Nu există nimic mai rău decât să descoperi că site-ul tău a fost compromis. Zona de administrare WordPress este punctul principal de intrare pentru hackeri, făcând-o cea mai critică parte a site-ului tău de protejat.
Știm că poate fi stresant să te gândești la atacuri de tip brute force sau la furtul de date. Mulți proprietari de site-uri web se tem că nu au abilitățile tehnice necesare pentru a-și securiza corespunzător tabloul de bord.
Vestea grozavă este că nu trebuie să fii un profesionist în securitate pentru a avea un impact uriaș. Din experiența noastră în gestionarea a mii de site-uri WordPress, am constatat că câteva modificări simple sunt tot ce este necesar pentru a construi o apărare solidă.
În acest ghid, vă vom prezenta cele mai eficiente sfaturi pentru securizarea zonei dvs. de administrare. Acești pași simpli vă vor oferi liniște sufletească și vor menține site-ul dvs. în siguranță.
Vom acoperi multe sfaturi și puteți folosi linkurile rapide de mai jos pentru a sări între ele:
- 1. Utilizați un firewall
- 2. Protejează prin parolă directorul de administrare WordPress
- 3. Folosiți întotdeauna parole puternice
- 4. Folosește verificarea în doi pași pe ecranul de autentificare WordPress
- 5. Limitează încercările de autentificare
- 6. Limitați accesul la autentificare la adrese IP
- 7. Dezactivați indiciile de conectare
- 8. Cere utilizatorilor să folosească parole puternice
- 9. Resetare parolă pentru toți utilizatorii
- 10. Păstrează WordPress actualizat
- 11. Creează pagini personalizate de autentificare și înregistrare
- 12. Aflați despre rolurile și permisiunile utilizatorilor WordPress
- 13. Limitați accesul la tabloul de bord WordPress
- 14. Deconectează utilizatorii inactivi
- Întrebări frecvente despre securizarea administratorului WordPress
- Resurse suplimentare pentru securitatea WordPress
1. Utilizați un firewall
Un firewall pentru aplicații web (WAF) monitorizează traficul site-ului dumneavoastră și blochează cererile suspecte înainte ca acestea să ajungă la serverul dumneavoastră. Aceasta este prima linie de apărare împotriva tentativelor de hacking.
Deși există mai multe plugin-uri de firewall pentru WordPress, recomandăm un firewall la nivel DNS, cum ar fi Cloudflare. Firewall-urile la nivel DNS sunt mai eficiente, deoarece blochează amenințările la marginea rețelei, astfel încât traficul malițios să nu ajungă niciodată la site-ul dvs.
La WPBeginner, folosim planul enterprise Cloudflare pentru a proteja site-ul nostru de încercările de hacking, malware și alte activități malițioase. Pentru instrucțiuni de configurare pas cu pas, consultați articolul nostru despre cum să configurați CDN-ul gratuit Cloudflare pentru site-ul dvs.
O altă opțiune excelentă este Sucuri, pe care am folosit-o anterior. Pentru mai multe detalii, consultați articolul nostru despre de ce am trecut de la Sucuri la Cloudflare.
2. Protejează prin parolă directorul de administrare WordPress
Un alt sfat pe care l-am considerat extrem de eficient este adăugarea protecției prin parolă la directorul de administrare WordPress. Aceasta adaugă un al doilea strat de apărare, necesitând două parole separate pentru a accesa tabloul de bord.
Puteți face acest lucru din panoul de control al găzduirii web WordPress. Iată pașii pentru cPanel:
- Autentifică-te în panoul de control cPanel al găzduirii tale WordPress și dă clic pe pictograma „Confidențialitate directoare”.
- Selectați folderul
wp-admin, care se găsește de obicei în directorul/public_html/. - Bifați căsuța de lângă „Protejați acest director cu parolă” și furnizați un nume pentru acesta.
- Faceți clic pe „Salvează”, apoi reveniți pentru a crea un utilizator cu un nume de utilizator și o parolă noi.
Acum, oricine încearcă să acceseze pagina de autentificare a administratorului va vedea mai întâi o solicitare de autentificare.
