Nu există nimic mai rău decât să descoperi că site-ul tău a fost compromis. Zona de administrare WordPress este punctul principal de intrare pentru hackeri, făcând-o cea mai critică parte a site-ului tău de protejat.
Știm că poate fi stresant să te gândești la atacuri de tip brute force sau la furtul de date. Mulți proprietari de site-uri web se tem că nu au abilitățile tehnice necesare pentru a-și securiza corespunzător tabloul de bord.
Vestea grozavă este că nu trebuie să fii un profesionist în securitate pentru a avea un impact uriaș. Din experiența noastră în gestionarea a mii de site-uri WordPress, am constatat că câteva modificări simple sunt tot ce este necesar pentru a construi o apărare solidă.
În acest ghid, vă vom prezenta cele mai eficiente sfaturi pentru securizarea zonei dvs. de administrare. Acești pași simpli vă vor oferi liniște sufletească și vor menține site-ul dvs. în siguranță.
Vom acoperi multe sfaturi și puteți folosi linkurile rapide de mai jos pentru a sări între ele:
- 1. Utilizați un firewall
- 2. Protejează prin parolă directorul de administrare WordPress
- 3. Folosiți întotdeauna parole puternice
- 4. Folosește verificarea în doi pași pe ecranul de autentificare WordPress
- 5. Limitează încercările de autentificare
- 6. Limitați accesul la autentificare la adrese IP
- 7. Dezactivați indiciile de conectare
- 8. Cere utilizatorilor să folosească parole puternice
- 9. Resetare parolă pentru toți utilizatorii
- 10. Păstrează WordPress actualizat
- 11. Creează pagini personalizate de autentificare și înregistrare
- 12. Aflați despre rolurile și permisiunile utilizatorilor WordPress
- 13. Limitați accesul la tabloul de bord WordPress
- 14. Deconectează utilizatorii inactivi
- Întrebări frecvente despre securizarea administratorului WordPress
- Resurse suplimentare pentru securitatea WordPress
1. Utilizați un firewall
Un firewall pentru aplicații web (WAF) monitorizează traficul site-ului dumneavoastră și blochează cererile suspecte înainte ca acestea să ajungă la serverul dumneavoastră. Aceasta este prima linie de apărare împotriva tentativelor de hacking.
Deși există mai multe plugin-uri de firewall pentru WordPress, recomandăm un firewall la nivel DNS, cum ar fi Cloudflare. Firewall-urile la nivel DNS sunt mai eficiente, deoarece blochează amenințările la marginea rețelei, astfel încât traficul malițios să nu ajungă niciodată la site-ul dvs.
La WPBeginner, folosim planul enterprise Cloudflare pentru a proteja site-ul nostru de încercările de hacking, malware și alte activități malițioase. Pentru instrucțiuni de configurare pas cu pas, consultați articolul nostru despre cum să configurați CDN-ul gratuit Cloudflare pentru site-ul dvs.
O altă opțiune excelentă este Sucuri, pe care am folosit-o anterior. Pentru mai multe detalii, consultați articolul nostru despre de ce am trecut de la Sucuri la Cloudflare.
2. Protejează prin parolă directorul de administrare WordPress
Un alt sfat pe care l-am considerat extrem de eficient este adăugarea protecției prin parolă la directorul de administrare WordPress. Aceasta adaugă un al doilea strat de apărare, necesitând două parole separate pentru a accesa tabloul de bord.
Puteți face acest lucru din panoul de control al găzduirii web WordPress. Iată pașii pentru cPanel:
- Autentifică-te în panoul de control cPanel al găzduirii tale WordPress și dă clic pe pictograma „Confidențialitate directoare”.
- Selectați folderul
wp-admin, care se găsește de obicei în directorul/public_html/. - Bifați căsuța de lângă „Protejați acest director cu parolă” și furnizați un nume pentru acesta.
- Faceți clic pe „Salvează”, apoi reveniți pentru a crea un utilizator cu un nume de utilizator și o parolă noi.
