TechBlogSD - Все для WordPress и WEB разработки
WEB и WordPress инструкции, новости, обзоры тем и плагинов

Как защитить страницу входа в WordPress

305

Веб-безопасность должна быть постоянной и постоянной заботой для всех веб-сайтов. Независимо от того, какие меры предосторожности вы приняли, всегда есть возможности для улучшения. Это потому, что не существует такой вещи, как надежная защита. Добавьте к этому, что хакеры рыщут 24 часа в сутки, 7 дней в неделю, так что вам нужно постоянно быть начеку. Хостинг, слабые пароли, старые версии WordPress или сомнительные темы / плагины – это возможные точки входа для ботов на ваш сайт.

Один из способов усложнить задачу хакерам – усилить защиту вашего администратора WordPress или страницы входа. Это шлюз на ваш сайт, и вы можете остановить большинство неприятностей прямо на пороге, усилив безопасность на этой странице.

Некоторые способы защиты своей страницы администратора,

Изменение имени пользователя

Имя пользователя по умолчанию в WordPress – «Admin», и боты это знают. Теперь, если они могут угадать ваш пароль, вы буквально вручите им приглашение войти. Так что измените свое имя пользователя на что-нибудь уникальное и непонятное. Например, для New York Soccer Club имя пользователя «NY Soccer» не подходит.

Как защитить страницу входа в WordPress

Вы можете изменить имя пользователя, выполнив следующие простые шаги:

  • Войдите в WordPress, используя существующую учетную запись администратора.
  • Добавьте нового пользователя, нажав «Пользователи»> «Добавить нового».
  • Выберите роль «Администратор» для этого нового пользователя. Выберите здесь уникальное имя пользователя, так как этот недавно добавленный пользователь станет новым пользователем-администратором.
  • Выйдите из старой учетной записи пользователя «Admin».
  • Войдите снова, используя новое уникальное имя пользователя, которое вы создали.
  • Удалите исходного пользователя «Admin». Вам нужно будет переназначить все ваши старые сообщения от старого пользователя «Admin» новому пользователю.

Вы также можете изменить имя пользователя, открыв файл phpMyAdmin. Читайте об этом на SiteGround.

Надежный пароль

Смена имени пользователя – это только половина дела. Укрепите свой пароль, чтобы роботы не могли его угадать. Дни рождения, имя питомца, любимого спортсмена можно угадать правильно. Атаки методом грубой силы – это просто частые и повторяющиеся попытки угадать пароль методом проб и ошибок. И они обязательно добьются успеха, если пароль слабый. Поэтому важны надежные пароли.

В надежном пароле в идеале должна использоваться комбинация цифр и букв, как в верхнем, так и в нижнем регистре. Добавьте один-два символа вроде “!” или же ‘@'. WordPress предоставляет возможность создать надежный пароль, и вы тоже можете его использовать. Или воспользуйтесь помощью генератора паролей. Проверьте надежность вашего пароля на странице “Насколько безопасен мой пароль”. И регулярно меняйте пароль.

Как защитить страницу входа в WordPress

Вам сложно запомнить пароль? Ознакомьтесь с такими менеджерами паролей, как LastPass, DashLane, KeePass, 1Password и RoboForm. Менеджер паролей хранит все ваши пароли в зашифрованном виде, и вы можете получить к нему доступ с любого устройства.

Если я не настаивал на надежном пароле, этот отчет от SplashData, в котором перечислены худшие пароли 2015 года, возможно, убедит вас.

Ограничить доступ пользователей

Если вы единственный, кто имеет доступ к админке, это не для вас. Но если вы разрешаете доступ к бэкэнду нескольким пользователям, вы должны строго контролировать их права. Разрешите доступ и привилегии только к областям и в той степени, в которой они необходимы для выполнения своих задач.

Как защитить страницу входа в WordPress

Мало того, пользователи вашего сайта также должны использовать надежные пароли. Чтобы гарантировать это, вы можете установить плагин Force Strong Passwords. Этот плагин позволяет пользователям получить доступ к сайту, только если они установили для себя надежный пароль. Или вы можете взглянуть на Решение безопасности входа в систему, которое также проверяет и обеспечивает надежность пароля, не раздражая настоящих пользователей.

Ограничить попытки входа в систему

Боты получают доступ на ваш сайт, пробуя различные комбинации имени пользователя и пароля. Им может потребоваться много попыток, прежде чем они смогут взломать. Если мы ограничим количество попыток, которые могут быть сделаны с одного IP-адреса, мы сможем значительно снизить шансы на получение доступа ботами.

Как защитить страницу входа в WordPress

Есть специализированный плагин, который может выполнить эту задачу –

  • Ограничить попытки входа в систему – ограничивает частоту попыток входа в систему для каждого IP-адреса. Это часто используемый плагин, хотя он давно не обновлялся.
  • Защита входа в систему методом грубой силы – защищает ваш сайт от атак методом грубой силы с использованием .htaccess.
  • Jetpack Protect – для защиты веб-сайтов WordPress от атак бот-сетей.

Также стоит отметить, что некоторые веб-хосты предлагают встроенную функцию. WP Engine, например, добавил это на свою платформу хостинга еще в начале 2015 года, чтобы сделать веб-сайты, которые они размещают, более безопасными (в дополнение к их бесплатному SSL, двухфакторной аутентификации, автоматическому резервному копированию, нескольким брандмауэрам, сканированию на вредоносное ПО и т.д. ).

