Bạn có gặp rất nhiều cuộc tấn công vào khu vực quản trị WordPress của bạn? Bảo vệ khu vực quản trị khỏi bị truy cập trái phép cho phép bạn chặn nhiều mối đe dọa bảo mật thông thường. Trong bài này, chúng tôi sẽ giới thiệu cho bạn một số mẹo và hacks quan trọng để bảo vệ khu vực quản trị WordPress của bạn.
1. Sử dụng Tường lửa Ứng dụng Trang web
Một tường lửa ứng dụng trang web hoặc WAF theo dõi lưu lượng trang web và chặn các yêu cầu đáng ngờ từ việc truy cập vào trang web của bạn.
Mặc dù có một số plugins tường lửa WordPress trên đó, chúng tôi khuyên bạn nên sử dụng Sucuri. Đây là một trang web bảo mật và giám sát dịch vụ cung cấp một WAF dựa trên đám mây để bảo vệ trang web của bạn.
Tất cả lưu lượng truy cập trang web của bạn đều đi qua proxy đám mây của họ trước tiên, ở đó họ phân tích từng yêu cầu và chặn những người đáng ngờ khỏi việc truy cập vào trang web của bạn. Nó ngăn chặn trang web của bạn khỏi những nỗ lực hacking, phishing, malware và các hoạt động độc hại khác.
Để biết thêm chi tiết, hãy xem cách Sucuri đã giúp chúng tôi chặn 450.000 cuộc tấn công trong một tháng.
2. Bảo vệ mật khẩu WordPress Admin Directory
Khu vực quản trị WordPress của bạn đã được bảo vệ bởi mật khẩu WordPress của bạn. Tuy nhiên, việc thêm mật khẩu bảo vệ vào thư mục quản trị WordPress của bạn thêm một lớp bảo mật nữa vào trang web của bạn.
Đăng nhập vào WordPress hosting cPanel dashboard và sau đó nhấp vào ‘Password Protect Directories’ hoặc ‘Directory Privacy’.
Tiếp theo, bạn sẽ cần phải chọn thư mục wp-admin của bạn, thường nằm trong thư mục / public_html /.
Trên màn hình tiếp theo, bạn cần phải chọn hộp kiểm bên cạnh tùy chọn ‘Bảo vệ mật khẩu thư mục này’ và cung cấp tên cho thư mục được bảo vệ.
Sau đó, nhấp vào nút lưu để thiết lập quyền.
Tiếp theo, bạn cần nhấn nút quay lại và sau đó tạo một người dùng. Bạn sẽ được yêu cầu cung cấp tên người dùng / mật khẩu và sau đó nhấp vào nút lưu.
Bây giờ khi ai đó cố gắng truy cập vào thư mục quản trị viên WordPress hoặc wp-admin trên trang web của bạn, họ sẽ được yêu cầu nhập tên người dùng và mật khẩu.
Để biết thêm hướng dẫn chi tiết
3. Luôn luôn sử dụng mật khẩu mạnh
Luôn sử dụng mật khẩu mạnh mẽ cho tất cả các tài khoản trực tuyến của bạn bao gồm trang web WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng kết hợp các chữ cái, số và các ký tự đặc biệt trong mật khẩu của bạn. Điều này làm cho tin tặc khó đoán mật khẩu của bạn hơn.
Chúng tôi thường hỏi những người mới bắt đầu làm thế nào để nhớ tất cả những mật khẩu đó. Câu trả lời đơn giản nhất là bạn không cần. Có một số ứng dụng quản lý mật khẩu thực sự tuyệt vời mà bạn có thể cài đặt trên máy tính và điện thoại của mình.
Để biết thêm thông tin về chủ đề này
4. Sử dụng Xác minh Hai Bước để WordPress Login Screen
Xác minh hai bước thêm lớp bảo mật khác vào mật khẩu của bạn. Thay vì chỉ sử dụng mật khẩu, nó sẽ yêu cầu bạn nhập mã xác minh được tạo bởi ứng dụng Google Authenticator trên điện thoại của bạn.
