12 лучших советов и методов для защиты админки WordPress

В этом блоге мы обсудим лучшие методы эффективной защиты административной области ваших веб-сайтов WordPress.

Люди часто думают, что их веб-сайт слишком мал, чтобы хакеры могли заинтересоваться им. Но это было бы огромной ошибкой. Любой веб-сайт может быть уязвим для киберугроз, таких как спам, вредоносное ПО, атаки методом перебора, SQL-инъекции и т. д. Более того, хакеры могут даже использовать ваш веб-сайт для распространения вредоносного ПО на другие веб-сайты.

Очевидно, вы не хотели бы однажды проснуться и обнаружить, что ваш сайт взломан, а все ваши конфиденциальные данные утекли. Таким образом, было бы лучше усилить область администрирования вашего веб-сайта WordPress с помощью некоторых надежных инструментов.

Лучшие советы и методы для защиты административной области ваших сайтов WordPress

Эти советы по безопасности очень важны для защиты веб-сайтов от таких уязвимостей, как:

• Распределенная атака типа «отказ в обслуживании» (DDoS): DDoS обездвиживает ваш веб-сайт, забивая его избыточными соединениями, что приводит к его сбою.
• SQL-инъекция (SQLi): принудительно выполняет вредоносные SQL-запросы в системе для манипулирования данными.
• Включение локальных файлов (LFI): LFI заставляет сайт обрабатывать вредоносные файлы, размещенные на веб-сервере.
• Подделка межсайтовых запросов (CSRF): это может заставить веб-пользователей выполнять нежелательные действия в надежном веб-приложении.
• Обход аутентификации: эта угроза безопасности дает хакерам доступ к конфиденциальным ресурсам вашего веб-сайта без проверки подлинности.
• Межсайтовый скриптинг (XSS): XSS внедряет вредоносный код для передачи вредоносного ПО через ваш веб-сайт.

Чтобы убедиться, что ваш веб-сайт не уязвим для этих угроз безопасности, убедитесь, что вы применяете советы и методы, упомянутые ниже:

Рекомендуется для вас: 10 причин, по которым ваш сайт WordPress нуждается в обслуживании.

1. Обновление версии WordPress

Простой способ усилить безопасность вашего веб-сайта — обновить WordPress и все установленные плагины безопасности до их последних версий. WordPress имеет открытый исходный код, поэтому участники неустанно работают над улучшением функций и безопасности с каждой новой версией. Вот почему вам следует обновить CMS до последней версии, чтобы повысить безопасность сайта.

2. Плагины безопасности

Одна из лучших особенностей WordPress заключается в том, что вы можете найти плагин практически для каждой возможной функции и функциональности веб-сайта. Однако не каждый плагин безопасности подходит для защиты страницы входа. Таким образом, лучший способ усилить безопасность административной области вашего сайта — использовать плагины WordPress, такие как Sucuri, MalCare, Wordfence и т. д.

Эти плагины помогают блокировать вредоносный трафик без малейшего влияния на производительность сайта.

3. Измените имя пользователя и пароль администратора.

Один из первых способов защитить веб-сайт — изменить имя пользователя и пароль по умолчанию. Для каждой установки WordPress первое имя пользователя для входа по умолчанию — Admin. Такое имя пользователя — просто приманка для хакеров; после этого им нужно будет только предсказать пароль.

Итак, вы должны изменить имя пользователя и пароль на что-то более индивидуальное. Сначала откройте панель управления WordPress. Выберите «Пользователи» и нажмите «Все пользователи».

Даже изменение имени пользователя с «admin» на «mynameisadmin» может помочь защитить ваш сайт от хакеров. Когда дело доходит до паролей, есть небольшой дисплей, который показывает, насколько они надежны. Поэтому пробуйте разные пароли с комбинациями прописных и строчных букв, символов и цифр, пока не удовлетворитесь одним из них. Всегда следите за тем, чтобы пароль был как можно более надежным, чтобы защитить веб-сайт от хакеров. Эксперты даже предлагают использовать символы и цифры вместо букв в паролях, чтобы сделать их более непонятными. Например, если вы хотите, чтобы ваш пароль был «Калифорния», вместо этого выберите что-то вроде «[электронная почта защищена] [электронная почта защищена]». Это затруднит угадывание.

