowiednią nazwę użytkownika i hasło, aby przejść pierwszą warstwę uwierzytelniania przed przesłaniem danych uwierzytelniających administratora.
#5 Zresetuj hasła dla wszystkich użytkowników
Innym sposobem ochrony administratora WordPressa jest zmuszenie każdego użytkownika do zresetowania hasła, szczególnie w witrynach internetowych wielu użytkowników. Aby szybko to osiągnąć, potrzebujesz pomocy wtyczki Awaryjnego resetowania hasła.
Po aktywacji umożliwi administratorom zresetowanie haseł i automatyczne wysłanie im linku do resetowania za pomocą jednego kliknięcia. Wykonaj poniższe kroki:
- Zainstaluj wtyczkę awaryjnego resetowania hasła
- Przejdź do Użytkownicy → Awaryjne resetowanie hasła
- Naciśnij przycisk Resetuj wszystkie hasła
Otóż to!
#6 Ograniczenie prób logowania
WordPress pozwala użytkownikom wprowadzać dane logowania tyle razy, ile chcą, dopóki nie uzyskają dostępu do Twojego obszaru administracyjnego. Mimo to ta opcja daje hakerom szansę na atak brute force na Twoją witrynę.
Ci użytkownicy o złych intencjach często mają bibliotekę najczęstszych haseł. Hakerzy użyją zautomatyzowanego skryptu i przejrzą tysiące potencjalnych haseł.
Aby zmniejszyć ryzyko, możesz ograniczyć próby logowania za pomocą wtyczki Wordfence Security. To coś więcej niż wtyczka zapobiegająca atakom typu brute force, która odpowiada za bezpieczeństwo witryny i zaporę sieciową WordPress. Przydatność tej wtyczki omówimy w kolejnych sekcjach.
- Zainstaluj i aktywuj wtyczkę Wordfence Security dla swojej witryny
- Otwórz Wordfence i wybierz Wszystkie opcje
- Włącz opcję Włącz ochronę przed brutalną siłą w Opcjach zapory
- Wprowadź czas, w którym użytkownicy mogą przesyłać nieudane dane logowania
Jeśli mogą się zalogować, mimo że osiągnęli maksymalną liczbę prób, wtyczka natychmiast zablokuje ich adres IP.
#7 Ogranicz dostęp do logowania według adresów IP
Ta metoda jest korzystna w przypadku, gdy masz kilku użytkowników, którzy potrzebują dostępu do Twojego obszaru administracyjnego. Wymaga edycji pliku .htaccess za pomocą protokołu przesyłania plików (FTP) lub menedżera plików hosta internetowego.
Dodaj poniższy kod do pliku:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Kontrola dostępu administratora WordPress" Podstawowy typ uwierzytelniania <LIMIT POBIERZ> odmowa zamówienia, zezwolenie Odmowa od wszystkich # białej listy adresów IP zezwól od xx.xx.xx.xxx </LIMIT>
Zastąp xx.xx.xx.xxx prawdziwym adresem IP.
Modyfikacja pliku .htaccess jest bardzo niebezpieczna. Pamiętaj, aby przed edycją pliku .htaccess utworzyć kopię zapasową witryny. W ten sposób możesz cofnąć poprzednią wersję, jeśli coś złego stanie się z witryną.
#8 Skonfiguruj uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe (2FA) pozwala dodać dodatkową warstwę bezpieczeństwa do administratora WordPress. Na przykład wprowadź kod zabezpieczający wysłany na urządzenie mobilne lub użyj identyfikatora twarzy.
Jeśli zainstalowałeś wtyczkę Wordfence, którą wprowadziliśmy powyżej, możesz korzystać z tej funkcji bez pomocy żadnego dodatkowego rozwiązania.
- Odwiedź Wordfence i otwórz sekcję Bezpieczeństwo logowania
- Zeskanuj kody QR za pomocą aplikacji uwierzytelniającej
#9 Wyłącz wskazówki dotyczące logowania
Gdy użytkownicy nie zalogują się do panelu administracyjnego, WordPress wyświetli komunikat o błędzie informujący, czy ich nazwa użytkownika lub hasło są nieprawidłowe. Daje to użytkownikom wskazówki dotyczące danych logowania.
Weź przykład hakerów używających losowej nazwy użytkownika i hasła, aby uzyskać dostęp do strony administratora. Jeśli znają jeden ze szczegółów, muszą po prostu poszukać właściwego drugiego.
Możesz to zatrzymać, edytując plik functions.php motywu. Przejdź do Wygląd → Edytor motywów → functions.php w backendzie WordPress. Następnie wprowadź następujący kod do pliku functions.php.
funkcja no_wordpress_errors(){ return 'Coś jest nie tak!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
#10 Użyj zapory aplikacji internetowej
Zapora nigdy nie jest starym rozwiązaniem do zabezpieczania administratora WordPressa. Monitoruje ruch w witrynie i blokuje złośliwe żądania dostępu do Twojej witryny. Niektóre popularne wtyczki, które możesz wypróbować, to Wordfence, iThemes Security i Sucuri.
Nie tylko trzymają podejrzanych użytkowników z daleka, ale także skanują w poszukiwaniu złośliwego oprogramowania. Do wyboru jest kilka opcji ochrony logowania, od zapobiegania atakom typu brute force, uwierzytelniania dwuskładnikowego, CAPTCHA itp.
Czas chronić administratora WordPressa
Konsekwencje exploitów WordPress są druzgocące. Utracisz klientów, reputację marki i pieniądze z powodu cyberprzestępstw związanych z logowaniem się przez administratora.
Zawsze lepiej jest zapobiegać niż leczyć. Przeszedłeś przez 10 najlepszych wskazówek, jak zabezpieczyć swój obszar administracyjny WordPress za pomocą wtyczek i bez nich.
Wystarczy kilka kliknięć, aby zmienić nazwę użytkownika i hasło administratora. Możesz zainstalować wtyczki, aby wygenerować niestandardowy adres URL logowania, ograniczyć próby logowania, skonfigurować 2FA i zastosować zaporę. Musisz użyć kodu, aby zabezpieczyć hasłem folder wp-admin, ograniczyć logowanie za pomocą adresów IP i wyłączyć wskazówki dotyczące logowania.
Ile z tych metod zastosowałeś? Podziel się z nami w sekcji komentarzy poniżej.