Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Puchar WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

14 ważnych wskazówek, jak zabezpieczyć Twój obszar administracyjny WordPress (aktualizacja)

Uwaga redakcyjna: Otrzymujemy prowizję z linków partnerskich na WPBeginner. Prowizje nie mają wpływu na opinie i oceny naszych redaktorów. Dowiedz się więcej o Proces redakcyjny.

Szukasz sposobów na zabezpieczenie twojego obszaru administracyjnego WordPress?

Zabezpieczenie obszaru administracyjnego przed nieautoryzowanym dostępem pozwala zablokować wiele typowych zagrożeń bezpieczeństwa. Może to być pomocne, jeśli obserwujesz wiele ataków na twoją witrynę internetową WordPress.

W tym poradniku pokażemy ci kilka istotnych wskazówek i hacków, aby zabezpieczyć twój obszar administracyjny WordPress.

Tips and hacks to protect WordPress admin area

Omówimy wiele wskazówek, a za pomocą poniższych szybkich odnośników możesz przeskakiwać między nimi:

1. Zapora sieciowa

Zapora monitoruje ruch na witrynie internetowej i blokuje podejrzane żądania przed dotarciem do twojej witryny.

Chociaż istnieje kilka wtyczek zapory WordPress, takich jak Wordfence, zalecamy korzystanie z Sucuri. Jest to usługa zabezpieczenia i monitorowania witryny internetowej, która oferuje opartą na chmurze zaporę ogniową do ochrony twojej witryny.

Website Application Firewall

Cały ruch Twojej witryny przechodzi najpierw przez serwer proxy w chmurze Sucuri, który analizuje każde żądanie i blokuje podejrzane żądania przed dotarciem do witryny internetowej. Chroni to twoją witrynę internetową przed możliwymi próbami włamań, phishingiem, złośliwym oprogramowaniem i innymi złośliwymi włączeniami.

Inną świetną opcją jest Cloudflare, z którego obecnie korzystamy na WPBeginner. Aby uzyskać więcej informacji, zobacz nasz artykuł o tym, dlaczego przeszliśmy z Sucuri na Cloudflare.

2. Zabezpieczony hasłem katalog administracyjny WordPress

Twój obszar administracyjny WordPress jest już zabezpieczony hasłem WordPress. Jednak dodanie zabezpieczenia hasłem do twojego katalogu administracyjnego WordPress dodaje kolejną warstwę zabezpieczeń do twojej strony logowania.

Po pierwsze, musisz logować się do kokpitu cPanel twojego hostingu WordPress, a następnie kliknąć ikonkę „Katalogi zabezpieczone hasłem” lub „Prywatność katalogów”.

Directory privacy

Następnie należy wybrać twój katalog wp-admin, który zwykle znajduje się w katalogu /public_html/.

Na kolejnym ekranie należy zaznaczyć pole obok opcji „Zabezpiecz hasłem ten katalog” i podać nazwę zabezpieczonego katalogu.

Następnie kliknij przycisk „Zapisz”, aby ustawić uprawnienia.

Password protect directory settings

Następnie należy nacisnąć przycisk Wstecz, a następnie utworzyć użytkownika. Zostaniesz poproszony o podanie nazwy użytkownika/hasła, a następnie kliknięcie przycisku „Zapisz”.

Teraz, gdy ktoś spróbuje przejść do katalogu administratora WordPress lub wp-admin na twojej witrynie internetowej, zostanie poproszony o wpisz nazwę użytkownika i hasło.

Enter password

Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat zabezpieczania hasłem katalogu administracyjnego WordPress (wp-admin).

3. Zawsze używaj silnych haseł

Always use strong passwords

Zawsze używaj silnych haseł do wszystkich twoich kont online, w tym witryny WordPress. Zalecamy używanie kombinacji liter, cyfr i znaków specjalnych w twoich hasłach. Utrudni to hakerom odgadnięcie twojego hasła.

Początkujący użytkownicy często pytają nas, jak zapamiętać te wszystkie hasła. Najprostsza odpowiedź brzmi: nie musisz. Istnieje kilka naprawdę świetnych aplikacji do zarządzania hasłami, które możesz zainstalować na swoim komputerze i telefonie.

Więcej informacji na ten temat można znaleźć w naszym przewodniku na temat najlepszego sposobu zarządzania hasłami dla początkujących użytkowników WordPressa.