Часто, когда люди пытаются войти туда, куда им не следует, они сосредотачиваются только на пароле и сохраняют одно и то же имя пользователя при различных попытках. Таким образом, изменение имени пользователя и пароля было бы отличной идеей.

4. Создайте собственный URL-адрес для входа

Вы можете получить доступ к странице входа на любой веб-сайт WordPress, написав /wp-login.php после его URL-адреса. Например, если URL-адрес вашего веб-сайта WordPress — www.mywebsitename.com, вы можете получить доступ к его странице входа через www.mywebsitename.com/wp-login.php.

Такой простой доступ к странице входа делает ваш сайт более уязвимым для киберугроз. Итак, измените слаг URL-адреса входа на что-то более индивидуальное с помощью плагинов, таких как WPS Hide Login. Этот плагин изменяет URL-адрес страницы формы входа на все, что вы хотите, и делает каталог wp-admin и страницу wp-login.php недоступными. Поэтому лучше добавить эти страницы в закладки, так как вы можете их потерять.

После установки WPS Hide Login перейдите в «Настройки» и выберите «WPS Hide Login» на панели управления WordPress. Затем введите новый URL-адрес в поле URL-адрес входа и сохраните изменения. После этого страницы администратора вашего сайта будут доступны только через эти страницы.

Так что теперь, даже если кто-то узнает ваше имя пользователя и пароль без вашего ведома, он все равно не сможет получить доступ к вашей странице входа, что является огромным облегчением. Вот почему персонализированные URL-адреса для входа всегда включаются в индивидуальную разработку WordPress.

5. Ограничьте количество попыток входа

Знаете ли вы, что даже если хакеры не знают пароль вашего сайта, они все равно могут взломать ваш сайт? С помощью автоматизированных сценариев они могут быстро опробовать тысячи потенциальных паролей, чтобы найти правильный и в конечном итоге добиться успеха. Чтобы этого не произошло, вы можете ограничить количество попыток входа на свой сайт.

Для этой цели в официальной библиотеке WordPress есть определенные плагины, такие как Wordfence Security и Login Lockdown, которые могут помочь. После установки любого из этих плагинов вы можете указать, сколько попыток входа будет разрешено и как долго человек будет заблокирован после превышения лимита входа.

Например, вы можете установить ограничение на количество попыток 3 и время блокировки 24 часа. Таким образом, если у кого-то будет более 3 неудачных попыток, его IP-адрес будет заблокирован на следующие 24 часа, после чего он сможет повторить попытку.

6. Защитите страницу входа и административную область с помощью SSL-сертификата.

Иногда вам может потребоваться войти на свой веб-сайт в общедоступной сети, что делает его уязвимым для хакеров в случае произвольной атаки. В общедоступной сети хакеры могут получить доступ к вашим HTTP-запросам и увидеть ваши учетные данные для входа в систему.

Чтобы предотвратить эти произвольные атаки, вы можете использовать логин SSL, с помощью которого вы можете получить доступ к своему веб-сайту через HTTPS. Обычно вы можете получить сертификат входа SSL от хостинг-провайдера. Но если нет, вам придется купить его и установить на сервере вашего сайта.

Если у вас уже есть SSL-сертификат на вашем веб-сайте для работы по протоколу HTTPS, откройте файл wp-config.php и отредактируйте его следующим образом:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

С FORCE_SSL_LOGIN ваша страница входа будет открываться только по HTTPS, а безопасное соединение будет поддерживаться во всей области администрирования вашего веб-сайта. Вот почему, когда вы нанимаете разработчиков WordPress, одной из первых настроек безопасности, о которых они заботятся, является использование SSL-сертификата для страницы входа и области администрирования.

Вам может понравиться: Хотите создать сайт на WordPress? Следуйте этим 13 простым шагам.

7. Защитите каталог wp-admin паролем.

Защита паролем каталога «wp-admin» похожа на добавление второго уровня безопасности на ваш веб-сайт и в его административную область WordPress. Один из лучших способов приблизиться к этому — настроить «Конфиденциальность каталога» вашего хостинга. Если вы используете веб-хост cPanel для защиты паролем вашего каталога wp-admin, вы также можете использовать защиту паролем cPanel для каталога.

