Часто ли вы видите атаки на область администрирования WordPress? Защита области администратора от несанкционированного доступа позволяет блокировать многие распространенные угрозы безопасности. В этой статье мы расскажем вам о некоторых жизненно важных советах и хаках для защиты вашей админ-зоны WordPress.
- 1. Используйте брандмауэр приложений веб-сайта
- 2. Защита паролем директории администратора WordPress
- 3. Всегда используйте надежные пароли
- 4. Использование двухступенчатой верификации на экране входа в WordPress
- 5. Ограничение попыток входа в систему
- 6. Ограничьте доступ к входу для IP-адресов
- 7. Отключить подсказки для входа в систему
- 8. Требуйте от пользователей использовать надежные пароли
- 9. Сброс пароля для всех пользователей
- 10. Обновление WordPress
- 11. Создание пользовательских страниц входа и регистрации
- 12. Узнайте о ролях и разрешениях пользователей WordPress
- 13. Ограничение доступа к приборной панели
- 14. Выход из системы неработающих пользователей
1. Используйте брандмауэр приложений веб-сайта
Брандмауэр приложений сайта или WAF отслеживает трафик сайта и блокирует подозрительные запросы на вашем сайте.
Хотя существует несколько плагинов брандмауэра WordPress, мы рекомендуем использовать Sucuri. Это служба безопасности и мониторинга веб-сайтов, которая предлагает облачный WAF для защиты вашего сайта.
Весь трафик вашего сайта сначала проходит через их облачный прокси-сервер, где они анализируют каждый запрос и блокируют подозрительные запросы, чтобы они никогда не достигли вашего сайта. Она предотвращает возможные попытки взлома, фишинг, вредоносное ПО и другие вредоносные действия на вашем сайте.
Для более подробной информации смотрите, как Sucuri помог нам заблокировать 450 000 атак за один месяц.
2. Защита паролем директории администратора WordPress
Ваша область администрирования WordPress уже защищена вашим паролем WordPress. Однако, добавление защиты паролем в каталог администратора WordPress добавляет еще один уровень безопасности вашему сайту.
Сначала войдите в панель управления cPanel вашего хостинга WordPress, а затем нажмите на иконку «Защита паролем каталогов» или «Конфиденциальность каталогов».
Далее вам нужно выбрать папку wp-admin, которая обычно находится в каталоге /public_html/.
На следующем экране вам нужно установить флажок рядом с опцией ‘Password protect this directory’ и указать имя для защищенного каталога.
После этого нажмите на кнопку сохранения, чтобы установить разрешения.
Далее вам нужно нажать кнопку назад, а затем создать пользователя. Вам будет предложено ввести имя пользователя / пароль, а затем нажать на кнопку сохранения.
Теперь, когда кто-то попытается зайти в админку WordPress или каталог wp-admin на вашем сайте, ему будет предложено ввести имя пользователя и пароль.
3. Всегда используйте надежные пароли
Всегда используйте надежные пароли для всех ваших учетных записей в Интернете, включая ваш сайт WordPress. Мы рекомендуем использовать комбинацию букв, цифр и специальных символов в ваших паролях. Это усложняет хакерам задачу угадывания вашего пароля.
Новички часто спрашивают нас, как запомнить все эти пароли. Самый простой ответ заключается в том, что вам это не нужно. Есть несколько действительно замечательных приложений для управления паролями, которые можно установить на компьютер и телефон.
Для получения дополнительной информации по этой теме, смотрите наше руководство о лучшем способе управления паролями для начинающих пользователей WordPress.
4. Использование двухступенчатой верификации на экране входа в WordPress
Двухступенчатая проверка добавляет еще один уровень безопасности к вашим паролям. Вместо использования только пароля, он просит вас ввести проверочный код, сгенерированный приложением Google Authenticator на вашем телефоне.
Даже если кто-то сможет угадать ваш пароль WordPress, ему все равно понадобится код Google Authenticator, чтобы войти.
Подробные пошаговые инструкции смотрите в нашем руководстве по настройке двухэтапной проверки в WordPress с помощью Google Authenticator.
5. Ограничение попыток входа в систему
По умолчанию WordPress позволяет пользователям вводить пароли столько раз, сколько они хотят. Это означает, что кто-то может продолжать пытаться угадать ваш пароль WordPress, вводя различные комбинации. Это также позволяет хакерам использовать автоматические скрипты для взлома паролей.
Чтобы исправить это, вам нужно установить и активировать плагин Login LockDown. После активации перейдите на сайт Настройки » Блокировка входа страница для настройки параметров плагина.
6. Ограничьте доступ к входу для IP-адресов
Еще одним отличным способом защиты входа в WordPress является ограничение доступа к определенным IP-адресам. Этот совет особенно полезен, если доступ к области администратора нужен вам или нескольким доверенным пользователям.
Просто добавьте этот код к вашему .файл htaccess.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basicorder deny,allow deny from all # whitelist's Syed's IP address allow from xx.xx.xx.xxx # белый список IP-адрес Дэвида разрешить от xx.xx.xx.xxx
Не забудьте заменить значения xx на свой собственный IP-адрес. Если вы используете более одного IP-адреса для доступа в интернет, то убедитесь, что вы добавили и их.
Подробные инструкции см. в нашем руководстве о том, как ограничить доступ к админке WordPress с помощью .htaccess.
