Czy widzisz wiele ataków na obszar administracyjny WordPress? Ochrona obszaru administracyjnego przed nieautoryzowanym dostępem pozwala zablokować wiele typowych zagrożeń bezpieczeństwa. W tym artykule pokażemy Ci kilka ważnych wskazówek i hacków, aby chronić swój obszar administracyjny WordPress.

Tips and hacks to protect WordPress admin area

1. Użyj zapory aplikacji internetowej

Zapora sieciowa lub WAF monitoruje ruch w witrynie i blokuje podejrzane żądania przed dotarciem do witryny.

Chociaż istnieje kilka wtyczek zapory WordPress, zalecamy korzystanie z Sucuri. Jest to usługa bezpieczeństwa i monitorowania witryny, która oferuje oparty na chmurze WAF, aby chronić Twoją witrynę.

Website Application Firewall

Cały ruch w Twojej witrynie przechodzi najpierw przez serwer proxy w chmurze, gdzie analizuje każde żądanie i blokuje podejrzane, aby nigdy nie dotarły do twojej witryny. Zapobiega to próbom hakowania, phishingowi, złośliwemu oprogramowaniu i innym złośliwym działaniom.

Aby uzyskać więcej informacji, zobacz, jak Sucuri pomógł nam zablokować 450 000 ataków w ciągu jednego miesiąca.

2. Ochrona Hasłem WordPress Admin Directory

Twój obszar administracyjny WordPress jest już chroniony hasłem WordPress. Jednak dodanie ochrony hasłem do katalogu administratora WordPress dodaje kolejną warstwę zabezpieczeń do twojej witryny.

Najpierw zaloguj się do pulpitu WordPress hosting cPanel, a następnie kliknij ikonę „Ochrona katalogów hasłem” lub „Prywatność katalogu”.

Directory privacy

Następnie musisz wybrać folder wp-admin, który zwykle znajduje się w katalogu /public_html/.

Na następnym ekranie, trzeba zaznaczyć pole obok 'hasło chronić ten katalog’ opcja i podać nazwę chronionego katalogu.

Następnie kliknij przycisk Zapisz, aby ustawić uprawnienia.

Password protect directory settings

Następnie musisz nacisnąć przycisk Wstecz, a następnie utworzyć użytkownika. Zostaniesz poproszony o podanie nazwy użytkownika / hasła, a następnie kliknij przycisk Zapisz.

Teraz, gdy ktoś próbuje odwiedzić WordPress admin lub katalog wp-admin na swojej stronie internetowej, zostanie poproszony o wprowadzenie nazwy użytkownika i hasła.

Enter password

Aby uzyskać bardziej szczegółowe instrukcje, zobacz nasz przewodnik na temat ochrony hasłem WordPress admin (wp-admin) katalog.

3. Zawsze Używaj Silnych Haseł

Always use strong passwords

Zawsze używaj silnych haseł dla wszystkich kont online, w tym witryny WordPress. W hasłach zalecamy stosowanie kombinacji liter, cyfr i znaków specjalnych. Utrudnia to hakerom odgadnięcie hasła.

Często jesteśmy pytani przez początkujących, jak zapamiętać wszystkie te hasła. Najprostszą odpowiedzią jest to, że nie musisz. Istnieje kilka naprawdę świetnych aplikacji do zarządzania hasłami, które można zainstalować na komputerze i telefonach.

Aby uzyskać więcej informacji na ten temat, zobacz nasz przewodnik na temat najlepszego sposobu zarządzania hasłami dla początkujących WordPress.

4. Użyj weryfikacji dwuetapowej do ekranu logowania WordPress

WordPress login screen with Google Authenticator enabled

Weryfikacja dwuetapowa dodaje kolejną warstwę zabezpieczeń do haseł. Zamiast używać samego hasła, poprosi o wprowadzenie kodu weryfikacyjnego wygenerowanego przez aplikację Google Authenticator na telefonie.

Nawet jeśli ktoś jest w stanie odgadnąć Twoje hasło WordPress, nadal będzie potrzebował kodu Google Authenticator, aby się dostać.

Szczegółowe instrukcje krok po kroku znajdziesz w naszym przewodniku, jak skonfigurować weryfikację dwuetapową w WordPress za pomocą Google Authenticator.

5. Ogranicz Próby Logowania

Limit login attempts

Domyślnie WordPress pozwala użytkownikom wprowadzać hasła tyle razy, ile chcą. Oznacza to, że ktoś może próbować odgadnąć hasło WordPress, wprowadzając różne kombinacje. Umożliwia również hakerom używanie automatycznych skryptów do łamania haseł.

Aby to naprawić, musisz zainstalować i aktywować wtyczkę login LockDown. Po aktywacji przejdź do wizyty Ustawienia ” Blokada Logowania strona konfiguracji ustawień wtyczki.

Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik, dlaczego należy ograniczyć próby logowania w WordPress.

6. Ogranicz dostęp logowania do adresów IP

Innym świetnym sposobem na zabezpieczenie logowania WordPress jest ograniczenie dostępu do określonych adresów IP. Ta wskazówka jest szczególnie przydatna, jeśli ty lub tylko kilku zaufanych użytkowników potrzebujesz dostępu do obszaru administracyjnego.

Po prostu dodaj ten kod do swojego .plik htaccess.

AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName"WordPress Admin Access Control"
AuthType Basic
< LIMIT GET>
order deny, allow
zaprzecz wszystkim
# whitelist adres IP Syeda
Zezwalaj od xx. xx. xx. xxx
# whitelist adres IP Davida
Zezwalaj od xx. xx. xx. xxx
< / LIMIT>

Nie zapomnij zastąpić wartości xx własnym adresem IP. Jeśli używasz więcej niż jednego adresu IP, aby uzyskać dostęp do Internetu, upewnij się, że je również dodałeś.

Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik, Jak ograniczyć dostęp do WordPress admin za pomocą.htaccess.

7. Wyłącz Wskazówki Logowania

Disabled login hints

Podczas nieudanej próby logowania WordPress pokazuje błędy, które informują użytkowników, czy ich nazwa użytkownika była nieprawidłowa, czy hasło. Te wskazówki logowania mogą być używane przez kogoś do złośliwych prób.

Możesz łatwo ukryć te wskazówki logowania, dodając ten kod do funkcji szablonu.plik php lub wtyczka specyficzna dla witryny.

function no_wordpress_errors () {
  return ' coś jest nie tak!';
}
add_filter ('login_errors', 'no_wordpress_errors');

8. Wymaganie od użytkowników używania silnych haseł

Jeśli prowadzisz witrynę WordPress z wieloma autorami, ci użytkownicy mogą edytować swój profil i używać słabego hasła. Hasła te mogą zostać złamane i dać komuś dostęp do obszaru administracyjnego WordPress.

Aby to naprawić, możesz zainstalować i aktywować wtyczkę Force Strong Passwords. Działa po wyjęciu z pudełka i nie ma żadnych ustawień do skonfigurowania. Po aktywacji uniemożliwi użytkownikom zapisywanie słabszych haseł.

Nie sprawdzi siły hasła dla istniejących kont użytkowników. Jeśli użytkownik używa już słabego hasła, będzie mógł nadal używać swojego hasła.

9. Zresetuj hasło dla wszystkich użytkowników

Martwisz się o bezpieczeństwo haseł w witrynie WordPress dla wielu użytkowników? Możesz łatwo poprosić wszystkich użytkowników o zresetowanie haseł.

Najpierw musisz zainstalować i aktywować wtyczkę resetowania hasła awaryjnego. Po aktywacji przejdź do wizyty Awaryjne Resetowanie Hasła Użytkowników stronę i kliknij przycisk „Zresetuj wszystkie hasła”.

Reset all passwords

Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik jak zresetować hasła dla wszystkich użytkowników w WordPress

10. Aktualizuj WordPress

WordPress często wydaje nowe wersje oprogramowania. Każda nowa wersja WordPress zawiera ważne poprawki błędów, nowe funkcje i poprawki zabezpieczeń.

Korzystanie ze starszej wersji WordPress w swojej witrynie pozostawia otwarte na znane exploity i potencjalne luki. Aby to naprawić, musisz upewnić się, że używasz najnowszej wersji WordPress. Aby uzyskać więcej informacji na ten temat, zobacz nasz przewodnik, dlaczego zawsze należy korzystać z najnowszej wersji WordPress.

Podobnie wtyczki WordPress są często aktualizowane, aby wprowadzić nowe funkcje lub naprawić zabezpieczenia i inne problemy. Upewnij się, że wtyczki WordPress są również aktualne.

11. Tworzenie niestandardowych stron logowania i rejestracji

Wiele witryn WordPress wymaga rejestracji użytkowników. Na przykład witryny członkowskie, witryny zarządzania szkoleniami lub sklepy internetowe wymagają od użytkowników utworzenia konta.

Jednak ci użytkownicy mogą korzystać ze swoich kont, aby zalogować się do obszaru administracyjnego WordPress. Nie jest to duży problem, ponieważ będą mogli robić rzeczy dozwolone tylko przez ich rolę i możliwości użytkownika. Powstrzymuje cię jednak przed prawidłowym ograniczeniem dostępu do stron logowania i rejestracji, ponieważ potrzebujesz tych stron, aby użytkownicy mogli się zarejestrować, zarządzać swoim profilem i zalogować.

Łatwym sposobem na naprawienie tego jest utworzenie niestandardowych stron logowania i rejestracji, dzięki czemu użytkownicy mogą rejestrować się i logować bezpośrednio z twojej witryny.

Szczegółowe instrukcje krok po kroku znajdziesz w naszym przewodniku dotyczącym tworzenia niestandardowych stron logowania i rejestracji w WordPress.

12. Dowiedz się więcej o rolach i uprawnieniach użytkowników WordPress

WordPress jest wyposażony w potężny system zarządzania użytkownikami o różnych rolach i możliwościach użytkownika. Podczas dodawania nowego Użytkownika do witryny WordPress możesz wybrać dla niego rolę użytkownika. Ta rola użytkownika określa, co mogą zrobić w Twojej witrynie WordPress.

Przypisanie nieprawidłowej roli użytkownika może dać ludziom więcej możliwości, niż potrzebują. Aby tego uniknąć, musisz zrozumieć, jakie możliwości mają różne role użytkowników w WordPress. Aby uzyskać więcej informacji na ten temat, zobacz nasz przewodnik dla początkujących dotyczący ról i uprawnień użytkowników WordPress.

13. Ogranicz Dostęp Do Pulpitu Nawigacyjnego

Niektóre witryny WordPress mają pewnych użytkowników, którzy potrzebują dostępu do Pulpitu Nawigacyjnego, a niektórzy użytkownicy, którzy tego nie robią. domyślnie jednak wszyscy mogą uzyskać dostęp do obszaru administracyjnego.

Aby to naprawić, musisz zainstalować i aktywować wtyczkę Usuń dostęp do Pulpitu Nawigacyjnego. Po aktywacji przejdź do Ustawienia ” Dostęp Do Pulpitu Nawigacyjnego strona i wybierz, które role użytkowników będą miały dostęp do obszaru administracyjnego w Twojej witrynie.

Aby uzyskać bardziej szczegółowe instrukcje, zobacz nasz przewodnik, Jak ograniczyć dostęp do Pulpitu Nawigacyjnego w WordPress.

14. Wyloguj bezczynnych użytkowników

Idle user logout

WordPress nie wylogowuje automatycznie użytkowników, dopóki wyraźnie się nie wylogują lub nie zamkną okna przeglądarki. Może to być problemem dla witryn WordPress z poufnymi informacjami. Dlatego strony internetowe i aplikacje instytucji finansowych automatycznie wylogowują użytkowników, jeśli nie byli aktywni.

Aby to naprawić, możesz zainstalować i aktywować wtyczkę bezczynnego wylogowania użytkownika. Po aktywacji przejdź do Ustawienia ” Bezczynne Wylogowanie Użytkownika strony i wprowadź czas, po którym chcesz, aby użytkownicy byli automatycznie wylogowywani.

Aby uzyskać więcej informacji, zobacz nasz artykuł na temat automatycznego wylogowywania bezczynnych użytkowników w WordPress.

Mamy nadzieję, że ten artykuł pomógł Ci nauczyć się nowych wskazówek i hacków, aby chronić swój obszar administracyjny WordPress. Możesz również zobaczyć nasz najlepszy przewodnik bezpieczeństwa krok po kroku WordPress dla początkujących.

Jeśli podoba Ci się ten artykuł, zasubskrybuj nasz kanał YouTube dla samouczków wideo WordPress. Znajdziesz nas również na Twitterze i Facebooku.

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd „nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zainstalować WordPress lokalnie na komputerze Mac za pomocą MAMP

W artykule: Jak zainstalować MAMP na komputerze MacInstalacja WordPress na komputerze MacWypróbowanie…