WPBeginner Sites»Wpbeginner»Blog»Poradniki»14 ważnych wskazówek, jak zabezpieczyć Twój obszar administracyjny WordPress (aktualizacja)

14 ważnych wskazówek, jak zabezpieczyć Twój obszar administracyjny WordPress (aktualizacja)

By Editorial Staff | 18 kwietnia, 2024 | Reader Disclosure

Share ChatGPT Perplexity LinkedIn WhatsApp Email

Twój obszar administracyjny WordPress jest jak pokój kontrolny Twojej witryny internetowej. Jeśli hakerzy włamią się do niego, mogą zmienić ustawienia, wykraść dane, a nawet zablokować Cię. Dlatego zabezpieczenie go jest jedną z najmądrzejszych rzeczy, jakie możesz zrobić.

Widzieliśmy, jak wielu właścicieli witryn internetowych staje w obliczu zagrożeń bezpieczeństwa, nie zdając sobie sprawy z tego, jak wrażliwy jest ich obszar administracyjny. Ataki siłowe, wstrzykiwanie złośliwego oprogramowania i nieautoryzowane logowanie są bardziej powszechne niż mogłoby się wydawać.

Dobra wiadomość? Nie musisz być ekspertem od zabezpieczeń, aby zabezpieczyć swoją witrynę. Kilka prostych modyfikacji może znacznie utrudnić atakującym wejście na stronę.

W tym przewodniku podzielimy się podstawowymi wskazówkami i hackami, aby zabezpieczyć twój obszar administracyjny WordPress. Te kroki pomogą ci zapewnić bezpieczeństwo twojej witryny, danych i spokoju umysłu.

Tips and hacks to protect WordPress admin area

Omówimy wiele wskazówek, a za pomocą poniższych szybkich odnośników możesz przeskakiwać między nimi:

Use a Website Application Firewall
Password Protect WordPress Admin Directory
Always Use Strong Passwords
Use Two Step Verification on WordPress Login Screen
Limit Login Attempts
Limit Login Access to IP Addresses
Disable Login Hints
Require Users to Use Strong Passwords
Reset Password for All Users
Keep WordPress Updated
Create Custom Login and Registration Pages
Learn About WordPress User Roles and Permissions
Limit Dashboard Access
Log out Idle Users

1. Zapora sieciowa

Zapora monitoruje ruch na witrynie internetowej i blokuje podejrzane żądania przed dotarciem do twojej witryny.

Chociaż istnieje kilka wtyczek zapory WordPress, takich jak Wordfence, zalecamy korzystanie z Cloudflare.

Jest to największa i najpotężniejsza zapora oparta na chmurze, która chroni twoją witrynę internetową.

Cały ruch Twojej witryny przechodzi najpierw przez serwer proxy w chmurze Cloudflare, który analizuje każde żądanie i blokuje podejrzane żądania przed dotarciem do Twojej witryny internetowej.

Chroni to twoją witrynę internetową przed możliwymi próbami włamania, phishingiem, złośliwym oprogramowaniem i innymi złośliwymi włączeniami. Aby uzyskać instrukcje konfiguracji krok po kroku, zobacz nasz artykuł o tym, jak skonfigurować darmowy CDN Cloudflare dla twojej witryny internetowej.

Inną świetną opcją jest Sucuri, z którego wcześniej korzystaliśmy. Aby uzyskać więcej informacji, zobacz nasz artykuł o tym, dlaczego przeszliśmy z Sucuri na Cloudflare.

2. Zabezpieczony hasłem katalog administracyjny WordPress

Inną wskazówką, która okazała się niezwykle skuteczna, jest dodanie hasła zabezpieczającego do katalogu administracyjnego WordPress.

Domyślnie obszar administracyjny jest już zabezpieczony twoim hasłem WordPress. Jednak dodanie zabezpieczenia hasłem do katalogu administratora dodaje kolejną warstwę zabezpieczeń do twojej strony logowania.

Po pierwsze, musisz logować się do kokpitu cPanel twojego hostingu WordPress, a następnie kliknąć ikonkę “Katalogi zabezpieczone hasłem” lub “Prywatność katalogów”.

