Ваш сайт постоянно подвергается атакам? Защита панели администрирования от несанкционированного доступа позволяет блокировать многие распространенные угрозы безопасности. В этой статье я расскажу о некоторых важных советах, которые помогут защитить панель администрирования от взломов.
SEO оптимизация сайта может помочь проектам стать выше в поиске. Переходите по ссылке и сами во всем убедитесь! Выбирайте нужного подрядчика
Содержание
Брандмауэр веб-приложений или WAF отслеживает трафик веб-сайта и блокирует подозрительные запросы. И хотя существует несколько плагинов для брандмауэра WordPress, я рекомендую использовать Sucuri. Это сервис по безопасности и мониторингу сайтов, который в целях безопасности предлагает WAF на основе облака.
Весь трафик сайта проходит через облачный прокси-сервер, где анализируется каждый запрос, и блокируются подозрительные запросы. Это позволяет предотвращать попытки взлома сайта, фишинг, вредоносные ПО и другие вредоносные действия.
Панель администрирования WordPress уже защищается паролем. Однако если вы установите пароль и на папку админа, то это придаст дополнительную безопасность вашему сайту.
Чтобы это сделать – зайдите в панель управления cPanel, затем нажмите на значок «Защита паролем» или значок «Конфиденциальность каталога».
После этого выберите папку wp-admin, которая обычно находится в каталоге /public_html/.
На следующем экране поставьте флажок напротив бокса «Защита паролем» и введите имякаталога, который надо запаролить.
Нажмите кнопку «Сохранить», чтобы сохранить все изменения.
Затем нажмите кнопку «Назад» и создайте пользователя. Вам будет предложено указать имя пользователя / пароль – когда вы все это сделаете, не забудьте щелкнуть по кнопке «Сохранить».
Теперь, когда кто-то попытается зайти в панель администрирования WordPress или в папку wp-admin, ему будет необходимо ввести имя пользователя и пароль.
Всегда придумывайте сложные пароли для всех своих учетных записей, это касается и WordPress сайта. Я рекомендую использовать случайные комбинации цифр, букв и специальных символов. Такой пароль будет очень сложно взломать хакерам.
Меня очень часто спрашивают – а как запомнить такой пароль? Так вот – запоминать совсем необязательно. Существует множество прекрасных приложений по управлению паролями, которые можно установить на ПК и телефоны.
Двухэтапная аутентификация придаст дополнительную безопасность вашему сайту. Такая защита подразумевает, что кроме пароля, вы должны ввести код подтверждения, сгенерированный приложением Google Authenticator на вашем телефоне.
И даже если кому-то теоретически удастся узнать/подобрать ваш пароль, ему все равно необходимо будет ввести GoogleAuthenticator, чтобы войти в панель администрирования сайта.
По умолчанию WordPress предоставляет неограниченное количество попыток входа.
Это значит, что если кто-то захочет взломать ваш сайт – он может сколько угодно пытаться ввести пароль, подбирая различные комбинации символов. Это позволяет хакерам использовать автоматические скрипты для взлома паролей.
Именно поэтому так важно установить лимит попыток ввода пароля на сайт – для этого установите и активируйте плагин Login Lock Down.
После активации зайдите на страницу Настройки » Login Lock Down, чтобы настроить параметры плагина.
Другой отличный способ защитить свой сайт – это предоставление доступа определенным IP-адресам. Этот метод особенно хорош, если в панель администрирования входите лишь только вы или несколько доверенных пользователей.
Для того чтобы это сделать просто вставьте следующий код в файл .htaccess.
|
1
2
3
4
5
6
7
8
9
10
11
12
|
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
|
Не забудьте заменить xxна необходимые IP адреса. Если вы используете более одного IP-адреса, то добавьте все из них.
Также рекомендуем ознакомиться со статьей — 9 полезных фишек и хаков в htaccess.
При неудачной попытке входа в систему WordPress указывает пользователям, где была допущена ошибка, т.е. неправильно ли было введено имя пользователя или пароль. Эти подсказки могут помочь злоумышленникам взломать ваш сайт.
Поэтому для улучшения безопасности и надежности сайта лучше отключить эти подсказки. Это можно сделать, добавив следующий код в файл темы functions.php или в site-specific plugin:
|
1
2
3
4
|
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
|
Если у вас сайт с несколькими авторами, то они могут использовать слабые пароли для своего профиля. Эти пароли могут быть взломаны и через них можно попасть в область администрирования WordPress сайта.
Чтобы подобное не произошло, установите и активируйте плагин Force Strong Passwords. Он работает из коробки – в нем не надо ничего настраивать. После его установки соавторы хотят ли они того или нет, не смогут использовать слабые пароли.
Важно: плагин не проверяет на сложность пароль для уже существующих учетных записей пользователей. Это касается лишь новых пользователей.
Вас волнует безопасностью паролей на многопользовательском сайте? Вы можете легко и за раз попросить всех своих пользователей поменять пароли.
Для этого установите и активируйте плагин Emergency Password Reset. После этого перейдите на страницу Пользователи » Emergency Password Reset и нажмите кнопку «Сбросить все пароли».
WordPress постоянно выпускает новые версии программного обеспечения. Каждая версия лучше предыдущей, т.к. в ней исправлены ошибки, есть новые функции и улучшена безопасность.
Используя старую версию WordPress,вы менее защищены, поэтому регулярно обновляйте сайт.
Это же правило применимо к плагинам, которые постоянно совершенствуются, обновляются, становятся более безопасными, удобными и функциональными. Поэтому не забудьте проверить, последние ли версии плагинов установлены на вашем сайте.
Многие WordPress сайты требуют, чтобы пользователи создали учетную запись, т.е. зарегистрировались на сайте. Например, так делают мембершип сайты (т.е. сайты, с платной подпиской), сайты с онлайн обучением и онлайн магазины.
Все эти пользователи могут использовать свои учетные записи для входа в область администрирования WordPress. Это не проблема, т.к. возможности их действий строго регламентируются отведенной ролью – в данном случае это роль пользователя.
Однако при всем при этом вы не сможете правильно ограничить доступ к страницам входа и регистрации, т.к. эти страницы нужны для регистрации пользователей, управления их профилем и входа в систему.
Самый простой способ исправить это – создать пользовательские страницы входа и регистрации, чтобы пользователи могли зарегистрироваться и залогиниться прямо с вашего сайта.
Дляполученияпошаговойинструкциичитайте, как создать пользовательскую страницу входа и регистрации в WordPress.
У WordPress мощная система управления пользователями с различными пользовательскими ролями и возможностями. При добавлении нового пользователя на сайт вы можете назначить ему роль, которая определит и ограничит его действия и возможности на сайте.
Неправильно назначив роль, вы можете предоставить пользователю больше возможностей, чем это нужно. Чтобы не попасть в подобную ситуацию, очень внимательно изучите возможности каждой роли и проверьте у кого какая роль назначена на вашем сайте.
Существуют сайты, где определенным пользователи необходим доступ к консоли, а другим — нет. Однако по умолчанию все пользователи могут получить доступ к области администрирования.
Чтобы это исправить установите и активируйте плагин Remove Dashboard Access.
После активации перейдите на страницу Настройки » Dashboard Access и выберите, какие роли пользователей будут иметь доступ к области администрирования вашего сайта.
Для получения подробной инструкции читайте, как ограничить доступ к консоли в WordPress.
WordPress автоматически не выводит пользователей из системы, пока они сами этого не сделают или не закроют окно браузера. Это может стать настоящей проблемой для сайтов с конфиденциальной информацией. Вот почему веб-сайты финансовых учреждений и приложения автоматически выводят из системы пользователей, которые некоторое время не активны.
Чтобы такое сделать и на своем сайте установите и активируйте плагин Idle User Logout. После активации перейдите на страницу Настройки » Idle User Logout и введите допустимое время неактивности пользователя, после которого он автоматически будет выведен из системы.
Надеюсь, эта статья поможет вам сделать сайт менее уязвимым к взломам и атакам. Возможно, вам также будет интересно и полезно пошаговое руководство по улучшению безопасности WordPress для новичков
Если вам понравилась статья, то не забывайте ставить лайк. Поделитесь информацией, а также находите меня в ВКонтакте, Facebook, YouTube.
Я подготовил для Вас обращение, с ним можете ознакомиться тут
Макс Метелев - автор, блоггер, актер местного театра, ведущий городских мероприятий. Делюсь только лучшим!
Всплывающая форма обратного звонка на сайте WordPress
Как проверить сайт на дубли страниц?
Как добавить Disqus комментарии на сайте WordPress?
11 важных правил первичной оптимизации сайтов
Nrelate — плагин внутренней перелинковки страниц сайта
Как сделать импорт CSV записей в WordPress?
24 плагина обязательных для установки на коммерческие сайты на 2016 год
Создаем красивую форму обратной связи самостоятельно
57 отличных примеров сайтов на WordPress
Как настроить рубрики wordpress с помощью Rich text tags?
Бизнес идея — сухая автомойка
18 способов где брать уникальный контент для сайта
101 полезный совет для начинающего блоггера
Как установить метрику на сайт MODx
Как правильно подключить шрифты в CSS на сайте?
Как ограничить доступ к админке wordpress?
Устанавливаем виджет яндекс пробки без информеров
Как добавить кнопку подписки на канал Youtube?
Как установить фон для сайта?
Как привлечь рекламодателей на сайт
Обучающий тренинг-центр База знаний для интернет предпринимателя. Здесь вы сможете получить полную, проверенную, а самое главное доступную информацию о Wordpress, SEO, научитесь востребованной профессии на рынке IT услуг. Все уроки бесплатные, мы не взымаем плату. Информация постоянно обновляется и пополняется свежими выпусками.
