Det finns inget värre än att upptäcka att din webbplats har blivit komprometterad. WordPress-administratörsområdet är den huvudsakliga ingångspunkten för hackare, vilket gör det till den mest kritiska delen av din webbplats att skydda.
Vi vet att det kan vara stressande att tänka på brute force-attacker eller datastöld. Många webbplatsägare oroar sig för att de inte har de tekniska kunskaperna för att ordentligt säkra sitt instrumentbräda.
Den stora nyheten är att du inte behöver vara en säkerhetsproffs för att göra stor skillnad. Baserat på vår erfarenhet av att hantera tusentals WordPress-webbplatser har vi funnit att några enkla ändringar räcker för att bygga ett starkt försvar.
I den här guiden går vi igenom de mest effektiva tipsen för att säkra ditt adminområde. Dessa enkla steg ger dig sinnesro och håller din webbplats säker.
Vi kommer att gå igenom många tips, och du kan använda snabblänkarna nedan för att hoppa mellan dem:
- 1. Använd en brandvägg
- 2. Lösenordsskydda WordPress adminkatalog
- 3. Använd alltid starka lösenord
- 4. Använd tvåstegsverifiering på WordPress inloggningsskärm
- 5. Begränsa inloggningsförsök
- 6. Begränsa inloggningsåtkomst till IP-adresser
- 7. Inaktivera inloggningshintar
- 8. Kräv att användare använder starka lösenord
- 9. Återställ lösenord för alla användare
- 10. Håll WordPress uppdaterat
- 11. Skapa anpassade inloggnings- och registreringssidor
- Lär dig om WordPress användarroller och behörigheter
- 13. Begränsa åtkomst till WordPress-instrumentpanelen
- 14. Logga ut inaktiva användare
- Vanliga frågor om säkring av WordPress-admin
- Ytterligare resurser för WordPress-säkerhet
1. Använd en brandvägg
En webbapplikationsbrandvägg (WAF) övervakar din webbplatstrafik och blockerar misstänkta förfrågningar innan de kan nå din server. Detta är din första försvarslinje mot hackningsförsök.
Medan det finns flera WordPress brandväggs-plugins, rekommenderar vi en brandvägg på DNS-nivå som Cloudflare. Brandväggar på DNS-nivå är mer effektiva eftersom de blockerar hot vid nätverkets kant, så skadlig trafik når aldrig din webbplats.
På WPBeginner använder vi Cloudflares företagsplan för att skydda vår webbplats från hackningsförsök, skadlig kod och annan skadlig aktivitet. För steg-för-steg-instruktioner, se vår artikel om hur du ställer in Cloudflare gratis CDN för din webbplats.
Ett annat bra alternativ är Sucuri, som vi tidigare använde. För mer information, se vår artikel om varför vi bytte från Sucuri till Cloudflare.
2. Lösenordsskydda WordPress adminkatalog
Ett annat tips som vi har funnit vara extremt effektivt är att lägga till lösenordsskydd till WordPress admin-katalogen. Detta lägger till ett andra försvarslager, som kräver två separata lösenord för att komma åt din instrumentpanel.
Du kan göra detta från ditt WordPress webbhotell kontrollpanel. Här är stegen för cPanel:
- Logga in på ditt WordPress-värdkontrollpanels cPanel och klicka på ikonen ‘Directory Privacy’.
- Välj din
wp-admin-mapp, som vanligtvis finns inuti/public_html/-katalogen. - Markera rutan bredvid 'Lösenordsskydda denna katalog' och ange ett namn för den.
- Klicka på 'Spara' och gå sedan tillbaka för att skapa en användare med ett nytt användarnamn och lösenord.
Nu kommer alla som försöker komma åt din admininloggningssida först att se en autentiseringsprompt.
Detta blockerar de flesta automatiserade botattacker.
För mer detaljerade instruktioner, se vår guide om hur man lösenordsskyddar WordPress admin (wp-admin) katalog. Observera att dessa steg är för värdar som använder cPanel. Om du använder en annan kontrollpanel, kontrollera din värds dokumentation.
3. Använd alltid starka lösenord
Du måste använda starka, komplexa lösenord för alla dina WordPress-konton. Svaga lösenord är en av de vanligaste orsakerna till att webbplatser hackas.
