Bezpieczeństwo logowania WordPress: 5 łatwych kroków do zabezpieczenia strony logowania

Zastanawiasz się, czy powinieneś się martwić o bezpieczeństwo logowania do WordPressa?

WordPress to najpopularniejszy CMS na świecie, ponieważ bardzo łatwo jest zbudować za jego pomocą stronę internetową. Chociaż jest to darmowy system CMS, trzeba zapłacić pewną cenę. WordPress jest niezwykle przewidywalny, co czasami czyni go łatwym celem.

Weźmy na przykład stronę logowania.

Każda witryna WordPress ma tę samą stronę logowania (/wp-admin.com lub /wp-login.php). Połącz przewidywalność z ludzką skłonnością do używania słabych danych uwierzytelniających, a strona stanie się kuszącym celem hakerów.

Eksperci ds. bezpieczeństwa twierdzą, że strona logowania jest najbardziej podatną na ataki stroną w witrynie. Każdego dnia hakerzy wdrażają boty do przeprowadzania ataków brute force na tę stronę. Ustalając swoje dane logowania, mogą łatwo uzyskać dostęp do Twojego CMS. Musisz więc zrobić wszystko, co w Twojej mocy, aby chronić go przed tymi nieproszonymi gośćmi.

W tym artykule pokażemy pięć zaawansowanych metod poprawy bezpieczeństwa logowania do WordPressa i zapobiegania włamaniom.

Jak zabezpieczyć stronę logowania WordPress w 2022 roku?

Istnieje wiele złych porad w dziedzinie bezpieczeństwa cybernetycznego. Większość z nich ma na celu wpędzanie ludzi w strach i zmuszanie ich do poddawania się kompulsywnym wyborom. Zamiast zwiększać hałas, w tym artykule pokażemy metody, które faktycznie działają. To są:

Musiałeś zauważyć, że nie uwzględniliśmy egzekwowania silnych haseł i instalacji certyfikatów SSL. To dlatego, że jest to dane. Mamy nadzieję, że już ich używasz. Zobacz nasze inne przewodniki, jak to zrobić.

Uwaga: Aby wykonać środki, o których wspomnieliśmy poniżej, musisz zainstalować jedną lub dwie wtyczki. A wiemy, że nawet najlepsze wtyczki mogą spowodować awarię. Zrób więc kopię zapasową swojej witryny, zanim przejdziesz dalej.

Teraz zacznijmy:

1. Zmień adres URL strony logowania

Jak powiedzieliśmy na początku artykułu, domyślna strona logowania do WordPressa wygląda tak:

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

Wszyscy o tym wiedzą, w tym hakerzy, którzy projektują boty, które atakują strony logowania WordPress. A ponieważ 59% Amerykanów [1] używa słabych haseł, zbyt łatwo jest włamać się na stronę internetową poprzez brutalne wymuszenie strony logowania .

Jednym ze sposobów ochrony strony logowania jest zmiana adresu URL.

Tworzenie nowego niestandardowego adresu URL strony logowania jest łatwe. Dostępnych jest wiele wtyczek, które pozwalają to zrobić za pomocą kilku kliknięć.

Użyjemy wtyczki WPS Hide Login, aby zademonstrować ten proces, ale jeśli wolisz którąkolwiek z innych wtyczek, śmiało. Kroki będą równie łatwe i szybkie.

Jak zmienić adres URL logowania do WordPressa

Zainstaluj i aktywuj WPS Ukryj logowanie. Przejdź do Ustawienia → Ukryj logowanie WPS .

Przewiń w dół strony, wstaw nowy adres URL w sekcji URL logowania i kliknij Zapisz zmiany .

Spróbuj zalogować się przy użyciu nowego adresu URL. Nie zapomnij podzielić się nim z kolegami z drużyny.

Jeśli potrzebujesz pomocy, oto nasz dedykowany przewodnik: jak zmienić adres URL strony logowania WordPress.

2. Zaimplementuj uwierzytelnianie dwuskładnikowe

Musisz natknąć się na uwierzytelnianie dwuskładnikowe podczas korzystania z Facebooka i Gmaila. Usługi zazwyczaj wysyłają unikalny kod na zarejestrowany numer telefonu komórkowego za każdym razem, gdy próbujesz zalogować się na swoje konto. Ten środek bezpieczeństwa ma na celu zapewnienie, że tylko właściciel konta ma do niego dostęp. Nawet jeśli hakerzy mogliby zdobyć Twoje dane uwierzytelniające, nie ma możliwości, aby ukraść unikalny kod wysłany na Twój zarejestrowany numer telefonu komórkowego.

Uwierzytelnianie dwuskładnikowe można również zastosować w witrynie WordPress. Doda warstwę bezpieczeństwa do strony logowania. Wszystko, co musisz zrobić, to zainstalować jedną z następujących wtyczek:

• Google Authenticator miniOrange
• Google Authenticator — uwierzytelnianie dwuetapowe (2FA)
• WP 2FA firmy WP White Security

Konfiguracja wtyczki do uwierzytelniania dwuskładnikowego jest bardzo łatwa. Użyjemy Google Authenticator miniOrange, aby pokazać proces konfiguracji.