Измените URL для входа

URL-адресом для входа на все веб-сайты WordPress по умолчанию является основной URL-адрес вашего сайта, за которым следует wp-login.php или wp-admin например, mywebsite.com/wp-login.php. Хакеры это знают, и если вы сможете изменить этот URL, им будет сложнее попасть на ваш сайт.

Вы можете установить Protect WP-Admin, чтобы изменить URL-адрес вашей панели администратора и заблокировать ссылки по умолчанию. Вы можете изменить его на что угодно, например mywebsite.com/allow_admin_access. Когда запрос для mywebsite.com/wp-login.php или mywebsite.com/wp-admin достигает сайта, он будет перенаправлен на домашнюю страницу. И только настраиваемый URL будет разрешен в панель администратора.

Как защитить страницу входа в WordPress

Совершенно надежный способ защитить вашу страницу администратора – полностью заблокировать доступ к вашим страницам wp-admin и wp-login.php. Но это можно использовать, только если вы используете один IP-адрес, который не меняется. В противном случае вы рискуете получить доступ к своему веб-сайту. Если вы можете отслеживать несколько IP-адресов, вы все равно можете выбрать этот вариант.

Вы также можете ограничить доступ к вашему файлу wp-login.php, используя базовую аутентификацию HTTP. Это внешний уровень безопасности, который пользователь должен пройти, чтобы перейти на страницу входа. Вам нужно будет создать файл .htpasswd, чтобы перечислить все авторизованные имена пользователей и их соответствующие зашифрованные пароли. Атака методом перебора может быть запущена и против базовой аутентификации HTTP, но взломать оба уровня хакерам придется вдвое сложнее.

Добавьте SSL на свой сайт

SSL – стандартная технология безопасности. HTTP – это протокол передачи гипертекста для передачи данных между сервером и браузером. Безопасная версия HTTP – это HTTPS, буква «S» означает «Secure». Вместе они подтверждают идентичность веб-сайта пользователю и заверяют пользователя в конфиденциальности между веб-сайтом и браузером пользователя.

После настройки SSL / HTTPS сервер шифрует данные, и только браузер пользователя может их расшифровать. Для любой нежелательной третьей стороны данные не будут иметь никакого смысла и будут отображаться в виде строки символов. В качестве бонуса вы обнаружите, что Google отдает предпочтение HTTPS при ранжировании веб-сайтов.

Получение сертификата SSL больше не может быть необязательным, особенно если вы используете браузер Chrome. Это связано с тем, что Google намерен отмечать все сайты, не использующие HTTPS, как «небезопасные».

Как защитить страницу входа в WordPress

Сегодня все сайты, не использующие HTTPS, просто нейтральны в отношении индикации статуса SSL, но это изменится в январе 2017 года. Все веб-сайты, требующие паролей или сбор информации о кредитных картах, должны стать безопасными, иначе Google рискнет быть помеченным как небезопасные.

Есть много компаний, таких как Comodo, DigiCert и SSL.com, предлагающих услуги по сертификации. Сертификаты можно получить без особых затрат у SSLMate и бесплатно у Lets Encrypt. Некоторые поставщики услуг хостинга предлагают бесплатный SSL в своих тарифных планах. Вы можете узнать больше об установке SSL в нашем руководстве по HTTPS и бесплатному SSL.

Двухфакторная аутентификация

Двухфакторная аутентификация – один из самых безопасных способов защиты вашего сайта от хакеров. Он работает в дополнение к стандартному имени пользователя и паролю, которые у вас уже есть. После того, как вы введете эти учетные данные, код будет сгенерирован на вашем устройстве, часто на вашем смартфоне. Только после ввода этого кода вы получаете доступ к сайту.

Как защитить страницу входа в WordPress

Многие бесплатные и платные плагины доступны для установки на вашем сайте. Этот метод безопасности существует довольно давно, но сейчас все чаще применяется для доступа к веб-сайтам. Вы можете узнать больше о двухфакторной аутентификации в нашей предыдущей публикации.

Плагины безопасности

Многие веб-сайты устанавливают плагины, которые комплексно заботятся о безопасности WordPress. Они включают в себя защиту брандмауэра, сканирование на вредоносное ПО, занесение IP-адресов в черный и белый списки, мониторинг активности пользователей, ведение журнала аудита и в целом усиление безопасности. Доступны как бесплатные, так и премиальные варианты.

Некоторые плагины, которые включают защиту входа в систему,

Как защитить страницу входа в WordPress

  • Wordfence – обеспечивает надежные пароли и предотвращает атаки методом грубой силы.
  • iThemes – борется с автоматическими атаками и ограничивает количество попыток входа в систему. Он также реализует более жесткие учетные данные пользователя.
  • Все в одном: безопасность и брандмауэр – предотвращает атаки методом перебора и позволяет блокировать уровень IP, блокируя пользователя по истечении заданного периода времени. Другие функции защиты входа в систему включают блокировку входа и внесение IP-адресов в белый и черный список.
  • BulletProof Securityзащита от входа и перебора.
  • McAfee Secure – предлагает несколько уровней защиты, включая отметку о доверенном сайте, сканирование вредоносных программ и защиту личных данных для магазинов электронной коммерции (огромный актив).

Последние мысли

Методы, перечисленные в этом посте, в основном простые, но очень эффективные способы, с помощью которых вы можете ограничить доступ ботов, вредоносных программ и злоумышленников к вашему сайту. Вы также можете добавить капчи или другие небольшие тесты, чтобы убедиться, что попытка входа была сделана человеком, и предотвратить появление ботов. Если вам нужны дополнительные советы по безопасности WordPress, прочтите, что говорит Фредди в этом посте.

Источник записи: https://www.wpexplorer.com

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее