Przewodnik po tym, jak zabezpieczyć administratora WordPress - MalCare

Opublikowany: 2023-04-13

Bezpieczny administrator WordPress: Czy wiesz, że w każdej minucie dnia na stronach internetowych WordPress odbywa się ponad 90 000 prób włamania ? Oznacza to, że próby włamania na twoje strony internetowe są nieuchronne, niezależnie od tego, czy witryna jest duża, czy mała. Bezpieczeństwo jest jedną z najważniejszych kwestii związanych z witryną internetową.

Hakerzy uciekają się do różnych technik, aby zhakować witrynę WordPress, a atak siłowy jest jedną z takich technik. Polega na wypróbowaniu kombinacji często używanych nazw użytkownika i haseł na stronie logowania do witryny.

Udany atak brute force daje dostęp do administratora WordPress. Obszar administracyjny WordPress to centrum administracyjne witryny opartej na WordPress. Każdy, kto ma pełny dostęp do administratora, będzie miał pełną kontrolę nad witryną. Dlatego ważne jest, aby chronić administratora WordPress przed atakami siłowymi.

Jak zabezpieczyć administratora WordPress?

Wymyśliliśmy szereg technik, które pomogą Ci zabezpieczyć administratora WordPress Twojej witryny przed próbami włamań.

1. Używaj silnych haseł

Jednym z najczęstszych błędów popełnianych przez właścicieli witryn jest używanie słabych haseł. Z biegiem lat techniki łamania haseł dojrzały. Łatwe do odgadnięcia hasła są łamane w ciągu kilku minut. Silne hasła pomagają chronić witrynę przed sprytnymi technikami łamania haseł. Oto doskonały artykuł na temat tworzenia naprawdę silnych haseł do witryny WordPress.

Zapamiętywanie silnych haseł może jednak stanowić problem. W tym poście wyjaśniono, jak zarządzać silnymi hasłami WordPress .

Innym bardzo częstym błędem popełnianym przez wiele osób jest używanie tego samego hasła w wielu witrynach. Gdy jedno hasło zostanie naruszone, wszystkie konta powiązane z tym hasłem zostaną naruszone. Dlatego używanie różnych haseł do kont może pomóc uniknąć tej sytuacji.

2. Unikaj używania wspólnej nazwy użytkownika

Zabezpieczenie hasła WordPress jest ważnym krokiem w kierunku zabezpieczenia danych logowania do WordPress. Drugim elementem danych logowania jest nazwa użytkownika. Jeśli twoja nazwa użytkownika jest łatwa do odgadnięcia, haker musi skupić się tylko na haśle.

Jedną z najczęstszych nazw użytkowników WordPressa jest „admin”. Jeszcze kilka lat temu WordPress automatycznie sugerował „admin” jako nazwę użytkownika. Chociaż WordPress przestał polecać „admin”, wielu właścicieli witryn nadal go używa. Tworzonych jest kilka nowych kont użytkowników z nazwą użytkownika „admin”. Wszystkie te strony internetowe stają się łatwym celem.

Ponieważ WordPress nie wymusza używania unikalnych nazw użytkowników, musisz upewnić się, że żaden z Twoich użytkowników nie używa zwykłych nazw użytkowników i że żadne nowe konto nie jest tworzone z „admin”. Rzuć okiem na tę wyczerpującą listę często używanych nazw użytkowników, aby wiedzieć, których nazw użytkowników unikać.

3. Ukryj swoją stronę logowania WordPress

Strony WordPress działają w z góry ustalony sposób. Dla przykładu, wszystkie witryny WordPress mają domyślną stronę logowania, która wygląda mniej więcej tak:„www.anysite.com/wp-admin”.Ułatwia to pracę hakera, ponieważ może on przeprowadzić automatyczny atak na kilka docelowych witryn WordPress jednocześnie. Ale jeśli ukryjesz stronę logowania, zmieniając ją, możesz zapobiec tego typu atakom na swoją witrynę.

