Nie ma nic gorszego niż dowiedzieć się, że Twoja strona internetowa została naruszona. Obszar administracyjny WordPress jest głównym punktem wejścia dla hakerów, co czyni go najważniejszą częścią Twojej witryny do ochrony.
Wiemy, że stresujące może być myślenie o atakach typu brute force lub kradzieży danych. Wielu właścicieli stron martwi się, że nie mają umiejętności technicznych, aby odpowiednio zabezpieczyć swój pulpit.
Wspaniałą wiadomością jest to, że nie musisz być ekspertem od bezpieczeństwa, aby wywrzeć ogromny wpływ. Z naszego doświadczenia w zarządzaniu tysiącami witryn WordPress wynika, że wystarczy kilka prostych zmian, aby zbudować silną obronę.
W tym przewodniku przeprowadzimy Cię przez najskuteczniejsze wskazówki dotyczące zabezpieczania obszaru administracyjnego. Te proste kroki zapewnią Ci spokój ducha i bezpieczeństwo Twojej witryny.
Omówimy wiele wskazówek, a poniższe szybkie linki pozwolą Ci się między nimi przełączać:
- 1. Użyj zapory sieciowej
- 2. Zabezpiecz hasłem katalog administratora WordPress
- 3. Zawsze używaj silnych haseł
- 4. Użyj weryfikacji dwuetapowej na ekranie logowania WordPress
- 5. Ogranicz próby logowania
- 6. Ogranicz dostęp do logowania do adresów IP
- 7. Wyłącz podpowiedzi logowania
- 8. Wymagaj od użytkowników używania silnych haseł
- 9. Resetuj hasło dla wszystkich użytkowników
- 10. Aktualizuj WordPress
- 11. Twórz niestandardowe strony logowania i rejestracji
- 12. Poznaj role użytkowników WordPress i uprawnienia
- 13. Ogranicz dostęp do panelu administracyjnego WordPress
- 14. Wyloguj nieaktywnych użytkowników
- Często zadawane pytania dotyczące zabezpieczania panelu administracyjnego WordPress
- Dodatkowe zasoby dotyczące bezpieczeństwa WordPress
1. Użyj zapory sieciowej
Zapora aplikacji internetowej (WAF) monitoruje ruch na Twojej stronie i blokuje podejrzane żądania, zanim dotrą one do Twojego serwera. Jest to Twoja pierwsza linia obrony przed próbami włamania.
Chociaż istnieje kilka wtyczek zapory sieciowej WordPress, zalecamy zaporę sieciową na poziomie DNS, taką jak Cloudflare. Zapory sieciowe na poziomie DNS są skuteczniejsze, ponieważ blokują zagrożenia na brzegu sieci, dzięki czemu złośliwy ruch nigdy nie dociera do Twojej witryny.
W WPBeginner używamy planu enterprise Cloudflare do ochrony naszej strony internetowej przed próbami włamań, złośliwym oprogramowaniem i innymi złośliwymi działaniami. Instrukcje konfiguracji krok po kroku znajdziesz w naszym artykule o tym, jak skonfigurować darmowy CDN Cloudflare dla swojej strony internetowej.
Inną świetną opcją jest Sucuri, którego wcześniej używaliśmy. Więcej szczegółów znajdziesz w naszym artykule o tym, dlaczego przeszliśmy z Sucuri na Cloudflare.
2. Zabezpiecz hasłem katalog administratora WordPress
Inną wskazówką, która okazała się niezwykle skuteczna, jest dodanie ochrony hasłem do katalogu administracyjnego WordPress. Dodaje to drugą warstwę obrony, wymagając dwóch oddzielnych haseł do uzyskania dostępu do pulpitu nawigacyjnego.
Możesz to zrobić z poziomu panelu kontrolnego hostingu WordPress. Oto kroki dla cPanel:
- Zaloguj się do panelu administracyjnego hostingu WordPress cPanel i kliknij ikonę „Prywatność katalogu”.
- Wybierz folder
wp-admin, który zazwyczaj znajduje się w katalogu/public_html/. - Zaznacz pole obok „Chroń ten katalog hasłem” i podaj dla niego nazwę.
- Kliknij „Zapisz”, a następnie wróć, aby utworzyć użytkownika z nową nazwą użytkownika i hasłem.
Teraz każdy, kto spróbuje uzyskać dostęp do Twojej strony logowania administratora, najpierw zobaczy monit uwierzytelniania.
To blokuje większość zautomatyzowanych ataków botów.
Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin). Pamiętaj, że te kroki dotyczą hostów korzystających z cPanel. Jeśli używasz innego panelu sterowania, sprawdź dokumentację swojego hosta.
3. Zawsze używaj silnych haseł
Musisz używać silnych, złożonych haseł do wszystkich swoich kont WordPress. Słabe hasła są jedną z najczęstszych przyczyn włamań na strony internetowe.
Silne hasło używa kombinacji wielkich i małych liter, cyfr oraz znaków specjalnych (!, #, @, %, itp.). Im dłuższe, tym bezpieczniejsze będzie.
Prawie niemożliwe jest zapamiętanie kilkudziesięciu skomplikowanych haseł. Dlatego cały nasz zespół w WPBeginner korzysta z menedżera haseł, takiego jak 1Password, aby bezpiecznie generować i przechowywać unikalne hasła dla każdej usługi.
Więcej informacji na ten temat znajdziesz w naszym przewodniku na temat najlepszego sposobu zarządzania hasłami dla początkujących w WordPress.
4. Użyj weryfikacji dwuetapowej na ekranie logowania WordPress
Weryfikacja dwuetapowa, znana również jako uwierzytelnianie dwuskładnikowe (2FA), dodaje kolejną kluczową warstwę bezpieczeństwa. Używamy 2FA nie tylko na naszych stronach WordPress, ale na wszystkich naszych kontach online, gdzie ta opcja jest dostępna.
Po wprowadzeniu hasła musisz również podać kod wrażliwy na czas, wygenerowany przez aplikację na Twoim telefonie, taką jak 1Password lub Authenticator. Nawet jeśli haker ukradnie Twoje hasło, nie będzie mógł się zalogować bez Twojego telefonu.
Aby uzyskać szczegółowe instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem, jak skonfigurować weryfikację dwuetapową w WordPress przy użyciu Google Authenticator.
5. Ogranicz próby logowania
Domyślnie WordPress pozwala użytkownikom próbować logować się tyle razy, ile chcą. Pozwala to hakerom na używanie zautomatyzowanych skryptów do próbowania tysięcy kombinacji haseł w czymś, co jest znane jako „atak siłowy”.
Możesz łatwo to zatrzymać, instalując wtyczkę Limit Login Attempts Reloaded. Po aktywacji przejdź do Ustawienia » Limit prób logowania, aby skonfigurować liczbę nieudanych prób dozwolonych przed tymczasowym zablokowaniem adresu IP.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat ograniczania prób logowania w WordPress.
Aby dowiedzieć się więcej o wtyczce, możesz również zapoznać się z naszą szczegółową recenzją Limit Login Attempts.
6. Ogranicz dostęp do logowania do adresów IP
Ostrzeżenie: Jest to zaawansowana technika i powinna być stosowana tylko wtedy, gdy masz statyczny (stały) adres IP. Większość domowych połączeń internetowych korzysta z dynamicznych adresów IP, które regularnie się zmieniają. Jeśli użyjesz tej metody z dynamicznym adresem IP, zablokujesz sobie dostęp do własnej strony internetowej.
Jeśli masz stały adres IP, możesz ograniczyć dostęp do swojego obszaru administracyjnego tylko do tego adresu. Po prostu dodaj ten kod do swojego pliku .htaccess:
Nie zapomnij zastąpić wartości „xx” własnym adresem IP. Swój aktualny adres IP możesz łatwo znaleźć, wyszukując „jaki jest mój adres IP” w Google. Jeśli używasz więcej niż jednego adresu IP, pamiętaj, aby je również dodać.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat ograniczania dostępu do panelu administratora WordPress za pomocą .htaccess.
7. Wyłącz podpowiedzi logowania
Gdy logowanie się nie powiedzie, WordPress informuje, czy nazwa użytkownika lub hasło były nieprawidłowe. Chociaż jest to pomocne dla użytkowników, te wskazówki potwierdzają również prawidłową nazwę użytkownika atakującemu, ułatwiając mu pracę.
Możesz ukryć te wskazówki, dodając następujący kod do pliku functions.php swojego motywu. Zalecamy jednak użycie wtyczki do fragmentów kodu, takiej jak WPCode. Jest to znacznie bezpieczniejszy sposób zarządzania niestandardowym kodem bez ryzyka błędów witryny.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Więcej informacji znajdziesz w naszym przewodniku na temat dodawania własnego kodu w WordPress bez psucia strony.
