Безопасность входа в WordPress: 5 простых шагов для защиты страницы входа

Хотите знать, стоит ли вам беспокоиться о безопасности входа в WordPress?

WordPress — самая популярная в мире CMS, потому что с ее помощью очень легко создать веб-сайт. Хотя это бесплатная CMS, за нее нужно платить. WordPress чрезвычайно предсказуем, что иногда делает его легкой мишенью.

Возьмем, к примеру, страницу входа.

Каждый веб-сайт WordPress имеет одну и ту же страницу входа (/wp-admin.com или /wp-login.php). Объедините предсказуемость со склонностью людей к использованию слабых учетных данных, и страница станет заманчивой мишенью для хакеров.

Эксперты по безопасности говорят, что страница входа в систему — самая уязвимая страница на веб-сайте. Каждый день хакеры развертывают ботов для проведения атак методом грубой силы на этой странице. Выяснив ваши учетные данные для входа, они могут легко получить доступ к вашей CMS. Итак, вы должны сделать все, что в ваших силах, чтобы защитить его от этих непрошеных гостей.

В этой статье мы покажем вам пять продвинутых методов повышения безопасности входа в WordPress и предотвращения взлома.

Как защитить страницу входа в WordPress в 2022 году

В сфере кибербезопасности существует множество плохих советов. Большинство из них направлено на то, чтобы вогнать людей в страх и заставить их поддаться навязчивому выбору. Вместо того, чтобы добавлять шума, в этой статье мы покажем вам методы, которые действительно работают. Это:

Вы, должно быть, заметили, что мы не включили принудительное использование надежных паролей и установку SSL-сертификатов. Это потому, что это данность. Мы надеемся, что вы уже используете их. Смотрите другие наши руководства о том, как это сделать.

Примечание. Для выполнения мер, которые мы упомянули ниже, вам необходимо установить один или два плагина. И мы знаем, что даже самые лучшие плагины могут привести к поломке. Поэтому сделайте резервную копию своего сайта, прежде чем продолжить.

Теперь давайте начнем:

1. Изменить URL-адрес страницы входа

Как мы уже говорили в начале статьи, страница входа в WordPress по умолчанию выглядит так:

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

Все это знают, включая хакеров, которые создают ботов, нацеленных на страницы входа в WordPress. А поскольку 59 % американцев [1] используют слабые пароли, слишком просто взломать веб -сайт путем перебора страницы входа .

Один из способов защитить вашу страницу входа — изменить URL-адрес.

Создать новый настраиваемый URL-адрес страницы входа очень просто. Существует ряд доступных плагинов, которые позволяют сделать это за пару кликов.

Мы будем использовать плагин WPS Hide Login для демонстрации процесса, но если вы предпочитаете любой из других плагинов, продолжайте. Шаги будут одинаково легкими и быстрыми.

Как изменить URL-адрес входа в WordPress

Установите и активируйте WPS Hide Login. Перейдите в «Настройки» → «Скрыть вход в WPS» .

Прокрутите страницу вниз, вставьте новый URL-адрес в раздел « URL-адрес входа » и нажмите « Сохранить изменения ».

Попробуйте войти с новым URL. Не забудьте поделиться им с товарищами по команде.

Если вам нужна помощь, вот наше специальное руководство: как изменить URL-адрес страницы входа в WordPress.

2. Внедрите двухфакторную аутентификацию

Вы, должно быть, сталкивались с двухфакторной аутентификацией при использовании Facebook и Gmail. Службы обычно отправляют уникальный код на ваш зарегистрированный номер мобильного телефона всякий раз, когда вы пытаетесь войти в свою учетную запись. Эта мера безопасности реализована, чтобы гарантировать, что только владелец учетной записи может получить к ней доступ. Даже если хакеры смогут получить ваши учетные данные, они не смогут украсть уникальный код, отправленный на ваш зарегистрированный номер мобильного телефона.

Двухфакторная аутентификация также может быть применена к вашему веб-сайту WordPress. Это добавит уровень безопасности на страницу входа. Все, что вам нужно сделать, это установить любой из следующих плагинов:

• Google Authenticator от miniOrange
• Google Authenticator — двухфакторная аутентификация (2FA)
• WP 2FA от WP White Security

Настроить плагин двухфакторной аутентификации очень просто. Мы будем использовать Google Authenticator miniOrange, чтобы показать вам процесс установки.