Acum, oricine încearcă să acceseze pagina de autentificare a administratorului va vedea mai întâi o solicitare de autentificare.
Acest lucru blochează majoritatea atacurilor automate de roboți.
Pentru instrucțiuni mai detaliate, consultați ghidul nostru despre cum să protejați cu parolă directorul de administrare WordPress (wp-admin). Vă rugăm să rețineți că acești pași sunt pentru gazdele care utilizează cPanel. Dacă utilizați un alt panou de control, verificați documentația gazdei dumneavoastră.
3. Folosiți întotdeauna parole puternice
Trebuie să folosești parole puternice și complexe pentru toate conturile tale WordPress. Parolele slabe sunt unul dintre cele mai frecvente motive pentru care site-urile web sunt sparte.
O parolă puternică folosește o combinație de litere mari și mici, cifre și caractere speciale (!, #, @, %, etc.). Cu cât este mai lungă, cu atât va fi mai sigură.
Este aproape imposibil să reții zeci de parole complexe. De aceea, întreaga noastră echipă de la WPBeginner folosește o aplicație de gestionare a parolelor precum 1Password pentru a genera și stoca în siguranță parole unice pentru fiecare serviciu.
Pentru mai multe informații despre acest subiect, consultați ghidul nostru despre cel mai bun mod de a gestiona parolele pentru începătorii WordPress.
4. Folosește verificarea în doi pași pe ecranul de autentificare WordPress
Verificarea în doi pași, cunoscută și sub denumirea de autentificare în doi factori (2FA), adaugă un alt strat critic de securitate. Folosim 2FA nu doar pe site-urile noastre WordPress, ci și pe toate conturile noastre online unde opțiunea este disponibilă.
După ce introduceți parola, trebuie să furnizați și un cod sensibil la timp, generat de o aplicație de pe telefon, cum ar fi 1Password sau Authenticator. Chiar dacă un hacker vă fură parola, nu va putea să se conecteze fără telefonul dvs.
Pentru instrucțiuni detaliate, pas cu pas, consultați ghidul nostru despre cum să configurați verificarea în 2 pași în WordPress folosind Google Authenticator.
5. Limitează încercările de autentificare
În mod implicit, WordPress permite utilizatorilor să încerce să se autentifice de câte ori doresc. Acest lucru permite hackerilor să folosească scripturi automate pentru a încerca mii de combinații de parole într-un proces cunoscut sub numele de „atac prin forță brută”.
Puteți opri cu ușurință acest lucru instalând pluginul Limit Login Attempts Reloaded. După activare, accesați Setări » Limit Login Attempts pentru a configura câte încercări eșuate sunt permise înainte ca o adresă IP să fie blocată temporar.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre de ce ar trebui să limitați încercările de conectare în WordPress.
Pentru a afla mai multe despre plugin, puteți consulta, de asemenea, recenzia noastră detaliată Limit Login Attempts.
6. Limitați accesul la autentificare la adrese IP
Atenție: Aceasta este o tehnică avansată și ar trebui utilizată doar dacă aveți o adresă IP statică (fixă). Majoritatea conexiunilor de internet de acasă folosesc IP-uri dinamice care se schimbă în mod regulat. Dacă folosiți această metodă cu un IP dinamic, vă veți bloca singur accesul la propriul site web.
Dacă aveți un IP fix, puteți restricționa accesul la zona dvs. de administrare doar la acel adresă. Pur și simplu adăugați acest cod la fișierul dvs. .htaccess:
Nu uitați să înlocuiți valorile „xx” cu propriul dvs. adresă IP. Puteți găsi cu ușurință adresa IP curentă căutând „care este adresa mea IP” pe Google. Dacă utilizați mai mult de o adresă IP, asigurați-vă că le adăugați și pe acestea.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să limitați accesul la administrarea WordPress folosind .htaccess.
