12 лучших советов и методов для защиты админки WordPress

Опубликовано: 2023-05-01

В этом блоге мы обсудим лучшие методы эффективной защиты административной области ваших веб-сайтов WordPress.

Люди часто думают, что их веб-сайт слишком мал, чтобы хакеры могли заинтересоваться им. Но это было бы огромной ошибкой. Любой веб-сайт может быть уязвим для киберугроз, таких как спам, вредоносное ПО, атаки методом перебора, SQL-инъекции и т. д. Более того, хакеры могут даже использовать ваш веб-сайт для распространения вредоносного ПО на другие веб-сайты.

Очевидно, вы не хотели бы однажды проснуться и обнаружить, что ваш сайт взломан, а все ваши конфиденциальные данные утекли. Таким образом, было бы лучше усилить область администрирования вашего веб-сайта WordPress с помощью некоторых надежных инструментов.

Оглавление показать
  • Лучшие советы и методы для защиты административной области ваших сайтов WordPress
    • 1. Обновление версии WordPress
    • 2. Плагины безопасности
    • 3. Измените имя пользователя и пароль администратора.
    • 4. Создайте собственный URL-адрес для входа
    • 5. Ограничьте количество попыток входа
    • 6. Защитите страницу входа и административную область с помощью SSL-сертификата.
    • 7. Защитите каталог wp-admin паролем.
    • 8. Включите капчу на странице входа
    • 9. Удалите сообщение об ошибке со страницы входа.
    • 10. Разрешить вход с определенных IP-адресов
    • 11. Добавьте дополнительный уровень с помощью двухфакторной аутентификации.
    • 12. Одноразовый пароль (OTP)
  • Окончательно!

Лучшие советы и методы для защиты административной области ваших сайтов WordPress

WordPress-рабочий-ноутбук-стол-офис

Эти советы по безопасности очень важны для защиты веб-сайтов от таких уязвимостей, как:

  • Распределенная атака типа «отказ в обслуживании» (DDoS): DDoS обездвиживает ваш веб-сайт, забивая его избыточными соединениями, что приводит к его сбою.
  • SQL-инъекция (SQLi): принудительно выполняет вредоносные SQL-запросы в системе для манипулирования данными.
  • Включение локальных файлов (LFI): LFI заставляет сайт обрабатывать вредоносные файлы, размещенные на веб-сервере.
  • Подделка межсайтовых запросов (CSRF): это может заставить веб-пользователей выполнять нежелательные действия в надежном веб-приложении.
  • Обход аутентификации: эта угроза безопасности дает хакерам доступ к конфиденциальным ресурсам вашего веб-сайта без проверки подлинности.
  • Межсайтовый скриптинг (XSS): XSS внедряет вредоносный код для передачи вредоносного ПО через ваш веб-сайт.

Чтобы убедиться, что ваш веб-сайт не уязвим для этих угроз безопасности, убедитесь, что вы применяете советы и методы, упомянутые ниже:

Рекомендуется для вас: 10 причин, по которым ваш сайт WordPress нуждается в обслуживании.

1. Обновление версии WordPress

синхронизировать синхронизировать синхронизированное обновление

Простой способ усилить безопасность вашего веб-сайта — обновить WordPress и все установленные плагины безопасности до их последних версий. WordPress имеет открытый исходный код, поэтому участники неустанно работают над улучшением функций и безопасности с каждой новой версией. Вот почему вам следует обновить CMS до последней версии, чтобы повысить безопасность сайта.

2. Плагины безопасности

безопасные-WordPress-admin-безопасность-плагины

Одна из лучших особенностей WordPress заключается в том, что вы можете найти плагин практически для каждой возможной функции и функциональности веб-сайта. Однако не каждый плагин безопасности подходит для защиты страницы входа. Таким образом, лучший способ усилить безопасность административной области вашего сайта — использовать плагины WordPress, такие как Sucuri, MalCare, Wordfence и т. д.

Эти плагины помогают блокировать вредоносный трафик без малейшего влияния на производительность сайта.

3. Измените имя пользователя и пароль администратора.

WordPress-Dashboard-Admin-Area-Add-New-User

Один из первых способов защитить веб-сайт — изменить имя пользователя и пароль по умолчанию. Для каждой установки WordPress первое имя пользователя для входа по умолчанию — Admin. Такое имя пользователя — просто приманка для хакеров; после этого им нужно будет только предсказать пароль.

Итак, вы должны изменить имя пользователя и пароль на что-то более индивидуальное. Сначала откройте панель управления WordPress. Выберите «Пользователи» и нажмите «Все пользователи».

