Słabe hasło to wszystko, czego potrzeba hakerowi, aby przejąć Twoją stronę internetową. Bez dodatkowego zabezpieczenia wszystko, co zbudowałeś, jest zagrożone.
Jedno proste rozwiązanie? Pytania zabezpieczające. A ich konfiguracja jest łatwiejsza, niż myślisz.
Przetestowałem różne metody uwierzytelniania na stronach WordPress i stwierdziłem, że dodanie pytań zabezpieczających jest prostym sposobem na pomoc w zapobieganiu nieautoryzowanemu dostępowi. 🔑
Wymagając unikalnych odpowiedzi, które znasz tylko Ty, dodajesz warstwę bezpieczeństwa do swojej witryny. Utrudnia to hakerom uzyskanie dostępu, nawet jeśli ukradną Twoje hasło.
W tym przewodniku pokażę Ci, jak dodać pytania zabezpieczające do ekranu logowania WordPress. Nie musisz być ekspertem technicznym – po prostu postępuj zgodnie z instrukcjami, a w ciągu kilku minut uzyskasz dodatkową warstwę zabezpieczeń.
💡Szybka odpowiedź: Jak dodać pytania zabezpieczające
Spieszysz się? Oto 2 proste sposoby na dodanie pytań zabezpieczających do swojej strony internetowej:
- Metoda 1: Dodaj jedno, uniwersalne pytanie za pomocą WPCode. Możesz użyć prostego fragmentu kodu, aby dodać jedno uniwersalne pytanie zabezpieczające do ekranu logowania. Polecam to dla blogów jednoautorskich lub stron internetowych, do których masz dostęp tylko Ty.
- Metoda 2: Pozwól każdemu użytkownikowi ustawić własne pytania za pomocą MelaPress. Używa wtyczki, aby umożliwić każdej osobie ustawienie własnych, unikalnych pytań zabezpieczających. Dzięki temu jest to idealne rozwiązanie dla witryn członkowskich, sklepów internetowych lub blogów z wieloma autorami.
Dlaczego dodawać pytania zabezpieczające w WordPress?
Twoja strona logowania WordPress jest jak drzwi wejściowe Twojej witryny. Hasło to dobra kłódka, ale dodanie pytań zabezpieczających jest jak dodanie zamka dodatkowego – znacznie utrudnia to komuś włamanie.
Pytania zabezpieczające dodają dodatkową warstwę ochrony do Twojego obszaru administracyjnego WordPress, utrudniając atakującym wkradnięcie się. Gdy ta funkcja jest włączona, użytkownicy muszą odpowiedzieć na jedno lub więcej pytań osobistych, zanim będą mogli się zalogować.
Oto jak pytania zabezpieczające mogą pomóc:
- Dodatkowa przeszkoda dla hakerów: Nawet jeśli ktoś odgadnie Twoje hasło, pytania zabezpieczające utrudnią mu dostęp.
- Zapobiega atakom zautomatyzowanym: Hakerzy często używają botów do odgadywania haseł. Jednak pytania zabezpieczające wymagają osobistych odpowiedzi, których boty nie mogą łatwo odgadnąć, co czyni ataki zautomatyzowane mniej skutecznymi.
- Pomaga bezpieczniej odzyskiwać konta: Zapomniałeś hasła? Zamiast czekać na e-mail z resetowaniem (który może zostać przechwycony), pytania zabezpieczające zapewniają szybki i bezpieczny sposób na odzyskanie dostępu.
- Szybka i łatwa konfiguracja: Pytania zabezpieczające są łatwiejsze do skonfigurowania niż uwierzytelnianie dwuskładnikowe (2FA), które wymaga aplikacji lub oddzielnego urządzenia. Chociaż wygodne, pytania zabezpieczające oferują niższy poziom ochrony niż 2FA, które zazwyczaj polecam dla maksymalnego bezpieczeństwa.
Chociaż pomocne, pytania bezpieczeństwa nie są nieomylne. Sprytni hakerzy mogą próbować odgadnąć Twoje odpowiedzi, a nawet oszukać Cię, abyś je ujawnił (nazywa się to „inżynierią społeczną”).
Dlatego ważne jest, aby wybierać pytania z odpowiedziami, których nie można łatwo odgadnąć ani które nie są publicznie dostępne online.
