12 najlepszych wskazówek i technik zabezpieczania obszaru administracyjnego WordPress

Na tym blogu omówimy najlepsze techniki skutecznego zabezpieczania obszaru administracyjnego Twoich witryn WordPress.

Ludzie często myślą, że ich witryna internetowa jest zbyt mała, aby hakerzy mogli się nią zainteresować. Ale to byłby ogromny błąd. Każda witryna internetowa może być narażona na cyberzagrożenia, takie jak spam, złośliwe oprogramowanie, brutalne ataki, wstrzykiwanie kodu SQL itp. Ponadto hakerzy mogą nawet wykorzystać Twoją witrynę do rozprzestrzeniania złośliwego oprogramowania na inne witryny.

Oczywiście nie chciałbyś obudzić się pewnego dnia i odkryć, że Twoja witryna została zhakowana, a wszystkie poufne dane wyciekły. Najlepiej byłoby więc wzmocnić obszar administracyjny witryny WordPress za pomocą niezawodnych narzędzi.

Najlepsze wskazówki i techniki zabezpieczania obszaru administracyjnego Twoich witryn WordPress

Te wskazówki dotyczące bezpieczeństwa są bardzo ważne dla ochrony witryn internetowych przed takimi lukami w zabezpieczeniach, jak:

• Rozproszony atak typu „odmowa usługi” (DDoS): DDoS unieruchamia Twoją witrynę, zalewając ją nadmiarowymi połączeniami i powodując awarię.
• Wstrzyknięcie SQL (SQLi): wymusza wykonywanie złośliwych zapytań SQL w systemie w celu manipulowania danymi.
• Lokalne włączanie plików (LFI): LFI zmusza witrynę do przetwarzania złośliwych plików umieszczonych na serwerze sieciowym.
• Fałszowanie żądań między witrynami (CSRF): może zmusić użytkowników sieci do wykonywania niepożądanych działań w niezawodnej aplikacji internetowej.
• Obejście uwierzytelnienia: to zagrożenie bezpieczeństwa daje hakerom dostęp do poufnych zasobów Twojej witryny bez weryfikacji autentyczności.
• Cross-site scripting (XSS): XSS wstrzykuje złośliwy kod w celu przenoszenia złośliwego oprogramowania przez Twoją witrynę.

Aby upewnić się, że Twoja witryna nie jest narażona na te zagrożenia bezpieczeństwa, pamiętaj o wdrożeniu poniższych wskazówek i technik:

Zalecane dla Ciebie: 10 powodów, dla których Twoja witryna WordPress wymaga konserwacji.

1. Aktualizacja wersji WordPress

Prostym sposobem na zwiększenie bezpieczeństwa witryny jest aktualizacja WordPressa i wszystkich zainstalowanych wtyczek zabezpieczających do ich najnowszych wersji. WordPress jest open source, więc współtwórcy niestrudzenie pracują nad ulepszaniem funkcji i bezpieczeństwa w każdej nowej wersji. Dlatego warto zaktualizować CMS do najnowszej wersji, aby poprawić bezpieczeństwo serwisu.

2. Wtyczki bezpieczeństwa

Jedną z najlepszych rzeczy w WordPressie jest to, że można znaleźć wtyczkę dla prawie każdej możliwej funkcji i funkcjonalności witryny. Jednak nie każda wtyczka bezpieczeństwa byłaby odpowiednia do ochrony strony logowania. Tak więc najlepszym sposobem na wzmocnienie bezpieczeństwa obszaru administracyjnego Twojej witryny byłyby wtyczki WordPress, takie jak Sucuri, MalCare, Wordfence itp.

Wtyczki te pomagają blokować złośliwy ruch bez najmniejszego wpływu na wydajność witryny.

