Nie ma nic gorszego niż dowiedzieć się, że Twoja strona internetowa została naruszona. Obszar administracyjny WordPress jest głównym punktem wejścia dla hakerów, co czyni go najważniejszą częścią Twojej witryny do ochrony.
Wiemy, że stresujące może być myślenie o atakach typu brute force lub kradzieży danych. Wielu właścicieli stron martwi się, że nie mają umiejętności technicznych, aby odpowiednio zabezpieczyć swój pulpit.
Wspaniałą wiadomością jest to, że nie musisz być ekspertem od bezpieczeństwa, aby wywrzeć ogromny wpływ. Z naszego doświadczenia w zarządzaniu tysiącami witryn WordPress wynika, że wystarczy kilka prostych zmian, aby zbudować silną obronę.
W tym przewodniku przeprowadzimy Cię przez najskuteczniejsze wskazówki dotyczące zabezpieczania obszaru administracyjnego. Te proste kroki zapewnią Ci spokój ducha i bezpieczeństwo Twojej witryny.
Omówimy wiele wskazówek, a poniższe szybkie linki pozwolą Ci się między nimi przełączać:
- 1. Użyj zapory sieciowej
- 2. Zabezpiecz hasłem katalog administratora WordPress
- 3. Zawsze używaj silnych haseł
- 4. Użyj weryfikacji dwuetapowej na ekranie logowania WordPress
- 5. Ogranicz próby logowania
- 6. Ogranicz dostęp do logowania do adresów IP
- 7. Wyłącz podpowiedzi logowania
- 8. Wymagaj od użytkowników używania silnych haseł
- 9. Resetuj hasło dla wszystkich użytkowników
- 10. Aktualizuj WordPress
- 11. Twórz niestandardowe strony logowania i rejestracji
- 12. Poznaj role użytkowników WordPress i uprawnienia
- 13. Ogranicz dostęp do panelu administracyjnego WordPress
- 14. Wyloguj nieaktywnych użytkowników
- Często zadawane pytania dotyczące zabezpieczania panelu administracyjnego WordPress
- Dodatkowe zasoby dotyczące bezpieczeństwa WordPress
1. Użyj zapory sieciowej
Zapora aplikacji internetowej (WAF) monitoruje ruch na Twojej stronie i blokuje podejrzane żądania, zanim dotrą one do Twojego serwera. Jest to Twoja pierwsza linia obrony przed próbami włamania.
Chociaż istnieje kilka wtyczek zapory sieciowej WordPress, zalecamy zaporę sieciową na poziomie DNS, taką jak Cloudflare. Zapory sieciowe na poziomie DNS są skuteczniejsze, ponieważ blokują zagrożenia na brzegu sieci, dzięki czemu złośliwy ruch nigdy nie dociera do Twojej witryny.
W WPBeginner używamy planu enterprise Cloudflare do ochrony naszej strony internetowej przed próbami włamań, złośliwym oprogramowaniem i innymi złośliwymi działaniami. Instrukcje konfiguracji krok po kroku znajdziesz w naszym artykule o tym, jak skonfigurować darmowy CDN Cloudflare dla swojej strony internetowej.
Inną świetną opcją jest Sucuri, którego wcześniej używaliśmy. Więcej szczegółów znajdziesz w naszym artykule o tym, dlaczego przeszliśmy z Sucuri na Cloudflare.
2. Zabezpiecz hasłem katalog administratora WordPress
Inną wskazówką, która okazała się niezwykle skuteczna, jest dodanie ochrony hasłem do katalogu administracyjnego WordPress. Dodaje to drugą warstwę obrony, wymagając dwóch oddzielnych haseł do uzyskania dostępu do pulpitu nawigacyjnego.
Możesz to zrobić z poziomu panelu kontrolnego hostingu WordPress. Oto kroki dla cPanel:
- Zaloguj się do panelu administracyjnego hostingu WordPress cPanel i kliknij ikonę „Prywatność katalogu”.
- Wybierz folder
wp-admin, który zazwyczaj znajduje się w katalogu/public_html/. - Zaznacz pole obok „Chroń ten katalog hasłem” i podaj dla niego nazwę.
- Kliknij „Zapisz”, a następnie wróć, aby utworzyć użytkownika z nową nazwą użytkownika i hasłem.
