12 cele mai bune sfaturi și tehnici pentru a securiza zona de administrare WordPress
Publicat: 2023-05-01În acest blog, vom discuta cele mai bune tehnici pentru a securiza eficient zona de administrare a site-urilor dvs. WordPress.
Oamenii cred adesea că site-ul lor este prea mic pentru ca hackerii să aibă vreun interes în el. Dar asta ar fi o mare greșeală. Orice site web poate fi vulnerabil la amenințările cibernetice cum ar fi spam-ul, programele malware, atacurile brute, injecțiile SQL etc. Mai mult, hackerii ar putea chiar să folosească site-ul dvs. pentru a răspândi programe malware către alte site-uri web.
Evident, nu ai dori să te trezești într-o zi și să descoperi că site-ul tău web este piratat și toate datele tale sensibile sunt scurse. Deci, cel mai bine ar fi să consolidați zona de administrare a site-ului dvs. WordPress cu câteva instrumente de încredere.
- Cele mai bune sfaturi și tehnici pentru a securiza zona de administrare a site-urilor dvs. WordPress
- 1. Actualizarea versiunii WordPress
- 2. Pluginuri de securitate
- 3. Schimbați numele de utilizator și parola de administrator
- 4. Creați o adresă URL de conectare personalizată
- 5. Limitați încercările de conectare
- 6. Securizați pagina de conectare și zona de administrare cu un certificat SSL
- 7. Securizează directorul wp-admin cu o parolă
- 8. Includeți un captcha pe pagina de conectare
- 9. Eliminați mesajul de eroare din pagina de conectare
- 10. Permiteți anumite adrese IP să se autentifice
- 11. Adăugați un strat suplimentar prin autentificarea cu doi factori
- 12. Parolă unică (OTP)
- In cele din urma!
Cele mai bune sfaturi și tehnici pentru a securiza zona de administrare a site-urilor dvs. WordPress
Aceste sfaturi de securitate sunt foarte importante pentru protejarea site-urilor web de vulnerabilități precum:
- Atac DDoS (Distributed Denial-of-Service): DDoS îți imobilizează site-ul web, înglobându-l cu conexiuni redundante, blocându-l.
- Injecție SQL (SQLi): execută forțat interogări SQL rău intenționate în sistem pentru a manipula datele.
- Incluziune locală de fișiere (LFI): LFI forțează site-ul să proceseze fișiere rău intenționate plasate pe serverul web.
- Falsificarea cererilor între site-uri (CSRF): poate forța utilizatorii web să execute acțiuni nedorite într-o aplicație web de încredere.
- Ocolire a autentificării: această amenințare de securitate oferă hackerilor acces la resursele sensibile ale site-ului dvs. web fără verificarea autenticității.
- Cross-site scripting (XSS): XSS injectează cod rău intenționat pentru a transporta malware prin site-ul dvs. web.
Pentru a vă asigura că site-ul dvs. web nu este vulnerabil la aceste amenințări de securitate, asigurați-vă că implementați sfaturile și tehnicile menționate mai jos:
Recomandat pentru tine: 10 motive pentru care site-ul tău WordPress are nevoie de întreținere.
1. Actualizarea versiunii WordPress
O modalitate simplă de a consolida securitatea site-ului dvs. este prin actualizarea WordPress și a tuturor pluginurilor de securitate instalate la cele mai recente versiuni. WordPress este open source, așa că colaboratorii lucrează neobosit pentru a îmbunătăți caracteristicile și securitatea cu fiecare versiune nouă. De aceea ar trebui să actualizați CMS-ul la cea mai recentă versiune pentru a îmbunătăți securitatea site-ului.
2. Pluginuri de securitate
Unul dintre cele mai bune lucruri despre WordPress este că puteți găsi un plugin pentru aproape fiecare caracteristică și funcționalitate posibilă a site-ului. Cu toate acestea, nu orice plugin de securitate ar fi potrivit pentru a proteja pagina de autentificare. Deci, cea mai bună modalitate de a consolida securitatea zonei de administrare a site-ului dvs. ar fi prin intermediul pluginurilor WordPress precum Sucuri, MalCare, Wordfence etc.
Aceste plugin-uri ajută la blocarea traficului rău intenționat fără un impact asupra performanței site-ului web.
3. Schimbați numele de utilizator și parola de administrator
Una dintre primele modalități de a securiza site-ul web este schimbarea numelui de utilizator și a parolei implicite. Pentru fiecare instalare WordPress, primul nume de utilizator de conectare în mod implicit este Admin. Acest tip de nume de utilizator este doar o momeală pentru hackeri; ar trebui doar să prezică parola după aceea.
Deci, ar trebui să schimbați numele de utilizator și parola cu ceva mai personalizat. Mai întâi, deschideți tabloul de bord WordPress. Selectați Utilizatori și faceți clic pe „Toți utilizatorii”.
