10 превосходных советов по защите административной области WordPress

Опубликовано: 2022-07-12

Согласно отчету о взломанных веб-сайтах за 2016 год, среди 8000 зараженных веб-сайтов, известных Sucuri, 74% основаны на WordPress.

Злоумышленники используют различные методы для атаки на ваш сайт WordPress. Панель администратора будет наиболее уязвимой целью. Это как центр вашего сайта, содержащий важные данные. Взломав вашу панель администратора, они предпримут опасные действия, которые нанесут значительный ущерб вашему сайту.

Чтобы эффективно предотвращать подозрительные атаки, вам необходимо защитить администратора WordPress. Наша сегодняшняя статья посвящена 10 способам сузить область входа в систему. Прежде чем углубляться в детали, давайте кратко объясним некоторые причины для защиты вашего входа в систему с правами администратора.

Зачем защищать администратора WordPress

Говоря об эксплойтах веб-сайтов, мы определенно думаем о хакерах, взламывающих ваш сервер с помощью сложных компьютерных систем.

На самом деле процесс намного проще. Они могут просто получить доступ к серверной части вашего сайта и контролировать его. Затем вы страдаете от последствий потери данных, сталкиваетесь с юридическими проблемами и тратите деньги на очистку веб-сайта.

В большинстве случаев хакеры оставляют вредоносное ПО на вашем сайте, чтобы украсть учетные данные клиентов, такие как номера телефонов или данные кредитной карты. Как только эта личная информация будет украдена, ваши клиенты не только потеряют деньги и будут обеспокоены, но и нанесут ущерб репутации вашего бренда.

Покупатели никогда не вернутся в ваш интернет-магазин для покупки, так как они не уверены, что их информация полностью защищена. Вы также можете быть втянуты в судебный процесс из-за недостаточно тщательной защиты данных клиентов.

Кроме того, очистка веб-сайта из-за кибератаки обходится дорого. Вы должны нанять службы поддержки WordPress, чтобы справиться с этим.

Существует несколько методов, которые вы можете применить для защиты администратора WordPress. Ниже приведены 10 самых простых решений для любого владельца сайта, от неспециалиста до технически подкованного человека.

#1 Изменить имя пользователя администратора по умолчанию

WordPress назначает admin всем именам пользователей по умолчанию для веб-сайтов. И киберпреступники это точно знают. Они легко угадывают ваш пароль для входа на ваш сайт. Они могут либо приобрести его где-то, либо попытаться атаковать грубой силой.

Вы должны взять другое имя пользователя, а не admin , чтобы защитить логин администратора. К счастью, изменить имя пользователя в WordPress несложно.

  1. Посетите пользователей в меню администратора вашего сайта
  2. Выберите « Все пользователи» и откройте профиль администратора.
    КПК-все пользователи
  3. Обновите имя пользователя и пароль
  4. Сохраните изменения

# 2 Используйте надежные пароли для защиты администратора WordPress

Подсчитано, что 8% взломанных сайтов WordPress основаны на слабых паролях. Так что имейте в виду, чтобы использовать надежный пароль для вашей учетной записи. Пароль должен содержать не менее 8 символов, состоящих из букв, цифр и специальных символов. Вы можете ввести новый пароль прямо на странице « Пользователи », где вы меняете имя пользователя.

Генераторы паролей очень помогают вам в создании случайных и надежных паролей. Просто выберите элементы, которые вы хотите включить в пароль, и позвольте инструменту выполнить эту работу.

Однако запоминание всех ваших паролей болезненно, поскольку у вас есть тонны паролей и учетных записей, которыми нужно управлять. К счастью, у вас под рукой есть приложения для управления паролями, которые помогут вам безопасно хранить пароли, не беспокоясь о том, что их взломают.

