W artykule:
- 1. Użyj zapory aplikacji internetowej
- 2. Ochrona Hasłem WordPress Admin Directory
- 3. Zawsze Używaj Silnych Haseł
- 4. Użyj weryfikacji dwuetapowej do ekranu logowania WordPress
- 5. Ogranicz Próby Logowania
- 6. Ogranicz dostęp logowania do adresów IP
- 7. Wyłącz Wskazówki Logowania
- 8. Wymaganie od użytkowników używania silnych haseł
- 9. Zresetuj hasło dla wszystkich użytkowników
- 10. Aktualizuj WordPress
- 11. Tworzenie niestandardowych stron logowania i rejestracji
- 12. Dowiedz się więcej o rolach i uprawnieniach użytkowników WordPress
- 13. Ogranicz Dostęp Do Pulpitu Nawigacyjnego
- 14. Wyloguj bezczynnych użytkowników
Czy widzisz wiele ataków na obszar administracyjny WordPress? Ochrona obszaru administracyjnego przed nieautoryzowanym dostępem pozwala zablokować wiele typowych zagrożeń bezpieczeństwa. W tym artykule pokażemy Ci kilka ważnych wskazówek i hacków, aby chronić swój obszar administracyjny WordPress.
1. Użyj zapory aplikacji internetowej
Zapora sieciowa lub WAF monitoruje ruch w witrynie i blokuje podejrzane żądania przed dotarciem do witryny.
Chociaż istnieje kilka wtyczek zapory WordPress, zalecamy korzystanie z Sucuri. Jest to usługa bezpieczeństwa i monitorowania witryny, która oferuje oparty na chmurze WAF, aby chronić Twoją witrynę.
Cały ruch w Twojej witrynie przechodzi najpierw przez serwer proxy w chmurze, gdzie analizuje każde żądanie i blokuje podejrzane, aby nigdy nie dotarły do twojej witryny. Zapobiega to próbom hakowania, phishingowi, złośliwemu oprogramowaniu i innym złośliwym działaniom.
Aby uzyskać więcej informacji, zobacz, jak Sucuri pomógł nam zablokować 450 000 ataków w ciągu jednego miesiąca.
2. Ochrona Hasłem WordPress Admin Directory
Twój obszar administracyjny WordPress jest już chroniony hasłem WordPress. Jednak dodanie ochrony hasłem do katalogu administratora WordPress dodaje kolejną warstwę zabezpieczeń do twojej witryny.
Najpierw zaloguj się do pulpitu WordPress hosting cPanel, a następnie kliknij ikonę „Ochrona katalogów hasłem” lub „Prywatność katalogu”.
Następnie musisz wybrać folder wp-admin, który zwykle znajduje się w katalogu /public_html/.
Na następnym ekranie, trzeba zaznaczyć pole obok 'hasło chronić ten katalog’ opcja i podać nazwę chronionego katalogu.
Następnie kliknij przycisk Zapisz, aby ustawić uprawnienia.
Następnie musisz nacisnąć przycisk Wstecz, a następnie utworzyć użytkownika. Zostaniesz poproszony o podanie nazwy użytkownika / hasła, a następnie kliknij przycisk Zapisz.
Teraz, gdy ktoś próbuje odwiedzić WordPress admin lub katalog wp-admin na swojej stronie internetowej, zostanie poproszony o wprowadzenie nazwy użytkownika i hasła.
Aby uzyskać bardziej szczegółowe instrukcje, zobacz nasz przewodnik na temat ochrony hasłem WordPress admin (wp-admin) katalog.
3. Zawsze Używaj Silnych Haseł
Zawsze używaj silnych haseł dla wszystkich kont online, w tym witryny WordPress. W hasłach zalecamy stosowanie kombinacji liter, cyfr i znaków specjalnych. Utrudnia to hakerom odgadnięcie hasła.
Często jesteśmy pytani przez początkujących, jak zapamiętać wszystkie te hasła. Najprostszą odpowiedzią jest to, że nie musisz. Istnieje kilka naprawdę świetnych aplikacji do zarządzania hasłami, które można zainstalować na komputerze i telefonach.
Aby uzyskać więcej informacji na ten temat, zobacz nasz przewodnik na temat najlepszego sposobu zarządzania hasłami dla początkujących WordPress.
4. Użyj weryfikacji dwuetapowej do ekranu logowania WordPress
Weryfikacja dwuetapowa dodaje kolejną warstwę zabezpieczeń do haseł. Zamiast używać samego hasła, poprosi o wprowadzenie kodu weryfikacyjnego wygenerowanego przez aplikację Google Authenticator na telefonie.
