5 простых шагов для защиты вашей страницы входа

Хотите знать, стоит ли вам беспокоиться о безопасности входа в WordPress?

WordPress — самая популярная в мире CMS, потому что с ее помощью очень легко создать веб-сайт. Хотя это бесплатная CMS, за нее нужно платить. WordPress чрезвычайно предсказуем, что иногда делает его легкой мишенью.

Возьмем, к примеру, страницу входа.

Каждый веб-сайт WordPress имеет одну и ту же страницу входа (/wp-admin.com или /wp-login.php). Объедините предсказуемость со склонностью людей к использованию слабых учетных данных, и страница станет заманчивой мишенью для хакеров.

Эксперты по безопасности говорят, что страница входа в систему — самая уязвимая страница на веб-сайте. Каждый день хакеры развертывают ботов для проведения атак методом грубой силы на этой странице. Выяснив ваши учетные данные для входа, они могут легко получить доступ к вашей CMS. Итак, вы должны сделать все, что в ваших силах, чтобы защитить его от этих непрошеных гостей.

В этой статье мы покажем вам пять продвинутых методов повышения безопасности входа в WordPress и предотвращения взлома.

Как защитить страницу входа в WordPress в 2023 году

В сфере кибербезопасности существует множество плохих советов. Большинство из них направлено на то, чтобы вогнать людей в страх и заставить их поддаться навязчивому выбору. Вместо того, чтобы добавлять шума, в этой статье мы покажем вам методы, которые действительно работают. Это:

Вы, должно быть, заметили, что мы не включили принудительное использование надежных паролей и установку SSL-сертификатов. Это потому, что это данность. Мы надеемся, что вы уже используете их. Смотрите другие наши руководства о том, как это сделать.

Примечание. Для выполнения мер, которые мы упомянули ниже, вам необходимо установить один или два плагина. И мы знаем, что даже самые лучшие плагины могут привести к поломке. Поэтому сделайте резервную копию своего сайта, прежде чем продолжить.

Теперь давайте начнем:

1. Изменить URL-адрес страницы входа

Как мы уже говорили в начале статьи, страница входа в WordPress по умолчанию выглядит так:

  • www.website.com/wp-admin/
  • www.website.com/wp-login.php/

Все это знают, включая хакеров, которые создают ботов, нацеленных на страницы входа в WordPress. А поскольку 59% американцев (1) используют слабые пароли, взломать веб-сайт с помощью брутфорс страницы входа.

Один из способов защитить вашу страницу входа — изменить URL-адрес.

Создать новый настраиваемый URL-адрес страницы входа очень просто. Доступен ряд плагинов, которые позволяют сделать это за пару кликов.

Мы будем использовать WPS Скрыть логин плагин для демонстрации процесса, но если вы предпочитаете любой из других плагинов, вперед. Шаги будут одинаково легкими и быстрыми.

Как изменить URL-адрес входа в WordPress

Установить и активировать WPS Скрыть логин. Идти к Настройка → WPS Скрыть логин.

Прокрутите страницу вниз, вставьте новый URL в поле URL-адрес входа раздел и нажмите Сохранить изменения.

wps скрыть настройки входа — безопасность входа в WordPress

Попробуйте войти с новым URL. Не забудьте поделиться им с товарищами по команде.

👉 Если вам нужна помощь, вот наше специальное руководство: как изменить URL-адрес страницы входа в WordPress.

2. Внедрите двухфакторную аутентификацию

Вы, должно быть, сталкивались с двухфакторной аутентификацией при использовании Facebook и Gmail. Службы обычно отправляют уникальный код на ваш зарегистрированный номер мобильного телефона всякий раз, когда вы пытаетесь войти в свою учетную запись. Эта мера безопасности реализована, чтобы гарантировать, что только владелец учетной записи может получить к ней доступ. Даже если хакеры смогут получить ваши учетные данные, они не смогут украсть уникальный код, отправленный на ваш зарегистрированный номер мобильного телефона.

Двухфакторная аутентификация также может быть применена к вашему веб-сайту WordPress. Это добавит уровень безопасности на страницу входа. Все, что вам нужно сделать, это установить любой из следующих плагинов:

Настроить плагин двухфакторной аутентификации очень просто. Мы будем использовать Google Authenticator miniOrange, чтобы показать вам процесс установки.

Как реализовать двухфакторную аутентификацию

Установите Google Authenticator miniOrange на страницу входа в WordPress. Как только вы активируете плагин, появится виджет настройки. Выберите первый вариант, т.е. Гугл аутентификатор.

установка миниапельсина

Затем загрузите приложение Google Authenticator на свой смартфон. Откройте приложение и отсканируйте QR-код.