Даже изменение имени пользователя с «admin» на «mynameisadmin» может помочь защитить ваш сайт от хакеров. Когда дело доходит до паролей, есть небольшой дисплей, который показывает, насколько они надежны. Поэтому пробуйте разные пароли с комбинациями прописных и строчных букв, символов и цифр, пока не удовлетворитесь одним из них. Всегда следите за тем, чтобы пароль был как можно более надежным, чтобы защитить веб-сайт от хакеров. Эксперты даже предлагают использовать символы и цифры вместо букв в паролях, чтобы сделать их более непонятными. Например, если вы хотите, чтобы ваш пароль был «Калифорния», вместо этого выберите что-то вроде «[электронная почта защищена] [электронная почта защищена]». Это затруднит угадывание.

Часто, когда люди пытаются войти туда, куда им не следует, они сосредотачиваются только на пароле и сохраняют одно и то же имя пользователя при различных попытках. Таким образом, изменение имени пользователя и пароля было бы отличной идеей.

4. Создайте собственный URL-адрес для входа

веб-сайт-безопасность-безопасность-https-ssl-secure-socket-layer

Вы можете получить доступ к странице входа на любой веб-сайт WordPress, написав /wp-login.php после ее URL-адреса. Например, если URL-адрес вашего веб-сайта WordPress — www.mywebsitename.com, вы можете получить доступ к его странице входа через www.mywebsitename.com/wp-login.php.

Такой простой доступ к странице входа делает ваш сайт более уязвимым для киберугроз. Итак, измените слаг URL-адреса входа на что-то более индивидуальное с помощью плагинов, таких как WPS Hide Login. Этот плагин изменяет URL-адрес страницы формы входа на все, что вы хотите, и делает каталог wp-admin и страницу wp-login.php недоступными. Поэтому лучше добавить эти страницы в закладки, так как вы можете их потерять.

После установки WPS Hide Login перейдите в «Настройки» и выберите «WPS Hide Login» на панели управления WordPress. Затем введите новый URL-адрес в поле URL-адрес входа и сохраните изменения. После этого страницы администратора вашего сайта будут доступны только через эти страницы.

Так что теперь, даже если кто-то узнает ваше имя пользователя и пароль без вашего ведома, он все равно не сможет получить доступ к вашей странице входа, что является огромным облегчением. Вот почему персонализированные URL-адреса для входа всегда включаются в индивидуальную разработку WordPress.

5. Ограничьте количество попыток входа

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protection

Знаете ли вы, что даже если хакеры не знают пароль вашего сайта, они все равно могут взломать ваш сайт? С помощью автоматизированных сценариев они могут быстро опробовать тысячи потенциальных паролей, чтобы найти правильный и в конечном итоге добиться успеха. Чтобы этого не произошло, вы можете ограничить количество попыток входа на свой сайт.

Для этой цели в официальной библиотеке WordPress есть определенные плагины, такие как Wordfence Security и Login Lockdown, которые могут помочь. После установки любого из этих плагинов вы можете указать, сколько попыток входа будет разрешено и как долго человек будет заблокирован после превышения лимита входа.

Например, вы можете установить ограничение на количество попыток 3 и время блокировки 24 часа. Таким образом, если у кого-то будет более 3 неудачных попыток, его IP-адрес будет заблокирован на следующие 24 часа, после чего он сможет повторить попытку.

6. Защитите страницу входа и административную область с помощью SSL-сертификата.

HTTP-to-HTTPS-SSL-сертификат

Иногда вам может потребоваться войти на свой веб-сайт в общедоступной сети, что делает его уязвимым для хакеров в случае произвольной атаки. В общедоступной сети хакеры могут получить доступ к вашим HTTP-запросам и увидеть ваши учетные данные для входа в систему.

Чтобы предотвратить эти произвольные атаки, вы можете использовать логин SSL, с помощью которого вы можете получить доступ к своему веб-сайту через HTTPS. Обычно вы можете получить сертификат входа SSL от хостинг-провайдера. Но если нет, вам придется купить его и установить на сервере вашего сайта.

Если у вас уже есть SSL-сертификат на вашем веб-сайте для работы по протоколу HTTPS, откройте файл wp-config.php и отредактируйте его следующим образом:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

С FORCE_SSL_LOGIN ваша страница входа будет открываться только по HTTPS, а безопасное соединение будет поддерживаться во всей области администрирования вашего веб-сайта. Вот почему, когда вы нанимаете разработчиков WordPress, одной из первых настроек безопасности, о которых они заботятся, является использование SSL-сертификата для страницы входа и области администрирования.

Вам может понравиться: Хотите создать сайт на WordPress? Следуйте этим 13 простым шагам.

7. Защитите каталог wp-admin паролем.

электронная почта-советы-безопасности-создание-уникального-пароля

Защита паролем каталога «wp-admin» похожа на добавление второго уровня безопасности на ваш веб-сайт и в его административную область WordPress. Один из лучших способов приблизиться к этому — настроить «Конфиденциальность каталога» вашего хостинга. Если вы используете веб-хост cPanel для защиты паролем вашего каталога wp-admin, вы также можете использовать защиту паролем cPanel для каталога.

