Cum să vă securizați administratorul WordPress (Wp-Admin)

Publicat: 2022-08-27

Securitatea WordPress este destul de vitală în ecosistemul WordPress. Una dintre abordările de securitate pe care trebuie să le luați este să vă asigurați Wp-admin-ul. Acest lucru se datorează faptului că Wp-admin va fi probabil primul punct pe care atacatorii îl vor folosi pentru a încerca să obțină acces la site-ul dvs.

În mod implicit, fișierele de administrare WordPress sunt stocate în folderul Wp-admin. În ciuda faptului că WordPress are diferite măsuri de securitate pentru a proteja folderul, faptul că administratorul WordPress implicit este cunoscut pe scară largă, acest lucru îl face o țintă ușoară pentru hackeri. Prin urmare, este important să reduceți riscul atacurilor web declanșate de administratorul WordPress.

În acest articol, vom analiza câteva dintre abordările pe care le puteți utiliza pentru a vă securiza administratorul WordPress.

Cuprins

Abordări pentru securizarea Wp-admin

  • Evitați utilizarea numelui de utilizator implicit „admin”.
  • Crearea de parole puternice
  • Parola - Protejați zona Wp-admin
  • Creați o adresă URL de conectare personalizată
  • Includeți o autentificare/verificare în doi factori
  • Activați deconectarea automată
  • Limitați numărul de încercări de conectare
  • Implementați restricția IP
  • Dezactivați erorile pe pagina de conectare
  • Folosind un plugin de securitate
  • Actualizați WordPress la cea mai recentă versiune

Concluzie

Abordări pentru securizarea Wp-admin

Există diferite moduri pe care le puteți utiliza pentru a securiza zona de administrare WordPress. Mai jos este o listă rapidă cu aceste practici de securitate.

1. Evitați utilizarea numelui de utilizator implicit „admin”.

La o instalare WordPress nouă, primul cont creat este contul de administrator. „admin” este setat ca nume de utilizator implicit într-o astfel de instalare. Aceasta este de fapt cunoștință publică.

O modalitate prin care un hacker își poate da seama cu ușurință dacă „admin” este numele de utilizator este pur și simplu accesând adresa URL de conectare a site-ului și încercând numele de utilizator „admin”. Dacă „admin” este de fapt un nume de utilizator în cadrul site-ului, acesta va avea un astfel de mesaj de eroare în ecranul de conectare; „ Eroare: parola pe care ați introdus-o pentru numele de utilizator administrator este incorectă. Ți-ai pierdut parola ?”

Un astfel de mesaj de eroare ar servi ca o confirmare pentru hacker că există un nume de utilizator „admin” în cadrul site-ului.

În această etapă, un hacker are deja două informații cu privire la site-ul tău. Acestea sunt numele de utilizator și adresa URL de conectare. Tot ce are nevoie hackerul este parola pentru site.

În acest moment, un hacker va încerca să efectueze atacuri pur și simplu rulând parole împotriva acelui nume de utilizator pentru a obține acces la site. Acest lucru poate fi efectuat manual sau chiar prin intermediul boților.

O altă abordare pe care o poate folosi un hacker este prin simpla adăugare a interogării „?author=1/” la adresa URL, astfel încât să se citească ca domeniul tău/?author=1/. Dacă aveți un nume de utilizator cu administratorul utilizatorului, atunci adresa URL va returna postări de la utilizator sau niciuna dacă nu există postări asociate cu acesta. Mai jos este un exemplu de ilustrare:

În oricare dintre cazuri, atâta timp cât o eroare 404 nu este returnată, aceasta ar servi ca o confirmare că există cu siguranță un nume de utilizator cu numele de utilizator „admin”.

Pe baza scenariilor de mai sus, dacă aveți numele de utilizator implicit „admin”, este vital să creați un nou cont de administrator din secțiunea Utilizatori > Adăugați nou din tabloul de bord WordPress.

Odată ce ați făcut acest lucru, asigurați-vă că ștergeți contul anterior „admin”.

2. Crearea de parole puternice

Parolele puternice sunt esențiale pentru orice site WordPress. Pe de altă parte, parolele slabe facilitează accesul hackerilor la site-ul dvs. WordPress.