Teraz każdy, kto spróbuje uzyskać dostęp do Twojej strony logowania administratora, najpierw zobaczy monit uwierzytelniania.
To blokuje większość zautomatyzowanych ataków botów.
Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin). Pamiętaj, że te kroki dotyczą hostów korzystających z cPanel. Jeśli używasz innego panelu sterowania, sprawdź dokumentację swojego hosta.
3. Zawsze używaj silnych haseł
Musisz używać silnych, złożonych haseł do wszystkich swoich kont WordPress. Słabe hasła są jedną z najczęstszych przyczyn włamań na strony internetowe.
Silne hasło używa kombinacji wielkich i małych liter, cyfr oraz znaków specjalnych (!, #, @, %, itp.). Im dłuższe, tym bezpieczniejsze będzie.
Prawie niemożliwe jest zapamiętanie kilkudziesięciu skomplikowanych haseł. Dlatego cały nasz zespół w WPBeginner korzysta z menedżera haseł, takiego jak 1Password, aby bezpiecznie generować i przechowywać unikalne hasła dla każdej usługi.
Więcej informacji na ten temat znajdziesz w naszym przewodniku na temat najlepszego sposobu zarządzania hasłami dla początkujących w WordPress.
4. Użyj weryfikacji dwuetapowej na ekranie logowania WordPress
Weryfikacja dwuetapowa, znana również jako uwierzytelnianie dwuskładnikowe (2FA), dodaje kolejną kluczową warstwę bezpieczeństwa. Używamy 2FA nie tylko na naszych stronach WordPress, ale na wszystkich naszych kontach online, gdzie ta opcja jest dostępna.
Po wprowadzeniu hasła musisz również podać kod wrażliwy na czas, wygenerowany przez aplikację na Twoim telefonie, taką jak 1Password lub Authenticator. Nawet jeśli haker ukradnie Twoje hasło, nie będzie mógł się zalogować bez Twojego telefonu.
Aby uzyskać szczegółowe instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem, jak skonfigurować weryfikację dwuetapową w WordPress przy użyciu Google Authenticator.
5. Ogranicz próby logowania
Domyślnie WordPress pozwala użytkownikom próbować logować się tyle razy, ile chcą. Pozwala to hakerom na używanie zautomatyzowanych skryptów do próbowania tysięcy kombinacji haseł w czymś, co jest znane jako „atak siłowy”.
Możesz łatwo to zatrzymać, instalując wtyczkę Limit Login Attempts Reloaded. Po aktywacji przejdź do Ustawienia » Limit prób logowania, aby skonfigurować liczbę nieudanych prób dozwolonych przed tymczasowym zablokowaniem adresu IP.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat ograniczania prób logowania w WordPress.
Aby dowiedzieć się więcej o wtyczce, możesz również zapoznać się z naszą szczegółową recenzją Limit Login Attempts.
6. Ogranicz dostęp do logowania do adresów IP
Ostrzeżenie: Jest to zaawansowana technika i powinna być stosowana tylko wtedy, gdy masz statyczny (stały) adres IP. Większość domowych połączeń internetowych korzysta z dynamicznych adresów IP, które regularnie się zmieniają. Jeśli użyjesz tej metody z dynamicznym adresem IP, zablokujesz sobie dostęp do własnej strony internetowej.
Jeśli masz stały adres IP, możesz ograniczyć dostęp do swojego obszaru administracyjnego tylko do tego adresu. Po prostu dodaj ten kod do swojego pliku .htaccess:
Nie zapomnij zastąpić wartości „xx” własnym adresem IP. Swój aktualny adres IP możesz łatwo znaleźć, wyszukując „jaki jest mój adres IP” w Google. Jeśli używasz więcej niż jednego adresu IP, pamiętaj, aby je również dodać.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat ograniczania dostępu do panelu administratora WordPress za pomocą .htaccess.
7. Wyłącz podpowiedzi logowania
Gdy logowanie się nie powiedzie, WordPress informuje, czy nazwa użytkownika lub hasło były nieprawidłowe. Chociaż jest to pomocne dla użytkowników, te wskazówki potwierdzają również prawidłową nazwę użytkownika atakującemu, ułatwiając mu pracę.