7. Dezactivați indiciile de conectare
Când o autentificare eșuează, WordPress vă spune dacă numele de utilizator sau parola a fost incorectă. Deși util pentru utilizatori, aceste indicii confirmă, de asemenea, un nume de utilizator valid unui atacator, facilitându-i munca.
Puteți ascunde aceste indicii adăugând următorul cod în fișierul functions.php al temei dvs. Cu toate acestea, recomandăm utilizarea unui plugin pentru fragmente de cod, cum ar fi WPCode. Este o modalitate mult mai sigură de a gestiona codul personalizat, fără a risca erori pe site.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Pentru mai multe detalii, consultați ghidul nostru despre cum să adăugați ușor cod personalizat în WordPress fără a vă strica site-ul.
8. Cere utilizatorilor să folosească parole puternice
Dacă administrați un site WordPress cu mai mulți autori, un singur utilizator cu o parolă slabă poate crea o vulnerabilitate pentru toată lumea. Puteți impune o politică de parole puternice pentru a preveni acest lucru.
Pentru a face acest lucru, puteți instala și activa pluginul Solid Security (cunoscut anterior sub numele de iThemes Security), realizat de echipa SolidWP.
Apoi, puteți urma pașii din ghidul nostru complet despre cum să forțați parole puternice pentru utilizatorii din WordPress.
9. Resetare parolă pentru toți utilizatorii
Pentru site-urile WordPress multi-utilizator, puteți îmbunătăți securitatea forțând toți utilizatorii să își reseteze parolele. Acest lucru este deosebit de util dacă suspectați o breșă de securitate sau doriți pur și simplu să impuneți o nouă politică de parole.
Mai întâi, instalați și activați pluginul Emergency Password Reset. După activare, accesați pagina Utilizatori » Resetare Urgență Parolă și faceți clic pe butonul „Resetează Toate Parolele”.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să resetați parolele pentru toți utilizatorii din WordPress.
10. Păstrează WordPress actualizat
WordPress lansează frecvent versiuni noi pentru a adăuga funcționalități și a remedia vulnerabilități de securitate. Rularea unei versiuni învechite de WordPress, a plugin-urilor sau a temei dvs. este unul dintre cele mai mari riscuri de securitate pe care le puteți asuma.
Asigurați-vă întotdeauna că utilizați cea mai recentă versiune a software-ului de bază WordPress, precum și a tuturor plugin-urilor și temelor dvs. Pentru mai multe informații despre acest subiect, consultați ghidul nostru despre de ce ar trebui să folosiți întotdeauna cea mai recentă versiune de WordPress.
11. Creează pagini personalizate de autentificare și înregistrare
Pentru site-urile care necesită înregistrarea utilizatorilor, cum ar fi site-urile de membru sau magazinele online, ar trebui să creați pagini personalizate de autentificare și înregistrare.
Acest lucru împiedică utilizatorii non-admin să vadă sau să acceseze vreodată ecranul implicit de conectare WordPress. Oferă o experiență de utilizare mai profesională și vă permite să blocați complet accesul standard la wp-admin fără a afecta membrii sau clienții dvs.
Cel mai simplu mod de a face acest lucru este cu un plugin precum WPForms, care are un puternic add-on de înregistrare a utilizatorilor. Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să creați pagini personalizate de conectare și înregistrare în WordPress.
12. Aflați despre rolurile și permisiunile utilizatorilor WordPress
WordPress are un sistem de gestionare a utilizatorilor încorporat, cu diferite roluri și permisiuni. Atribuirea rolului greșit poate oferi unui utilizator mult mai multe permisiuni decât are nevoie, creând un risc potențial de securitate.
Este important să înțelegeți ce poate face fiecare rol înainte de a adăuga utilizatori pe site-ul dvs. Iată cele 5 roluri implicite:
- Administrator: Are acces complet la toate setările și conținutul site-ului.
- Editor: Poate publica și gestiona toate postările, inclusiv pe cele ale altor utilizatori.
