Webbplatsägare behöver prioritera WordPress-säkerhet för att skydda sina känsliga data och upprätthålla användarnas förtroende. Ett mycket effektivt sätt vi gör detta på WPBeginner är genom att lösenordsskydda vår WordPress admin-katalog.
wp-admin-katalogen är kontrollcentret för din WordPress-webbplats. Det är där du hanterar allt från innehåll till inställningar, vilket gör den till ett primärt mål för hackare. Lösenordsskydd av dina adminfiler kommer att hålla dem säkra från attacker.
Den här artikeln ger en enkel guide för att enkelt lösenordsskydda din wp-admin-katalog och stärka din webbplats säkerhet.
Varför lösenordsskydda din WordPress admin-katalog?
Genom att lösenordsskydda din WordPress admin-katalog lägger du till ett extra säkerhetslager till den viktigaste åtkomstpunkten till din WordPress-webbplats.
Ditt WordPress admin-instrumentpanel är navet i din webbplats. Det är där du publicerar inlägg och sidor, anpassar ditt tema, installerar WordPress-plugins, och mer.
Ofta, när hackare försöker ta sig in på din webbplats, gör de det via wp-admin-skärmen med en brute force-attack.
Du kan hjälpa till att skydda din webbplats mot potentiella attacker genom att använda säkerhetsåtgärder som ett starkt lösenord och begränsa inloggningsförsök.
För att vara ännu säkrare kan du också lösenordsskydda wp-admin-katalogen. Sedan, när någon försöker komma åt ditt adminområde, måste de ange ett användarnamn och lösenord innan de ens når WordPress inloggningssida.
Med det sagt, låt oss titta på hur du kan lösenordsskydda din WordPress admin-katalog steg för steg.
Den första metoden rekommenderas för de flesta användare, och du kan använda snabblänkarna nedan för att hoppa direkt till den metod du vill använda:
- Lösenordsskydda wp-admin med katalogsekretess (rekommenderas)
- Lösenordsskydda wp-admin med kod
- Felsökning av lösenordsskydd för wp-admin
- Bonus: Bästa WordPress-guider för wp-admin-säkerhet
Videohandledning
Om du föredrar skriftliga instruktioner, fortsätt bara att läsa.
Metod 1: Lösenordsskydda wp-admin med katalogsekretess (rekommenderas)
Det enklaste sättet att lösenordsskydda din WordPress adminkatalog är att använda din WordPress-värdleverantörs app för katalogsekretess.
Först måste du logga in på ditt webbhotells instrumentpanel och klicka på alternativet ‘Directory Privacy’ i avsnittet Filer på din webbplats cPanel-instrumentpanel.
Notera: De flesta webbhotell som använder cPanel, som Bluehost, kommer att ha liknande steg. Din instrumentpanel kan dock skilja sig något från våra skärmdumpar, beroende på din hosting-leverantör.
Detta tar dig till en skärm som listar alla olika kataloger på din server. Du måste hitta mappen som innehåller dina webbplatsfiler.
För de flesta webbplatsägare hittas detta genom att klicka på mappen 'public_html'.
Detta visar alla webbplatsfiler som du har installerat på din server.
Därefter måste du klicka på mappen med din webbplats domännamn.
I den mappen ser du en wp-admin-mapp.
Istället för att klicka på mappnamnet måste du klicka på knappen 'Redigera' bredvid den mappen.
Detta tar dig till en skärm där du kan aktivera lösenordsskydd.
Markera helt enkelt rutan som säger 'Lösenordsskydda denna katalog'. Om du vill kan du också ge din katalog ett namn som 'Adminområde' för att hjälpa dig att komma ihåg.
När du har gjort det måste du klicka på 'Spara'-knappen.
Detta tar dig till en sida där bekräftelsemeddelandet visas.
Nu behöver du klicka på knappen 'Gå tillbaka', och du kommer till en skärm där du kan skapa en användare som kommer att kunna komma åt den här katalogen.
Du kommer att bli ombedd att ange ett användarnamn och lösenord och sedan bekräfta lösenordet. Se till att anteckna ditt användarnamn och lösenord på en säker plats, till exempel en lösenordshanteringsapp.
Se till att du klickar på knappen 'Spara' när du är klar.
Nu, när någon försöker komma åt din wp-admin-katalog, kommer de att uppmanas att ange användarnamn och lösenord som du skapade ovan.
Metod 2: Lösenordsskydda wp-admin med kod
Du kan också lösenordsskydda din WordPress adminkatalog manuellt. För att göra detta behöver du skapa två filer som heter .htpasswd och .htaccess.
Notera: Att lägga till kod på din WordPress-webbplats kan vara farligt. Även ett litet misstag kan orsaka stora fel på din webbplats. Vi rekommenderar endast denna metod för avancerade användare.
