Właściciele witryn muszą priorytetowo traktować bezpieczeństwo WordPress, aby chronić swoje wrażliwe dane i utrzymać zaufanie użytkowników. Jednym z bardzo skutecznych sposobów, jaki stosujemy w WPBeginner, jest zabezpieczanie hasłem naszego katalogu administracyjnego WordPress.
Katalog wp-admin to centrum dowodzenia Twojej witryny WordPress. To tutaj zarządzasz wszystkim, od treści po ustawienia, co czyni go głównym celem dla hakerów. Zabezpieczenie plików administracyjnych hasłem ochroni je przed atakami.
Ten artykuł stanowi prosty przewodnik, jak łatwo zabezpieczyć hasłem katalog wp-admin i wzmocnić bezpieczeństwo Twojej strony internetowej.
Dlaczego chronić hasłem katalog administracyjny WordPress?
Zabezpieczając hasłem katalog administracyjny WordPress, dodajesz dodatkową warstwę bezpieczeństwa do najważniejszego punktu wejścia do Twojej witryny WordPress.
Panel administracyjny WordPress jest centralnym centrum Twojej witryny. To tutaj będziesz publikować wpisy i strony, dostosowywać motyw, instalować wtyczki WordPress i wiele więcej.
Często, gdy hakerzy próbują włamać się na Twoją witrynę, robią to za pośrednictwem ekranu wp-admin, używając ataku siłowego.
Możesz pomóc chronić swoją witrynę przed potencjalnymi atakami, stosując środki bezpieczeństwa, takie jak silne hasło i ograniczanie prób logowania.
Aby zapewnić jeszcze większe bezpieczeństwo, możesz również zabezpieczyć hasłem katalog wp-admin. Następnie, gdy ktoś spróbuje uzyskać dostęp do Twojego obszaru administracyjnego, będzie musiał podać nazwę użytkownika i hasło, zanim dotrze do strony logowania WordPress.
Mając to na uwadze, przyjrzyjmy się krok po kroku, jak zabezpieczyć hasłem katalog administracyjny WordPress.
Pierwsza metoda jest zalecana dla większości użytkowników i możesz użyć poniższych szybkich linków, aby przejść bezpośrednio do metody, której chcesz użyć:
- Zabezpiecz hasłem wp-admin za pomocą prywatności katalogu (zalecane)
- Zabezpiecz hasłem wp-admin za pomocą kodu
- Rozwiązywanie problemów z ochroną hasłem wp-admin
- Bonus: Najlepsze poradniki WordPress dotyczące bezpieczeństwa wp-admin
Samouczek wideo
Jeśli wolisz pisemne instrukcje, po prostu czytaj dalej.
Metoda 1: Zabezpiecz wp-admin hasłem za pomocą prywatności katalogu (zalecane)
Najprostszym sposobem na zabezpieczenie hasłem katalogu administracyjnego WordPress jest użycie aplikacji Prywatność katalogu od Twojego dostawcy hostingu WordPress.
Najpierw musisz zalogować się do panelu swojego hostingu i kliknąć opcję „Ochrona katalogów” w sekcji Pliki panelu cPanel Twojej witryny.
Uwaga: Większość hostów internetowych korzystających z cPanel, takich jak Bluehost, będzie miała podobne kroki. Jednak Twój panel administracyjny może nieznacznie różnić się od naszych zrzutów ekranu, w zależności od dostawcy hostingu.
Spowoduje to przejście do ekranu, na którym wyświetlane są wszystkie różne katalogi na Twoim serwerze. Musisz znaleźć folder, który zawiera pliki Twojej witryny.
Dla większości właścicieli witryn można to znaleźć, klikając folder „public_html”.
Spowoduje to wyświetlenie wszystkich plików witryny, które zainstalowałeś na swoim serwerze.
Następnie musisz kliknąć folder z nazwą domeny Twojej witryny.
W tym folderze zobaczysz folder wp-admin.
Zamiast klikać nazwę folderu, musisz kliknąć przycisk „Edytuj” obok tego folderu.
Spowoduje to przejście do ekranu, na którym można włączyć ochronę hasłem.
Po prostu zaznacz pole wyboru „Zabezpiecz hasłem ten katalog”. Jeśli chcesz, możesz również nadać katalogowi nazwę, na przykład „Obszar administracyjny”, aby łatwiej go zapamiętać.