Następnie należy wybrać twój katalog wp-admin, który zwykle znajduje się w katalogu /public_html/.

Na kolejnym ekranie należy zaznaczyć pole obok opcji “Zabezpiecz hasłem ten katalog” i podać nazwę zabezpieczonego katalogu.

Następnie kliknij przycisk “Zapisz”, aby ustawić uprawnienia.

Następnie należy nacisnąć przycisk Wstecz, a następnie utworzyć użytkownika. Zostaniesz poproszony o podanie nazwy użytkownika/hasła, a następnie kliknięcie przycisku “Zapisz”.

Teraz, gdy ktoś spróbuje przejść do katalogu administratora WordPress lub wp-admin na twojej witrynie internetowej, zostanie poproszony o wpisz nazwę użytkownika i hasło.

Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat zabezpieczania hasłem katalogu administracyjnego WordPress (wp-admin).

3. Zawsze używaj silnych haseł

Widzieliśmy użytkowników używających zwykłych słów słownikowych jako haseł, a niektóre z nich były zbyt małe i łatwe do odgadnięcia.

Zawsze używaj silnych haseł do wszystkich twoich kont online, w tym witryny WordPress. Zalecamy używanie kombinacji liter, cyfr i znaków specjalnych w twoich hasłach. Utrudni to hakerom odgadnięcie twojego hasła.

Początkujący użytkownicy często pytają nas, jak zapamiętać te wszystkie hasła.

Najprostsza odpowiedź brzmi: nie musisz. Istnieje kilka naprawdę świetnych aplikacji do zarządzania hasłami, które możesz zainstalować na swoim komputerze i telefonie.

Więcej informacji na ten temat można znaleźć w naszym przewodniku na temat najlepszego sposobu zarządzania hasłami dla początkujących użytkowników WordPressa.

WordPress login screen with Google Authenticator enabled

Weryfikacja dwuetapowa, znana również jako weryfikacja dwuskładnikowa, uwierzytelnianie dwuskładnikowe lub 2FA, dodaje kolejną warstwę zabezpieczeń do twoich haseł.

Używamy ochrony 2FA nie tylko na naszych witrynach internetowych WordPress, ale na wszystkich naszych kontach, na których dostępna jest opcja 2FA.

Zamiast używać samego hasła, prosi o wpisz kodu weryfikacyjnego wygenerowanego przez aplikację Google Authenticator na twoim telefonie.

Nawet jeśli ktoś jest w stanie odgadnąć twoje hasło do WordPressa, nadal będzie potrzebował kodu Google Authenticator, aby się do niego dostać.

Aby uzyskać szczegółowe instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat konfigurowania weryfikacji dwuetapowej w WordPress przy użyciu Google Authenticator.

Domyślnie WordPress pozwala użytkownikom wpisz hasła tyle razy, ile chcą. Oznacza to, że ktoś może próbować odgadnąć twoje hasło WordPress, wpisz różne kombinacje. Pozwala to również hakerom na używanie automatycznych skryptów do łamania haseł.

Aby to poprawić, należy zainstalować i włączyć wtyczkę Limit Login Attempts Reloaded. Po włączaniu przejdź na stronę Ustawienia ” Blokada logowania, aby skonfigurować ustawienia wtyczki.

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat tego, dlaczego powinieneś ograniczyć próby logowania w WordPress. Aby dowiedzieć się więcej o wtyczce, możesz również zapoznać się z naszą szczegółową recenzją Limit Login Attempts.

Inną sztuczką, która działa świetnie, jest to, że wszyscy użytkownicy z dostępem do obszaru administracyjnego mają naprawione adresy IP. Zasadniczo można ograniczyć dostęp do obszaru administracyjnego, ograniczając go do określonych adresów IP.

Wystarczy dodać ten kod do twojego pliku .htaccess:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Nie zapomnij zastąpić wartości xx twoim własnym adresem IP. Jeśli używasz więcej niż jednego adresu IP, aby uzyskać dostęp do Internetu, upewnij się, że dodałeś je również.

Szczegółowe instrukcje można znaleźć w naszym przewodniku na temat ograniczania dostępu do panelu administracyjnego WordPress za pomocą .htaccess.