Możesz ukryć te wskazówki, dodając następujący kod do pliku functions.php swojego motywu. Zalecamy jednak użycie wtyczki do fragmentów kodu, takiej jak WPCode. Jest to znacznie bezpieczniejszy sposób zarządzania niestandardowym kodem bez ryzyka błędów witryny.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Więcej informacji znajdziesz w naszym przewodniku na temat dodawania własnego kodu w WordPress bez psucia strony.
8. Wymagaj od użytkowników używania silnych haseł
Jeśli prowadzisz witrynę WordPress z wieloma autorami, jeden użytkownik ze słabym hasłem może stworzyć lukę dla wszystkich. Możesz wymusić silną politykę haseł, aby temu zapobiec.
Aby to zrobić, możesz zainstalować i aktywować wtyczkę Solid Security (wcześniej znana jako iThemes Security), stworzoną przez zespół SolidWP.
Następnie możesz postępować zgodnie z krokami w naszym kompletnym przewodniku na temat wymuszania silnych haseł dla użytkowników w WordPress.
9. Resetuj hasło dla wszystkich użytkowników
W przypadku wielostanowiskowych witryn WordPress możesz poprawić bezpieczeństwo, wymuszając na wszystkich użytkownikach resetowanie haseł. Jest to szczególnie przydatne, jeśli podejrzewasz naruszenie bezpieczeństwa lub po prostu chcesz egzekwować nową politykę haseł.
Najpierw zainstaluj i aktywuj wtyczkę Emergency Password Reset. Po aktywacji przejdź do strony Użytkownicy » Emergency Password Reset i kliknij przycisk „Resetuj wszystkie hasła”.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat jak zresetować hasła dla wszystkich użytkowników w WordPress.
10. Aktualizuj WordPress
WordPress często wydaje nowe wersje, aby dodawać funkcje i naprawiać luki w zabezpieczeniach. Używanie nieaktualnej wersji WordPress, wtyczek lub motywu jest jednym z największych ryzyk bezpieczeństwa, jakie możesz podjąć.
Zawsze upewnij się, że używasz najnowszej wersji oprogramowania rdzenia WordPress, a także wszystkich swoich wtyczek i motywów. Więcej na ten temat znajdziesz w naszym przewodniku, dlaczego powinieneś zawsze używać najnowszej wersji WordPress.
11. Twórz niestandardowe strony logowania i rejestracji
W przypadku witryn wymagających rejestracji użytkowników, takich jak witryny członkowskie lub sklepy internetowe, należy utworzyć niestandardowe strony logowania i rejestracji.
Zapobiega to sytuacji, w której użytkownicy niebędący administratorami muszą widzieć lub uzyskiwać dostęp do domyślnego ekranu logowania WordPress. Zapewnia to bardziej profesjonalne wrażenia użytkownika i pozwala całkowicie zablokować standardowy dostęp do wp-admin bez wpływu na członków lub klientów.
Najprostszym sposobem na zrobienie tego jest użycie wtyczki takiej jak WPForms, która posiada potężny dodatek User Registration. Szczegółowe instrukcje znajdziesz w naszym przewodniku, jak tworzyć niestandardowe strony logowania i rejestracji w WordPress.
12. Poznaj role użytkowników WordPress i uprawnienia
WordPress posiada wbudowany system zarządzania użytkownikami z różnymi rolami i uprawnieniami. Przypisanie niewłaściwej roli może nadać użytkownikowi znacznie więcej uprawnień niż potrzebuje, stwarzając potencjalne ryzyko bezpieczeństwa.
Ważne jest, aby zrozumieć, co może zrobić każda rola, zanim dodasz użytkowników do swojej witryny. Oto 5 domyślnych ról:
- Administrator: Ma pełny dostęp do wszystkich ustawień i treści na stronie.
- Edytor: Może publikować i zarządzać wszystkimi postami, w tym postami innych użytkowników.
- Autor: Może publikować i zarządzać tylko własnymi wpisami.
- Współtwórca: Może pisać i zarządzać własnymi postami, ale nie może ich publikować.
- Subskrybent: Może tylko logować się i zarządzać własnym profilem.
Pełne zestawienie znajdziesz w naszym przewodniku dla początkujących po rolach i uprawnieniach użytkowników WordPress.