Skapa .htaccess-filen
Öppna först din föredragna textredigerare och namnge den nya filen .htaccess.
Därefter behöver du kopiera följande kodavsnitt och lägga till det i filen:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Se till att du ändrar sökvägen för 'AuthUserFile' till platsen där du kommer att ladda upp .htpasswd-filen och ändra 'dittanvändarnamn' till det användarnamn du vill använda för att logga in.
Glöm inte att spara filen när du är klar.
Skapa .htpasswd-filen
När du har gjort det måste du skapa en .htpasswd-fil.
För att göra detta, öppna en textredigerare och skapa en fil som heter .htpasswd. Den här filen kommer att lista ditt användarnamn tillsammans med ditt lösenord i krypterat format.
Det enklaste sättet att generera det krypterade lösenordet är med en htpasswd-generator.
Ange bara ditt användarnamn och lösenord, välj krypteringsformat och klicka på knappen ‘Skapa .htpasswd-fil’.
htpasswd-generatorn kommer att visa en textrad som du behöver klistra in i din .htpasswd-fil. Se till att spara filen när du är klar.
Ladda upp .htaccess och .htpasswd till wp-admin-katalogen
Det sista steget är att ladda upp båda filerna du skapade till din webbplats wp-admin-mapp.
Du behöver ansluta till ditt WordPress-värdkonto med en FTP-klient eller filhanteraren online som din värdleverantör tillhandahåller. För mer information, se vår nybörjarguide om hur man använder FTP för att ladda upp filer till WordPress.
För den här handledningen kommer vi att använda FileZilla eftersom den är gratis och fungerar på både Mac och Windows.
När du har anslutit till din webbplats ser du filerna på din dator i det vänstra fönstret och filerna på din webbplats till höger. Till vänster behöver du navigera till platsen där du sparade filerna .htaccess och .htpasswd.
Gå sedan till höger till katalogen wp-admin för webbplatsen du vill skydda. De flesta användare behöver dubbelklicka på mappen public_html, sedan mappen med sitt domännamn, sedan mappen wp-admin.
Nu kan du välja de två filerna till vänster och klicka på 'Ladda upp' i högerklicksmenyn eller helt enkelt dra filerna till vänster fönster.
Nu kommer din 'wp-admin'-katalog att vara lösenordsskyddad.
Felsökning av lösenordsskydd för wp-admin
Beroende på hur din server och webbplats är konfigurerade, finns det en chans att du kan stöta på WordPress-fel. Dessa fel kan åtgärdas genom att noggrant lägga till kod i din .htaccess-fil.
Notera: Detta är filen .htaccess som finns i din huvudsakliga webbplatsmapp, inte den du laddade upp till mappen ‘wp-admin’. Om du har problem med att hitta den, se vår guide om varför du inte kan hitta .htaccess och hur du hittar den.
Åtgärda felet att Ajax inte fungerar
Ett av de vanligaste felen är att Ajax-funktionalitet kan sluta fungera på framsidan av din webbplats. Om du har WordPress-plugins som kräver Ajax, som till exempel live Ajax-sökning eller Ajax-kontaktformulär, då kommer du att märka att dessa plugins inte fungerar längre.
För att åtgärda detta, lägg helt enkelt till följande kod i filen .htaccess som finns i din wp-admin-mapp:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Åtgärda 404-fel och fel med för många omdirigeringar
Två andra fel du kan stöta på är 404-felet och för många omdirigeringar-felet.
Det enklaste sättet att fixa dem är att öppna din huvudsakliga .htaccess-fil som finns i din webbplatskatalog och lägga till följande kodrad före WordPress-reglerna:
ErrorDocument 401 default
Bonus: Bästa WordPress-guider för wp-admin-säkerhet
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du lösenordsskyddar din WordPress admin (wp-admin) katalog. Du kanske vill se ytterligare guider om hur du gör ditt adminområde säkrare:
- Hur man begränsar WordPress adminåtkomst efter IP-adress
- Viktiga tips för att skydda ditt WordPress adminområde (uppdaterad)
- Hur man lägger till en anpassad inloggnings-URL i WordPress (steg för steg)
- Hur och varför du bör begränsa inloggningsförsök i WordPress
- Hur man lägger till tvåfaktorsautentisering i WordPress (gratis metod)
- Hur man lägger till säkerhetsfrågor på WordPress inloggningsskärm
- Hur man tvingar användare att ändra lösenord i WordPress – Lösenordsutgång
- Hur man återställer lösenord för alla användare i WordPress
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
tom
Det här kanske är en dum fråga men jag undrar nu – jag har ovanstående konfiguration tillämpad på min webbplats och det fungerar bra men låt oss anta att en bot kommer att brute-forcea det extra inloggningsområdet och jag provade det manuellt ett tag och min server blockerade inte min IP eller något. Så tekniskt sett kan det där brute-force-angreppet på det området pågå 'för evigt' och detta kan i sin tur sakta ner min webbplats på något sätt, eller inte? Om så är fallet är det synd eftersom det tog mig ett par timmar att ställa in detta och jag var nöjd med det extra skyddslagret...