Unele dintre măsurile de securitate pentru parole pe care le puteți încorpora includ:

  • Asigurați-vă că parola este suficient de lungă (minimum 10 caractere)
  • Parola trebuie să conțină cel puțin caractere alfanumerice, spații și caractere speciale
  • Asigurați-vă că parolele sunt modificate sau actualizate în mod regulat
  • Asigurați-vă că nu reutilizați parolele
  • Parolele nu trebuie să fie cuvinte din dicționar
  • Stocați parolele folosind un manager de parole
  • Asigurați-vă că utilizatorii care se înregistrează pe site completează parole puternice

De asemenea, parolele nu ar trebui să fie ghicibile, deoarece acest lucru ar reprezenta din nou o amenințare pentru securitate.

3. Parola - Protejați zona Wp-admin

WordPress oferă un nivel de securitate Wp-admin, permițând utilizatorilor să-și completeze numele de utilizator și parola pentru a se autentifica. Cu toate acestea, acest lucru poate să nu fie suficient, deoarece hackerii pot de fapt să efectueze atacuri web la accesarea Wp-admin. Prin urmare, este recomandabil să adăugați un strat suplimentar de securitate la Wp-admin. Acest lucru poate fi realizat fie prin:

i) cPanel

ii) .htaccess

Prin cPanel

Pentru a proteja cu parolă administratorul Wp prin cPanel, va trebui să efectuați următoarele:

Mai întâi accesați tabloul de bord cPanel și faceți clic pe „Confidențialitate director”.

Apoi, accesați folderul public_html.

În cadrul acestuia, faceți clic pe butonul „Editați” din directorul wp-admin.

Pe ecranul următor, activați opțiunea „Protejați cu parolă acest director” și în câmpul „Introduceți un nume pentru directorul protejat”, completați un nume preferat și salvați modificările.

Odată ce ați făcut acest lucru, faceți un pas înapoi și creați un nou utilizator cu detaliile dorite (nume de utilizator și parolă).

După efectuarea celor de mai sus, dacă un utilizator încearcă să acceseze folderul wp-admin, i se va cere să completeze numele de utilizator și parola nou create înainte de a fi redirecționat către ecranul unde va trebui să completeze administratorul WordPress. acreditările.

Prin .htaccess

.htaccess este un fișier de configurare folosit de Apache care servește pentru a face modificări în directoare. Puteți afla mai multe despre fișier în acest articol.

În această secțiune, vom analiza cum să folosim fișierul .htaccess pentru a restricționa folderul wp-admin. Pentru a face acest lucru, va trebui să creăm două fișiere (.htaccess și .htpasswd) efectuând următoarele:

i) Creați un fișier .htaccess

Folosind un editor de text preferat, creați un fișier nou numit .htaccess .

Adăugați următorul conținut la fișier:

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

În codul de mai sus, va trebui să modificați calea „AuthUserFile” specificată (/home/user/public_html/mydomain.com/wp-admin/) cu calea directorului wp-admin, unde veți încărca fișierul .htpasswd . În plus, va trebui, de asemenea, să modificați „detaliul numelui de utilizator” din rândul „necesită utilizator”, cu numele de utilizator dorit.

ii) Creați un fișier .htpasswd

Folosind în continuare un editor de text preferat, creați un fișier nou numit .htpasswd.

Accesați generatorul wtools.io.

Completați numele de utilizator și parola în câmpurile dedicate din Formularul Htpasswd și faceți clic pe butonul „Generează”.

După ce ați terminat, copiați rezultatul în fișierul dvs. .htpasswd și salvați modificările.

iii) Încărcați fișierele prin FTP

Pentru a încărca fișierele prin FTP, va trebui să utilizați un instrument precum Filezilla.

Pentru început, va trebui să încărcați fișierul .htaccess în directorul wp-admin al site-ului dvs., urmat de fișierul .htpasswd.

Odată ce un utilizator încearcă acum să acceseze /wp-admin, i se va prezenta un ecran de autentificare similar cu cel care se vede mai jos:

4. Creați o adresă URL de conectare personalizată

Adresele URL de conectare WordPress sunt accesate fie prin adăugarea wp-admin, fie a wp-login.php? la domeniul dvs. Faptul că acestea sunt punctele finale implicite de conectare WordPress înseamnă că atâta timp cât un hacker are acces la domeniu, el poate accesa cu ușurință adresa URL de conectare.

Dacă se întâmplă și să utilizați numele de utilizator implicit „admin”, atunci asta ar însemna din nou că un hacker ar trebui să descopere doar o singură informație, care este „parola”.

Prin urmare, este important să aveți o adresă URL de conectare personalizată pentru site-ul dvs. O modalitate de a realiza acest lucru este că va trebui să instalați pluginul WPS Hide Login.