3. Zmień nazwę użytkownika i hasło administratora

Jednym z pierwszych sposobów zabezpieczenia strony jest zmiana domyślnej nazwy użytkownika i hasła. W przypadku każdej instalacji WordPress domyślnie pierwszą nazwą użytkownika do logowania jest Admin. Ten rodzaj nazwy użytkownika jest tylko przynętą dla hakerów; musieliby tylko przewidzieć hasło po tym.

Powinieneś więc zmienić nazwę użytkownika i hasło na coś bardziej dostosowanego. Najpierw otwórz pulpit nawigacyjny WordPress. Wybierz Użytkownicy i kliknij „Wszyscy użytkownicy”.

Nawet zmiana nazwy użytkownika z „admin” na „mynameisadmin” może pomóc w ochronie witryny przed hakerami. Jeśli chodzi o hasła, jest mały wyświetlacz, który pokazuje, jak silne jest. Wypróbuj więc różne hasła z kombinacją wielkich i małych liter, symboli i cyfr, dopóki jedno z nich nie będzie satysfakcjonujące. Zawsze upewnij się, że hasło jest tak silne, jak to możliwe, aby chronić witrynę przed hakerami. Eksperci sugerują nawet używanie symboli i cyfr zamiast liter w hasłach, aby były bardziej niejasne. Na przykład, jeśli chcesz, aby Twoje hasło brzmiało „Kalifornia”, zamiast tego wybierz coś w stylu „[chroniony e-mailem] [chroniony e-mailem]”. To utrudni zgadywanie.

Często, gdy ludzie próbują zalogować się w miejscu, w którym nie powinni, skupiają się tylko na haśle i zachowują tę samą nazwę użytkownika podczas różnych prób. Tak więc zmiana zarówno nazwy użytkownika, jak i hasła byłaby doskonałym pomysłem.

4. Utwórz niestandardowy adres URL logowania

Możesz uzyskać dostęp do strony logowania dowolnej witryny WordPress, pisząc /wp-login.php po jej adresie URL. Na przykład, jeśli adres URL Twojej witryny WordPress to www.mywebsitename.com, możesz uzyskać dostęp do jej strony logowania przez www.mywebsitename.com/wp-login.php.

Tak łatwy dostęp do strony logowania sprawia, że ​​Twoja witryna jest bardziej podatna na cyberzagrożenia. Zmień więc adres URL logowania na coś bardziej dostosowanego za pomocą wtyczek, takich jak WPS Hide Login. Ta wtyczka zmienia adres URL strony formularza logowania na dowolny i sprawia, że ​​katalog wp-admin i strona wp-login.php stają się niedostępne. Najlepiej więc dodać te strony do zakładek, ponieważ możesz je utracić.

Po zainstalowaniu WPS Hide Login przejdź do Ustawień i wybierz WPS Hide Login na pulpicie nawigacyjnym WordPress. Następnie wprowadź nowy adres URL w polu Adres URL logowania i zapisz zmiany. Następnie strony administratora Twojej witryny będą dostępne tylko za pośrednictwem tych stron.

Więc teraz, nawet jeśli ktoś zna Twoją nazwę użytkownika i hasło bez Twojej wiedzy, nadal nie będzie mógł uzyskać dostępu do Twojej strony logowania, co jest ogromną ulgą. Dlatego spersonalizowane adresy URL logowania są zawsze uwzględniane w niestandardowym rozwoju WordPress.

5. Ogranicz próby logowania

Czy wiesz, że chociaż hakerzy mogą nie znać hasła do Twojej witryny, nadal mogą ją zhakować? Dzięki zautomatyzowanym skryptom mogą w krótkim czasie wypróbować tysiące potencjalnych haseł, aby znaleźć właściwe i ostatecznie odnieść sukces. Aby temu zapobiec, możesz ograniczyć próby logowania na swojej stronie.

W tym celu WordPress ma pewne wtyczki, takie jak Wordfence Security i Login Lockdown w oficjalnej bibliotece, które mogą być pomocne. Po zainstalowaniu którejś z tych wtyczek możesz określić, ile prób logowania będzie dozwolonych i jak długo dana osoba zostanie zablokowana po przekroczeniu limitu logowania.

