Nie ma nic gorszego niż dowiedzieć się, że Twoja strona internetowa została naruszona. Obszar administracyjny WordPress jest głównym punktem wejścia dla hakerów, co czyni go najważniejszą częścią Twojej witryny do ochrony.
Wiemy, że stresujące może być myślenie o atakach typu brute force lub kradzieży danych. Wielu właścicieli stron martwi się, że nie mają umiejętności technicznych, aby odpowiednio zabezpieczyć swój pulpit.
Wspaniałą wiadomością jest to, że nie musisz być ekspertem od bezpieczeństwa, aby wywrzeć ogromny wpływ. Z naszego doświadczenia w zarządzaniu tysiącami witryn WordPress wynika, że wystarczy kilka prostych zmian, aby zbudować silną obronę.
W tym przewodniku przeprowadzimy Cię przez najskuteczniejsze wskazówki dotyczące zabezpieczania obszaru administracyjnego. Te proste kroki zapewnią Ci spokój ducha i bezpieczeństwo Twojej witryny.
Omówimy wiele wskazówek, a poniższe szybkie linki pozwolą Ci się między nimi przełączać:
- 1. Użyj zapory sieciowej
- 2. Zabezpiecz hasłem katalog administratora WordPress
- 3. Zawsze używaj silnych haseł
- 4. Użyj weryfikacji dwuetapowej na ekranie logowania WordPress
- 5. Ogranicz próby logowania
- 6. Ogranicz dostęp do logowania do adresów IP
- 7. Wyłącz podpowiedzi logowania
- 8. Wymagaj od użytkowników używania silnych haseł
- 9. Resetuj hasło dla wszystkich użytkowników
- 10. Aktualizuj WordPress
- 11. Twórz niestandardowe strony logowania i rejestracji
- 12. Poznaj role użytkowników WordPress i uprawnienia
- 13. Ogranicz dostęp do panelu administracyjnego WordPress
- 14. Wyloguj nieaktywnych użytkowników
- Często zadawane pytania dotyczące zabezpieczania panelu administracyjnego WordPress
- Dodatkowe zasoby dotyczące bezpieczeństwa WordPress
1. Użyj zapory sieciowej
Zapora aplikacji internetowej (WAF) monitoruje ruch na Twojej stronie i blokuje podejrzane żądania, zanim dotrą one do Twojego serwera. Jest to Twoja pierwsza linia obrony przed próbami włamania.
Chociaż istnieje kilka wtyczek zapory sieciowej WordPress, zalecamy zaporę sieciową na poziomie DNS, taką jak Cloudflare. Zapory sieciowe na poziomie DNS są skuteczniejsze, ponieważ blokują zagrożenia na krawędzi sieci, dzięki czemu złośliwy ruch nigdy nie dociera do Twojej witryny.
W WPBeginner używamy planu enterprise Cloudflare do ochrony naszej witryny przed próbami włamań, złośliwym oprogramowaniem i innymi złośliwymi działaniami. Aby uzyskać instrukcje konfiguracji krok po kroku, zapoznaj się z naszym artykułem na temat konfiguracji darmowego CDN Cloudflare dla Twojej witryny.
Inną świetną opcją jest Sucuri, którego wcześniej używaliśmy. Aby uzyskać więcej informacji, zapoznaj się z naszym artykułem na temat dlaczego przeszliśmy z Sucuri na Cloudflare.
2. Zabezpiecz hasłem katalog administratora WordPress
Inną wskazówką, która okazała się niezwykle skuteczna, jest dodanie ochrony hasłem do katalogu administracyjnego WordPress. Dodaje to drugą warstwę obrony, wymagając dwóch oddzielnych haseł do uzyskania dostępu do pulpitu nawigacyjnego.
Możesz to zrobić z panelu sterowania hostingu internetowego WordPress. Oto kroki dla cPanel:
- Zaloguj się do panelu administracyjnego hostingu WordPress cPanel i kliknij ikonę „Prywatność katalogu”.
- Wybierz folder
wp-admin, który zazwyczaj znajduje się w katalogu/public_html/. - Zaznacz pole obok „Chroń ten katalog hasłem” i podaj dla niego nazwę.
- Kliknij „Zapisz”, a następnie wróć, aby utworzyć użytkownika z nową nazwą użytkownika i hasłem.
Teraz każdy, kto spróbuje uzyskać dostęp do Twojej strony logowania administratora, najpierw zobaczy monit uwierzytelniania.
To blokuje większość zautomatyzowanych ataków botów.
Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin). Pamiętaj, że te kroki dotyczą hostów korzystających z cPanel. Jeśli używasz innego panelu sterowania, sprawdź dokumentację swojego hosta.
3. Zawsze używaj silnych haseł
Musisz używać silnych, złożonych haseł do wszystkich swoich kont WordPress. Słabe hasła są jedną z najczęstszych przyczyn włamań na strony internetowe.
Silne hasło używa kombinacji wielkich i małych liter, cyfr oraz znaków specjalnych (!, #, @, %, itp.). Im dłuższe, tym bezpieczniejsze będzie.
Prawie niemożliwe jest zapamiętanie dziesiątek skomplikowanych haseł. Dlatego cały nasz zespół w WPBeginner używa menedżera haseł, takiego jak 1Password, do bezpiecznego generowania i przechowywania unikalnych haseł dla każdej usługi.
Aby dowiedzieć się więcej na ten temat, zapoznaj się z naszym przewodnikiem na temat najlepszego sposobu zarządzania hasłami dla początkujących użytkowników WordPress.
4. Użyj weryfikacji dwuetapowej na ekranie logowania WordPress
Weryfikacja dwuetapowa, znana również jako uwierzytelnianie dwuskładnikowe (2FA), dodaje kolejną kluczową warstwę bezpieczeństwa. Używamy 2FA nie tylko na naszych stronach WordPress, ale na wszystkich naszych kontach online, gdzie ta opcja jest dostępna.
Po wprowadzeniu hasła musisz również podać kod wrażliwy na czas, wygenerowany przez aplikację na Twoim telefonie, taką jak 1Password lub Authenticator. Nawet jeśli haker ukradnie Twoje hasło, nie będzie mógł się zalogować bez Twojego telefonu.
Aby uzyskać szczegółowe instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat konfiguracji weryfikacji dwuetapowej w WordPress przy użyciu Google Authenticator.
5. Ogranicz próby logowania
Domyślnie WordPress pozwala użytkownikom próbować logować się tyle razy, ile chcą. Pozwala to hakerom na używanie zautomatyzowanych skryptów do próbowania tysięcy kombinacji haseł w czymś, co jest znane jako „atak siłowy”.
Możesz łatwo zatrzymać to, instalując wtyczkę Limit Login Attempts Reloaded. Po aktywacji przejdź do Ustawienia » Limit prób logowania, aby skonfigurować, ile nieudanych prób jest dozwolonych, zanim adres IP zostanie tymczasowo zablokowany.
Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat dlaczego powinieneś ograniczyć liczbę prób logowania w WordPress.
Aby dowiedzieć się więcej o wtyczce, możesz również zapoznać się z naszą szczegółową recenzją Limit Login Attempts.
6. Ogranicz dostęp do logowania do adresów IP
Ostrzeżenie: Jest to zaawansowana technika i powinna być stosowana tylko wtedy, gdy masz statyczny (stały) adres IP. Większość domowych połączeń internetowych korzysta z dynamicznych adresów IP, które regularnie się zmieniają. Jeśli użyjesz tej metody z dynamicznym adresem IP, zablokujesz sobie dostęp do własnej strony internetowej.
Jeśli masz stały adres IP, możesz ograniczyć dostęp do swojego obszaru administracyjnego tylko do tego adresu. Po prostu dodaj ten kod do swojego pliku .htaccess:
Nie zapomnij zastąpić wartości „xx” własnym adresem IP. Swój aktualny adres IP możesz łatwo znaleźć, wyszukując „jaki jest mój adres IP” w Google. Jeśli używasz więcej niż jednego adresu IP, pamiętaj, aby je również dodać.
Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat ograniczania dostępu do administracji WordPress za pomocą .htaccess.
7. Wyłącz podpowiedzi logowania
Gdy logowanie się nie powiedzie, WordPress informuje, czy nazwa użytkownika lub hasło były nieprawidłowe. Chociaż jest to pomocne dla użytkowników, te wskazówki potwierdzają również prawidłową nazwę użytkownika atakującemu, ułatwiając mu pracę.
Możesz ukryć te podpowiedzi, dodając następujący kod do pliku functions.php swojego motywu. Zalecamy jednak użycie wtyczki do fragmentów kodu, takiej jak WPCode. Jest to znacznie bezpieczniejszy sposób zarządzania niestandardowym kodem bez ryzyka błędów witryny.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem na temat jak dodawać niestandardowy kod w WordPress bez psucia witryny.
8. Wymagaj od użytkowników używania silnych haseł
Jeśli prowadzisz wielooosobową witrynę WordPress, jeden użytkownik ze słabym hasłem może stworzyć lukę dla wszystkich. Możesz wymusić silną politykę haseł, aby temu zapobiec.
Aby to zrobić, możesz zainstalować i aktywować wtyczkę Solid Security (wcześniej znana jako iThemes Security), stworzoną przez zespół SolidWP.
Następnie możesz postępować zgodnie z krokami w naszym kompletnym przewodniku na temat wymuszania silnych haseł dla użytkowników w WordPressie.
9. Resetuj hasło dla wszystkich użytkowników
W przypadku wielostanowiskowych witryn WordPress możesz poprawić bezpieczeństwo, wymuszając na wszystkich użytkownikach resetowanie haseł. Jest to szczególnie przydatne, jeśli podejrzewasz naruszenie bezpieczeństwa lub po prostu chcesz egzekwować nową politykę haseł.
Najpierw zainstaluj i aktywuj wtyczkę Resetowanie hasła w nagłych wypadkach. Po aktywacji przejdź do strony Użytkownicy » Resetowanie hasła w nagłych wypadkach i kliknij przycisk „Resetuj wszystkie hasła”.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat resetowania haseł dla wszystkich użytkowników w WordPressie.
10. Aktualizuj WordPress
WordPress często wydaje nowe wersje, aby dodawać funkcje i naprawiać luki w zabezpieczeniach. Używanie nieaktualnej wersji WordPress, wtyczek lub motywu jest jednym z największych ryzyk bezpieczeństwa, jakie możesz podjąć.
Zawsze upewnij się, że korzystasz z najnowszej wersji oprogramowania rdzenia WordPress, a także wszystkich swoich wtyczek i motywów. Więcej na ten temat znajdziesz w naszym przewodniku, dlaczego powinieneś zawsze używać najnowszej wersji WordPressa.
11. Twórz niestandardowe strony logowania i rejestracji
W przypadku witryn wymagających rejestracji użytkowników, takich jak witryny członkowskie lub sklepy internetowe, należy utworzyć niestandardowe strony logowania i rejestracji.
Zapobiega to sytuacji, w której użytkownicy niebędący administratorami muszą widzieć lub uzyskiwać dostęp do domyślnego ekranu logowania WordPress. Zapewnia to bardziej profesjonalne wrażenia użytkownika i pozwala całkowicie zablokować standardowy dostęp do wp-admin bez wpływu na członków lub klientów.
Najprostszym sposobem na zrobienie tego jest użycie wtyczki takiej jak WPForms, która posiada potężny dodatek do rejestracji użytkowników. Szczegółowe instrukcje znajdziesz w naszym przewodniku, jak tworzyć niestandardowe strony logowania i rejestracji w WordPressie.
12. Poznaj role użytkowników WordPress i uprawnienia
WordPress posiada wbudowany system zarządzania użytkownikami z różnymi rolami i uprawnieniami. Przypisanie niewłaściwej roli może nadać użytkownikowi znacznie więcej uprawnień niż potrzebuje, stwarzając potencjalne ryzyko bezpieczeństwa.
Ważne jest, aby zrozumieć, co może zrobić każda rola, zanim dodasz użytkowników do swojej witryny. Oto 5 domyślnych ról:
- Administrator: Ma pełny dostęp do wszystkich ustawień i treści na stronie.
- Edytor: Może publikować i zarządzać wszystkimi postami, w tym postami innych użytkowników.
- Autor: Może publikować i zarządzać tylko własnymi wpisami.
- Współtwórca: Może pisać i zarządzać własnymi postami, ale nie może ich publikować.
- Subskrybent: Może tylko logować się i zarządzać własnym profilem.
Kompletną analizę znajdziesz w naszym przewodniku dla początkujących po rolach i uprawnieniach użytkowników WordPressa.
13. Ogranicz dostęp do panelu administracyjnego WordPress
Na niektórych stronach niektórzy użytkownicy mogą w ogóle nie potrzebować dostępu do panelu administracyjnego WordPress. Domyślnie każdy użytkownik może się zalogować i zobaczyć obszar administracyjny, nawet jeśli jego uprawnienia są ograniczone.
Aby to naprawić, zainstaluj i aktywuj wtyczkę Usuń dostęp do pulpitu. Po aktywacji przejdź do Ustawienia » Dostęp do pulpitu i wybierz, które role użytkowników mogą uzyskać dostęp do obszaru administracyjnego. Inni mogą zostać przekierowani na stronę główną lub inny adres URL.
Bardziej szczegółowe instrukcje znajdziesz w naszym przewodniku na temat ograniczania dostępu do pulpitu w WordPressie.
14. Wyloguj nieaktywnych użytkowników
Zalogowani użytkownicy, którzy odchodzą od swoich komputerów, mogą stanowić ryzyko bezpieczeństwa. Jeśli ich komputer jest publiczny lub współdzielony, ktoś inny może uzyskać dostęp do ich konta.
Możesz to rozwiązać, instalując wtyczkę Wylogowanie nieaktywnych. Przejdź do Ustawienia » Wylogowanie nieaktywnych i ustaw limit czasu. Po tym okresie bezczynności użytkownicy zostaną automatycznie wylogowani.
Więcej szczegółów znajdziesz w naszym artykule na temat automatycznego wylogowywania nieaktywnych użytkowników w WordPressie.
Często zadawane pytania dotyczące zabezpieczania panelu administracyjnego WordPress
Jaki jest najważniejszy krok do zabezpieczenia mojego obszaru administracyjnego WordPress?
Użycie zapory sieciowej aplikacji internetowej (WAF) jest najważniejszym pierwszym krokiem. Dobra zapora, taka jak Cloudflare lub Sucuri, blokuje złośliwy ruch, zanim dotrze on do Twojej witryny, zapobiegając szerokiemu zakresowi ataków.
Czy zabezpieczenie katalogu wp-admin hasłem jest naprawdę konieczne?
Chociaż nie jest to obowiązkowe, jest to bardzo skuteczne. Dodaje drugą warstwę uwierzytelniania, która zatrzymuje prawie wszystkie zautomatyzowane boty próbujące złamać hasło do Twojej strony logowania. To prosta zmiana, która znacznie zwiększa bezpieczeństwo.
Czy mogę zostać zablokowany ze swojej własnej strony, stosując się do tych wskazówek?
Tak, jeśli nie będziesz ostrożny. Wskazówka dotycząca ograniczenia dostępu do logowania do określonych adresów IP jest przeznaczona tylko dla zaawansowanych użytkowników ze statycznym adresem IP. Jeśli używasz zwykłego, dynamicznego adresu IP, zablokujesz sobie dostęp. Zawsze wykonaj kopię zapasową swojej witryny przed edycją plików takich jak .htaccess.
Dodatkowe zasoby dotyczące bezpieczeństwa WordPress
Mamy nadzieję, że ten artykuł pomógł Ci poznać nowe wskazówki i triki dotyczące ochrony obszaru administracyjnego WordPress.
Możesz również zapoznać się z naszymi innymi przewodnikami ekspertów dotyczącymi ochrony Twojej witryny:
- Kompleksowy przewodnik po bezpieczeństwie WordPress – krok po kroku
- Najlepsze wtyczki bezpieczeństwa WordPress do ochrony Twojej witryny (porównanie)
- Jak przeskanować swoją witrynę WordPress pod kątem potencjalnie złośliwego kodu
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Danang Sukma
Dzięki za Twój post.
Używam ochrony hasłem dla mojego folderu wp-admin w cPanel, czy to wystarczy?
mby
uh co za przydatna informacja chłopaki, na pewno pomoże!!
dzięki za wrzucenie! ^_^
anthony
To świetna informacja, którą wdrożę jak najszybciej! Już doświadczyłem zhakowania mojego bloga, więc martwiłem się tymi problemami. Wielkie dzięki!!
shoaib hussain
przemieszczam się z jednego posta na drugi na twoim blogu i bardzo mi się podoba. dzięki wielkie. chyba będę musiał teraz zasubskrybować.
tzutzu
NIESAMOWITY post!! Dziękuję za te informacje
Marlin
Dzięki, fajna lista, na pewno pomoże to zabezpieczyć panel administracyjny WordPress.
Abhilash Thekkel
Bardzo przydatne wskazówki. Dziękuję
Jessica
Obecnie uczę się tworzenia stron w WordPressie. Chcę stworzyć sklep internetowy za pomocą WordPressa, używając wtyczki WP e-Commerce. Czy ktoś wie, czy te wskazówki zapewnią bezpieczeństwo mojej stronie e-commerce?
Personel redakcyjny
Upewnij się, że masz ochronę SSL na swojej witrynie e-commerce dla wszystkich transakcji. Dotyczą one tylko ochrony Twojego obszaru administracyjnego.
Administrator
Ursula Comeau
Wow – to jest NIESAMOWITY post! Dziękuję bardzo za podzielenie się wszystkimi tymi informacjami – i kilkoma świetnymi wtyczkami!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
Problem z wtyczkami polega na tym, że nie zawsze są one kompatybilne z każdą wersją i nie zawsze są aktualizowane.
Personel redakcyjny
Większość wtyczek jest kompatybilna z nowszymi wersjami, a jeśli deweloper zdecyduje się porzucić rozwój wtyczki, inni często ją przejmują i tworzą wtyczkę z poprawkami do przyszłych wydań. Musisz tylko pozostać aktywnym w społeczności.
Administrator
Smashing Themes
Serio, zmieńcie nazwę swojej witryny na WP ROCKER, jesteście niesamowici. Zainstalowałem trzy wtyczki do ochrony mojego panelu administratora po przeczytaniu tego świetnego posta.
Dagmar
Istnieją również płatne wtyczki – np. „WP Secure”, która również twierdzi, że zabezpieczy Twoje WP przed hakerami. Działa ona również na podstawie kilku z powyższych zasad – np. niestandardowa strona logowania, potwierdzenie jednego IP itp.
Czy warto to kupić? = czy ktoś wie, czy jest łatwiejszy w użyciu dla osób nietechnicznych niż niektóre z wymienionych powyżej?
Personel redakcyjny
Jeśli możesz wykonać pracę za darmo, to jaki jest sens płacenia?
Administrator
iHacks
Link do wtyczki WordPress Firewall?
Personel redakcyjny
Działa teraz.
Administrator
Kjetil
Cześć
Dzięki wielkie za Twoje wskazówki.
Odnośnie wskazówki 8, zastanawiam się, jak wstawić kod
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
Jaka jest kompletna funkcja do użycia?
Chciałbym spróbować, ponieważ już używam AskApache Password Protect, a ten wtyczka jest niekompatybilna z Secure Wordpress.
Dzięki,
Kjetil
– http://www.dolcevita.no
Personel redakcyjny
Przejdziesz do functions.php i wstawisz ten kod. To wszystko, jeśli dobrze zrozumieliśmy Twoje pytanie. Jeśli to nie odpowiada, proszę odpowiedz na komentarz, a na pewno się tym zajmiemy.
Administrator
Robinoz
Dziękuję za te nieocenione informacje. Właśnie ucierpiałem z powodu ataku złośliwego oprogramowania, który spowodował, że mój blog był niedostępny przez dzień lub dwa, podczas gdy mój programista WordPress zajmował się tym. Bardzo niewygodne.
W ciągu najbliższego dnia lub dwóch wdrożę niektóre z Twoich sugestii.
Robinoz
http://www.e1jobs-blog.com (Blog o wszystkich pracach”
bezpieczny serwer
dobre wskazówki dotyczące zabezpieczania wordpress. z czasem będziemy widzieć, że hostingi albo staną się bardziej rygorystyczne i bezpieczne, albo pakiety CMS będą musiały wdrożyć po instalacji kilka dodatkowych inicjatyw bezpieczeństwa.
abbie
Cześć. Napisałeś bardzo dobry post.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Personel redakcyjny
Wysłałem/am Ci e-mail w tej sprawie. Nie zezwalamy na pełne tłumaczenie artykułów. Proszę podsumować go i podać link do naszego artykułu, jeśli Twoi użytkownicy chcą przeczytać pełne wskazówki.
Administrator
abbie
Thanks for your response.
I’ll revise my post.
Arie
Cześć..
Chciałbym o coś zapytać.
Poza użyciem askimet, captcha, silnego hasła, czy istnieje inny sposób, aby haker mógł sabotować naszą stronę internetową.
To jest moje pytanie, proszę odpowiedzieć na mój e-mail
Pozdrawiam,
Arie
Personel redakcyjny
Tak, jeśli Twój hosting ma luki w zabezpieczeniach, haker może Cię również zablokować.
John Macpherson
Zajęło mi kilka minut, aby to rozgryźć, ale masz niewłaściwy rodzaj cudzysłowów wokół tej funkcji
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Powinno być:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Poza tym świetny post.
jakesjohn
Co możesz uzyskać z wtyczki WordPress Wp-PreventCopyBlogs
1. Śledź odwiedzających, którzy próbują skopiować Twoje treści.
2. Zapisz adres IP użytkownika, który próbuje dokonać oszukańczej kopii, wraz z adresem URL strony docelowej Twojej witryny i adresem URL odsyłacza. Może to pomóc w podjęciu niezbędnych działań, jeśli zauważysz coś niepokojącego.
3. Włącz komunikat wyświetlany użytkownikowi na jego życzenie.
4. Wyłącz zaznaczanie tekstu i klikanie prawym przyciskiem myszy dla użytkowników, w zależności od opcji.
Srecko Bradic
Muszę pogratulować tego doskonałego artykułu!!! Szczerze mówiąc, znałem kilka wskazówek, ale niektóre bardzo ważne informacje były dla mnie nieznane do tej pory!
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Świetny post, chyba będę lepiej spać dzisiaj!
Henry
W odniesieniu do #6, jeśli użyjesz następującego pliku .htaccess, będziesz mógł zalogować się z innych lokalizacji w dwuetapowym procesie. Wymaga to dodania pliku htpasswd (zapoznaj się z dokumentacją serwera).
AuthUserFile ‘plik htpasswd’
AuthGroupFile /dev/null
AuthName “Kontrola dostępu administratora WordPress”
AuthType Basic
order deny,allow
deny from all
Wymagaj poprawnego użytkownika
# biała lista adresu IP Syeda
allow from xx.xx.xx.xxx
# biała lista adresu IP Davida
allow from xx.xx.xx.xxx
# biała lista adresu IP Amandy
allow from xx.xx.xx.xxx
# biała lista adresu IP Muhammada
allow from xx.xx.xx.xxx
# biała lista adresu IP pracy
allow from xx.xx.xx.xxx
Zatwierdź dowolny
Linie „require valid user” i „satisfy any” wymuszą na serwerze Apache żądanie nazwy użytkownika i hasła, zanim uzyskasz dostęp do ekranu logowania WordPress. Proszę NIE używaj tej samej nazwy użytkownika i hasła w pliku htpasswd, której używasz do dostępu do WordPressa, ponieważ zniweczy to cel dodatkowego poziomu bezpieczeństwa.
Personel redakcyjny
Thanks for the suggestion. Post updated with a link to this way as well
Administrator
Laura
Dzięki za świetny artykuł. Z niecierpliwością czekam na zabezpieczenie mojego bloga.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Personel redakcyjny
Thanks for the translation
Administrator
Konstantyn
Cześć, bloguję od 3 lat. Mój blog został zhakowany w czerwcu 2009 roku i zbanowany przez Google na 30 dni, a moje odsłony natychmiast spadły z 800 dziennie do mniej niż 100 dziennie.
Gorąco polecam zainstalowanie wtyczki zapory sieciowej WordPress. Wtyczka będzie wysyłać Ci e-mail za każdym razem, gdy ktoś spróbuje zhakować Twój blog, wraz z adresem IP hakera. Wtyczka wykrywa i blokuje dziwne żądania, przekierowując atak na stronę główną.
W poniedziałek otrzymałem e-mail o sześciu próbach włamania w weekend. Haker próbował uzyskać dostęp do strony administratora trzy razy, a gdy to się nie udało, próbował wyszukać wtyczkę wordspew, której nie używam.
Wszystkim nowicjuszom powodzenia
Personel redakcyjny
Thanks for suggesting this one. Its now added in the post
Administrator
Renee Fischer
Gdy włamanie się powiedzie, bot lub ludzki haker zachowa Twoje dane i będzie wielokrotnie próbował uzyskać dostęp do plików Twojej witryny, szukając sposobu na ponowne wejście. Będą nieustępliwi. Jeśli udało im się zhakować Twój e-mail, komputer lub serwer, będą kontynuować, dopóki nie zhakują wszystkiego, czego dotykasz. Są jak karaluchy, które znalazły okruchy prowadzące do Twojego domu.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Tajfun
Naprawdę bardzo przydatny artykuł. Podzieliłem się nim na Twitterze.
Przy okazji, chcę zapytać o jedną rzecz; Jak działa Stealth Login dla autorów gościnnych?
Personel redakcyjny
Dajesz im specjalny adres URL, który utworzyłeś, jeśli im wystarczająco ufasz. W większości przypadków autorzy gościnni nie powinni mieć dostępu do panelu administracyjnego, chyba że są autorami Twojej witryny. Jeśli ktoś napisał wiele postów dla Twojej witryny, można mu zaufać, więc możesz nadać mu specjalny adres URL /login lub /googlogin lub cokolwiek innego utworzyłeś.
Większość najlepszych blogów przyjmuje posty gościnne przez e-mail, a jeśli ci autorzy gościnni zostaną stałymi autorami, dopiero wtedy mają dostęp do panelu administracyjnego.
Administrator
Misao
Dziękuję! Bardzo pomocny artykuł. Wypróbuję Twoje wskazówki i triki na kilku moich blogach.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Cześć
Świetna lista! Możesz dodać wtyczkę „One time Password” do WordPressa:
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Świetne wskazówki.
Dla zaangażowanych czytelników jest nieścisłość w #6.
Wadą tego rozwiązania jest to, że jeśli kiedykolwiek będziesz chciał uzyskać dostęp do panelu administracyjnego z innego miejsca, nie będziesz mógł tego zrobić, chyba że dodasz dodatkowy adres IP w pliku .htaccess.
Jeśli dozwolony adres IP to serwer, do którego można się połączyć przez SSH, możesz utworzyć tunel SSH przez niego (używam foxyproxy, ponieważ bardzo ułatwia przełączanie). Ponadto, jeśli zamiast Apache używasz nginx, możesz ocenić URI za pomocą wyrażeń regularnych, aby zablokować wszystko od wp-app.php do wp-trackback.php (lub wybrać, które chcesz zablokować). Opisuję to na http://www.phrison.com/securing-arbitrary-uris/, ale nie jest to dla początkujących.
Mam dużą kolekcję czapek z folii aluminiowej.
Personel redakcyjny
Masz rację.
Ostrzeżenie: Nowi użytkownicy w ogóle tego nie próbujcie. To tylko dla doświadczonych użytkowników.
Administrator
SaigonNezumi(Kevin)
Dziękuję za ten artykuł. Czekałem na taki artykuł. Dodanie kilku z twoich wskazówek pomoże zabezpieczyć moje strony WP.
Jeszcze raz dziękuję.
Personel redakcyjny
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
Administrator
Dana DeFazio
Zastanawiam się, czy istnieje coś porównywalnego dla mojego bloga, ponieważ jest to strona WordPress.com, a także mam nowy blog na danaddiamond.BlogSpot.com
Personel redakcyjny
WordPress.com nie pozwala na wiele uprawnień, ale dzięki ich serwerowi jesteś w większości bezpieczny.
Administrator
Tinh
Doskonałe wskazówki i triki, zastosowałem tylko 6 z 11 sugerowanych wskazówek, spróbuję reszty
Jo
Ta strona to dla mnie miłe nowe odkrycie (FYI, dzięki @Problogger na Twitterze) i z niecierpliwością czekam na dalszą eksplorację. Ten artykuł to rodzaj zwięzłego, jasnego pisania, które jest dziś zbyt rzadkie. Dziękuję za naprawdę pomocne informacje.
Personel redakcyjny
Cieszymy się, że podoba Ci się nasza strona, i cieszymy się również, że Darren uznał artykuł za wystarczająco przydatny, aby go udostępnić na Twitterze. Mamy nadzieję, że będziesz nas śledzić na Twitterze, aby być na bieżąco ze wszystkimi fajnymi samouczkami.
Administrator
Marc
Wow – jestem całkiem nowy w WP i nie miałem pojęcia, że jest tyle bramek dla hakerów. Jestem pewien, że nie znajdą drogi po dodaniu kilku z nich.
Dzięki.
Roger Duck
Bezpieczeństwo WordPress jest rosnącym problemem, a te kroki są kluczowe dla zabezpieczenia witryny WordPress. Wzmocnienie bezpieczeństwa pomaga całej społeczności, a także Twojej własnej witrynie, aby poświęcić czas na wdrożenie tych pomysłów. Dobra robota.
Rob
Aby chronić całą swoją ciężką pracę / funkcje bezpieczeństwa przed klientami...
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
Dobra lista kluczowych wskazówek dotyczących zabezpieczenia Twojej witryny. Szczególnie podoba mi się #8. Nigdy tego wcześniej nie robiłem, ale od teraz będę!
Odnośnie #7 – Usuń nazwę użytkownika „admin”:
Nie usuwam nazwy użytkownika administratora, tworzę nowe konto administratora, a następnie zmieniam typ konta użytkownika 'admin' na subskrybenta.
W ten sposób, nawet jeśli ktoś złamie hasło, jest to bezużyteczne konto. Jeśli je usuniesz, ktoś może zarejestrować tę nazwę użytkownika...
Kathlene
Pytanie do Jamesa Morrisona. Czy możesz wyjaśnić trochę więcej, co masz na myśli i jak to zrobić?
W kwestii personelu, próbowałem wielokrotnie uzyskać numer dla wtyczki akisnet i nie mogę go zdobyć. Jak można go uzyskać.
Bardzo fajny post. Wdrożę to od razu. Kiedyś mój blog został zhakowany dwa razy w ciągu 30 dni.
Dzięki za świetne informacje.
James Morrison
Postępuj zgodnie z tymi krokami:
1.) Utwórz nowe konto użytkownika z dostępem administratora (np. „James”)
2.) Zaloguj się na nowe konto w WP Admin
3.) Edytuj konto użytkownika „admin” i zmień dostęp na subskrybenta
W ten sposób, nawet jeśli ktoś spróbuje przejąć konto administratora i mu się uda, nadal nie będzie mógł zrobić nic złego z Twoją witryną.
Aby uzyskać klucz akismet, musisz się na niego zarejestrować na http://www.wordpress.com
Mam nadzieję, że to pomoże!
Mathdelane
Domyślną nazwę użytkownika „admin” można zawsze zmienić na dowolną za pomocą bazy danych phpMyadmin. Oto mój post na ten temat, a także moje doświadczenia z hakowaniem i bezpieczeństwem blogów:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Tanie strony
Dziękuję za wszystkie sugestie, pracuję nad kilkoma dużymi projektami i na pewno pomoże to, gdy blogi będą już uruchomione.
Jestem tu pierwszy raz i uwielbiam tego bloga, dobra robota!
Dan
Personel redakcyjny
Cieszę się, że Ci się tu podoba. Zachęcamy do zgłaszania wszelkich sugestii, jeśli masz pytania lub chciałbyś, aby WPBeginner poruszył jakiś konkretny temat.
Administrator
Flow Interactive
Dobre wskazówki. Możesz również przenieść plik wp_config.php poza główny katalog sieci, aby zapewnić dodatkową warstwę bezpieczeństwa.
Personel redakcyjny
Tak, możesz to zrobić, ale w tym artykule mówiliśmy tylko o panelu administracyjnym WordPress, a nie o całej stronie w ogóle. Istnieje wiele innych sposobów na zabezpieczenie całej witryny WordPress.
Administrator
Shabayek
Ale co, jeśli zezwolisz odwiedzającym Twojego bloga na rejestrację i wymusisz na nich logowanie przed dodaniem komentarza?
Personel redakcyjny
Wtedy nie możesz używać ochrony IP i innych, ale nadal powinieneś używać ograniczenia blokady, nie używać nazwy użytkownika administratora i logowania półbezpiecznego.
Administrator
Gerald Weber
Używam limitu żądań logowania do mojego adresu IP. Oznacza to, że każdy, kto próbuje uzyskać dostęp do http://www.domainname.com/wp-admin, kto nie wysyła żądania z mojego adresu IP, po prostu otrzyma stronę 404.
Blogspot do WordPress
Hej, bardzo pomocny post.
Blog z najciekawszymi pomysłami
Przydatny post dla mojego bloga.
Dreyer
Pomocna lista. Wypróbuję je. Lepiej być paranoikiem niż żałować.
Rafi
Hej, to wspaniała kolekcja wskazówek i sztuczek, bardzo przydatna. Polecam każdemu blogerowi WP, aby zapoznał się z listą i postępował zgodnie z krokami, a także z innymi przydatnymi zasobami dostępnymi gdzie indziej. W końcu NIE zakładaliśmy naszych blogów, aby ktoś przejął kontrolę nad naszym życiem. Cholera.
Dzięki za udostępnienie, WPBeginner.
Sergej Müller
Link do ochrony antywirusowej WordPress?
Personel redakcyjny
Niezależnie od tego, ile razy sprawdzisz, zawsze coś zostanie pominięte. Cieszę się, że mamy takich użytkowników jak Ty. Link dodany. Jeszcze raz dziękuję.
Administrator
Lolic
A co z systemami akismet i captcha?