Jak zabezpieczyć swoją stronę logowania WordPress (pełny przewodnik)

Kluczowym czynnikiem w prowadzeniu udanej witryny WordPress jest wdrożenie środków monitorowania i bezpieczeństwa. W końcu zhakowana witryna może powodować wiele problemów — niezależnie od tego, czy jest ona wykorzystywana do celów biznesowych, czy osobistych. Może to wpłynąć na Twoje przychody, narazić na ryzyko informacje o odwiedzających i zrujnować Twoją reputację.

Typowym punktem wejścia dla hakerów jest strona logowania do WordPressa, na której dzisiaj będziemy się skupiać. Poniżej znajduje się zestawienie 14 sposobów na wzmocnienie bezpieczeństwa logowania WordPress, aby złośliwi aktorzy nie włamali się do Twojej witryny.

Po co zabezpieczać swoją stronę logowania do WordPressa?

Zanim przejdziemy do listy wskazówek dotyczących bezpieczeństwa, najpierw omówmy pokrótce, dlaczego możesz chcieć zabezpieczyć swoją stronę logowania do WordPressa — przed atakami typu brute force lub w inny sposób — w pierwszej kolejności.

• WordPress jest bardzo popularny, dlatego cyberprzestępcy często szukają nowych luk w zabezpieczeniach, które mogą wykorzystać w wielu witrynach.
• Ponieważ hakerzy znają WordPressa, wiedzą, kiedy witryna jest nieaktualna i jakie luki w zabezpieczeniach występują w poszczególnych wersjach.
• Aby uzyskać dostęp przez stronę logowania, hakerzy nie zawsze potrzebują zaawansowanej wiedzy programistycznej lub specjalnych umiejętności.

Utrzymanie bezpiecznej strony logowania WordPress jest niezbędne dla długoterminowego sukcesu Twojej witryny i ogólnej wydajności.

Jak wzmocnić bezpieczeństwo logowania do WordPressa

Więc wiesz, dlaczego musisz utworzyć bezpieczny login WordPress, ale jak możesz to zrobić? Zebraliśmy 14 sposobów na prawidłowe zabezpieczenie strony logowania do WordPressa, dzięki czemu nie musisz pozostawiać bezpieczeństwa swoich danych lub informacji o klientach przypadkowi.

1. Zainstaluj wtyczkę bezpieczeństwa WordPress

Możesz rozwiązać większość problemów związanych z bezpieczeństwem w ciągu zaledwie kilku minut, instalując wysokiej jakości wtyczkę bezpieczeństwa WordPress. Chociaż wiele wtyczek specjalizuje się w ochronie określonych aspektów witryny lub przed niektórymi rodzajami ataków, w przypadku przeciętnej witryny najlepsze jest bardziej kompleksowe podejście. Kompleksowa wtyczka bezpieczeństwa będzie zawierać funkcje, takie jak dzienniki audytu, skanowanie złośliwego oprogramowania, zapory sieciowe i narzędzia zabezpieczające logowanie w jednym rozwiązaniu.

A na szczycie listy naszych rekomendacji znajduje się Jetpack Security.

Jetpack Security działa automatycznie zajmując się wieloma zadaniami bezpieczeństwa. Zarówno bezpłatne, jak i płatne funkcje zapewniają poziom ochrony dla każdego, kto ma witrynę WordPress. Posiada szeroką gamę funkcji, które mogą zapobiegać naruszeniom bezpieczeństwa, ale także pomagają diagnozować i odzyskiwać wszelkie napotkane incydenty. Obejmują one:

• Ochrona przed atakami brute force
• Zapobieganie spamowi
• Skanowanie złośliwego oprogramowania
• Monitorowanie przestojów
• Kopie zapasowe
• Dzienniki aktywności
• Uwierzytelnianie dwuskładnikowe

Chociaż możesz samodzielnie przejść przez pozostałe kroki opisane tutaj, użycie wtyczki, takiej jak Jetpack Security, usprawni proces wzmacniania logowania.