# 3 Создайте собственный URL-адрес для входа

Помимо имени пользователя, WordPress также предоставляет вам ссылку для входа по умолчанию, добавляя /wp-login.php к домену веб-сайта. Например, www.example.com/wp-login.php . Если вы оставите и URL-адрес для входа по умолчанию, и имя пользователя, хакеры на полпути получат доступ к администратору вашего сайта.

Хотя вы можете создать собственный URL-адрес входа администратора, отредактировав файл wp-login.php, мы настоятельно рекомендуем использовать плагин. Вам не нужно трогать сервер или вносить изменения в файлы и папки, которые могут разрушить сайт.

Учитывайте WPS Hide Login при выборе плагина для настройки ссылки для входа в WordPress. Плагин завоевывает доверие более 1 миллиона пользователей по всему миру и до сих пор является самым популярным решением в этой нише.

Выполните 4 шага ниже, чтобы начать работу с плагином.

  1. Установите и активируйте WPS Hide Login на своем сайте
  2. Перейдите в Настройки в меню администратора
  3. Выберите WPS Скрыть логин
  4. Введите новую ссылку для входа в поле URL-адрес для входа.

Не забудьте сохранить изменения. После этого только пользователи с новой ссылкой для входа и правильными данными учетной записи смогут попасть на вашу страницу администратора.

#4 Защита паролем папки wp-admin

Папка wp-admin состоит из важных административных файлов, расположенных в корневом каталоге. Вы можете создать дополнительный уровень безопасности для своего администратора, защитив паролем эту папку wp-admin.

  1. Войдите в cPanel вашего хостинга или подключитесь к FTP-клиенту.
  2. Нажмите «Защитить каталоги паролем » или «Конфиденциальность каталога ».
    pda-защита-паролем-каталог
  3. Найдите папку wp-admin в каталоге /public_html/
  4. Включите опцию Защитить этот каталог паролем
  5. Введите имя пользователя и пароль
    pda-имя-пароль-каталог
  6. Нажмите Сохранить

Это то, что пользователи видят каждый раз, когда пытаются получить вашу страницу администратора WordPress. Они должны ввести правильное имя пользователя и пароль для прохождения первого уровня аутентификации перед отправкой учетных данных администратора.

pda-admin-аутентификация

#5 Сброс паролей для всех пользователей

Еще один способ защитить администратора WordPress — заставить каждого пользователя сбросить свои пароли, особенно на многопользовательских веб-сайтах. Чтобы быстро добиться этого, вам понадобится помощь плагина Emergency Password Reset.

После активации он позволит администраторам сбрасывать пароли и автоматически отправлять им ссылку для сброса по электронной почте одним щелчком мыши. Выполните следующие шаги:

  1. Установите плагин аварийного сброса пароля
  2. Перейдите в раздел « Пользователи » → « Экстренный сброс пароля».
    pda-аварийный-сброс-пароля
  3. Нажмите кнопку Сбросить все пароли

Вот и все!

#6 Ограничьте количество попыток входа в систему

WordPress позволяет пользователям вводить данные для входа столько раз, сколько им нужно, пока они не получат доступ к вашей области администратора. Тем не менее, этот вариант дает хакерам возможность атаковать ваш сайт методом грубой силы.

У этих злонамеренных пользователей часто есть библиотека паролей из самых распространенных. Хакеры будут использовать автоматизированный сценарий и перебирать тысячи потенциальных паролей.

Чтобы снизить риск, вы можете ограничить количество попыток входа в систему с помощью плагина Wordfence Security. Это больше, чем просто плагин для предотвращения атак методом грубой силы, который отвечает за безопасность сайта и брандмауэр WordPress. Мы обсудим полезность этого плагина в следующих разделах.

  1. Установите и активируйте плагин Wordfence Security для своего сайта.
  2. Откройте Wordfence и выберите « Все параметры ».
    pda-wordfence-enable-brute-force-attack
  3. Включите Включить защиту от перебора в разделе «Параметры брандмауэра».
  4. Введите время, в течение которого пользователям разрешено отправлять информацию о неудачном входе в систему.