Ngay cả khi ai đó có thể đoán mật khẩu WordPress của bạn, họ vẫn cần mã Google Authenticator để đăng nhập.
5. Hạn chế Đăng nhập Đăng nhập
Theo mặc định, WordPress cho phép người dùng nhập mật khẩu nhiều lần như họ muốn. Điều này có nghĩa là ai đó có thể tiếp tục thử đoán mật khẩu WordPress bằng cách nhập các kết hợp khác nhau. Nó cũng cho phép hacker sử dụng các kịch bản tự động để crack mật khẩu.
Để khắc phục điều này, bạn cần cài đặt và kích hoạt plugin Đăng nhập LockDown. Khi kích hoạt, hãy vào thăm Cài đặt »Đăng nhập Khóa để định cấu hình cài đặt plugin.
Để có hướng dẫn chi tiết
6. Hạn chế đăng nhập vào các địa chỉ IP
Một cách tuyệt vời khác để bảo vệ đăng nhập WordPress là hạn chế quyền truy cập vào các địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích nếu bạn hoặc chỉ một vài người dùng tin cậy cần truy cập vào khu vực quản trị.
Chỉ cần thêm mã này vào tệp tin .htaccess của bạn.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Quản trị Truy cập Kiểm soát" AuthType Basiclệnh từ chối, cho phép tư chôi tât cả # địa chỉ IP của Syed trong danh sách trắng cho phép từ xx.xx.xx.xxx # địa chỉ IP của David trong danh sách trắng cho phép từ xx.xx.xx.xxx
Đừng quên thay thế các giá trị xx bằng địa chỉ IP của bạn. Nếu bạn sử dụng nhiều địa chỉ IP để truy cập vào internet, hãy chắc chắn rằng bạn thêm chúng vào.
Để có hướng dẫn chi tiết
7. Vô hiệu hoá gợi ý đăng nhập
Trong nỗ lực đăng nhập thất bại, WordPress hiển thị lỗi cho người dùng biết tên người dùng của họ không chính xác hoặc mật khẩu. Những gợi ý đăng nhập này có thể được sử dụng bởi ai đó vì những nỗ lực nguy hiểm.
Bạn có thể dễ dàng ẩn những gợi ý đăng nhập này bằng cách thêm mã này vào tệp functions.php của chủ đề hoặc một plugin dành riêng cho trang web.
hàm no_wordpress_errors () {
trở lại 'Cái gì đó sai!';
}
add_filter ('login_errors', 'no_wordpress_errors');
8. Yêu cầu người dùng sử dụng mật khẩu mạnh
Nếu bạn chạy một trang web WordPress nhiều tác giả, sau đó những người dùng có thể chỉnh sửa hồ sơ của họ và sử dụng một mật khẩu yếu. Những mật khẩu này có thể được nứt và cung cấp cho một người nào đó truy cập vào khu vực quản trị WordPress.
Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Force Strongwords. Nó hoạt động ra khỏi hộp, và không có cài đặt cho bạn để cấu hình. Sau khi kích hoạt, nó sẽ dừng người dùng tiết kiệm mật khẩu yếu.
Nó sẽ không kiểm tra mật khẩu cho các tài khoản người dùng hiện có. Nếu người dùng đã sử dụng một mật khẩu yếu, sau đó họ sẽ có thể tiếp tục sử dụng mật khẩu của họ.
9. Đặt lại mật khẩu cho tất cả người dùng
Quan tâm đến bảo mật mật khẩu trên trang web WordPress đa người dùng của bạn? Bạn có thể yêu cầu tất cả người dùng của mình đặt lại mật khẩu.
Trước tiên, bạn cần phải cài đặt và kích hoạt plugin Cài đặt lại Mật khẩu Khẩn cấp. Khi kích hoạt, hãy vào thăm Người dùng »Thiết lập lại mật khẩu khẩn cấp và nhấp vào nút ‘Đặt lại Tất cả Mật khẩu’.