Przy nieudanej próbie logowania WordPress wyświetla błędy, które informują użytkowników, czy ich nazwa użytkownika lub hasło były nieprawidłowe. Te wskazówki dotyczące logowania mogą zostać wykorzystane przez kogoś do złośliwych prób, takich jak ataki brute force.

Możesz łatwo ukryć te podpowiedzi logowania, dodając następujący kod do pliku functions. php twojego motywu lub używając wtyczki fragmentów kodu, takiej jak WPCode (zalecane):

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem na temat dodawania własnego kodu w WordPressie bez niszczenia twojej witryny internetowej.

8. Wymaganie od użytkowników używania silnych haseł

Jeśli prowadzisz witrynę WordPress z wieloma autorami, użytkownicy ci mogą edytować swoje konta użytkowników i używać słabego hasła. Hasła te mogą zostać złamane i dać komuś dostęp do obszaru administracyjnego WordPress.

Aby to poprawić, możesz zainstalować i włączyć wtyczkę SolidWP. Następnie możesz wykonać kroki opisane w naszym kompletnym przewodniku na temat wymuszania silnych haseł na użytkownikach w WordPress.

9. Resetuj hasło dla wszystkich użytkowników

Zamierzasz zadbać o zabezpieczenia haseł w Twojej witrynie WordPress dla wielu użytkowników? Możesz łatwo poprosić wszystkich twoich użytkowników o zresetowanie swoich haseł.

Najpierw należy zainstalować i włączyć wtyczkę Emergency Password Reset. Po włączaniu należy przejść do strony Użytkownicy “ Awaryjne resetowanie hasła i kliknąć przycisk “Zresetuj wszystkie hasła”.

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat resetowania haseł dla wszystkich użytkowników w WordPressie

10. Aktualizuj WordPress

WordPress często wydaje nowe wersje oprogramowania. Każde nowe wydanie rdzenia WordPress zawiera ważne poprawki błędów, nowe funkcje i poprawki zabezpieczeń.

Korzystanie ze starszej wersji WordPressa na twojej witrynie naraża cię na znane exploity i potencjalne luki w zabezpieczeniach. Aby to naprawić, musisz upewnić się, że korzystasz z najnowszej wersji WordPressa.

Więcej na ten temat można znaleźć w naszym przewodniku na temat tego, dlaczego zawsze należy korzystać z najnowszej wersji WordPressa.

Podobnie, wtyczki WordPress są również często aktualizowane w celu wprowadzenia nowych funkcji lub poprawek zabezpieczeń i innych problemów. Upewnij się, że twoje wtyczki WordPress są również aktualne.

💡 Uwaga: Czy wolisz pozostawić twoją konserwację WordPress profesjonalistom? Nasze usługi serwisowe WPBeginner mogą zająć się wszystkim, od aktualizacji po usuwanie złośliwego oprogramowania, dzięki czemu możesz po prostu skupić się na prowadzeniu swojej witryny internetowej.

Wiele witryn WordPress wymaga od użytkowników rejestracji. Na przykład witryny członkowskie, witryny do zarządzania nauką i sklepy internetowe wymagają od użytkowników utworzenia konta.

Użytkownicy ci mogą jednak używać swoich kont do logowania się do obszaru administracyjnego WordPress. Nie jest to duży problem, ponieważ będą mogli robić tylko rzeczy dozwolone przez ich rolę użytkownika i możliwości.

Jednak uniemożliwia to prawidłowe ograniczenie dostępu do stron logowania i rejestracji, ponieważ strony te są potrzebne użytkownikom do rejestracji, zarządzania profilami i logowania się.

Prostym sposobem na poprawienie tego jest stworzenie własnych stron logowania i rejestracji, aby klienci mogli rejestrować się i logować bezpośrednio z twojej witryny internetowej.

Aby uzyskać szczegółowe instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat tworzenia własnych stron logowania i rejestracji w WordPress.