8. Включите капчу на странице входа

Капчи в админке могут помочь предотвратить кибератаки методом перебора, управляемые автоматическими скриптами. Вы можете добавить капчу на свою страницу входа с помощью плагинов WordPress, таких как Google reCAPTCHA, reCaptcha от BestWebSoft, WPForms и т. д.

Этот метод достаточно эффективен для предотвращения попыток взлома с помощью автоматизированных скриптов.

9. Удалите сообщение об ошибке со страницы входа.

Включая капчу, есть три вещи, которые хакеры хотели бы получить, чтобы войти на ваш сайт. Обычно, когда они пытаются войти в систему и терпят неудачу, появляется сообщение об ошибке, в котором говорится, что одна или несколько учетных данных неверны.

Итак, предположим, что хакеры вводят имя пользователя, пароль и капчу, и один из учетных данных неверен; они увидят сообщение об ошибке «Неверное имя пользователя» или «Неверный пароль». В этом случае они будут знать, что одна из учетных данных верна, и им нужно будет работать только с другой.

Но если вы удалите сообщение об ошибке, они будут введены в заблуждение относительно того, вставили ли они одно из них неправильно или оба. Затем они снова начнут работать над обоими. Теперь, если вы ограничили количество попыток входа в систему в дополнение к этой стратегии, это даст вам больше времени против хакеров.

Итак, удалите сообщение об ошибке со страницы входа.

10. Разрешить вход с определенных IP-адресов

Вы можете ограничить доступ к определенным статическим IP-адресам для защиты веб-сайта. Если вы знаете свой собственный IP-адрес, дайте ему доступ через файл .htaccess из папки wp-admin.

Просто откройте папку wp-admin, отредактируйте файл с именем .htaccess и добавьте этот код:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Все, что вам нужно сделать, это заменить 99.99.99.99 на ваш IP или тот, к которому вы хотите предоставить доступ.

Так что теперь, если кто-то без доступа попытается войти в систему, он увидит это сообщение.

11. Добавьте дополнительный уровень с помощью двухфакторной аутентификации.

Еще один способ повысить безопасность вашего веб-сайта — использовать плагин WordPress для добавления еще одного уровня с двухфакторной аутентификацией. Все, что вам нужно сделать, это установить и настроить плагин, такой как WP 2FA, и ваш сайт будет защищен от киберугроз, таких как автоматические скрипты и атаки методом грубой силы.

12. Одноразовый пароль (OTP)

Как следует из названия, одноразовые пароли позволяют вам войти на веб-сайт с помощью пароля, который подходит только один раз. Вы получаете эти пароли на свою почту или номер мобильного телефона. Поскольку OTP отправляются по почте и номеру мобильного телефона и подходят только для одного сеанса, вам не придется беспокоиться о том, что ваш основной пароль будет украден во время входа в систему из таких мест, как интернет-кафе. Излишне говорить, что некоторые плагины WordPress могут помочь добавить функцию OTP на вашу страницу входа.

Эти методы помогут защитить административную область вашего веб-сайта WordPress от киберугроз, таких как атаки методом перебора, спам, плохие боты, SQL-инъекции и, что наиболее важно, автоматические сценарии (для генерации паролей).

Вам также может понравиться: Что такое схема? Как добавить разметку Schema на ваш сайт WordPress?

Окончательно!

Когда вы разрабатываете новый веб-сайт WordPress, мысль о том, что его взломают, не за горами. Но это все еще возможно. Таким образом, вам нужно сделать безопасность отдельной частью пользовательской разработки WordPress, чтобы защитить и обезопасить область администратора, чтобы хакеры не могли получить доступ к конфиденциальной информации вашего веб-сайта.

Вот почему мы перечислили эти советы и методы, такие как обновления WordPress, плагины безопасности, OTP, зашифрованные пароли, двухфакторная аутентификация, капчи и т. д., чтобы защитить ваш сайт от хакеров. Обязательно обсудите эти методы, когда нанимаете разработчиков WordPress для создания нового веб-сайта или обновления старого.

Автор: Палак Шах

Эта статья написана Палак Шах. Палак пишет качественный контент для WPWeb Infotech, и ей нравится писать о WordPress, технологиях и малом бизнесе. Она отличный командный игрок и тесно сотрудничает с командой для достижения отличных результатов. Она смотрит Netflix и читает научную литературу, самопомощь и автобиографии великих личностей.