Руководство по обеспечению безопасности администратора WordPress — MalCare

Опубликовано: 2023-04-13

Безопасный администратор WordPress: знаете ли вы, что каждую минуту в день совершается более 90 000 попыток взлома веб-сайтов WordPress? Это означает, что попытки взлома ваших веб-сайтов неизбежны независимо от того, является ли сайт большим или маленьким. Безопасность является одной из главных проблем для веб-сайта.

Хакеры прибегают к различным методам взлома веб-сайта WordPress, и атака методом грубой силы является одним из таких методов. Это включает в себя опробование комбинации часто используемых имени пользователя и паролей на странице входа на веб-сайт.

Успешная атака грубой силы дает вам доступ к администратору WordPress. Административная область WordPress — это административный центр веб-сайта, работающего на WordPress. Любой, у кого есть полный доступ к админке, будет иметь полный контроль над сайтом. Следовательно, важно защитить администратора WordPress от атак грубой силы.

Как защитить администратора WordPress?

Мы придумали ряд методов, которые помогут вам обезопасить администратора WordPress вашего сайта от попыток взлома.

1. Используйте надежные пароли

Одна из самых распространенных ошибок, которую совершают владельцы веб-сайтов, — использование слабых паролей. С годами методы взлома паролей совершенствовались. Легко угадываемые пароли взламываются в течение нескольких минут. Надежные пароли помогают защитить ваш сайт от хитрых методов взлома паролей. Вот отличная статья о том, как создавать действительно надежные пароли для вашего сайта WordPress.

Однако запоминание надежных паролей может быть проблемой. В этом посте объясняется, как управлять надежными паролями WordPress .

Еще одна очень распространенная ошибка, которую совершают многие люди, — это использование одного и того же пароля на нескольких сайтах. Когда один пароль скомпрометирован, все учетные записи, связанные с паролем, скомпрометированы. Следовательно, использование разных паролей для учетных записей может помочь избежать этой ситуации.

2. Избегайте использования общего имени пользователя

Защита пароля WordPress — важный шаг к защите учетных данных для входа в WordPress. Вторым компонентом учетных данных для входа является имя пользователя. Если ваше имя пользователя легко угадать, хакеру нужно сосредоточиться только на пароле.

Одним из наиболее распространенных имен пользователей WordPress является «admin». Еще несколько лет назад WordPress автоматически предлагал «admin» в качестве имени пользователя. Хотя WordPress перестал рекомендовать «admin», многие владельцы сайтов все еще используют его. Несколько новых учетных записей пользователей создаются с использованием «admin» в качестве имени пользователя. Все эти веб-сайты делают себя легкой мишенью.

Поскольку WordPress не требует использования уникальных имен пользователей, вам необходимо убедиться, что ни один из ваших пользователей не использует общие имена пользователей и не создается новая учетная запись с «admin». Взгляните на этот исчерпывающий список часто используемых имен пользователей , чтобы знать, каких имен пользователей следует избегать.

3. Скройте страницу входа в WordPress

Веб-сайты WordPress работают заранее определенным образом. Например, все веб-сайты WordPress поставляются со страницей входа по умолчанию, которая выглядит примерно так:«www.anysite.com/wp-admin».Это упрощает работу хакера, поскольку он может запустить автоматическую атаку на несколько целевых сайтов WordPress одновременно. Но если вы скроете страницу входа, изменив ее, вы сможете предотвратить подобные атаки на свой сайт.

Существует множество плагинов, которые можно использовать для изменения страницы входа и использования URL-адреса, который предлагает вам плагин. Вполне вероятно, что другие веб-сайты, использующие тот же плагин, используют тот же URL-адрес. И если хакеры знают формат URL, сокрытие вашей страницы входа ничего не даст. Следовательно, используйте инструмент, который позволит вам создать собственный URL-адрес страницы входа.

4. Реализуйте HTTP-аутентификацию

Чтобы защитить администратора WordPress, вы можете защитить паролем всю папку wp-admin. Папка wp-admin содержит административные файлы, которые управляют панелью инструментов WordPress. Любой, у кого есть доступ к этой папке, может контролировать весь сайт. Если ваш пароль защищает всю папку, каждый раз, когда кто-то запрашивает раздел администратора, сервер запускает процесс аутентификации. Браузер запросит у пользователя пароль аутентификации HTTP. Существует множество инструментов, которые вы можете использовать для реализации HTTP-аутентификации в админке WordPress, например, HTTP Auth , AskApache Password Protect и т. д.

Безопасный администратор WordPress
HTTP-аутентификация включена на нашей странице входа в WordPress

5. Используйте Google Authenticator

Поскольку методы взлома веб-сайтов в наши дни становятся все более и более изощренными, обычно добавляют еще один уровень защиты входа в систему вместе с надежными учетными данными пользователя. Этот метод называется двухфакторной аутентификацией (2FA). Метод включает в себя отправку кода, который только вы можете получить на свой смартфон. Прежде чем вы получите доступ к панели управления WordPress, вам необходимо ввести уникальный код на своем сайте. Преимущества такого подхода заключаются в том, что даже если хакерам удастся взломать ваши учетные данные, им все равно потребуется код, отправленный исключительно на ваше устройство.