4. Weryfikacja dwuetapowa na ekranie logowania do WordPressa

WordPress login screen with Google Authenticator enabled

Weryfikacja dwuetapowa, znana również jako weryfikacja dwuskładnikowa, uwierzytelnianie dwuskładnikowe lub 2FA, dodaje kolejną warstwę zabezpieczeń do twoich haseł. Zamiast używać samego hasła, prosi o wpisz kodu weryfikacyjnego wygenerowanego przez aplikację Google Authenticator na twoim telefonie.

Nawet jeśli ktoś jest w stanie odgadnąć twoje hasło do WordPressa, nadal będzie potrzebował kodu Google Authenticator, aby się do niego dostać.

Aby uzyskać szczegółowe instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat konfigurowania weryfikacji dwuetapowej w WordPress przy użyciu Google Authenticator.

5. Limit prób logowania

Limit login attempts

Domyślnie WordPress pozwala użytkownikom wpisz hasła tyle razy, ile chcą. Oznacza to, że ktoś może próbować odgadnąć twoje hasło WordPress, wpisz różne kombinacje. Pozwala to również hakerom na używanie automatycznych skryptów do łamania haseł.

Aby to poprawić, należy zainstalować i włączyć wtyczkę Limit Login Attempts Reloaded. Po włączaniu przejdź na stronę Ustawienia ” Blokada logowania, aby skonfigurować ustawienia wtyczki.

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat tego, dlaczego powinieneś ograniczyć próby logowania w WordPress. Aby dowiedzieć się więcej o wtyczce, możesz również zapoznać się z naszą szczegółową recenzją Limit Login Attempts.

6. Ograniczenie dostępu do logowania do adresów IP

Innym świetnym sposobem na zabezpieczenie logowania do WordPressa jest ograniczenie dostępu do określonych adresów IP. Ta wskazówka jest szczególnie przydatna, jeśli ty lub tylko kilku zaufanych użytkowników potrzebuje dostępu do obszaru administracyjnego.

Wystarczy dodać ten kod do twojego pliku .htaccess:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Nie zapomnij zastąpić wartości xx twoim własnym adresem IP. Jeśli używasz więcej niż jednego adresu IP, aby uzyskać dostęp do Internetu, upewnij się, że dodałeś je również.

Szczegółowe instrukcje można znaleźć w naszym przewodniku na temat ograniczania dostępu do panelu administracyjnego WordPress za pomocą .htaccess.

7. Wyłącz podpowiedzi logowania

Disabled login hints

Przy nieudanej próbie logowania WordPress wyświetla błędy, które informują użytkowników, czy ich nazwa użytkownika lub hasło były nieprawidłowe. Te wskazówki dotyczące logowania mogą zostać wykorzystane przez kogoś do złośliwych prób, takich jak ataki brute force.

Możesz łatwo ukryć te podpowiedzi logowania, dodając następujący kod do pliku functions. php twojego motywu lub używając wtyczki fragmentów kodu, takiej jak WPCode (zalecane):

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem na temat dodawania własnego kodu w WordPressie bez niszczenia twojej witryny internetowej.

8. Wymaganie od użytkowników używania silnych haseł

Jeśli prowadzisz witrynę WordPress z wieloma autorami, użytkownicy ci mogą edytować swoje konta użytkowników i używać słabego hasła. Hasła te mogą zostać złamane i dać komuś dostęp do obszaru administracyjnego WordPress.

Aby to poprawić, możesz zainstalować i włączyć wtyczkę SolidWP. Następnie możesz wykonać kroki opisane w naszym kompletnym przewodniku na temat wymuszania silnych haseł na użytkownikach w WordPress.

9. Resetuj hasło dla wszystkich użytkowników

Zamierzasz zadbać o zabezpieczenia haseł w Twojej witrynie WordPress dla wielu użytkowników? Możesz łatwo poprosić wszystkich twoich użytkowników o zresetowanie swoich haseł.

Najpierw należy zainstalować i włączyć wtyczkę Emergency Password Reset. Po włączaniu należy przejść do strony Użytkownicy „ Awaryjne resetowanie hasła i kliknąć przycisk „Zresetuj wszystkie hasła”.

Reset all passwords

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat resetowania haseł dla wszystkich użytkowników w WordPressie

10. Aktualizuj WordPress

WordPress często wydaje nowe wersje oprogramowania. Każde nowe wydanie rdzenia WordPress zawiera ważne poprawki błędów, nowe funkcje i poprawki zabezpieczeń.

Korzystanie ze starszej wersji WordPressa na twojej witrynie naraża cię na znane exploity i potencjalne luki w zabezpieczeniach. Aby to naprawić, musisz upewnić się, że korzystasz z najnowszej wersji WordPressa.

Więcej na ten temat można znaleźć w naszym przewodniku na temat tego, dlaczego zawsze należy korzystać z najnowszej wersji WordPressa.

Podobnie, wtyczki WordPress są również często aktualizowane w celu wprowadzenia nowych funkcji lub poprawek zabezpieczeń i innych problemów. Upewnij się, że twoje wtyczki WordPress są również aktualne.

Uwaga: Czy wolisz pozostawić twoją konserwację WordPress profesjonalistom? Nasze usługi serwisowe WPBeginner mogą zająć się wszystkim, od aktualizacji po usuwanie złośliwego oprogramowania, dzięki czemu możesz skupić się na prowadzeniu swojej witryny internetowej.

11. Tworzenie własnych stron logowania i rejestracji

Wiele witryn WordPress wymaga od użytkowników rejestracji. Na przykład witryny członkowskie, witryny do zarządzania nauką i sklepy internetowe wymagają od użytkowników utworzenia konta.

Użytkownicy ci mogą jednak używać swoich kont do logowania się do obszaru administracyjnego WordPress. Nie jest to duży problem, ponieważ będą mogli robić tylko rzeczy dozwolone przez ich rolę użytkownika i możliwości.

Jednak uniemożliwia to prawidłowe ograniczenie dostępu do stron logowania i rejestracji, ponieważ strony te są potrzebne użytkownikom do rejestracji, zarządzania profilami i logowania się.

Prostym sposobem na poprawienie tego jest stworzenie własnych stron logowania i rejestracji, aby klienci mogli rejestrować się i logować bezpośrednio z twojej witryny internetowej.

Aby uzyskać szczegółowe instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat tworzenia własnych stron logowania i rejestracji w WordPress.

12. Dowiedz się więcej o rolach i uprawnieniach użytkowników WordPressa

WordPress posiada potężny system zarządzania użytkow nikami z różnymi rolami i możliwościami. Dodając nowego użytkownika do twojej witryny WordPress, możesz wybrać dla niego rolę użytkownika. Ta rola użytkownika określa, co może on robić na twojej witrynie WordPress.

Przypisanie nieprawidłowych ról użytkownika może dać ludziom więcej możliwości niż potrzebują. Aby tego uniknąć, musisz zrozumieć, jakie możliwości wiążą się z różnymi rolami użytkowników w WordPress.

Więcej informacji na ten temat można znaleźć w naszym przewodniku dla początkujących na temat ról i uprawnień użytkowników WordPress.

13. Ograniczenie dostępu do kokpitu WordPressa

Niektóre witryny WordPress mają pewnych użytkowników, którzy potrzebują dostępu do kokpitu i niektórych użytkowników, którzy tego nie potrzebują. Jednak domyślnie wszyscy oni mają dostęp do obszaru administracyjnego.

Aby to poprawić, należy zainstalować i włączyć wtyczkę Remove Dashboard Access. Po włączaniu przejdź do strony Ustawienia ” Dostęp do kokpitu i wybierz, które role użytkowników będą miały dostęp do obszaru administracyjnego w twojej witrynie.

Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat ograniczania dostępu do kokpitu w WordPress.

14. Logowanie się bezczynnych użytkowników

Idle user logout

WordPress nie wylogowuje automatycznie użytkowników, dopóki ci nie wylogują się lub nie zamkną okna przeglądarki. Może to stanowić problem w przypadku witryn WordPress zawierających poufne informacje. Dlatego witryny internetowe i aplikacje instytucji finansowych automatycznie wylogowują użytkowników, jeśli nie byli włączeni.

Aby to poprawić, możesz zainstalować i włączyć wtyczkę Inactive Logout. Po włączaniu przejdź do strony Ustawienia „ Nieaktywne wylogowanie i wpisz czas, po którym użytkownicy mają być automatycznie wylogowywani.

Więcej szczegółów można znaleźć w naszym artykule na temat automatycznego logowania się bezczynnych użytkowników w WordPress.

Mamy nadzieję, że ten artykuł pomógł ci poznać kilka nowych wskazówek i hacków, aby zabezpieczyć twój obszar administracyjny WordPress. Zachęcamy również do zapoznania się z naszym przewodnikiem po zabezpieczeniach WordPress krok po kroku dla początkujących oraz z naszą ekspercką listą najlepszych wtyczek zabezpieczających WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Ujawnienie: Nasze treści są wspierane przez czytelników. Oznacza to, że jeśli klikniesz na niektóre z naszych linków, możemy otrzymać prowizję. Zobacz jak WPBeginner jest finansowany, dlaczego to ma znaczenie i jak możesz nas wspierać. Oto nasz proces redakcyjny.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Najlepszy zestaw narzędzi WordPress

Uzyskaj BEZPŁATNY dostęp do naszego zestawu narzędzi - zbiór produktów i zasobów związanych z WordPressem, które każdy profesjonalista powinien mieć!

Reader Interactions

135 komentarzyZostaw odpowiedź

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Mrteesurez says

    I don’t think there will be a way hackers would be able to enter if one is able to implement all these tips and tricks.
    I have used some, limiting logging attempt and dashboard access and they worked fine, I will still try to implement others for maximum security.

  3. Moinuddin Waheed says

    Must have tips and tricks for protection of WordPress admin dashboard.
    I have used two factor authentication for admin login and also the login limits for admin access.
    dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
    I didn’t know that we can have these much steps to protect our dashboard.
    Thanks for the exhaustive lists of tips for dashboard protection.

  4. Theo says

    „This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.”

    I know that this is a 3 and a half years old article!

    It would be nice if someone could suggest an alternative! Thank you for your time!

  5. Raksa Sav says

    If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?

  6. Muchsin says

    I want to ask
    I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
    I use the newspaper theme from tagdiv.

  7. Brenda Donovan says

    Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?

  8. Joe says

    Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.

  9. Abhinav S Thakur says

    Can anyone fix this?
    How shall I force SSL only for admin and rest of the site should be http.
    Like wp beginner has non SSL site!
    Running wordpress, cPanel

  10. Pinkey says

    Hi,

    I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.

    Thanks & best Regards,

    Pinkey

  11. Lucy Barret says

    The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.

  12. John says

    Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?

    Help please!

  13. Craig says

    Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.

  14. Lori says

    I’ve also been told to „remove links to the admin page from the site so that the hacking robots can’t just follow a link.” I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?

    (I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)

  15. Emily Johns says

    Great information!

    For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
    From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
    Tested and happy with it!

  16. Barry Richardson says

    I was under the impression that the original username (e.g. „admin”) of a WP site cannot be deleted, so even if we did add a new username, the original „admin” would still be available for a potential hacker to exploit.

  17. Sandeep Jinagal says

    Hyy WPBeginner first of All u are Doing Best OF Best???
    And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.

  18. ifaheem says

    great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!

    My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin :(

    After performing above steps (update them by some research), feeling secure a little.

    Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!

  19. Prince Jain says

    Thank you for such a great post. :)

    But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of WordPress.
    Also can you please suggest a plugin to create custom URL for login window.

  20. Mitchell Miller says

    Stealth Login was removed from WP Plugin repository.

    But changing wp-login.php link is the first step to protecting a WordPress site.

  21. laya rappaport says

    What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?

  22. user4574 says

    One other helpful item not mentioned is database permissions. The WordPress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.

    So if you’re doing it directly in mysql, it would be:
    GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;

    If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.

  23. Tanmoy Das says

    Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.

  24. Derick says

    @Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.

  25. Thorir says

    Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.

    Perhaps this is a helpful factor, security wise?

  26. Mary says

    Hello, I hope you are well!
    This was a great article but a little complicated for me.

    because I need the easy way right now, the wordpress firewall plugin looked good but

    my fear is losing my login page.
    I have spent a long time trying to work with FTP and have not been able to understand it.

    Will this be a good plugin for a scaredy cat?? Thanks Mary

  27. Guest says

    I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer „officially” compatible with the latest WordPress (3.4.x-3.5)?

  28. Bigdrobek says

    Great turitorial, but please can you update it?

    Few plug-ins is not exist, are old or are hidden by WordPress.org.

    – Stealth Login

    – Login Lockdown

    – Admin SSL

    I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?

  29. mattjwalk says

    You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.

  30. Jermaine says

    The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?

  31. Daniel says

    Hacker will think he is successful when he logs in with admin username and finds that the role has been set to 'subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!

  32. anthony says

    This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!

Zostaw odpowiedź

Dziękujemy za pozostawienie komentarza. Pamiętaj, że wszystkie komentarze są moderowane zgodnie z naszymi polityka komentarzy, a Twój adres e-mail NIE zostanie opublikowany. NIE używaj słów kluczowych w polu nazwy. Przeprowadźmy osobistą i konstruktywną rozmowę.