Như chúng ta tiếp tục nhấn mạnh sự an toàn của bảng quản trị WordPress của bạn do các cuộc tấn công gần đây trên trang web của chúng tôi, chúng tôi đã biên soạn một bài viết đầy đủ chi tiết sẽ làm nổi bật một số phải có các biện pháp an ninh cho Admin Diện tích WordPress của bạn.
Chúng tôi không nói rằng bạn phải làm theo tất cả những lời khuyên này, nhưng bạn vẫn cần phải có một vài trong số những thực hiện trên trang web của bạn để chắc chắn. Các bước hơn bạn đi, khó khăn hơn, nó sẽ trở thành cho các tin tặc.
1. Tạo các liên kết Tuỳ Đăng nhập
Nó là rất rõ ràng rằng, để truy cập vào bảng quản trị WordPress, tất cả người ta phải làm là nhập vào các địa chỉ của các trang web với /wp-login.php. Bây giờ nếu bạn sử dụng một mật khẩu trong nhiều hơn một vị trí, và nó đã bị hủy hoại sau đó nó rất dễ dàng cho các hacker để hack trang web của bạn. Một plugin gọi là Stealth Login cho phép bạn tạo ra các URL tuỳ chỉnh cho đăng nhập, đăng xuất, quản lý và đăng ký cho blog WordPress của bạn. Bạn cũng có thể cho phép “Stealth Mode” mà sẽ ngăn chặn người dùng có thể truy cập ‘wp-login.php’ trực tiếp. Sau đó bạn có thể thiết lập url đăng nhập của bạn để một cái gì đó bí ẩn hơn. Điều này sẽ không đảm bảo trang web của bạn một cách hoàn hảo, nhưng nếu ai đó quản lý để crack mật khẩu của bạn, nó có thể làm cho nó khó khăn cho họ để tìm nơi để thực đăng nhập. Điều này cũng ngăn ngừa bất kỳ chương trình được sử dụng cho ý đồ độc hại từ việc truy cập tập tin wp-login.php của bạn và cố gắng để phá vỡ trong.
2. Chọn một mật khẩu mạnh
Đây là một bước rất rõ ràng, nhưng chúng ta phải đề cập đến nó như là nó không thể được nhấn mạnh đủ. Không sử dụng cùng một mật khẩu ở những nơi khác. Cố gắng làm cho mỗi mật khẩu khác nhau và khó đoán. Sử dụng Detector Password Strength WordPress để lợi thế của bạn và làm cho mật khẩu của bạn mạnh mẽ. Một điều bạn muốn làm là thay đổi mật khẩu định kỳ, vì vậy ngay cả khi một số đã đoán mật khẩu của bạn, nó là vô ích với họ một khi bạn đã thay đổi nó.
Tuyệt vời hướng dẫn để tạo mật khẩu mạnh .
3. Giới hạn Đăng nhập nỗ lực
Đôi khi các hacker có thể nghĩ rằng họ biết mật khẩu của bạn, hoặc họ có thể phát triển một kịch bản để đoán mật khẩu của bạn. Trong trường hợp đó những gì bạn cần làm là hạn chế những nỗ lực đăng nhập. Bạn có thể dễ dàng làm điều đó bằng cách sử dụng một plugin gọi là nỗ lực giới hạn Đăng nhập mà sẽ khóa người dùng ra nếu họ nhập sai mật khẩu nhiều hơn thời gian quy định. Họ sẽ được khóa ra cho một thời gian xác định.Bạn có thể kiểm soát các thiết lập thông qua bảng wp-admin của bạn.
4. Sử dụng an toàn SSL Đăng nhập Trang
Bạn có thể đăng nhập vào WordPress Admin Panel thông qua các kênh mã hóa với SSL có nghĩa là URL phiên của bạn sẽ có https: //. Bạn phải xác nhận với webhost của bạn mà bạn có Shared SSL, hoặc bạn sở hữu một chứng chỉ SSL . Một khi bạn đã xác nhận dán đoạn mã sau vào bạn wp-config.php file:
[php]define(’FORCE_SSL_ADMIN’, true);[/php]
Ngoài ra còn có một plugin gọi là SSL quản trị đó sẽ buộc SSL trên tất cả các trang.Nó là dễ dàng hơn nếu bạn chạy plugin này, nhưng nó chỉ tương thích với phiên bản 2.7 trở lên.
5. Bảo vệ mật khẩu WP-Admin mục
Không có gì sai với việc có hai mật khẩu là. Nó chỉ cần thêm một cấp độ bảo mật cho WordPress của bạn quản trị khu vực. Điều này có thể được thực hiện bằng cách sử dụng một plugin gọi là AskApache Password Protect . Nó mã hóa mật khẩu của bạn và tạo ra các tập tin htpasswd, cũng như thiết lập các quyền truy cập file tăng cường bảo mật chính xác trên cả hai. Bạn cũng có thể sử dụng cPanel Bảo vệ mật khẩu trên một Directory nếu bạn đang sử dụng một máy chủ Web cPanel để mật khẩu bảo vệ thư mục wp-admin.
6. Giới hạn truy cập thông qua địa chỉ IP
Bạn có thể giới hạn truy cập vào WP-Admin của bạn Panel và chỉ cho phép địa chỉ IP nhất định để truy cập. Tất cả bạn phải làm là tạo ra một tập tin .htaccess trong / wp-admin / thư mục nếu không có ai ở đó rồi. Dán đoạn code sau:
[php][/php]AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx </LIMIT>[php][/php]
Thay đổi địa chỉ IP và nó sẽ làm việc. Nhược điểm để hack này là nếu bạn muốn truy cập vào bảng điều khiển quản trị từ một số nơi khác, bạn sẽ không thể làm như vậy trừ khi bạn thêm rằng thêm IP trong tập tin .htaccess.
Cập nhật: Trong những ý kiến Henry đề nghị một cách thay thế bằng htpasswd và combo với IP mà sẽ cho phép bạn nhập từ những nơi khác. Kiểm tra nó ra ở đây .
nguồn
7. Đừng bao giờ sử dụng “admin” Tên đăng nhập
Đây là người dùng đầu tiên được tạo ra khi WordPress được cài đặt. Bạn không bao giờ nên sử dụng hoặc tiếp tục sử dụng này. Bởi vì trong nhiều sơ hở trong quá khứ đã được tìm thấy được liên kết đến Brute Force Attack và tên người dùng quản trị, bạn nên ngưng sử dụng nó. Bạn nên tạo một người dùng khác sử dụng bảng quản trị WordPress của bạn, và gán vai trò quản trị để nó. Cố gắng để làm một cái gì đó tên người dùng này đó là không rõ ràng, vì vậy nó là khó khăn hơn cho hacker đoán. Sau đó, xóa người dùng admin hoàn toàn để ở lại ở bên an toàn.
8. Di chuyển Thông báo lỗi trên Trang Đăng Nhập
Khi bạn nhập sai mật khẩu hoặc tên người dùng không hợp lệ, bạn nhận được một thông báo lỗi trong các trang đăng nhập. Vì vậy, nếu một hacker được một điều đúng đắn, thông báo lỗi sẽ giúp họ xác định đó. Vì vậy nó được khuyến khích nếu bạn loại bỏ thông báo lỗi hoàn toàn. Mở của bạn functions.php nằm trong thư mục chủ đề của bạn và dán đoạn code sau:
[php][/php]add_filter('login_errors',create_function('$a', "return null;"));[php][/php]
Một plugin gọi là an toàn WordPress cũng hoàn thành điều này và nó có nhiều tính năng khác nữa. Kiểm tra nó ra để xem nếu bạn đang quan tâm.
9. Sử dụng mã hóa Password để đăng nhập
Khi bạn không có được kích hoạt SSL, phương pháp này có ích. Có một plugin cho phép bạn làm công việc này, và nó được gọi là Semisecure Login tưởng tượng lại .Semisecure Login tưởng tượng lại làm tăng sự an toàn của quá trình đăng nhập bằng cách sử dụng khóa công khai RSA để mã hóa mật khẩu trên phía máy khách khi người dùng đăng nhập. Các máy chủ sau đó giải mã các mật khẩu được mã hóa với khóa riêng. Javascript là cần thiết để cho phép mã hóa.
10 WordPress Bảo vệ AntiVirus
Antivirus cho WordPress là một giải pháp thông minh và hiệu quả để bảo vệ blog của bạn chống lại khai thác và tiêm thư rác. Điểm đặc biệt của plugin này là Hướng dẫn kiểm tra với kết quả trực tiếp của các tập tin bị nhiễm, và tự động kiểm tra hàng ngày với thông báo email.
11. Stay Cập nhật với WordPress phiên bản mới nhất
Cuối cùng nhưng chắc chắn không phải là ít nhất là để luôn cập nhật với phiên bản mới nhất của WordPress bởi vì sau khi mỗi phiên bản được phát hành, WordPress cũng phát hành các lỗi và lỗ hổng trong các phiên bản trước đó đặt Diện tích Quản trị của bạn trong nguy cơ nếu bạn không nâng cấp.
Những thủ thuật bạn có để bảo vệ quản lý Khu WordPress của bạn?
[Update từ Comments]
Nhờ Yves cho thấy plugin này trong các ý kiến.
12. One Time Password
One Time Password Plugin cho phép bạn đăng nhập vào WordPress weblog sử dụng mật khẩu đó là hợp lệ chỉ cho một phiên. Mật khẩu một lần ngăn chặn ăn cắp mật khẩu WordPress chính của bạn trong môi trường ít đáng tin cậy, giống như các quán cà phê internet, ví dụ bởi keyloggers.
Một plugin tốt đề nghị của Constantine trong các ý kiến:
13. WordPress Firewall Plugin
WordPress Firewall Plugin Detect, intecept, và đăng nhập các thông số có vẻ đáng ngờ – và ngăn chặn họ ảnh hưởng WordPress. Nó cũng bảo vệ hầu hết các plugin WordPress từ các cuộc tấn công tương tự. Bạn có thể tùy chọn cấu hình như là plugin đầu tiên để tải về an ninh tối đa. Nó sẽ cung cấp cho bạn một tùy chọn để gửi một email đến bạn với một bãi chứa thông tin hữu ích khi ngăn chặn một cuộc tấn công tiềm năng và nhiều hơn nữa.