Acest lucru blochează majoritatea atacurilor automate de roboți.
Pentru instrucțiuni mai detaliate, consultați ghidul nostru despre cum să protejați cu parolă directorul de administrare WordPress (wp-admin). Vă rugăm să rețineți că acești pași sunt pentru gazdele care utilizează cPanel. Dacă utilizați un alt panou de control, verificați documentația gazdei dumneavoastră.
3. Folosiți întotdeauna parole puternice
Trebuie să folosești parole puternice și complexe pentru toate conturile tale WordPress. Parolele slabe sunt unul dintre cele mai frecvente motive pentru care site-urile web sunt sparte.
O parolă puternică folosește o combinație de litere mari și mici, cifre și caractere speciale (!, #, @, %, etc.). Cu cât este mai lungă, cu atât va fi mai sigură.
Este aproape imposibil să reții zeci de parole complexe. De aceea, întreaga noastră echipă de la WPBeginner folosește o aplicație de gestionare a parolelor precum 1Password pentru a genera și stoca în siguranță parole unice pentru fiecare serviciu.
Pentru mai multe informații despre acest subiect, consultați ghidul nostru despre cel mai bun mod de a gestiona parolele pentru începătorii WordPress.
4. Folosește verificarea în doi pași pe ecranul de autentificare WordPress
Verificarea în doi pași, cunoscută și sub denumirea de autentificare în doi factori (2FA), adaugă un alt strat critic de securitate. Folosim 2FA nu doar pe site-urile noastre WordPress, ci și pe toate conturile noastre online unde opțiunea este disponibilă.
După ce introduceți parola, trebuie să furnizați și un cod sensibil la timp, generat de o aplicație de pe telefon, cum ar fi 1Password sau Authenticator. Chiar dacă un hacker vă fură parola, nu va putea să se conecteze fără telefonul dvs.
Pentru instrucțiuni detaliate, pas cu pas, consultați ghidul nostru despre cum să configurați verificarea în 2 pași în WordPress folosind Google Authenticator.
5. Limitează încercările de autentificare
În mod implicit, WordPress permite utilizatorilor să încerce să se autentifice de câte ori doresc. Acest lucru permite hackerilor să folosească scripturi automate pentru a încerca mii de combinații de parole într-un proces cunoscut sub numele de „atac prin forță brută”.
Puteți opri cu ușurință acest lucru instalând pluginul Limit Login Attempts Reloaded. După activare, accesați Setări » Limit Login Attempts pentru a configura câte încercări eșuate sunt permise înainte ca o adresă IP să fie blocată temporar.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre de ce ar trebui să limitați încercările de conectare în WordPress.
Pentru a afla mai multe despre plugin, puteți consulta, de asemenea, recenzia noastră detaliată Limit Login Attempts.
6. Limitați accesul la autentificare la adrese IP
Atenție: Aceasta este o tehnică avansată și ar trebui utilizată doar dacă aveți o adresă IP statică (fixă). Majoritatea conexiunilor de internet de acasă folosesc IP-uri dinamice care se schimbă în mod regulat. Dacă folosiți această metodă cu un IP dinamic, vă veți bloca singur accesul la propriul site web.
Dacă aveți un IP fix, puteți restricționa accesul la zona dvs. de administrare doar la acel adresă. Pur și simplu adăugați acest cod la fișierul dvs. .htaccess:
Nu uitați să înlocuiți valorile „xx” cu propriul dvs. adresă IP. Puteți găsi cu ușurință adresa IP curentă căutând „care este adresa mea IP” pe Google. Dacă utilizați mai mult de o adresă IP, asigurați-vă că le adăugați și pe acestea.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să limitați accesul la administrarea WordPress folosind .htaccess.
7. Dezactivați indiciile de conectare
Când o autentificare eșuează, WordPress vă spune dacă numele de utilizator sau parola a fost incorectă. Deși util pentru utilizatori, aceste indicii confirmă, de asemenea, un nume de utilizator valid unui atacator, facilitându-i munca.
