Securitate de conectare WordPress: 5 pași simpli pentru a vă asigura pagina de conectare

Vă întrebați dacă ar trebui să vă faceți griji cu privire la securitatea autentificării WordPress?

WordPress este cel mai popular CMS din lume, deoarece este foarte ușor să construiți un site web cu el. Deși este un CMS gratuit, există un preț de plătit. WordPress este extrem de previzibil, ceea ce uneori îl face o țintă ușoară.

Luați, de exemplu, pagina de conectare.

Fiecare site WordPress are aceeași pagină de conectare (/wp-admin.com sau /wp-login.php). Combină predictibilitatea cu înclinația umană pentru utilizarea acreditărilor slabe, iar pagina devine o țintă atrăgătoare pentru hackeri.

Experții în securitate spun că pagina de conectare este cea mai vulnerabilă pagină de pe un site web. În fiecare zi, hackerii implementează roboți pentru a efectua atacuri cu forță brută pe pagina respectivă. Înțelegându-vă acreditările de conectare, aceștia pot obține cu ușurință acces la CMS-ul dvs. Așadar, trebuie să faceți tot ce vă stă în putere pentru a-l proteja împotriva acestor oaspeți neinvitați.

În acest articol, vă vom arăta cinci metode avansate pentru a îmbunătăți securitatea de conectare la WordPress și pentru a preveni piratarea.

Cum să securizi o pagină de autentificare WordPress în 2022

Există o mulțime de sfaturi slabe în domeniul securității cibernetice. Cea mai mare parte este menită să conducă oamenii spre frică și să îi facă să cedeze în fața unor alegeri compulsive. În loc să adăugăm la zgomot, în acest articol, vă vom arăta metode care funcționează de fapt. Acestea sunt:

Trebuie să fi observat că nu am inclus aplicarea parolelor puternice și instalarea certificatelor SSL. Asta pentru că este un dat. Sperăm că le utilizați deja. Consultați celelalte ghiduri ale noastre despre cum să faceți acest lucru.

Notă: Pentru a realiza măsurile pe care le-am menționat mai jos, va trebui să instalați un plugin sau două. Și știm că chiar și cele mai bune plugin-uri pot provoca o defecțiune. Deci, faceți o copie de rezervă a site-ului dvs. înainte de a continua.

Acum, să începem:

1. Schimbați adresa URL a paginii de conectare

După cum am spus la începutul articolului, pagina implicită de autentificare WordPress arată astfel:

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

Toată lumea știe asta, inclusiv hackerii care proiectează roboți care vizează paginile de conectare WordPress. Și din moment ce 59% dintre americani [1] folosesc parole slabe, este mult prea ușor să piratați un site prin forțarea brută a paginii de conectare .

O modalitate de a vă proteja pagina de autentificare este schimbarea adresei URL.

Crearea unei noi adrese URL personalizate pentru pagina de conectare este simplă. Există o serie de pluginuri disponibile care vă permit să faceți asta în câteva clicuri.

Vom folosi pluginul WPS Hide Login pentru a demonstra procesul, dar dacă preferați oricare dintre celelalte plugin-uri, mergeți mai departe. Pașii vor fi la fel de simpli și rapizi.

Cum să vă schimbați adresa URL de conectare la WordPress

Instalați și activați WPS Ascundere autentificare. Accesați Setare → WPS Ascundere autentificare .

Derulați în jos în partea de jos a paginii, introduceți noua adresă URL în secțiunea Adresă URL de conectare și apăsați pe Salvare modificări .

Încercați să vă conectați cu noua adresă URL. Nu uita să-l împărtășești cu colegii tăi.

Dacă aveți nevoie de asistență, iată ghidul nostru dedicat: cum să vă schimbați adresa URL a paginii de autentificare WordPress.

2. Implementați autentificarea cu doi factori

Trebuie să fi întâlnit autentificarea cu doi factori în timp ce utilizați Facebook și Gmail. Serviciile trimit de obicei un cod unic la numărul dvs. de telefon mobil înregistrat ori de câte ori încercați să vă conectați la contul dvs. Această măsură de securitate este implementată pentru a vă asigura că numai proprietarul contului îl poate accesa. Chiar dacă hackerii ar putea pune mâna pe acreditările dvs., nu există nicio modalitate de a fura codul unic trimis către numărul dvs. de telefon mobil înregistrat.

Autentificarea cu doi factori poate fi aplicată și site-ului dvs. WordPress. Va adăuga un nivel de securitate paginii de conectare. Tot ce trebuie să faceți este să instalați oricare dintre următoarele pluginuri:

• Google Authenticator de la miniOrange
• Google Authenticator – Autentificare cu doi factori (2FA)
• WP 2FA de la WP White Security

Configurarea unui plugin de autentificare cu doi factori este foarte ușoară. Vom folosi Google Authenticator de la miniOrange pentru a vă arăta procesul de configurare.

