Jak chronić obszar administracyjny WordPress

Bardzo ważna jest ochrona obszaru administracyjnego WordPress i strony logowania przed atakiem. Jednak chociaż hakerzy stanowią poważne zagrożenie dla bezpieczeństwa, nie są jedyni. W przypadku witryn umożliwiających rejestrację użytkowników musisz także zabezpieczyć obszar administracyjny przed użytkownikami. Problemy z bezpieczeństwem wynikające z zatwierdzenia użytkowników nazywane są „nie złośliwymi wtargnięciami”.


Na szczęście możesz szybko i łatwo wzmocnić witrynę, wdrażając kilka zdrowych wskazówek i instalując niektóre wtyczki, które pomogą. Uwzględniając takie aspekty, jak dane logowania i odcinanie złośliwych ataków u ich źródła, sprawisz, że Twoja witryna będzie bezpieczniejsza dla wszystkich, którzy z niej korzystają.

W tym artykule omówimy najpierw, dlaczego należy chronić strony administratora i logowania, a następnie przedstawimy pięć wskazówek, które pomogą zabezpieczyć witrynę na dobre. Zacznijmy!

Dlaczego powinieneś chronić swój obszar administracyjny WordPress (i stronę logowania)

Ekran logowania WordPress pokazujący błąd.

Podobnie jak drzwi wejściowe do domu, twoja strona logowania do WordPress jest prawdopodobnie słabym ogniwem w łańcuchu, jeśli chodzi o dostęp do twojej witryny. Twój ekran administratora reprezentuje pierwszy pokój, do którego wejdzie każdy, co oznacza, że ​​zablokowanie obu jest kluczowe dla bezpieczeństwa. Konsekwencje niezastosowania się do tego są liczne, w tym utrata danych klienta, użytkownika lub danych osobowych, szkoda funkcjonalności witryny, a nawet jej całkowite usunięcie. Co więcej, osłabienie zaufania klientów może mieć katastrofalne skutki.

Na koniec warto zauważyć, że ataki typu „brute force” są popularnym sposobem uzyskiwania nieautoryzowanego dostępu do strony internetowej, dlatego w tym miejscu wiele wskazówek skupia się na zapewnieniu bezpieczeństwa witryny.

Jeśli jesteś nowy w WordPressie, zrozumienie, jak zabezpieczyć swoją witrynę może być zniechęcające. Aby zdemistyfikować ten proces, przedstawiliśmy pięć wskazówek, które możesz wdrożyć w celu zabezpieczenia swojej witryny. Spójrzmy!

1. Wybierz silne nazwy użytkownika i hasła

Ostatecznie silne referencje to długi ciąg losowych znaków, czasem zawierających liczby i symbole. W porównaniu do krótkich haseł, hakerom trudno jest odgadnąć mocne przykłady, co utrudnia dostęp do twojego konta. Jest to poważny problem, ponieważ 69% dorosłych online nie zastanawia się, jak bezpieczne są ich hasła. Krótko mówiąc, słabe dane uwierzytelniające sprawiają, że witryna jest otwarta na ryzyko, którego można łatwo uniknąć.

Co więcej, wszyscy z poświadczeń użytkownika witryny mają znaczenie – nie jest dobrze mieć silną nazwę użytkownika i hasło, jeśli inne konto administracyjne ma słabe.

Witryna 1Password.

Na szczęście upewnienie się, że nazwy użytkownika i hasła są do zera, jest dość łatwe:

  1. Ukryj swoją nazwę użytkownika. Zmień dowolną domyślną nazwę użytkownika z Admin na coś trudniejszego do odgadnięcia.
  2. Użyj długiego i trudnego do odgadnięcia hasła. Możesz skorzystać ze strony internetowej takiej jak Silny generator haseł – chociaż WordPress zawiera również gwiezdny generator haseł, a wiele przeglądarek ma własne systemy. Pamiętaj, że długość jest podstawowym czynnikiem bezpiecznego hasła.
  3. Przechowuj hasło w bezpiecznym miejscu. Chociaż nie jest to absolutnie konieczne do stworzenia silnych poświadczeń, bezpieczne przechowywanie haseł jest równie ważne. W tym celu spójrz na LastPass lub 1 Hasło aby pomóc Ci łatwo zarządzać wszystkimi hasłami.

Oczywiście nie jest to jedyna dostępna metoda ochrony obszaru administracyjnego. Spójrzmy na inny sposób ograniczenia dostępu.

2. Dodaj uwierzytelnianie dwuskładnikowe (2FA), aby zablokować nieautoryzowane logowanie

2FA to metoda ochrony konta poprzez prośbę o unikalny kod lub token za pośrednictwem urządzenia inteligentnego. Oznacza to, że za każdym razem, gdy się logujesz, WordPress może mieć pewność, że to ty, a nie haker lub inne niepożądane.

Wtyczka Keyy.

Podobnie jak w przypadku innych metod zabezpieczeń, istnieje wiele wtyczek, które mogą pomóc w implementacji 2FA:

  1. Uwierzytelnianie dwuskładnikowe: Ta wtyczka współpracuje z Google Authenticator w celu zapewnienia kodów czasowych umożliwiających dostęp do logowania.
  2. Keyy: To unikalne rozwiązanie całkowicie eliminuje dane uwierzytelniające, wykorzystując urządzenie inteligentne wyłącznie do logowania.