2. Zmień i ukryj adres URL logowania do WordPressa

Innym sposobem na zwiększenie bezpieczeństwa strony logowania jest ukrycie jej przed wzrokiem ciekawskich. Domyślnie adres logowania do wszystkich witryn WordPress to http://www.yourwebsitename.com/wp-admin, co w zasadzie przypomina podanie włamywaczowi swojego adresu domowego. Więc wszystko, co możesz zrobić, aby to ukryć, jest dobrym pomysłem.

Zmiana adresu URL logowania do WordPressa to świetny sposób na wprowadzenie barier utrudniających pracę hakerowi. Możesz znaleźć wtyczkę, która zrobi to za Ciebie, ale możesz też zrobić to sam.

W tym celu potrzebujesz dostępu FTP do swojej witryny. Gdy już to zrobisz, po prostu postępuj zgodnie z instrukcjami w naszym samouczku: Adres URL logowania do WordPressa: jak go znaleźć, zmienić i ukryć.

3. Użyj silnego hasła, aby zalogować się do WordPress

Możesz także zwiększyć bezpieczeństwo swojej witryny, uaktualniając hasło do silniejszego. Wdrażanie silnych środków haseł znacznie zmniejsza prawdopodobieństwo, że haker lub bot będzie w stanie je „odgadnąć”. Chociaż „puszysty21” może być łatwy do zapamiętania, zbyt łatwo go odgadnąć — zwłaszcza jeśli „Puszysty” to imię ukochanego zwierzaka.

Zamiast wybierać hasła oparte na imionach, wieku lub zwierzętach domowych, tworzenie takiego, które łączy litery i cyfry, wielkie i małe litery oraz kilka symboli jest znacznie lepsze. Silne hasło możesz zbudować na kilka sposobów:

• Wbudowane narzędzie do tworzenia silnych haseł. WordPress ma silne narzędzie do tworzenia haseł, które zachęca do tworzenia silniejszego hasła niż to, do którego możesz być naturalnie skłonny.
• Generator haseł. Wiele generatorów haseł ułatwia tworzenie silnych haseł, których nie można intuicyjnie odgadnąć.
• Strażnik/menedżer haseł. Jedynym problemem związanym z silnymi hasłami jest to, że trudno je zapamiętać. Korzystanie z narzędzia do przechowywania haseł lub narzędzia do zarządzania eliminuje ten problem. Popularne opcje to LastPass, DashLane i 1Password.
  

4. Zabezpiecz hasłem swoją stronę logowania

Domyślnie każdy może uzyskać dostęp do strony logowania do Twojej witryny WordPress. I chociaż możesz ukryć lub zmienić adres URL logowania, o czym wcześniej mówiliśmy, hakerzy mogą go znaleźć, jeśli folder wp-admin jest nadal dostępny.

Dlatego dobrym pomysłem jest dodanie kolejnej warstwy ochrony przed uzyskaniem dostępu do strony logowania. Możesz to osiągnąć za pomocą hasła chroniącego folder wp-admin . Jeśli Twój host internetowy korzysta z cPanel, proces ten jest stosunkowo łatwy.

Zaloguj się na swoje konto dostawcy hostingu, uzyskaj dostęp do cPanel, a następnie przejdź do folderu Prywatność katalogu.

Podczas przeglądania plików witryny przejdź do katalogu public_html/wp-admin . Powinno być widoczne pole wyboru, które czyta hasło chroń ten katalog . Sprawdź pudełko. Następnie utwórz nową nazwę użytkownika i hasło, aby uzyskać dostęp do folderu wp-admin. Zapisz zmiany.

Spróbuj zalogować się do swojej witryny jak zwykle. Powinieneś teraz wprowadzić kolejny zestaw poświadczeń, zanim uzyskasz pozwolenie na zalogowanie się do WordPressa.

Uwaga: ten proces byłby identyczny, nawet jeśli zmieniłeś lokalizację swojej strony logowania. Zabezpiecz hasłem folder, w którym znajduje się Twoja strona logowania, nawet jeśli nie jest to wp-admin.

5. Ogranicz liczbę prób logowania

Kolejną rzeczą, którą musisz zrobić, aby zabezpieczyć stronę logowania WordPress, jest ograniczenie prób logowania. Hakerzy mogą używać botów do wielokrotnych prób logowania, dopóki nie złamią kodu — tj. poznają hasło i uzyskają dostęp do Twojej witryny. Niestety WordPress domyślnie pozwala na nieograniczone logowanie.