10. Tiếp tục cập nhật WordPress
WordPress thường phát hành phiên bản mới của phần mềm. Mỗi bản phát hành mới của WordPress chứa các bản sửa lỗi, các tính năng mới và các bản sửa lỗi bảo mật quan trọng.
Việc sử dụng một phiên bản WordPress cũ hơn trên trang của bạn sẽ giúp bạn mở ra các khai thác và các lỗ hổng tiềm ẩn. Để sửa lỗi này
Tương tự như vậy, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa chữa bảo mật và các vấn đề khác. Hãy chắc chắn rằng plugin WordPress của bạn cũng được cập nhật.
Tạo trang đăng nhập và đăng ký tùy chỉnh
Nhiều trang web WordPress yêu cầu người dùng đăng ký. Ví dụ: các trang web thành viên, trang quản lý học tập hoặc cửa hàng trực tuyến cần người dùng tạo tài khoản.
Tuy nhiên, những người dùng này có thể sử dụng tài khoản của họ để đăng nhập vào khu vực quản trị WordPress. Đây không phải là một vấn đề lớn vì họ sẽ chỉ có thể làm những điều được cho phép bởi vai trò người dùng và các khả năng của họ. Tuy nhiên, nó ngăn cản bạn hạn chế quyền truy cập vào các trang đăng nhập và đăng ký vì bạn cần các trang đó để người dùng đăng ký, quản lý hồ sơ của họ và đăng nhập.
Cách dễ dàng để khắc phục sự cố này là tạo các trang đăng nhập và đăng ký tùy chỉnh để người dùng có thể đăng ký và đăng nhập trực tiếp từ trang web của bạn.
Để có hướng dẫn chi tiết từng bước
12. Tìm hiểu về Vai trò Người dùng và Quyền của WordPress
WordPress đi kèm với một hệ thống quản lý người dùng mạnh mẽ với vai trò người dùng khác nhau và khả năng. Khi thêm một người dùng mới vào trang WordPress của bạn, bạn có thể chọn một vai trò người dùng cho họ. Vai trò người dùng này định nghĩa những gì họ có thể làm trên trang web WordPress của bạn.
Việc gán vai trò người dùng không chính xác có thể cung cấp cho mọi người nhiều khả năng hơn mức cần thiết
13. Giới hạn Truy cập Trang tổng quan
Một số trang web WordPress có một số người dùng cần truy cập vào bảng điều khiển và một số người dùng không. Tuy nhiên, theo mặc định tất cả họ đều có thể truy cập khu vực quản trị.
Để khắc phục sự cố này, bạn cần phải cài đặt và kích hoạt plugin Xoá Dashboard Access. Khi kích hoạt, vào Cài đặt »Truy cập Bảng điều khiển và chọn vai trò người dùng nào sẽ có quyền truy cập vào khu vực quản trị trên trang web của bạn.
Để biết thêm hướng dẫn chi tiết
14. Đăng xuất người dùng không hoạt động
WordPress không tự động đăng xuất người dùng cho đến khi họ rõ ràng đăng xuất hoặc đóng cửa sổ trình duyệt của họ. Đây có thể là mối quan tâm đối với các trang web WordPress với thông tin nhạy cảm. Đó là lý do tại sao trang web và tổ chức tài chính tự động đăng xuất người dùng nếu họ chưa hoạt động.
Để khắc phục sự cố này, bạn có thể cài đặt và kích hoạt plugin Người dùng Không đăng nhập không hoạt động Khi kích hoạt, vào Cài đặt »Đăng xuất người dùng không hoạt động và nhập thời gian sau đó bạn muốn người dùng tự động đăng xuất.
Để biết thêm chi tiết
Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu một số mẹo mới và hacks để bảo vệ khu vực quản trị WordPress của bạn