- Autor: Poate publica și gestiona doar propriile postări.
- Contributor: Poate scrie și gestiona propriile postări, dar nu le poate publica.
- Abonat: Poate doar să se autentifice și să își gestioneze propriul profil.
Pentru o prezentare completă, consultați ghidul nostru pentru începători despre rolurile și permisiunile utilizatorilor WordPress.
13. Limitați accesul la tabloul de bord WordPress
Pe unele site-uri, anumiți utilizatori s-ar putea să nu aibă deloc nevoie de acces la tabloul de bord WordPress. În mod implicit, orice utilizator se poate autentifica și poate vedea zona de administrare, chiar dacă capabilitățile sale sunt limitate.
Pentru a remedia acest lucru, instalați și activați pluginul Remove Dashboard Access. După activare, accesați Setări » Acces la tabloul de bord și selectați ce roluri de utilizator pot accesa zona de administrare. Ceilalți pot fi redirecționați către pagina principală sau alt URL.
Pentru instrucțiuni mai detaliate, consultați ghidul nostru despre cum să limitați accesul la tabloul de bord în WordPress.
14. Deconectează utilizatorii inactivi
Utilizatorii conectați care își părăsesc computerele pot reprezenta un risc de securitate. Dacă computerul lor este public sau partajat, altcineva ar putea accesa contul lor.
Puteți rezolva acest lucru instalând pluginul Inactive Logout. Accesați Setări » Inactive Logout și setați un interval de timp. După acea perioadă de inactivitate, utilizatorii vor fi deconectați automat.
Pentru mai multe detalii, consultați articolul nostru despre cum să deconectați automat utilizatorii inactivi în WordPress.
Întrebări frecvente despre securizarea administratorului WordPress
Care este cel mai important pas pentru a securiza zona de administrare WordPress?
Utilizarea unui Web Application Firewall (WAF) este cel mai critic prim pas. Un firewall bun, precum Cloudflare sau Sucuri, blochează traficul malițios înainte ca acesta să ajungă la site-ul tău, prevenind o gamă largă de atacuri.
Este cu adevărat necesară protejarea prin parolă a directorului wp-admin?
Deși nu este obligatoriu, este extrem de eficient. Adaugă un al doilea strat de autentificare care oprește aproape toți roboții automați care încearcă să vă atace pagina de conectare prin forță brută. Este o schimbare simplă care sporește semnificativ securitatea.
Pot fi blocat de pe propriul meu site urmând aceste sfaturi?
Da, dacă nu ești atent. Sfatul de a limita accesul la autentificare la adrese IP specifice este doar pentru utilizatorii avansați cu un IP static. Dacă utilizați o adresă IP normală, dinamică, vă veți bloca singur. Faceți întotdeauna o copie de rezervă a site-ului dvs. înainte de a edita fișiere precum .htaccess.
Resurse suplimentare pentru securitatea WordPress
Sperăm că acest articol v-a ajutat să învățați câteva sfaturi și trucuri noi pentru a vă proteja zona de administrare WordPress.
De asemenea, ați putea dori să consultați celelalte ghiduri ale experților noștri pentru a vă menține site-ul în siguranță:
- Ghidul complet de securitate WordPress – Pas cu Pas
- Cele mai bune plugin-uri de securitate WordPress pentru a vă proteja site-ul (comparativ)
- Cum să scanezi site-ul tău WordPress pentru cod potențial malițios
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Olaf
Securitatea este pur și simplu fundamentală, iar zona de administrare este cea mai importantă parte a WordPress, deoarece controlează întregul site. Acest lucru face ca tentativele de hacking vizând administratorii să fie din ce în ce mai frecvente, ceea ce este logic având în vedere că WordPress alimentează zeci de milioane de site-uri web. Prin urmare, eforturile hackerilor devin din ce în ce mai pronunțate. Aceasta este o listă de elemente cheie cu adevărat excelente. Deși s-ar putea să nu fie necesar să le implementați pe toate, chiar și câteva pot îmbunătăți semnificativ securitatea site-ului web. Combinația dintre o parolă puternică, autentificarea cu doi factori și limitarea încercărilor de autentificare pare atât de robustă încât zona de administrare ar fi practic de nepenetrat.