8. Wymagaj od użytkowników używania silnych haseł
Jeśli prowadzisz witrynę WordPress z wieloma autorami, jeden użytkownik ze słabym hasłem może stworzyć lukę dla wszystkich. Możesz wymusić silną politykę haseł, aby temu zapobiec.
Aby to zrobić, możesz zainstalować i aktywować wtyczkę Solid Security (wcześniej znana jako iThemes Security), stworzoną przez zespół SolidWP.
Następnie możesz postępować zgodnie z krokami w naszym kompletnym przewodniku na temat wymuszania silnych haseł dla użytkowników w WordPress.
9. Resetuj hasło dla wszystkich użytkowników
W przypadku wielostanowiskowych witryn WordPress możesz poprawić bezpieczeństwo, wymuszając na wszystkich użytkownikach resetowanie haseł. Jest to szczególnie przydatne, jeśli podejrzewasz naruszenie bezpieczeństwa lub po prostu chcesz egzekwować nową politykę haseł.
Najpierw zainstaluj i aktywuj wtyczkę Emergency Password Reset. Po aktywacji przejdź do strony Użytkownicy » Emergency Password Reset i kliknij przycisk „Resetuj wszystkie hasła”.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat jak zresetować hasła dla wszystkich użytkowników w WordPress.
10. Aktualizuj WordPress
WordPress często wydaje nowe wersje, aby dodawać funkcje i naprawiać luki w zabezpieczeniach. Używanie nieaktualnej wersji WordPress, wtyczek lub motywu jest jednym z największych ryzyk bezpieczeństwa, jakie możesz podjąć.
Zawsze upewnij się, że używasz najnowszej wersji oprogramowania rdzenia WordPress, a także wszystkich swoich wtyczek i motywów. Więcej na ten temat znajdziesz w naszym przewodniku, dlaczego powinieneś zawsze używać najnowszej wersji WordPress.
11. Twórz niestandardowe strony logowania i rejestracji
W przypadku witryn wymagających rejestracji użytkowników, takich jak witryny członkowskie lub sklepy internetowe, należy utworzyć niestandardowe strony logowania i rejestracji.
Zapobiega to sytuacji, w której użytkownicy niebędący administratorami muszą widzieć lub uzyskiwać dostęp do domyślnego ekranu logowania WordPress. Zapewnia to bardziej profesjonalne wrażenia użytkownika i pozwala całkowicie zablokować standardowy dostęp do wp-admin bez wpływu na członków lub klientów.
Najprostszym sposobem na zrobienie tego jest użycie wtyczki takiej jak WPForms, która posiada potężny dodatek User Registration. Szczegółowe instrukcje znajdziesz w naszym przewodniku, jak tworzyć niestandardowe strony logowania i rejestracji w WordPress.
12. Poznaj role użytkowników WordPress i uprawnienia
WordPress posiada wbudowany system zarządzania użytkownikami z różnymi rolami i uprawnieniami. Przypisanie niewłaściwej roli może nadać użytkownikowi znacznie więcej uprawnień niż potrzebuje, stwarzając potencjalne ryzyko bezpieczeństwa.
Ważne jest, aby zrozumieć, co może zrobić każda rola, zanim dodasz użytkowników do swojej witryny. Oto 5 domyślnych ról:
- Administrator: Ma pełny dostęp do wszystkich ustawień i treści na stronie.
- Edytor: Może publikować i zarządzać wszystkimi postami, w tym postami innych użytkowników.
- Autor: Może publikować i zarządzać tylko własnymi wpisami.
- Współtwórca: Może pisać i zarządzać własnymi postami, ale nie może ich publikować.
- Subskrybent: Może tylko logować się i zarządzać własnym profilem.
Pełne zestawienie znajdziesz w naszym przewodniku dla początkujących po rolach i uprawnieniach użytkowników WordPress.
13. Ogranicz dostęp do panelu administracyjnego WordPress
Na niektórych stronach niektórzy użytkownicy mogą w ogóle nie potrzebować dostępu do panelu administracyjnego WordPress. Domyślnie każdy użytkownik może się zalogować i zobaczyć obszar administracyjny, nawet jeśli jego uprawnienia są ograniczone.