12. Dowiedz się więcej o rolach i uprawnieniach użytkowników WordPressa

WordPress posiada potężny system zarządzania użytkownikami z różnymi rolami i możliwościami. Dodając nowego użytkownika do twojej witryny WordPress, możesz wybrać dla niego rolę użytkownika. Ta rola użytkownika określa, co może on robić na twojej witrynie WordPress.

Przypisanie nieprawidłowych ról użytkownika może dać ludziom więcej możliwości niż potrzebują. Aby tego uniknąć, musisz zrozumieć, jakie możliwości wiążą się z różnymi rolami użytkowników w WordPress.

Więcej informacji na ten temat można znaleźć w naszym przewodniku dla początkujących na temat ról i uprawnień użytkowników WordPress.

13. Ograniczenie dostępu do kokpitu WordPressa

Niektóre witryny WordPress mają pewnych użytkowników, którzy potrzebują dostępu do kokpitu i niektórych użytkowników, którzy tego nie potrzebują. Jednak domyślnie wszyscy oni mają dostęp do obszaru administracyjnego.

Aby to poprawić, należy zainstalować i włączyć wtyczkę Remove Dashboard Access. Po włączaniu przejdź do strony Ustawienia ” Dostęp do kokpitu i wybierz, które role użytkowników będą miały dostęp do obszaru administracyjnego w twojej witrynie.

Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat ograniczania dostępu do kokpitu w WordPress.

14. Logowanie się bezczynnych użytkowników

WordPress nie wylogowuje automatycznie użytkowników, dopóki ci nie wylogują się lub nie zamkną okna przeglądarki. Może to stanowić problem w przypadku witryn WordPress zawierających poufne informacje. Dlatego witryny internetowe i aplikacje instytucji finansowych automatycznie wylogowują użytkowników, jeśli nie byli włączeni.

Aby to poprawić, możesz zainstalować i włączyć wtyczkę Inactive Logout. Po włączaniu przejdź do strony Ustawienia “ Nieaktywne wylogowanie i wpisz czas, po którym użytkownicy mają być automatycznie wylogowywani.

Więcej szczegółów można znaleźć w naszym artykule na temat automatycznego logowania się bezczynnych użytkowników w WordPress.

Mamy nadzieję, że ten artykuł pomógł ci poznać kilka nowych wskazówek i hacków, aby zabezpieczyć twój obszar administracyjny WordPress. Zachęcamy również do zapoznania się z naszym przewodnikiem po zabezpieczeniach WordPress krok po kroku dla początkujących oraz z naszą ekspercką listą najlepszych wtyczek zabezpieczających WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Popular on WPBeginner Right Now!

Disclosure: Our content is reader-supported. This means if you click on some of our links, then we may earn a commission. See how WPBeginner is funded, why it matters, and how you can support us. Here's our editorial process.

About the Editorial Staff

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

134 komentarzeLeave a Reply

Danang Sukma

maj 4, 2010 at 11:41 am

Thanks for your post.
Im using password protect for my wp-admin folder in cpanel, is it enough?

Odpowiedz
mby

kwi 1, 2010 at 2:54 am

uh what a useful info guys, it can help surely!!
thanks for posting! ^_^

Odpowiedz
anthony

lut 24, 2010 at 2:54 pm

This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!

Odpowiedz
shoaib hussain

lut 18, 2010 at 5:32 am

man m moving from one post to the other in your blog and m loving it it.thnx a lot.guess i’ll have to subscribe now.

Odpowiedz
tzutzu

lut 3, 2010 at 6:22 pm

AWESOME post!! Thank you for this info

Odpowiedz
Marlin

sty 3, 2010 at 5:44 am

Thanks Nice list this will surely help to secure wordpress admin panel.

Odpowiedz
Abhilash Thekkel

gru 26, 2009 at 8:57 pm

Very useful tips. Thank you

Odpowiedz
Jessica

paź 28, 2009 at 9:14 pm

I’m currently learning wp development. I want to make a ecommerce site with wordpress using the WP e-Commerce plugin. Does anyone know if these tips will keep my ecommerce site secure.

Odpowiedz
- Editorial Staff
  
  paź 29, 2009 at 11:53 am
  
  Make sure that you have SSL Protection on your e-commerce site for all transactions. These are only to protect your admin area.
  