💡Ważne przypomnienie:
Pamiętaj, że chociaż pytania bezpieczeństwa mogą stanowić dodatkową warstwę ochrony, nie powinny być Twoją jedyną linią obrony.
Aby uzyskać najlepsze rezultaty, używaj ich jako części szerszej strategii bezpieczeństwa, która obejmuje uwierzytelnianie dwuskładnikowe, silne zasady dotyczące haseł i ograniczone próby logowania. Aby rozpocząć, zapoznaj się z naszym kompletnym przewodnikiem po bezpieczeństwie WordPress.
Mając to na uwadze, zobaczmy, jak możesz dodać pytania bezpieczeństwa do ekranu logowania WordPress. W tym samouczku pokażę dwie metody, każda przeznaczona dla innego typu witryny.
Możesz użyć poniższych linków, aby przejść do wybranej metody:
- Metoda 1: Dodawanie pojedynczego, ogólnosystemowego pytania bezpieczeństwa za pomocą kodu
- Metoda 2: Umożliwienie każdemu użytkownikowi ustawienia własnych pytań bezpieczeństwa
- Często zadawane pytania dotyczące pytań bezpieczeństwa przy logowaniu
- Dodatkowe przewodniki dotyczące bezpieczeństwa ekranu logowania
Metoda 1: Dodawanie pojedynczego, ogólnosystemowego pytania bezpieczeństwa za pomocą kodu
Ta metoda jest idealna, jeśli jesteś jedynym użytkownikiem swojej witryny i chcesz dodać jedno, zakodowane na stałe pytanie bezpieczeństwa do swojego ekranu logowania.
Jest to szybki sposób na dodanie dodatkowej warstwy ochrony dla bloga jednoautorskiego lub strony osobistej.
Widziałem, jak wiele innych stron internetowych stosuje tę taktykę wraz z uwierzytelnianiem dwuskładnikowym i innymi zabezpieczeniami logowania, i działało to dla nich naprawdę dobrze jako kolejna przeszkoda dla potencjalnych intruzów.
Aby to zrobić, musisz dodać niestandardowy kod do pliku functions.php. Może to być nieco przytłaczające, ponieważ najmniejszy błąd może zepsuć Twoją witrynę. Dlatego polecam WPCode, które jest najlepszym pluginem do fragmentów kodu WordPress na rynku.
Po dokładnym przetestowaniu moi koledzy i ja doszliśmy do wniosku, że jest to najłatwiejszy i najbezpieczniejszy sposób dodawania niestandardowego kodu do Twojej witryny. Aby dowiedzieć się więcej, zapoznaj się z naszą pełną recenzją WPCode.
Ważne: Ten kod dodaje jedno pytanie bezpieczeństwa dla pojedynczego użytkownika. Najlepiej nadaje się do blogów jednoautorskich. Jeśli masz wielu użytkowników w swojej witrynie (np. witrynę członkowską lub sklep internetowy), zdecydowanie zalecamy użycie Metody 2.
Najpierw musisz zainstalować i aktywować wtyczkę WPCode. Aby uzyskać instrukcje krok po kroku, możesz zapoznać się z naszym przewodnikiem jak zainstalować wtyczkę WordPress.
🚨 Uwaga: Wtyczka posiada również darmową wersję, z której możesz korzystać. Jednak przejście na plan pro zapewni Ci dostęp do funkcji takich jak biblioteka fragmentów kodu w chmurze, inteligentne reguły warunkowe, fragmenty bloków i wiele więcej.
Po aktywacji wtyczki przejdź do strony Code Snippets » + Add Snippet z poziomu panelu administracyjnego WordPress.
Tutaj kliknij przycisk „Użyj fragmentu” pod opcją „Dodaj własny kod (nowy fragment)”.
Spowoduje to przejście do nowego ekranu, na którym możesz dodać nazwę dla swojego fragmentu kodu.
Pamiętaj, że ta nazwa nie będzie widoczna dla żadnych użytkowników. Służy ona jedynie do łatwej identyfikacji tworzonego fragmentu kodu.
Następnie wybierz „Fragment PHP” jako „Typ kodu” z wyskakującego okienka.