Na przykład możesz ustawić limit liczby prób na 3 i czas blokady na 24 godziny. Tak więc, jeśli ktoś ma więcej niż 3 nieudane próby, jego IP zostanie zablokowane na następne 24 godziny, po czym może spróbować ponownie.

6. Zabezpiecz stronę logowania i obszar administracyjny za pomocą certyfikatu SSL

Czasami może być konieczne zalogowanie się do swojej witryny w sieci publicznej, narażając ją na ataki hakerów w przypadku arbitralnego ataku. W sieci publicznej hakerzy mogą uzyskać dostęp do twoich żądań HTTP i zobaczyć twoje dane logowania w sposób oczywisty.

Aby zapobiec tym arbitralnym atakom, możesz użyć logowania SSL, za pomocą którego możesz uzyskać dostęp do swojej witryny przez HTTPS. Zwykle możesz mieć certyfikat logowania SSL od dostawcy usług hostingowych. Ale jeśli nie, będziesz musiał go kupić i ustawić na serwerze swojej witryny.

Jeśli masz już certyfikat SSL na swojej stronie internetowej do uruchamiania w HTTPS, otwórz plik wp-config.php i edytuj go w następujący sposób:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

Dzięki FORCE_SSL_LOGIN Twoja strona logowania będzie otwierana tylko przez HTTPS, a bezpieczne połączenie będzie utrzymywane w całym obszarze administracyjnym Twojej witryny. Dlatego kiedy zatrudniasz programistów WordPress, jedną z pierwszych konfiguracji bezpieczeństwa, którymi się zajmują, jest użycie certyfikatu SSL dla strony logowania i obszaru administracyjnego.

Może cię zainteresować: Chcesz stworzyć witrynę WordPress? Wykonaj te 13 łatwych kroków.

7. Zabezpiecz katalog wp-admin hasłem

Ochrona hasłem katalogu „wp-admin” jest jak dodanie drugiej warstwy bezpieczeństwa do Twojej witryny i jej obszaru administracyjnego WordPress. Jednym z najlepszych sposobów podejścia do tego problemu byłoby ustawienie „Prywatności katalogu” na swoim hostingu. Jeśli używasz hosta internetowego cPanel do ochrony hasłem katalogu wp-admin, możesz również użyć ochrony hasłem cPanel w katalogu.

8. Umieść captcha na stronie logowania

Captchas w obszarze administracyjnym mogą pomóc w zapobieganiu atakom cybernetycznym typu brute-force opartym na zautomatyzowanych skryptach. Możesz dodać captcha do swojej strony logowania za pomocą wtyczek WordPress, takich jak Google reCAPTCHA, reCaptcha firmy BestWebSoft, WPForms itp.

Ta technika jest dość skuteczna w powstrzymywaniu prób włamań za pomocą zautomatyzowanych skryptów.

9. Usuń komunikat o błędzie ze strony logowania

Łącznie z captcha, są trzy rzeczy, które hakerzy chcieliby uzyskać, aby zalogować się do Twojej witryny. Zwykle, gdy próbują się zalogować i kończą się niepowodzeniem, pojawia się komunikat o błędzie informujący, że co najmniej jedno poświadczenie jest nieprawidłowe.

Załóżmy więc, że hakerzy wprowadzili nazwę użytkownika, hasło i captcha, a jedno z danych uwierzytelniających jest nieprawidłowe; zobaczą komunikat o błędzie „Nieprawidłowa nazwa użytkownika” lub „Nieprawidłowe hasło”. W takim przypadku będą wiedzieć, że jedno z poświadczeń jest prawidłowe i wystarczy, że popracują nad drugim.

Ale jeśli usuniesz komunikat o błędzie, zostaną wprowadzeni w błąd co do tego, czy wstawili któryś z nich źle, czy oba. Następnie ponownie zaczną pracować nad obydwoma. Teraz, jeśli oprócz tej strategii ograniczyłeś liczbę prób logowania, zyskasz więcej czasu na walkę z hakerami.

Usuń komunikat o błędzie ze strony logowania.

10. Zezwalaj na logowanie się określonym adresom IP

Możesz ograniczyć dostęp do określonych statycznych adresów IP, aby zabezpieczyć witrynę. Jeśli znasz swój własny adres IP, daj mu dostęp poprzez plik .htaccess z folderu wp-admin.

Po prostu otwórz folder wp-admin, edytuj plik o nazwie .htaccess i dodaj ten kod:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Wszystko, co musisz zrobić, to zastąpić 99.99.99.99 swoim IP lub tym, do którego chcesz dać dostęp.

Więc teraz, jeśli ktoś bez dostępu spróbuje się zalogować, zobaczy tę wiadomość.

11. Dodaj dodatkową warstwę uwierzytelniania dwuskładnikowego

Innym sposobem na zwiększenie bezpieczeństwa swojej witryny jest użycie wtyczki WordPress w celu dodania kolejnej warstwy z uwierzytelnianiem dwuskładnikowym. Wszystko, co musisz zrobić, to zainstalować i skonfigurować wtyczkę, taką jak WP 2FA, a Twoja witryna będzie bezpieczna przed cyberzagrożeniami, takimi jak zautomatyzowane skrypty i ataki siłowe.

12. Hasło jednorazowe (OTP)

Jak sama nazwa wskazuje, hasła jednorazowe pozwalają zalogować się do serwisu za pomocą hasła, które jest ważne tylko raz. Otrzymasz te hasła pocztą lub numerem telefonu komórkowego. Ponieważ hasła jednorazowe są wysyłane pocztą i na numer telefonu komórkowego i są dobre tylko na jedną sesję, nie musisz się martwić, że Twoje główne hasło zostanie skradzione podczas logowania z miejsc takich jak kawiarenki internetowe. Nie trzeba dodawać, że niektóre wtyczki WordPress mogą pomóc dodać funkcję OTP do strony logowania.

Techniki te pomogą zabezpieczyć obszar administracyjny Twojej witryny WordPress przed cyberzagrożeniami, takimi jak ataki siłowe, spam, złe boty, wstrzyknięcia SQL i, co najważniejsze, automatyczne skrypty (do generowania haseł).

Może Cię również zainteresować: Czym jest schemat? Jak dodać znaczniki schematu do swojej witryny WordPress?

Wreszcie!

Kiedy projektujesz nową witrynę WordPress, myśl o tym, że zostanie ona zhakowana, nie jest odległa. Ale wciąż jest taka możliwość. Musisz więc uczynić bezpieczeństwo odrębną częścią niestandardowego rozwoju WordPress, aby chronić i zabezpieczyć obszar administracyjny, aby hakerzy nie mogli uzyskać dostępu do poufnych informacji w Twojej witrynie.

Dlatego wymieniliśmy te wskazówki i techniki, takie jak aktualizacje WordPress, wtyczki bezpieczeństwa, OTP, zaszyfrowane hasła, uwierzytelnianie dwuskładnikowe, captchas itp., Aby upewnić się, że Twoja witryna jest bezpieczna przed hakerami. Pamiętaj, aby omówić te techniki, gdy zatrudniasz programistów WordPress do stworzenia nowej strony internetowej lub aktualizacji starej.

Autor: Palak Shah

Ten artykuł został napisany przez Palak Shah. Palak jest autorką wysokiej jakości treści dla WPWeb Infotech i uwielbia pisać o WordPressie, technologii i małych firmach. Jest niesamowitym graczem zespołowym i ściśle współpracuje z zespołem, aby osiągnąć wspaniałe wyniki. Ogląda Netflixa i czyta literaturę faktu, poradniki i autobiografie wielkich osobistości.