Istnieje wiele wtyczek, których możesz użyć do zmiany strony logowania i użycia adresu URL sugerowanego przez wtyczkę. Jest prawdopodobne, że inne witryny korzystające z tej samej wtyczki używają tego samego adresu URL. A jeśli hakerzy znają format adresu URL, ukrycie strony logowania nic nie da. Dlatego użyj narzędzia, które umożliwia utworzenie własnego niestandardowego adresu URL strony logowania.

4. Zaimplementuj uwierzytelnianie HTTP

Aby zabezpieczyć administratora WordPress, możesz zabezpieczyć hasłem cały folder wp-admin. Folder wp-admin zawiera pliki administracyjne, które zasilają pulpit nawigacyjny WordPress. Każdy, kto ma dostęp do tego folderu, może kontrolować całą witrynę. Jeśli twoje hasło chroni cały folder, za każdym razem, gdy ktoś poprosi o dostęp do sekcji administratora, serwer uruchamia proces uwierzytelniania. Przeglądarka poprosi użytkownika o podanie hasła uwierzytelniającego HTTP. Istnieje wiele narzędzi, których możesz użyć do wdrożenia uwierzytelniania HTTP na swoim administratorze WordPress, takich jak HTTP Auth , AskApache Password Protect itp.

Bezpieczny administrator WordPress
Uwierzytelnianie HTTP włączone na naszej stronie logowania WordPress

5. Użyj Google Authenticator

Ponieważ techniki hakowania stron internetowych stają się obecnie coraz bardziej wyrafinowane, często dodaje się kolejną warstwę ochrony logowania wraz z silnymi danymi uwierzytelniającymi użytkownika. Ta technika nazywa się uwierzytelnianiem dwuskładnikowym (2FA). Metoda polega na przesłaniu kodu, który tylko Ty możesz otrzymać na swój smartfon. Zanim uzyskasz dostęp do pulpitu nawigacyjnego WordPress, musisz wprowadzić unikalny kod na swojej stronie. Zaletą tego podejścia jest to, że nawet jeśli hakerom uda się złamać Twoje dane uwierzytelniające, nadal będą potrzebować kodu wysłanego wyłącznie na Twoje urządzenie.

Bezpieczny administrator WordPress
Musieliśmy wprowadzić hasło wysłane na Twój smartfon, aby uzyskać dostęp do naszego pulpitu nawigacyjnego WordPress

Istnieje wiele wtyczek WordPress, których można użyć do uwierzytelniania dwuskładnikowego. Włączyliśmy 2FA na naszej stronie za pomocą Mini Orange, aby zabezpieczyć administratora WordPress i napisaliśmy przewodnik na ten temat.

6. Ograniczenie liczby nieudanych prób logowania

Strony internetowe poddane atakom siłowym doświadczają setek nieudanych prób logowania. Aby zapobiec temu nieustannemu atakowi administratora WordPress, możesz ograniczyć liczbę nieudanych prób logowania w swojej witrynie. Wtyczka bezpieczeństwa MalCare uniemożliwia użytkownikom logowanie po 3 nieudanych próbach logowania. Muszą rozwiązać CAPTCHA, zanim ponownie uzyskają dostęp do strony logowania WordPress. Pomaga to ustalić, czy użytkownik jest człowiekiem, czy automatycznym botem próbującym przeprowadzić atak siłowy na witrynę.

Bezpieczny administrator WordPress
Boty nie są w stanie ominąć CAPTCHA opartego na obrazie

7. Zainstaluj certyfikat SSL

Spójrz na adres URL naszej witryny! Czy widzisz zieloną kłódkę z napisem „Bezpieczne” obok niej? Nasza strona ma zainstalowany certyfikat SSL, co oznacza, że ​​nikt nie może węszyć i czytać danych logowania naszych użytkowników. Witryna bez certyfikatu SSL może nieświadomie ujawnić poufne informacje.