După instalarea pluginului, navigați la secțiunea Setări > WPS Ascundere autentificare și specificați adresa URL de conectare dorită și o adresă URL de redirecționare care va fi accesată atunci când un utilizator care nu este conectat încearcă să acceseze Wp-login.php sau Wp-admin .

După ce ați făcut acest lucru, salvați modificările.

Acest lucru va îngreuna oricui încearcă să acceseze datele de conectare la site-ul dvs., reducând astfel sarcinile potențiale.

5. Încorporați o autentificare/verificare în doi factori

Autentificarea cu doi factori este un mecanism de securitate prin care se asigură un nivel suplimentar de securitate prin adăugarea unei cerințe suplimentare de autentificare.

Pentru a implementa autentificarea în doi factori în site-ul dvs. WordPress, puteți utiliza un plugin de la terți după preferința dvs. În acest ghid, vă sugerăm să utilizați pluginul WP 2FA – Autentificare în doi factori pentru WordPress datorită ușurinței sale de utilizare.

Pentru a utiliza pluginul, navigați la secțiunea Plugins > Add New din tabloul de bord WordPress și căutați WP 2FA.

Instalați și activați pluginul.

Odată ce ați făcut acest lucru, navigați la secțiunea Utilizatori > Profil și faceți clic pe butonul „Configurare 2FA”.

Pe ecranul următor, selectați metoda dorită 2FA. În cazul nostru aici, vom selecta opțiunea „Cod unic generat cu aplicația pe care o alegeți”.

După selecție, treceți la pasul următor. Aici, selectați aplicația dorită pentru autentificare din lista de pictograme furnizată. Făcând clic pe o pictogramă, veți redirecționa către ghidul despre cum să configurați aplicația.

În cazul nostru aici, vom folosi aplicația „Google Authenticator”. Prin urmare, puteți începe mai întâi prin a instala aplicația Google Authenticator pe dispozitivul dorit, cum ar fi pe mobil.

Odată ce ați terminat, deschideți aplicația și atingeți pictograma plutitoare „+” din regiunea din dreapta jos a aplicației.

În continuare, vi se va cere să scanați codul QR din captura de ecran ilustrată mai sus.

După ce faceți acest lucru, veți fi redirecționat către un ecran cu contul nou adăugat, alături de codul 2FA.

Apoi, întoarceți-vă pe site-ul dvs. și completați codul 2FA, validați și salvați configurația. Mai jos este un exemplu de ilustrare:

Odată ce ați făcut acest lucru, veți avea acum un mesaj de succes și apoi puteți efectua o copie de rezervă a codurilor dvs.

Pentru ilustrații detaliate despre cum să procedați în acest sens, puteți consulta ghidul aici.

Odată ce un utilizator încearcă acum să se autentifice pe site, chiar și ocolind prima autentificare, i se va prezenta un strat suplimentar de autentificare unde i se va cere să completeze codul de autentificare.

6. Activați deconectarea automată

După ce se conectează la un site web și utilizatorii nu își închid fereastra browserului, sesiunile nu sunt încheiate de ceva timp. Acest lucru face ca un astfel de site web să fie predispus la hackeri prin deturnarea cookie-urilor. Aceasta este o tehnică prin care un hacker este în măsură să compromită o sesiune prin furtul sau accesarea cookie-urilor în browserul utilizatorilor.

Ca mecanism de securitate, este, prin urmare, important să deconectați automat utilizatorii inactivi de pe site. Pentru a realiza acest lucru, puteți utiliza un plugin, cum ar fi pluginul Inactive Logout.

Pluginul poate fi instalat din secțiunea Plugin-uri > Adăugare nou, căutându-l mai întâi, instalându-l și activându-l.

După activarea pluginului, navigați la secțiunea Setări > Deconectare inactivă, setați „Timpul de inactivitate” și salvați modificările.

Puteți avea valoarea setată la oricare dintre preferințele dvs., dar 5 minute ar fi ideal.

7. Limitați numărul de încercări de conectare

În mod implicit, WordPress nu oferă o limită a numărului de încercări de conectare pe un site web. Acest lucru face posibil ca hackerii să ruleze scripturi care conțin detalii comune de conectare a utilizatorului pentru a încerca să pătrundă pe site. Dacă numărul de încercări este mult prea mare, acestea pot cauza o supraîncărcare pe serverul dvs. și, în cele din urmă, există probabil o perioadă de nefuncționare a site-ului web. În cazul în care utilizați date de conectare obișnuite, este, de asemenea, probabil ca un hacker să acceseze cu succes site-ul.

Prin urmare, este important să limitați numărul de încercări de conectare pe un site web. Pentru această implementare, puteți utiliza un plugin, cum ar fi Login Lockdown.

Similar cu alte instalări de pluginuri în wordpress.org, puteți instala pluginul Login Lockdown din secțiunea Plugins > Add New. În secțiune, căutați pluginul, instalați-l și activați-l.

După activare, navigați la Setări > Blocare autentificare și specificați setările de blocare dorite, cum ar fi Reîncercări maxime de conectare, Restricție pentru perioada de timp de reîncercare, Durata blocării și multe altele, în funcție de preferințele dvs.

8. Implementați restricția IP

Restricția IP este o abordare pe care o puteți implementa și pentru a refuza accesul la Wp-admin. Această metodă este totuși recomandată dacă utilizați un IP static.

Pentru a implementa restricția IP, va trebui să creați un fișier .htaccess în directorul wp-admin dacă nu aveți deja unul și să adăugați următorul cod la fișier:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

Odată terminat, va trebui să înlocuiți xx.xx.xx.xxx din cod cu adresele IP pe care doriți să le acordați acces.

Dacă se întâmplă să vă schimbați și rețeaua, va trebui să accesați fișierele site-ului și să adăugați noul IP pentru a fi în măsură să vă conectați la site.

Dacă acum un utilizator al cărui IP nu are permisiunea de a accesa wp-admin încearcă să îl acceseze, el va întâlni un mesaj de eroare Interzis similar cu ilustrația de mai jos.

9. Dezactivați Erori pe pagina de conectare

WordPress va afișa în mod implicit erori pe pagina de conectare dacă un utilizator încearcă să se conecteze la site folosind acreditări incorecte. Câteva exemple de aceste mesaje de eroare sunt:

  • EROARE: Nume de utilizator invalid. Ti-ai pierdut parola?
  • EROARE: Parolă incorectă. Ti-ai pierdut parola?

Odată cu redarea unor astfel de mesaje, ele oferă de fapt indicii cu privire la detaliile incorecte de conectare și asta ar însemna că un hacker ar rămâne cu un singur detaliu de aflat. De exemplu, al doilea mesaj este un indiciu că parola este incorectă. Prin urmare, hackerul ar trebui doar să descopere parola pentru a avea acces la site.

Pentru a dezactiva aceste mesaje de eroare, va trebui să adăugați următorul cod în fișierul functions.php din temă:

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

Dacă un utilizator încearcă acum să se conecteze la site cu acreditări incorecte, nu va fi afișat niciun mesaj de eroare. Mai jos este un exemplu de ilustrare în acest sens:

10. Utilizarea unui plugin de securitate

Pluginurile de securitate WordPress ajută la reducerea amenințărilor de securitate din site-ul dvs. Unele dintre aceste pluginuri de securitate oferă caracteristici precum adăugarea reCaptcha, restricția IP și multe altele.

Prin urmare, este important să luați în considerare utilizarea unui plugin de securitate pentru a reduce probabilitatea atacurilor în cadrul Wp-admin. Câteva exemple de pluginuri de securitate pe care le puteți lua în considerare sunt: ​​WordFence și Malcare.

11. Actualizați WordPress la cea mai recentă versiune

WordPress este un software actualizat în mod regulat. Unele dintre actualizări includ corecții de securitate. Dacă, de exemplu, a existat o versiune de securitate care vizează administratorul Wp și, în cazul dvs., nu reușiți să vă actualizați versiunea WordPress, atunci asta ar însemna că administratorul dvs. Wp este predispus la atacuri.

Prin urmare, este important să actualizați în mod regulat versiunea dvs. WordPress pentru a reduce riscul de exploatare pe site-ul dvs.

Concluzie

Administratorul WordPress este o țintă majoră a hackerilor pentru ca aceștia să obțină controlul deplin asupra site-ului dvs. Prin urmare, este important să protejați secțiunea de administrare WordPress a site-ului dvs.

În acest articol, am analizat o serie de moduri pe care le puteți utiliza pentru a vă securiza administratorul WordPress. Sperăm că articolul este informativ și util. Dacă aveți întrebări sau sugestii, vă rugăm să nu ezitați să utilizați secțiunea de comentarii de mai jos.