13. Ogranicz dostęp do panelu administracyjnego WordPress
Na niektórych stronach niektórzy użytkownicy mogą w ogóle nie potrzebować dostępu do panelu administracyjnego WordPress. Domyślnie każdy użytkownik może się zalogować i zobaczyć obszar administracyjny, nawet jeśli jego uprawnienia są ograniczone.
Aby to naprawić, zainstaluj i aktywuj wtyczkę Remove Dashboard Access. Po aktywacji przejdź do Ustawienia » Dostęp do panelu administratora i wybierz, które role użytkowników mogą uzyskać dostęp do obszaru administratora. Inni mogą zostać przekierowani na stronę główną lub inny adres URL.
Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat ograniczania dostępu do panelu administracyjnego WordPress.
14. Wyloguj nieaktywnych użytkowników
Zalogowani użytkownicy, którzy odchodzą od swoich komputerów, mogą stanowić ryzyko bezpieczeństwa. Jeśli ich komputer jest publiczny lub współdzielony, ktoś inny może uzyskać dostęp do ich konta.
Możesz to rozwiązać, instalując wtyczkę Inactive Logout. Przejdź do Ustawienia » Inactive Logout i ustaw limit czasu. Po tym okresie bezczynności użytkownicy zostaną automatycznie wylogowani.
Aby uzyskać więcej szczegółów, zapoznaj się z naszym artykułem na temat automatycznego wylogowywania nieaktywnych użytkowników w WordPress.
Często zadawane pytania dotyczące zabezpieczania panelu administracyjnego WordPress
Jaki jest najważniejszy krok do zabezpieczenia mojego obszaru administracyjnego WordPress?
Użycie zapory sieciowej aplikacji internetowej (WAF) jest najważniejszym pierwszym krokiem. Dobra zapora sieciowa, taka jak Cloudflare lub Sucuri, blokuje złośliwy ruch, zanim dotrze on do Twojej witryny, zapobiegając szerokiemu zakresowi ataków.
Czy zabezpieczenie katalogu wp-admin hasłem jest naprawdę konieczne?
Chociaż nie jest to obowiązkowe, jest to bardzo skuteczne. Dodaje drugą warstwę uwierzytelniania, która zatrzymuje prawie wszystkie zautomatyzowane boty próbujące złamać hasło do Twojej strony logowania. To prosta zmiana, która znacznie zwiększa bezpieczeństwo.
Czy mogę zostać zablokowany ze swojej własnej strony, stosując się do tych wskazówek?
Tak, jeśli nie będziesz ostrożny. Wskazówka dotycząca ograniczenia dostępu do logowania do określonych adresów IP jest przeznaczona tylko dla zaawansowanych użytkowników ze statycznym adresem IP. Jeśli używasz zwykłego, dynamicznego adresu IP, zablokujesz sobie dostęp. Zawsze wykonaj kopię zapasową swojej witryny przed edycją plików takich jak .htaccess.
Dodatkowe zasoby dotyczące bezpieczeństwa WordPress
Mamy nadzieję, że ten artykuł pomógł Ci poznać nowe wskazówki i triki dotyczące ochrony obszaru administracyjnego WordPress.
Możesz również zapoznać się z naszymi innymi przewodnikami ekspertów dotyczącymi ochrony Twojej witryny:
- Kompleksowy przewodnik po bezpieczeństwie WordPress – krok po kroku
- Najlepsze wtyczki bezpieczeństwa WordPress do ochrony Twojej witryny (porównanie)
- Jak przeskanować swoją witrynę WordPress pod kątem potencjalnie złośliwego kodu
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Olaf
Bezpieczeństwo jest po prostu fundamentalne, a obszar administracyjny jest najważniejszą częścią WordPressa, ponieważ kontroluje cały witrynę. To sprawia, że próby włamań skierowane na administratora stają się coraz częstsze, co jest logiczne, biorąc pod uwagę, że WordPress zasila dziesiątki milionów witryn internetowych. Dlatego wysiłki hakerów stają się coraz bardziej widoczne. To lista naprawdę doskonałych kluczowych elementów. Chociaż niekoniecznie trzeba wdrożyć wszystkie z nich, nawet kilka może znacznie zwiększyć bezpieczeństwo witryny. Połączenie silnego hasła, uwierzytelniania dwuskładnikowego i ograniczania prób logowania wydaje się tak solidne, że obszar administracyjny byłby praktycznie nie do złamania.
