Cum să vă asigurați pagina de conectare WordPress (Ghid complet)

Publicat: 2022-08-16

Un factor critic în rularea unui site web WordPress de succes este implementarea măsurilor de monitorizare și securitate. La urma urmei, un site piratat poate provoca o mulțime de bătăi de cap – indiferent dacă site-ul tău este folosit în scopuri de afaceri sau personale. Vă poate afecta veniturile, vă poate risca informațiile vizitatorilor și vă poate distruge reputația.

Un punct de intrare obișnuit pentru hackeri este pagina de autentificare WordPress, care va fi concentrarea noastră astăzi. Ceea ce urmează este o rezumare a 14 moduri de a întări securitatea autentificării WordPress, astfel încât actorii rău intenționați să nu vă încalce site-ul.

De ce să vă securizați pagina de autentificare WordPress?

Înainte de a ajunge la lista de sfaturi de securitate, să discutăm mai întâi pe scurt de ce ați putea dori să vă securizați pagina de autentificare WordPress - de atacuri de forță brută sau altfel - în primul rând.

  • WordPress este foarte popular, astfel încât infractorii cibernetici caută adesea noi vulnerabilități pe care le pot exploata pe un număr mare de site-uri.
  • Deoarece hackerii sunt familiarizați cu WordPress, ei știu când un site web este învechit și ce defecte de securitate sunt prezente în fiecare versiune.
  • Pentru a obține acces printr-o pagină de conectare, hackerii nu au întotdeauna nevoie de cunoștințe avansate de dezvoltare sau abilități speciale.

Păstrarea unei pagini de autentificare WordPress sigură este esențială pentru succesul pe termen lung și performanța generală a site-ului dvs. web.

Cum să vă întăriți securitatea de conectare la WordPress

Deci știți de ce trebuie să creați o autentificare WordPress securizată, dar cum o puteți realiza? Am adunat 14 moduri de a vă securiza pagina de conectare WordPress în mod corespunzător, astfel încât să nu trebuiască să lăsați siguranța datelor sau a informațiilor despre clienți la voia întâmplării.

1. Instalați un plugin de securitate WordPress

Puteți înțelege majoritatea problemelor de securitate în doar câteva minute instalând un plugin de securitate WordPress de înaltă calitate. În timp ce multe plugin-uri sunt specializate în protejarea unor aspecte specifice ale unui site sau împotriva anumitor tipuri de atacuri, o abordare mai cuprinzătoare este cea mai bună pentru site-ul obișnuit. Un plugin de securitate all-in-one va include funcții precum jurnalele de audit, scanările de programe malware, firewall-uri și instrumente de securitate pentru autentificare într-o singură soluție.

Și în partea de sus a listei recomandărilor noastre se află Jetpack Security.

Pagina principală Jetpack Security

Jetpack Security funcționează prin îngrijirea automată a numeroaselor sarcini de securitate. Și cu funcții gratuite și plătite, un nivel de protecție este disponibil pentru toată lumea cu un site web WordPress. Are o gamă puternică de funcții care pot funcționa pentru a preveni încălcările de securitate, dar vă ajută și să diagnosticați și să vă recuperați după orice incidente pe care le întâmpinați. Acestea includ:

  • Protecție împotriva atacurilor de forță brută
  • Prevenirea spamului
  • Scanare malware
  • Monitorizarea timpilor de nefuncţionare
  • Backup-uri
  • Jurnalele de activitate
  • Autentificare cu doi factori

Deși puteți trece prin restul pașilor descriși aici pe cont propriu, utilizarea unui plugin precum Jetpack Security va simplifica procesul de consolidare a autentificarii.

2. Schimbați și ascundeți adresa URL de conectare la WordPress

O altă modalitate de a vă face pagina de conectare mai sigură este să o ascundeți de privirile indiscrete. În mod implicit, adresa de conectare pentru toate site-urile WordPress este http://www.yourwebsitename.com/wp-admin, ceea ce este, practic, ca și cum ai da unui hoț adresa ta de acasă. Deci, orice puteți face pentru a ascunde acest lucru este o idee bună.