7. Отключить подсказки для входа в систему
При неудачной попытке входа WordPress показывает ошибки, которые сообщают пользователям, что их имя пользователя было неверным или пароль был неверным. Эти подсказки для входа могут быть использованы кем-то для злоумышленных попыток.
Вы можете легко скрыть эти подсказки для входа, добавив этот код в функции вашей темы.php файл или плагин для конкретного сайта.
function no_wordpress_errors() < return 'Something is wrong!'; >add_filter( 'login_errors', 'no_wordpress_errors' );
8. Требуйте от пользователей использовать надежные пароли
Если у вас сайт WordPress с несколькими авторами, то эти пользователи могут отредактировать свой профиль и использовать слабый пароль. Эти пароли могут быть взломаны и дать кому-то доступ к админзоне WordPress.
Чтобы исправить ситуацию, вы можете установить и активировать плагин Force Strong Passwords. Это работает из коробки, и вам не нужно настраивать какие-либо параметры. После активации он запретит пользователям сохранять слабые пароли.
Не будет проверять надежность пароля для существующих учетных записей пользователей. Если пользователь уже использует слабый пароль, то он сможет продолжать использовать свой пароль.
9. Сброс пароля для всех пользователей
Беспокоитесь о безопасности паролей на вашем многопользовательском сайте WordPress? Вы можете легко попросить всех пользователей сбросить свои пароли.
Во-первых, вам нужно установить и активировать плагин Emergency Password Reset. После активации перейдите на сайт Пользователи » Экстренный сброс пароля страницу и нажмите на кнопку «Сбросить все пароли».
Подробные инструкции см. в нашем руководстве о том, как сбросить пароли для всех пользователей в WordPress
10. Обновление WordPress
WordPress часто выпускает новые версии программного обеспечения. Каждый новый выпуск WordPress содержит важные исправления ошибок, новые функции и исправления безопасности.
Использование более старой версии WordPress на вашем сайте делает вас открытым для известных эксплойтов и потенциальных уязвимостей. Чтобы решить эту проблему, вам необходимо убедиться, что вы используете последнюю версию WordPress. Подробнее об этой теме читайте в нашем руководстве о том, почему всегда следует использовать последнюю версию WordPress.
Аналогичным образом, плагины WordPress также часто обновляются для введения новых функций или исправления проблем безопасности и других проблем. Убедитесь, что ваши плагины WordPress также обновлены.
11. Создание пользовательских страниц входа и регистрации
Многие сайты WordPress требуют от пользователей регистрации. Например, сайты членства, сайты управления обучением или интернет-магазины требуют от пользователей создания учетной записи.
Однако эти пользователи могут использовать свои аккаунты для входа в админзону WordPress. Это не является большой проблемой, так как они смогут делать только то, что разрешено их ролью пользователя и возможностями. Однако это мешает вам правильно ограничить доступ к страницам входа и регистрации, поскольку эти страницы нужны для того, чтобы пользователи могли регистрироваться, управлять своим профилем и входить в систему.
Простой способ исправить это — создать пользовательские страницы входа и регистрации, чтобы пользователи могли регистрироваться и входить в систему прямо с вашего сайта.
Подробные пошаговые инструкции вы найдете в нашем руководстве по созданию пользовательских страниц входа и регистрации в WordPress.
12. Узнайте о ролях и разрешениях пользователей WordPress
WordPress поставляется с мощной системой управления пользователями с различными ролями и возможностями пользователей. При добавлении нового пользователя на ваш сайт WordPress вы можете выбрать для него роль пользователя. Роль пользователя определяет, что он может делать на вашем сайте WordPress.
Назначение неправильной роли пользователя может дать людям больше возможностей, чем им нужно. Чтобы избежать этого, вам нужно понять, какие возможности предоставляют различные роли пользователей в WordPress. Подробнее об этой теме читайте в нашем руководстве для начинающих по ролям и разрешениям пользователей WordPress.
13. Ограничение доступа к приборной панели
На некоторых сайтах WordPress есть определенные пользователи, которым нужен доступ к приборной панели, и некоторые пользователи, которым он не нужен. Однако по умолчанию все они могут получить доступ к области администратора.
Чтобы исправить это, вам нужно установить и активировать плагин Remove Dashboard Access. После активации перейдите в раздел Настройки » Доступ к приборной панели страницу и выбрать, какие роли пользователей будут иметь доступ к области администратора на вашем сайте.
Для получения более подробных инструкций смотрите наше руководство о том, как ограничить доступ к приборной панели в WordPress.
14. Выход из системы неработающих пользователей
WordPress не выводит пользователей из системы автоматически, пока они явно не выйдут из системы или не закроют окно браузера. Это может быть проблемой для сайтов WordPress с конфиденциальной информацией. Вот почему сайты и приложения финансовых учреждений автоматически выводят пользователей из системы, если они не были активны.
Чтобы исправить это, вы можете установить и активировать плагин Idle User Logout. После активации перейдите на страницу Настройки » Выход неработающего пользователя страницу и введите время, через которое вы хотите, чтобы пользователи автоматически выходили из системы.
Мы надеемся, что эта статья помогла вам узнать несколько новых советов и хаков для защиты области администрирования WordPress. Вы также можете посмотреть наше полное пошаговое руководство по безопасности WordPress для начинающих.
Источник: www.wpbeginner.com