Если они могут войти в систему, даже если они достигли максимального количества попыток, плагин немедленно заблокирует их IP-адрес.

# 7 Ограничьте доступ к входу в систему по IP-адресам

Этот метод удобен, если у вас есть несколько пользователей, которым нужен доступ к вашей админке. Это требует, чтобы вы отредактировали файл .htaccess через протокол передачи файлов (FTP) или файловый менеджер вашего веб-хостинга.

Добавьте код ниже в файл:

 AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Контроль доступа администратора WordPress"
Основной тип авторизации
<ОГРАНИЧЕНИЕ ПОЛУЧИТЬ>
запретить заказ, разрешить
отрицать от всех
# белый список IP-адресов
разрешить от xx.xx.xx.xxx
</ОГРАНИЧЕНИЕ>

Замените xx.xx.xx.xxx реальным IP-адресом.

Изменение файла .htaccess очень опасно. Не забудьте создать резервную копию своего сайта перед редактированием файла .htaccess. Таким образом, вы можете отменить предыдущую версию, если с сайтом произойдет что-то не так.

#8 Настройте двухфакторную аутентификацию

Двухфакторная аутентификация (2FA) позволяет вам добавить дополнительный уровень безопасности к вашему администратору WordPress. Например, введите защитный код, отправленный на ваше мобильное устройство, или используйте идентификатор лица.

Если вы установили подключаемый модуль Wordfence, который мы представили выше, вы можете использовать эту функцию без помощи какого-либо дополнительного решения.

  1. Посетите Wordfence и откройте раздел « Безопасность входа ».
  2. Сканируйте QR-коды с помощью приложения-аутентификатора

# 9 Отключить подсказки для входа

Когда пользователям не удается войти в панель администратора, WordPress отображает сообщение об ошибке, информирующее их о том, что их имя пользователя или пароль были неправильными. Это дает пользователям подсказки об учетных данных для входа.

Возьмем пример хакеров, использующих случайное имя пользователя и пароль для доступа к странице администратора. Если они знают одну из деталей, им просто нужно искать другую.

Вы можете остановить это, отредактировав файл functions.php вашей темы. Перейдите в « Внешний вид » → « Редактор тем» → « functions.php » в бэкэнде WordPress. Затем введите следующий код в файл functions.php.

 функция no_wordpress_errors(){
return 'Что-то не так!';
}
add_filter('login_errors', 'no_wordpress_errors');

# 10 Используйте брандмауэр приложения веб-сайта

Брандмауэр никогда не будет старым решением для защиты вашего администратора WordPress. Он отслеживает трафик сайта и блокирует вредоносные запросы от доступа к вашему сайту. Некоторые популярные плагины, которые вы можете попробовать, включают Wordfence, iThemes Security и Sucuri.

Эти плагины не только отпугивают подозрительных пользователей, но и сканируют на наличие вредоносных программ. Существует множество вариантов защиты входа в систему, от предотвращения атак методом перебора, двухфакторной аутентификации, CAPTCHA и т. Д.

Время защитить администратора WordPress

Последствия эксплойтов WordPress разрушительны. Вы потеряете клиентов, репутацию бренда и деньги из-за киберпреступлений с правами администратора.

Профилактика всегда лучше лечения. Вы изучили 10 лучших советов по защите вашей административной области WordPress с помощью плагинов и без них.

Вам потребуется несколько кликов, чтобы изменить имя пользователя и пароль администратора. Вы можете установить плагины для создания пользовательского URL-адреса входа, ограничить количество попыток входа, настроить 2FA и применить брандмауэр. Вы должны использовать код для защиты паролем папки wp-admin, ограничения входа в систему по IP-адресам и отключения подсказок для входа.

Сколько из этих методов вы применили? Поделитесь с нами в разделе комментариев ниже.