Puteți ascunde aceste indicii adăugând următorul cod în fișierul functions.php al temei dvs. Cu toate acestea, recomandăm utilizarea unui plugin pentru fragmente de cod, cum ar fi WPCode. Este o modalitate mult mai sigură de a gestiona codul personalizat, fără a risca erori pe site.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Pentru mai multe detalii, consultați ghidul nostru despre cum să adăugați ușor cod personalizat în WordPress fără a vă strica site-ul.
8. Cere utilizatorilor să folosească parole puternice
Dacă administrați un site WordPress cu mai mulți autori, un singur utilizator cu o parolă slabă poate crea o vulnerabilitate pentru toată lumea. Puteți impune o politică de parole puternice pentru a preveni acest lucru.
Pentru a face acest lucru, puteți instala și activa pluginul Solid Security (cunoscut anterior sub numele de iThemes Security), realizat de echipa SolidWP.
Apoi, puteți urma pașii din ghidul nostru complet despre cum să forțați parole puternice pentru utilizatorii din WordPress.
9. Resetare parolă pentru toți utilizatorii
Pentru site-urile WordPress multi-utilizator, puteți îmbunătăți securitatea forțând toți utilizatorii să își reseteze parolele. Acest lucru este deosebit de util dacă suspectați o breșă de securitate sau doriți pur și simplu să impuneți o nouă politică de parole.
Mai întâi, instalați și activați pluginul Emergency Password Reset. După activare, accesați pagina Utilizatori » Resetare Urgență Parolă și faceți clic pe butonul „Resetează Toate Parolele”.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să resetați parolele pentru toți utilizatorii din WordPress.
10. Păstrează WordPress actualizat
WordPress lansează frecvent versiuni noi pentru a adăuga funcționalități și a remedia vulnerabilități de securitate. Rularea unei versiuni învechite de WordPress, a plugin-urilor sau a temei dvs. este unul dintre cele mai mari riscuri de securitate pe care le puteți asuma.
Asigurați-vă întotdeauna că utilizați cea mai recentă versiune a software-ului de bază WordPress, precum și a tuturor plugin-urilor și temelor dvs. Pentru mai multe informații despre acest subiect, consultați ghidul nostru despre de ce ar trebui să folosiți întotdeauna cea mai recentă versiune de WordPress.
11. Creează pagini personalizate de autentificare și înregistrare
Pentru site-urile care necesită înregistrarea utilizatorilor, cum ar fi site-urile de membru sau magazinele online, ar trebui să creați pagini personalizate de autentificare și înregistrare.
Acest lucru împiedică utilizatorii non-admin să vadă sau să acceseze vreodată ecranul implicit de conectare WordPress. Oferă o experiență de utilizare mai profesională și vă permite să blocați complet accesul standard la wp-admin fără a afecta membrii sau clienții dvs.
Cel mai simplu mod de a face acest lucru este cu un plugin precum WPForms, care are un puternic add-on de înregistrare a utilizatorilor. Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să creați pagini personalizate de conectare și înregistrare în WordPress.
12. Aflați despre rolurile și permisiunile utilizatorilor WordPress
WordPress are un sistem de gestionare a utilizatorilor încorporat, cu diferite roluri și permisiuni. Atribuirea rolului greșit poate oferi unui utilizator mult mai multe permisiuni decât are nevoie, creând un risc potențial de securitate.
Este important să înțelegeți ce poate face fiecare rol înainte de a adăuga utilizatori pe site-ul dvs. Iată cele 5 roluri implicite:
- Administrator: Are acces complet la toate setările și conținutul site-ului.
- Editor: Poate publica și gestiona toate postările, inclusiv pe cele ale altor utilizatori.
- Autor: Poate publica și gestiona doar propriile postări.
- Contributor: Poate scrie și gestiona propriile postări, dar nu le poate publica.
- Abonat: Poate doar să se autentifice și să își gestioneze propriul profil.
Pentru o prezentare completă, consultați ghidul nostru pentru începători despre rolurile și permisiunile utilizatorilor WordPress.
13. Limitați accesul la tabloul de bord WordPress
Pe unele site-uri, anumiți utilizatori s-ar putea să nu aibă deloc nevoie de acces la tabloul de bord WordPress. În mod implicit, orice utilizator se poate autentifica și poate vedea zona de administrare, chiar dacă capabilitățile sale sunt limitate.
