Nakikita mo ba ang maraming pag-atake sa iyong lugar ng admin ng WordPress? Ang pagprotekta sa lugar ng admin mula sa hindi awtorisadong pag-access ay nagbibigay-daan sa iyo upang hadlangan ang maraming mga karaniwang pagbabanta sa seguridad. Sa artikulong ito, ipapakita namin sa iyo ang ilan sa mahahalagang tip at mga hack upang maprotektahan ang iyong WordPress admin area.
1. Gumamit ng Application Firewall ng Website
Ang isang website firewall ng application o WAF sinusubaybayan ng trapiko ng website at hinaharangan ang mga kahina-hinalang kahilingan mula sa pag-abot sa iyong website.
Habang may ilang mga WordPress firewall plugins out doon, inirerekumenda namin ang paggamit ng Sucuri. Ito ay isang serbisyo sa seguridad at pagmamanman ng website na nag-aalok ng cloud based WAF upang protektahan ang iyong website.
Ang lahat ng trapiko ng iyong website ay napupunta sa pamamagitan ng kanilang proxy sa ulap, kung saan nila pag-aralan ang bawat kahilingan at harangan ang mga kahina-hinalang mga bagay mula sa kailanman naabot ang iyong website. Pinipigilan nito ang iyong website mula sa mga posibleng pagtatangka, pag-phishing, malware at iba pang mga nakakahamak na aktibidad.
Para sa higit pang mga detalye, tingnan kung paano nakatulong sa amin si Sucuri na i-block ang 450,000 atake sa isang buwan.
2. Password Protektahan ang WordPress Admin Directory
Ang iyong WordPress admin na lugar ay protektado ng iyong password sa WordPress. Gayunpaman, ang pagdaragdag ng proteksyon ng password sa iyong WordPress admin directory ay nagdaragdag ng isa pang layer ng seguridad sa iyong website.
Unang pag-login sa iyong WordPress hosting cPanel dashboard at pagkatapos ay mag-click sa icon na ‘Protektahan ang Mga Direktoryo’ o ’Privacy Directory’.
Susunod, kakailanganin mong piliin ang iyong wp-admin na folder, na karaniwang matatagpuan sa loob ng / public_html / directory.
Sa susunod na screen, kailangan mong suriin ang kahon sa tabi ng pagpipiliang ‘Protektahan ang password na direktoryong ito’ at magbigay ng isang pangalan para sa protektadong direktoryo.
Pagkatapos nito, mag-click sa pindutang save upang itakda ang mga pahintulot.
Susunod, kailangan mong pindutin ang back button at pagkatapos ay lumikha ng isang user. Hihilingin sa iyo na magbigay ng isang username / password at pagkatapos ay mag-click sa pindutang save.
Ngayon kapag ang isang tao ay sumusubok na bisitahin ang WordPress admin o wp-admin na direktoryo sa iyong website, hihilingin sila na ipasok ang username at password.
Para sa mas detalyadong mga tagubilin
3. Laging Gamitin ang Malakas na Mga Password
Laging gumamit ng malakas na mga password para sa lahat ng iyong mga online na account kasama ang iyong WordPress site. Inirerekomenda namin ang paggamit ng isang kumbinasyon ng mga titik, numero, at mga espesyal na character sa iyong mga password. Ito ay mas mahirap para sa mga hacker na hulaan ang iyong password.
Madalas tayong tinanong ng mga nagsisimula kung paano matandaan ang lahat ng mga password. Ang pinakasimpleng sagot ay hindi mo na kailangang. Mayroong ilang mga talagang mahusay na apps ng tagapamahala ng password na maaari mong i-install sa iyong computer at telepono.
Para sa karagdagang impormasyon sa paksang ito
4. Gumamit ng Dalawang Hakbang na Pag-verify sa WordPress Login Screen
Nagdagdag ang dalawang hakbang na pag-verify ng isa pang layer ng seguridad sa iyong mga password. Sa halip na gamitin ang password nang mag-isa, hinihiling sa iyo na magpasok ng verification code na binuo ng Google Authenticator app sa iyong telepono.
Kahit na mahuhulaan ng isang tao ang iyong password sa WordPress, kakailanganin pa rin nila ang code ng Google Authenticator upang makapasok.
5. Limitahan ang Mga Pag-login sa Pag-login
Bilang default, pinapayagan ng WordPress ang mga user na magpasok ng mga password nang maraming beses hangga’t gusto nila. Nangangahulugan ito na maaaring patuloy na hulaan ng isang tao ang iyong password sa WordPress sa pamamagitan ng pagpasok ng iba’t ibang mga kumbinasyon. Pinapayagan din nito ang mga hacker na gumamit ng mga awtomatikong script upang i-crack ang mga password.
Upang ayusin ito, kailangan mong i-install at i-activate ang Login LockDown plugin. Sa pag-activate, pumunta sa pagbisita Mga Setting »Mag-login LockDown pahina upang i-configure ang mga setting ng plugin.
Para sa mga detalyadong tagubilin
6. Limitahan ang Access sa Pag-login sa Mga IP Address
Ang isa pang mahusay na paraan upang ma-secure ang WordPress login ay sa pamamagitan ng paglilimita ng access sa mga tukoy na mga IP address. Ang tip na ito ay partikular na kapaki-pakinabang kung ikaw o lamang ng ilang mga mapagkakatiwalaang gumagamit ay nangangailangan ng access sa lugar ng admin.
Idagdag lamang ang code na ito sa iyong .htaccess file.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Control ng Admin ng Access sa WordPress" AuthType Basicipagpaliban ang order, payagan tanggihan mula sa lahat # IP address ng whitelist Syed payagan mula sa xx.xx.xx.xxx # IP address ng whitelist David payagan mula sa xx.xx.xx.xxx
Huwag kalimutang palitan ang mga halaga ng xx gamit ang iyong sariling IP address. Kung gumagamit ka ng higit sa isang IP address upang ma-access ang internet, tiyakin na idagdag mo rin ang mga ito.
Para sa mga detalyadong tagubilin
7. Huwag paganahin ang Mga Pahiwatig sa Pag-login
Sa isang nabigong pagtatangka sa pag-login, nagpapakita ang WordPress ng mga error na nagsasabi sa mga gumagamit kung mali ang kanilang username o password. Ang mga pahiwatig sa pag-login ay maaaring magamit ng isang tao para sa mga malisyosong pagtatangka.
Madali mong itago ang mga pahiwatig sa pag-login sa pamamagitan ng pagdaragdag ng code na ito sa mga function.php ng iyong tema o isang site-specific na plugin.
function na no_wordpress_errors () {
bumalik 'May mali!';
}
add_filter ('login_errors', 'no_wordpress_errors');
8. Mangailangan ng mga Gumagamit na Gumamit ng Malakas na Mga Password
Kung nagpapatakbo ka ng isang multi-may-akda ng WordPress na site, maaaring ma-edit ng mga user ang kanilang profile at gumamit ng mahina password. Ang mga password na ito ay maaaring basagin at magbigay ng isang tao ng access sa WordPress admin area.
Upang ayusin ito, maaari mong i-install at i-activate ang Force Strong Passwords plugin. Gumagana ito sa kahon, at walang mga setting para sa iyo upang i-configure. Sa sandaling maisaaktibo, ititigil nito ang mga gumagamit mula sa pag-save ng mga weaker password.
Hindi nito susuriin ang lakas ng password para sa mga umiiral nang account ng gumagamit. Kung ang isang gumagamit ay gumagamit na ng isang mahina password, pagkatapos ay magagawang ipagpatuloy ang paggamit ng kanilang password.
9. I-reset ang Password para sa Lahat ng Mga User
Nababahala tungkol sa seguridad ng password sa iyong multi-user na WordPress na site? Madali mong hilingin sa lahat ng iyong mga user na i-reset ang kanilang mga password.
Una, kailangan mong i-install at i-activate ang plugin ng I-reset ang Emergency Password. Sa pag-activate, pumunta sa pagbisita Mga User »I-reset ang Password sa Emergency pahina at mag-click sa ‘I-reset ang Lahat ng Mga Password’ na pindutan.
10. Panatilihing Nai-update ang WordPress
Ang WordPress ay madalas na naglalabas ng mga bagong bersyon ng software. Ang bawat bagong release ng WordPress ay naglalaman ng mahahalagang pag-aayos ng bug, mga bagong tampok, at pag-aayos sa seguridad.
