Как защитить свою страницу входа в WordPress (полное руководство)

Опубликовано: 2022-08-16

Важнейшим фактором успешного запуска веб-сайта WordPress является внедрение мер мониторинга и безопасности. В конце концов, взломанный сайт может доставить много головной боли — независимо от того, используется ли ваш сайт в деловых или личных целях. Это может повлиять на ваш доход, поставить под угрозу информацию ваших посетителей и разрушить вашу репутацию.

Типичной точкой входа для хакеров является страница входа в WordPress, которой мы сегодня и займемся. Далее следует краткое изложение 14 способов повысить безопасность входа в WordPress, чтобы злоумышленники не взломали ваш сайт.

Зачем защищать свою страницу входа в WordPress?

Прежде чем мы перейдем к списку советов по безопасности, давайте сначала кратко обсудим, почему вы можете захотеть защитить свою страницу входа в WordPress — от атак методом грубой силы или иным образом — в первую очередь.

  • WordPress очень популярен, поэтому киберпреступники часто ищут новые уязвимости, которые они могут использовать на большом количестве сайтов.
  • Поскольку хакеры знакомы с WordPress, они знают, когда веб-сайт устарел и какие недостатки безопасности присутствуют в каждой версии.
  • Чтобы получить доступ через страницу входа, хакерам не всегда нужны передовые знания в области разработки или специальные навыки.

Сохранение безопасной страницы входа в WordPress необходимо для долгосрочного успеха и общей производительности вашего сайта.

Как усилить безопасность входа в WordPress

Итак, вы знаете, почему вам нужно создать безопасный вход в WordPress, но как это сделать? Мы собрали 14 способов правильно защитить свою страницу входа в WordPress, чтобы вам не приходилось оставлять безопасность ваших данных или информации о клиентах на волю случая.

1. Установите плагин безопасности WordPress

Вы можете справиться с большинством проблем безопасности всего за несколько минут, установив высококачественный плагин безопасности WordPress. Хотя многие плагины специализируются на защите определенных аспектов сайта или от определенных видов атак, для среднего сайта лучше всего подходит более комплексный подход. Универсальный подключаемый модуль безопасности будет включать в себя такие функции, как журналы аудита, сканирование вредоносных программ, брандмауэры и средства безопасности входа в систему в одном решении.

И в верхней части списка наших рекомендаций стоит Jetpack Security.

Домашняя страница Jetpack Security

Jetpack Security работает, автоматически выполняя многочисленные задачи безопасности. А благодаря бесплатным и платным функциям уровень защиты доступен каждому, у кого есть сайт WordPress. Он имеет широкий спектр функций, которые могут работать для предотвращения нарушений безопасности, а также помогают диагностировать и устранять любые инциденты, с которыми вы сталкиваетесь. Это включает:

  • Защита от грубой силы
  • Защита от спама
  • Сканирование вредоносных программ
  • Мониторинг простоев
  • Резервные копии
  • Журналы активности
  • Двухфакторная аутентификация

Хотя вы можете выполнить остальные шаги, описанные здесь, самостоятельно, использование плагина, такого как Jetpack Security, упростит процесс защиты входа в систему.

2. Измените и скройте URL-адрес входа в WordPress.

Еще один способ сделать вашу страницу входа более безопасной — скрыть ее от посторонних глаз. По умолчанию адрес для входа на все сайты WordPress — http://www.yourwebsitename.com/wp-admin, что в основном похоже на предоставление грабителю вашего домашнего адреса. Так что все, что вы можете сделать, чтобы скрыть это, является хорошей идеей.

Изменение URL-адреса входа в WordPress — отличный способ установить барьеры, которые усложнят работу хакера. Вы можете найти плагин, который сделает это за вас, но вы также можете сделать это самостоятельно.

Для этого вам понадобится FTP-доступ к вашему сайту. Как только вы это сделаете, просто следуйте инструкциям в нашем руководстве: URL-адрес входа в WordPress: как найти, изменить и скрыть его.

3. Используйте надежный пароль для входа в WordPress

Вы также можете повысить безопасность своего сайта, установив более надежный пароль. Внедрение надежных мер по паролю значительно снижает вероятность того, что хакер или бот сможет «угадать» его. Хотя «пушистик21» может быть легко запомнить, его слишком легко угадать, особенно если «Пушистый» — это имя любимого питомца.

Вместо того, чтобы выбирать пароли на основе имен, возраста или домашних животных, гораздо лучше создать пароль, сочетающий буквы и цифры, прописные и строчные буквы, а также пару символов. Вы можете создать надежный пароль несколькими способами:

  • Встроенный инструмент надежного пароля. WordPress имеет надежный инструмент для создания паролей, который побуждает вас создавать более надежный пароль, чем тот, который вы, возможно, склонны выбирать.
  • Генератор паролей. Многие генераторы паролей упрощают разработку надежного пароля, который не поддается интуитивному угадыванию.
  • Хранитель/менеджер паролей. Единственная проблема с надежными паролями заключается в том, что их трудно запомнить. Использование хранителя паролей или инструмента управления устраняет эту проблему. Популярные варианты включают LastPass, DashLane и 1Password.
Домашняя страница LastPass

4. Защитите паролем свою страницу входа

По умолчанию любой может получить доступ к странице входа на ваш сайт WordPress. И хотя вы можете скрыть или изменить свой URL-адрес для входа, как мы обсуждали ранее, хакеры могут найти его, если папка wp-admin все еще доступна.

Вот почему добавление еще одного уровня защиты перед доступом к странице входа является хорошей идеей. И вы можете сделать это, защитив паролем папку wp-admin . Если ваш веб-хостинг использует cPanel, этот процесс относительно прост.

Войдите в свою учетную запись хостинг-провайдера, войдите в cPanel, затем перейдите в папку « Конфиденциальность каталога ».

При просмотре файлов вашего сайта перейдите к public_html/wp-admin . Должен быть видимый флажок, который читает пароль для защиты этого каталога . Установите флажок. Затем создайте новое имя пользователя и пароль для доступа к папке wp-admin. Сохраните изменения.

Попробуйте войти на свой сайт как обычно. Теперь вам нужно будет ввести другой набор учетных данных, прежде чем вам будет предоставлено разрешение на вход в WordPress.

Примечание: этот процесс будет идентичным, даже если вы переместите страницу входа в систему. Защитите паролем папку, в которой находится ваша страница входа, даже если это не wp-admin.

5. Ограничьте количество попыток входа

Еще одна вещь, которую вам нужно сделать, чтобы защитить страницу входа в WordPress, — это ограничить количество попыток входа. Хакеры могут использовать ботов для повторных попыток входа в систему, пока они не взломают код, т. е. не узнают ваш пароль и не получат доступ к вашему веб-сайту. К сожалению, WordPress по умолчанию разрешает неограниченное количество входов в систему.

Чтобы предотвратить эту потенциальную точку доступа, вы можете ограничить количество попыток входа в систему. Плагин — лучший способ добиться этого. Фактически, Jetpack Security предлагает защиту от атак грубой силы как часть своего комплексного решения для обеспечения безопасности.

количество атак грубой силы, заблокированных Jetpack

Атаки грубой силы могут серьезно нарушить работу вашего веб-сайта еще до того, как хакеры получат к нему доступ. Например, они могут значительно замедлить работу вашего сайта или привести к тому, что он вообще перестанет отвечать. Повторные попытки входа в систему могут в конечном итоге увенчаться успехом, и хакер может затем внедрить вредоносное ПО, вставить ссылки или иным образом вызвать хаос. Эти атаки также могут подвергнуть риску вашу личную информацию.

Функция защиты от атак грубой силы, включенная в Jetpack Security, предоставляет инструменты, необходимые для блокировки атак и предотвращения доступа злоумышленников к вашим данным. Он работает, блокируя вредоносные IP-адреса до того, как они попадут на ваш сайт. Он также подсчитывает общее количество атак и позволяет заносить известные IP-адреса в белый список.

6. Добавьте контрольный вопрос в форму входа в WordPress.

Вы также можете повысить безопасность формы входа, добавив контрольный вопрос (или два) в процесс входа. Таким образом, вместо того, чтобы просто вводить имя пользователя и пароль, пользователи должны также ответить на секретный вопрос, чтобы получить доступ.

Этот единственный шаг значительно усложняет взлом вашего сайта. И это относительно легко реализовать.

Плагин No-Bot Registration — отличный способ добиться этого. Загрузите его, выбрав « Плагины» → «Добавить новый», затем введите имя плагина. Как только он появится, загрузите и активируйте его.

Плагин без регистрации ботов

После активации перейдите в « Настройки » на панели инструментов WordPress. Здесь вы можете настроить плагин и настроить правила использования контрольных вопросов (на страницах регистрации, входа или забытого пароля).

Это гораздо удобнее, чем CAPTCHA, так как требуется ответить только на простой и логичный вопрос.

7. Добавьте двухфакторную аутентификацию в WordPress

Далее вы можете включить двухфакторную аутентификацию. Многие веб-сайты и приложения используют этот популярный параметр безопасности, в том числе Gmail. Он работает путем отправки SMS-кода на ваш телефон, который вам нужно будет ввести, прежде чем вы сможете завершить процесс входа.

Это используется для проверки вашей личности и обеспечения доступа только авторизованным пользователям. Каждый уровень аутентификации, который вы добавляете в процесс, значительно затрудняет взлом вашего сайта. Даже если злоумышленник получит доступ к вашей информации для входа, маловероятно, что он сможет помешать процессу 2FA.

Самый простой способ добавить двухфакторную аутентификацию в WordPress — использовать плагин 2FA. Несколько подключаемых модулей безопасности включают эту функцию, но опять же, Jetpack Security обеспечивает надежную аутентификацию.

Безопасная аутентификация позволяет вам войти в систему, используя стандартные учетные данные WordPress.com, а также полностью отключить или обойти форму входа по умолчанию. Кроме того, вы можете сделать двухфакторную аутентификацию обязательной для всех пользователей, чтобы обеспечить дополнительную защиту вашего сайта.

8. Установите SSL-сертификат на свой сайт WordPress.

Еще одним способом защиты является установка SSL-сертификата. Получить SSL-сертификат бесплатно несложно, поэтому никто не должен пропускать эту меру безопасности.

SSL — это то, как большинство веб-сайтов защищают свои данные. И вы можете определить, является ли сайт безопасным, поскольку к «HTTP» в поле URL-адреса будет добавлена ​​«S», поэтому он будет читаться как «HTTPS». Браузеры часто используют другие визуальные индикаторы, такие как зеленый значок замка, чтобы посетители знали, что на вашем сайте установлен активный сертификат SSL.

Помимо последствий для безопасности, посетители могут не продолжить навигацию по вашему сайту, если увидят, что он не защищен. Кроме того, сайты с SSL-сертификатами, как правило, лучше ранжируются в поисковых системах, а некоторые браузеры даже отображают предупреждение для посетителей, если у вас его нет.

Не пропускайте этот шаг. Узнайте, как получить бесплатный SSL-сертификат.

9. Отключите подсказки входа в WordPress после неудачных попыток входа

Подсказки для входа могут быть действительно полезными для реальных пользователей WordPress, но иногда они могут выдать хакерам слишком много информации о вашем имени пользователя и пароле. Когда вы пытаетесь войти на сайт WordPress и неправильно вводите имя пользователя, вы сталкиваетесь с ошибкой, которая гласит: «Имя пользователя не зарегистрировано на этом сайте. Если вы не уверены в своем имени пользователя, попробуйте ввести адрес электронной почты».

сообщение об ошибке с незарегистрированным именем пользователя

Нечто подобное произойдет, если вы введете правильное имя пользователя или адрес электронной почты, но неправильный пароль.

неверный пароль ошибка

Чтобы удалить подсказки для входа, вам нужно добавить несколько строк кода в файл functions.php вашего сайта.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Когда кто-то — реальный или бот — вводит неправильное имя пользователя или пароль, его приветствует сообщение «Произошла ошибка», а не сообщение по умолчанию.

10. Поддерживайте актуальность установки WordPress и плагинов

Хакеры также находят точки входа на сайты WordPress через устаревшие установки. Каждый раз, когда WordPress обновляется, все исправления ошибок и дыры в безопасности, которые были устранены, публикуются в Интернете. Если ваша установка устарела, у хакеров есть инструкция по взлому вашего сайта.

Когда выходят новые основные обновления WordPress, вы должны сделать резервную копию своего сайта и установить обновление как можно быстрее.

Но это не все, о чем вам нужно помнить. Стороннее программное обеспечение, то есть плагины и темы, также являются потенциальными слабыми местами. Они еще более важны для постоянного обновления, поскольку плагины и темы создаются различными компаниями-разработчиками с разными стандартами и подходами.

Вот почему вы должны быть избирательны в отношении плагинов и тем, которые вы устанавливаете. Если ваш плагин для обмена в социальных сетях не обновлялся в течение двух лет, возможно, пришло время найти тот, который регулярно обновляется.

11. Скройте номер версии вашего WordPress

Быстрый способ повысить безопасность страницы входа — скрыть номер версии WordPress. По крайней мере, это заставит хакеров более внимательно изучить, какие дыры в безопасности использовать. И вы можете удалить его довольно легко.

Найдите файл functions.php и (после резервного копирования сайта) добавьте в него следующую строку кода:

 remove_action('wp_head', 'wp_generator');

12. Скройте свое имя пользователя для входа в WordPress

Еще один шаг, который вы можете предпринять, — это скрыть свое имя пользователя для входа в WordPress. В большинстве случаев упор делается на создание сверхнадежного пароля, что превосходно, но вам также нужно подумать о своем имени пользователя. Часто он доступен для общественности — хакеры могут использовать эту возможность.

Самый быстрый способ скрыть свое имя пользователя от посторонних глаз — удалить его из записей в блогах и в архивах авторов.

Чтобы удалить свое имя пользователя из сообщений блога, вам просто нужно перейти в « Пользователи» → «Профиль» → «Псевдоним» при входе в WordPress. Отсюда вы можете изменить псевдоним, чтобы ваше имя пользователя больше не было видно посетителям сайта. Таким образом, вместо «blogperson02» они увидят ваше имя, имя и фамилию или другой псевдоним, который вы настроите.

Чтобы ваше имя пользователя не отображалось в архивах авторов, вам понадобится SEO-плагин, такой как Yoast SEO.

Установите Yoast, как и любой другой плагин, затем перейдите в меню SEO → Внешний вид в поиске → Архивы на панели управления WordPress. Здесь есть возможность отключить авторские архивы. Сделайте это, затем нажмите Сохранить изменения .

отключение авторских архивов с помощью Yoast

13. Сократите таймер автоматического выхода из WordPress

Обычно вы остаетесь в своих учетных записях, когда вы часто их используете. Но это может привести к потенциальным нарушениям, особенно если на вашем сайте есть учетные записи нескольких человек. Внедрение таймера автоматического выхода — отличный способ закрыть эти дыры в безопасности.

Когда сеанс остается без присмотра, он автоматически отключается. По умолчанию WordPress будет выходить из системы через 48 часов. При установке флажка «Запомнить меня» пользователи остаются в системе в течение 14 дней. Вы можете немного изменить эти временные рамки, используя сторонний плагин. Одной из функций, предназначенных для этой функции, является неактивный выход из системы.

После установки перейдите в «Настройки» → «Неактивный выход» → «Основное управление ». Затем выберите продолжительность времени простоя, в течение которого вы хотите вызвать выход из системы.

14. Удалите старые и неиспользуемые учетные записи пользователей WordPress.

Наконец, удаление учетных записей, которые больше не используются, также может помочь повысить безопасность WordPress. Наличие нескольких открытых учетных записей на вашем сайте означает, что каждая из них является точкой доступа к личным данным. И если вы не обновляете пароли для этих учетных записей регулярно, они могут иметь серьезные недостатки.

Чтобы этого избежать, удаляйте старые и неиспользуемые аккаунты. Сделайте это частью вашего регулярного плана обслуживания сайта.

Вы также должны предоставлять привилегии только тем пользователям, которые в них нуждаются. Не каждому пользователю нужны права редактора или администратора.

Точно так же следите за перечисленными учетными записями. Иногда хакеры создают фальшивую учетную запись. Если он появится, немедленно удалите его и укрепите остальные меры безопасности. Узнайте, что делать, если ваш сайт WordPress был взломан.

Защитите свою страницу входа в WordPress

Владеть веб-сайтом означает нести ответственность за его содержание и пользователей. Конечно, это вдвойне важно, если вы собираете информацию о клиентах. Но независимо от того, как вы используете свой сайт WordPress, усиление безопасности на странице входа — отличный способ сохранить ваши данные в безопасности в течение длительного времени.

И советы, представленные здесь, должны помочь вам в кратчайшие сроки стать эффективными в обслуживании безопасности WordPress.

Готовы сделать первый шаг? Начните работу с Jetpack Security.