Кто-то пытается взломать ваш сайт WordPress? Для хакеров не имеет значение какой у вас сайт: простой блог или крутой и дорогой интернет-магазин. Наилучшие атаки не нацелены. Они выполняются с использованием автоматизированных средств сканирования, развернутых на больших бот-сетях. Атакующие – это техника, называемая грубой силой, чтобы попытаться попасть на ваш сайт WordPress. И если такие атаки происходят ежедневно, то как защитить сайт WordPress от взлома?
Во время атаки грубой силы злоумышленники пытаются угадать ваше имя пользователя и пароль. Вы можете подумать, что это сложно, но это не так. Используя бот-сеть, они могут легко попробовать 100 комбинаций за считанные минуты. Рано или поздно они находят кого-то, кто ленился и использовал плохую комбинацию имени пользователя и простой пароль.
Хотя наш любимый способ предотвратить взлом сайта – это использовать HTTP-аутентификацию, но мы расскажем вам и о других способах, которые помогут вам защитить ваш вход в WordPress.
Когда вы настраиваете свой сайт WordPress, не используйте «admin» в качестве своего имени пользователя. Это самый первый совет для владельцев сайта WordPress. Во время хакерской атаки, злоумышленник должен угадать имя пользователя и пароля. Используя admin, вы сделаете половину работы за них. По умолчанию многие темы WordPress создают авторские архивы, которые используют ваше имя пользователя в URL-адресе. Некоторые из заголовков по умолчанию могут также содержать эту информацию. Проверьте все и измените
Используйте надежные пароли. Этим все сказано. Используйте комбинированные пароли, которые не касаются ваших дат и имен. Если вы хотите гарантировать надежный пароль, ознакомьтесь с WP Password Policy Manager , Force Strong Passwords или Enforce Strong Password .
Аутентификация HTTP – это самый надежный метод, потому что он зависит от совершенно другого метода проверки подлинности – HTTP-аутентификации Apache. Это означает, что даже если в WordPress есть ошибка или атака грубой силы, нацеленная на URL-адрес входа в WordPress, HTTP-аутентификации предотвратит эту атаку.
Используйте HTTP-аутентификацию в дополнение к стандартным входам WordPress для повышения безопасности.
Я предлагаю вам использовать разные комбинации имени пользователя и пароля для HTTP AUTH и вашего входа в WordPress.
Если у вас несколько учетных записей авторов или гостя, это может не сработать для вас, но если только вы или небольшая группа заходите в админ.часть сайта, это отличный способ защитить данные входа в WordPress.
WordPress предлагает более 2000 плагинов для безопасности сайта, поэтому есть много вариантов.
Выбор правильного зависит от ваших целей, поскольку многие делают больше, чем просто останавливают атаки грубой силы.
Как и в любом плагине, следует использовать следующие критерии, чтобы определить, какой плагин использовать:
На рейтинг не стоит особо полагаться. Рейтинги слишком легко подделываются, а высокий рейтинг на плагине с несколькими пользователями означает мало.
По результатам, мы обозначили 3 плагина, которые выделяются:
Все три из этих инструментов предлагают различные защиты от атак из WordPress.
Плагины безопасности могут защитить ваш вход в WordPress.
Двухфакторная аутентификация означает, что вам нужно два разных бита для входа. Наиболее распространенным методом является отправка текстового сообщения на ваш мобильный телефон с кодом аутентификации. Чтобы войти в систему, вам нужно знать свое имя пользователя / пароль и иметь свой телефон. Лично я считаю, что это немного накладно для ежедневного использования, особенно когда существуют более простые методы, такие как HTTP AUTH. Однако, если вы хотите использовать двухфакторную аутентификацию, я рекомендую вам проверить DuoSecurity . Они предлагают плагин WordPress, который интегрируется с их системой.
Хотя эта техника может победить ботов, но мы не рекомендуем это делать.
WordPress построен для использования каталога wp-admin. Разработчики тем и плагинов ожидают, что вы будете использовать wp-admin. Когда вы меняете это, вы рискуете сломать WordPress и нарушить безопасность сайта.
