14 важных советов по защите админки WordPress (обновлено)

/

Вы видите много атак на вашу админку WordPress? Защита админки от несанкционированного доступа позволяет блокировать многие распространенные угрозы безопасности. В этой статье мы покажем вам несколько важных советов и хитростей для защиты вашей админки WordPress.

Советы и хаки для защиты админки WordPress

1. Используйте брандмауэр веб-приложения

Брандмауэр веб-приложения или WAF отслеживает трафик веб-сайта и блокирует попадание подозрительных запросов на ваш сайт.

Хотя существует несколько плагинов для брандмауэра WordPress, мы рекомендуем использовать Sucuri. Это служба безопасности и мониторинга веб-сайтов, которая предлагает облачный WAF для защиты вашего веб-сайта.

Брандмауэр приложения веб-сайта

Весь трафик вашего веб-сайта сначала проходит через облачный прокси-сервер, где они анализируют каждый запрос и блокируют доступ подозрительных к вашему веб-сайту. Он защищает ваш сайт от возможных попыток взлома, фишинга, вредоносных программ и других вредоносных действий.

Чтобы узнать больше, посмотрите, как Sucuri помог нам заблокировать 450 000 атак за один месяц.

2. Защита паролем каталога администратора WordPress

Ваша админка WordPress уже защищена вашим паролем WordPress. Однако добавление защиты паролем к вашей административной директории WordPress добавляет еще один уровень безопасности вашему сайту.

Сначала войдите в панель управления cPanel хостинга WordPress, а затем щелкните значок «Защита паролем каталогов» или «Конфиденциальность каталогов».

Конфиденциальность каталога

Затем вам нужно будет выбрать папку wp-admin, которая обычно находится в каталоге / public_html /.

На следующем экране вам необходимо установить флажок рядом с параметром «Защитить этот каталог паролем» и указать имя защищенного каталога.

После этого нажмите кнопку сохранения, чтобы установить разрешения.

Защита паролем настроек каталога

Затем вам нужно нажать кнопку «Назад» и создать пользователя. Вам будет предложено ввести имя пользователя / пароль, а затем нажмите кнопку сохранения.

Теперь, когда кто-то пытается зайти в каталог WordPress admin или wp-admin на вашем веб-сайте, ему будет предложено ввести имя пользователя и пароль.

Введите пароль

Более подробные инструкции см. В нашем руководстве о том, как защитить паролем каталог администратора WordPress (wp-admin).

3. Всегда используйте надежные пароли

Всегда используйте надежные пароли

Всегда используйте надежные пароли для всех своих учетных записей в Интернете, включая сайт WordPress. Мы рекомендуем использовать в паролях комбинацию букв, цифр и специальных символов. Из-за этого хакерам сложнее угадать ваш пароль.

Новички часто спрашивают нас, как запомнить все эти пароли. Самый простой ответ - в этом нет необходимости. Есть несколько действительно отличных приложений для управления паролями, которые вы можете установить на свой компьютер и телефоны.

Для получения дополнительной информации по этой теме см. Наше руководство по лучшему способу управления паролями для начинающих WordPress.

4. Используйте двухэтапную аутентификацию для экрана входа в WordPress

Экран входа в WordPress с включенным Google Authenticator

Двухэтапная проверка добавляет еще один уровень безопасности к вашим паролям. Вместо того, чтобы использовать только пароль, он просит вас ввести проверочный код, сгенерированный приложением Google Authenticator на вашем телефоне.

Даже если кто-то сможет угадать ваш пароль WordPress, ему все равно понадобится код Google Authenticator, чтобы войти.

Подробные пошаговые инструкции см. В нашем руководстве по настройке двухэтапной аутентификации в WordPress с помощью Google Authenticator.

5. Ограничьте попытки входа в систему

Ограничить попытки входа

По умолчанию WordPress позволяет пользователям вводить пароли столько раз, сколько они хотят. Это означает, что кто-то может продолжать попытки угадать ваш пароль WordPress, вводя разные комбинации. Это также позволяет хакерам использовать автоматизированные сценарии для взлома паролей.