Podsumowując, najpierw musisz poeksperymentować ze standardową wtyczką 2FA, a następnie skorzystać z innych rozwiązań, takich jak Keyy, gdy czujesz się komfortowo. Ponadto niektóre wtyczki, takie jak Wordfence i Jetpack uwzględnij tę funkcję, więc warto je również sprawdzić.

3. Ogranicz liczbę prób logowania, aby ograniczyć ataki siłowe

Mówiąc najprościej, ataki typu brute force mają na celu odgadnięcie twoich danych uwierzytelniających poprzez iterację każdej możliwej kombinacji. Jest to popularna metoda włamywania się do witryny i oznacza ograniczenie liczby razy, w których użytkownik może się zalogować, jest to prosty i skuteczny sposób, aby im to uniemożliwić.

Witryna Wordfence.

Jeśli chodzi o to, jak im zapobiec, po raz kolejny na ratunek przychodzą wtyczki. Oto nasze rekomendacje:

  1. Jetpack: Wśród innych funkcji oferuje Jetpack wiele modułów ograniczy to próby użycia siły i będzie monitorować Twoją witrynę pod kątem takich prób.
  2. iThemes Security: Ta uniwersalna wtyczka pozwala nie tylko ograniczyć próby logowania, ale również pozwoli banować podejrzanych użytkowników.
  3. Wordfence Security: Oprócz ograniczeń dotyczących ataku siłowego, ta wszechstronna wtyczka zawiera także mnóstwo innych ważnych funkcji związanych z bezpieczeństwem.
  4. BruteGuard: Ta wtyczka chroni Cię przed atakami typu brute force, łącząc użytkowników w celu śledzenia nieudanych prób logowania we wszystkich witrynach WordPress, które go używają, tworząc sieć ochronną, która uczy się i staje się potężniejsza niż więcej osób z niej korzysta.

Istnieje inna metoda powstrzymania natrętnych ataków na Twoją witrynę – odcięcie ich na przełęczy. Spójrzmy na to bardziej szczegółowo.

4. Zaimplementuj zaporę ogniową aplikacji WWW (WAF), aby chronić swoją witrynę przed wstrzyknięciami kodu

Wstrzyknięcie kodu wygląda tak: kod używany do zmiany funkcjonalności witryny i może być katastrofalny. Krótko mówiąc, WAF stanowi barierę dla Twojej witryny, aby zablokować te i inne rodzaje ataków, zanim dotrą do twoich plików.

Wtyczka All in Once WP Security & Firewall.

Niektóre wtyczki (takie jak Wordfence) zawierają standard WAF. Istnieje jednak wiele innych opcji do wyboru, takich jak:

  1. NinjaFirewall: Ta dedykowana wtyczka jest niezależną zaporą ogniową, która znajduje się przed WordPress i jest reklamowana jako „prawdziwa WAF”.
  2. Zabezpieczenia antywirusowe i zapora ogniowa Brute-Force: Ta wtyczka nie tylko zawiera stałą aktualizację WAF, która jest stale aktualizowana, ale także chroni przed atakami siłowymi.
  3. Wszystko w jednym WP Security & Firewall: Nazwa mówi wszystko – zawiera generator haseł, sprawdza słabe nazwy użytkowników, chroni przed atakami siłowymi, a także ma silną WAF.

Krótko mówiąc, nie ma usprawiedliwienia dla braku ochrony witryny, a wdrożenie WAF jest jednym z najlepszych sposobów, aby to zrobić.

5. Użyj ról użytkownika WordPress, aby ograniczyć możliwości konta w swojej witrynie

Dla każdego konta uzyskującego dostęp do Twojej witryny możesz ustawić zdefiniowaną rolę użytkownika z zestawem funkcji ograniczających możliwości konta użytkownika. Oznacza to, że użytkownicy będą mieli dostęp tylko do tego, czego potrzebują do wykonania swojej pracy – to wyraźnie kluczowy aspekt bezpieczeństwa witryny.

Wtyczka User Role Editor.

Podobnie jak w przypadku innych wskazówek na tej liście, rozpoczęcie pracy jest proste:

  • Ustaw odpowiednie role użytkownika z góry, aby oferować dostęp tylko do potrzeb użytkownika i nic więcej.
  • Użyj wtyczki takiej jak Edytor ról użytkownika lub Edytor roli użytkownika WPFront aby dostosować dostęp do niektórych ról.
  • Regularnie sprawdzaj nieużywane konta i usuwaj je.

Podsumowując, ustawianie ról użytkowników nie musi być trudne i może potencjalnie zapewnić większe bezpieczeństwo w obszarze administracyjnym.


Jeśli chodzi o bezpieczeństwo, najważniejsze jest, aby zawsze trzymać się z daleka od nieautoryzowanego dostępu, niezależnie od tego, skąd pochodzi. Konsekwencje niezastosowania się do tego mogą być katastrofalne dla Twojej witryny, rankingu wyszukiwania i potencjalnych dochodów.

W tym artykule omówiliśmy pięć wskazówek, jak fachowo chronić swój obszar administracyjny. Czy masz jeszcze jakieś wskazówki, które pomogą chronić obszar administracyjny WordPress? Opowiedz nam o nich w sekcji komentarzy poniżej!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me