Jak wdrożyć uwierzytelnianie dwuskładnikowe

Zainstaluj Google Authenticator miniOrange na swojej stronie logowania WordPress. Gdy tylko aktywujesz wtyczkę, pojawi się widżet konfiguracji. Wybierz pierwszą opcję, czyli Google Authenticator .

Następnie pobierz aplikację Google Authenticator na swój smartfon. Otwórz aplikację i zeskanuj kod QR .

Aplikacja generuje kod . Wpisz go w widżecie konfiguracji i naciśnij Zapisz .

Bezpieczeństwo logowania 2FA WordPress jest teraz aktywne na Twojej stronie logowania.

3. Ogranicz nieudane próby logowania

WordPress pozwala swoim użytkownikom na nieograniczone próby logowania. Może to zabrzmieć nieszkodliwie, ale szczerze mówiąc, jest to rażąca luka w zabezpieczeniach.

Nieograniczone próby logowania umożliwiają hakerom przeprowadzanie ataków typu brute force. W tego typu ataku hakerzy wdrażają boty, aby znaleźć odpowiednią kombinację nazwy użytkownika i hasła. Boty kilka razy zawodzą, zanim zdołają uzyskać odpowiednie dane uwierzytelniające. Jednym z najskuteczniejszych sposobów przeciwdziałania atakom botów jest ograniczanie prób logowania.

Poniższe wtyczki pomogą Ci to zrobić:

• Ponowne ładowanie limitu prób logowania
• Logowanie z limitem WPS
• Próby logowania WP Limit przez Arshid

Jak ograniczyć nieudane próby logowania

Zainstaluj wtyczkę, a następnie przejdź do Ogranicz próby logowania → Ustawienia → Aplikacja lokalna . Tutaj możesz ustawić, ile prób logowania ma być dozwolonych w Twojej witrynie. I jak długo ktoś pozostanie zablokowany po tej liczbie prób logowania.

4. Zapobiegaj wykrywaniu nazwy użytkownika

Zazwyczaj nazwa użytkownika jest uważana za mniej ważną niż hasło. Jest to dokument dostępny publicznie i dlatego zakładamy, że musi mieć niską wartość. Nie prawda.

Nazwa użytkownika stanowi połowę twoich danych uwierzytelniających. Musi być chroniony, podobnie jak hasło.

Na stronie WordPress znajdziesz nazwy użytkowników wyświetlane w postach i archiwach autorów. Na szczęście istnieje sposób na wyłączenie ich obu.

Jak wyłączyć archiwa autorów

Można to zrobić za pomocą dowolnej wtyczki SEO. W poniższym samouczku używamy Yoast SEO, aby to pokazać.

Przejdź do SEO → Wygląd wyszukiwania → Archiwa , a następnie wyłącz archiwa autorów. Kliknij Zapisz zmiany .

Jak zmienić wyświetlaną nazwę

Wyświetlana nazwa pojawia się w opublikowanych artykułach i komentarzach. Domyślnie nazwa wyświetlana i nazwa użytkownika (ten, którego używasz do logowania) są takie same. Aby zapobiec wykryciu nazwy użytkownika, możesz zmienić nazwę wyświetlaną na inną.

Przejdź do Użytkownicy → Profil → Pseudonim . Nie możesz bezpośrednio zmienić wyświetlanej nazwy. Zamiast tego zmień pseudonim. Następnie wybierz nowy pseudonim z rozwijanego menu poniżej.

5. Automatyczne wylogowanie

Automatyczne wylogowanie chroni witryny przed szpiegami. Gdy użytkownicy opuszczają sesję bez nadzoru, automatyczne wylogowanie kończy sesję, chroniąc witrynę.

Domyślnym zachowaniem WordPressa jest wylogowanie użytkownika 48 godzin po wygaśnięciu pliku cookie sesji logowania. A jeśli użytkownik zaznaczył pole „Zapamiętaj mnie”, pozostaniesz zalogowany przez 14 dni. Aby zakończyć sesje z powodu krótkiego czasu bezczynności, musisz zainstalować osobną wtyczkę.

Poniższe wtyczki ułatwiają automatyczne wylogowanie w celu zakończenia bezczynnych sesji użytkowników:

• Nieaktywne Wylogowanie
• Bezpieczeństwo iThemes

Jak włączyć automatyczne wylogowanie?

Aktywuj wtyczkę, a następnie przejdź do Ustawienia → Wylogowanie nieaktywne → Zarządzanie podstawowe . Ustaw zegar na limit czasu bezczynności. Istnieją również opcje limitów czasu opartych na rolach. Sprawdź to, jeśli chcesz.

Wniosek dotyczący bezpieczeństwa logowania do WordPressa

Mimo że wdrożyłeś środki zapobiegające atakom hakerów na Twoją witrynę, intruzi nadal mogą uzyskać dostęp za pośrednictwem podatnych na ataki motywów i wtyczek. Dlatego dbaj o aktualność swojej witryny przez całą dobę.

Aby jeszcze bardziej zabezpieczyć swoją witrynę, zdecydowanie zalecamy podjęcie wszystkich środków bezpieczeństwa opisanych w tym przewodniku: 10 kluczowych wskazówek dotyczących bezpieczeństwa WordPress.

Jeśli masz pytania dotyczące bezpieczeństwa logowania do WordPressa, daj nam znać w komentarzach poniżej.