Ocenę poziomu bezpieczeństwa Twojej witryny należy rozpocząć od najbardziej oczywistego punktu wejścia: strony logowania. Posiadanie bezpiecznej strony logowania WordPress jest niezbędne, aby zapobiec naruszeniom bezpieczeństwa.
Słabe bezpieczeństwo logowania może mieć ogromny wpływ na to, jak chronione są Twoje dane i jaki poziom bezpieczeństwa zapewniasz odwiedzającym Twoją witrynę. Mimo że WordPress jest bardzo bezpieczną platformą CMS, jest generalnie podatny na ataki ze względu na jego ogromną popularność. Niezabezpieczona strona logowania może być jednym z najwygodniejszych punktów wejścia dla złośliwych podmiotów i może prowadzić do ogromnych problemów związanych z bezpieczeństwem dla Ciebie jako właściciela lub administratora witryny.
Czy strona logowania WordPress jest bezpieczna?
Poważne traktowanie bezpieczeństwa logowania do WordPressa oznacza przyjrzenie się każdemu aspektowi strony logowania, który można wykorzystać. Chociaż strona logowania WordPress jest bezpieczna, nie jest nieprzenikniona. Stworzenie w 100% kuloodpornej strony internetowej, której nie da się zhakować i która nie ma żadnych funkcji, które można wykorzystać, nie jest czymś, co możesz zrobić. Jedyne, co możesz zrobić, to maksymalnie utrudnić hakerowi dostęp do Twoich danych.
Na przykład jedną z rzeczy, która w pewnym stopniu od razu rzuca się w oczy, jest fakt, że strona logowania, o ile nie zostanie zmieniona, znajduje się w dobrze znanej lokalizacji ( www.sitename.com/wp-admin/ ). Jest to domyślna lokalizacja strony logowania WordPress zaraz po utworzeniu witryny WordPress. Oznacza to, że hakerzy dokładnie wiedzą, gdzie uderzyć.
Kolejną luką, którą musimy wziąć pod uwagę, jest umożliwienie nieograniczonej liczby prób logowania. Oznacza to, że boty mogą, jeśli nie wdrożysz dodatkowych środków bezpieczeństwa, wymusić logowanie za pomocą ataków siłowych.
WordPress jest bezpiecznym CMS-em i domyślnie oferuje szereg środków ochronnych. Na przykład szyfrowanie SSL jest domyślne dla wszystkich witryn WordPress. Zapory ogniowe są na swoim miejscu. Testy bezpieczeństwa są przeprowadzane regularnie. WordPress oferuje opcje tworzenia kopii zapasowych i odzyskiwania danych na wypadek, gdyby wszystko inne zawiedzie. Dedykowany zespół ds. bezpieczeństwa pracuje niestrudzenie i dokłada wszelkich starań, aby chronić wszystkie dane udostępniane za pośrednictwem witryn WordPress.
Pomimo tych wszystkich środków bezpieczeństwa, nadal istnieją luki, o których powinieneś wiedzieć . Ograniczenie prób logowania i zmiana adresu URL logowania może mieć pozytywny wpływ na bezpieczeństwo logowania do WordPress.
Jak zabezpieczyć stronę logowania WordPress?
Dobra wiadomość jest taka, że istnieje kilka sposobów wpływania na poziom bezpieczeństwa procesu logowania do WordPressa. Istnieje wiele porad i trików, z których możesz skorzystać, a my na szczęście znamy większość z nich. Oto niektóre z najważniejszych:
Wdrożyć politykę silnych haseł
Im bardziej angażujemy się w zrozumienie, co oznacza posiadanie bezpiecznej witryny internetowej, tym bardziej oddalamy się od podstaw, niż powinniśmy. Czasami najłatwiejszym rozwiązaniem posiadania bezpiecznej witryny WordPress jest po prostu zwrócenie uwagi na sposób, w jaki konfigurujemy nasze hasła.
Aby lepiej zrozumieć siłę silnego hasła, zobaczmy, ile czasu zajmie dedykowanemu algorytmowi złamanie hasła metodą brutalnej siły na podstawie liczby znaków w haśle.
- 8 znaków – można złamać natychmiast, jeśli zawiera tylko cyfry; można złamać w 5 minut, jeśli zawiera cyfry, wielkie i małe litery oraz znaki specjalne.
- 10 znaków – można złamać natychmiast, jeśli zawiera tylko cyfry; można złamać w ciągu 2 tygodni, jeśli zawiera cyfry, wielkie i małe litery oraz znaki specjalne
- 12 znaków – można złamać w ciągu 1 sekundy, jeśli zawiera tylko cyfry; można złamać w ciągu 226 lat, jeśli zawiera cyfry, wielkie i małe litery oraz znaki specjalne
- 16 znaków – można złamać w ciągu 1 godziny, jeśli zawiera tylko cyfry; można złamać w ciągu 5 miliardów lat, jeśli zawiera cyfry, wielkie i małe litery oraz znaki specjalne.
Jak widać, silne hasło może mieć ogromne znaczenie. Używając tylko silnego hasła, możesz zamienić 5-minutowy atak brute-force w trwający 5 miliardów lat atak brute-force. To prawda, że posiadanie silnego hasła, zapamiętywanie go i używanie go przy każdym logowaniu może być trudne.
Aktywuj uwierzytelnianie dwuskładnikowe (2FA)
Uwierzytelnianie dwuskładnikowe może być kolejnym świetnym sposobem na poprawę bezpieczeństwa logowania do WordPress. 2FA, jak sama nazwa wskazuje, dodaje drugą warstwę ochrony do każdego logowania. Opiera się na zasadzie używania przy każdym logowaniu czegoś, co znasz i tego, co masz, i może ogromnie ograniczyć naruszenia bezpieczeństwa.
2FA to usługa, dzięki której za każdym razem, gdy będziesz chciał zalogować się do swojego serwisu, będziesz musiał użyć ustawionego wcześniej hasła oraz unikalnego kodu, który zostanie wygenerowany i przesłany do Ciebie. Możesz zdecydować się na otrzymywanie kodów e-mailem, SMS-em, połączeniem telefonicznym lub specjalnymi aplikacjami uwierzytelniającymi.
Zainstaluj kompleksową wtyczkę zabezpieczającą WordPress
Bezpieczeństwo logowania do WordPressa i ogólne bezpieczeństwo można znacznie poprawić, stosując wtyczkę bezpieczeństwa. Istnieje kilka opcji, a niektóre z nich ochronią Twoją witrynę przed ogromną różnorodnością potencjalnych zagrożeń.
Ogólnie bezpieczeństwo WordPressa jest na ogół tak dobre, jak najmniej bezpieczny element Twojej witryny. Oznacza to, że chociaż rdzeń WordPressa jest bezpieczny, prawdopodobnie napotkasz kilka innych luk w zabezpieczeniach ze względu na używane wtyczki.
Przeznaczenie części środków i zasobów witryny na dobrą wtyczkę zabezpieczającą WordPress może chronić witrynę WordPress przed czymś więcej niż tylko lukami w zabezpieczeniach logowania. Niektóre z najlepszych wtyczek zabezpieczających WordPress mają wiele aplikacji do ochrony stron internetowych i mogą poważnie zmniejszyć ryzyko włamania do Twojej witryny. Oto niektóre z najlepszych:
Ogranicz liczbę prób logowania
Jednym z najczęstszych rodzajów ataków na witryny WordPress jest atak brute-force. Polega to na tym, że algorytm próbuje odgadnąć hasło po jednej próbie na raz. Jednym z najprostszych sposobów, aby temu zapobiec, jest po prostu ograniczenie prób logowania.
Niestety WordPress nie ma wbudowanej funkcji ograniczającej próby logowania. Oznacza to, że aby móc ograniczyć próby logowania w WordPressie, będziesz potrzebować wtyczki bezpieczeństwa, która zawiera tę opcję, lub dedykowanej wtyczki. Oto niektóre z najlepszych dedykowanych wtyczek:
Zmień domyślny adres URL logowania do WordPress
Innym sposobem ochrony witryny przed atakami typu brute-force jest po prostu zmiana adresu URL, którego używasz do logowania. Jak wspomniano wcześniej, WordPress ma domyślnie to samo miejsce docelowe logowania, czyli coś podobnego do www.sitename.com /wp-admin/ .
Hakerzy o tym wiedzą i potrafią zautomatyzować ataki za pomocą botów, które po prostu próbują znaleźć adres URL strony logowania dla każdej witryny, a następnie rozpoczynają proces „odgadywania” hasła.
Jeśli zmienisz adres URL strony logowania, znacznie zmniejszysz ryzyko, że boty znajdą Twoją stronę logowania, przez co nie będą mogły nawet rozpocząć ataków siłowych. Możesz to łatwo zrobić, korzystając z wtyczek zabezpieczających, które mają tę opcję lub za pomocą dedykowanej wtyczki, takiej jak WPS Hide Login .
Wyłącz wskazówki dotyczące logowania do WordPress
Kolejnym ważnym krokiem w poprawie bezpieczeństwa logowania do WordPressa jest po prostu wyłączenie wskazówek logowania, które WordPress oferuje natywnie po nieudanych próbach logowania. Na przykład, jeśli spróbujesz zalogować się przy użyciu nieprawidłowej nazwy użytkownika, WordPress wyświetli komunikat informujący, że Twoja nazwa użytkownika jest błędna.
Automatycznie informacje te mogą być pomocne hakerom lub botom próbującym znaleźć drogę do środka. Każda informacja, która wycieknie przez pęknięcia, będzie bardzo pomocna w złośliwym procesie.
Aby nie dawać atakującym żadnych wskazówek, musisz wyłączyć te wskazówki dotyczące logowania. W ten sposób usuwasz część informacji, które inne strony internetowe udostępniają niechętnie. Aby to zrobić, wystarczy dodać kilka linii kodu do plikufunctions.php :
function no_wordpress_errors()
{ return 'an error message of your choice.'; }
add_filter( 'login_errors', 'no_wordpress_errors' );
Teraz, gdy wystąpią nieudane próby logowania, WordPress wyświetli „ Wybrany komunikat o błędzie ” zamiast domyślnych komunikatów zawierających szczegółowe informacje o tym, która część danych logowania była błędna.
Należy pamiętać, że plik funkcje.php zostanie nadpisany przy każdej aktualizacji WordPressa, co oznacza, że dodatkowy kod, który właśnie dodałeś, po prostu zniknie.
Ukryj swoją nazwę użytkownika do logowania się do WordPressa
Jedną rzeczą, na której zwykle skupiamy się znacznie mniej niż na silnym haśle, jest fakt, że nasza nazwa użytkownika reprezentuje zazwyczaj 50% danych logowania potrzebnych złośliwemu podmiotowi, aby uzyskać dostęp do naszych danych.
Mając to na uwadze, nasze wysiłki mające na celu ochronę naszych haseł i zapewnienie ich jak największego bezpieczeństwa są równie ważne, jak wysiłki mające na celu zapewnienie prywatności naszych nazw użytkowników. Istotną informacją, o której wielu właścicieli witryn WordPress często zapomina, jest to, że nazwy użytkowników są domyślnie publiczne, ponieważ nazwisko autora każdego wpisu jest w rzeczywistości nazwą użytkownika logowania. Może się to różnić w zależności od konfiguracji ustawień i formy wyświetlania nazwiska autora: Pseudonim / Nazwa użytkownika / Imię i nazwisko / Imię / Nazwisko.
Ukryj swoją nazwę użytkownika do logowania się do WordPressa
Aby zachować prywatność tej istotnej informacji, wystarczy wprowadzić pewne zmiany w swoim profilu użytkownika WordPress, w obszarze Użytkownicy -> Profil -> Pseudonim, jeśli chcesz zmienić coś dla własnego użytkownika. Tutaj możesz zmienić swój pseudonim na inny niż nazwa użytkownika logowania.
Jeśli chcesz wprowadzić tę zmianę dla innego użytkownika, musisz przejść do menu Użytkownicy, a następnie kliknąć Edytuj na żądanym użytkowniku, gdzie możesz edytować pole Pseudonim .
Ważną rzeczą, o której należy wspomnieć, jest to, że jako użytkownik WordPressa będziesz mieć nazwę użytkownika (którą będziesz używać do logowania) i pseudonim (który będzie widoczny we wszystkich Twoich postach).
Na tej samej stronie możesz także skonfigurować wygląd Twojej nazwy publicznej. Powinieneś zobaczyć opcję Wyświetlaj nazwę publicznie jako i będziesz mógł wybierać spośród różnych opcji w menu rozwijanym.
Ostatnią rzeczą, o której należy wspomnieć, jest to, że domyślna nazwa użytkownika dla każdego administratora WordPressa to admin . Zmiana tej nazwy użytkownika na jakąkolwiek inną zapewni dodatkową warstwę bezpieczeństwa witryny, ponieważ odwróci uwagę hakerów korzystających z automatycznych systemów opartych na znanych lukach.
Aby to zmienić, wystarczy kliknąć Zmień nazwę użytkownika po prawej stronie pola Nazwa użytkownika na tej samej stronie.
- Jak uzyskać więcej komentarzy na blogu?
- Reklamy na Social Media co się opłaca?
- Pozycjonowanie lokalne – co to jest?
Włącz i skonfiguruj automatyczne wylogowanie
Szczególnie ważne w przypadku witryn z wieloma użytkownikami, skonfigurowanie różnych reguł automatycznego wylogowania poważnie zmniejszy ryzyko naruszenia bezpieczeństwa spowodowanego błędem ludzkim. Ponieważ nie masz żadnej kontroli nad sposobem, w jaki użytkownicy uzyskują dostęp do pulpitu nawigacyjnego Twojej witryny WordPress, ważne jest, aby zmniejszyć ryzyko w inny sposób.
Jeśli na przykład jeden z Twoich użytkowników zaloguje się z komputera publicznego i zapomni się wylogować, WordPress automatycznie wyloguje użytkowników po 48 godzinach. Okres ten może wydłużyć się do 2 tygodni w przypadku użytkowników, którzy zaznaczą pole „zapamiętaj mnie” na ekranie logowania.
Aby skrócić te ramy czasowe, które mogą powodować poważne problemy związane z bezpieczeństwem, będziesz musiał użyć wtyczki innej firmy, takiej jak Inactive Logout , WPForce Logout lub innych wtyczek bezpieczeństwa, które zawierają tę funkcję.
Zintegruj CAPTCHA i pytania zabezpieczające
Bezpieczeństwo logowania do WordPressa można znacznie poprawić, jeśli zrozumiesz jeden prosty fakt: większość szkodliwego ruchu w Internecie nie jest generowana przez ludzi. Oznacza to, że w większości przypadków zabezpieczenie witryny przed włamaniem polega po prostu na powstrzymaniu ruchu botów od niej.
W tym miejscu pojawia się CAPTCHA jako sposób na odróżnienie ruchu ludzkiego od ruchu botów. Są to specjalnie zaprojektowane testy Turinga, których możesz użyć w swojej witrynie, aby odstraszyć boty. Aby je zaimplementować, będziesz musiał użyć wtyczek innych firm, takich jak:
Dlaczego warto zabezpieczyć swoją stronę logowania WordPress?
Choć prawdziwa liczba witryn WordPress, na które każdego dnia pada ofiara ataków hakerskich, nie jest znana, eksperci szacują, że co najmniej 13 000 witryn internetowych każdego dnia przechodzi jakąś formę złośliwego ataku. Fakt, że co minutę hakowanych zostaje około 9 witryn, powinien spojrzeć na sprawę z innej perspektywy.
Do czasu, gdy skończysz czytać ten artykuł, zhakowanych zostało około 100 stron internetowych.
Jeśli chcesz uniknąć uwzględnienia w tych statystykach, powinieneś poważnie potraktować bezpieczeństwo logowania do WordPressa, a to musi zacząć się od najbardziej oczywistego punktu wejścia: strony logowania. Jeśli pójdziesz na skróty, narażasz się na duże ryzyko.
Możesz niechcący udzielić złośliwym podmiotom dostępu do swoich danych, narażając się na ryzyko całkowitego zamknięcia lub zniszczenia witryny internetowej lub możesz narazić dane osobowe innych użytkowników na ryzyko.
To może Cię drogo kosztować. Niezależnie od tego, czy przekłada się to na utratę pieniędzy, zaufanie użytkowników, czy po prostu reputację Twojego bloga lub firmy w Internecie, konsekwencje złośliwego ataku mogą być dość poważne.
Dobra wiadomość jest taka, że przy stosunkowo niewielkim wysiłku można tego wszystkiego uniknąć. Skoncentrowanie się na bezpieczeństwie logowania do WordPressa może znacznie pomóc w zapobieganiu wszelkiego rodzaju zagrożeniom bezpieczeństwa, więc nie wahaj się wprowadzić tych poprawek raczej wcześniej niż później.