Aby to naprawić, zainstaluj i aktywuj wtyczkę Remove Dashboard Access. Po aktywacji przejdź do Ustawienia » Dostęp do panelu administratora i wybierz, które role użytkowników mogą uzyskać dostęp do obszaru administratora. Inni mogą zostać przekierowani na stronę główną lub inny adres URL.
Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat ograniczania dostępu do panelu administracyjnego WordPress.
14. Wyloguj nieaktywnych użytkowników
Zalogowani użytkownicy, którzy odchodzą od swoich komputerów, mogą stanowić ryzyko bezpieczeństwa. Jeśli ich komputer jest publiczny lub współdzielony, ktoś inny może uzyskać dostęp do ich konta.
Możesz to rozwiązać, instalując wtyczkę Inactive Logout. Przejdź do Ustawienia » Inactive Logout i ustaw limit czasu. Po tym okresie bezczynności użytkownicy zostaną automatycznie wylogowani.
Aby uzyskać więcej szczegółów, zapoznaj się z naszym artykułem na temat automatycznego wylogowywania nieaktywnych użytkowników w WordPress.
Często zadawane pytania dotyczące zabezpieczania panelu administracyjnego WordPress
Jaki jest najważniejszy krok do zabezpieczenia mojego obszaru administracyjnego WordPress?
Użycie zapory sieciowej aplikacji internetowej (WAF) jest najważniejszym pierwszym krokiem. Dobra zapora sieciowa, taka jak Cloudflare lub Sucuri, blokuje złośliwy ruch, zanim dotrze on do Twojej witryny, zapobiegając szerokiemu zakresowi ataków.
Czy zabezpieczenie katalogu wp-admin hasłem jest naprawdę konieczne?
Chociaż nie jest to obowiązkowe, jest to bardzo skuteczne. Dodaje drugą warstwę uwierzytelniania, która zatrzymuje prawie wszystkie zautomatyzowane boty próbujące złamać hasło do Twojej strony logowania. To prosta zmiana, która znacznie zwiększa bezpieczeństwo.
Czy mogę zostać zablokowany ze swojej własnej strony, stosując się do tych wskazówek?
Tak, jeśli nie będziesz ostrożny. Wskazówka dotycząca ograniczenia dostępu do logowania do określonych adresów IP jest przeznaczona tylko dla zaawansowanych użytkowników ze statycznym adresem IP. Jeśli używasz zwykłego, dynamicznego adresu IP, zablokujesz sobie dostęp. Zawsze wykonaj kopię zapasową swojej witryny przed edycją plików takich jak .htaccess.
Dodatkowe zasoby dotyczące bezpieczeństwa WordPress
Mamy nadzieję, że ten artykuł pomógł Ci poznać nowe wskazówki i triki dotyczące ochrony obszaru administracyjnego WordPress.
Możesz również zapoznać się z naszymi innymi przewodnikami ekspertów dotyczącymi ochrony Twojej witryny:
- Kompleksowy przewodnik po bezpieczeństwie WordPress – krok po kroku
- Najlepsze wtyczki bezpieczeństwa WordPress do ochrony Twojej witryny (porównanie)
- Jak przeskanować swoją witrynę WordPress pod kątem potencjalnie złośliwego kodu
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Danang Sukma
Dzięki za Twój post.
Używam ochrony hasłem dla mojego folderu wp-admin w cPanel, czy to wystarczy?
mby
uh co za przydatna informacja chłopaki, na pewno pomoże!!
dzięki za wrzucenie! ^_^
anthony
To świetna informacja, którą wdrożę jak najszybciej! Już doświadczyłem zhakowania mojego bloga, więc martwiłem się tymi problemami. Wielkie dzięki!!
shoaib hussain
przemieszczam się z jednego posta na drugi na twoim blogu i bardzo mi się podoba. dzięki wielkie. chyba będę musiał teraz zasubskrybować.
tzutzu
NIESAMOWITY post!! Dziękuję za te informacje
Marlin
Dzięki, fajna lista, na pewno pomoże to zabezpieczyć panel administracyjny WordPress.
Abhilash Thekkel
Bardzo przydatne wskazówki. Dziękuję
Jessica
Obecnie uczę się tworzenia stron w WordPressie. Chcę stworzyć sklep internetowy za pomocą WordPressa, używając wtyczki WP e-Commerce. Czy ktoś wie, czy te wskazówki zapewnią bezpieczeństwo mojej stronie e-commerce?