Chiar și schimbarea numelui de utilizator din „admin” în „mynameisadmin” poate ajuta la protejarea site-ului dvs. de hackeri. Când vine vorba de parole, există un mic afișaj care arată cât de puternic este. Deci, încercați parole diferite cu combinații de litere mari și mici, simboluri și cifre până când sunteți mulțumit de una. Asigurați-vă întotdeauna că parola este cât mai puternică posibil pentru a proteja site-ul de hackeri. Experții sugerează chiar să folosești simboluri și cifre în loc de litere în parole pentru a le face mai obscure. De exemplu, dacă doriți ca parola dvs. să fie „California”, alegeți ceva de genul „[email protected][email protected]”. Asta va face mai greu de ghicit.
Adesea, când oamenii încearcă să se autentifice unde nu ar trebui, se concentrează doar pe parolă și păstrează același nume de utilizator în diferite încercări. Deci, schimbarea numelui de utilizator și a parolei ar fi o idee excelentă.
4. Creați o adresă URL de conectare personalizată
Puteți accesa pagina de conectare a oricărui site web WordPress scriind /wp-login.php după adresa URL a acestuia. De exemplu, dacă adresa URL a site-ului dvs. WordPress este www.mywebsitename.com, puteți accesa pagina sa de conectare prin www.mywebsitename.com/wp-login.php.
Un astfel de acces ușor la pagina de conectare face site-ul dvs. web mai vulnerabil la amenințările cibernetice. Așadar, schimbați URL-ul de conectare cu ceva mai personalizat prin plugin-uri precum WPS Hide Login. Acest plugin schimbă adresa URL a paginii formularului de autentificare cu orice doriți și face ca directorul wp-admin și pagina wp-login.php să fie inaccesibile. Deci, cel mai bine ar fi să marcați aceste pagini, deoarece le puteți pierde.
După instalarea WPS Hide Login, accesați Setări și selectați WPS Hide Login pe tabloul de bord WordPress. Apoi, introduceți o nouă adresă URL în câmpul URL de conectare și salvați modificările. După aceea, paginile de administrare ale site-ului dvs. vor fi accesibile numai prin intermediul acestor pagini.
Așa că acum, chiar dacă cineva are numele dvs. de utilizator și parola fără știrea dvs., tot nu va putea accesa pagina dvs. de autentificare, ceea ce este o mare ușurare. De aceea, adresele URL personalizate de conectare sunt întotdeauna incluse în dezvoltarea personalizată WordPress.
5. Limitați încercările de conectare
Știați că, deși hackerii pot să nu cunoască parola site-ului dvs., ei pot să vă pirateze site-ul? Prin intermediul scripturilor automate, aceștia pot încerca mii de potențiale parole în cel mai scurt timp pentru a o găsi pe cea potrivită și, în cele din urmă, să reușească. Pentru a împiedica acest lucru, puteți limita încercările de conectare pe site-ul dvs. web.
În acest scop, WordPress are anumite plugin-uri precum Wordfence Security și Login Lockdown în biblioteca oficială care ar putea fi de ajutor. După instalarea oricăruia dintre aceste pluginuri, puteți defini setările pentru câte încercări de conectare vor fi permise și cât timp persoana va fi blocată după depășirea limitei de conectare.
De exemplu, puteți seta o limită pentru numărul de încercări la 3 și timpul de blocare la 24 de ore. Deci, dacă cineva are mai mult de 3 încercări eșuate, IP-ul său va fi blocat în următoarele 24 de ore, după care poate încerca din nou.
6. Securizați pagina de conectare și zona de administrare cu un certificat SSL
Uneori, este posibil să trebuiască să vă conectați la site-ul dvs. într-o rețea publică, lăsându-l vulnerabil în fața hackerilor într-o situație de atac arbitrară. Într-o rețea publică, hackerii vă pot accesa solicitările HTTP și vă pot vedea acreditările dvs. de autentificare clare ca ziua.
Pentru a preveni aceste atacuri arbitrare, puteți utiliza o autentificare SSL, prin care vă puteți accesa site-ul web prin HTTPS. De obicei, puteți avea un certificat de conectare SSL de la furnizorul de găzduire. Dar dacă nu, va trebui să cumpărați unul și să îl configurați pe serverul site-ului dvs.
Dacă aveți deja un certificat SSL pe site-ul dvs. web pentru a rula pe HTTPS, deschideți fișierul wp-config.php și editați-l ca atare:
// Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);
Cu FORCE_SSL_LOGIN, pagina dvs. de conectare se va deschide numai pe HTTPS, iar conexiunea securizată va fi menținută în toată zona de administrare a site-ului dvs. De aceea, atunci când angajezi dezvoltatori WordPress, una dintre primele setări de securitate de care se ocupă este utilizarea unui certificat SSL pentru pagina de autentificare și zona de administrare.
S-ar putea să vă placă: Doriți să creați un site web WordPress? Urmați acești 13 pași simpli.
7. Securizează directorul wp-admin cu o parolă
Protejarea cu parolă a directorului „wp-admin” este ca și cum ați adăuga un al doilea strat de securitate pe site-ul dvs. și în zona de administrare WordPress. Una dintre cele mai bune modalități de a-l aborda ar fi prin setările „Directory Privacy” ale găzduirii dvs. Dacă utilizați o gazdă web cPanel pentru a vă proteja cu parolă directorul wp-admin, puteți utiliza și Protecția cu parolă cPanel într-un Director.