Schimbarea adresei URL de conectare WordPress este o modalitate excelentă de a pune bariere pentru a face munca hackerului mai dificilă. Puteți găsi un plugin care face acest lucru pentru dvs., dar o puteți face și singur.

Pentru aceasta, veți avea nevoie de acces FTP la site-ul dvs. Odată ce ați obținut asta, urmați instrucțiunile din tutorialul nostru: Adresa URL de conectare WordPress: Cum să o găsiți, să o schimbați și să o ascundeți.

3. Utilizați o parolă puternică pentru a vă conecta la WordPress

De asemenea, puteți spori securitatea site-ului dvs. prin trecerea la o parolă mai puternică. Implementarea măsurilor puternice pentru parole face mult mai puțin probabil ca un hacker sau bot să poată „ghici”. Deși „fluffy21” ar putea fi ușor de reținut, este mult prea ușor de ghicit – mai ales dacă „Fluffy” este numele unui animal de companie iubit.

În loc să alegeți parole bazate pe nume, vârste sau animale de companie, este mult mai bine să creați una care combină litere și cifre, litere mari și mici și câteva simboluri. Puteți crea o parolă puternică în câteva moduri:

  • Un instrument de parolă puternică încorporat. WordPress are un instrument de parolă puternică care vă încurajează să creați o parolă mai puternică decât ceea ce ați putea fi în mod natural înclinat să alegeți.
  • Un generator de parole. Mulți generatori de parole facilitează dezvoltarea unei parole puternice, care nu poate fi ghicită intuitiv.
  • Un deținător/manager de parole. Singura problemă cu parolele puternice este că sunt greu de reținut. Utilizarea unui instrument de păstrare a parolei sau a unui instrument de gestionare elimină această problemă. Opțiunile populare includ LastPass, DashLane și 1Password.
Pagina de pornire LastPass

4. Protejați-vă cu parolă pagina de autentificare

În mod implicit, oricine poate accesa pagina de conectare pentru site-ul dvs. WordPress. Și, deși vă puteți ascunde sau modifica adresa URL de conectare, așa cum am discutat anterior, hackerii ar putea să o găsească dacă folderul wp-admin este încă accesibil.

De aceea, adăugarea unui alt nivel de protecție înainte de a accesa pagina de autentificare este o idee bună. Și puteți realiza acest lucru protejând cu parolă folderul wp-admin . Dacă gazda dvs. web folosește cPanel, acest proces este relativ ușor.

Conectați-vă la contul dvs. de furnizor de găzduire, accesați cPanel, apoi accesați folderul Directory Privacy .

În timp ce vizualizați fișierele site-ului dvs., navigați la public_html/wp-admin . Ar trebui să existe o casetă de selectare vizibilă care să citească protecția prin parolă pentru acest director . Bifeaza casuta. Apoi creați un nou nume de utilizator și o parolă pentru a accesa folderul wp-admin. Salvați modificările.

Încercați să vă conectați la site-ul dvs. ca de obicei. Acum ar trebui să introduceți un alt set de acreditări înainte de a primi permisiunea de a vă conecta la WordPress.

Notă: acest proces ar fi identic, chiar dacă ați mutat locația paginii dvs. de autentificare. Protejați cu parolă folderul în care se află pagina dvs. de autentificare, chiar dacă nu este wp-admin.

5. Limitați numărul de încercări de conectare

Un alt lucru pe care trebuie să-l faceți pentru a securiza pagina de conectare WordPress este să limitați încercările de conectare. Hackerii pot folosi roboți pentru a face încercări repetate de autentificare până când sparg codul - adică, descoperă parola și obțin acces la site-ul dvs. web. Din păcate, WordPress permite autentificare nelimitată în mod implicit.

Pentru a preveni acest potențial punct de acces, puteți limita încercările de conectare. Un plugin este cel mai bun mod de a realiza acest lucru. De fapt, Jetpack Security oferă Brute Force Attack Protection ca parte a soluției sale de securitate all-in-one.

numărul de atacuri de forță brută blocate de Jetpack

Atacurile cu forță brută pot perturba incredibil de mult modul în care funcționează site-ul dvs. web, chiar înainte ca hackerii să obțină acces. De exemplu, acestea pot încetini considerabil site-ul dvs. sau pot face ca acesta să nu mai răspundă cu totul. Încercările repetate de conectare pot reuși în cele din urmă, iar hackerul poate continua să injecteze malware, să insereze link-uri sau să provoace în alt mod haos. Aceste atacuri pot pune, de asemenea, în pericol informațiile tale personale.

Caracteristica Brute Force Attack Protection inclusă în Jetpack Security oferă instrumentele necesare pentru a bloca atacurile și pentru a împiedica hackerii rău intenționați să obțină acces la datele dvs. Funcționează prin blocarea IP-urilor rău intenționate înainte ca acestea să ajungă vreodată pe site-ul dvs. De asemenea, oferă un număr de atacuri totale și vă permite să puneți pe lista albă adrese IP cunoscute.

6. Adăugați o întrebare de securitate la formularul de autentificare WordPress

De asemenea, puteți extinde securitatea formularului de autentificare adăugând o întrebare de securitate (sau două) la procesul de conectare. Deci, în loc să introducă doar un nume de utilizator și o parolă, utilizatorii trebuie să răspundă și la o întrebare de securitate pentru a obține acces.

Acest singur pas face site-ul dvs. mult mai dificil de piratat. Și este relativ ușor de implementat.

Pluginul No-Bot Registration este o modalitate excelentă de a realiza acest lucru. Descărcați-l mergând la Plugins → Add New, apoi introduceți numele pluginului. Odată ce apare, descărcați-l și activați-l.

Plugin de înregistrare fără bot

Odată activat, accesați Setări din tabloul de bord WordPress. Aici puteți configura pluginul și configura regulile pentru când sunt folosite întrebări de securitate (pe paginile de înregistrare, autentificare sau parole uitate).

Acesta este mult mai ușor de utilizat decât un CAPTCHA, deoarece necesită doar răspunsul la o întrebare simplă și logică.

7. Adăugați autentificare cu doi factori la WordPress

Apoi, puteți activa autentificarea cu doi factori. Multe site-uri web și aplicații folosesc această opțiune de securitate populară, inclusiv Gmail. Funcționează prin trimiterea unui cod SMS pe telefon pe care va trebui să îl introduceți înainte de a putea finaliza procesul de conectare.

Acesta este folosit pentru a vă verifica identitatea și pentru a vă asigura că accesul este acordat numai utilizatorilor autorizați. Fiecare strat de autentificare pe care îl adăugați procesului face mult mai dificil ca cineva să vă pirateze site-ul. Chiar dacă un actor rău primește acces la informațiile tale de conectare, este puțin probabil ca acesta să poată împiedica procesul 2FA.

Cel mai simplu mod de a adăuga autentificare cu doi factori la WordPress este utilizarea unui plugin 2FA. Mai multe plugin-uri de securitate includ această caracteristică, dar din nou, Jetpack Security este puternică cu Secure Authentication.

Autentificarea securizată vă permite să vă conectați folosind acreditările standard WordPress.com și, de asemenea, să dezactivați sau să ocoliți complet formularul de conectare implicit. În plus, puteți opta pentru ca autentificarea cu doi factori să fie o cerință pentru toți utilizatorii pentru a oferi site-ului dvs. protecție suplimentară.

8. Instalează un certificat SSL pe site-ul tău WordPress

O altă cale de protecție este instalarea unui certificat SSL. Obținerea gratuită a unui certificat SSL este ușoară, așa că este o măsură de securitate pe care nimeni nu ar trebui să o ignore.

SSL este modul în care majoritatea site-urilor își asigură datele. Și vă puteți da seama când un site este securizat, deoarece „HTTP” din câmpul URL va avea adăugat un „S”, așa că va scrie „HTTPS”. Browserele vor folosi adesea alte indicații vizuale, cum ar fi o pictogramă de lacăt verde, pentru a informa vizitatorii site-ul dvs. are un certificat SSL activ.

Dincolo de implicațiile de securitate, este posibil ca vizitatorii să nu continue să navigheze pe site-ul dvs. dacă văd că acesta este nesecurizat. În plus, site-urile cu certificate SSL tind să se claseze mai bine în motoarele de căutare și unele browsere chiar vor afișa un avertisment pentru vizitatori dacă nu aveți unul.

Nu sări peste acest pas. Aflați cum să obțineți un certificat SSL gratuit.

9. Dezactivați sugestiile de autentificare WordPress după încercări eșuate de conectare

Sugestiile de conectare pot fi cu adevărat utile pentru utilizatorii WordPress reali, dar uneori pot oferi hackerilor prea multe informații despre numele de utilizator și parola. Când încercați să vă conectați la un site WordPress și greșiți numele de utilizator, vi se întâlnește o eroare care spune „Numele de utilizator nu este înregistrat pe acest site. Dacă nu sunteți sigur de numele dvs. de utilizator, încercați în schimb adresa dvs. de e-mail.”

mesaj de eroare despre un nume de utilizator care nu este înregistrat

Ceva similar se întâmplă dacă introduceți numele de utilizator sau adresa de e-mail corecte, dar parola greșită.

eroare de parolă incorectă

Pentru a elimina sugestiile de conectare, trebuie să adăugați câteva rânduri de cod în fișierul functions.php al site-ului dvs.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Când cineva - real sau bot - introduce un nume de utilizator sau o parolă incorectă, este întâmpinat cu mesajul „Există o eroare”, mai degrabă decât cu cea implicită.

10. Păstrați instalarea și pluginurile dvs. WordPress actualizate

Hackerii găsesc, de asemenea, puncte de intrare în site-urile WordPress prin instalări învechite. De fiecare dată când WordPress este actualizat, toate erorile remediate și găurile de securitate care au fost reparate sunt postate online. Dacă instalarea dvs. este depășită, hackerii au un manual de instrucțiuni pentru încălcarea site-ului dvs.

Când apar noile actualizări de bază WordPress, trebuie să faceți o copie de rezervă a site-ului și să instalați actualizarea cât mai repede posibil.

Dar nu este tot ce trebuie să fii atent. Software-ul de la terți – adică pluginurile și temele – sunt și ele potențiale puncte slabe. Ele sunt și mai esențiale pentru a fi actualizate, deoarece pluginurile și temele sunt realizate de diverse companii de dezvoltare cu standarde și abordări diferite.

Acesta este și motivul pentru care trebuie să fii selectiv în ceea ce privește pluginurile și temele pe care le instalați. Dacă pluginul dvs. de partajare socială nu a fost actualizat în doi ani, poate fi timpul să găsiți unul care să se actualizeze în mod regulat.

11. Ascunde-ți numărul versiunii WordPress

O modalitate rapidă de a îmbunătăți securitatea paginii de conectare este să ascundeți numărul versiunii WordPress. Cel puțin, acest lucru îi va face pe hackeri să se uite mai amănunțit pentru a determina ce găuri de securitate să exploateze. Și îl puteți elimina destul de ușor.

Localizați fișierul functions.php și (după ce ați făcut o copie de rezervă a site-ului dvs.) adăugați următoarea linie de cod la fișier:

 remove_action('wp_head', 'wp_generator');

12. Ascundeți numele de utilizator de conectare la WordPress

Un alt pas pe care îl puteți face este să vă ascundeți numele de utilizator de conectare la WordPress. De multe ori, accentul se pune pe crearea unei parole super-securizate – ceea ce este excelent – ​​dar trebuie să vă gândiți și la numele dvs. de utilizator. Adesea, este disponibil publicului – o oportunitate pe care hackerii o pot exploata.

Cea mai rapidă modalitate de a vă ascunde numele de utilizator de ochii curioșilor este să îl eliminați de la apariția în postările de blog și în arhivele autorilor.

Pentru a vă elimina numele de utilizator din postările de pe blog, trebuie pur și simplu să mergeți la Utilizatori → Profil → Pseudonim când sunteți conectat la WordPress. De aici, puteți schimba porecla, astfel încât numele dvs. de utilizator să nu mai fie vizibil pentru vizitatorii site-ului. Deci, în loc să vadă „blogperson02”, ei vor vedea prenumele, prenumele și prenumele sau un alt pseudonim pe care îl configurați.

Pentru a elimina numele de utilizator de la apariția în arhivele autorului, veți avea nevoie de un plugin SEO precum Yoast SEO.

Instalați Yoast ca orice alt plugin, apoi accesați meniul SEO → Aspect de căutare → Arhive din tabloul de bord WordPress. Există o opțiune aici pentru a dezactiva arhivele autorului. Faceți acest lucru, apoi faceți clic pe Salvare modificări .

dezactivarea arhivelor de autor cu Yoast

13. Scurtați temporizatorul de deconectare automată WordPress

Este obișnuit să rămâneți conectat la conturile dvs. atunci când le utilizați des. Dar acest lucru poate crea potențiale încălcări, mai ales dacă mai multe persoane au conturi pe site-ul tău. Implementarea unui temporizator de deconectare automată este o modalitate excelentă de a închide aceste găuri de securitate.

Când o sesiune este lăsată nesupravegheată, aceasta va fi deconectată automat. În mod implicit, WordPress va deconecta utilizatorii după 48 de ore. Bifarea casetei „Ține-mă minte” menține utilizatorii conectați timp de 14 zile. Puteți modifica puțin aceste intervale de timp utilizând un plugin terță parte. Unul care este dedicat acestei funcții este Deconectarea inactivă.

Odată instalat, navigați la Setări → Deconectare inactivă → Gestionare de bază . Apoi selectați durata timpului de inactivitate pentru care doriți să declanșați o deconectare.

14. Ștergeți conturile de utilizator WordPress vechi și neutilizate

În cele din urmă, ștergerea conturilor care nu mai sunt utilizate poate ajuta și la îmbunătățirea securității WordPress. Dacă aveți mai multe conturi deschise pe site-ul dvs. înseamnă că fiecare este un punct de acces la datele private. Și dacă nu actualizați în mod regulat parolele pentru aceste conturi, acestea ar putea prezenta slăbiciuni semnificative.

Pentru a evita acest lucru, ștergeți conturile vechi și neutilizate. Faceți acest lucru parte din planul dvs. obișnuit de întreținere a site-ului.

De asemenea, ar trebui să oferi privilegii numai utilizatorilor care au nevoie de ele. Nu toți utilizatorii au nevoie de privilegii de editor sau de administrator.

La fel, fii cu ochii pe conturile enumerate. Uneori, hackerii vor crea un cont fals. Dacă apare unul, ștergeți-l imediat și consolidați celelalte măsuri de securitate. Aflați ce să faceți dacă site-ul dvs. WordPress a fost spart.

Securizează-ți pagina de autentificare WordPress

A deține un site web înseamnă a purta un nivel de responsabilitate pentru conținutul și utilizatorii acestuia. Desigur, acesta este de două ori cazul dacă colectați informații despre clienți. Dar indiferent de modul în care utilizați site-ul WordPress, consolidarea securității în jurul paginii de conectare este o modalitate excelentă de a vă păstra datele în siguranță pe termen lung.

Iar sfaturile prezentate aici ar trebui să vă ajute să deveniți eficient în întreținerea securității WordPress în cel mai scurt timp.

Ești gata să faci primul pas? Începeți cu Jetpack Security.