  Odpowiedz
  
  Admin
Ursula Comeau

paź 11, 2009 at 3:09 pm

Wow – this is an AWESOME post! Thank you so much for sharing all this information – and some great plugins as well!

In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.

Odpowiedz
Lilia

wrz 7, 2009 at 5:16 pm

The problem with plugins is that they’re not always compatible with every version, and they aren’t always updated.

Odpowiedz
- Editorial Staff
  
  wrz 7, 2009 at 5:19 pm
  
  Most plugins are compatible with newer versions, and if the developer decides to leave development of the plugin, others often pick up and create a plugin with fixes for the future releases. You just have to stay active in the community.
  
  Odpowiedz
  
  Admin
Smashing Themes

sie 31, 2009 at 10:57 pm

Seriously guys, change your site name to WP ROCKER, you guys rock hard. I installed three plugins to protect my admin panel after reading this great post.

Odpowiedz
Dagmar

sie 26, 2009 at 1:17 am

There are also some paid plugins – i.e. “WP Secure” which also claims it is going to make your WP secure from hackers. It also works on the summary of couple of the principles above – i.e. custom made login page, one IP confirmation etc.

Is it worthy to purchase? = anybody knows if it is easier to use for non-techie than some of the above mentioned?

Odpowiedz
- Editorial Staff
  
  sie 26, 2009 at 4:44 am
  
  If you can do the work for free then what is the point in paying?
  
  Odpowiedz
  
  Admin
iHacks

sie 25, 2009 at 10:56 pm

Link to WordPress Firewall Plugin?

Odpowiedz
- Editorial Staff
  
  sie 26, 2009 at 4:44 am
  
  It is working now.
  
  Odpowiedz
  
  Admin
Kjetil

sie 23, 2009 at 7:21 am

Hi
Thanks a lot for your tips.
Regarding tip 8, I wonder how to insert the code
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
What is the complete function to use?
I’d like to try since I already use AskApache Password Protect and that plugin is incompatible with Secure WordPress.
Thanks,
Kjetil
– http://www.dolcevita.no

Odpowiedz
- Editorial Staff
  
  sie 23, 2009 at 11:03 am
  
  You go to functions.php and insert that code. Thats all if we understand your question clearly. If this has not answered it, then please reply to the comment and we will surely take a look at it.
  
  Odpowiedz
  
  Admin
Robinoz

sie 21, 2009 at 8:22 pm

Thanks for this invaluable information. I’ve just suffered a malware attack that put my blog off line for a day or two while I had my WordPress programmer sort it out. Ver inconvenient.

I’ll be implementing some of the suggestions you’ve made in the next day or so.

Robinoz
http://www.e1jobs-blog.com (All About Jobs blog”

Odpowiedz
secure server

sie 21, 2009 at 6:04 pm

good tips for securing wordpress. as time goes we are going to see hosts either become more stringent and secure or cms packages need to implement on install a few more security initiatives.

Odpowiedz
abbie

sie 21, 2009 at 11:31 am

Hi. You’ve written a very good post.

I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.

Odpowiedz
- Editorial Staff
  
  sie 21, 2009 at 12:18 pm
  
  We have sent you an email regarding this. We do not allow full article translation. Please summarize it and link to our article if your users want to read the full tips.
  
  Odpowiedz
  
  Admin
  - abbie
    
    sie 22, 2009 at 9:38 am
    
    Thanks for your response.
    I’ll revise my post.
    
    Odpowiedz
  - Arie
    
    paź 5, 2010 at 5:54 am
    
    Hi there..
    I want to ask something for you.
    Besides i has to use askimet, captcha word, storng psswrd, is any other way for hacker to sabotage our web.
    
    Thats my question, please repp to my mail
    Regards,
    
    Arie
    
    Odpowiedz
    - Editorial Staff
      
      paź 5, 2010 at 9:20 am
      
      Yes, if your host has vulnerabilities, then the hacker can get you down as well.
John Macpherson

sie 20, 2009 at 12:55 pm

It took me a few minutes to work this one out but you have the wrong kind of quotes around this function

add_filter(’login_errors’,create_function(’$a’, “return null;”));

It should be:

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

Other than that, great post.

Odpowiedz
jakesjohn

sie 20, 2009 at 10:27 am

What you can from Wp-PreventCopyBlogs WordPress Plugin

1.Track the visitors who try to copy your content.

2.Record the ip of the user who tries to do fraudulent copy with their landing url of your site and referral url.This can help you to do necessary measures if you notice something bad.

3.Enable Message displayed to your user upon user’s choice.

4.Disable Selection of you text and Right Click for users depending on the option.

Odpowiedz
Srecko Bradic

sie 19, 2009 at 9:53 am

I must congratulate with this excellent article!!! To be honest I know for some tips but some very important info was unknown for me until now!

Keep on good work

Odpowiedz
Soxialize

sie 18, 2009 at 5:57 pm

Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!

Odpowiedz
Heather

sie 18, 2009 at 4:09 pm

Brilliant post, I think I’ll sleep better tonight!

Odpowiedz
Henry

sie 18, 2009 at 12:48 pm

Regarding #6, if you use the following .htaccess file you will be able to login from other locations in a two-step process. This requires you to add a htpasswd file (read your server documentation).

AuthUserFile ‘some htpasswd file’
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic

order deny,allow
deny from all
Require valid-user
# whitelist Syed’s IP address
allow from xx.xx.xx.xxx
# whitelist David’s IP address
allow from xx.xx.xx.xxx
# whitelist Amanda’s IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad’s IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
Satisfy Any

The “require valid user” and “satisfy any” lines will force the Apache Server to request a Username and Password before you can access the WordPress Login screen. Please DO NOT use the same Username and Password in the htpasswd file that you use for your WordPress access, or you will defeat the purpose of the extra level of security.

Odpowiedz
- Editorial Staff
  
  sie 18, 2009 at 3:01 pm
  
  Thanks for the suggestion. Post updated with a link to this way as well
  
  Odpowiedz
  
  Admin
Laura

sie 18, 2009 at 12:21 pm

Thanks for the great article. I’m looking forward to making my own blog more secure.

Odpowiedz
A.rnaud

sie 18, 2009 at 11:26 am

I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !

Odpowiedz
- Editorial Staff
  
  sie 18, 2009 at 2:42 pm
  
  Thanks for the translation
  
  Odpowiedz
  
  Admin
Constantine

sie 18, 2009 at 11:25 am

Hi, I have been blogging for 3 years. My blog got hacked in June 2009 and google banned for 30 days, my pageviews immediately slide from 800 a day to less than 100 a day.
I highly recommend installing wordpress firewall plugin. The plugin will send your an email every time someone tries to hack your blog together with the hackers IP address. The plugin detects and blocks strange requests, redirecting the attack to the homepage.
On monday i got an email of six attempted hack attempts over the weekend. The hacker tried the admin page three times when that failed he tried searching wordspew plugin which i dont use.

To all newbies good luck

Odpowiedz
- Editorial Staff
  
  sie 18, 2009 at 2:42 pm
  
  Thanks for suggesting this one. Its now added in the post
  
  Odpowiedz
  
  Admin
- Renee Fischer
  
  cze 4, 2015 at 2:21 pm
  
  Once a hack is successful the bot or human hacker will keep your data and keep retrying your website files looking for a way back in. they will continue to be relentless. if they have happened to hack your email or computer or server they will keep going until they have hacked everything you touch. they are like cockroaches that found crumbs that led to your house.
  
  Odpowiedz
Dirk

sie 18, 2009 at 9:15 am

In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary

Odpowiedz
Typhoon

sie 18, 2009 at 6:37 am

Real a very useful article. I tweeted it.

By the way I want to ask one thing; How does Stealth Login works for guest authors?

Odpowiedz
- Editorial Staff
  
  sie 18, 2009 at 6:58 am
  
  You give them the special URL that you created if you trust them enough. For the most part, guest authors should not even be allowed in the admin panel unless they are authors of your site. If someone has written multiple posts for your site then they can be trustable so you can give them the special url /login or /googlogin or whatever you created.
  
  Most top blogs take guest posts via email and if those guest authors become regular authors, only then they are allowed in the admin panel.
  