Aby zapobiec temu potencjalnemu punktowi dostępu, możesz ograniczyć próby logowania. Najlepszym sposobem na osiągnięcie tego jest wtyczka. W rzeczywistości Jetpack Security oferuje ochronę przed atakami Brute Force jako część swojego kompleksowego rozwiązania zabezpieczającego.

Ataki typu brute force mogą niezwykle zakłócać działanie Twojej witryny, nawet zanim hakerzy uzyskają do niej dostęp. Mogą na przykład znacznie spowolnić witrynę lub spowodować, że całkowicie przestanie ona odpowiadać. Wielokrotne próby logowania mogą w końcu zakończyć się sukcesem, a haker może następnie wprowadzić złośliwe oprogramowanie, wstawić linki lub w inny sposób wywołać chaos. Ataki te mogą również narazić Twoje dane osobowe na ryzyko.

Funkcja Brute Force Attack Protection zawarta w Jetpack Security zapewnia narzędzia niezbędne do blokowania ataków i uniemożliwiania hakerom uzyskania dostępu do Twoich danych. Działa poprzez blokowanie złośliwych adresów IP, zanim dotrą do Twojej witryny. Podaje również liczbę wszystkich ataków i umożliwia dodanie do białej listy znanych adresów IP.

6. Dodaj pytanie zabezpieczające do formularza logowania do WordPressa

Możesz również zwiększyć bezpieczeństwo swojego formularza logowania, dodając pytanie zabezpieczające (lub dwa) do procesu logowania. Tak więc zamiast tylko wpisywać nazwę użytkownika i hasło, użytkownicy muszą również odpowiedzieć na pytanie zabezpieczające, aby uzyskać dostęp.

Ten pojedynczy krok znacznie utrudnia hakowanie Twojej witryny. I jest to stosunkowo łatwe do wdrożenia.

Wtyczka No-Bot Registration to świetny sposób na osiągnięcie tego. Pobierz go, przechodząc do Wtyczki → Dodaj nowy, a następnie wpisz nazwę wtyczki. Gdy się pojawi, pobierz i aktywuj.

Po aktywacji przejdź do Ustawień z pulpitu WordPress. Tutaj możesz skonfigurować wtyczkę i skonfigurować zasady korzystania z pytań bezpieczeństwa (na stronach rejestracji, logowania lub zapomnianego hasła).

Jest to o wiele bardziej przyjazne dla użytkownika niż CAPTCHA, ponieważ wymaga tylko odpowiedzi na proste i logiczne pytanie.

7. Dodaj uwierzytelnianie dwuskładnikowe do WordPress

Następnie możesz włączyć uwierzytelnianie dwuskładnikowe. Wiele witryn i aplikacji korzysta z tej popularnej opcji zabezpieczeń, w tym Gmaila. Działa poprzez wysłanie kodu SMS na Twój telefon, który musisz wprowadzić, zanim będziesz mógł ukończyć proces logowania.

Służy do weryfikacji Twojej tożsamości i zapewnienia dostępu tylko autoryzowanym użytkownikom. Każda warstwa uwierzytelniania, którą dodajesz do procesu, znacznie utrudnia komuś zhakowanie Twojej witryny. Nawet jeśli zły aktor uzyska dostęp do twoich danych logowania, jest mało prawdopodobne, że będzie w stanie udaremnić proces 2FA.

Najłatwiejszym sposobem dodania uwierzytelniania dwuskładnikowego do WordPressa jest użycie wtyczki 2FA. Kilka wtyczek bezpieczeństwa zawiera tę funkcję, ale znowu Jetpack Security zapewnia silne uwierzytelnianie.

Bezpieczne uwierzytelnianie umożliwia logowanie się przy użyciu standardowych poświadczeń WordPress.com, a także całkowite wyłączenie lub ominięcie domyślnego formularza logowania. Ponadto możesz zdecydować, aby uwierzytelnianie dwuskładnikowe było wymogiem dla wszystkich użytkowników, aby zapewnić dalszą ochronę witryny.

8. Zainstaluj certyfikat SSL na swojej witrynie WordPress

Inną drogą ochrony jest zainstalowanie certyfikatu SSL. Uzyskanie certyfikatu SSL za darmo jest łatwe, więc jest to środek bezpieczeństwa, którego nikt nie powinien pomijać.