Dennis Muthomi
Am experimentat o tentativă de hacking pe propriul meu site WordPress, îmi place în mod deosebit accentul pus pe utilizarea parolelor puternice și a autentificării cu doi factori. Aș dori să adaug că backup-ul regulat al site-ului dvs. este, de asemenea, crucial în cazul unei breșe de securitate.
Jiří Vaněk
Am folosit multe dintre sfaturile dumneavoastră și, în plus, am schimbat și URL-ul administrației pentru a preveni potențiale atacuri de tip brute force. În ceea ce privește parolele puternice, aș recomanda, de asemenea, să nu folosiți utilizatorul implicit „admin”, deoarece este primul utilizator pe care un hacker va încerca să-l atace prin brute force. Personal, când instalez WordPress, nu folosesc niciodată utilizatorul „admin”, ci aleg întotdeauna un nume personalizat. Este un detaliu mic, dar poate contribui și el la securitate.
Mrteesurez
Nu cred că va exista o modalitate prin care hackerii să poată intra dacă se pot implementa toate aceste sfaturi și trucuri.
Am folosit câteva, limitând încercările de conectare și accesul la tabloul de bord și au funcționat bine, voi încerca totuși să implementez altele pentru securitate maximă.
Jiří Vaněk
WordPress este un sistem complex și securizarea doar a administrării nu este suficientă. Există întotdeauna o modalitate prin care un hacker te poate ataca. Aceștia ar putea viza FTP pentru a obține informații sensibile din baza de date, ar putea încerca să exploateze un MySQL prost protejat sau ar putea încerca să profite de o vulnerabilitate nou descoperită într-un plugin, temă sau chiar în WordPress înainte de a reuși să o actualizați. Prin urmare, este întotdeauna bine să gândești cuprinzător și să nu uiți de alte elemente ale sistemului, cum ar fi MySQL, FTP și componentele WordPress.
Moinuddin Waheed
Sfaturi și trucuri obligatorii pentru protecția tabloului de bord de administrare WordPress.
Am folosit autentificarea în doi factori pentru autentificarea administratorului și, de asemenea, limitele de conectare pentru accesul administratorului.
protecția tabloului de bord este de cea mai mare importanță, deoarece poate avea consecințe grave dacă tabloul de bord este compromis.
Nu știam că putem avea acești pași pentru a ne proteja tabloul de bord.
Mulțumesc pentru listele exhaustive de sfaturi pentru protecția tabloului de bord.
Suport WPBeginner
Mă bucur să aud că lista noastră ți-a fost de ajutor!
Admin
Theo
„Acest plugin a fost închis începând cu 23 noiembrie 2020 și nu este disponibil pentru descărcare. Această închidere este permanentă.”
Știu că acesta este un articol vechi de 3 ani și jumătate!
Ar fi frumos dacă cineva ar putea sugera o alternativă! Vă mulțumesc pentru timpul acordat!
Suport WPBeginner
Vom analiza cu siguranță alternativele.
Admin
Raksa Sav
Dacă adaug pe cineva ca administrator al WordPress, mă poate elimina din administrator sau îmi poate fura site-ul WordPress?
Suport WPBeginner
Salut Raksa,
Da, pot elimina alți administratori și pot prelua controlul asupra site-ului tău web.
Admin
Muchsin
Vreau să întreb
Am încercat directorul de tutoriale de confidențialitate din acest articol și funcționează perfect, dar există o problemă: când încerc funcția de căutare situată în meniul de navigare de pe site-ul meu ca utilizator și mi se cere mereu să completez numele de utilizator și parola acelui director. Atunci cum rezolv problema?
Folosesc tema newspaper de la tagdiv.
sherizon
care este cel mai bun sfat pentru a începe un site web de comerț electronic pot folosi wordpress?
Suport WPBeginner
Salut Sherizon,
Da, puteți. Vedeți ghidul nostru despre cum să începi un magazin online.
Admin
Brenda Donovan
Indicii și sfaturi bune aici. Contează unde în fișierul functions.php pun scriptul de indicii pentru blocuri? Doar îl adaug la sfârșit?
Suport WPBeginner
Salut Brenda,
Da, ar trebui să o adăugați la sfârșit.
Admin
Joe
Un alt mijloc foarte util de a vă proteja site-ul WP este să folosiți un nume de utilizator care NU ESTE ADMIN și nu adresa dvs. de e-mail. Folosiți un nume de utilizator unic, cum ar fi WP@#% sau ceva la fel de nebunesc.
Dragoș
Ar trebui, de asemenea, să schimbați locul unde instalați folderul implicit al wp-admin.
Abhinav S Thakur
Poate cineva să repare asta?
Cum să forțez SSL doar pentru administrator și restul site-ului să fie http.
Ca wp beginner are un site non-SSL!
Rulează WordPress, cPanel
Pinkey
Salut,
Tocmai am început un site web bazat pe conținut și, din păcate, site-ul meu a fost spart. Vă rugăm să ne sfătuiți cu soluții potrivite (software/certificate etc.) pentru a evita orice viitoare atacuri de hacking.
Mulțumesc & cele mai bune urări,
Pinkey
Lucy Barret
Sfaturile pe care le-ați adăugat sunt foarte utile. Dar pentru securizarea WordPress, trebuie să acordați mai multă atenție securității zonei dvs. de autentificare. Trebuie să acordați mai multă atenție consolidării zonei dvs. de autentificare de administrator.
John
Aveți idee de ce ștergerea fișierului wp-login.php nu previne atacurile de tip brute force? Am crezut că este o soluție rapidă pentru un site care necesită doar autentificarea mea, prin urmare, înlocuiți fișierul doar atunci când este necesar?
Ajutor, vă rog!
Craig
Sfaturi grozave, cu excepția eliminării mesajelor de administrator; dacă reduceți experiența utilizatorului din cauza securității, atunci nu o faceți corect.
Tahir
colecție inteligentă….!!
Talha
Mulțumesc mult. Am un site web. Îl voi configura acolo.
Pat Fortino
Acest plugin nu mai există: Stealth Login
Puteți recomanda o alternativă?
Mulțumesc
Lori
Mi s-a spus, de asemenea, să „elimin linkurile către pagina de administrare de pe site, astfel încât roboții de hacking să nu poată urma pur și simplu un link.” Nu sunt sigur ce înseamnă asta sau cum aș face asta... Știe cineva ce înseamnă asta și m-ar putea îndruma către instrucțiuni pas cu pas pentru a face acest lucru?
(Nu văd nicăieri pe site-ul meu linkuri către o pagină de administrare, nici nu-mi amintesc să fi existat vreodată. Singura modalitate prin care accesez pagina de administrare este prin accesarea adresei /wp-admin.)
Emily Johns
Informații grozave!
Pentru bloggerii și coderii non-experți, sugerez instalarea unui plugin WordPress, pentru a face lucrurile mai ușoare.
Dintre cele menționate de tine, am găsit pluginul „Wordfence Security” o soluție gratuită pentru a securiza blogurile și a le face mai rapide.
Testat și mulțumit de el!
Barry Richardson
Aveam impresia că numele de utilizator original (de ex. „admin”) al unui site WP nu poate fi șters, deci chiar dacă am adăuga un nume de utilizator nou, cel original „admin” ar fi în continuare disponibil pentru a fi exploatat de un potențial hacker.
Suport WPBeginner
Dacă creați un cont de utilizator nou cu rolul de administrator, atunci puteți șterge în siguranță utilizatorul admin.
Admin
Sandeep Jinagal
Hyy WPBeginner, în primul rând, faci cel mai bun dintre cele mai bune???
Și vreau să știu, vreau să-mi configurez pagina de autentificare ca a ta. Pentru că atunci când încerc să deschid pagina ta de autentificare. apare o fereastră pop-up pentru autentificare. Îmi poți da acel instrument.
Suport WPBeginner
Vă rugăm să consultați ghidul nostru despre cum să protejați prin parolă directorul de administrare WordPress.
Admin
Kheti
Mulțumesc pentru acest material educativ. Foarte util. Mulțumesc pentru munca bună și suportul acordat.
ifaheem
articol grozav, dar trebuie actualizat. Există câteva pluginuri grozave care fac toate sarcinile de mai sus printr-o singură instalare de plugin!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
După ce am efectuat pașii de mai sus (actualizați-i cu niște cercetări), mă simt puțin în siguranță.
Nu instalați un plugin fără a citi cel puțin 5 recenzii. Ele vă spun adevărul (alegeți o recenzie proastă și vedeți ce spune; au pățit ceva rău!
Prince Jain
Thank you for such a great post.
Dar vă rugăm să actualizați acel plugin Stealth Login, nu creați o adresă URL personalizată pentru fereastra de conectare, ci adăugați un cod de autorizare sub numele de utilizator și parola la fereastra de conectare a WordPress.
De asemenea, puteți sugera un plugin pentru a crea o adresă URL personalizată pentru fereastra de conectare?
Mitchell Miller
Stealth Login a fost eliminat din depozitul de pluginuri WP.
Dar schimbarea linkului wp-login.php este primul pas pentru protejarea unui site WordPress.
laya rappaport
Ce se întâmplă când oferi detaliile tale de conectare cuiva pentru a lucra la site-ul tău și aceștia schimbă detaliile de conectare, astfel încât să nu mai poți accesa contul tău de WordPress?
James Campbell
Nu sunt sigur dacă există o modalitate prin care să-ți recuperezi informațiile site-ului neapărat, dar dacă poți, creează întotdeauna un utilizator nou și oferă altor persoane acces prin acel utilizator particular. Acest lucru îți permite să restricționezi accesul la anumite zone și poți, de asemenea, să le ștergi accesul atunci când nu mai este necesar. Renunțarea la accesul tău la site-ul tău le permite să te blocheze.
Lisa Wells
Dacă cineva ți-a modificat informațiile de utilizator WordPress, sperăm că te poți conecta în continuare la baza ta de date prin, să zicem, phpMyAdmin. De acolo ar trebui să poți crea un nou utilizator administrator direct în tabele:
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
Un alt element util ne menționat sunt permisiunile bazei de date. Utilizatorul bazei de date Wordpress, în general, nu are nevoie să i se acorde toate permisiunile. În marea majoritate a cazurilor, acesta are nevoie doar de ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
Deci, dacă o faci direct în mysql, ar fi:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
Dacă faceți acest lucru în cPanel sau altceva, pur și simplu bifați căsuțele corespunzătoare atunci când acordați permisiuni utilizatorului db_user.
Tanmoy Das
Sfaturi grozave pentru orice începător! Vreau să schimb mereu URL-ul de conectare, dar nu știu cum să o fac. Mulțumesc pentru aceste sfaturi.
Derick
@Daniel: Hackerii au acum un instrument care enumeră/listează toți utilizatorii dvs., inclusiv rolurile acestora, așa că a face acest lucru nu ar păcăli hackerul deloc.
Thorir
Tocmai am instalat pluginul Limit Login Attempts pe site-urile mele WP. Pe unul dintre ele am observat aproape instantaneu o blocare, a fost și singura instalare care era în directorul rădăcină. Toate celelalte sunt într-un subdirector și câteva ore mai târziu niciuna dintre ele nu a înregistrat o blocare.
Poate acesta este un factor util, din punct de vedere al securității?
Mary
Bună, sper că ești bine!
Acesta a fost un articol grozav, dar puțin complicat pentru mine.
pentru că am nevoie de calea ușoară acum, pluginul firewall wordpress a arătat bine, dar
frică mea este să-mi pierd pagina de conectare.
Am petrecut mult timp încercând să lucrez cu FTP și nu am reușit să-l înțeleg.
Va fi acesta un plugin bun pentru un fricos?? Mulțumesc Mary
Ed van Dun
Și ce zici de Bullet Proof Security? Acoperă unele zone menționate mai sus și destul de multe altele.
Prodip
Toate sfaturile de mai sus m-au ajutat să-mi fac blogul mai sigur.
Dr. Sean Mullen
Aceasta este o informație excelentă, dar te rog să o actualizezi! Mulțumesc
Invitat
Știu că acest articol este din 2009, dar puteți face unul actualizat, deoarece multe dintre aceste pluginuri nu mai sunt „oficial” compatibile cu cele mai recente versiuni de WordPress (3.4.x-3.5)?
Personal editorial
Da, este în lucru, alături de câteva alte lucruri. Facem tot ce ne stă în putință. Vă mulțumim că ne-ați anunțat.
Admin
whoiscarrus
Încep să mă implic în dezvoltarea WP și nu pot mulțumi suficient! Acestea sunt grozave pentru începători ca mine!
abhizz
sfaturi uimitoare despre wordpress mulțumesc
Bigdrobek
Tutorial grozav, dar te rog poți să-l actualizezi?
Puține pluginuri nu există, sunt vechi sau sunt ascunse de WordPress.org.
– Autentificare Furtivă
– Blocare la autentificare
– SSL pentru administrator
Sunt interesat de pasul 1) Creare linkuri personalizate de autentificare – aveți vreun sfat pentru un nou plugin care face o treabă similară?
Faizan Elahi (BestBloggingTools)
This is a great resource. Thanks
mattjwalk
Ați putea adăuga, de asemenea, la listă, „utilizați autentificarea în doi factori” în loc de parole standard. Există o nouă metodă de autentificare pe site https://www.shieldpass.com unde cumpărați carduri de acces ieftine și apoi instalați pluginul WordPress. Apoi plasați cardul pe ecran pentru a vedea numerele dinamice de conectare în loc de o parolă statică. Este unic prin faptul că poate codifica și cifrele tranzacțiilor pentru autentificare mutuală, ceea ce oprește tacticile atacatorilor de tip „man in the middle”, chiar și pe cineva care are acces la laptopul sau mobilul dvs.
Jermaine
Problema pe care o am cu nr. 6 este adresa IP dinamică, te blochezi de fiecare dată când se schimbă adresa IP, care este soluția?
Personal editorial
Puteți adăuga o autentificare personalizată dacă IP-ul nu se potrivește.
Admin
vivek
postare grozavă și ghid frumos pentru bloggerii noi ca mine
fareed
Postare grozavă și foarte utilă pentru mine, mulțumesc
Daniel
Hackerul va crede că a reușit când se va autentifica cu numele de utilizator admin și va constata că rolul a fost setat la „abonat”. Nu este aceasta o altă formă de securitate suplimentară. Nu vreau să-mi șterg contul de admin deoarece postez mesaje etc. pe forumuri și pe blog și le doresc utilizatorilor mei să știe că este de la administrație. pe lângă faptul că îmi folosesc numele de utilizator obișnuit!
Jonathan K. Cohen
Acest articol trebuie revizuit. O serie de pluginuri sugerate nu au fost întreținute și ar putea fi incompatibile cu cea mai recentă versiune de WP.
Acestea includ #1, #3 și #5.
John
Pentru #1 verificați acest plugin numit WPS Hide Login
Greg
Sunt complet de acord cu tine. Folosesc pluginul Limit Login Attempts pentru WordPress de ceva timp. Astăzi acest plugin este învechit. Am trecut la WP Cerber: