Jak zabezpieczyć stronę logowania WordPress? (z wideo)

Ostatnia aktualizacja - 8 lipca 2021

Bezpieczeństwo witryny to jedna z najczęstszych obaw właściciela witryny WordPress. Mimo że WordPress jest bezpieczną platformą, witryny są często poddawane wielu próbom włamań. Ogólnie rzecz biorąc, eksperci WordPress zalecają stosowanie rozwiązania zabezpieczającego, aby zachować ostrożność. Na szczęście w ekosystemie WordPress dostępnych jest kilka rozwiązań bezpieczeństwa, które pomogą Ci chronić Twoją witrynę. Istnieje też kilka strategii, które możesz zastosować, aby zabezpieczyć swoją witrynę przed złośliwym oprogramowaniem i atakami. Najlepiej stosować się do tych praktyk, aby upewnić się, że Twoja witryna nie jest podatna na ataki. W tym artykule omówimy kilka strategii zabezpieczania strony logowania do WordPressa.

Użyj bezpiecznej nazwy użytkownika i hasła

Musisz mieć bezpieczną nazwę użytkownika i hasło do swojej witryny WordPress. Pomoże Ci to zabezpieczyć witrynę przed atakami typu brute force. Ataki typu brute force to przypadki, w których hakerzy próbują włamać się do Twojej witryny, nieustannie próbując różnych kombinacji nazwy użytkownika i hasła. W tym przypadku szczególnie ważne jest posiadanie innej nazwy użytkownika niż domyślna „admin”. Jeśli zachowasz admin jako swoją nazwę użytkownika, hakerzy nie będą mieli problemów z odgadnięciem Twojej nazwy użytkownika. Jednym z pierwszych kroków, które możesz wykonać, aby zabezpieczyć swoją stronę logowania WordPress, będzie zmiana nazwy użytkownika z admin na inną.

Teraz będzie powszechnie wiadomo, że musisz używać bezpiecznego hasła. WordPress domyślnie generuje silne hasła, nawet jeśli możesz wybrać słabsze. Eksperci zdecydowanie odradzają wybieranie słabego hasła. W tym celu możesz skorzystać z jednej z popularnych wtyczek zabezpieczających, które wymuszą użycie silnego hasła. Jeśli masz wielu użytkowników zewnętrznych, może to być dobry sposób na zwiększenie bezpieczeństwa witryny.

Ogranicz liczbę dodawanych użytkowników

Jeśli zezwalasz innym użytkownikom na logowanie się do backendu Twojej witryny, musisz zachować ostrożność. Witryna staje się bardziej podatna na ataki, gdy wielu użytkowników ma dostęp administracyjny do Twojej witryny. Więc rozsądnym rozwiązaniem będzie unikanie tego, chyba że jest to absolutnie konieczne. Jeśli witryna zezwala na zawartość generowaną przez użytkowników, można tworzyć role użytkowników i ograniczać możliwości każdej roli użytkownika zgodnie z określonymi wymaganiami.

Dowiedz się więcej o rolach użytkownika WordPress i o tym, jak dostosować możliwości użytkownika.

Ogranicz próby logowania

Jedną z głównych strategii przyjętych przez hakerów są próby logowania metodą brute force. Aby to się powiodło, będą musieli wielokrotnie próbować zalogować się do Twojej witryny. Ograniczając liczbę prób logowania, możesz zapobiec tej opcji. W ekosystemie WordPress dostępne są narzędzia, które pomogą Ci ograniczyć próby logowania w Twojej witrynie. W dalszej części artykułu omówimy kilka popularnych opcji bezpieczeństwa, z których możesz skorzystać.

Wyłącz wskazówki dotyczące logowania

Innym aspektem, na którym możesz się skupić, aby strona logowania do WordPressa była bezpieczniejsza, jest wyłączenie podpowiedzi logowania oferowanych przez WordPress. Zasadniczo, gdy wprowadzisz nieprawidłowe hasło lub nazwę użytkownika, WordPress wyraźnie wskazuje, które dane uwierzytelniające są nieprawidłowe. Na przykład wyraźnie wyświetli ostrzeżenie pokazujące, które z nich jest prawidłowe, a które niepoprawne. Pomoże to atakującym wiedzieć, że poprawnie odgadł nazwę użytkownika lub hasło.