Teraz dodaj następujący niestandardowy kod do pola „Podgląd kodu”:
add_action( 'login_form', function () {
?>
<p><label for="security_question">What is your favorite color?<br/>
<input type="text" name="security_question" id="security_question" class="input" autocomplete="off"/></label>
</p>
<?php
} );
add_filter( 'wp_authenticate_user', function( $user, $password ) {
$answer = isset( $_POST['security_question'] ) ? sanitize_text_field( wp_unslash( $_POST['security_question'] ) ) : '';
if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer
return new WP_Error( 'security_question_error', '<strong>ERROR</strong>: Incorrect answer to the security question.' );
}
return $user;
}, 10, 2 );
Domyślnie niestandardowy kod ustawia „Jaki jest Twój ulubiony kolor?” jako pytanie bezpieczeństwa.
Jednak zdecydowanie zalecam zmianę na coś, czego nie można łatwo odgadnąć. Najlepiej wybrać coś osobistego, co niewiele osób zna.
Na przykład, niektóre typowe pytania zabezpieczające to:
- 🐶 „Jakie było imię Twojego pierwszego zwierzaka z dzieciństwa?”
- 🏡 „Jak nazywała się pierwsza ulica, na której mieszkałeś/aś?”
- 👩 „Jakie jest panieńskie nazwisko Twojej matki?”
Wybierając pytanie, wybierz takie, na które odpowiedź nie jest publicznie dostępna. Unikaj odpowiedzi, które można znaleźć w Twoich profilach w mediach społecznościowych lub w publicznych rejestrach.
Najlepsze pytania bezpieczeństwa są osobiste i łatwe do zapamiętania dla Ciebie, ale niełatwe do odgadnięcia dla innych. Po prostu zlokalizuj tę linię w kodzie i zastąp ją swoim pożądanym pytaniem.
<p><label for="security_question">What was the name of your first childhood pet?<br/>
Po wykonaniu tej czynności przewiń w dół do tej linii w kodzie:
if ( 'spike' !== strtolower( $answer ) ) { // Replace 'spike' with your expected answer
Odpowiedź na pytanie zabezpieczające można teraz zmienić tutaj.
Po dwukrotnym sprawdzeniu, czy Twoje pytanie i odpowiedź są takie, jakich chcesz, po prostu przełącz przełącznik „Nieaktywny” na „Aktywny”.
Na koniec kliknij przycisk „Zapisz fragment”, aby zapisać swoje ustawienia.
Możesz teraz odwiedzić ekran logowania WordPress, aby zobaczyć pytanie zabezpieczające.
Metoda 2: Umożliwienie każdemu użytkownikowi ustawienia własnych pytań bezpieczeństwa
Ta metoda jest najbezpieczniejszym i zalecanym rozwiązaniem dla każdej witryny z więcej niż jednym użytkownikiem. Obejmuje to witryny członkowskie, blogi wieloautorskie, sklepy e-commerce z kontami klientów lub dowolną witrynę, w której różni ludzie muszą się logować.
W przeciwieństwie do pierwszej metody, która wykorzystuje jedno pytanie dla pojedynczego użytkownika, to podejście pozwala każdemu użytkownikowi na Twojej stronie ustawić własne prywatne pytania bezpieczeństwa. Zapewnia to znacznie silniejszą warstwę ochrony dla każdego konta.
Widziałem, że to dobrze działa na kilku stronach internetowych oferujących płatne subskrypcje, kursy online i prywatne społeczności.
MelaPress Login Security pozwala wymagać od użytkowników odpowiedzi na pytania zabezpieczające przed wykonaniem wrażliwych akcji, takich jak resetowanie hasła lub ponowne aktywowanie wyłączonego konta.
Zapewnia to, że tylko prawowity właściciel konta może wykonać te czynności.
Najpierw musisz zainstalować i aktywować wtyczkę MelaPress Login Security. Szczegółowe informacje znajdziesz w samouczku mojego zespołu na temat jak zainstalować wtyczkę WordPress.
🚨 Ważne: MelaPress posiada darmową wersję. Jednakże, aby uzyskać dostęp do funkcji pytań zabezpieczających, potrzebujesz planu Pro.
Po aktywacji wtyczki przejdź do strony Bezpieczeństwo logowania » Zasady bezpieczeństwa logowania z panelu administracyjnego WordPress i zaznacz opcję „Włącz zasady bezpieczeństwa logowania”.
Po wykonaniu tej czynności na ekranie pojawią się nowe ustawienia. Przewiń w dół do sekcji „Pytania zabezpieczające” i zaznacz pole „Aktywuj pytania zabezpieczające”.
Następnie wybierz, czy chcesz wymagać pytań zabezpieczających do zainicjowania resetowania hasła, czy do aktywacji wyłączonego konta. Możesz również wybrać obie opcje.
Teraz wybierz liczbę wstępnie zapisanych pytań bezpieczeństwa, na które każdy użytkownik musi odpowiedzieć.
Następnie kliknij łącze „Włącz” obok pytań zabezpieczających, na które chcesz, aby Twoi użytkownicy odpowiadali.
Jeśli żadne z domyślnych pytań nie wydaje się odpowiednie, możesz po prostu kliknąć przycisk „Dodaj pytanie” i wpisać preferowane pytanie w polu.
Możesz również skonfigurować pozostałe ustawienia bezpieczeństwa według własnych upodobań.
Po zakończeniu kliknij przycisk „Zapisz zmiany”, aby zachować swoje wybory.
Teraz, gdy zasady pytań zabezpieczających zostały włączone, użytkownicy Twojej witryny otrzymają powiadomienie na swoim pulpicie z prośbą o udzielenie odpowiedzi na niektóre pytania zabezpieczające.
Gdy użytkownicy klikną przycisk „Odwiedź stronę profilową”, zostaną przekierowani na swoją stronę profilową WordPress.
Tutaj mogą odpowiedzieć na wybrane pytania i kliknąć przycisk „Zapisz zmiany”.
Teraz, gdy użytkownik na Twojej stronie próbuje zresetować hasło lub aktywować wyłączone konto, najpierw będzie musiał odpowiedzieć na pytanie zabezpieczające.
Oto podgląd tego, jak będzie to wyglądać na ekranie logowania.
Często zadawane pytania dotyczące pytań bezpieczeństwa przy logowaniu
Oto kilka pytań, które nasi czytelnicy często zadają przed dodaniem pytań bezpieczeństwa logowania na swoich stronach internetowych:
Co się stanie, jeśli zapomnę odpowiedzi na moje pytanie bezpieczeństwa?
Jeśli zapomnisz odpowiedzi, będziesz musiał skorzystać z narzędzi dostępu awaryjnego Twojego hosta.
Możesz zalogować się na swoje konto hostingowe WordPress i użyć Menedżera plików lub klienta FTP, aby przejść do folderu wp-content/plugins. Stamtąd możesz wyłączyć wtyczkę bezpieczeństwa (taką jak MelaPress lub WPCode), zmieniając nazwę jej folderu.
Spowoduje to tymczasowe wyłączenie funkcji pytań bezpieczeństwa, umożliwiając zalogowanie się za pomocą hasła i zresetowanie pytań.
Czy pytania bezpieczeństwa zastępują uwierzytelnianie dwuskładnikowe (2FA)?
Nie, nie zastępują. Pytania bezpieczeństwa to forma zabezpieczenia oparta na wiedzy (coś, co wiesz). Uwierzytelnianie dwuskładnikowe (2FA) jest silniejsze, ponieważ wymaga osobnego urządzenia (coś, co masz), takiego jak telefon.
Dla maksymalnego bezpieczeństwa zalecam używanie 2FA jako podstawowej ochrony i dodanie pytań bezpieczeństwa jako pomocnej warstwy wtórnej.
Czy mogę wymagać od użytkowników odpowiedzi na więcej niż jedno pytanie?
Zależy to od użytej metody. Fragment kodu niestandardowego w Metodzie 1 jest przeznaczony dla jednego pytania i odpowiedzi.
Jednak wtyczka z pełnym zakresem funkcji, taka jak MelaPress (Metoda 2), często zawiera ustawienia, które pozwalają wymagać od użytkowników odpowiedzi na wiele pytań, zanim będą mogli się zalogować lub zresetować hasło.
Co jeśli użytkownik na mojej stronie z wieloma autorami nie skonfiguruje swoich pytań bezpieczeństwa?
W większości przypadków wtyczka taka jak MelaPress wyświetli stałe powiadomienie w panelu administracyjnym WordPress użytkownika, zachęcając go do skonfigurowania pytań bezpieczeństwa.
Zazwyczaj nie zablokuje go to z konta, ale będzie nadal przypominać, dopóki konfiguracja bezpieczeństwa nie zostanie zakończona.
Zapewnia to, że istniejący użytkownicy nadal mają dostęp do swoich kont, jednocześnie zachęcając ich do poprawy swojego bezpieczeństwa.