Ett starkt lösenord använder en kombination av stora och små bokstäver, siffror och specialtecken (!, #, @, %, etc.). Ju längre det är, desto säkrare blir det.
Det är nästan omöjligt att komma ihåg dussintals komplexa lösenord. Därför använder hela vårt team på WPBeginner en lösenordshanteringsapp som 1Password för att säkert generera och lagra unika lösenord för varje tjänst.
För mer information om detta ämne, se vår guide om bästa sättet att hantera lösenord för WordPress-nybörjare.
4. Använd tvåstegsverifiering på WordPress inloggningsskärm
Tvåstegsverifiering, även känd som tvåfaktorsautentisering (2FA), lägger till ytterligare ett kritiskt säkerhetslager. Vi använder 2FA inte bara på våra WordPress-webbplatser utan på alla våra onlinekonton där alternativet är tillgängligt.
Efter att ha angett ditt lösenord måste du också ange en tidskänslig kod som genereras av en app på din telefon, som 1Password eller Authenticator. Även om en hackare stjäl ditt lösenord, kommer de inte att kunna logga in utan din telefon.
För detaljerade steg-för-steg-instruktioner, se vår guide om hur du ställer in tvåfaktorsautentisering i WordPress med Google Authenticator.
5. Begränsa inloggningsförsök
Som standard låter WordPress användare försöka logga in hur många gånger de vill. Detta gör det möjligt för hackare att använda automatiserade skript för att prova tusentals lösenordskombinationer i vad som kallas en "brute force attack".
Du kan enkelt stoppa detta genom att installera pluginet Limit Login Attempts Reloaded. Efter aktivering, gå till Inställningar » Begränsa inloggningsförsök för att konfigurera hur många misslyckade försök som tillåts innan en IP-adress tillfälligt blockeras.
För detaljerade instruktioner, se vår guide om varför du bör begränsa inloggningsförsök i WordPress.
För att lära dig mer om pluginet kan du också läsa vår detaljerade recension av Limit Login Attempts.
6. Begränsa inloggningsåtkomst till IP-adresser
Varning: Detta är en avancerad teknik och bör endast användas om du har en statisk (fast) IP-adress. De flesta heminternetanslutningar använder dynamiska IP-adresser som ändras regelbundet. Om du använder den här metoden med en dynamisk IP kommer du att låsa dig ute från din egen webbplats.
Om du har en fast IP-adress kan du begränsa åtkomsten till ditt adminområde till endast den adressen. Lägg helt enkelt till denna kod i din .htaccess-fil:
Glöm inte att ersätta 'xx'-värdena med din egen IP-adress. Du kan enkelt hitta din nuvarande IP-adress genom att söka "vad är min IP-adress" på Google. Om du använder mer än en IP-adress, se till att lägga till dem också.
För detaljerade instruktioner, se vår guide om hur du begränsar åtkomsten till WordPress-admin med .htaccess.
7. Inaktivera inloggningshintar
När en inloggning misslyckas, talar WordPress om för dig om användarnamnet eller lösenordet var felaktigt. Även om det är hjälpsamt för användare, bekräftar dessa ledtrådar också ett giltigt användarnamn för en angripare, vilket gör deras jobb enklare.
Du kan dölja dessa tips genom att lägga till följande kod i din temas functions.php-fil. Vi rekommenderar dock att du använder ett kodavsnittsplugin som WPCode. Det är ett mycket säkrare sätt att hantera anpassad kod utan att riskera webbplatsfel.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
För mer information, se vår guide om hur man enkelt lägger till anpassad kod i WordPress utan att bryta din webbplats.
8. Kräv att användare använder starka lösenord
Om du driver en WordPress-webbplats med flera författare, kan en enda användare med ett svagt lösenord skapa en sårbarhet för alla. Du kan införa en policy för starka lösenord för att förhindra detta.
För att göra detta kan du installera och aktivera pluginet Solid Security (tidigare känt som iThemes Security), skapat av teamet på SolidWP.
Sedan kan du följa stegen i vår kompletta guide om hur man tvingar fram starka lösenord för användare i WordPress.
9. Återställ lösenord för alla användare
För WordPress-webbplatser med flera användare kan du förbättra säkerheten genom att tvinga alla användare att återställa sina lösenord. Detta är särskilt användbart om du misstänker ett säkerhetsintrång eller bara vill införa en ny lösenordspolicy.