WPBeginner Support
Även om det är möjligt, kräver det betydligt färre resurser att ladda inloggningen för ditt wp-admin-område än din WordPress-inloggningssida, vilket innebär att det skulle krävas mycket mer från ett brute force-angrepp för att påverka din webbplats hastighet.
Admin
Dayo Olobayo
Jag är inte särskilt teknisk men jag är glad att du inkluderade alternativet att använda appen Directory Privacy. Det låter mycket enklare än att skapa dessa .htaccess-filer. Tack.
Mrteesurez
Tack. Jag fann det hjälpsamt.
Jag vill fråga om metoderna alla erbjuder samma säkerhetsnivå, jag skulle föredra och rekommendera att hålla mig till den första metoden eftersom den verkar enkel och rak.
Eller finns det någon som är bättre än den andra??
WPBeginner Support
Detta är olika metoder för att uppnå samma resultat så det beror på din preferens vilken du skulle använda.
Admin
Mark
Finns det något sätt för hackare att få tillgång till detta lösenord och till och med ändra det, som i phpMyAdmin?
WPBeginner Support
De skulle behöva tillgång till din hosting-leverantör eller webbplatsfiler för den här guiden.
Admin
Salman
Jag har ändrat min inloggnings-URL med pluginet "WPS Hide Login". Låt oss säga att den tidigare URL:en slutade på wp-admin/ och den nya URL:en slutar på hidden/ hur kan jag lösenordsskydda denna nya URL nu?
WPBeginner Support
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Admin
Jiří Vaněk
WPShide skapar inte en ny mapp, jag använder det också. wp-admin-mappen finns fortfarande på servern och är funktionell. Så om du använder WPSHide, säkra wp-admin-mappen på exakt samma sätt.
Jiří Vaněk
En bra praxis är också att byta namn på WordPress administrations-URL och välja ett annat administratörsanvändarnamn än 'admin'. Att ändra URL gör det svårare för angripare att hitta administrationen, och att inte använda 'admin' som administratör minskar risken för ett lyckat brute force-angrepp.
WPBeginner Support
Att ha ett användarnamn som inte är admin rekommenderas definitivt, men att ändra wp-admin-URL:en rekommenderas inte alltid eftersom det kan orsaka problem med vissa plugins samt göra felsökningen svårare.
Admin
Jose
Ajax-fixen fungerade bra. Tack så mycket för detta.
WPBeginner Support
Glad our article could help
Admin
Umer Yaseen
Vad händer om någon kommer åt vår WordPress admin-katalog genom att skriva in mywebsite.com/wp-login.php istället för mywebsite.com/wp-admin. Den här metoden skyddar bara wp-admin och inte wp-login.php. Så hur är den användbar?
WPBeginner Support
Detta skulle visa samma uppmaning för användare som försöker logga in med wp-login.php
Admin
nadia
Du är bäst. Tack tusen gånger som alltid.
WPBeginner Support
Glad you’ve found our content helpful
Admin
Lordemmaculate
Jag vill göra detta men min server är Nginx inte Apache så jag kan inte använda .htaccess
WPBeginner Support
We’ll see if we can add a method for that type of server when we update this article
Admin
Rajah
Den första metoden via cPanel fungerade som en charm. Men när jag loggar ut från WP igen och loggar in igen frågar den inte efter kataloglösenordet igen. Är det meningen att den bara ska fråga en gång?
WPBeginner Support
Dina cookies/cache kommer att komma ihåg inloggningsinformationen. Normalt nästa gång du startar din dator kommer den att kräva att du loggar in igen.
Admin
Webo
Mycket bra, tack...
WPBeginner Support
You’re welcome
Admin
Izzy
"Password Protect Directories" finns inte på min cPanel under "security", så jag försökte den manuella metoden, men den verkar inte fungera eftersom den inte frågar efter inloggning när jag öppnar wp-admin...
WPBeginner Support
Om du kontaktar din hostingleverantör bör de kunna hjälpa till och undersöka om det finns någon anledning till att det inte fungerar.
Admin
Ahsan Ali
Tack för dina ansträngningar!
Jag använde cpanel-metoden, den fungerar bra men problemet är att lösenordsfrågan visas på varje sida på min webbplats!
Vad jag måste göra för att den bara ska visas på wp-admin-sidan?
WPBeginner Support
Det låter som att du kan ha lösenordsskyddat din public_html-mapp istället för wp-admin-mappen. Du vill ta bort det nuvarande skyddet och försöka ställa in det igen
Admin