8. Includeți un captcha pe pagina de conectare
Captch-urile din zona de administrare pot ajuta la prevenirea atacurilor cibernetice cu forță brută conduse de scripturi automate. Puteți adăuga un captcha la pagina dvs. de conectare prin pluginuri WordPress precum Google reCAPTCHA, reCaptcha de la BestWebSoft, WPForms etc.
Această tehnică este destul de eficientă în oprirea încercărilor de hacking prin scripturi automate.
9. Eliminați mesajul de eroare din pagina de conectare
Inclusiv un captcha, există trei lucruri pe care hackerii ar dori să le obțină pentru a se conecta direct la site-ul dvs. De obicei, atunci când încearcă să se conecteze și nu eșuează, apare un mesaj de eroare care spune că una sau mai multe acreditări sunt incorecte.
Deci, să presupunem că hackerii introduc numele de utilizator, parola și captcha, iar una dintre acreditări este greșită; vor vedea un mesaj de eroare „Nume de utilizator incorect” sau „Parolă incorectă”. În acest caz, ei vor ști că una dintre acreditări este corectă și trebuie să lucreze doar la cealaltă.
Dar dacă eliminați mesajul de eroare, aceștia vor fi îndrumați greșit dacă au introdus greșit pe oricare dintre ele sau pe ambele. Apoi, vor începe să lucreze din nou la ambele. Acum, dacă ați limitat numărul de încercări de autentificare în plus față de această strategie, vă va câștiga mai mult timp împotriva hackerilor.
Deci, eliminați mesajul de eroare din pagina de conectare.
10. Permiteți anumite adrese IP să se autentifice
Puteți limita accesul la anumite IP-uri statice pentru a securiza site-ul web. Dacă vă cunoașteți propria adresă IP, acordați-i acces prin fișierul .htaccess din folderul wp-admin.
Doar deschideți folderul wp-admin, editați un fișier numit .htaccess și adăugați acest cod:
order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all
Tot ce trebuie să faceți este să înlocuiți 99.99.99.99 cu IP-ul dvs. sau cu cel la care doriți să acordați acces.
Deci, acum, dacă cineva fără acces încearcă să se autentifice, va vedea acest mesaj.
11. Adăugați un strat suplimentar prin autentificarea cu doi factori
Un alt mod în care puteți spori securitatea site-ului dvs. este prin utilizarea unui plugin WordPress pentru a adăuga un alt strat cu autentificare cu doi factori. Tot ce trebuie să faceți este să instalați și să configurați un plugin precum WP 2FA, iar site-ul dvs. web va fi în siguranță împotriva amenințărilor cibernetice, cum ar fi scripturile automate și atacurile cu forță brută.
12. Parolă unică (OTP)
După cum sugerează și numele, parolele unice vă permit să vă conectați la site printr-o parolă care este bună pentru o singură dată. Veți primi aceste parole pe e-mail sau numărul de telefon mobil. Întrucât OTP-urile sunt trimise prin e-mail și numărul de telefon mobil și sunt bune pentru o singură sesiune, nu va trebui să vă faceți griji că parola dvs. principală va fi furată în timpul conectării din locuri precum cafenelele cibernetice. Inutil să spunem că unele plugin-uri WordPress pot ajuta la adăugarea unei funcții OTP la pagina de autentificare.
Aceste tehnici vă vor ajuta să vă securizați zona de administrare a site-ului dvs. WordPress de amenințări cibernetice, cum ar fi atacuri cu forță brută, spam, roboți dăunători, injecții SQL și, cel mai important, scripturi automate (pentru generarea de parole).
S-ar putea să vă placă și: Ce este Schema? Cum să adăugați Schema Markup pe site-ul dvs. WordPress?
In cele din urma!
Când proiectați un nou site web WordPress, gândul că acesta va fi piratat este departe de a fi îndepărtat. Dar este încă o posibilitate. Deci, trebuie să faceți din securitate o parte distinctă a dezvoltării personalizate WordPress pentru a proteja și securiza zona de administrare, astfel încât hackerii să nu poată accesa informațiile sensibile ale site-ului dvs.
De aceea am enumerat aceste sfaturi și tehnici, cum ar fi actualizările WordPress, pluginuri de securitate, OTP, parole criptate, autentificare în doi factori, captchas etc., pentru a ne asigura că site-ul dvs. este protejat de hackeri. Asigurați-vă că discutați despre aceste tehnici atunci când angajați dezvoltatori WordPress pentru a crea un site web nou sau a vă actualiza pe cel vechi.
Autor: Palak Shah
Acest articol este scris de Palak Shah. Palak este un scriitor de conținut de calitate pentru WPWeb Infotech și îi place să scrie despre WordPress, tehnologie și afaceri mici. Este un jucător de echipă incredibil și lucrează îndeaproape cu echipa pentru a obține rezultate grozave. Ea se uită la Netflix și citește non-ficțiune, autoajutorare și autobiografii ale unor mari personalități.