Dodatkowe przewodniki dotyczące bezpieczeństwa ekranu logowania
Mam nadzieję, że ten samouczek pomógł Ci dowiedzieć się, jak dodać pytania zabezpieczające do ekranu logowania WordPress. Możesz również zapoznać się z innymi przewodnikami na temat sposobów ochrony ekranu logowania:
- Jak dodać CAPTCHA do formularza logowania i rejestracji w WordPress
- Jak dodać logowanie bez hasła w WordPress za pomocą Magic Links
- Dlaczego i jak powinieneś ograniczyć próby logowania w WordPress
- Jak wyłączyć podpowiedzi logowania w komunikatach o błędach logowania WordPress
- Jak dodać logowanie przez media społecznościowe do WordPress (łatwy sposób)
- Przewodnik dla początkujących: Jak dodać niestandardowy adres URL logowania w WordPress (krok po kroku)
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Jiří Vaněk
Jako druga warstwa ochrony WordPressa, gdzie uwierzytelnianie dwuskładnikowe z jakiegoś powodu nie może być używane, na przykład z Google Authenticator, jest to zdecydowanie interesująca alternatywa. Każda warstwa bezpieczeństwa ma sens, i chociaż pytania i odpowiedzi nie są tak bezpieczne jak 2FA za pośrednictwem urządzenia mobilnego i aplikacji, jest to z pewnością lepsze niż nie używanie niczego. Zatem jako alternatywa jest to zdecydowanie interesujące rozwiązanie dla aplikacji.
Dayo Olobayo
Ciekawym aspektem do rozważenia jest to, czy pytania zabezpieczające z czasem stają się mniej skuteczne. Ponieważ profile w mediach społecznościowych stają się coraz bardziej powszechne, a ludzie udostępniają więcej informacji osobistych online, uważam, że odpowiedzi na pytania zabezpieczające mogą być łatwiejsze do odgadnięcia. Czy nie jest możliwe, aby pytania zabezpieczające były okresowo automatycznie aktualizowane?
Wsparcie WPBeginner
Not at the moment but possibly in the future
Admin
Mrteesurez
To jest kolejny sposób na zabezpieczenie strony WordPress za pomocą pytań bezpieczeństwa, szczególnie w przypadku strony członkowskiej.
Moje pytanie brzmi, czy to dotyczy lub działa tylko dla domyślnej strony logowania WordPress ??
A co jeśli chcę użyć tego na niestandardowej stronie rejestracji i logowania ??
Wsparcie WPBeginner
Możesz jej użyć dla niestandardowej strony logowania lub domyślnej strony logowania.
Admin
Izzy
Czy jest sposób, aby to zrobić bez wtyczki?
Wsparcie WPBeginner
Wymagałoby to trochę kodowania, ale w tej chwili nie mamy przyjaznej dla początkujących metody konfiguracji tego bez pluginu.
Admin
Bette Greenfield
Czy informacje w tym artykule są aktualne. Ostatnia aktualizacja: 26 września 2016 r. przez zespół redakcyjny
Wsparcie WPBeginner
Wtyczka powinna nadal działać, ale jej interfejs mógł zostać zaktualizowany od czasu ostatniej aktualizacji tego artykułu.
Admin
chris
I just tried this plugin its totally crap
there no answer box just the question boxes. ???
Wsparcie WPBeginner
Możesz dodać własne pytania i odpowiedzi na stronie ustawień wtyczki.
Admin
chris
tak, wiem o tym, jednak wtyczka podała mi tylko pytania bez pola odpowiedzi
to bardzo dziwne przy takim błędzie.
chris
Zrobiłem to wszystko i nadal, nawet z odpowiedzią lub bez niej, nadal nie działa, to beznadziejny plugin, nikomu nieprzydatny.
Nie poleciłbym tego moim przyjaciołom.
Jakie to zawstydzające dla tego dewelopera, że to wypuścił i dla ciebie, że to polecasz.
źle, źle, źle
Dean Bartley
Wypróbowałem i działa bez zarzutu. Twoje wtyczki lub motyw muszą być w konflikcie z tą wtyczką. I naprawdę nie widzę, dlaczego zachowujesz się w ten sposób. Oni po prostu próbują pomóc. Wyluzuj z negatywnymi komentarzami i bądź wdzięczny, że coś polecają. Jeśli się nie zgadzasz, to jest twoja opinia. Dzięki za rekomendację wpbeginner. Tak trzymajcie.