Personel redakcyjny
Upewnij się, że masz ochronę SSL na swojej witrynie e-commerce dla wszystkich transakcji. Dotyczą one tylko ochrony Twojego obszaru administracyjnego.
Admin
Ursula Comeau
Wow – to jest NIESAMOWITY post! Dziękuję bardzo za podzielenie się wszystkimi tymi informacjami – i kilkoma świetnymi wtyczkami!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
Problem z wtyczkami polega na tym, że nie zawsze są one kompatybilne z każdą wersją i nie zawsze są aktualizowane.
Personel redakcyjny
Większość wtyczek jest kompatybilna z nowszymi wersjami, a jeśli deweloper zdecyduje się porzucić rozwój wtyczki, inni często ją przejmują i tworzą wtyczkę z poprawkami do przyszłych wydań. Musisz tylko pozostać aktywnym w społeczności.
Admin
Smashing Themes
Serio, zmieńcie nazwę swojej witryny na WP ROCKER, jesteście niesamowici. Zainstalowałem trzy wtyczki do ochrony mojego panelu administratora po przeczytaniu tego świetnego posta.
Dagmar
Istnieją również płatne wtyczki – np. „WP Secure”, która również twierdzi, że zabezpieczy Twoje WP przed hakerami. Działa ona również na podstawie kilku z powyższych zasad – np. niestandardowa strona logowania, potwierdzenie jednego IP itp.
Czy warto to kupić? = czy ktoś wie, czy jest łatwiejszy w użyciu dla osób nietechnicznych niż niektóre z wymienionych powyżej?
Personel redakcyjny
Jeśli możesz wykonać pracę za darmo, to jaki jest sens płacenia?
Admin
iHacks
Link do wtyczki WordPress Firewall?
Personel redakcyjny
Działa teraz.
Admin
Kjetil
Cześć
Dziękuję bardzo za Twoje wskazówki.
Odnośnie wskazówki 8, zastanawiam się, jak wstawić kod
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
Jaka jest kompletna funkcja do użycia?
Chciałbym spróbować, ponieważ już używam AskApache Password Protect, a ta wtyczka jest niekompatybilna z Secure Wordpress.
Dzięki,
Kjetil
– http://www.dolcevita.no
Personel redakcyjny
Przejdziesz do functions.php i wstawisz ten kod. To wszystko, jeśli dobrze zrozumieliśmy Twoje pytanie. Jeśli to nie odpowiada, proszę odpowiedz na komentarz, a na pewno się tym zajmiemy.
Admin
Robinoz
Dziękuję za te nieocenione informacje. Właśnie ucierpiałem z powodu ataku złośliwego oprogramowania, który spowodował, że mój blog był niedostępny przez dzień lub dwa, podczas gdy mój programista WordPress zajmował się tym. Bardzo niewygodne.
W ciągu najbliższego dnia lub dwóch wdrożę niektóre z Twoich sugestii.
Robinoz
http://www.e1jobs-blog.com (Blog o pracy”
bezpieczny serwer
dobre wskazówki dotyczące zabezpieczania wordpress. z czasem będziemy widzieć, że hostingi albo staną się bardziej rygorystyczne i bezpieczne, albo pakiety CMS będą musiały wdrożyć po instalacji kilka dodatkowych inicjatyw bezpieczeństwa.
abbie
Cześć. Napisałeś bardzo dobry post.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Personel redakcyjny
Wysłałem/am Ci e-mail w tej sprawie. Nie zezwalamy na pełne tłumaczenie artykułów. Proszę podsumować go i podać link do naszego artykułu, jeśli Twoi użytkownicy chcą przeczytać pełne wskazówki.
Admin
abbie
Thanks for your response.
I’ll revise my post.
Arie
Cześć..
Chciałbym o coś zapytać.
Poza użyciem askimet, captcha, silnego hasła, czy istnieje inny sposób, aby haker mógł sabotować naszą stronę internetową.
To jest moje pytanie, proszę odpowiedzieć na mój e-mail
Pozdrawiam,
Arie
Personel redakcyjny
Tak, jeśli Twój hosting ma luki w zabezpieczeniach, haker może Cię również zablokować.
John Macpherson
Zajęło mi kilka minut, aby to rozgryźć, ale masz niewłaściwy rodzaj cudzysłowów wokół tej funkcji
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Powinno być:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Poza tym świetny post.
jakesjohn
Co możesz uzyskać z wtyczki WordPress Wp-PreventCopyBlogs
1. Śledź odwiedzających, którzy próbują skopiować Twoje treści.
2. Zapisz adres IP użytkownika, który próbuje dokonać oszukańczej kopii, wraz z adresem URL strony docelowej Twojej witryny i adresem URL odsyłacza. Może to pomóc w podjęciu niezbędnych działań, jeśli zauważysz coś niepokojącego.
3. Włącz komunikat wyświetlany użytkownikowi na jego życzenie.
4. Wyłącz zaznaczanie tekstu i klikanie prawym przyciskiem myszy dla użytkowników, w zależności od opcji.
Srecko Bradic
Muszę pogratulować tego doskonałego artykułu!!! Szczerze mówiąc, znałem kilka wskazówek, ale niektóre bardzo ważne informacje były dla mnie nieznane do tej pory!
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Świetny post, chyba będę lepiej spać dzisiaj!
Henry
W odniesieniu do #6, jeśli użyjesz następującego pliku .htaccess, będziesz mógł zalogować się z innych lokalizacji w dwuetapowym procesie. Wymaga to dodania pliku htpasswd (zapoznaj się z dokumentacją serwera).
AuthUserFile ‘plik htpasswd’
AuthGroupFile /dev/null
AuthName “Kontrola dostępu administratora WordPress”
AuthType Basic
order deny,allow
deny from all
Wymagaj poprawnego użytkownika
# biała lista adresu IP Syeda
allow from xx.xx.xx.xxx
# biała lista adresu IP Davida
allow from xx.xx.xx.xxx
# biała lista adresu IP Amandy
allow from xx.xx.xx.xxx
# biała lista adresu IP Muhammada
allow from xx.xx.xx.xxx
# biała lista adresu IP pracy
allow from xx.xx.xx.xxx
Zatwierdź dowolny
Linie „require valid user” i „satisfy any” wymuszą na serwerze Apache żądanie nazwy użytkownika i hasła, zanim uzyskasz dostęp do ekranu logowania WordPress. Proszę NIE używaj tej samej nazwy użytkownika i hasła w pliku htpasswd, której używasz do dostępu do WordPressa, ponieważ zniweczy to cel dodatkowego poziomu bezpieczeństwa.
Personel redakcyjny
Thanks for the suggestion. Post updated with a link to this way as well
Admin
Laura
Dzięki za świetny artykuł. Z niecierpliwością czekam na zabezpieczenie mojego bloga.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Personel redakcyjny
Thanks for the translation
Admin
Konstantyn
Cześć, bloguję od 3 lat. Mój blog został zhakowany w czerwcu 2009 roku i zbanowany przez Google na 30 dni, a moje odsłony natychmiast spadły z 800 dziennie do mniej niż 100 dziennie.
Gorąco polecam zainstalowanie wtyczki zapory sieciowej WordPress. Wtyczka będzie wysyłać Ci e-mail za każdym razem, gdy ktoś spróbuje zhakować Twój blog, wraz z adresem IP hakera. Wtyczka wykrywa i blokuje dziwne żądania, przekierowując atak na stronę główną.
W poniedziałek otrzymałem e-mail o sześciu próbach włamania w weekend. Haker próbował uzyskać dostęp do strony administratora trzy razy, a gdy to się nie udało, próbował wyszukać wtyczkę wordspew, której nie używam.
Wszystkim nowicjuszom powodzenia
Personel redakcyjny
Thanks for suggesting this one. Its now added in the post
Admin
Renee Fischer
Gdy włamanie się powiedzie, bot lub ludzki haker zachowa Twoje dane i będzie wielokrotnie próbował uzyskać dostęp do plików Twojej witryny, szukając sposobu na ponowne wejście. Będą nieustępliwi. Jeśli udało im się zhakować Twój e-mail, komputer lub serwer, będą kontynuować, dopóki nie zhakują wszystkiego, czego dotykasz. Są jak karaluchy, które znalazły okruchy prowadzące do Twojego domu.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Tajfun
Naprawdę bardzo przydatny artykuł. Podzieliłem się nim na Twitterze.
Przy okazji, chcę zapytać o jedną rzecz; Jak działa Stealth Login dla autorów gościnnych?
Personel redakcyjny
Dajesz im specjalny adres URL, który utworzyłeś, jeśli im wystarczająco ufasz. W większości przypadków autorzy gościnni nie powinni mieć dostępu do panelu administracyjnego, chyba że są autorami Twojej witryny. Jeśli ktoś napisał wiele postów dla Twojej witryny, można mu zaufać, więc możesz nadać mu specjalny adres URL /login lub /googlogin lub cokolwiek innego utworzyłeś.
Większość najlepszych blogów przyjmuje posty gościnne przez e-mail, a jeśli ci autorzy gościnni zostaną stałymi autorami, dopiero wtedy mają dostęp do panelu administracyjnego.
Admin
Misao
Dziękuję! Bardzo pomocny artykuł. Wypróbuję Twoje wskazówki i triki na kilku moich blogach.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Cześć
Świetna lista! Możesz dodać fajną wtyczkę „One time Password” dla WordPressa:
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Świetne wskazówki.
Dla zaangażowanych czytelników jest nieścisłość w #6.
Wadą tego rozwiązania jest to, że jeśli kiedykolwiek będziesz chciał uzyskać dostęp do panelu administracyjnego z innego miejsca, nie będziesz mógł tego zrobić, chyba że dodasz dodatkowy adres IP w pliku .htaccess.
Jeśli dozwolony adres IP to skrzynka, do której można się zalogować przez SSH, można przez nią utworzyć tunel SSH (używam foxyproxy, ponieważ ułatwia to przełączanie). Ponadto, jeśli zamiast Apache używasz nginx, możesz ocenić URI za pomocą wyrażeń regularnych, aby zablokować wszystko od wp-app.php do wp-trackback.php (lub wybrać, które z nich chcesz zablokować). Opisuję to na http://www.phrison.com/securing-arbitrary-uris/, ale nie jest to dla osób niedoświadczonych.
Mam dużą kolekcję czapek z folii aluminiowej.
Personel redakcyjny
Masz rację.
Ostrzeżenie: Nowi użytkownicy w ogóle tego nie próbujcie. To tylko dla doświadczonych użytkowników.
Admin
SaigonNezumi(Kevin)
Dziękuję za ten artykuł. Czekałem na taki artykuł. Dodanie kilku z twoich wskazówek pomoże zabezpieczyć moje strony WP.
Jeszcze raz dziękuję.
Personel redakcyjny
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
Admin
Dana DeFazio
Zastanawiam się, czy istnieje coś porównywalnego dla mojego bloga, ponieważ jest to strona WordPress.com, a także mam nowy blog na danaddiamond.BlogSpot.com
Personel redakcyjny
WordPress.com nie pozwala na wiele uprawnień, ale dzięki ich serwerowi jesteś w większości bezpieczny.
Admin
Tinh
Doskonałe wskazówki i triki, zastosowałem tylko 6 z 11 sugerowanych wskazówek, spróbuję reszty
Jo
Ta strona to dla mnie miłe nowe odkrycie (FYI, dzięki @Problogger na Twitterze) i z niecierpliwością czekam na dalszą eksplorację. Ten artykuł to rodzaj zwięzłego, jasnego pisania, które jest dziś zbyt rzadkie. Dziękuję za naprawdę pomocne informacje.
Personel redakcyjny
Cieszymy się, że podoba Ci się nasza strona, i cieszymy się również, że Darren uznał artykuł za wystarczająco przydatny, aby go udostępnić na Twitterze. Mamy nadzieję, że będziesz nas śledzić na Twitterze, aby być na bieżąco ze wszystkimi fajnymi samouczkami.
Admin
Marc
Wow – jestem całkiem nowy w WP i nie miałem pojęcia, że jest tyle bramek dla hakerów. Jestem pewien, że nie znajdą drogi po dodaniu kilku z nich.
Dzięki.
Roger Duck
Bezpieczeństwo WordPress jest rosnącym problemem, a te kroki są kluczowe dla zabezpieczenia witryny WordPress. Wzmocnienie bezpieczeństwa pomaga całej społeczności, a także Twojej własnej witrynie, aby poświęcić czas na wdrożenie tych pomysłów. Dobra robota.
Rob
I aby chronić całą swoją ciężką pracę / funkcje bezpieczeństwa przed swoimi klientami…
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
Dobra lista kluczowych wskazówek dotyczących zabezpieczenia Twojej witryny. Szczególnie podoba mi się #8. Nigdy tego wcześniej nie robiłem, ale od teraz będę!
Odnośnie #7 – Usuń nazwę użytkownika „admin”:
Nie usuwam nazwy użytkownika administratora, tworzę nowe konto administratora, a następnie zmieniam typ konta użytkownika 'admin' na subskrybenta.
W ten sposób, nawet jeśli ktoś złamie hasło, jest to bezużyteczne konto. Jeśli je usuniesz, ktoś może zarejestrować tę nazwę użytkownika...
Kathlene
Pytanie do Jamesa Morrisona. Czy możesz wyjaśnić trochę więcej, co masz na myśli i jak to zrobić?
W kwestii personelu, próbowałem wielokrotnie uzyskać numer dla wtyczki akisnet i nie mogę go zdobyć. Jak można go uzyskać.
Bardzo fajny post. Wdrożę to od razu. Kiedyś mój blog został zhakowany dwa razy w ciągu 30 dni.
Dzięki za świetne informacje.
James Morrison
Postępuj zgodnie z tymi krokami:
1.) Utwórz nowe konto użytkownika z dostępem administratora (np. „James”)
2.) Zaloguj się na nowe konto w WP Admin
3.) Edytuj konto użytkownika „admin” i zmień dostęp na subskrybenta
W ten sposób, nawet jeśli ktoś spróbuje przejąć konto administratora i mu się uda, nadal nie będzie mógł zrobić nic złego z Twoją witryną.
Aby uzyskać klucz Akismet, musisz się na niego zarejestrować pod adresem http://www.wordpress.com
Mam nadzieję, że to pomoże!
Mathdelane
Domyślną nazwę użytkownika „admin” można zawsze zmienić na dowolną za pomocą bazy danych phpMyadmin. Oto mój post na ten temat, a także moje doświadczenia z hakowaniem blogów i bezpieczeństwem:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Tanie strony
Dziękuję za wszystkie sugestie, pracuję nad kilkoma dużymi projektami i na pewno pomoże to, gdy blogi będą już uruchomione.
Jestem tu pierwszy raz i uwielbiam tego bloga, dobra robota!
Dan
Personel redakcyjny
Cieszę się, że Ci się tu podoba. Zachęcamy do zgłaszania wszelkich sugestii, jeśli masz pytania lub chciałbyś, aby WPBeginner poruszył jakiś konkretny temat.
Admin
Flow Interactive
Dobre wskazówki. Możesz również przenieść plik wp_config.php poza główny katalog sieci, aby zapewnić dodatkową warstwę bezpieczeństwa.
Personel redakcyjny
Tak, możesz to zrobić, ale w tym artykule mówiliśmy tylko o panelu administracyjnym WordPress, a nie o całej stronie w ogóle. Istnieje wiele innych sposobów na zabezpieczenie całej witryny WordPress.
Admin
Shabayek
Ale co, jeśli zezwolisz odwiedzającym Twojego bloga na rejestrację i wymusisz na nich logowanie przed dodaniem komentarza?
Personel redakcyjny
Wtedy nie możesz używać ochrony IP i innych, ale nadal powinieneś używać ograniczenia blokady, nie używać nazwy użytkownika administratora i logowania półbezpiecznego.
Admin
Gerald Weber
Używam ograniczenia żądań logowania do mojego adresu IP. Oznacza to, że każdy, kto próbuje uzyskać dostęp do http://www.domainname.com/wp-admin, a nie pochodzi z mojego adresu IP, otrzyma po prostu stronę 404.
Blogspot do WordPress
Hej, bardzo pomocny post.
MOst INteresting IDeas blog
Przydatny post dla mojego bloga.
Dreyer
Pomocna lista. Wypróbuję je. Lepiej być paranoikiem niż żałować.
Rafi
Hej, to wspaniała kolekcja wskazówek i sztuczek, bardzo przydatna. Polecam każdemu blogerowi WP, aby zapoznał się z listą i postępował zgodnie z krokami, a także z innymi przydatnymi zasobami dostępnymi gdzie indziej. W końcu NIE zakładaliśmy naszych blogów, aby ktoś przejął kontrolę nad naszym życiem. Cholera.
Dzięki za udostępnienie, WPBeginner.
Sergej Müller
Link do ochrony antywirusowej WordPress?
Personel redakcyjny
Niezależnie od tego, ile razy sprawdzisz, zawsze coś zostanie pominięte. Cieszę się, że mamy takich użytkowników jak Ty. Link dodany. Jeszcze raz dziękuję.
Admin
Lolic
A co z systemami akismet i captcha?