Чтобы исправить это, вам необходимо установить и активировать плагин Login LockDown. После активации перейдите на страницу «Настройки» »« Login LockDown », чтобы настроить параметры плагина.

Подробные инструкции см. В нашем руководстве о том, почему вам следует ограничивать попытки входа в систему в WordPress.

6. Ограничьте доступ для входа к IP-адресам

Еще один отличный способ защитить вход в WordPress - ограничить доступ к определенным IP-адресам. Этот совет особенно полезен, если вам или нескольким доверенным пользователям нужен доступ к админке.

Просто добавьте этот код в свой файл .htaccess.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic  <LIMIT GET>  order deny,allow  deny from all  
# whitelist IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx  </LIMIT>  

Не забудьте заменить значения xx на свой собственный IP-адрес. Если вы используете более одного IP-адреса для доступа в Интернет, убедитесь, что вы их тоже добавили.

Подробные инструкции см. В нашем руководстве по ограничению доступа администратора WordPress с помощью .htaccess.

7. Отключить подсказки для входа

Отключенные подсказки для входа

При неудачной попытке входа в систему WordPress показывает ошибки, которые сообщают пользователям, неверно ли их имя пользователя или пароль. Эти подсказки для входа в систему могут быть использованы кем-либо для злонамеренных попыток.

Вы можете легко скрыть эти подсказки для входа, добавив этот код в файл functions.php вашей темы или в специальный плагин для сайта.

<?php
function no_wordpress_errors() {
    return 'Something is wrong!';   
}
 add_filter( 'login_errors', 'no_wordpress_errors' );  

8. Требуйте от пользователей использования надежных паролей

Если вы запускаете сайт WordPress с несколькими авторами, эти пользователи могут редактировать свой профиль и использовать ненадежный пароль. Эти пароли можно взломать и предоставить кому-то доступ к админке WordPress.

Чтобы исправить это, вы можете установить и активировать плагин Force Strong Passwords. Он работает "из коробки", и вам не нужно настраивать параметры. После активации пользователи не смогут сохранять более слабые пароли.

Он не будет проверять надежность пароля для существующих учетных записей пользователей. Если пользователь уже использует ненадежный пароль, он сможет продолжать использовать свой пароль.

9. Сброс пароля для всех пользователей

Обеспокоены безопасностью паролей на многопользовательском сайте WordPress? Вы можете легко попросить всех своих пользователей сбросить свои пароли.

Во-первых, вам необходимо установить и активировать плагин Emergency Password Reset. После активации перейдите на страницу Пользователи »Экстренный сброс пароля и нажмите кнопку« Сбросить все пароли ».

Сбросить все пароли

Подробные инструкции см. В нашем руководстве о том, как сбросить пароли для всех пользователей в WordPress.

10. Обновляйте WordPress

WordPress часто выпускает новые версии программного обеспечения. Каждый новый выпуск WordPress содержит важные исправления ошибок, новые функции и исправления безопасности.

Использование более старой версии WordPress на вашем сайте оставляет вас открытыми для известных эксплойтов и потенциальных уязвимостей. Чтобы исправить это, вам нужно убедиться, что вы используете последнюю версию WordPress. Для получения дополнительной информации по этой теме см. Наше руководство о том, почему вы всегда должны использовать последнюю версию WordPress.

Точно так же плагины WordPress также часто обновляются, чтобы добавить новые функции или исправить проблемы с безопасностью и другие проблемы. Убедитесь, что ваши плагины WordPress также обновлены.

11. Создание настраиваемых страниц входа и регистрации

Многие сайты WordPress требуют от пользователей регистрации. Например, сайтам членства, сайтам управления обучением или интернет-магазинам требуется, чтобы пользователи создавали учетную запись.