Ang paggamit ng isang mas lumang bersyon ng WordPress sa iyong site ay nagbubukas na bukas sa mga kilalang pagsasamantala at potensyal na mga kahinaan. Upang ayusin ito
Katulad nito, ang mga plugin ng WordPress ay madalas ding na-update upang ipakilala ang mga bagong tampok o ayusin ang seguridad at iba pang mga isyu. Tiyaking napapanahon din ang iyong mga plugin ng WordPress.
11. Lumikha ng Pasadyang Pag-login at Mga Pahina ng Pagpaparehistro
Maraming mga WordPress na site ang nangangailangan ng mga user na magparehistro. Halimbawa, ang mga site ng pagiging kasapi, mga site sa pamamahala ng pag-aaral, o mga online na tindahan ay nangangailangan ng mga user na lumikha ng isang account.
Gayunpaman, maaaring gamitin ng mga user na ito ang kanilang mga account upang mag-log in sa WordPress admin area. Hindi ito isang malaking isyu, dahil magawa lamang nila ang mga bagay na pinapayagan ng kanilang papel at kakayahan ng gumagamit. Gayunpaman, ito ay huminto sa iyo mula sa maayos na paglilimita ng pag-access sa mga pahina ng pag-login at pagpaparehistro hangga’t kailangan mo ang mga pahinang iyon para mag-signup ang mga user, pamahalaan ang kanilang profile, at pag-login.
Ang madaling paraan upang ayusin ito ay sa pamamagitan ng paglikha ng mga pasadyang pag-login at mga pahina ng pagpaparehistro, upang ang mga gumagamit ay maaaring mag-sign up at direktang mag-login mula sa iyong website.
Para sa mga detalyadong hakbang sa pamamagitan ng mga tagubilin sa hakbang
12. Alamin ang Tungkol sa Mga Tungkulin at Mga Pahintulot ng Gumagamit ng WordPress
Ang WordPress ay may isang malakas na sistema ng pamamahala ng gumagamit na may iba’t ibang mga tungkulin at kakayahan ng gumagamit. Kapag nagdaragdag ng isang bagong user sa iyong WordPress site maaari kang pumili ng isang papel ng gumagamit para sa kanila. Ang papel ng user na ito ay tumutukoy sa kung ano ang maaari nilang gawin sa iyong WordPress site.
Ang pagtatalaga ng di-tamang pagkilos ng gumagamit ay maaaring magbigay sa mga tao ng higit na kakayahan kaysa sa kailangan nila
13. Limitahan ang Dashboard Access
Ang ilang mga WordPress site ay may ilang mga gumagamit na nangangailangan ng access sa dashboard at ilang mga gumagamit na hindi. Gayunpaman, sa pamamagitan ng default maaari nilang ma-access ang lahat ng lugar ng admin.
Upang ayusin ito, kailangan mong i-install at i-activate ang Remove Dashboard Access plugin. Sa pag-activate, pumunta sa Mga Setting »Dashboard Access pahina at piliin kung aling mga user ang mga tungkulin ay magkakaroon ng access sa lugar ng admin sa iyong site.
Para sa mas detalyadong mga tagubilin
14. Mag-log out Mga Idle Users
Ang WordPress ay hindi awtomatikong mag-log out ng mga gumagamit hangga’t tahasan silang mag-log out o isara ang kanilang browser window. Ito ay maaaring isang pag-aalala para sa mga site ng WordPress na may sensitibong impormasyon. Iyon ang dahilan kung bakit awtomatikong mag-log out ang mga website at apps ng mga institusyong pampinansya kung hindi sila aktibo.
Upang ayusin ito, maaari mong i-install at i-activate ang Idle User Logout plugin. Sa pag-activate, pumunta sa Mga Setting »Idle User Logout pahina at ipasok ang oras pagkatapos na nais mong awtomatikong mai-log out ang mga user.
Para sa higit pang mga detalye
Inaasahan namin ang artikulong ito na matulungan kang matuto ng ilang mga bagong tip at mga hack upang maprotektahan ang iyong WordPress admin area