Installera och aktivera först pluginet Emergency Password Reset. Efter aktivering, gå till sidan Användare » Återställning av nödlösenord och klicka på knappen 'Återställ alla lösenord'.
För detaljerade instruktioner, se vår guide om hur man återställer lösenord för alla användare i WordPress.
10. Håll WordPress uppdaterat
WordPress släpper ofta nya versioner för att lägga till funktioner och åtgärda säkerhetsbrister. Att köra en föråldrad version av WordPress, dina plugins eller ditt tema är en av de största säkerhetsriskerna du kan ta.
Se alltid till att du använder den senaste versionen av WordPress kärnprogramvara, samt alla dina plugins och teman. För mer information om detta, se vår guide om varför du bör alltid använda den senaste versionen av WordPress.
11. Skapa anpassade inloggnings- och registreringssidor
För webbplatser som kräver användarregistrering, såsom medlemskapswebbplatser eller onlinebutiker, bör du skapa anpassade inloggnings- och registreringssidor.
Detta förhindrar att icke-administratörsanvändare någonsin behöver se eller komma åt standardinloggningsskärmen för WordPress. Det ger en mer professionell användarupplevelse och låter dig helt låsa standardåtkomsten till wp-admin utan att påverka dina medlemmar eller kunder.
Det enklaste sättet att göra detta är med ett plugin som WPForms, som har ett kraftfullt tillägg för användarregistrering. För detaljerade instruktioner, se vår guide om hur du skapar anpassade inloggnings- och registreringssidor i WordPress.
Lär dig om WordPress användarroller och behörigheter
WordPress har ett inbyggt system för användarhantering med olika roller och behörigheter. Att tilldela fel roll kan ge en användare långt fler behörigheter än de behöver, vilket skapar en potentiell säkerhetsrisk.
Det är viktigt att förstå vad varje roll kan göra innan du lägger till användare på din webbplats. Här är de 5 standardrollerna:
- Administratör: Har fullständig åtkomst till alla inställningar och innehåll på webbplatsen.
- Redigerare: Kan publicera och hantera alla inlägg, inklusive de från andra användare.
- Författare: Kan endast publicera och hantera sina egna inlägg.
- Bidragsgivare: Kan skriva och hantera sina egna inlägg, men kan inte publicera dem.
- Prenumerant: Kan bara logga in och hantera sin egen profil.
För en fullständig genomgång, se vår nybörjarguide till WordPress användarroller och behörigheter.
13. Begränsa åtkomst till WordPress-instrumentpanelen
På vissa webbplatser kan vissa användare inte behöva åtkomst till WordPress-instrumentpanelen alls. Som standard kan alla användare logga in och se adminområdet, även om deras behörigheter är begränsade.
För att åtgärda detta, installera och aktivera pluginet Remove Dashboard Access. Efter aktivering, gå till Inställningar » Dashboard Access och välj vilka användarroller som kan komma åt adminområdet. Andra kan omdirigeras till startsidan eller en annan URL.
För mer detaljerade instruktioner, se vår guide om hur man begränsar åtkomst till instrumentpanelen i WordPress.
14. Logga ut inaktiva användare
Inloggade användare som lämnar sina datorer kan utgöra en säkerhetsrisk. Om deras dator är offentlig eller delad kan någon annan komma åt deras konto.
Du kan lösa detta genom att installera pluginet Inactive Logout. Gå till Inställningar » Inaktiv utloggning och ställ in en tidsgräns. Efter den perioden av inaktivitet kommer användare att loggas ut automatiskt.
För mer information, se vår artikel om hur man automatiskt loggar ut inaktiva användare i WordPress.
Vanliga frågor om säkring av WordPress-admin
Vad är det viktigaste steget för att säkra mitt WordPress-adminområde?
Att använda en Web Application Firewall (WAF) är det mest kritiska första steget. En bra brandvägg, som Cloudflare eller Sucuri, blockerar skadlig trafik innan den ens når din webbplats och förhindrar en mängd olika attacker.
Är det verkligen nödvändigt att lösenordsskydda wp-admin-katalogen?
Även om det inte är obligatoriskt, är det mycket effektivt. Det lägger till ett andra lager av autentisering som stoppar nästan alla automatiserade botar som försöker brute-force-anropa din inloggningssida. Det är en enkel ändring som avsevärt ökar säkerheten.
Kan jag bli utelåst från min egen webbplats genom att följa dessa tips?
Ja, om du inte är försiktig. Tipset att begränsa inloggningsåtkomst till specifika IP-adresser är endast för avancerade användare med en statisk IP. Om du använder en vanlig, dynamisk IP-adress kommer du att låsa dig ute. Säkerhetskopiera alltid din webbplats innan du redigerar filer som .htaccess.
Ytterligare resurser för WordPress-säkerhet
Vi hoppas att den här artikeln hjälpte dig att lära dig några nya tips och knep för att skydda ditt WordPress-adminområde.
Du kanske också vill se våra andra experthandledningar för att hålla din webbplats säker:
- Den ultimata guiden till WordPress-säkerhet – steg för steg
- Bästa WordPress-säkerhetsplugins för att skydda din webbplats (jämförda)
- Hur du skannar din WordPress-webbplats efter potentiellt skadlig kod
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Danang Sukma
Tack för ditt inlägg.
Jag använder lösenordsskydd för min wp-admin-mapp i cPanel, räcker det?
mby
vilken användbar information grabbar, det kan säkert hjälpa!!
tack för att ni postade! ^_^
anthony
Detta är bra information som jag kommer att implementera så snart som möjligt! Jag har redan upplevt att min blogg har blivit hackad så jag har varit orolig för dessa problem. Tack så mycket!!
shoaib hussain
man m rör sig från ett inlägg till ett annat på din blogg och m älskar det. tack så mycket. gissar att jag måste prenumerera nu.
tzutzu
FANTASTISKT inlägg!! Tack för denna information
Marlin
Tack, bra lista, detta kommer säkert att hjälpa till att säkra WordPress adminpanel.
Abhilash Thekkel
Mycket användbara tips. Tack
Jessica
Jag lär mig just nu WP-utveckling. Jag vill skapa en e-handelswebbplats med WordPress med hjälp av WP e-Commerce-pluginet. Vet någon om dessa tips kommer att hålla min e-handelswebbplats säker.
Redaktionell personal
Se till att du har SSL-skydd på din e-handelsplats för alla transaktioner. Dessa är endast för att skydda ditt adminområde.
Admin
Ursula Comeau
Wow – det här är ett FANTASTISKT inlägg! Tack så mycket för att du delar all denna information – och några bra plugins också!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
Problemet med plugins är att de inte alltid är kompatibla med alla versioner, och de uppdateras inte alltid.
Redaktionell personal
De flesta plugins är kompatibla med nyare versioner, och om utvecklaren bestämmer sig för att sluta utveckla pluginet, tar andra ofta över och skapar ett plugin med korrigeringar för framtida utgåvor. Du behöver bara vara aktiv i communityn.
Admin
Smashing Themes
Allvarligt gott folk, byt namn på er webbplats till WP ROCKER, ni är grymma. Jag installerade tre plugins för att skydda mitt adminpanel efter att ha läst det här fantastiska inlägget.
Dagmar
Det finns också några betalda plugins – dvs. "WP Secure" som också hävdar att det kommer att göra ditt WP säkert från hackare. Det fungerar också på sammanfattningen av ett par av principerna ovan – dvs. anpassad inloggningssida, en IP-bekräftelse etc.
Is it worthy to purchase? = anybody knows if it is easier to use for non-techie than some of the above mentioned?
Redaktionell personal
Om du kan göra jobbet gratis, vad är poängen med att betala?
Admin
iHacks
Länk till WordPress Firewall Plugin?
Redaktionell personal
Det fungerar nu.
Admin
Kjetil
Hej
Tack så mycket för dina tips.
Angående tips 8, undrar jag hur man infogar koden
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
Vad är den kompletta funktionen att använda?
Jag skulle vilja prova eftersom jag redan använder AskApache Password Protect och den plugin är inkompatibel med Secure Wordpress.
Tack,
Kjetil
– http://www.dolcevita.no
Redaktionell personal
Du går till functions.php och infogar den koden. Det är allt om vi förstår din fråga tydligt. Om detta inte har besvarat den, vänligen svara på kommentaren så tar vi definitivt en titt på den.