Безопасный администратор WordPress
Нам пришлось ввести код доступа, отправленный на ваш смартфон, чтобы получить доступ к нашей панели инструментов WordPress.

Существует множество плагинов WordPress, которые вы можете использовать для двухфакторной аутентификации. Мы включили 2FA на нашем сайте с помощью Mini Orange для защиты администратора WordPress и написали руководство по тому же самому.

6. Ограничение количества неудачных попыток входа в систему

Веб-сайты, подвергшиеся брутфорс-атакам, сталкиваются с сотнями неудачных попыток входа в систему. Чтобы предотвратить этот безжалостный натиск на вашего администратора WordPress, вы можете ограничить количество неудачных попыток входа на свой сайт. Плагин безопасности MalCare предотвращает попытки пользователей войти в систему после 3 неудачных попыток входа в систему. Они должны решить CAPTCHA, прежде чем им снова будет разрешен доступ к странице входа в WordPress. Это помогает определить, является ли пользователь человеком или автоматизированным ботом, пытающимся выполнить атаку грубой силы на сайте.

Безопасный администратор WordPress
Боты не могут обходить CAPTCHA на основе изображений

7. Установите SSL-сертификат

Посмотрите на наш сайт URL! Вы видите зеленый замок со словом «Secure» рядом с ним? На нашем сайте установлен SSL-сертификат, а это значит, что никто не может подглядывать и читать учетные данные наших пользователей. Веб-сайт без SSL-сертификата рискует непреднамеренно раскрыть конфиденциальную информацию сайта.

Безопасный администратор WordPress
SSL-сертификат установлен на этом сайте

В старые времена SSL-сертификаты предназначались либо для платежных страниц, либо для областей администрирования WordPress. Но теперь SSL-сертификат может помочь защитить весь ваш сайт. Стремясь сделать Интернет более безопасным, Google четко заявил, что SSL-сертификаты являются фактором ранжирования . Вы можете получить SSL-сертификат у таких поставщиков, как Comodo , Let's Encrypt , и ваш веб-хостинг поможет настроить сертификат на вашем сайте.

8. Черный список вредоносных IP-адресов

Каждый, кто пользуется Интернетом, имеет IP-адрес. Даже хакеры, запускающие атаки на сайты WordPress, имеют IP-адрес. Если вы ведете учет этих IP-адресов, вы можете заблокировать им доступ к вашему сайту. MalCare — один из лучших плагинов безопасности WordPress, который предлагает подробную информацию (IP-адреса) о неудачных попытках входа на сайт. Если вы заметили, что с одних и тех же IP-адресов почти регулярно предпринимается множество неудачных попыток, вы можете заблокировать доступ этих подозрительных IP-адресов к своим веб-сайтам, просто поместив следующие коды в наш файл .htaccess:

 порядок разрешить, запретить

запретить с 192.168.20.10

разрешить от всех

«192.168.20.10» — это IP-адрес, который мы хотели заблокировать на одном из наших сайтов. Вы можете заменить его IP-адресом, который хотите заблокировать.

9. Изменить ключи безопасности

Вам не нужно вводить свои учетные данные каждый раз, когда вам нужно войти на свой сайт. Вы когда-нибудь задумывались, как ваш браузер хранит эти учетные данные? После того, как вы войдете в свою учетную запись, ваша информация для входа будет храниться в зашифрованном виде в файле cookie браузера. Ключи безопасности — это просто случайные переменные, которые помогают улучшить это шифрование. Если ваш сайт взломан, изменение секретных ключей приведет к аннулированию файлов cookie и заставит каждого активного пользователя автоматически выйти из системы. После выбрасывания хакер теряет доступ к вашему администратору WordPress.

Безопасный администратор WordPress
Изменение ключей безопасности с помощью службы безопасности MalCare

к вам

Не существует единого способа защитить администратора WordPress, поэтому обязательно используйте несколько методов. Мы поделились с вами некоторыми из наиболее рекомендуемых способов защиты администратора WordPress. Но прежде чем применять любой из этих методов, вы должны сделать резервную копию своего сайта . Если что-то пойдет не так, вы можете просто восстановить резервную копию и быстро запустить наш сайт.

Помимо этого, вы можете принять еще несколько мер безопасности, таких как блокировка IP-адресов, защита страницы входа, защита сайта с помощью wp-config.php, следуя этому полному руководству по безопасности WordPress и установив плагин безопасности WordPress, такой как MalCare.

MalCare поможет вам реализовать некоторые меры, упомянутые выше. Например, плагин безопасности MalCare поможет вам изменить ключи безопасности, ограничить количество неудачных попыток входа в систему, поддерживать актуальность вашего веб-сайта и многое другое.

Попробуйте плагин безопасности MalCare прямо сейчас!