Dennis Muthomi
Doświadczyłem próby włamania na moją własną witrynę WordPress, szczególnie podoba mi się nacisk na używanie silnych haseł i uwierzytelniania dwuskładnikowego. Chciałbym dodać, że regularne tworzenie kopii zapasowych witryny jest również kluczowe w przypadku naruszenia bezpieczeństwa.
Jiří Vaněk
Wykorzystałem wiele Twoich wskazówek, a dodatkowo zmieniłem adres URL panelu administracyjnego, aby zapobiec potencjalnym atakom typu brute force. Jeśli chodzi o silne hasła, poleciłbym również nie używać domyślnego użytkownika „admin”, ponieważ jest to pierwszy użytkownik, którego haker spróbuje zaatakować metodą brute force. Osobiście, kiedy instaluję WordPress, nigdy nie używam użytkownika „admin”, ale zawsze wybieram niestandardową nazwę. To drobny szczegół, ale może również przyczynić się do bezpieczeństwa.
Mrteesurez
Nie sądzę, aby istniał sposób, w jaki hakerzy mogliby się włamać, jeśli uda się zastosować wszystkie te wskazówki i triki.
Użyłem kilku, ograniczając próby logowania i dostęp do panelu administracyjnego, i działały dobrze, nadal będę próbował wdrożyć inne dla maksymalnego bezpieczeństwa.
Jiří Vaněk
WordPress to złożony system, a zabezpieczenie samej administracji nie wystarczy. Zawsze istnieje sposób, w jaki haker może Cię zaatakować. Mogą oni celować w FTP, aby uzyskać wrażliwe informacje o bazie danych, próbować wykorzystać słabo zabezpieczony MySQL lub próbować wykorzystać nowo odkrytą lukę w wtyczce, motywie lub samym WordPressie, zanim zdążysz go zaktualizować. Dlatego zawsze warto myśleć kompleksowo i nie zapominać o innych elementach systemu, takich jak MySQL, FTP i komponenty WordPress.
Moinuddin Waheed
Niezbędne wskazówki i triki dotyczące ochrony panelu administracyjnego WordPress.
Użyłem uwierzytelniania dwuskładnikowego do logowania administratora, a także ograniczeń logowania dla dostępu administratora.
Ochrona panelu administracyjnego ma najwyższe znaczenie, ponieważ może mieć poważne konsekwencje, jeśli panel zostanie naruszony.
Nie wiedziałem, że możemy podjąć tyle kroków, aby chronić nasz panel administracyjny.
Dziękuję za wyczerpujące listy wskazówek dotyczących ochrony panelu administracyjnego.
Wsparcie WPBeginner
Cieszę się, że nasza lista okazała się pomocna!
Admin
Theo
„Ta wtyczka została zamknięta 23 listopada 2020 r. i nie jest dostępna do pobrania. Zamknięcie jest trwałe.”
Wiem, że to artykuł sprzed 3 i pół roku!
Byłoby miło, gdyby ktoś mógł zasugerować alternatywę! Dziękuję za Twój czas!
Wsparcie WPBeginner
Z pewnością przyjrzymy się alternatywom.
Admin
Raksa Sav
Jeśli dodam kogoś jako administratora WordPress, czy może mnie usunąć z administratora lub ukraść moją witrynę WordPress?
Wsparcie WPBeginner
Cześć Raksa,
Tak, mogą usunąć innych administratorów i przejąć kontrolę nad Twoją witryną.
Admin
Muchsin
Chciałbym zapytać.
Próbowałem ustawić prywatność katalogu z samouczka w tym artykule i działa płynnie, ale jest jeden problem: kiedy jako użytkownik próbuję skorzystać z funkcji wyszukiwania znajdującej się w menu nawigacyjnym mojej strony internetowej, zawsze jestem proszony o podanie nazwy użytkownika i hasła do tego katalogu. Jak więc rozwiązać ten problem?
Używam motywu Newspaper od tagdiv.
sherizon
jaka jest najlepsza rada przy zakładaniu strony e-commerce, czy mogę użyć WordPressa?
Wsparcie WPBeginner
Cześć Sherizon,
Tak, możesz. Zapoznaj się z naszym przewodnikiem jak założyć sklep internetowy.
Admin
Brenda Donovan
Dobre wskazówki i porady. Czy ma znaczenie, gdzie w pliku functions.php umieścić skrypt podpowiedzi bloków? Po prostu dodać go na końcu?
Wsparcie WPBeginner
Hej Brenda,
Tak, powinieneś dodać go na końcu.
Admin
Joe
Innym bardzo pomocnym sposobem ochrony Twojej witryny WP jest użycie loginu, który NIE JEST ADMINEM i nie jest Twoim adresem e-mail. Użyj unikalnej nazwy loginu, takiej jak WP@#% lub coś szalonego.
Dragos
Powinieneś również zmienić miejsce instalacji domyślnego folderu wp-admin.
Abhinav S Thakur
Czy ktoś może to naprawić?
Jak wymusić SSL tylko dla administratora, a reszta strony powinna być http.
Tak jak wp beginner ma stronę bez SSL!
Uruchomiony WordPress, cPanel
Pinkey
Cześć,
Właśnie założyłem stronę internetową opartą na treści i niestety moja strona została zhakowana. Proszę o poradę dotyczącą odpowiednich rozwiązań (oprogramowanie/certyfikaty itp.), aby uniknąć przyszłych ataków.
Dziękuję i pozdrawiam,
Pinkey
Lucy Barret
Wskazówki, które dodałeś, są bardzo pomocne. Ale jeśli chodzi o zabezpieczanie WordPressa, musisz położyć większy nacisk na bezpieczeństwo obszaru logowania. Musisz zwrócić większą uwagę na wzmocnienie obszaru logowania administratora.
Jan
Czy masz pomysł, dlaczego usunięcie pliku wp-login.php nie zapobiega atakom typu brute force? Myślałem, że to szybkie rozwiązanie dla witryny, która wymaga tylko mojego logowania, więc wymieniaj plik tylko w razie potrzeby?
Pomocy!
Craig
Świetna rada, z wyjątkiem usunięcia komunikatów administratora; jeśli obniżasz jakość doświadczenia użytkownika ze względu na bezpieczeństwo, robisz to źle.
Tahir
smart collection….!!
Talha
Wielkie dzięki. Mam stronę internetową. Tam ją skonfiguruję.
Pat Fortino
Ta wtyczka już nie istnieje: Stealth Login
Czy możesz polecić alternatywę?
Dzięki
Lori
Powiedziano mi również, abym „usunął linki do strony administratora ze strony, aby roboty hakerskie nie mogły po prostu podążać za linkiem”. Nie jestem pewien, co to oznacza ani jak miałbym to zrobić… Czy ktoś wie, co to oznacza i mógłby wskazać mi instrukcje krok po kroku, jak to zrobić?
(Nie widzę nigdzie na mojej stronie linków do strony administracyjnej, ani nie pamiętam, żeby kiedykolwiek takie były. Jedynym sposobem, w jaki mam dostęp do strony administracyjnej, jest przejście pod adres /wp-admin.)
Emily Johns
Świetna informacja!
Dla nietechnicznych blogerów i programistów sugeruję zainstalowanie wtyczki WordPress, aby ułatwić sobie pracę.
Spośród tych, które wymieniłeś, znalazłem wtyczkę „Wordfence Security” jako darmowe rozwiązanie do zabezpieczania blogów i przyspieszania ich.
Przetestowane i jestem z niej zadowolony!
Barry Richardson
Miałem wrażenie, że oryginalna nazwa użytkownika (np. „admin”) witryny WP nie może zostać usunięta, więc nawet jeśli dodalibyśmy nową nazwę użytkownika, oryginalny „admin” byłby nadal dostępny dla potencjalnego hakera do wykorzystania.
Wsparcie WPBeginner
Jeśli utworzysz nowe konto użytkownika z rolą administratora, możesz bezpiecznie usunąć użytkownika administratora.
Admin
Sandeep Jinagal
Cześć WPBeginner, przede wszystkim robisz najlepszą z najlepszych???
Chciałbym wiedzieć, jak ustawić moją stronę logowania tak jak Twoją. Ponieważ kiedy próbuję otworzyć Twoją stronę logowania, pojawia się wyskakujące okienko do logowania. Czy możesz mi podać to narzędzie.
Wsparcie WPBeginner
Zapoznaj się z naszym przewodnikiem, jak zabezpieczyć katalog administracyjny WordPress hasłem.
Admin
Kheti
Dziękuję za ten edukacyjny materiał. Bardzo pomocne. Dziękuję za dobrą pracę i wsparcie.
ifaheem
świetny artykuł, ale wymaga aktualizacji. Istnieje kilka świetnych wtyczek, które wykonują wszystkie powyższe zadania za pomocą jednej instalacji wtyczki!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
Po wykonaniu powyższych kroków (zaktualizuj je po przeprowadzeniu badań), czuję się trochę bezpieczniej.
Nie instaluj wtyczki bez przeczytania minimum 5 recenzji. Mówią Ci prawdę (przejrzyj złe recenzje i zobacz, co pisze autor; coś złego ich spotkało!
Prince Jain
Thank you for such a great post.
Ale proszę zaktualizuj ten wtyczkę Stealth Login, nie twórz niestandardowego adresu URL dla okna logowania, zamiast tego dodaje kod autoryzacyjny pod nazwą użytkownika i hasłem w oknie logowania WordPress.
Czy możesz również zasugerować wtyczkę do tworzenia niestandardowego adresu URL dla okna logowania.
Mitchell Miller
Stealth Login został usunięty z repozytorium wtyczek WP.
Ale zmiana linku wp-login.php jest pierwszym krokiem do zabezpieczenia strony WordPress.
laya rappaport
Co się stanie, gdy podasz komuś swoje dane logowania do pracy nad Twoją witryną, a oni zmienią dane logowania, tak że nie będziesz już mógł uzyskać dostępu do swojego konta WordPress?
James Campbell
Nie jestem pewien, czy istnieje sposób na odzyskanie informacji o Twojej witrynie, ale jeśli jest to możliwe, zawsze twórz nowego użytkownika i udzielaj innym dostępu za pośrednictwem tego konkretnego użytkownika. Pozwala to ograniczyć dostęp do określonych obszarów, a także usunąć ich dostęp, gdy nie jest już potrzebny. Oddanie swojego dostępu do witryny pozwala im zablokować Cię.
Lisa Wells
Jeśli ktoś zmienił Twoje dane użytkownika WordPress, miejmy nadzieję, że nadal możesz zalogować się do swojej bazy danych przez, powiedzmy, phpMyAdmin. Stamtąd powinieneś być w stanie utworzyć nowego użytkownika administratora bezpośrednio w tabelach:
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
Inną pomocną rzeczą, o której nie wspomniano, są uprawnienia bazy danych. Użytkownik bazy danych WordPress zazwyczaj nie potrzebuje wszystkich uprawnień. W zdecydowanej większości przypadków potrzebuje tylko ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
So if you’re doing it directly in mysql, it would be:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
Jeśli robisz to w cPanelu lub czymś podobnym, po prostu zaznacz odpowiednie pola podczas przyznawania uprawnień do db_user.
Tanmoy Das
Niesamowite wskazówki dla każdego nowicjusza! Chcę zawsze zmieniać adres URL logowania, ale nie wiem, jak to zrobić. Dzięki za te wskazówki.
Derick
@Daniel: Hakerzy mają teraz narzędzie, które wylicza/wymienia wszystkich twoich użytkowników, w tym ich role, więc zrobienie tego wcale nie oszuka hakera.
Thorir
Właśnie zainstalowałem wtyczkę Limit Login Attempts na moich stronach WP. Na jednej z nich prawie natychmiast zauważyłem blokadę, była to również jedyna instalacja, która znajdowała się w katalogu głównym. Wszystkie inne znajdują się w podkatalogu i po kilku godzinach żadna z nich nie zarejestrowała blokady.
Czy to może być pomocny czynnik, z punktu widzenia bezpieczeństwa?
Mary
Cześć, mam nadzieję, że masz się dobrze!
To był świetny artykuł, ale trochę dla mnie skomplikowany.
ponieważ potrzebuję teraz łatwego sposobu, wtyczka zapory sieciowej WordPress wyglądała dobrze, ale
Moim strachem jest utrata strony logowania.
Spędziłem dużo czasu próbując pracować z FTP i nie byłem w stanie tego zrozumieć.
Czy to będzie dobra wtyczka dla strachliwej osoby?? Dziękuję Mary
Ed van Dun
A co z Bullet Proof Security? Obejmuje niektóre z wymienionych wyżej obszarów i kilka innych.
Prodip
Wszystkie powyższe wskazówki pomogły mi uczynić mojego bloga bezpieczniejszym.
Dr. Sean Mullen
To świetne informacje, ale proszę, zaktualizuj! Dzięki
Gość
Wiem, że ten artykuł pochodzi z 2009 roku, ale czy możesz zrobić zaktualizowany, ponieważ wiele z tych wtyczek nie jest już „oficjalnie” kompatybilnych z najnowszymi wersjami WordPress (3.4.x-3.5)?
Personel redakcyjny
Tak, jest w przygotowaniu wraz z kilkoma innymi rzeczami. Robimy, co w naszej mocy. Dziękujemy za informację.
Admin
whoiscarrus
Dopiero zaczynam przygodę z rozwojem WP i nie mogę wystarczająco podziękować! Są świetne dla początkujących takich jak ja!
abhizz
niesamowite wskazówki dotyczące wordpress, dziękuję
Bigdrobek
Świetny tutorial, ale proszę, zaktualizuj go?
Kilka wtyczek nie istnieje, jest starych lub jest ukrytych przez WordPress.org.
– Ukryte logowanie
– Blokada logowania
– SSL administratora
Jestem zainteresowany krokiem 1) Tworzenie niestandardowych linków do logowania – czy masz wskazówkę dotyczącą nowego wtyczki, która wykonuje podobną pracę?
Faizan Elahi ( BestBloggingTools)
This is a great resource. Thanks
mattjwalk
Możesz również dodać do listy „użyj uwierzytelniania dwuskładnikowego” zamiast standardowych haseł. Istnieje nowa metoda uwierzytelniania stron internetowych https://www.shieldpass.com, gdzie kupujesz tanie karty dostępu, a następnie instalujesz wtyczkę WordPress. Następnie umieszczasz kartę na ekranie, aby zobaczyć dynamiczne numery logowania zamiast statycznego hasła. Jest to unikalne rozwiązanie, które umożliwia również kodowanie cyfr transakcji w celu wzajemnego uwierzytelniania, co zatrzymuje taktyki ataków typu „man in the middle”, nawet jeśli atakujący ma dostęp do Twojego laptopa lub telefonu komórkowego.
Jermaine
Problem, który mam z nr 6, to dynamiczny adres IP, jesteś blokowany za każdym razem, gdy zmienia się Twój adres IP, jakie jest obejście?
Personel redakcyjny
Możesz dodać niestandardowe logowanie, jeśli adres IP się nie zgadza.
Admin
vivek
świetny post i fajny przewodnik dla nowych blogerów takich jak ja
fareed
Świetny post i bardzo pomocny dla mnie, dziękuję
Daniel
Haker będzie myślał, że odniósł sukces, gdy zaloguje się przy użyciu nazwy użytkownika administratora i odkryje, że rola została ustawiona na „subskrybent”. Czy to nie inna forma dodatkowego zabezpieczenia. Nie chcę usuwać mojego administratora, ponieważ umieszczam wiadomości itp. na forach i blogu, a moi użytkownicy wiedzą, że pochodzą od administracji. tak samo jak używam swojej zwykłej nazwy użytkownika!
Jonathan K. Cohen
Ten artykuł wymaga ponownego przeglądu. Wiele sugerowanych wtyczek nie było aktualizowanych i może być niekompatybilnych z najnowszą wersją WP.
Obejmują one #1, #3 i #5.
Jan
Dla #1 sprawdź ten plugin o nazwie WPS Hide Login
Greg
Całkowicie się z Tobą zgadzam. Od jakiegoś czasu używam wtyczki Limit Login Attempts do mojego WordPressa. Dziś ta wtyczka jest przestarzała. Przeszedłem na WP Cerber:
Danang Sukma
Dzięki za Twój post.
Używam ochrony hasłem dla mojego folderu wp-admin w cPanel, czy to wystarczy?
mby
uh co za przydatna informacja chłopaki, na pewno pomoże!!
dzięki za wrzucenie! ^_^