гугл аутентификатор 2fa

Приложение создает код. Введите его в виджет настройки и нажмите Сохранять.

2FA безопасность входа в WordPress теперь активна на вашей странице входа.

Безопасность входа в WordPress 2-факторная аутентификация

3. Ограничьте количество неудачных попыток входа в систему

WordPress разрешает своим пользователям неограниченное количество попыток входа в систему. Это может показаться безобидным, но, честно говоря, это вопиющая лазейка в системе безопасности.

Неограниченное количество попыток входа в систему позволяет хакерам проводить атаки методом грубой силы. В этом типе атаки хакеры используют ботов, чтобы найти правильную комбинацию имени пользователя и пароля. Боты терпят неудачу несколько раз, прежде чем случайно находят правильные учетные данные. Один из наиболее эффективных способов противодействия атакам ботов — ограничение попыток входа в систему.

Плагины ниже помогут вам сделать это:

Как ограничить неудачные попытки входа в систему

Установите плагин, а затем перейдите к Ограничить попытки входа в систему → Настройки → Локальное приложение. Здесь вы можете указать, сколько попыток входа в систему должно быть разрешено на вашем веб-сайте. И как долго кто-то будет оставаться заблокированным после указанного количества попыток входа в систему.

Плагин ограничения количества попыток входа — WordPress Login Security

4. Предотвратить обнаружение имени пользователя

Как правило, имя пользователя считается менее важным, чем пароль. Это общедоступная запись, и поэтому мы предполагаем, что она должна иметь низкую ценность. Не правда.

Имя пользователя составляет половину ваших учетных данных. Он должен быть защищен, как и пароль.

На веб-сайте WordPress вы найдете имена пользователей, отображаемые в сообщениях и архивах авторов. К счастью, есть способ отключить их обоих.

Как отключить авторские архивы

Это можно сделать с помощью любого SEO-плагина. В приведенном ниже руководстве мы используем Yoast SEO, чтобы показать это.

Идти к SEO → Внешний вид в поиске → Архивы а затем отключите авторские архивы. Ударять Сохранить изменения.

архив автора yoast

Как изменить отображаемое имя

Отображаемое имя отображается в опубликованных статьях и комментариях. По умолчанию отображаемое имя и имя пользователя (которое вы используете для входа в систему) совпадают. Чтобы предотвратить обнаружение имени пользователя, вы можете изменить отображаемое имя на другое.

имя пользователя и отображаемое имя

Идти к Пользователи → Профиль → Никнейм. Вы не можете напрямую изменить отображаемое имя. Вместо этого измените псевдоним. Затем выберите новый никнейм из раскрывающегося меню ниже.

раскрывающееся имя отображаемого имени

5. Автоматический выход

Автоматический выход из системы защищает веб-сайты от шпионов. Когда пользователи оставляют сеансы без присмотра, автоматический выход завершает сеанс, защищая веб-сайт.

Поведение WordPress по умолчанию — выход пользователя из системы через 48 часов после истечения срока действия файла cookie сеанса входа. И если пользователь установил флажок «Запомнить меня», вы останетесь в системе в течение 14 дней. Для прекращения сеансов из-за небольшого простоя необходимо установить отдельный плагин.

Плагины ниже помогут вам автоматически выйти из системы, чтобы завершить сеансы бездействующих пользователей:

Как включить автоматический выход

Активируйте плагин и перейдите к Настройки → Неактивный выход → Базовое управление. Установите часы на тайм-аут простоя. Существуют также варианты тайм-аутов на основе ролей. Проверьте это, если хотите.

неактивные настройки выхода пользователя

Заключение о безопасности входа в WordPress

Все готово? Большой! Прежде чем вы покинете эту страницу, последний совет: повышение безопасности входа в WordPress сделает вас на шаг ближе к обеспечению безопасности всего вашего веб-сайта, что и является конечной целью!

Несмотря на то, что вы предприняли меры для предотвращения взлома вашего веб-сайта хакерами, злоумышленники все равно могут получить доступ через уязвимые темы и плагины. Поэтому держите свой сайт в актуальном состоянии круглосуточно.

Чтобы еще больше обезопасить свой веб-сайт, мы настоятельно рекомендуем вам принять все меры безопасности, описанные в этом руководстве: 10 ключевых советов по безопасности WordPress.

Если у вас есть какие-либо вопросы о том, как обеспечить безопасность входа в WordPress, сообщите нам об этом в комментариях ниже.

Бесплатное руководство

4 основных шага к ускорению
Ваш сайт WordPress

Следуйте простым шагам из нашей мини-серии из 4 частей.
и сократить время загрузки на 50-80%. 🚀

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *