Securitate de conectare WordPress: Securizează-ți cu ușurință pagina de conectare - MalCare

Publicat: 2023-04-19

Știați că există peste 90.000 de atacuri de hack pe site-urile WordPress pe minut? Aceasta este o statistică extrem de ridicată și una pe care pur și simplu nu o putem ignora.

Pentru a sparge site-urile WordPress, hackerii vizează cel mai mult pagina de conectare. Acest lucru se datorează faptului că, accesând site-ul dvs. prin această pagină, un hacker poate obține controlul complet asupra site-ului dvs.

Ravagiile care vor urma vor avea un impact sever asupra site-ului dvs. Hackerii pot vinde produse ilegale sub numele dvs. sau pot trimite vizitatorii dvs. pe site-uri web rău intenționate. De asemenea, ar putea păcăli vizitatorii să cumpere produse duplicate sau să descarce programe malware. Acest lucru vă poate afecta serios afacerea și reputația.

Din fericire, puteți împiedica hackerii să abuzeze de site-ul dvs. prin protejarea celei mai vizate pagini - pagina de conectare. La MalCare, ne ocupăm de aceste hack-uri în fiecare zi și dorim să abordăm problema tuturor utilizatorilor WordPress. Aici, vă vom arăta cele mai bune măsuri de securitate pe care le puteți lua pentru a vă proteja pagina de autentificare împotriva hackerilor. De asemenea, puteți consulta ghidul nostru despre cum să vă protejați site-ul de hackeri.

TL;DR: Dacă aveți nevoie de o soluție de securitate WordPress ușor de implementat și care vă va proteja automat pagina de conectare, instalați Pluginul nostru de securitate MalCare. Acesta va permite limitarea încercărilor de conectare instantaneu și, de asemenea, vă va oferi opțiuni pentru a vă consolida site-ul WordPress.

[lwptoc skipHeadingLevel="h3,h4,h5,h6″]

5 pași pentru a vă asigura pagina de conectare WordPress

Există mai multe măsuri pe care le puteți lua pentru a vă asigura pagina de conectare WordPress. Cu toate acestea, nu fiecare pas pe care îl faci este eficient. Uneori doar adăugați zgomot în timp ce pagina dvs. de autentificare rămâne vulnerabilă.

În acest articol, ne vom concentra asupra a 5 pași importanți pe care îi puteți lua, care s-au dovedit a fi eficienți și cu siguranță vă vor menține site-ul în siguranță.

Presupunem că aveți deja instalat SSL pe site-ul dvs. Dacă nu aveți protecție SSL, trebuie să o adăugați imediat de la furnizorul dvs. de găzduire sau de la un furnizor SSL. Fiecare site ar trebui să aibă instalat SSL ca primă măsură de bază de securitate a site-ului. Acesta criptează datele transferate între site-ul dvs. web și server. Aceasta înseamnă că hackerii nu vă pot fura datele atunci când acestea trec între site-ul dvs. și serverul de găzduire. Prin urmare, hackerii care încearcă să fure acreditările utilizatorului de pe pagina de conectare vor fi împiedicați să facă acest lucru.

1. Folosind nume de utilizator și parole puternice pentru a securiza o pagină de conectare

Când creează conturi de utilizator pe site-urile WordPress, oamenii tind să folosească ceva ușor de reținut sau pe care l-au folosit pentru orice alt cont. Problema cu aceasta este că face munca unui hacker mult mai ușoară.

În primul rând, hackerii folosesc o tehnică numită forțare brută în care încearcă diferite nume de utilizator și parole pentru a încerca să-și ghicească drumul în contul tău. O fac folosind boți automati și algoritmi capabili să facă mii de încercări în câteva secunde. Dacă utilizați parole simple, cum ar fi „parola123”, un bot va putea să o ghicească în primele încercări.

În al doilea rând, dacă utilizați aceleași acreditări pentru toate conturile dvs., acest lucru înseamnă probleme. Au existat atât de multe încălcări de date ale companiilor de top și numai în 2019, au fost expuse 4,1 miliarde de înregistrări. Dacă numele de utilizator și parola v-au fost furate, de exemplu, pe un site web de cumpărături, hackerii le pot folosi pentru a încerca să pirateze alte conturi ale dvs., cum ar fi e-mailul, internet banking sau site-ul dvs. WordPress.

Acreditările dvs. de conectare de administrator sunt ca cheile de acasă sau de la birou. Acesta este motivul pentru care primul pas în securitatea autentificării este utilizarea unor nume de utilizator și parole solide.

  • Vă recomandăm să nu utilizați niciodată numele de utilizator implicit „admin”. Dacă numele site-ului dvs. este thefirstexample.com , nu faceți numele de utilizator de administrator „thefirstexample”. Acestea sunt primele nume de utilizator pe care hackerii le vor încerca pe ecranul de conectare. În schimb, folosește unele neobișnuite și unice, care sunt greu de ghicit de oricine.
  • În ceea ce privește parolele, trebuie să utilizați una care este greu de ghicit pentru oricine. Vă recomandăm să utilizați o expresie de acces în combinație cu simboluri și cifre. Acest lucru face parola dvs. foarte puternică.

În timpul creării parolei, WordPress va indica cât de slabă sau puternică este parola dvs. Pentru a vă da un exemplu, am creat următoarele în contul nostru de administrator WordPress:

parola slabă wordpress

WordPress a indicat că parola este foarte slabă. Așa că ne-am îmbunătățit jocul cu asta:

parolă puternică wordpress

În cele din urmă, deoarece site-ul dvs. WordPress este un bun valoros, credem că merită o parolă unică. Vino cu unul pe care nu îl folosești pe niciun alt site.

Acum știți că datele dvs. de conectare sunt în siguranță. Dacă aveți mai mulți utilizatori pe site-ul dvs. WordPress, este important ca toți să urmeze aceste recomandări, deoarece este un pas foarte important în protejarea paginii dvs. de autentificare WordPress.

2. Limitați numărul de încercări de conectare pentru o mai bună securitate

În mod implicit, WordPress permite un număr nelimitat de încercări de conectare. Hackerii profită de această caracteristică prin atacuri cu forță brută. Puteți obține protecție împotriva forței brute limitând pur și simplu numărul de încercări eșuate de conectare pe care le acordă utilizatorului.

Este posibil să fi văzut această solicitare atunci când ați introdus o parolă greșită pe un site web, în ​​special pe unul online banking:

încercări de conectare eșuate

Acest lucru se datorează faptului că site-ul web a implementat încercări limitate de conectare. Un utilizator are trei șanse să introducă acreditările corecte pentru a-și accesa contul. După trei încercări greșite, aceștia vor fi blocați din contul lor și ar trebui să folosească opțiunea „Parola uitată”.

Puteți implementa această caracteristică în două moduri:

  • Utilizarea unui plugin – Vă recomandăm pluginul de securitate MalCare. Odată instalat, protecția limitată de conectare WordPress este implementată automat. Pluginul vă oferă, de asemenea, protecție bazată pe Captcha, care va împiedica roboții răi să vă acceseze site-ul.
  • Manual – Pentru a limita manual numărul de încercări de conectare, trebuie să accesați fișierul functions.php. Trebuie să adăugați o acțiune WordPress și un filtru de cârlig cu o funcție de apel invers corespunzătoare. Această metodă este tehnică și riscantă. Dacă nu sunteți priceput cu codificare, este mai bine să nu încercați acest lucru.

Cu aceste două măsuri implementate, site-ul dvs. WordPress are măsurile de securitate de bază pentru pagina dvs. de autentificare. Acum, putem trece la măsuri mai avansate.

[ss_click_to_tweet tweet=”WordPress permite un număr nelimitat de încercări de conectare în mod implicit. Utilizați MalCare pentru a implementa automat încercări limitate de conectare.” content="WordPress permite un număr nelimitat de încercări de conectare în mod implicit. Utilizați MalCare pentru a implementa automat încercări limitate de conectare.” stil=”implicit”]

3. Folosind autentificarea în doi factori pentru o securitate mai puternică a autentificării

Trebuie să fi observat că atunci când încercați să vă conectați la contul Gmail, trebuie să urmați doi pași.

Pasul unu implică introducerea acreditărilor. La pasul doi, Gmail vă trimite un cod de verificare la numărul de telefon sau adresa de e-mail înregistrată. După aceea, va trebui să introduceți acest număr în contul dvs. Gmail pentru a vă accesa e-mailurile. Aceasta este verificarea în doi pași sau autentificarea în doi factori.

verificarea cu doi factori pentru securitatea autentificarii

Pentru a se asigura că utilizatorul care accesează contul este autentic, procesul utilizează acreditări obișnuite plus o parolă unică (OTP) care este generată în timp real.

Deci, chiar dacă un hacker vă ghicește acreditările, ar trebui să introducă codul unic trimis și vă puteți securiza cu ușurință pagina de autentificare WordPress.

Puteți implementa autentificarea cu doi factori folosind un plugin. Două plugin-uri pe care le recomandăm sunt Google Authenticator 2FA și Two Factor Authentication.

Notă: dacă utilizați pluginul MalCare, autentificarea cu doi factori va fi disponibilă în curând.

4. Geo-blocare – Împiedică un hacker să ajungă la site-ul tău WordPress

Când configurați un site WordPress, primiți automat traficul din întreaga lume, cu excepția cazului în care îl configurați într-o anumită regiune.

Pentru a vedea de unde provine traficul dvs., trebuie să vă înscrieți la Google Analytics. Pe tabloul de bord, veți vedea opțiunea „Unde sunt utilizatorii dvs.?” Făcând clic pe „Prezentare generală a locației”, puteți vedea exact de unde provin vizitatorii dvs.

traficul primar al blogului

Alternativ, un plugin precum MalCare vă arată, de asemenea, de unde provine traficul dvs.

De multe ori, am întâlnit proprietari de site-uri web care au descoperit că primesc trafic nedorit din anumite țări.

Pentru a vă arăta la ce ne referim, să luăm un exemplu. Să presupunem că aveți un site web care se adresează numai Regatului Unit – example.co.uk. Dar când verificați Analytics, vedeți că o mare parte din traficul site-ului dvs. din alte țări, cum ar fi Rusia, Singapore și Statele Unite. Ar trebui să îl considerați un steag roșu.

Acest lucru este doar indicativ pentru hackeri, puteți utiliza pluginul MalCare pentru a vedea dacă traficul este de fapt rău intenționat sau nu.

După instalarea pluginului MalCare, accesați tabloul de bord. Sub „Securitate”, veți vedea numărul de încercări de conectare făcute pe site-ul dvs. și câte a fost blocat pluginul.

Cereri de conectare MalCare

Făcând clic pe „afișați mai multe”, jurnalele de audit vă vor arăta exact de unde provine traficul și ce nume de utilizator a fost încercat.

malcare limitează încercările de conectare pentru o mai bună securitate WordPress

Dacă simțiți că un astfel de trafic este un risc nedorit, puteți pur și simplu să blocați țări întregi. Pentru a face acest lucru, MalCare are o opțiune numită „geoblocking” care va adăuga un nivel de securitate prin blocarea oricărei adrese IP din țara pe care o selectați. Iată cum:

  • Pe tabloul de bord, selectați site-ul dvs. și apoi faceți clic pe „Geoblocking”.
geoblocking malcare
  • Apoi, din meniul drop-down, selectați țările pe care doriți să le blocați. După ce faceți clic pe „Blocați țara”, se va afișa un mesaj „IP-urile țărilor selectate au fost blocate cu succes.
blocare geografică malcare

Blocarea geografică sau blocarea țării ajută la atenuarea riscului de a fi piratat. Nu este recomandabil să blocați țări întregi, deoarece o parte din trafic ar putea fi legitim. Cu toate acestea, dacă sunteți 100% sigur că nu aveți nevoie de trafic care vine din acea țară, cel mai bine este să îl blocați, astfel încât să vă puteți securiza pagina de autentificare WordPress, fără a lăsa un hacker să ajungă la ea.

Citiți și: Cum să remediați problemele de conectare la WordPress nu sunt sigure

5. Deconectare automată

Nu este neobișnuit să aveți obiceiul de a vă conecta la un cont și de a-l lăsa deschis. S-ar putea să vă treziți că închideți browserul fără să vă deconectați de la conturi. Dacă vă lăsați sistemul nesupravegheat, un hacker vă poate redeschide browserul și va fi conectat automat în conturile dvs.

Astfel de obiceiuri măresc riscul de atacuri. Pentru a atenua astfel de riscuri, multe site-uri web implementează „deconectare automată”. Aceasta este o practică obișnuită cu serviciile bancare online. Dacă sunteți inactiv pentru o perioadă de timp, site-ul web vă deconectează automat. Este posibil să vedeți o solicitare ca cea de mai jos:

eroare care provoacă deconectarea

Aceasta este o măsură esențială pe care o puteți implementa pe site-ul dvs. WordPress. Acesta asigură că nu există nicio șansă ca cineva să poată exploata un cont care este conectat în timp ce utilizatorul este departe de sistemul său.

Această măsură este recomandată în special persoanelor care lucrează de la distanță sau pe propriile dispozitive personale. În calitate de proprietar de site, nu vă puteți asigura niciodată că își va aminti să se deconecteze atunci când sunt inactivi. Dacă folosesc un computer public sau Wi-Fi public nesecurizat, site-ul dvs. este expus unui risc mai mare.

Spre deosebire de serviciile de e-banking, WordPress nu deconecta automat utilizatorii atunci când sunt inactivi. Dar puteți implementa această măsură de securitate folosind plugin-uri precum Bulletproof Security.

Pluginul are o funcție de securitate numită „Idle Session Logout” pe care o puteți activa. Puteți selecta perioada de timp de inactivitate după care un utilizator va fi deconectat automat.

deconectare automată

Această măsură vă va proteja site-ul să nu cadă în mâini greșite.

[ss_click_to_tweet tweet=”Mi-am asigurat cu ușurință pagina de autentificare WordPress cu acest ghid de securitate de la MalCare.” content="Mi-am asigurat cu ușurință pagina de autentificare WordPress cu acest ghid de securitate de la MalCare." stil=”implicit”]

În concluzie: nu este doar pagina ta de conectare

Protejarea securității paginii dvs. de autentificare WordPress vă duce cu un pas mai aproape de un site web WordPress securizat. Hackerilor le place să pradă site-uri care sunt ușor de piratat. Așadar, protejându-vă site-ul web cu măsuri de bază, hackerii îi vor încerca probabil câteva încercări și apoi vor trece la o țintă mai ușoară.

Dar acest lucru nu garantează că hackerii nu vă pot sparge site-ul. Hackerii identifică și exploatează orice vulnerabilitate pe care o găsesc pe site-ul tău. Ar putea fi într-un plugin nou pe care l-ați instalat și care are o defecțiune de securitate. Poate fi o temă pe care ați instalat-o cu mult timp în urmă și ați uitat să actualizați a dezvoltat o vulnerabilitate în timp. Există multe astfel de oportunități de care profită hackerii.

Ceea ce ai nevoie cu adevărat este un plan cuprinzător de protecție. Vă recomandăm cu tărie să luați mai multe măsuri de securitate, cum ar fi blocarea IP, securizarea site-ului cu wp-config.php, urmând acest ghid complet despre securitatea WordPress și utilizarea unuia dintre cele mai bune pluginuri de securitate WordPress – MalCare, care vă va proteja site-ul non-stop. Vă oferă acces la rapoarte obișnuite de scanare și puteți implementa, de asemenea, măsurile recomandate de consolidare WordPress. În acest fel, site-ul dvs. WordPress va fi extrem de greu de accesat!


 Păstrați-vă site-ul protejat cu pluginul nostru de securitate MalCare !