Cum se implementează autentificarea cu doi factori

Instalați Google Authenticator al miniOrange pe pagina dvs. de autentificare WordPress. De îndată ce activați pluginul, apare un widget de configurare. Alegeți prima opțiune, adică Google Authenticator .

Apoi, descărcați aplicația Google Authenticator pe smartphone-ul dvs. Deschideți aplicația și scanați codul QR .

Aplicația generează un cod . Introduceți-l în widgetul de configurare și apăsați pe Salvare .

Securitatea de conectare 2FA WordPress este acum activă pe pagina dvs. de conectare.

3. Limitați încercările eșuate de conectare

WordPress permite utilizatorilor săi încercări de conectare nelimitate. Acest lucru poate suna inofensiv, dar, pentru a fi sincer, este o lacună flagrantă de securitate.

Încercările nelimitate de conectare le permit hackerilor să efectueze atacuri cu forță brută. În acest tip de atac, hackerii implementează roboți pentru a găsi combinația potrivită de nume de utilizator și parolă. Boții eșuează de mai multe ori înainte de a găsi acreditările potrivite. Una dintre cele mai eficiente modalități de a contracara atacurile bot este limitarea încercărilor de conectare.

Pluginurile de mai jos vă vor ajuta să faceți exact asta:

• Limitați încercările de conectare reîncărcate
• Autentificare limită WPS
• WP Limitează încercările de conectare de către Arshid

Cum să limitați încercările eșuate de conectare

Instalați pluginul și apoi accesați Limitarea încercărilor de conectare → Setări → Aplicație locală . Aici puteți seta de câte ori trebuie permise încercări de conectare pe site-ul dvs. web. Și cât timp va rămâne cineva blocat după numărul menționat de încercări de conectare.

4. Preveniți descoperirea numelui de utilizator

De obicei, numele de utilizator este considerat mai puțin important decât parola. Este o înregistrare disponibilă publicului și de aceea presupunem că trebuie să aibă o valoare mică. Neadevarat.

Numele de utilizator reprezintă jumătate din acreditările tale. Trebuie protejat, la fel ca parola.

Pe un site web WordPress, veți găsi nume de utilizator afișate în postări și arhive de autori. Din fericire, există o modalitate de a le dezactiva pe amândouă.

Cum se dezactivează arhivele autorului

Acest lucru se poate face cu ajutorul oricărui plugin SEO. În tutorialul de mai jos, folosim Yoast SEO pentru a-l arăta.

Accesați SEO → Aspect de căutare → Arhive și apoi dezactivați Arhivele Autorului. Apăsați Salvați modificări .

Cum se schimbă numele afișat

Numele afișat apare pe articolele și comentariile publicate. În mod implicit, numele afișat și numele de utilizator (cel pe care îl utilizați pentru a vă conecta) sunt aceleași. Pentru a preveni descoperirea numelui de utilizator, puteți schimba numele afișat cu altceva.

Accesați Utilizatori → Profil → Pseudonim . Nu puteți schimba direct numele afișat. În schimb, schimbați pseudonimul. Apoi selectați noul pseudonim din meniul derulant de mai jos.

5. Deconectare automată

Deconectarea automată protejează site-urile web de istorisori. Atunci când utilizatorii lasă sesiunile nesupravegheate, deconectarea automată încheie sesiunea, protejând site-ul web.

Comportamentul implicit WordPress este deconectarea utilizatorului la 48 de ore după expirarea cookie-ului de sesiune de conectare. Și dacă utilizatorul a bifat caseta „Ține-mă minte”, vei rămâne conectat timp de 14 zile. Pentru a încheia sesiunile din cauza unui timp inactiv, trebuie să instalați un plugin separat.

Pluginurile de mai jos vă ajută să vă deconectați automat pentru a termina sesiunile utilizatorilor inactiv:

• Deconectare inactivă
• iThemes Security

Cum să activați deconectarea automată

Activați pluginul și apoi accesați Setări → Deconectare inactivă → Gestionare de bază . Setați ceasul pentru un timeout inactiv. Există și opțiuni pentru timeout-uri bazate pe roluri. Verificați dacă vă place.

Concluzie privind securitatea autentificarii WordPress

Chiar dacă ați implementat măsuri pentru a preveni forțarea brută a hackerilor în site-ul dvs. web, intrușii pot obține acces prin teme și pluginuri vulnerabile. Prin urmare, mențineți site-ul actualizat non-stop.

Pentru a vă securiza și mai mult site-ul, vă recomandăm să luați toate măsurile de securitate cuprinse în acest ghid: 10 sfaturi cheie de securitate WordPress.

Dacă aveți întrebări despre cum să vă gestionați securitatea de conectare la WordPress, anunțați-ne în comentariile de mai jos.