Możesz użyć poniższego fragmentu kodu, aby wyłączyć te wskazówki dotyczące logowania. Po prostu wklej kod do pliku functions.php swojego motywu.
function no_wordpress_errors(){
return 'You have entered the wrong credentials!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Spowoduje to wyświetlenie ogólnego komunikatu o błędzie, a nie konkretnej wiadomości pomagającej atakującym.

Dostosuj adres URL logowania

W innym artykule omówiliśmy, jak uzyskać dostęp do strony logowania w przeglądarce. Teraz jest to domyślna metoda dostępu do strony logowania, co prawdopodobnie widzą również hakerzy. Możesz ukryć stronę logowania i sprawić, by znalezienie jej było mniej oczywiste, aby uniknąć nawet prób przełamania przez hakerów Twojej ściany bezpieczeństwa.

Istnieją sposoby ochrony strony logowania, a także katalogu wp-admin, aby Twoja witryna była bezpieczniejsza. Możesz użyć wtyczki WPS Hide Login, aby bezpiecznie zmienić stronę URL. Zasadniczo po prostu przerywa żądania stron i pomaga wyświetlić dostosowany adres URL do logowania. Tylko użytkownicy Twojej witryny, którym podasz ten adres URL, będą mogli uzyskać dostęp do strony. Możesz po prostu dezaktywować wtyczkę, aby przywrócić domyślną stronę logowania.

Chroń katalog administratora WordPress

Twoja witryna WordPress jest zasadniczo chroniona hasłem, którego używasz. Według ekspertów możesz dodać dodatkową opcję ochronną, chroniąc hasłem katalog administratora WordPress. Możesz to zrobić ręcznie, logując się do cPanel swojej usługi hostingowej. Tutaj będziesz mógł znaleźć katalog wp-admin, do którego możesz chronić hasłem i tworzyć użytkowników, którzy mają dostęp. Możesz to również zrobić ręcznie, tworząc plik .htpasswds.

Uzyskaj certyfikat SSL

SSL lub Secure Socket Layer tworzy dodatkową opcję bezpieczeństwa dla stron internetowych. Szyfruje komunikację między serwerem a przeglądarką. Uniemożliwi to hakerom dostęp do informacji, w szczególności internetowych transakcji finansowych. Posiadanie certyfikatu SSL dla Twojej witryny sprawi, że strona logowania do WordPressa będzie również bezpieczniejsza. Możesz kupić SSL od zewnętrznego dostawcy, takiego jak Comodo. Możesz też otrzymać bezpłatny certyfikat SSL od Let's Encrypt. Wiele usług hostingowych zapewnia bezpłatne udostępnianie protokołu SSL, jeśli zdecydujesz się na jeden z ich planów hostingowych.

Możesz dowiedzieć się więcej o korzyściach płynących z uzyskania certyfikatu SSL tutaj.

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe dodaje kolejny krok logowania, gdy użytkownicy próbują zalogować się do Twojej witryny. Zasadniczo, gdy użytkownik spróbuje się zalogować, wraz z nazwą użytkownika i hasłem, będzie musiał wprowadzić dodatkowy kod weryfikacyjny. Ten kod weryfikacyjny zostanie wysłany na inne urządzenie, którym jest głównie telefon komórkowy. Dopiero gdy użytkownik wprowadzi ten kod weryfikacyjny, uzyska dostęp do Twojej witryny.

Google Authenticator tworzy na telefonie kody weryfikacji dwuetapowej. Podobnie reCAPTCHA pomoże zmniejszyć liczbę logowań spamowych w Twojej witrynie.

Regularnie aktualizuj WordPress

Jako właściciel witryny WordPress mogłeś już widzieć regularne aktualizacje oprogramowania WordPress. W ten sposób WordPress wprowadza nowe funkcje i dokonuje aktualizacji zabezpieczeń oraz poprawek błędów. Aktualizacja witryny do najnowszej wersji WordPressa jest naprawdę ważna. Jeśli nie zaktualizujesz, Twoja witryna będzie nadal podatna na wiele zagrożeń, którymi już się zajmiesz. Co więcej, dzięki najnowszym aktualizacjom otrzymasz również nowe funkcje.

Jeśli używasz wielu wtyczek i niestandardowych ustawień w swojej witrynie, upewnij się, że nowa aktualizacja niczego nie psuje. Możesz mieć harmonogram aktualizacji, aby upewnić się, że wszystko jest w porządku. Przeczytaj nasz artykuł, aby zrozumieć, jak bezproblemowo zarządzać aktualizacjami WordPressa.

Użyj wtyczki zabezpieczającej

Możesz podjąć wiele szczególnych środków ostrożności, aby zabezpieczyć swoją stronę logowania do WordPressa. Istnieją jednak również opcje, dzięki którym kompleksowo zadbasz o bezpieczeństwo swojej witryny. W ekosystemie WordPressa znajdziesz wiele rozwiązań, które dbają o wiele aspektów bezpieczeństwa witryny. Pomogą Ci w ciągłym monitorowaniu witryny, ochronie przed złośliwym oprogramowaniem, oferują zapory sieciowe i wiele więcej, które wzmacniają zabezpieczenia Twojej witryny.

Rzućmy okiem na niektóre z ważnych wtyczek bezpieczeństwa WordPress, które mogą pomóc w zabezpieczeniu witryny WordPress:

Plecak odrzutowy

Jetpack zapewni ochronę Twojej witryny poprzez ciągły monitoring, regularne tworzenie kopii zapasowych i solidną ochronę przed niepożądanymi intruzami. Oto niektóre z istotnych funkcji Jetpack:

• Pomaga zapobiegać atakom brute force
• Bezpieczne uwierzytelnianie strony logowania WordPress.
• Skanowanie złośliwego oprogramowania
• Niezwłocznie powiadamiaj o wszelkich przestojach w witrynie.
• Kopie zapasowe są zapisywane w innej lokalizacji i umożliwiają łatwe przywracanie.
• Raportuj całą aktywność w witrynie z dokładnym harmonogramem.
• Filtr komentarzy.

Wordfence

Wordfence to kolejne popularne rozwiązanie, które oferuje wszechstronną ochronę Twojej witryny WordPress. Znajdziesz wiele przydatnych funkcji, jak podano poniżej:

• Zapora aplikacji sieci Web do blokowania złośliwego ruchu do Twojej witryny.
• Skaner bezpieczeństwa do sprawdzania wszelkich prób włamań.
• Identyfikowanie naruszonych haseł i zapobieganie logowaniu się tych użytkowników.
• Monitoruj ruch na żywo i blokuj dostrzegane zagrożenia.
• Uwierzytelnianie dwuskładnikowe
• Naprawa plików.

MalCare

Jest to jedna z niezawodnych opcji, która oferuje pełne bezpieczeństwo WordPress bez wpływu na wydajność Twojej witryny. Dzięki tej wtyczce znajdziesz opcję natychmiastowego usunięcia złośliwego oprogramowania. Niektóre inne funkcje, na które należy zwrócić uwagę, to:

• Skanowanie i usuwanie złośliwego oprogramowania
• Zapora WordPress
• Ochrona strony logowania WordPress.
• Utwardzanie bezpieczeństwa

Mam nadzieję, że ten artykuł dał ci podstawową wiedzę na temat ochrony strony logowania do WordPressa. Zostaw nam komentarz, jeśli masz pytanie lub pomysł do udostępnienia.

Możesz również obejrzeć poniższy samouczek wideo, aby lepiej zrozumieć.

Dalsze czytanie

• Wtyczki zabezpieczające WordPress
• Typowe błędy logowania do WordPressa