14 viktige tips for å beskytte ditt WordPress Admin-område (oppdatert)
Ser du mange angrep på WordPress-administrasjonsområdet ditt? Beskytte administrasjonsområdet mot uautorisert tilgang gjør det mulig å blokkere mange vanlige sikkerhetstrusler. I denne artikkelen vil vi vise deg noen av de viktige tipsene og hackene for å beskytte ditt WordPress-administrasjonsområde.
1. Bruk en brannmur for websider
En nettsideapplikasjonsbrannmur eller WAF overvåker trafikk på nettstedet og blokkerer mistenkelige forespørsler om å nå nettstedet ditt.
Mens det er flere WordPress-brannmurplugger der ute, anbefaler vi at du bruker Sucuri. Det er en nettside sikkerhets- og overvåkningstjeneste som tilbyr et skybasert WAF for å beskytte nettstedet ditt.
Alle nettstedets trafikk går gjennom sin skyproxy først, hvor de analyserer hver forespørsel og blokkerer mistenkelige fra å nå nettstedet ditt. Det forhindrer nettstedet ditt i å kunne hackingsforsøk, phishing, skadelig programvare og andre skadelige aktiviteter.
For mer informasjon, se hvordan Sucuri hjalp oss med å blokkere 450 000 angrep på en måned.
2. Passordbeskytt WordPress Admin Directory
Ditt WordPress-administrasjonsområde er allerede beskyttet av ditt WordPress-passord. Men legger du til passordbeskyttelse i WordPress admin-katalogen, legger til et annet sikkerhetslag på nettstedet ditt.
Først logg inn på WordPress-hosting cPanel-dashbordet, og klikk deretter på 'Passordbeskytt kataloger' eller 'Katalogen Personvern' -ikonet.
Deretter må du velge wp-admin-mappen din, som vanligvis ligger inne / public_html / directory.
På neste skjerm må du merke av i boksen ved siden av 'Passordbeskyttet denne katalogen' og gi et navn til den beskyttede katalogen.
Deretter klikker du på lagre-knappen for å angi tillatelsene.
Deretter må du trykke på tilbakeknappen og deretter opprette en bruker. Du vil bli bedt om å oppgi et brukernavn / passord og deretter klikke på lagre-knappen.
Nå når noen prøver å besøke WordPress admin- eller wp-admin-katalogen på nettstedet ditt, blir de bedt om å skrive inn brukernavnet og passordet.
For mer detaljerte instruksjoner, se vår guide for hvordan du kan passordbeskytte WordPress admin (wp-admin) katalogen.
3. Bruk alltid sterke passord
Bruk alltid sterke passord for alle dine online kontoer, inkludert ditt WordPress-nettsted. Vi anbefaler at du bruker en kombinasjon av bokstaver, tall og spesialtegn i passordene dine. Dette gjør det vanskeligere for hackere å gjette passordet ditt.
Vi blir ofte spurt av nybegynnere hvordan å huske alle disse passordene. Det enkleste svaret er at du ikke trenger å. Det er noen veldig gode passordbehandlingprogrammer du kan installere på datamaskinen og telefonene.
For mer informasjon om dette emnet, se vår guide på den beste måten å administrere passord for WordPress-nybegynnere.
4. Bruk to trinns verifisering til WordPress Login Screen
To trinns verifisering legger til et annet sikkerhetslag til passordene dine. I stedet for å bruke passordet alene, ber det deg om å legge inn en bekreftelseskode generert av Google Authenticator-appen på telefonen din.
Selv om noen kan gjette ditt WordPress-passord, trenger de fortsatt Google Authenticator-koden for å komme inn.
For detaljerte trinnvise instruksjoner, se vår guide for hvordan du konfigurerer 2-trinns bekreftelse i WordPress ved hjelp av Google Authenticator.
5. Begrens innloggingsforsøk
Som standard lar WordPress brukerne inn passord så mange ganger som de vil. Dette betyr at noen kan fortsette å prøve å gjette ditt WordPress-passord ved å skrive inn forskjellige kombinasjoner. Det tillater også hackere å bruke automatiserte skript til å sprekke passord.
For å fikse dette må du installere og aktivere Inloggings LockDown-plugin. Ved aktivering, gå til besøk Innstillinger "Logg inn LockDown side for å konfigurere plugininnstillingene.
For detaljerte instruksjoner, se vår guide for hvorfor du bør begrense påloggingsforsøk i WordPress.
6. Begrens innloggingstilgang til IP-adresser
En annen flott måte å sikre WordPress-innlogging på er å begrense tilgangen til bestemte IP-adresser. Dette tipset er spesielt nyttig hvis du eller bare noen få klarerte brukere trenger tilgang til administrasjonsområdet.
Bare legg til denne koden i .htaccess-filen din.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Grunnleggende rekkefølge nektet, tillat nekte fra alle # hviteliste Syeds IP-adresse tillate fra xx.xx.xx.xxx # whitelist Davids IP-adresse tillate fra xx.xx .xx.xxx
Ikke glem å erstatte xx-verdier med din egen IP-adresse. Hvis du bruker mer enn én IP-adresse for å få tilgang til internett, så sørg for at du legger til dem også.
For detaljerte instruksjoner, se vår guide om hvordan du begrenser tilgangen til WordPress admin ved hjelp av .htaccess.
7. Deaktiver påloggingshenvisninger
På et mislyktet påloggingsforsøk viser WordPress feil som forteller brukerne om brukernavnet deres var feil eller passordet. Disse påloggingshintene kan brukes av noen for ondsinnede forsøk.
Du kan enkelt skjule disse påloggingshintene ved å legge til denne koden i temaets funksjoner.php-fil eller et nettstedspesifikt plugin.
funksjon no_wordpress_errors () return 'Noe er galt!'; add_filter ('login_errors', 'no_wordpress_errors');
8. Krev brukere å bruke sterke passord
Hvis du kjører et multi-forfatter-WordPress-nettsted, kan de brukerne redigere profilen sin og bruke et svakt passord. Disse passordene kan bli sprakk og gi noen tilgang til WordPress admin-området.
For å fikse dette kan du installere og aktivere Plug-Strong Passwords-plugin. Det virker ut av esken, og det er ingen innstillinger for deg å konfigurere. Når den er aktivert, vil den stoppe brukerne fra å lagre svakere passord.
Det kontrollerer ikke passordstyrken for eksisterende brukerkontoer. Hvis en bruker allerede bruker et svakt passord, vil de kunne fortsette å bruke passordet.
9. Tilbakestill passord for alle brukere
Bekymret for passordsikkerhet på ditt multi-user WordPress-nettsted? Du kan enkelt be alle brukerne om å tilbakestille passordene sine.
Først må du installere og aktivere Plugin for tilbakestilling av nødpassord. Ved aktivering, gå til besøk Brukere »Nødpassord Nullstill side og klikk på 'Reset All Passwords' knappen.
For detaljerte instruksjoner, se vår guide om hvordan du tilbakestiller passord for alle brukere i WordPress
10. Hold WordPress oppdatert
WordPress utgiver ofte nye versjoner av programvaren. Hver ny versjon av WordPress inneholder viktige feilrettinger, nye funksjoner og sikkerhetsoppdateringer.
Ved å bruke en eldre versjon av WordPress på nettstedet ditt, kan du åpne for kjente utnytelser og potensielle sårbarheter. For å fikse dette må du forsikre deg om at du bruker den nyeste versjonen av WordPress. For mer om dette emnet, se vår guide om hvorfor du alltid bør bruke den nyeste versjonen av WordPress.
På samme måte oppdateres også WordPress-plugins for å introdusere nye funksjoner eller reparere sikkerhetsproblemer og andre problemer. Pass på at WordPress-plugins er oppdatert.
11. Opprett egendefinerte innloggings- og registreringssider
Mange WordPress-nettsteder krever at brukere registrerer seg. For eksempel må medlemskaps nettsteder, læringsledelsesnettsteder eller nettbutikker kreve at brukerne oppretter en konto.
Disse brukerne kan imidlertid bruke kontoene sine til å logge inn på WordPress admin-området. Dette er ikke et stort problem, da de bare vil kunne gjøre ting tillatt av brukerens rolle og evner. Det hindrer deg imidlertid fra å begrense tilgangen til påloggings- og registreringssidene, ettersom du trenger disse sidene, slik at brukerne kan registrere seg, administrere sin profil og logge inn.
Den enkle måten å fikse dette på, er å opprette egendefinerte innloggings- og registreringssidene, slik at brukerne kan registrere seg og logge inn direkte fra nettstedet ditt.
For detaljerte trinnvise instruksjoner, se vår guide for hvordan du oppretter egendefinerte påloggings- og registreringssidene i WordPress.
12. Lær om WordPress brukerroller og tillatelser
WordPress kommer med et kraftig brukerhåndteringssystem med forskjellige brukerroller og -funksjoner. Når du legger til en ny bruker på WordPress-siden din, kan du velge en brukerrolle for dem. Denne brukerrollen definerer hva de kan gjøre på WordPress-siden din.
Tilordne feil brukerroll kan gi folk flere evner enn de trenger. For å unngå dette må du forstå hvilke evner som kommer med forskjellige brukerroller i WordPress. For mer om dette emnet, se vår nybegynners guide til WordPress brukerroller og tillatelser.
13. Grense Dashboard Access
Noen WordPress-nettsteder har bestemte brukere som trenger tilgang til dashbordet og noen brukere som ikke gjør det. Som standard kan de alle få tilgang til administrasjonsområdet.
For å fikse dette må du installere og aktivere Plugin for tilgang til Dashboard Access. Ved aktivering, gå til Innstillinger "Dashboard Access side og velg hvilke brukerroller som har tilgang til administrasjonsområdet på nettstedet ditt.
For mer detaljerte instruksjoner, se vår guide om hvordan du begrenser dashbordtilgangen i WordPress.
14. Logg ut Idle Brukere
WordPress logger ikke ut brukere automatisk før de eksplisitt logger ut eller lukker nettleservinduet. Dette kan være en bekymring for WordPress-nettsteder med sensitiv informasjon. Derfor logger brukerne av finansinstitusjon automatisk ut brukere hvis de ikke har vært aktive.
For å fikse dette, kan du installere og aktivere Inaktiv User Logout-plugin. Ved aktivering, gå til Innstillinger "Idle User Logout side og angi tidspunktet etter som du vil at brukerne skal logges ut automatisk.
For mer informasjon, se vår artikkel om hvordan du automatisk logger ut idle brukere i WordPress.
Vi håper denne artikkelen hjalp deg med å lære noen nye tips og hacker for å beskytte ditt WordPress-administrasjonsområde. Du vil kanskje også se vår ultimate trinnvise WordPress-sikkerhetsguide for nybegynnere.
Hvis du likte denne artikkelen, vennligst abonner på vår YouTube Channel for WordPress-videoopplæringsprogrammer. Du kan også finne oss på Twitter og Facebook.