Po wykonaniu tej czynności musisz kliknąć przycisk „Zapisz”.
Spowoduje to przejście do strony, na której pojawi się komunikat potwierdzający.
Teraz musisz kliknąć przycisk „Powrót” i zostaniesz przeniesiony do ekranu, na którym możesz utworzyć użytkownika, który będzie miał dostęp do tego katalogu.
Zostaniesz poproszony o podanie nazwy użytkownika i hasła, a następnie potwierdzenie hasła. Pamiętaj, aby zapisać swoją nazwę użytkownika i hasło w bezpiecznym miejscu, takim jak aplikacja do zarządzania hasłami.
Upewnij się, że klikniesz przycisk „Zapisz”, gdy to zrobisz.
Teraz, gdy ktoś spróbuje uzyskać dostęp do Twojego katalogu wp-admin, zostanie poproszony o podanie nazwy użytkownika i hasła, które utworzyłeś powyżej.
Metoda 2: Zabezpiecz wp-admin hasłem za pomocą kodu
Możesz również zabezpieczyć hasłem katalog administracyjny WordPress ręcznie. Aby to zrobić, musisz utworzyć dwa pliki o nazwach .htpasswd i .htaccess.
Uwaga: Dodawanie jakiegokolwiek kodu do witryny WordPress może być niebezpieczne. Nawet drobny błąd może spowodować poważne problemy na Twojej stronie internetowej. Zalecamy tę metodę tylko zaawansowanym użytkownikom.
Tworzenie pliku .htaccess
Najpierw otwórz swój ulubiony edytor tekstu i nazwij nowy plik .htaccess.
Następnie musisz skopiować poniższy fragment kodu i dodać go do pliku:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Upewnij się, że zmienisz ścieżkę „AuthUserFile” na lokalizację, w której przesłasz plik .htpasswd, i zmień „yourusername” na nazwę użytkownika, której chcesz użyć do zalogowania.
Nie zapomnij zapisać pliku po zakończeniu.
Tworzenie pliku .htpasswd
Po wykonaniu tej czynności musisz utworzyć plik .htpasswd.
Aby to zrobić, otwórz edytor tekstu i utwórz plik o nazwie .htpasswd. Ten plik będzie zawierał Twoją nazwę użytkownika wraz z zaszyfrowanym hasłem.
Najprostszym sposobem na wygenerowanie zaszyfrowanego hasła jest użycie generatora htpasswd.
Po prostu wprowadź swoją nazwę użytkownika i hasło, wybierz format szyfrowania i kliknij przycisk „Utwórz plik .htpasswd”.
Generator htpasswd wyświetli linię tekstu, którą musisz wkleić do swojego pliku .htpasswd. Upewnij się, że zapisałeś plik po wykonaniu tej czynności.
Przesyłanie plików .htaccess i .htpasswd do katalogu wp-admin
Ostatnim krokiem jest przesłanie obu utworzonych plików do folderu wp-admin Twojej witryny.
Aby połączyć się z kontem hostingowym WordPress, będziesz potrzebować klienta FTP lub narzędzia do zarządzania plikami online udostępnianego przez Twojego dostawcę hostingu. Więcej szczegółów znajdziesz w naszym przewodniku dla początkujących na temat jak używać FTP do przesyłania plików do WordPress.
W tym samouczku użyjemy FileZilla, ponieważ jest darmowy i działa zarówno na Macu, jak i na Windowsie.
Po połączeniu z Twoją stroną internetową zobaczysz pliki na swoim komputerze w lewym oknie i pliki na Twojej stronie internetowej po prawej stronie. Po lewej stronie musisz przejść do lokalizacji, w której zapisałeś pliki .htaccess i .htpasswd.
Następnie po prawej stronie musisz przejść do katalogu wp-admin witryny, którą chcesz chronić. Większość użytkowników będzie musiała dwukrotnie kliknąć folder public_html, następnie folder z nazwą swojej domeny, a następnie folder wp-admin.
Teraz możesz wybrać dwa pliki po lewej stronie i kliknąć „Prześlij” w menu prawego przycisku myszy lub po prostu przeciągnąć pliki do lewego okna.
Teraz Twój katalog „wp-admin” będzie chroniony hasłem.
Rozwiązywanie problemów z ochroną hasłem wp-admin
W zależności od konfiguracji serwera i strony internetowej, istnieje szansa, że napotkasz błędy WordPress. Błędy te można naprawić, ostrożnie dodając kod do pliku .htaccess.
Uwaga: Jest to plik .htaccess znajdujący się w głównym folderze Twojej witryny, a nie ten, który przesłałeś do folderu „wp-admin”. Jeśli masz problem ze znalezieniem go, zapoznaj się z naszym przewodnikiem dlaczego nie możesz znaleźć .htaccess i jak go zlokalizować.
Naprawianie błędu braku działania Ajax
Jednym z najczęstszych błędów jest to, że funkcjonalność Ajax może przestać działać na froncie Twojej strony. Jeśli masz wtyczki WordPress, które wymagają Ajax, takie jak wyszukiwanie Ajax na żywo lub formularze kontaktowe Ajax, zauważysz, że te wtyczki przestaną działać.
Aby to naprawić, po prostu dodaj następujący kod do pliku .htaccess znajdującego się w folderze wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Naprawianie błędu 404 i błędu zbyt wielu przekierowań
Dwa inne błędy, na które możesz natrafić, to błąd 404 i błąd zbyt wielu przekierowań.
Najprostszym sposobem na ich naprawienie jest otwarcie głównego pliku .htaccess znajdującego się w katalogu Twojej witryny i dodanie następującej linii kodu przed regułami WordPress:
ErrorDocument 401 default
Bonus: Najlepsze poradniki WordPress dotyczące bezpieczeństwa wp-admin
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin). Możesz zapoznać się z dalszymi poradnikami dotyczącymi zwiększenia bezpieczeństwa obszaru administracyjnego:
- Jak ograniczyć dostęp do panelu administracyjnego WordPress według adresu IP
- Kluczowe wskazówki dotyczące ochrony obszaru administratora WordPress (zaktualizowane)
- Jak dodać niestandardowy adres URL logowania w WordPress (krok po kroku)
- Jak i dlaczego powinieneś ograniczyć próby logowania w WordPressie
- Jak dodać uwierzytelnianie dwuskładnikowe w WordPress (metoda darmowa)
- Jak dodać pytania zabezpieczające do ekranu logowania WordPress
- Jak wymusić na użytkownikach zmianę haseł w WordPress – wygaśnięcie hasła
- Jak zresetować hasła wszystkich użytkowników w WordPress
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
tom
To może być głupie pytanie, ale zastanawiam się teraz – mam powyższą konfigurację zastosowaną do mojej strony internetowej i działa dobrze, ale załóżmy, że bot będzie próbował siłowo złamać ten dodatkowy obszar logowania, a ja próbowałem tego ręcznie przez jakiś czas i mój serwer nie zablokował mojego IP ani nic z tych rzeczy. Więc technicznie rzecz biorąc, atak siłowy na ten obszar mógłby trwać „wiecznie”, a to z kolei mogłoby spowolnić moją stronę internetową w jakiś sposób, czy nie? Jeśli tak, to szkoda, bo poświęciłem kilka godzin na jego skonfigurowanie i byłem zachwycony tą dodatkową warstwą ochrony…
Wsparcie WPBeginner
Chociaż jest to możliwe, załadowanie logowania do obszaru wp-admin wymaga znacznie mniej zasobów niż strona logowania do WordPress, co oznacza, że wymagałoby znacznie więcej od ataku brute force, aby wpłynąć na szybkość Twojej witryny.
Admin
Dayo Olobayo
Nie jestem zbyt techniczna, ale cieszę się, że uwzględniłeś opcję korzystania z aplikacji Directory Privacy. To brzmi znacznie łatwiej niż tworzenie tych plików .htaccess. Dziękuję.
Mrteesurez
Dzięki. Uważam, że było to pomocne.
Chciałbym zapytać, czy wszystkie metody oferują ten sam poziom bezpieczeństwa, wolałbym i poleciłbym trzymać się pierwszej metody, ponieważ wydaje się ona łatwa i prosta.
Czy jest jakiś lepszy od drugiego??
Wsparcie WPBeginner
Są to różne metody osiągnięcia tego samego rezultatu, więc zależałoby to od Twoich preferencji, którą z nich byś wybrał.
Admin
Mark
Czy jest jakiś sposób, aby hakerzy uzyskali dostęp do tego hasła, a nawet je zmienili, tak jak w phpMyAdmin?
Wsparcie WPBeginner
Będą potrzebować dostępu do Twojego dostawcy hostingu lub plików witryny do tego przewodnika.
Admin
Salman
Zmieniłem mój adres URL logowania za pomocą wtyczki „WPS Hide Login”. Powiedzmy, że poprzedni adres URL kończył się na wp-admin/, a nowy adres URL kończy się na hidden/, jak teraz mogę zabezpieczyć hasłem ten nowy adres URL?
Wsparcie WPBeginner
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Admin
Jiří Vaněk
WPShide nie tworzy nowego folderu, ja też tego używam. Folder wp-admin nadal znajduje się na serwerze i jest funkcjonalny. Więc jeśli używasz WPSHide, zabezpiecz folder wp-admin dokładnie w ten sam sposób.
Jiří Vaněk
Dobrą praktyką jest również zmiana nazwy adresu URL panelu administracyjnego WordPress i wybranie innej nazwy użytkownika administratora niż „admin”. Zmiana adresu URL utrudnia atakującym zlokalizowanie panelu administracyjnego, a nieużywanie „admin” jako administratora zmniejsza ryzyko udanego ataku siłowego.
Wsparcie WPBeginner
Posiadanie nazwy użytkownika innej niż admin jest zdecydowanie zalecane, ale zmiana adresu URL wp-admin nie zawsze jest zalecana, ponieważ może to powodować problemy z niektórymi wtyczkami, a także utrudniać rozwiązywanie problemów.
Admin
Jose
Poprawka Ajax zadziałała dobrze. Wielkie dzięki za to.
Wsparcie WPBeginner
Glad our article could help
Admin
Umer Yaseen
Co jeśli ktoś uzyska dostęp do naszego katalogu administracyjnego WordPress, wpisując mywebsite.com/wp-login.php zamiast mywebsite.com/wp-admin. Ta metoda chroni tylko wp-admin, a nie chroni wp-login.php. Więc jak to jest przydatne?
Wsparcie WPBeginner
To wyświetliłoby ten sam monit dla użytkowników próbujących zalogować się za pomocą wp-login.php
Admin
nadia
jesteś najlepszy. dzięki tysiąc razy jak zawsze.
Wsparcie WPBeginner
Glad you’ve found our content helpful
Admin
Lordemmaculate
Chcę to zrobić, ale mój serwer to Nginx, a nie Apache, więc nie mogę używać .htaccess
Wsparcie WPBeginner
We’ll see if we can add a method for that type of server when we update this article
Admin
Rajah
Pierwsza metoda przez cPanel zadziałała jak marzenie. Jednak po ponownym wylogowaniu się z WP i ponownym zalogowaniu nie pyta ponownie o hasło katalogu. Czy ma pytać tylko raz?
Wsparcie WPBeginner
Twoje pliki cookie/pamięć podręczna zapamiętają informacje o logowaniu. Zazwyczaj następnym razem, gdy uruchomisz komputer, będziesz musiał ponownie się zalogować.
Admin
Webo
Bardzo dobrze, Dziękuję…
Wsparcie WPBeginner
You’re welcome
Admin
Izzy
„Password Protect Directories” nie ma na moim cPanel w sekcji „security”, więc spróbowałem ręcznie, ale wydaje się, że to nie działa, ponieważ nie pyta o login, gdy otwieram wp-admin…
Wsparcie WPBeginner
Jeśli skontaktujesz się ze swoim dostawcą hostingu, powinien on być w stanie pomóc i sprawdzić, czy nie ma powodu, dla którego coś nie działa.
Admin
Ahsan Ali
Dzięki za twoje wysiłki!
Użyłem metody cpanel, działa dobrze, ale problem polega na tym, że monit o hasło pojawia się na każdej stronie mojej strony internetowej!
Co mam zrobić, aby pojawiało się tylko na stronie wp-admin?
Wsparcie WPBeginner
Wygląda na to, że zabezpieczyłeś hasłem folder public_html zamiast folderu wp-admin. Powinieneś usunąć obecne zabezpieczenie i spróbować skonfigurować je ponownie.
Admin