Nawet jeśli ktoś jest w stanie odgadnąć Twoje hasło WordPress, nadal będzie potrzebował kodu Google Authenticator, aby się dostać.
Szczegółowe instrukcje krok po kroku znajdziesz w naszym przewodniku, jak skonfigurować weryfikację dwuetapową w WordPress za pomocą Google Authenticator.
5. Ogranicz Próby Logowania
Domyślnie WordPress pozwala użytkownikom wprowadzać hasła tyle razy, ile chcą. Oznacza to, że ktoś może próbować odgadnąć hasło WordPress, wprowadzając różne kombinacje. Umożliwia również hakerom używanie automatycznych skryptów do łamania haseł.
Aby to naprawić, musisz zainstalować i aktywować wtyczkę login LockDown. Po aktywacji przejdź do wizyty Ustawienia ” Blokada Logowania strona konfiguracji ustawień wtyczki.
Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik, dlaczego należy ograniczyć próby logowania w WordPress.
6. Ogranicz dostęp logowania do adresów IP
Innym świetnym sposobem na zabezpieczenie logowania WordPress jest ograniczenie dostępu do określonych adresów IP. Ta wskazówka jest szczególnie przydatna, jeśli ty lub tylko kilku zaufanych użytkowników potrzebujesz dostępu do obszaru administracyjnego.
Po prostu dodaj ten kod do swojego .plik htaccess.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName"WordPress Admin Access Control" AuthType Basic < LIMIT GET> order deny, allow zaprzecz wszystkim # whitelist adres IP Syeda Zezwalaj od xx. xx. xx. xxx # whitelist adres IP Davida Zezwalaj od xx. xx. xx. xxx < / LIMIT>
Nie zapomnij zastąpić wartości xx własnym adresem IP. Jeśli używasz więcej niż jednego adresu IP, aby uzyskać dostęp do Internetu, upewnij się, że je również dodałeś.
Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik, Jak ograniczyć dostęp do WordPress admin za pomocą.htaccess.
7. Wyłącz Wskazówki Logowania
Podczas nieudanej próby logowania WordPress pokazuje błędy, które informują użytkowników, czy ich nazwa użytkownika była nieprawidłowa, czy hasło. Te wskazówki logowania mogą być używane przez kogoś do złośliwych prób.
Możesz łatwo ukryć te wskazówki logowania, dodając ten kod do funkcji szablonu.plik php lub wtyczka specyficzna dla witryny.
function no_wordpress_errors () { return ' coś jest nie tak!'; } add_filter ('login_errors', 'no_wordpress_errors');
8. Wymaganie od użytkowników używania silnych haseł
Jeśli prowadzisz witrynę WordPress z wieloma autorami, ci użytkownicy mogą edytować swój profil i używać słabego hasła. Hasła te mogą zostać złamane i dać komuś dostęp do obszaru administracyjnego WordPress.
Aby to naprawić, możesz zainstalować i aktywować wtyczkę Force Strong Passwords. Działa po wyjęciu z pudełka i nie ma żadnych ustawień do skonfigurowania. Po aktywacji uniemożliwi użytkownikom zapisywanie słabszych haseł.
Nie sprawdzi siły hasła dla istniejących kont użytkowników. Jeśli użytkownik używa już słabego hasła, będzie mógł nadal używać swojego hasła.
9. Zresetuj hasło dla wszystkich użytkowników
Martwisz się o bezpieczeństwo haseł w witrynie WordPress dla wielu użytkowników? Możesz łatwo poprosić wszystkich użytkowników o zresetowanie haseł.
Najpierw musisz zainstalować i aktywować wtyczkę resetowania hasła awaryjnego. Po aktywacji przejdź do wizyty Awaryjne Resetowanie Hasła Użytkowników stronę i kliknij przycisk „Zresetuj wszystkie hasła”.
Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik jak zresetować hasła dla wszystkich użytkowników w WordPress
10. Aktualizuj WordPress
WordPress często wydaje nowe wersje oprogramowania. Każda nowa wersja WordPress zawiera ważne poprawki błędów, nowe funkcje i poprawki zabezpieczeń.
Korzystanie ze starszej wersji WordPress w swojej witrynie pozostawia otwarte na znane exploity i potencjalne luki. Aby to naprawić, musisz upewnić się, że używasz najnowszej wersji WordPress. Aby uzyskać więcej informacji na ten temat, zobacz nasz przewodnik, dlaczego zawsze należy korzystać z najnowszej wersji WordPress.
Podobnie wtyczki WordPress są często aktualizowane, aby wprowadzić nowe funkcje lub naprawić zabezpieczenia i inne problemy. Upewnij się, że wtyczki WordPress są również aktualne.
11. Tworzenie niestandardowych stron logowania i rejestracji
Wiele witryn WordPress wymaga rejestracji użytkowników. Na przykład witryny członkowskie, witryny zarządzania szkoleniami lub sklepy internetowe wymagają od użytkowników utworzenia konta.
Jednak ci użytkownicy mogą korzystać ze swoich kont, aby zalogować się do obszaru administracyjnego WordPress. Nie jest to duży problem, ponieważ będą mogli robić rzeczy dozwolone tylko przez ich rolę i możliwości użytkownika. Powstrzymuje cię jednak przed prawidłowym ograniczeniem dostępu do stron logowania i rejestracji, ponieważ potrzebujesz tych stron, aby użytkownicy mogli się zarejestrować, zarządzać swoim profilem i zalogować.
Łatwym sposobem na naprawienie tego jest utworzenie niestandardowych stron logowania i rejestracji, dzięki czemu użytkownicy mogą rejestrować się i logować bezpośrednio z twojej witryny.
Szczegółowe instrukcje krok po kroku znajdziesz w naszym przewodniku dotyczącym tworzenia niestandardowych stron logowania i rejestracji w WordPress.
12. Dowiedz się więcej o rolach i uprawnieniach użytkowników WordPress
WordPress jest wyposażony w potężny system zarządzania użytkownikami o różnych rolach i możliwościach użytkownika. Podczas dodawania nowego Użytkownika do witryny WordPress możesz wybrać dla niego rolę użytkownika. Ta rola użytkownika określa, co mogą zrobić w Twojej witrynie WordPress.
Przypisanie nieprawidłowej roli użytkownika może dać ludziom więcej możliwości, niż potrzebują. Aby tego uniknąć, musisz zrozumieć, jakie możliwości mają różne role użytkowników w WordPress. Aby uzyskać więcej informacji na ten temat, zobacz nasz przewodnik dla początkujących dotyczący ról i uprawnień użytkowników WordPress.
13. Ogranicz Dostęp Do Pulpitu Nawigacyjnego
Niektóre witryny WordPress mają pewnych użytkowników, którzy potrzebują dostępu do Pulpitu Nawigacyjnego, a niektórzy użytkownicy, którzy tego nie robią. domyślnie jednak wszyscy mogą uzyskać dostęp do obszaru administracyjnego.
Aby to naprawić, musisz zainstalować i aktywować wtyczkę Usuń dostęp do Pulpitu Nawigacyjnego. Po aktywacji przejdź do Ustawienia ” Dostęp Do Pulpitu Nawigacyjnego strona i wybierz, które role użytkowników będą miały dostęp do obszaru administracyjnego w Twojej witrynie.
Aby uzyskać bardziej szczegółowe instrukcje, zobacz nasz przewodnik, Jak ograniczyć dostęp do Pulpitu Nawigacyjnego w WordPress.
14. Wyloguj bezczynnych użytkowników
WordPress nie wylogowuje automatycznie użytkowników, dopóki wyraźnie się nie wylogują lub nie zamkną okna przeglądarki. Może to być problemem dla witryn WordPress z poufnymi informacjami. Dlatego strony internetowe i aplikacje instytucji finansowych automatycznie wylogowują użytkowników, jeśli nie byli aktywni.
Aby to naprawić, możesz zainstalować i aktywować wtyczkę bezczynnego wylogowania użytkownika. Po aktywacji przejdź do Ustawienia ” Bezczynne Wylogowanie Użytkownika strony i wprowadź czas, po którym chcesz, aby użytkownicy byli automatycznie wylogowywani.
Aby uzyskać więcej informacji, zobacz nasz artykuł na temat automatycznego wylogowywania bezczynnych użytkowników w WordPress.
Mamy nadzieję, że ten artykuł pomógł Ci nauczyć się nowych wskazówek i hacków, aby chronić swój obszar administracyjny WordPress. Możesz również zobaczyć nasz najlepszy przewodnik bezpieczeństwa krok po kroku WordPress dla początkujących.
Jeśli podoba Ci się ten artykuł, zasubskrybuj nasz kanał YouTube dla samouczków wideo WordPress. Znajdziesz nas również na Twitterze i Facebooku.