8. Включите капчу на странице входа

WordPress-страница входа

Капчи в админке могут помочь предотвратить кибератаки методом перебора, управляемые автоматическими скриптами. Вы можете добавить капчу на свою страницу входа с помощью плагинов WordPress, таких как Google reCAPTCHA, reCaptcha от BestWebSoft, WPForms и т. д.

Этот метод достаточно эффективен для предотвращения попыток взлома с помощью автоматизированных скриптов.

9. Удалите сообщение об ошибке со страницы входа.

WordPress-Admin-Area-Login-Page

Включая капчу, есть три вещи, которые хакеры хотели бы получить, чтобы войти на ваш сайт. Обычно, когда они пытаются войти в систему и терпят неудачу, появляется сообщение об ошибке, в котором говорится, что одна или несколько учетных данных неверны.

Итак, предположим, что хакеры вводят имя пользователя, пароль и капчу, и один из учетных данных неверен; они увидят сообщение об ошибке «Неверное имя пользователя» или «Неверный пароль». В этом случае они будут знать, что одна из учетных данных верна, и им нужно будет работать только с другой.

Но если вы удалите сообщение об ошибке, они будут введены в заблуждение относительно того, вставили ли они одно из них неправильно или оба. Затем они снова начнут работать над обоими. Теперь, если вы ограничили количество попыток входа в систему в дополнение к этой стратегии, это даст вам больше времени против хакеров.

Итак, удалите сообщение об ошибке со страницы входа.

10. Разрешить вход с определенных IP-адресов

403-Запрещенный-Код-Ошибки-HTTP

Вы можете ограничить доступ к определенным статическим IP-адресам для защиты веб-сайта. Если вы знаете свой собственный IP-адрес, дайте ему доступ через файл .htaccess из папки wp-admin.

Просто откройте папку wp-admin, отредактируйте файл с именем .htaccess и добавьте этот код:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Все, что вам нужно сделать, это заменить 99.99.99.99 на ваш IP или тот, к которому вы хотите предоставить доступ.

Так что теперь, если кто-то без доступа попытается войти в систему, он увидит это сообщение.

11. Добавьте дополнительный уровень с помощью двухфакторной аутентификации.

доступ-будильник-домашняя-аутентификация-блокировка-безопасность-защита-пароль-защищенный-WordPress-admin-2fa

Еще один способ повысить безопасность вашего веб-сайта — использовать плагин WordPress для добавления еще одного уровня с двухфакторной аутентификацией. Все, что вам нужно сделать, это установить и настроить плагин, такой как WP 2FA, и ваш сайт будет защищен от киберугроз, таких как автоматические скрипты и атаки методом грубой силы.

12. Одноразовый пароль (OTP)

безопасный-WordPress-admin-OTP-безопасность-безопасность-интернет-пароль-блокировка

Как следует из названия, одноразовые пароли позволяют вам войти на веб-сайт с помощью пароля, который подходит только для одного раза. Вы получаете эти пароли на свою почту или номер мобильного телефона. Поскольку OTP отправляются по почте и номеру мобильного телефона и подходят только для одного сеанса, вам не придется беспокоиться о том, что ваш основной пароль будет украден во время входа в систему из таких мест, как интернет-кафе. Излишне говорить, что некоторые плагины WordPress могут помочь добавить функцию OTP на вашу страницу входа.

Эти методы помогут защитить административную область вашего веб-сайта WordPress от киберугроз, таких как атаки методом перебора, спам, плохие боты, SQL-инъекции и, что наиболее важно, автоматические сценарии (для генерации паролей).

Вам также может понравиться: Что такое схема? Как добавить разметку Schema на ваш сайт WordPress?

Окончательно!

достижение-бизнес-маркетинг-успех-недурно-выиграл-вывод

Когда вы разрабатываете новый веб-сайт WordPress, мысль о том, что его взломают, не за горами. Но это все еще возможно. Таким образом, вам нужно сделать безопасность отдельной частью пользовательской разработки WordPress, чтобы защитить и обезопасить область администратора, чтобы хакеры не могли получить доступ к конфиденциальной информации вашего веб-сайта.

Вот почему мы перечислили эти советы и методы, такие как обновления WordPress, плагины безопасности, OTP, зашифрованные пароли, двухфакторная аутентификация, капчи и т. д., чтобы защитить ваш сайт от хакеров. Обязательно обсудите эти методы, когда нанимаете разработчиков WordPress для создания нового веб-сайта или обновления старого.

Автор: Палак Шах

Эта статья написана Палак Шах. Палак пишет качественный контент для WPWeb Infotech, и ей нравится писать о WordPress, технологиях и малом бизнесе. Она отличный командный игрок и тесно сотрудничает с командой для достижения отличных результатов. Она смотрит Netflix и читает научную литературу, самопомощь и автобиографии великих личностей.