SSL to sposób, w jaki większość stron internetowych zabezpiecza swoje dane. I możesz stwierdzić, kiedy witryna jest bezpieczna, ponieważ "HTTP" w polu adresu URL będzie miał dodane "S", więc brzmi "HTTPS". Przeglądarki często używają innych wizualnych wskazówek, takich jak zielona ikona kłódki, aby dać odwiedzającym znać, że Twoja witryna ma aktywny certyfikat SSL.

Poza konsekwencjami związanymi z bezpieczeństwem odwiedzający mogą nie kontynuować przeglądania witryny, jeśli zobaczą, że jest ona niezabezpieczona. Ponadto witryny z certyfikatami SSL mają zwykle lepszą pozycję w wyszukiwarkach, a niektóre przeglądarki wyświetlają nawet ostrzeżenie dla odwiedzających, jeśli go nie masz.

Nie pomijaj tego kroku. Dowiedz się, jak uzyskać bezpłatny certyfikat SSL.

9. Wyłącz podpowiedzi logowania do WordPressa po nieudanych próbach logowania

Wskazówki dotyczące logowania mogą być naprawdę pomocne dla prawdziwych użytkowników WordPressa, ale czasami mogą ujawnić hakerom zbyt wiele informacji o Twojej nazwie użytkownika i haśle. Gdy próbujesz zalogować się do witryny WordPress i podajesz nieprawidłową nazwę użytkownika, pojawia się błąd o treści „Nazwa użytkownika nie jest zarejestrowana w tej witrynie. Jeśli nie masz pewności co do swojej nazwy użytkownika, spróbuj zamiast tego adresu e-mail”.

Coś podobnego dzieje się, jeśli wpiszesz prawidłową nazwę użytkownika lub adres e-mail, ale nieprawidłowe hasło.

Aby usunąć wskazówki dotyczące logowania, musisz dodać kilka linijek kodu do pliku functions.php witryny.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Gdy ktoś — prawdziwy lub bot — wprowadzi nieprawidłową nazwę użytkownika lub hasło, zostanie powitany komunikatem „Wystąpił błąd”, a nie domyślnym.

10. Aktualizuj swoją instalację i wtyczki WordPress

Hakerzy znajdują również punkty wejścia do witryn WordPress za pośrednictwem przestarzałych instalacji. Za każdym razem, gdy WordPress jest aktualizowany, wszystkie poprawki błędów i luki w zabezpieczeniach, które zostały naprawione, są publikowane online. Jeśli Twoja instalacja jest przestarzała, hakerzy mają instrukcję obsługi włamań do Twojej witryny.

Po wprowadzeniu nowych aktualizacji podstawowych WordPressa należy wykonać kopię zapasową witryny i zainstalować aktualizację tak szybko, jak to możliwe.

Ale to nie wszystko, o czym musisz pamiętać. Oprogramowanie innych firm – tj. wtyczki i motywy – również są potencjalnymi słabymi punktami. Są one jeszcze ważniejsze, aby być na bieżąco, ponieważ wtyczki i motywy są tworzone przez różne firmy programistyczne o różnych standardach i podejściach.

Dlatego też musisz być selektywny w kwestii instalowanych wtyczek i motywów. Jeśli Twoja wtyczka do udostępniania społecznościowego nie była aktualizowana od dwóch lat, być może nadszedł czas, aby znaleźć taką, która regularnie się aktualizuje.

11. Ukryj numer wersji WordPressa

Szybkim sposobem na poprawę bezpieczeństwa strony logowania jest ukrycie numeru wersji WordPressa. Przynajmniej sprawi to, że hakerzy przyjrzą się dokładniej, aby określić, które luki w zabezpieczeniach należy wykorzystać. I możesz go dość łatwo usunąć.

Znajdź plik functions.php i (po utworzeniu kopii zapasowej witryny) dodaj do niego następujący wiersz kodu:

 remove_action('wp_head', 'wp_generator');

12. Ukryj swoją nazwę użytkownika do logowania do WordPressa

Kolejnym krokiem, który możesz wykonać, jest ukrycie nazwy użytkownika do logowania do WordPressa. W większości przypadków nacisk kładziony jest na stworzenie super bezpiecznego hasła — co jest doskonałe — ale musisz też pomyśleć o swojej nazwie użytkownika. Często jest on dostępny publicznie — okazja, którą mogą wykorzystać hakerzy.

Najszybszym sposobem na ukrycie swojej nazwy użytkownika przed wzrokiem ciekawskich jest usunięcie jej z pojawiania się w postach na blogu i w archiwach autorów.

Aby usunąć swoją nazwę użytkownika z postów na blogu, wystarczy przejść do Użytkownicy → Profil → Pseudonim będąc zalogowanym do WordPressa. W tym miejscu możesz zmienić pseudonim, aby Twoja nazwa użytkownika nie była już widoczna dla odwiedzających witrynę. Zamiast więc widzieć „blogperson02”, zobaczą Twoje imię, imię i nazwisko lub inny skonfigurowany przez Ciebie pseudonim.

Aby usunąć swoją nazwę użytkownika z archiwów autora, potrzebujesz wtyczki SEO, takiej jak Yoast SEO.

Zainstaluj Yoast jak każdą inną wtyczkę, a następnie przejdź do menu SEO → Wygląd wyszukiwania → Archiwa w panelu WordPress. Istnieje tutaj opcja wyłączenia archiwów autorów. Zrób to, a następnie kliknij Zapisz zmiany .

13. Skróć czas automatycznego wylogowania WordPress

Często pozostajesz zalogowany na swoich kontach, gdy często z nich korzystasz. Może to jednak prowadzić do potencjalnych naruszeń, zwłaszcza jeśli kilka osób ma konta w Twojej witrynie. Wdrożenie timera automatycznego wylogowania to świetny sposób na zamknięcie tych luk w zabezpieczeniach.

Gdy sesja zostanie pozostawiona bez nadzoru, zostanie automatycznie wylogowana. Domyślnie WordPress wylogowuje użytkowników po 48 godzinach. Zaznaczenie pola „Zapamiętaj mnie” powoduje, że użytkownicy są zalogowani przez 14 dni. Możesz nieco zmienić te ramy czasowe, korzystając z wtyczki innej firmy. Jedną z tych funkcji jest nieaktywne wylogowanie.

Po zainstalowaniu przejdź do Ustawienia → Wylogowanie nieaktywne → Zarządzanie podstawowe . Następnie wybierz czas bezczynności, przez który chcesz się wylogować.

14. Usuń stare i nieużywane konta użytkowników WordPress

Wreszcie, usunięcie kont, które nie są już używane, może również pomóc poprawić bezpieczeństwo WordPressa. Posiadanie kilku otwartych kont w witrynie oznacza, że ​​każde z nich jest punktem dostępu do prywatnych danych. A jeśli nie aktualizujesz regularnie haseł do tych kont, mogą one stanowić poważne słabości.

Aby tego uniknąć, usuń stare i nieużywane konta. Uczyń to częścią swojego planu regularnej konserwacji witryny.

Powinieneś także nadawać uprawnienia tylko tym użytkownikom, którzy ich potrzebują. Nie każdy użytkownik potrzebuje uprawnień redaktora lub administratora.

Podobnie miej oko na wymienione konta. Czasami hakerzy tworzą fałszywe konto. Jeśli się pojawi, usuń go natychmiast i wzmocnij pozostałe środki bezpieczeństwa. Dowiedz się, co zrobić, jeśli Twoja witryna WordPress została zhakowana.

Zabezpiecz swoją stronę logowania do WordPressa

Posiadanie strony internetowej oznacza ponoszenie pewnej odpowiedzialności za jej zawartość i użytkowników. Oczywiście dzieje się tak podwójnie, jeśli zbierasz informacje o klientach. Ale bez względu na to, jak korzystasz z witryny WordPress, wzmocnienie bezpieczeństwa na stronie logowania to świetny sposób na zapewnienie bezpieczeństwa danych na dłuższą metę.

A przedstawione tutaj wskazówki powinny pomóc w szybkim zwiększeniu wydajności w utrzymaniu bezpieczeństwa WordPress.

Gotowy na pierwszy krok? Zacznij korzystać z Jetpack Security.