Admin
Robinoz
Tack för denna ovärderliga information. Jag har precis drabbats av ett skadeprogram som slog ut min blogg i en eller två dagar medan jag lät min Wordpress-programmerare fixa det. Mycket obekvämt.
Jag kommer att implementera några av de förslag du har gjort inom en dag eller så.
Robinoz
http://www.e1jobs-blog.com (All About Jobs blog”
säker server
bra tips för att säkra wordpress. allt eftersom kommer vi att se värdar antingen bli mer strikta och säkra eller så behöver CMS-paket implementera några fler säkerhetsinitiativ vid installation.
abbie
Hej. Du har skrivit ett mycket bra inlägg.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Redaktionell personal
Vi har skickat ett e-postmeddelande till dig angående detta. Vi tillåter inte fullständig artikelöversättning. Vänligen sammanfatta den och länka till vår artikel om dina användare vill läsa hela tipsen.
Admin
abbie
Thanks for your response.
I’ll revise my post.
Arie
Hej där..
Jag vill fråga dig något.
Förutom att jag måste använda askimet, captcha-ord, starkt lösenord, finns det något annat sätt för hackare att sabotera vår webbplats.
Det är min fråga, vänligen svara på mitt mejl
Med vänliga hälsningar,
Arie
Redaktionell personal
Ja, om din värd har sårbarheter, kan hackaren få ner dig också.
John Macpherson
Det tog mig några minuter att lista ut det här men du har fel sorts citattecken runt den här funktionen
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Det borde vara:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Förutom det, ett bra inlägg.
jakesjohn
Vad du kan från Wp-PreventCopyBlogs Wordpress Plugin
1. Spåra besökare som försöker kopiera ditt innehåll.
2. Registrera användarens IP-adress som försöker göra bedrägliga kopior med landnings-URL:en till din webbplats och referens-URL:en. Detta kan hjälpa dig att vidta nödvändiga åtgärder om du märker något negativt.
3. Aktivera meddelande som visas för din användare vid användarens val.
4. Inaktivera markering av din text och högerklick för användare beroende på alternativet.
Srecko Bradic
Jag måste gratulera till denna utmärkta artikel!!! För att vara ärlig, jag känner till några tips men en del mycket viktig information var okänd för mig fram till nu!
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Lysande inlägg, jag tror jag kommer att sova bättre i natt!
Henry
Angående #6, om du använder följande .htaccess-fil kommer du att kunna logga in från andra platser i en tvåstegsprocess. Detta kräver att du lägger till en htpasswd-fil (läs din serverdokumentation).
AuthUserFile ‘en htpasswd-fil’
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
Require valid-user
# vitlista Syeds IP-adress
allow from xx.xx.xx.xxx
# vitlista Davids IP-adress
allow from xx.xx.xx.xxx
# vitlista Amandas IP-adress
allow from xx.xx.xx.xxx
# vitlista Muhammads IP-adress
allow from xx.xx.xx.xxx
# vitlista arbets-IP-adress
allow from xx.xx.xx.xxx
Satisfy Any
Raderna "require valid user" och "satisfy any" kommer att tvinga Apache-servern att begära ett användarnamn och lösenord innan du kan komma åt WordPress inloggningsskärm. Använd INTE samma användarnamn och lösenord i htpasswd-filen som du använder för din WordPress-åtkomst, annars kommer du att motverka syftet med det extra säkerhetsnivån.
Redaktionell personal
Thanks for the suggestion. Post updated with a link to this way as well
Admin
Laura
Tack för den utmärkta artikeln. Jag ser fram emot att göra min egen blogg säkrare.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Redaktionell personal
Thanks for the translation
Admin
Konstantin
Hej, jag har bloggat i 3 år. Min blogg blev hackad i juni 2009 och google bannade den i 30 dagar, mina sidvisningar sjönk omedelbart från 800 per dag till mindre än 100 per dag.
Jag rekommenderar starkt att installera ett wordpress brandväggsplugin. Pluginet skickar ett e-postmeddelande varje gång någon försöker hacka din blogg tillsammans med hackarens IP-adress. Pluginet upptäcker och blockerar konstiga förfrågningar och omdirigerar attacken till hemsidan.