  Odpowiedz
  
  Admin
Misao

sie 18, 2009 at 5:44 am

Thank you! Very helpful article. I will try your tips and hacks on some of my blogs.

Odpowiedz
sriganesh

sie 18, 2009 at 3:59 am

very useful. :geek: thanks for sharing. i will spred this surely

Odpowiedz
Yves

sie 18, 2009 at 3:00 am

Hi

Nice list! You may want to add the nice “One time Password” plugin for WordPress:
http://wordpress.org/extend/plugins/one-time-password/

Odpowiedz
quicoto

sie 18, 2009 at 2:38 am

Thanks for the tips

Odpowiedz
Tim

sie 18, 2009 at 2:35 am

Great tips.

For the involved readers there is an inaccuracy in #6.

“The downside to this hack is that if you ever want to access the admin panel from some other place, you won’t be able to do so unless you add that extra IP in your .htaccess file.”

If the ip-address you allow is a box you can can SSH into, you can SSH tunnel through it (I use foxyproxy, because it makes the switch very easy). Also, if you are using nginx instead of apache you can evaluate the URI w/ regular expressions to block everything from wp-app.php to wp-trackback.php (or selectively choose which ones you do not want to block). I cover this @ http://www.phrison.com/securing-arbitrary-uris/ but it is not for the unexperienced.

I have a large collection of tin-foil hats.

Odpowiedz
- Editorial Staff
  
  sie 18, 2009 at 6:07 am
  
  You are correct.
  
  Warning: New users don’t try this at all. This is for experienced users only.
  
  Odpowiedz
  
  Admin
SaigonNezumi(Kevin)

sie 18, 2009 at 12:29 am

Thanks for this piece. I have been waiting for an article like this. Adding a couple of your tips will help secure my WP sites.

Thanks again.

Odpowiedz
- Editorial Staff
  
  sie 18, 2009 at 12:48 am
  
  You are welcome Let us know which one you use and your thoughts on the process of implementing it.
  
  Odpowiedz
  
  Admin
Dana DeFazio

sie 17, 2009 at 11:07 pm

I’m wondering if there is something comparable for my blog because it is a WordPress.com site and also I have a new blog at danaddiamond.BlogSpot.com

Odpowiedz
- Editorial Staff
  
  sie 18, 2009 at 12:47 am
  
  WordPress.com does not allow you to have a lot of privileges but with their server, you are safe for the most part.
  
  Odpowiedz
  
  Admin
Tinh

sie 17, 2009 at 11:00 pm

Excellent tips and hacks, I only applied 6 of 11 tips you suggested, let me try the rest

Odpowiedz
Jo

sie 17, 2009 at 7:27 pm

This site is a happy new find for me (FYI,thanks to @Problogger on Twitter), and I’m looking forward to further exploration. This article is the kind of tight, clear writing that is too rare these days. Thanks for some genuinely helpful information.

Odpowiedz
- Editorial Staff
  
  sie 17, 2009 at 7:32 pm
  
  We are glad that you like our site, and we are also very glad that Darren found the article useful enough to tweet it. We hope you follow us on twitter so you can stay up to date with all the nice tutorials.
  
  Odpowiedz
  
  Admin
Marc

sie 17, 2009 at 6:21 pm

Wow – I’m fairly new to WP and had no idea there were so many gateways for hackers. I’m sure they won’t find their way in after adding a few of these.

Thanks.

Odpowiedz
Roger Duck

sie 17, 2009 at 9:19 am

WordPress security is a growing issue and these steps are critical for securing a WordPress site. Beefing up security helps the entire community as well as your own site to take time to implement these ideas. Well done.

Odpowiedz
Rob

sie 17, 2009 at 8:21 am

And to protect all your hard work / security features from your clients….
http://wordpress.org/extend/plugins/hide-admin-panels/

Odpowiedz
James Morrison

sie 17, 2009 at 7:52 am

A good list of vital tips to secure your site. I particularly like #8 I’ve never done this before but will from now on!

Regarding #7 – Remove ‘admin’ username:

I don’t remove the admin username, I create a new admin account then change the ‘admin’ users account type to subscriber.