Как реализовать двухфакторную аутентификацию

Установите Google Authenticator miniOrange на страницу входа в WordPress. Как только вы активируете плагин, появится виджет настройки. Выберите первый вариант, т.е. Google Authenticator .

Затем загрузите приложение Google Authenticator на свой смартфон. Откройте приложение и отсканируйте QR-код .

Приложение генерирует код . Введите его в виджет настройки и нажмите « Сохранить ».

2FA безопасность входа в WordPress теперь активна на вашей странице входа.

3. Ограничьте количество неудачных попыток входа в систему

WordPress разрешает своим пользователям неограниченное количество попыток входа в систему. Это может показаться безобидным, но, честно говоря, это вопиющая лазейка в системе безопасности.

Неограниченное количество попыток входа в систему позволяет хакерам проводить атаки методом грубой силы. В этом типе атаки хакеры используют ботов, чтобы найти правильную комбинацию имени пользователя и пароля. Боты терпят неудачу несколько раз, прежде чем случайно находят правильные учетные данные. Один из наиболее эффективных способов противодействия атакам ботов — ограничение попыток входа в систему.

Плагины ниже помогут вам сделать это:

• Ограничить количество попыток входа в систему
• Вход с ограничением WPS
• Ограничение попыток входа в WP Аршидом

Как ограничить неудачные попытки входа в систему

Установите плагин и перейдите в « Ограничение попыток входа» → «Настройки» → «Локальное приложение» . Здесь вы можете указать, сколько попыток входа должно быть разрешено на вашем веб-сайте. И как долго кто-то будет оставаться заблокированным после указанного количества попыток входа в систему.

4. Предотвратить обнаружение имени пользователя

Как правило, имя пользователя считается менее важным, чем пароль. Это общедоступная запись, и поэтому мы предполагаем, что она должна иметь низкую ценность. Не правда.

Имя пользователя составляет половину ваших учетных данных. Он должен быть защищен, как и пароль.

На веб-сайте WordPress вы найдете имена пользователей, отображаемые в сообщениях и архивах авторов. К счастью, есть способ отключить их обоих.

Как отключить авторские архивы

Это можно сделать с помощью любого SEO-плагина. В приведенном ниже руководстве мы используем Yoast SEO, чтобы показать это.

Перейдите в SEO → Внешний вид поиска → Архивы и отключите авторские архивы. Нажмите Сохранить изменения .

Как изменить отображаемое имя

Отображаемое имя отображается в опубликованных статьях и комментариях. По умолчанию отображаемое имя и имя пользователя (которое вы используете для входа в систему) совпадают. Чтобы предотвратить обнаружение имени пользователя, вы можете изменить отображаемое имя на другое.

Перейдите в раздел « Пользователи» → «Профиль» → «Псевдоним ». Вы не можете напрямую изменить отображаемое имя. Вместо этого измените псевдоним. Затем выберите новый псевдоним из раскрывающегося меню ниже.

5. Автоматический выход

Автоматический выход из системы защищает веб-сайты от шпионов. Когда пользователи оставляют сеансы без присмотра, автоматический выход завершает сеанс, защищая веб-сайт.

Поведение WordPress по умолчанию — выход пользователя из системы через 48 часов после истечения срока действия файла cookie сеанса входа. И если пользователь установил флажок «Запомнить меня», вы останетесь в системе в течение 14 дней. Для прекращения сеансов из-за небольшого простоя необходимо установить отдельный плагин.

Плагины ниже помогут вам автоматически выйти из системы, чтобы завершить сеансы бездействующих пользователей:

• Неактивный Выход
• Безопасность iThemes

Как включить автоматический выход

Активируйте плагин и перейдите в « Настройки» → «Неактивный выход» → «Основное управление» . Установите часы на тайм-аут простоя. Существуют также варианты тайм-аутов на основе ролей. Проверьте это, если хотите.

Заключение о безопасности входа в WordPress

Несмотря на то, что вы предприняли меры для предотвращения взлома вашего веб-сайта хакерами, злоумышленники все равно могут получить доступ через уязвимые темы и плагины. Поэтому держите свой сайт в актуальном состоянии круглосуточно.

Чтобы еще больше обезопасить свой веб-сайт, мы настоятельно рекомендуем вам принять все меры безопасности, описанные в этом руководстве: 10 ключевых советов по безопасности WordPress.

Если у вас есть какие-либо вопросы о том, как обеспечить безопасность входа в WordPress, сообщите нам об этом в комментариях ниже.