Вы видите много атак на вашу админ-панель WordPress? Защита административной области от несанкционированного доступа позволяет блокировать многие распространенные угрозы безопасности. В этой статье мы покажем вам несколько жизненно важных советов и приемов по защите вашей админ-панели WordPress.
^
1. Используйте брандмауэр приложения веб-сайта
Брандмауэр веб-приложения или WAF отслеживает трафик веб-сайта и блокирует подозрительные запросы от посещения вашего веб-сайта.
Хотя есть несколько плагинов для брандмауэра WordPress, мы рекомендуем использовать Sucuri. Это служба безопасности и мониторинга веб-сайтов, которая предлагает облачный WAF для защиты вашего веб-сайта.
^
Весь трафик вашего веб-сайта сначала проходит через облачный прокси-сервер, где они анализируют каждый запрос и блокируют подозрительные обращения на ваш сайт. Это предотвращает ваш сайт от возможных попыток взлома, фишинга, вредоносных программ и других вредоносных действий.
Для получения более подробной информации, посмотрите, как Sucuri помог нам блокировать 450 000 атак за один месяц.
2. Защита паролем WordPress Admin Directory
Ваша админ-панель WordPress уже защищена вашим паролем WordPress. Однако добавление защиты паролем в папку администратора WordPress добавляет еще один уровень безопасности на ваш сайт.
Сначала войдите в панель управления хостингом WordPress cPanel, а затем нажмите значок «Защита паролем каталогов» или «Конфиденциальность каталога».
^
Затем вам нужно будет выбрать папку wp-admin, которая обычно находится в каталоге / public_html /.
На следующем экране необходимо установить флажок «Защита паролем этого каталога» и указать имя защищенного каталога.
После этого нажмите кнопку «Сохранить», чтобы установить права доступа.
^
Далее необходимо нажать кнопку «Назад», а затем создать пользователя. Вам будет предложено ввести имя пользователя / пароль, а затем нажмите кнопку Сохранить.
Теперь, когда кто-то пытается зайти в каталог администратора WordPress или wp-admin на вашем сайте, ему будет предложено ввести имя пользователя и пароль.
^
Для получения более подробных инструкций см. Наше руководство о том, как защитить паролем каталог WordPress admin (wp-admin).
3. Всегда используйте надежные пароли
^
Всегда используйте надежные пароли для всех ваших учетных записей в Интернете, включая ваш сайт WordPress. Мы рекомендуем использовать комбинацию букв, цифр и специальных символов в ваших паролях. Из-за этого хакерам будет сложнее угадать ваш пароль.
Начинающие часто спрашивают нас, как запомнить все эти пароли. Самый простой ответ – вам это не нужно. Есть несколько действительно хороших приложений для управления паролями, которые вы можете установить на свой компьютер и телефоны.
Для получения дополнительной информации по этой теме см. Наше руководство по наилучшему способу управления паролями для начинающих WordPress.
4. Используйте двухэтапную проверку для экрана входа в WordPress
^
Двухэтапная проверка добавляет еще один уровень безопасности для ваших паролей. Вместо того, чтобы использовать только пароль, он просит вас ввести проверочный код, созданный приложением Google Authenticator, на вашем телефоне.
Даже если кто-то сможет угадать ваш пароль WordPress, ему все равно понадобится код Google Authenticator.
Подробные пошаговые инструкции см. В нашем руководстве о том, как настроить двухэтапную проверку в WordPress с помощью Google Authenticator.
5. Ограничить попытки входа
^
По умолчанию WordPress позволяет пользователям вводить пароли столько раз, сколько они хотят. Это означает, что кто-то может продолжать пытаться угадать ваш пароль WordPress, вводя различные комбинации. Это также позволяет хакерам использовать автоматические сценарии для взлома паролей.
Чтобы это исправить, вам нужно установить и активировать плагин Login LockDown. После активации перейдите на страницу Настройки »Логин LockDown страницу, чтобы настроить параметры плагина.
Для получения подробных инструкций см. Наше руководство о том, почему вы должны ограничивать попытки входа в WordPress.
6. Ограничить доступ к IP-адресам
Еще один отличный способ защитить вход в WordPress – ограничить доступ к определенным IP-адресам. Этот совет особенно полезен, если вам или нескольким доверенным пользователям нужен доступ к административной области.
Просто добавьте этот код в ваш файл .htaccess.
^
Не забудьте заменить значения хх своим IP-адресом. Если вы используете более одного IP-адреса для доступа к Интернету, обязательно добавьте их.
Для получения подробных инструкций см. Наше руководство о том, как ограничить доступ к администратору WordPress с помощью .htaccess.
7. Отключите подсказки для входа
^
При неудачной попытке входа в систему WordPress отображает ошибки, которые сообщают пользователям, было ли неправильное имя пользователя или пароль. Эти подсказки могут быть использованы кем-либо для злонамеренных попыток.
Вы можете легко скрыть эти подсказки при входе, добавив этот код в файл functions.php вашей темы или в плагин для конкретного сайта.
^
8. Требовать от пользователей использовать надежные пароли
Если вы пользуетесь сайтом WordPress с несколькими авторами, эти пользователи могут редактировать свой профиль и использовать слабый пароль. Эти пароли могут быть взломаны и дать кому-то доступ к админке WordPress.
Чтобы это исправить, вы можете установить и активировать плагин Force Strong Passwords. Он работает из коробки, и нет никаких настроек для настройки. После активации пользователи не смогут сохранять более слабые пароли.
Он не будет проверять надежность пароля для существующих учетных записей пользователей. Если пользователь уже использует слабый пароль, он сможет продолжить использовать свой пароль.
9. Сбросить пароль для всех пользователей
Беспокоитесь о безопасности пароля на вашем многопользовательском сайте WordPress? Вы можете легко попросить всех своих пользователей сбросить свои пароли.
Сначала вам нужно установить и активировать плагин Emergency Password Reset. После активации перейдите на страницу Пользователи »Экстренный сброс пароля и нажмите кнопку« Сбросить все пароли ».
^
Подробные инструкции см. В нашем руководстве о том, как сбросить пароли для всех пользователей в WordPress.
10. Держите WordPress обновленным
WordPress часто выпускает новые версии программного обеспечения. Каждый новый выпуск WordPress содержит важные исправления ошибок, новые функции и исправления безопасности.
Использование более старой версии WordPress на вашем сайте оставляет вас открытыми для известных эксплойтов и потенциальных уязвимостей. Чтобы это исправить, вам нужно убедиться, что вы используете последнюю версию WordPress. Подробнее об этой теме читайте в нашем руководстве о том, почему вы всегда должны использовать последнюю версию WordPress.
Точно так же плагины WordPress также часто обновляются, чтобы представить новые функции или исправить безопасность и другие проблемы. Убедитесь, что ваши плагины WordPress также актуальны.
11. Создание пользовательских страниц входа и регистрации
Многие сайты WordPress требуют, чтобы пользователи регистрировались. Например, сайты членства, сайты управления обучением или интернет-магазины нуждаются в пользователях для создания учетной записи.
Однако эти пользователи могут использовать свои учетные записи для входа в админку WordPress. Это не большая проблема, так как они смогут делать только то, что разрешено их пользовательской ролью и возможностями. Тем не менее, он мешает вам надлежащим образом ограничить доступ к страницам входа и регистрации, так как эти страницы нужны пользователям для регистрации, управления своим профилем и входа в систему.
Самый простой способ это исправить – создать пользовательские страницы входа и регистрации, чтобы пользователи могли зарегистрироваться и войти прямо с вашего сайта.
Подробные пошаговые инструкции см. В нашем руководстве о том, как создавать настраиваемые страницы входа и регистрации в WordPress.
12. Узнайте о ролях и разрешениях пользователей WordPress.
WordPress поставляется с мощной системой управления пользователями с различными пользовательскими ролями и возможностями. При добавлении нового пользователя на ваш сайт WordPress вы можете выбрать для него роль пользователя. Эта роль пользователя определяет, что они могут делать на вашем сайте WordPress.
Назначение неправильной роли пользователя может дать людям больше возможностей, чем им нужно. Чтобы избежать этого, вы должны понимать, какие возможности предоставляются с различными ролями пользователей в WordPress. Для получения дополнительной информации по этой теме см. Наше руководство для начинающих по ролям и разрешениям пользователей WordPress.
13. Ограничить доступ к панели инструментов
У некоторых сайтов WordPress есть определенные пользователи, которым нужен доступ к панели инструментов, а некоторые пользователи этого не делают. Однако по умолчанию все они могут получить доступ к области администратора.
Чтобы это исправить, вам нужно установить и активировать плагин Remove Dashboard Access. После активации перейдите на страницу Настройки »Доступ к панели инструментов и выберите, какие роли пользователей будут иметь доступ к административной области на вашем сайте.
Для получения более подробных инструкций см. Наше руководство по ограничению доступа к панели мониторинга в WordPress.
14. Выйдите из режима ожидания
^
WordPress не выполняет автоматический выход пользователей из системы, пока они явно не выйдут из системы или не закроют окно браузера. Это может быть проблемой для сайтов WordPress с конфиденциальной информацией. Вот почему веб-сайты и приложения финансовых учреждений автоматически отключают пользователей, если они не были активны.
Чтобы это исправить, вы можете установить и активировать плагин Idle User Logout. После активации перейдите на страницу Настройки »Idle User Logout и введите время, по истечении которого вы хотите, чтобы пользователи автоматически выходили из системы.
Для получения более подробной информации, смотрите нашу статью о том, как автоматически выходить из простоя пользователей в WordPress.
Мы надеемся, что эта статья помогла вам освоить несколько новых советов и приемов для защиты вашей админ-панели WordPress. Возможно, вы также захотите ознакомиться с нашим пошаговым руководством по безопасности WordPress для начинающих.
