Niezbędne środki bezpieczeństwa w WordPress

Istnieje kilka niezbędnych kroków, które należy podjąć, aby zwiększyć bezpieczeństwo witryny WordPress:
Silne hasła

Użyj silnego hasła do wszystkich kont administratora i okresowo zmieniaj hasła. Silne hasła nie są łatwe do odgadnięcia. Aby włamać się na konto z silnymi hasłami, hakerzy używają ataku brutalnej siły. Zatrzymywanie ataków brutalnej siły opisano poniżej.

Jeśli Twoja witryna została naruszona (lub podejrzewasz, że została ona naruszona), musisz również zmienić klucze bezpieczeństwa w pliku wp-config.php, które służą do szyfrowania plików cookie. Zwykła zmiana hasła nie wystarczy, ponieważ osoba atakująca może nadal mieć prawidłowy plik cookie i mieć dostęp do Twojej witryny.

Więcej informacji na temat konfigurowania kluczy bezpieczeństwa w pliku wp-config.php można znaleźć na stronie http://codex.wordpress.org/Editing_wp-config.php#Security_Keys.

Unikalna nazwa użytkownika

Nie używaj domyślnej nazwy użytkownika admin dla administratora. Zamiast tego utwórz użytkownika o innej nazwie użytkownika, przypisz mu rolę administracyjną, a następnie usuń domyślnego administratora administratora.
Zaktualizuj WordPress, wtyczki i motywy

WordPress jest regularnie aktualizowany w celu usunięcia znanych luk. Uruchamianie starych wersji WordPressa ułatwia hakerom uzyskanie dostępu do Twojej witryny. Regularnie uruchamiaj aktualizacje, aby upewnić się, że WordPress i wszystkie powiązane wtyczki są aktualne. Aby uzyskać więcej informacji o tym, jak zaktualizować WordPress, zobacz ten artykuł.

Usuń nieużywane wtyczki i motywy

Mimo że nieużywane wtyczki i motywy są wyłączone, ten kod jest nadal widoczny w Internecie i może być celem hakerów. Usuń wszelkie nieużywane motywy lub wtyczki, aby ograniczyć możliwość uzyskania dostępu do Twojej witryny przez hakerów.
Regularne kopie zapasowe

Regularnie twórz kopie zapasowe swojej witryny WordPress. Kopie zapasowe nie zapobiegną naruszeniu bezpieczeństwa witryny, ale pomagają szybko przywrócić witrynę do sieci w przypadku kompromisu. Za pomocą Softaculous można tworzyć kopie zapasowe, przywracać i aktualizować witrynę WordPress za pomocą jednego wygodnego interfejsu. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz ten artykuł.
Obrona przed brutalnymi atakami

Brutalny atak to uproszczony rodzaj ataku, w którym użytkownik lub skrypt próbuje uzyskać dostęp do witryny, wielokrotnie zgadując różne kombinacje nazwy użytkownika i hasła. Niestety wiele osób ma łatwą do odgadnięcia kombinację nazwy użytkownika i hasła, więc ataki typu brute force są często skuteczne.

http://sanrahpo1.pl/tworzenie-stron-internetowych
http://sanrahpo1.pl/tworzenie-stron-siedlce
http://sanrahpo1.pl/tworzenie-stron-warszawa
http://sanrahpo1.pl/strony-www-krakow
http://sanrahpo1.pl/strony-www-lodz
http://sanrahpo1.pl/strony-www-poznan
http://sanrahpo1.pl/strony-www-gdansk
http://sanrahpo1.pl/strony-www-szczecin
http://sanrahpo1.pl/strony-www-bydgoszcz
http://sanrahpo1.pl/strony-www-lublin
http://sanrahpo1.pl/strony-www-bialystok

Jeśli Twoja witryna WordPress doświadcza ataku siłowego, możesz zauważyć, że witryna reaguje powoli lub wcale. Dodatkowo możesz nie być w stanie się zalogować. Jest tak, ponieważ zalew prób logowania podczas ataku brute force powoduje liczne wywołania PHP i MySQL. Te połączenia zwiększają obciążenie serwera i negatywnie wpływają na wydajność witryny.

Istnieje kilka środków, które możesz podjąć w celu obrony przed atakami siłowymi na twoją stronę:

Metoda nr 1: Zabezpiecz hasłem stronę logowania WordPress

WordPress używa pliku wp-login.php do logowania. Dodając ochronę hasłem do tego pliku, dodajesz kolejną warstwę zabezpieczeń do swojej witryny. Użytkownicy muszą wprowadzić nazwę użytkownika i hasło, zanim będą mogli uzyskać dostęp do pliku wp-login.php, aby zalogować się do WordPress.

Aby skonfigurować ochronę hasłem dla strony logowania WordPress, wykonaj następujące kroki:

Użyj przeglądarki internetowej, aby przejść do strony 
W polu tekstowym Nazwa użytkownika wpisz nazwę użytkownika.
W polu tekstowym Hasło wpisz hasło użytkownika.
Kliknij opcję Utwórz plik .htpasswd, a następnie skopiuj wiersz tekstu. Wiersz tekstu powinien zawierać podaną nazwę użytkownika, dwukropek (:), a następnie zaszyfrowane hasło. Na przykład:

nazwa użytkownika: $ apr1 $ IUQgDA6U $ qbXb9wEnjirNCqxezpjoe5

Utwórz plik o nazwie .wp-password w katalogu osobistym konta A2 Hosting (/ home / nazwa użytkownika, gdzie nazwa użytkownika reprezentuje nazwę użytkownika konta A2 Hosting). Wklej wiersz tekstu z poprzedniego kroku do pliku. Istnieją dwa sposoby utworzenia i edycji tego pliku:
    Zaloguj się do swojego konta za pomocą SSH i użyj edytora tekstu z wiersza poleceń.
    Zaloguj się do swojego konta za pomocą cPanel i użyj edytora w Menedżerze plików.
Upewnij się, że nazwa pliku .wp-password zaczyna się od kropki (.).
Zapisz plik z hasłem .wp i zamknij edytor tekstu.

Utwórz plik .htaccess w katalogu, w którym zainstalowałeś WordPress:
    Jeśli zainstalowałeś WordPress w katalogu głównym domeny, katalog ten to / home / nazwa użytkownika / public_html, gdzie nazwa użytkownika reprezentuje nazwę użytkownika Twojego konta A2 Hosting.
    Jeśli zainstalowałeś WordPress w podkatalogu lub subdomenie, to katalog ten to / home / nazwa użytkownika / public_html / katalog, gdzie katalog reprezentuje lokalizację WordPress.

Skopiuj i wklej następujący tekst do pliku .htaccess:

# Zapobiegaj udostępnianiu plików .ht * przez Apache:

Zamów dozwolone, odmawiaj
Odmowa od wszystkich


ErrorDocument 401 „401 Nieautoryzowany”
ErrorDocument 403 „403 Forbidden”

# Pro
tect wp-login.php:

AuthUserFile /home/A2-USERNAME/.wp-password
AuthName „Zaloguj się”
AuthType Basic
wymaga użytkownika WP-USERNAME


W pliku .htaccess wprowadź następujące zmiany:
    Zamień A2-USERNAME na swoją nazwę użytkownika konta A2 Hosting (cPanel).
    Zamień WP-USERNAME na nazwę użytkownika podaną w kroku 2.
Jeśli chcesz wyświetlić komunikat logowania inny niż „Zaloguj się”, możesz zmienić wartość dyrektywy AuthName na dowolny tekst.
Zapisz plik .htaccess i zamknij edytor tekstu.
Użyj przeglądarki internetowej, aby przejść do strony logowania WordPress (na przykład http://www.example.com/wp-admin, gdzie example.com reprezentuje nazwę Twojej domeny).
Powinien zostać wyświetlony monit o wpisanie nazwy użytkownika i hasła. Wpisz kombinację nazwy użytkownika i hasła, które określiłeś w krokach 2 i 3. Powinna pojawić się strona logowania do WordPress, a teraz możesz zalogować się do WordPress jak zwykle.

Metoda nr 2: Zablokuj adresom IP dostęp do strony logowania WordPress

Innym sposobem przeciwdziałania atakom siłowym jest blokowanie adresów IP. Dzięki tej konfiguracji możesz zezwolić jednemu (lub kilku) adresom IP na dostęp do strony logowania WordPress i zablokować wszystko inne.
Jeśli włączysz blokowanie adresów IP, a także korzystasz z Cloudflare, upewnij się, że dokładnie przetestowałeś logowanie do witryny. W niektórych konfiguracjach serwerów połączenie funkcji Cloudflare i blokowania adresów IP może uniemożliwić prawidłowe logowanie.

Aby uniemożliwić dostęp do adresów IP stronie logowania, wykonaj następujące kroki:

Utwórz plik .htaccess w katalogu, w którym zainstalowałeś WordPress:
    Jeśli zainstalowałeś WordPress w katalogu głównym domeny, katalog ten to / home / nazwa użytkownika / public_html, gdzie nazwa użytkownika reprezentuje nazwę użytkownika Twojego konta A2 Hosting.
    Jeśli zainstalowałeś WordPress w podkatalogu lub subdomenie, to katalog ten to / home / nazwa użytkownika / public_html / katalog, gdzie katalog reprezentuje lokalizację WordPress.
Jeśli wykonałeś już kroki w celu skonfigurowania ochrony hasłem dla strony logowania, użyj tego samego pliku .htaccess, który utworzyłeś w tej procedurze.

Skopiuj i wklej następujący tekst do pliku .htaccess:

<Pliki wp-login.php>
odmowa zamówienia, zezwól
zezwól na xxx.xxx.xxx.xxx
Odmowa od wszystkich
</Files>

W pliku .htaccess zastąp xxx.xxx.xxx.xxx adresem IP, który chcesz zezwolić na logowanie do WordPress. Wszystkie inne adresy IP będą blokowane przed dostępem do strony wp-login.php.
    Aby przyznać dostęp do wielu adresów IP, możesz dodać wiele zezwoleń z linii.
    Aby ustalić swój aktualny adres IP, możesz odwiedzić
Zapisz plik .htaccess i zamknij edytor tekstu.
Przetestuj swoją witrynę WordPress, aby upewnić się, że nadal działa poprawnie i że masz dostęp do administracyjnej strony logowania.

Metoda nr 3: Zmień adres URL logowania WordPress

Domyślna strona logowania do WordPress to wp-login.php, a podstawowa instalacja WordPress nie pozwala na zmianę tej lokalizacji. Jednak wtyczka Rename wp-login.php umożliwia zmianę adresu URL logowania do WordPress. Może to zmniejszyć wpływ ataków typu „brute force”, które są zwykle skryptami zaprogramowanymi w taki sposób, aby wielokrotnie próbowały zalogować się na stronę wp-login.php.

Po zmianie adresu URL logowania WordPress każdy, kto próbuje uzyskać dostęp do strony wp-login.php lub katalogu wp-admin, otrzymuje komunikat o błędzie „404 nie znaleziono”.

Aby zmienić adres URL logowania do WordPress, wykonaj następujące kroki:

Zaloguj się do swojej witryny WordPress.
Kliknij Wtyczki, a następnie kliknij Dodaj nowe.
W polu tekstowym Wyszukaj wpisz zmień nazwę wp-login, a następnie kliknij polecenie Wyszukaj wtyczki.
Wtyczka Zmień nazwę wp-login.php pojawi się na liście wyników wyszukiwania.
W obszarze Zmień nazwę wp-login.php kliknij Zainstaluj teraz, a następnie kliknij OK, aby rozpocząć instalację.
Po zakończeniu instalacji wtyczki kliknij opcję Aktywuj wtyczkę. Zostanie wyświetlona strona Permalink Settings.
W obszarze Wspólne ustawienia wybierz strukturę bezpośredniego łącza dla swojej witryny.
Nie można używać domyślnej struktury bezpośredniego połączenia z wtyczką Zmień nazwę wp-login.php.
W obszarze Logowanie w polu tekstowym Zmień nazwę wp-login.php wpisz adres URL strony logowania lub zaakceptuj domyślną wartość logowania.
Kliknij Zapisz zmiany. Nowy adres URL logowania do WordPress pojawia się w górnej części strony Permalink Settings.
Przetestuj swoją witrynę WordPress, aby upewnić się, że nadal działa poprawnie i że możesz uzyskać dostęp do strony logowania przy użyciu nowego adresu URL. Ponadto, jeśli próbujesz uzyskać dostęp do wp-login.php lub wp-admin, powinien zostać wyświetlony komunikat o błędzie „404 Nie znaleziono”.

Metoda nr 4: Włącz Cloudflare dla swojej witryny

Cloudflare to sieć dostarczania treści (CDN), która może blokować złośliwe żądania, zanim dotrą do Twojej witryny. Na przykład witryny z obsługą Cloudflare były znacznie chronione podczas ataku siłowego WordPress na dużą skalę, który miał miejsce w kwietniu 2013 r.

Cloudflare działa poprzez kierowanie ruchu do Twojej witryny przez własną sieć. W rezultacie Cloudflare może blokować niektóre rodzaje złośliwych żądań. Cloudflare zwiększa również wydajność witryny, wykorzystując swoją ogólnoświatową sieć serwerów w celu bardziej wydajnego dostarczania treści użytkownikom.