På måndag fick jag ett e-postmeddelande om sex försök till hackningsförsök under helgen. Hackaren försökte admin-sidan tre gånger när det misslyckades försökte han söka efter wordspew-pluginet som jag inte använder.
Lycka till alla nybörjare
Redaktionell personal
Thanks for suggesting this one. Its now added in the post
Admin
Renee Fischer
När en hackning lyckas kommer boten eller den mänskliga hackaren att behålla dina data och fortsätta att försöka komma åt dina webbplatsfiler och leta efter en väg tillbaka in. De kommer att fortsätta att vara obevekliga. Om de har lyckats hacka din e-post, dator eller server kommer de att fortsätta tills de har hackat allt du rör vid. De är som kackerlackor som hittat smulor som ledde till ditt hus.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Tyfon
Verkligen en mycket användbar artikel. Jag twittrade den.
Förresten, jag vill fråga en sak; Hur fungerar Stealth Login för gästartister?
Redaktionell personal
Du ger dem den speciella URL som du skapade om du litar tillräckligt på dem. För det mesta bör gästartister inte ens tillåtas i adminpanelen om de inte är författare till din webbplats. Om någon har skrivit flera inlägg för din webbplats kan de vara pålitliga så du kan ge dem den speciella URL:en /login eller /googlogin eller vad du nu skapade.
De flesta toppbloggar tar emot gästinlägg via e-post och om dessa gäståterförfattare blir regelbundna författare, först då får de tillgång till adminpanelen.
Admin
Misao
Tack! Mycket hjälpsam artikel. Jag kommer att prova dina tips och knep på några av mina bloggar.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Hej
Fin lista! Du kanske vill lägga till den fina "One time Password"-pluginen för Wordpress:
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Bra tips.
För de engagerade läsarna finns det en felaktighet i #6.
“The downside to this hack is that if you ever want to access the admin panel from some other place, you won’t be able to do so unless you add that extra IP in your .htaccess file.”
Om IP-adressen du tillåter är en ruta du kan SSH:a till, kan du SSH-tunnla genom den (jag använder foxyproxy, eftersom det gör bytet väldigt enkelt). Dessutom, om du använder nginx istället för apache kan du utvärdera URI:n med reguljära uttryck för att blockera allt från wp-app.php till wp-trackback.php (eller selektivt välja vilka du inte vill blockera). Jag täcker detta på http://www.phrison.com/securing-arbitrary-uris/ men det är inte för oerfarna.
Jag har en stor samling av aluminiumfoliehattar.
Redaktionell personal
Du har rätt.
Varning: Nya användare, försök inte detta alls. Detta är endast för erfarna användare.
Admin
SaigonNezumi(Kevin)
Tack för detta inlägg. Jag har väntat på en artikel som denna. Att lägga till ett par av dina tips kommer att hjälpa till att säkra mina WP-sajter.
Tack igen.
Redaktionell personal
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
Admin
Dana DeFazio
Jag undrar om det finns något jämförbart för min blogg eftersom det är en WordPress.com-sida och jag har också en ny blogg på danaddiamond.BlogSpot.com
Redaktionell personal
WordPress.com tillåter dig inte att ha många privilegier, men med deras server är du säker för det mesta.
Admin
Tinh
Utmärkta tips och knep, jag tillämpade bara 6 av 11 tips du föreslog, låt mig prova resten
Jo
Den här webbplatsen är ett lyckligt nytt fynd för mig (FYI, tack vare @Problogger på Twitter), och jag ser fram emot vidare utforskning. Den här artikeln är den typen av tajt, tydlig skrivning som är för sällsynt nuförtiden. Tack för en genuint hjälpsam information.
Redaktionell personal
Vi är glada att du gillar vår webbplats, och vi är också mycket glada att Darren tyckte att artikeln var tillräckligt användbar för att twittra om den. Vi hoppas att du följer oss på Twitter så att du kan hålla dig uppdaterad med alla fina handledningar.
Admin
Marc
Wow – jag är ganska ny på WP och hade ingen aning om att det fanns så många ingångar för hackare. Jag är säker på att de inte hittar in efter att ha lagt till några av dessa.
Tack.
Roger Duck
WordPress-säkerhet är ett växande problem och dessa steg är avgörande för att säkra en WordPress-webbplats. Att stärka säkerheten hjälper hela communityn såväl som din egen webbplats att ta sig tid att implementera dessa idéer. Bra gjort.
Rob
And to protect all your hard work / security features from your clients….
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
En bra lista med viktiga tips för att säkra din webbplats. Jag gillar särskilt #8, jag har aldrig gjort det tidigare men kommer att göra det från och med nu!
Angående #7 – Ta bort användarnamnet 'admin':
Jag tar inte bort administratörsanvändarnamnet, jag skapar ett nytt administratörskonto och ändrar sedan användarkontotypen för 'admin' till prenumerant.
På så sätt, även om någon knäcker lösenordet är det ett oanvändbart konto. Om du tar bort det kan någon registrera det användarnamnet...
Kathlene
Fråga till James Morrison. Kan du förklara lite mer vad du menar och hur man gör?
För personalen har jag försökt ett antal gånger att få ett nummer för akisnet-pluginet och kan inte verkar komma över ett. Hur får man ett.
Mycket bra inlägg. Jag kommer att implementera dessa direkt. Jag hade en av mina bloggar hackad två gånger på 30 dagar en gång.
Tack för den bra informationen.
James Morrison
Följ dessa steg:
1.) Skapa ett nytt användarkonto med administratörsåtkomst (t.ex. 'James')
2.) Logga in med det nya kontot till WP Admin
3.) Redigera 'admin'-användarens konto och ändra åtkomst till prenumerant
På så sätt, om någon försöker kompromettera administratörskontot och lyckas, kan de fortfarande inte göra något skadligt för din webbplats.
För att få en Akismet-nyckel måste du registrera dig för en på http://www.wordpress.com
Hoppas detta hjälper!
Mathdelane
You can always change the default “admin” username to anything you wish via phpMyadmin database. Here’s my post about it as well as my experience about blog hacking and security:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Billiga webbplatser
Tack för alla förslag, jag arbetar med några stora projekt och detta kommer säkert att hjälpa när bloggarna är igång.
Första gången här och jag älskar bloggen, bra jobbat!
Dan
Redaktionell personal
Kul att du gillar det här. Kom gärna med förslag om du har en fråga eller vill att ett specifikt ämne ska täckas på WPBeginner.
Admin
Flow Interactive
Bra tips. Du kan också flytta din wp_config.php-fil utanför webbroten för att ge ett extra säkerhetslager.
Redaktionell personal
Ja, det kan du göra, men i den här artikeln pratade vi bara om WordPress Admin Panel, inte hela webbplatsen i allmänhet. Det finns många andra sätt att skydda din webbplats, hela din WordPress-blogg.
Admin
Shabayek
Men tänk om du tillåter dina bloggbesökare att registrera sig och tvingar dem att logga in innan de publicerar kommentarer?
Redaktionell personal
Då kan du inte använda IP-skydd och andra, men du bör fortfarande använda begränsad låsning, inte använda administratörsanvändarnamn och halv-säker inloggning.
Admin
Gerald Weber
Jag använder begränsade inloggningsförfrågningar till min IP-adress. Detta innebär att alla som försöker komma åt http://www.domainname.com/wp-admin som inte gör förfrågan från min IP-adress helt enkelt får en 404-sida.
Blogspot till wordpress
Hej mycket användbart inlägg.
MOst INteresting IDeas blog
Användbart inlägg för min blogg.
Dreyer
En hjälpsam lista. Jag kommer att prova dessa. Bättre paranoid än ledsen.
Rafi
Hej, detta är en underbar samling tips och hack, mycket användbart. Jag rekommenderar alla WP-bloggare att gå igenom listan och följa stegen samt andra användbara resurser som finns tillgängliga någon annanstans. När allt kommer omkring har vi INTE satt upp våra bloggar så att någon ska ta kontroll över våra liv. Förbannat.
Thanks for sharing, WPBeginner.
Sergej Müller
Länk till WordPress AntiVirus Protection?
Redaktionell personal
Oavsett hur mycket du korrekturläser, missas alltid vissa saker. Glad att vi har användare som du. Länk tillagd. Tack igen.
Admin
Lolic
Vad sägs om akismet och captcha-system?