Однако эти пользователи могут использовать свои учетные записи для входа в админку WordPress. Это не большая проблема, так как они смогут делать только то, что разрешено их ролью и возможностями пользователя. Однако это мешает вам правильно ограничить доступ к страницам входа и регистрации, поскольку эти страницы нужны вам для пользователей, чтобы регистрироваться, управлять своим профилем и входить в систему.

Легкий способ исправить это - создать собственные страницы входа и регистрации, чтобы пользователи могли регистрироваться и входить в систему прямо с вашего веб-сайта.

Подробные пошаговые инструкции см. В нашем руководстве по созданию пользовательских страниц входа и регистрации в WordPress.

12. Узнайте о ролях и разрешениях пользователей WordPress

WordPress поставляется с мощной системой управления пользователями с различными ролями и возможностями пользователей. При добавлении нового пользователя на свой сайт WordPress вы можете выбрать для него роль пользователя. Эта роль пользователя определяет, что они могут делать на вашем сайте WordPress.

Назначение неправильной роли пользователя может дать людям больше возможностей, чем им нужно. Чтобы этого избежать, вам необходимо понимать, какие возможности имеют разные роли пользователей в WordPress. Дополнительную информацию по этой теме см. В нашем руководстве для начинающих по ролям и разрешениям пользователей WordPress.

13. Ограничьте доступ к панели управления

На некоторых сайтах WordPress есть определенные пользователи, которым нужен доступ к панели инструментов, а некоторые - нет. Однако по умолчанию все они могут получить доступ к админке.

Чтобы исправить это, вам необходимо установить и активировать плагин Remove Dashboard Access. После активации перейдите на страницу «Настройки» »Доступ к панели управления и выберите, какие роли пользователей будут иметь доступ к области администрирования на вашем сайте.

Более подробные инструкции см. В нашем руководстве по ограничению доступа к панели управления в WordPress.

14. Выбросите из системы бездействующих пользователей

Выход из системы бездействующего пользователя

WordPress не выполняет автоматический выход пользователей из системы до тех пор, пока они явно не выйдут из системы или не закроют окно своего браузера. Это может быть проблемой для сайтов WordPress с конфиденциальной информацией. Вот почему веб-сайты и приложения финансовых учреждений автоматически выводят пользователей из системы, если они не были активны.

Чтобы исправить это, вы можете установить и активировать плагин Idle User Logout. После активации перейдите на страницу «Настройки» »« Выход из системы »и введите время, по истечении которого пользователи должны автоматически выходить из системы.

Подробнее читайте в нашей статье о том, как автоматически выйти из системы в WordPress.

Мы надеемся, что эта статья помогла вам узнать несколько новых советов и рекомендаций по защите вашей админки WordPress. Вы также можете ознакомиться с нашим окончательным пошаговым руководством по безопасности WordPress для начинающих.

Нужна помощь с WordPress? Свяжитесь сейчас
[email protected]

Это переведенная версия оригинальной статьи от wpbeginner, весь контент, изображения и авторство принадлежит автору

Как отслеживать и сокращать количество отказов от форм в WordPress

Вы хотите отслеживать и сокращать количество отказов от форм в WordPress? Заброшенные формы приводят к более низким конверсиям и меньшему доходу.

Как изменить цвет адресной строки в мобильном браузере, чтобы он соответствовал вашему сайту WordPress

Вы заметили, что многие популярные веб-сайты, такие как BBC и Facebook, используют цвета собственного бренда для адресной строки в мобильном браузере.

Как легко перенести WordPress в новый домен (без потери SEO)

Вы хотите переместить свой сайт WordPress на новый домен? Изменение доменного имени вашего веб-сайта может значительно повлиять на ваш рейтинг в поисковых

Как показать отрывок из защищенного паролем сообщения в WordPress

Знаете ли вы, что вы можете защитить паролем свои сообщения WordPress? По умолчанию WordPress не показывает пользователям содержимое защищенного сообщения,