That way, even if someone does crack the password it’s a useless account. If you remove it, someone can register that username…

Odpowiedz
- Kathlene
  
  sie 20, 2009 at 4:35 pm
  
  Qwerstion for James Morrison. Can you explain a bit more what you are saying and how to do it?
  
  For the staff, I have tried a number of times to get a number for the akisnet plugin and cannot seem to come by one. How is one obtained.
  
  Very nice post. I will be implementing these directly. I had one of my blogs hacked twice in 30 days once.
  
  Thanks for the great info.
  
  Odpowiedz
  - James Morrison
    
    sie 21, 2009 at 8:51 am
    
    Follow these steps:
    
    1.) Create a new user account with admin access (eg ‘James’)
    2.) Sign in with new account to WP Admin
    3.) Edit ‘admin’ users’ account and change access to subscriber
    
    That way if someone tries to compromise the admin account and succeeds they still can’t do anything bad to your site.
    
    To get an akismet key you need to sign up for one at http://www.wordpress.com
    
    Hope this helps!
    
    Odpowiedz
- Mathdelane
  
  sie 22, 2009 at 3:42 am
  
  You can always change the default “admin” username to anything you wish via phpMyadmin database. Here’s my post about it as well as my experience about blog hacking and security:
  http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
  
  Odpowiedz
Cheap Sites

sie 17, 2009 at 7:49 am

Thank you for all the suggestions, I’m working on a few big projects and this will certainly help once the blogs are up and running.

First time here and I’m loving the blog, good job!

Dan

Odpowiedz
- Editorial Staff
  
  sie 17, 2009 at 9:18 am
  
  Glad that you like it here. Feel free to make any suggestions if you ever have a question, or would like some specific topic covered at WPBeginner.
  
  Odpowiedz
  
  Admin
Flow Interactive

sie 17, 2009 at 6:44 am

Good tips. You can also move your wp_config.php file outside of the web root to provide an extra layer of security.

Odpowiedz
- Editorial Staff
  
  sie 17, 2009 at 9:20 am
  
  Yes you can do that, but in this article we were only talking about WordPress Admin Panel not the entire site in general. There are many other ways to protect your site entire WordPress blog.
  
  Odpowiedz
  
  Admin
Shabayek

sie 17, 2009 at 6:27 am

But what if you allow your blog visitors to register, and force them to log on before posting comments?

Odpowiedz
- Editorial Staff
  
  sie 17, 2009 at 9:21 am
  
  Then you cannot use the IP protect and others, but you should still use limit lockdown, not use admin username, and semisecure login.
  
  Odpowiedz
  
  Admin
Gerald Weber

sie 17, 2009 at 5:24 am

I use the limit loggin requests to my ip address. This mean that anyone that attempts to access http://www.domainname.com/wp-admin that is not making the request from my ip address will simply get a 404 page.

Odpowiedz
Blogspot to wordpress

sie 17, 2009 at 5:07 am

Hey very useful post.

Odpowiedz
MOst INteresting IDeas blog

sie 17, 2009 at 4:29 am

Useful post for my blog.

Odpowiedz
Dreyer

sie 17, 2009 at 4:11 am

A helpful list. Will be giving these a go. Better paranoid than sorry.

Odpowiedz
Rafi

sie 17, 2009 at 3:16 am

Hey this is a wonderful collection of tips and hacks, very useful. I recommend every WP blogger to go through the list and follow the steps as well as any other useful resources available elsewhere. After all we have NOT set up our blogs so someone shall take control of our lives. Damn.

Thanks for sharing, WPBeginner.

Odpowiedz
Sergej Müller

sie 17, 2009 at 3:05 am

Link to WordPress AntiVirus Protection?

Odpowiedz
- Editorial Staff
  
  sie 17, 2009 at 9:23 am
  
  No matter how much you proofread, some thing are always missed. Glad we have users like you. Link added. Thanks again.
  
  Odpowiedz
  
  Admin
  - Lolic
    
    sie 20, 2009 at 9:11 am
    
    What about aksimet and captcha systems?
    
    Odpowiedz

Nowsze komentarze »

1 2 »