Pentru a remedia acest lucru, instalați și activați pluginul Remove Dashboard Access. După activare, accesați Setări » Acces la tabloul de bord și selectați ce roluri de utilizator pot accesa zona de administrare. Ceilalți pot fi redirecționați către pagina principală sau alt URL.
Pentru instrucțiuni mai detaliate, consultați ghidul nostru despre cum să limitați accesul la tabloul de bord în WordPress.
14. Deconectează utilizatorii inactivi
Utilizatorii conectați care își părăsesc computerele pot reprezenta un risc de securitate. Dacă computerul lor este public sau partajat, altcineva ar putea accesa contul lor.
Puteți rezolva acest lucru instalând pluginul Inactive Logout. Accesați Setări » Inactive Logout și setați un interval de timp. După acea perioadă de inactivitate, utilizatorii vor fi deconectați automat.
Pentru mai multe detalii, consultați articolul nostru despre cum să deconectați automat utilizatorii inactivi în WordPress.
Întrebări frecvente despre securizarea administratorului WordPress
Care este cel mai important pas pentru a securiza zona de administrare WordPress?
Utilizarea unui Web Application Firewall (WAF) este cel mai critic prim pas. Un firewall bun, precum Cloudflare sau Sucuri, blochează traficul malițios înainte ca acesta să ajungă la site-ul tău, prevenind o gamă largă de atacuri.
Este cu adevărat necesară protejarea prin parolă a directorului wp-admin?
Deși nu este obligatoriu, este extrem de eficient. Adaugă un al doilea strat de autentificare care oprește aproape toți roboții automați care încearcă să vă atace pagina de conectare prin forță brută. Este o schimbare simplă care sporește semnificativ securitatea.
Pot fi blocat de pe propriul meu site urmând aceste sfaturi?
Da, dacă nu ești atent. Sfatul de a limita accesul la autentificare la adrese IP specifice este doar pentru utilizatorii avansați cu un IP static. Dacă utilizați o adresă IP normală, dinamică, vă veți bloca singur. Faceți întotdeauna o copie de rezervă a site-ului dvs. înainte de a edita fișiere precum .htaccess.
Resurse suplimentare pentru securitatea WordPress
Sperăm că acest articol v-a ajutat să învățați câteva sfaturi și trucuri noi pentru a vă proteja zona de administrare WordPress.
De asemenea, ați putea dori să consultați celelalte ghiduri ale experților noștri pentru a vă menține site-ul în siguranță:
- Ghidul complet de securitate WordPress – Pas cu Pas
- Cele mai bune plugin-uri de securitate WordPress pentru a vă proteja site-ul (comparativ)
- Cum să scanezi site-ul tău WordPress pentru cod potențial malițios
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Danang Sukma
Mulțumesc pentru postarea ta.
Folosesc protecția prin parolă pentru folderul meu wp-admin în cpanel, este suficient?
mby
uh ce informație utilă, băieți, sigur poate ajuta!!
Mulțumesc pentru postare! ^_^
anthony
Aceasta este o informație excelentă pe care o voi implementa cât mai curând posibil! Am experimentat deja faptul că blogul meu a fost spart, așa că am fost îngrijorat de aceste probleme. Mulțumesc mult!!
shoaib hussain
omule, mă mut de la un post la altul pe blogul tău și îmi place foarte mult. Mulțumesc mult. Cred că va trebui să mă abonez acum.
tzutzu
Postare MINUNATĂ!! Mulțumesc pentru aceste informații
Marlin
Mulțumesc, listă bună, aceasta va ajuta cu siguranță la securizarea panoului de administrare WordPress.
Abhilash Thekkel
Sfaturi foarte utile. Mulțumesc
Jessica
Învăț în prezent dezvoltare wp. Vreau să fac un site de comerț electronic cu WordPress folosind pluginul WP e-Commerce. Știe cineva dacă aceste sfaturi vor menține securitatea site-ului meu de comerț electronic?
Personal editorial
Asigurați-vă că aveți protecție SSL pe site-ul dvs. de comerț electronic pentru toate tranzacțiile. Acestea sunt doar pentru a vă proteja zona de administrare.
Admin
Ursula Comeau
Wow – acesta este un post MINUNAT! Vă mulțumesc mult pentru că ați împărtășit toate aceste informații – și câteva pluginuri grozave!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
Problema cu pluginurile este că nu sunt întotdeauna compatibile cu fiecare versiune și nu sunt întotdeauna actualizate.
Personal editorial
Majoritatea pluginurilor sunt compatibile cu versiunile mai noi, iar dacă dezvoltatorul decide să renunțe la dezvoltarea pluginului, alții preiau adesea și creează un plugin cu remedieri pentru viitoarele versiuni. Trebuie doar să rămâneți activ în comunitate.
Admin
Smashing Themes
Serios, schimbați numele site-ului dvs. la WP ROCKER, sunteți grozavi. Am instalat trei pluginuri pentru a-mi proteja panoul de administrare după ce am citit acest post grozav.
Dagmar
Există și unele plugin-uri plătite – de ex. „WP Secure” care pretinde, de asemenea, că va securiza WP-ul dvs. împotriva hackerilor. Acesta funcționează, de asemenea, pe baza rezumatului câtorva dintre principiile de mai sus – de ex. pagină de autentificare personalizată, confirmare IP unică etc.
Merită să-l cumpăr? = știe cineva dacă este mai ușor de utilizat pentru non-tehnici decât unele dintre cele menționate mai sus?
Personal editorial
Dacă puteți face munca gratuit, atunci care este rostul să plătiți?
Admin
iHacks
Link către plugin-ul WordPress Firewall?
Personal editorial
Funcționează acum.
Admin
Kjetil
Salut
Mulțumesc mult pentru sfaturile tale.
Referitor la sfatul 8, mă întreb cum să inserez codul
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
Care este funcția completă de utilizat?
Aș dori să încerc, deoarece folosesc deja AskApache Password Protect și acel plugin este incompatibil cu Secure Wordpress.
Mulțumesc,
Kjetil
– http://www.dolcevita.no
Personal editorial
Mergi la functions.php și inserezi acel cod. Asta e tot dacă am înțeles corect întrebarea ta. Dacă aceasta nu a răspuns la ea, atunci te rugăm să răspunzi la comentariu și cu siguranță ne vom uita la el.
Admin
Robinoz
Mulțumesc pentru aceste informații neprețuite. Tocmai am suferit un atac malware care mi-a scos blogul offline pentru o zi sau două, în timp ce programatorul meu Wordpress îl rezolva. Foarte incomod.
Voi implementa unele dintre sugestiile pe care le-ați făcut în următoarele zile.
Robinoz
http://www.e1jobs-blog.com (Blogul „All About Jobs”
server securizat
sfaturi bune pentru securizarea wordpress. pe măsură ce timpul trece, vom vedea gazdele devenind mai stricte și mai sigure sau pachetele CMS trebuie să implementeze la instalare câteva inițiative de securitate suplimentare.
abbie
Salut. Ai scris un post foarte bun.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Personal editorial
V-am trimis un e-mail în legătură cu acest lucru. Nu permitem traducerea completă a articolelor. Vă rugăm să rezumați și să legați la articolul nostru dacă utilizatorii dvs. doresc să citească sfaturile complete.
Admin
abbie
Thanks for your response.
I’ll revise my post.
Arie
Salut..
Vreau să te întreb ceva.
Pe lângă faptul că trebuie să folosesc askimet, captcha word, parolă puternică, există vreo altă modalitate ca hackerii să ne saboteze site-ul.
Aceasta este întrebarea mea, vă rog să răspundeți pe emailul meu
Cu stimă,
Arie
Personal editorial
Da, dacă gazda dvs. are vulnerabilități, atunci hackerul vă poate doborî și pe dvs.
John Macpherson
Mi-a luat câteva minute să înțeleg asta, dar ai folosit greșit ghilimelele în jurul acestei funcții
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Ar trebui să fie:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
În afară de asta, postare excelentă.
jakesjohn
Ce poți face cu pluginul Wordpress Wp-PreventCopyBlogs
1. Urmăriți vizitatorii care încearcă să vă copieze conținutul.
2. Înregistrați IP-ul utilizatorului care încearcă să facă o copiere frauduloasă cu URL-ul de destinație al site-ului dvs. și URL-ul de referință. Acest lucru vă poate ajuta să luați măsurile necesare dacă observați ceva rău.
3. Activați mesajul afișat utilizatorului la alegerea acestuia.
4. Dezactivați selecția textului dvs. și clic dreapta pentru utilizatori, în funcție de opțiune.
Srecko Bradic
Felicitări pentru acest articol excelent!!! Sincer, știam câteva sfaturi, dar unele informații foarte importante îmi erau necunoscute până acum!
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Postare genială, cred că voi dormi mai bine diseară!
Henry
Referitor la #6, dacă folosiți următorul fișier .htaccess, veți putea să vă conectați din alte locații printr-un proces în doi pași. Acest lucru necesită adăugarea unui fișier htpasswd (consultați documentația serverului dvs.).
AuthUserFile ‘fișier htpasswd’
AuthGroupFile /dev/null
AuthName “Control acces administrator WordPress”
AuthType Basic
ordine neagă,permite
neagă de la toți
Cere utilizator valid
# listează adresa IP a lui Syed
permite de la xx.xx.xx.xxx
# listează adresa IP a lui David
permite de la xx.xx.xx.xxx
# listează adresa IP a Amandei
permite de la xx.xx.xx.xxx
# listează adresa IP a lui Muhammad
permite de la xx.xx.xx.xxx
# listează adresa IP a locului de muncă
permite de la xx.xx.xx.xxx
Satisfacere Oricare
Liniile „require valid user” și „satisfy any” vor forța serverul Apache să solicite un nume de utilizator și o parolă înainte de a putea accesa ecranul de conectare WordPress. Vă rugăm să NU utilizați același nume de utilizator și parolă din fișierul htpasswd pe care le utilizați pentru accesul dvs. WordPress, altfel veți anula scopul nivelului suplimentar de securitate.
Personal editorial
Thanks for the suggestion. Post updated with a link to this way as well
Admin
Laura
Mulțumesc pentru articolul grozav. Abia aștept să-mi fac blogul mai sigur.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Personal editorial
Thanks for the translation
Admin
Constantin
Salut, scriu pe blog de 3 ani. Blogul meu a fost spart în iunie 2009 și Google m-a interzis timp de 30 de zile, vizualizările mele au scăzut imediat de la 800 pe zi la mai puțin de 100 pe zi.
Recomand cu tărie instalarea unui plugin de firewall pentru WordPress. Pluginul vă va trimite un e-mail de fiecare dată când cineva încearcă să vă spargă blogul, împreună cu adresa IP a hackerului. Pluginul detectează și blochează cererile ciudate, redirecționând atacul către pagina principală.
Luni am primit un e-mail cu șase tentative de atac în weekend. Hackerul a încercat pagina de administrator de trei ori, iar când a eșuat, a încercat să caute pluginul wordspew pe care nu îl folosesc.
Mult noroc tuturor începătorilor
Personal editorial
Thanks for suggesting this one. Its now added in the post
Admin
Renee Fischer
Odată ce un hack are succes, botul sau hackerul uman va păstra datele tale și va continua să încerce fișierele site-ului tău, căutând o cale de a intra din nou. Vor continua să fie necruțători. Dacă au reușit să-ți hackuiască emailul, computerul sau serverul, vor continua până când vor fi hackuit tot ce atingi. Sunt ca gândacii care au găsit firimituri care au dus la casa ta.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Taifun
Foarte util articol. L-am distribuit pe Twitter.
Apropo, vreau să întreb un lucru; Cum funcționează Stealth Login pentru autorii invitați?
Personal editorial
Le oferiți URL-ul special pe care l-ați creat dacă aveți suficientă încredere în ei. În cea mai mare parte, autorii invitați nu ar trebui să aibă acces în panoul de administrare decât dacă sunt autori ai site-ului dvs. Dacă cineva a scris mai multe postări pentru site-ul dvs., atunci poate fi de încredere, astfel încât să le puteți oferi URL-ul special /login sau /googlogin sau orice altceva ați creat.
Majoritatea blogurilor de top acceptă postări de invitați prin e-mail și dacă acei autori invitați devin autori obișnuiți, doar atunci li se permite accesul în panoul de administrare.
Admin
Misao
Mulțumesc! Articol foarte util. Voi încerca sfaturile și trucurile dvs. pe câteva dintre blogurile mele.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Salut
Listă frumoasă! S-ar putea să doriți să adăugați plugin-ul "One time Password" pentru Wordpress:
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Sfaturi grozave.
Pentru cititorii implicați, există o inexactitate în #6.
Dezavantajul acestui hack este că, dacă doriți vreodată să accesați panoul de administrare dintr-un alt loc, nu veți putea face acest lucru decât dacă adăugați acel IP suplimentar în fișierul dvs. .htaccess.
Dacă adresa IP pe care o permiteți este o cutie la care puteți accesa prin SSH, puteți crea un tunel SSH prin ea (eu folosesc foxyproxy, deoarece face schimbarea foarte ușoară). De asemenea, dacă folosiți nginx în loc de apache, puteți evalua URI-ul cu expresii regulate pentru a bloca totul, de la wp-app.php la wp-trackback.php (sau pentru a alege selectiv pe cele pe care nu doriți să le blocați). Acoper acest lucru la http://www.phrison.com/securing-arbitrary-uris/, dar nu este pentru cei neexperimentați.
Am o colecție mare de căciuli din folie de aluminiu.
Personal editorial
Aveți dreptate.
Avertisment: Utilizatorii noi nu încercați acest lucru deloc. Acesta este doar pentru utilizatori experimentați.
Admin
SaigonNezumi(Kevin)
Mulțumesc pentru acest articol. Așteptam un articol de genul acesta. Adăugarea câtorva dintre sfaturile dvs. va ajuta la securizarea site-urilor mele WP.
Mulțumesc din nou.
Personal editorial
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
Admin
Dana DeFazio
Mă întreb dacă există ceva comparabil pentru blogul meu, deoarece este un site WordPress.com și am și un blog nou la danaddiamond.BlogSpot.com
Personal editorial
WordPress.com nu îți permite să ai multe privilegii, dar cu serverul lor, ești în siguranță în cea mai mare parte.
Admin
Tinh
Sfaturi și trucuri excelente, am aplicat doar 6 din 11 sfaturi pe care le-ați sugerat, voi încerca și restul
Jo
Acest site este o descoperire fericită pentru mine (pentru informarea dvs., mulțumită lui @Problogger pe Twitter) și aștept cu nerăbdare explorarea ulterioară. Acest articol este genul de scriere concisă și clară care este prea rară în zilele noastre. Mulțumesc pentru informații cu adevărat utile.
Personal editorial
Ne bucurăm că vă place site-ul nostru și ne bucurăm, de asemenea, că Darren a considerat articolul suficient de util pentru a-l twitta. Sperăm că ne veți urmări pe Twitter, astfel încât să puteți fi la curent cu toate tutorialele frumoase.
Admin
Marc
Wow – Sunt destul de nou în WP și nu aveam idee că există atât de multe porți pentru hackeri. Sunt sigur că nu-și vor găsi drumul după ce adaug câteva dintre acestea.
Mulțumesc.
Roger Duck
Securitatea WordPress este o problemă în creștere, iar acești pași sunt critici pentru securizarea unui site WordPress. Îmbunătățirea securității ajută întreaga comunitate, precum și propriul dvs. site, să ia timp pentru a implementa aceste idei. Bine făcut.
Rob
Și pentru a vă proteja toată munca depusă / funcțiile de securitate de clienții dvs….
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
O listă bună de sfaturi vitale pentru securizarea site-ului dvs. Îmi place în mod deosebit #8. Nu am făcut asta niciodată înainte, dar de acum încolo o voi face!
Referitor la #7 – Elimină numele de utilizator „admin”:
Nu elimin numele de utilizator de administrator, creez un cont de administrator nou, apoi schimb tipul de cont al utilizatorului 'admin' în abonat.
În acest fel, chiar dacă cineva reușește să spargă parola, contul este inutil. Dacă îl ștergeți, cineva poate înregistra acel nume de utilizator…
Kathlene
Întrebare pentru James Morrison. Poți explica puțin mai mult ce spui și cum să faci asta?
Pentru personal, am încercat de mai multe ori să obțin un număr pentru pluginul akisnet și nu am reușit să îl găsesc. Cum se obține unul.
Postare foarte bună. Le voi implementa direct. Unul dintre blogurile mele a fost spart de două ori în 30 de zile odată.
Mulțumesc pentru informațiile excelente.
James Morrison
Urmați acești pași:
1.) Creați un nou cont de utilizator cu acces de administrator (ex. 'James')
2.) Conectați-vă cu noul cont la WP Admin
3.) Editați contul utilizatorilor 'admin' și schimbați accesul la abonat
În acest fel, dacă cineva încearcă să compromită contul de administrator și reușește, tot nu poate face nimic rău site-ului dvs.
Pentru a obține o cheie Akismet, trebuie să vă înregistrați pentru una la http://www.wordpress.com
Sperăm că acest lucru vă ajută!
Mathdelane
Puteți schimba întotdeauna numele de utilizator implicit „admin” cu orice doriți prin baza de date phpMyadmin. Iată postarea mea despre acest subiect, precum și experiența mea despre hacking-ul blogurilor și securitate:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Site-uri ieftine
Vă mulțumesc pentru toate sugestiile, lucrez la câteva proiecte mari și acestea vor ajuta cu siguranță odată ce blogurile vor fi funcționale.
Prima dată aici și îmi place blogul, treabă bună!
Dan
Personal editorial
Mă bucur că îți place aici. Nu ezita să faci sugestii dacă ai vreodată o întrebare sau ai dori ca un anumit subiect să fie acoperit la WPBeginner.
Admin
Flow Interactive
Sfaturi bune. Puteți, de asemenea, să mutați fișierul wp_config.php în afara rădăcinii web pentru a oferi un strat suplimentar de securitate.
Personal editorial
Da, puteți face asta, dar în acest articol am vorbit doar despre panoul de administrare WordPress, nu despre întregul site în general. Există multe alte modalități de a vă proteja întregul blog WordPress.
Admin
Shabayek
Dar ce se întâmplă dacă permiteți vizitatorilor blogului dvs. să se înregistreze și îi forțați să se autentifice înainte de a posta comentarii?
Personal editorial
Atunci nu puteți folosi protecția IP și altele, dar ar trebui să folosiți în continuare limitarea accesului, să nu folosiți numele de utilizator de administrator și autentificare semi-securizată.
Admin
Gerald Weber
Folosesc limitarea cererilor de autentificare la adresa mea IP. Aceasta înseamnă că oricine încearcă să acceseze http://www.domainname.com/wp-admin care nu face cererea de la adresa mea IP va primi pur și simplu o pagină 404.
Blogspot la wordpress
Salut, postare foarte utilă.
MOst INteresting IDeas blog
Postare utilă pentru blogul meu.
Dreyer
O listă utilă. Voi încerca aceste sfaturi. Mai bine paranoic decât să regret.
Rafi
Hei, aceasta este o colecție minunată de sfaturi și trucuri, foarte utilă. Recomand fiecărui blogger WP să parcurgă lista și să urmeze pașii, precum și orice alte resurse utile disponibile în altă parte. La urma urmei, NU ne-am creat blogurile pentru ca cineva să ne controleze viețile. La naiba.
Mulțumim pentru distribuire, WPBeginner.
Sergej Müller
Link către protecția WordPress AntiVirus?
Personal editorial
Indiferent cât de mult corectezi, unele lucruri sunt mereu omise. Mă bucur că avem utilizatori ca tine. Link adăugat. Mulțumesc din nou.
Admin
Lolic
Ce zici de sistemele akismet și captcha?