Bezpieczny administrator WordPress
Certyfikat SSL jest zainstalowany na tej stronie

W dawnych czasach certyfikaty SSL dotyczyły stron płatności lub obszarów administracyjnych WordPress. Ale teraz certyfikat SSL może pomóc zabezpieczyć całą witrynę. W swoim dążeniu do uczynienia sieci bezpieczniejszym miejscem, Google wyraźnie stwierdził, że certyfikaty SSL są czynnikiem rankingowym . Możesz uzyskać certyfikat SSL od dostawców takich jak Comodo , Let's Encrypt , a Twój dostawca usług hostingowych pomoże skonfigurować certyfikat w Twojej witrynie.

8. Czarna lista złośliwych adresów IP

Każdy korzystający z internetu ma adres IP. Nawet haker przeprowadzający ataki na witryny WordPress ma adres IP. Jeśli prowadzisz rejestr tych adresów IP, możesz zablokować im dostęp do Twojej witryny. MalCare – jedna z najlepszych wtyczek zabezpieczających WordPress oferuje szczegółowe informacje (adresy IP) o nieudanych próbach logowania na stronie. Jeśli zauważysz, że wiele nieudanych prób jest podejmowanych z tych samych adresów IP prawie regularnie, możesz zablokować podejrzanym adresom IP dostęp do Twoich stron internetowych, umieszczając po prostu następujące kody w naszym pliku .htaccess:

 rozkaz zezwolić, odmówić

odmówić z 192.168.20.10

zezwolić wszystkim

„192.168.20.10” to adres IP, który chcieliśmy zablokować na jednej z naszych witryn. Możesz go zastąpić adresem IP, który chcesz zablokować.

9. Zmień klucze bezpieczeństwa

Nie musisz wpisywać danych logowania za każdym razem, gdy chcesz zalogować się na swojej stronie. Czy zastanawiałeś się kiedyś, w jaki sposób Twoja przeglądarka przechowuje te dane uwierzytelniające? Po zalogowaniu się na konto, dane logowania są przechowywane w postaci zaszyfrowanej w pliku cookie przeglądarki. Klucze bezpieczeństwa to tylko losowe zmienne, które pomagają ulepszyć to szyfrowanie. Jeśli Twoja witryna zostanie zaatakowana przez hakerów, zmiana tajnych kluczy unieważni pliki cookie i zmusi każdego aktywnego użytkownika do automatycznego wylogowania. Po wyrzuceniu haker traci dostęp do administratora WordPress.

Bezpieczny administrator WordPress
Zmiana kluczy bezpieczeństwa za pomocą MalCare Security Service

Do Ciebie

Nie ma jednego sposobu na zabezpieczenie administratora WordPress, dlatego pamiętaj, aby użyć wielu metod. Udostępniliśmy Ci niektóre z najbardziej zalecanych sposobów zabezpieczenia administratora WordPress. Jednak przed wdrożeniem którejkolwiek z tych metod należy wykonać kopię zapasową witryny . Jeśli coś pójdzie nie tak, możesz po prostu przywrócić kopię zapasową i błyskawicznie uruchomić naszą witrynę.

Poza tym możesz zastosować kilka dodatkowych środków bezpieczeństwa, takich jak blokowanie adresów IP, ochrona strony logowania, zabezpieczenie witryny za pomocą wp-config.php, postępując zgodnie z tym kompletnym przewodnikiem dotyczącym bezpieczeństwa WordPress oraz instalując wtyczkę bezpieczeństwa WordPress, taką jak MalCare.

MalCare pomoże Ci wdrożyć niektóre ze środków, o których wspomnieliśmy powyżej. Na przykład MalCare Security Plugin pomoże Ci między innymi zmienić klucze bezpieczeństwa, ograniczyć liczbę nieudanych prób logowania, aktualizować witrynę internetową.

Wypróbuj wtyczkę MalCare Security już teraz!