Un ghid despre cum să securizați administratorul WordPress - MalCare
Publicat: 2023-04-13Administrator WordPress securizat: Știați că peste 90.000 de încercări de hack sunt făcute pe site-urile WordPress în fiecare minut al zilei? Ceea ce implică este că încercările de hack pe site-urile dvs. web sunt iminente, indiferent dacă site-ul este mare sau mic. Securitatea este una dintre cele mai importante preocupări pentru un site web.
Hackerii recurg la diferite tehnici pentru a pirata un site web WordPress, iar atacul cu forță brută este una dintre aceste tehnici. Aceasta implică încercarea unei combinații de nume de utilizator și parole utilizate în mod obișnuit pe pagina de conectare a site-ului web.
Un atac de forță brută de succes vă oferă acces la administratorul WordPress. Zona de administrare WordPress este centrul administrativ al unui site web bazat pe WordPress. Oricine are acces deplin la administrator va avea control deplin asupra site-ului. Prin urmare, este important să vă protejați administratorul WordPress de atacurile cu forță brută.
Cum să securizăm administratorul WordPress?
Am venit cu o serie de tehnici care vă vor ajuta să vă asigurați administratorul WordPress al site-ului dvs. împotriva tentativelor de hack.
1. Folosiți parole puternice
Una dintre cele mai frecvente greșeli pe care le fac proprietarii de site-uri web este utilizarea parolelor slabe. De-a lungul anilor, tehnicile de spargere a parolelor s-au maturizat. Parolele ușor de ghicit sunt sparte în câteva minute. Parolele puternice vă ajută să vă apărați site-ul împotriva tehnicilor inteligente de spargere a parolelor. Iată un articol excelent despre cum să creezi parole cu adevărat puternice pentru site-ul tău WordPress.
Cu toate acestea, amintirea parolelor puternice poate fi o problemă. Această postare explică cum să gestionezi parole WordPress puternice .
O altă greșeală foarte comună pe care o fac mulți oameni este atunci când folosesc aceeași parolă pe mai multe site-uri. Când o parolă este compromisă, toate conturile asociate parolei sunt compromise. Prin urmare, utilizarea unor parole diferite pentru conturi poate ajuta la evitarea acestei situații.
2. Evitați utilizarea numelui de utilizator comun
Securizarea parolei WordPress este un pas important către securizarea acreditărilor de conectare WordPress. A doua componentă a unei acreditări de conectare este numele de utilizator. Dacă numele de utilizator este ușor de ghicit, atunci hackerul trebuie să se concentreze doar pe parolă.
Unul dintre cele mai comune nume de utilizator WordPress este „admin”. Până acum câțiva ani, WordPress sugera automat „admin” ca nume de utilizator. Deși WordPress a încetat să mai recomande „admin”, mulți proprietari de site-uri încă îl folosesc. Mai multe conturi de utilizator noi sunt create folosind „admin” ca nume de utilizator. Toate aceste site-uri web devin o țintă ușoară.
Deoarece WordPress nu impune utilizarea numelor de utilizator unice, trebuie să vă asigurați că niciunul dintre utilizatorii dvs. nu utilizează nume de utilizator comune și că nu se creează un cont nou cu „admin”. Aruncați o privire la această listă exhaustivă a numelor de utilizator utilizate în mod obișnuit, astfel încât să știți ce nume de utilizator să evitați.
3. Ascundeți pagina dvs. de conectare WordPress
Site-urile WordPress funcționează într-un mod prestabilit. De exemplu, toate site-urile WordPress vin cu o pagină de conectare implicită care arată cam așa„www.anysite.com/wp-admin”.Acest lucru ușurează munca unui hacker, deoarece poate lansa un atac automat asupra mai multor site-uri WordPress vizate simultan. Dar dacă ascundeți pagina de autentificare schimbând-o, puteți preveni astfel de atacuri asupra site-ului dvs.
Există multe pluginuri pe care le puteți folosi pentru a vă schimba pagina de autentificare și pentru a utiliza o adresă URL pe care vi-o sugerează pluginul. Este posibil ca alte site-uri web care folosesc același plugin să folosească aceeași adresă URL. Și dacă hackerii cunosc formatul URL, ascunderea paginii dvs. de autentificare nu va fi nimic. Prin urmare, utilizați un instrument care vă permite să vă creați propria adresă URL personalizată a paginii de conectare.
4. Implementați autentificarea HTTP
Pentru a securiza administratorul WordPress, puteți proteja cu parolă întregul folder wp-admin. Dosarul wp-admin conține fișiere administrative care alimentează tabloul de bord WordPress. Oricine are acces la acest folder poate controla întregul site. Dacă parola dvs. protejează întregul folder, de fiecare dată când cineva solicită secțiunea de administrare, serverul începe un proces de autentificare. Browserul va cere utilizatorului o parolă de autentificare HTTP. Există multe instrumente pe care le puteți utiliza, implementați autentificarea HTTP pe administratorul WordPress, cum ar fi HTTP Auth , AskApache Password Protect etc.
5. Utilizați Google Authenticator
În condițiile în care tehnicile de piratare a site-urilor web devin din ce în ce mai sofisticate în zilele noastre, este obișnuit să adăugați un alt nivel de protecție pentru autentificare împreună cu acreditările puternice ale utilizatorului. Această tehnică se numește autentificare cu doi factori (2FA). Metoda presupune trimiterea unui cod pe care doar tu îl poți primi pe smartphone. Înainte de a vi se acorda acces la tabloul de bord WordPress, trebuie să introduceți codul unic pe site-ul dvs. Avantajele acestei abordări sunt că, chiar dacă hackerii reușesc să vă spargă acreditările, totuși au nevoie de codul trimis exclusiv pe dispozitivul dvs.
Există multe pluginuri WordPress pe care le puteți folosi pentru autentificarea cu doi factori. Am activat 2FA pe site-ul nostru folosind Mini Orange pentru a securiza administratorul WordPress și am scris un ghid despre acesta.
6. Limitarea numărului de încercări eșuate de conectare
Site-urile web aflate sub atacuri cu forță brută se confruntă cu sute de încercări eșuate de autentificare. Pentru a preveni acest atac necruțător asupra administratorului dvs. WordPress, puteți limita numărul de încercări eșuate de conectare efectuate pe site-ul dvs. Pluginul de securitate MalCare împiedică utilizatorii să încerce să se autentifice după 3 încercări eșuate de conectare. Ei trebuie să rezolve un CAPTCHA înainte de a li se permite să acceseze din nou pagina de autentificare WordPress. Acest lucru ajută la determinarea dacă utilizatorul este un om sau un robot automat care încearcă să execute atacuri cu forță brută pe site.
7. Instalați certificatul SSL
Uită-te la adresa URL a site-ului nostru! Poți vedea un lacăt verde cu cuvântul „Securizat” lângă el? Site-ul nostru are certificat SSL instalat, ceea ce înseamnă că nimeni nu poate smuci și citi acreditările de conectare ale utilizatorilor noștri. Un site web fără certificat SSL riscă să expună fără să vrea informațiile sensibile ale site-ului.
Pe vremuri, certificatele SSL erau fie pentru paginile de plată, fie pentru zonele de administrare WordPress. Dar acum certificatul SSL vă poate ajuta să vă securizați întregul site. În eforturile sale de a face web-ul un loc mai sigur, Google a declarat clar că certificatele SSL sunt un factor de clasare . Puteți obține un certificat SSL de la furnizori precum Comodo , Let's Encrypt , iar gazda dvs. web vă va ajuta la configurarea certificatului pe site-ul dvs.
8. Lista neagră de adrese IP rău intenționate
Toți cei care folosesc internetul au o adresă IP. Chiar și hackerul care lansează atacuri pe site-urile WordPress au o adresă IP. Dacă păstrați o evidență a acestor adrese IP, le puteți bloca să acceseze site-ul dvs. MalCare – unul dintre cele mai bune pluginuri de securitate WordPress de acolo oferă detalii (adrese IP) ale încercărilor eșuate de conectare făcute pe site. Dacă observați că se fac aproape în mod regulat multe încercări eșuate de la aceleași IP-uri, puteți bloca accesul acestor IP-uri suspecte la site-urile dvs. prin simpla introducere a următoarelor coduri în fișierul nostru .htaccess:
comanda permite, refuza nega din 192.168.20.10 permite de la toti
„192.168.20.10” este adresa IP pe care am vrut să o blocăm pe unul dintre site-urile noastre. Îl puteți înlocui cu IP-ul pe care doriți să îl blocați.
9. Schimbați cheile de securitate
Nu trebuie să introduceți datele de conectare de fiecare dată când trebuie să vă conectați la site-ul dvs. Te-ai întrebat vreodată cum stochează browserul tău aceste acreditări? După ce vă conectați la contul dvs., informațiile dvs. de conectare sunt stocate într-un mod criptat în cookie-ul browserului. Cheile de securitate sunt doar variabile aleatorii care ajută la îmbunătățirea acestei criptări. Dacă site-ul dvs. este piratat, modificarea cheilor secrete va invalida cookie-ul și va forța fiecare utilizator activ să se deconecteze automat. Odată dat afară, pierderile hackerilor accesează administratorul WordPress.
Este randul tau
Nu există o singură modalitate de a securiza un administrator WordPress, prin urmare asigurați-vă că utilizați mai multe metode. V-am împărtășit câteva dintre cele mai recomandate modalități de a securiza administratorul WordPress. Dar înainte de a implementa oricare dintre aceste metode, trebuie să faceți o copie de rezervă a site-ului dvs. . Dacă ceva nu merge bine, puteți pur și simplu să restabiliți o copie de rezervă și să puneți în funcțiune site-ul nostru în cel mai scurt timp.
Pe lângă acestea, mai puteți lua câteva măsuri de securitate precum blocarea IP, protejarea paginii de autentificare, securizarea site-ului cu wp-config.php, urmând acest ghid complet despre securitatea WordPress și instalând un plugin de securitate WordPress precum MalCare.
MalCare vă va ajuta să implementați unele dintre măsurile pe care le-am menționat mai sus. De exemplu, MalCare Security Plugin vă va ajuta să schimbați cheile de securitate, să limitați numărul de încercări eșuate de conectare, să vă păstrați actualizarea site-ului web, printre altele.
Încercați MalCare Security Plugin chiar acum!