14 Viktiga tips för att skydda ditt WordPress Admin-område (uppdaterad)
Ser du många attacker på ditt WordPress-administrativa område? Skydda adminområdet från obehörig åtkomst gör att du kan blockera många vanliga säkerhetshot. I den här artikeln visar vi några av de viktiga tips och hackar för att skydda ditt WordPress-administrativa område.
1. Använd en brandvägg för webbsidor
En webbapplikationsväggvägg eller WAF övervakar webbplatstrafik och blockerar misstänkta förfrågningar från att nå din webbplats.
Medan det finns flera WordPress-brandvägspluggar där ute rekommenderar vi att du använder Sucuri. Det är en säkerhets- och övervakningsservice för webbplatser som erbjuder ett molnbaserat WAF för att skydda din webbplats.
All din webbplatss trafik går genom sin molnproxy först, där de analyserar varje förfrågan och blockerar misstänkta att någonsin nå din webbplats. Det förhindrar din webbplats från möjliga hackningsförsök, phishing, skadlig kod och andra skadliga aktiviteter.
För mer information, se hur Sucuri hjälpte oss att blockera 450 000 attacker på en månad.
2. Lösenord Skydda WordPress Admin Directory
Ditt WordPress-administrativa område är redan skyddat av ditt WordPress-lösenord. Men lägga till lösenordsskydd till din WordPress-administratörskatalog lägger till ett annat säkerhetslager till din webbplats.
Först inloggning till din WordPress-värd cPanel dashboard och klicka sedan på 'Lösenordsskydda kataloger' eller 'Katalog sekretess' ikon.
Därefter måste du välja din wp-admin-mapp, som normalt finns inom / public_html / directory.
På nästa skärm måste du markera rutan bredvid alternativet "Lösenordsskydda den här katalogen" och ange ett namn för den skyddade katalogen.
Därefter klickar du på Spara-knappen för att ställa in behörigheterna.
Därefter måste du slå tillbaka knappen och sedan skapa en användare. Du kommer att bli ombedd att ange ett användarnamn / lösenord och klicka sedan på Spara-knappen.
Nu när någon försöker besöka WordPress admin- eller wp-admin-katalogen på din webbplats, kommer de att bli ombedda att ange användarnamnet och lösenordet.
För mer detaljerade instruktioner, se vår guide om hur du skyddar lösenordet för WordPress admin (wp-admin).
3. Använd alltid starka lösenord
Använd alltid starka lösenord för alla dina online-konton, inklusive din WordPress-webbplats. Vi rekommenderar att du använder en kombination av bokstäver, siffror och specialtecken i dina lösenord. Det gör det svårare för hackare att gissa ditt lösenord.
Vi är ofta frågade av nybörjare hur man kommer ihåg alla dessa lösenord. Det enklaste svaret är att du inte behöver. Det finns några riktigt bra lösenordshanteringsappar som du kan installera på din dator och telefoner.
För mer information om detta ämne, se vår guide på det bästa sättet att hantera lösenord för WordPress-nybörjare.
4. Använd tvåstegs verifiering till WordPress-inloggningsskärmen
Tvåstegsverifiering lägger till ett annat säkerhetslager till dina lösenord. I stället för att använda lösenordet ensamt, frågar det dig att ange en verifieringskod som genereras av Google Authenticator-appen på din telefon.
Även om någon kan gissa ditt WordPress-lösenord, behöver de fortfarande Google Authenticator-koden för att komma in.
För detaljerade stegvisa instruktioner, se vår guide för hur du konfigurerar 2-stegs verifiering i WordPress med hjälp av Google Authenticator.
5. Begränsa inloggningsförsök
Som standard tillåter WordPress användare att ange lösenord så många gånger som de vill ha. Det betyder att någon kan fortsätta försöka gissa ditt WordPress-lösenord genom att skriva in olika kombinationer. Det tillåter även hackare att använda automatiska skript för att spricka lösenord.
För att åtgärda detta måste du installera och aktivera Inloggnings LockDown-plugin. Vid aktivering, besök Inställningar "Logga in LockDown sida för att konfigurera plugin-inställningarna.
För detaljerade instruktioner, se vår guide om varför du bör begränsa inloggningsförsök i WordPress.
6. Begränsa inloggning Åtkomst till IP-adresser
Ett annat bra sätt att säkra WordPress-inloggning är att begränsa åtkomst till specifika IP-adresser. Det här tipset är särskilt användbart om du eller bara några få betrodda användare behöver tillgång till adminområdet.
Lägg bara till den här koden i din .htaccess-fil.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Grundläggande ordning neka, tillåt neka från alla # whitelist Syeds IP-adress tillåter från xx.xx.xx.xxx # whitelist Davids IP-adress tillåter från xx.xx .xx.xxx
Glöm inte att ersätta xx-värden med din egen IP-adress. Om du använder mer än en IP-adress för att komma åt Internet, så var noga med att lägga till dem.
För detaljerade instruktioner, se vår guide om hur du begränsar åtkomst till WordPress admin med .htaccess.
7. Inaktivera inloggningstips
Vid ett misslyckat inloggningsförsök visar WordPress fel som säger till användarna om deras användarnamn var felaktigt eller lösenordet. Dessa inloggningstips kan användas av någon för skadliga försök.
Du kan enkelt dölja dessa inloggningstips genom att lägga till den här koden i ditt temas funktioner.php-fil eller ett sajtspecifikt plugin.
funktion no_wordpress_errors () return Något är fel! '; add_filter ('login_errors', 'no_wordpress_errors');
8. Kräv användarna att använda starka lösenord
Om du kör ett WordPress-site med flera författare kan de användare ändra sin profil och använda ett svagt lösenord. Dessa lösenord kan vara knäckt och ge någon åtkomst till WordPress admin area.
För att åtgärda detta kan du installera och aktivera plugin-programmet Force Strong Passwords. Det fungerar ur lådan, och det finns inga inställningar för dig att konfigurera. När det är aktiverat kommer det att hindra användare från att spara svagare lösenord.
Det kontrollerar inte lösenordsstyrkan för befintliga användarkonton. Om en användare redan använder ett svagt lösenord, kommer de att kunna fortsätta använda sitt lösenord.
9. Återställ lösenord för alla användare
Bekymrad om lösenordsäkerhet på ditt multi-användar WordPress-webbplats? Du kan enkelt be alla dina användare att återställa sina lösenord.
Först måste du installera och aktivera plugin för nödlösenåterställning. Vid aktivering, besök Användare »Nödlösenord Återställ sidan och klicka på knappen "Återställ alla lösenord".
För detaljerade instruktioner, se vår guide om hur du återställer lösenord för alla användare i WordPress
10. Håll WordPress uppdaterad
WordPress släpper ofta nya versioner av programvaran. Varje ny version av WordPress innehåller viktiga buggfixar, nya funktioner och säkerhetsfixar.
Genom att använda en äldre version av WordPress på din webbplats kan du öppna för kända utnyttjanden och potentiella sårbarheter. För att åtgärda detta måste du se till att du använder den senaste versionen av WordPress. För mer om detta ämne, se vår guide om varför du alltid ska använda den senaste versionen av WordPress.
På samma sätt uppdateras också WordPress-plugins för att införa nya funktioner eller åtgärda säkerhetsproblem och andra problem. Se till att dina WordPress-plugins också är aktuella.
11. Skapa anpassade inloggnings- och registreringssidor
Många WordPress-webbplatser kräver att användare registrerar sig. Till exempel måste medlemskapswebbplatser, inlärningshanteringswebbplatser eller onlinebutiker använda användare att skapa ett konto.
Men dessa användare kan använda sina konton för att logga in på WordPress admin-området. Detta är inte en stor fråga, eftersom de bara kommer att kunna göra saker som tillåts av användarens roll och kapacitet. Det hindrar dig dock från korrekt begränsad åtkomst till inloggnings- och registreringssidor, eftersom du behöver de sidorna för användarna att registrera, hantera sin profil och logga in.
Det enkla sättet att åtgärda detta är att skapa anpassade inloggnings- och registreringssidor, så att användarna kan registrera sig och logga in direkt från din webbplats.
För detaljerade stegvisa instruktioner, se vår guide om hur du skapar anpassade inloggnings- och registreringssidor i WordPress.
12. Lär dig om WordPress Användarroller och behörigheter
WordPress levereras med ett kraftfullt användarhanteringssystem med olika användarroller och funktioner. När du lägger till en ny användare på din WordPress-webbplats kan du välja en användarroll för dem. Den här användarrollen definierar vad de kan göra på din WordPress-webbplats.
Att tilldela en felaktig användarroll kan ge människor mer kapacitet än de behöver. För att undvika detta måste du förstå vilka funktioner som kommer med olika användarroller i WordPress. För mer om detta ämne, se vår nybörjarguide till WordPress användarroller och behörigheter.
13. Begränsa Dashboard Access
Vissa WordPress-webbplatser har vissa användare som behöver tillgång till instrumentpanelen och vissa användare som inte gör det. Som standard kan de alla komma åt adminområdet.
För att åtgärda detta måste du installera och aktivera plugin-programmet Remove Dashboard Access. Vid aktivering, gå till Inställningar "Dashboard Access sida och välj vilka användare som ska ha tillgång till administratörsområdet på din webbplats.
För mer detaljerade instruktioner, se vår guide om hur du begränsar instrumentbrädans åtkomst i WordPress.
14. Logga ut lediga användare
WordPress loggar inte ut användare automatiskt tills de explicit loggar ut eller stänger webbläsarfönstret. Detta kan vara ett problem för WordPress-webbplatser med känslig information. Därför loggar användare av finansinstitut automatiskt ut användare om de inte har varit aktiva.
För att åtgärda detta kan du installera och aktivera plug-in-programmet Idle User Logout. Vid aktivering, gå till Inställningar "Idle User Logout sidan och ange den tid då du vill att användarna ska loggas ut automatiskt.
För mer information, se vår artikel om hur du automatiskt loggar ut lediga användare i WordPress.
Vi hoppas att den här artikeln hjälper dig att lära dig några nya tips och hackar för att skydda ditt WordPress-administrativa område. Du kanske också vill se vår ultimata stegvisa WordPress säkerhetsguide för nybörjare.
Om du gillade den här artikeln kan du prenumerera på vår YouTube-kanal för WordPress-videoinstruktioner. Du kan också hitta oss på Twitter och Facebook.