Защита на администраторския акаунт в WordPress

създаване на нов wordpress админ

Здравейте, приятели и читатели на моя блог! В тази статия ще се спрем върху някой моменти в безопасността на WordPress сайт и ще разгледаме важната тема, как да защитим WordPress от взлом и спам – това са едни от най-важните въпроси при работа със сайт.

Ако потърсите в Интернет, то ще намерите хиляди статии с име от типа 10 стъпки за защита на WordPress от хакери или как да защитите вашия WordPress сайт. Тези статии фактически копират една друга не само по съдържание, но често даже и по заглавие на статията. И това не е разбираемо, защото съветите, отнасящи се за безопасността на WordPress и предотвратяване на пробив в сигурността са в по-голямата си част универсални и да се измисли нещо ново е сложно.

Тази статия едва ли ще е изключение, и ако вие вече сте запознати с подобни статии, едва ли ще намерите в тази нещо ново за себе си. Но за начинаещи статията безусловно ще бъде полезна, защото за нея аз реших да използвам, според мен, един от най-важните съвети, следвайки който вие ще може да защитите вашия WordPress сайт и да направите работата му значително по безопасна.

И така, за начало трябва да разберем, с какви начини може да се разбие WordPress сайт, нали знаейки начините за атака е по-лесно да се защитите от нея. Най-разпространения начин за взлом на WordPress, както и всеки друг сайт, е подбор на администраторската парола. Научния термин за този вид атака е с име bruteforce, което се превежда като груба сила.

Това действително е доста образно име, тъй като същността на метода е в простия подбор на паролите докато не се достигне резултата във вид на парола на администратора. Метода е прост, но много успешен. Как да защитите WordPress сайт от метода „груба сила“? Един от най-простите начини за защита е уникалния логин на администратора.

Само едно решение значително ще усили защитата на WordPress от взлом. Проблема е в това, че при инсталация на WordPress повечето потребители не се напрягат да измислят уникално име за вход и избират за логин на администратора admin. Това е грешка! Потенциалните хакери, разбира се, са прекрасно запознати с това и фактически половината работа е свършена от администратора на сайта, който е избрал не безопасния логин. На хакера единствено му остава да търси паролата за този логин.

Затова, ако използвате за администратор логин admin – незабавно го сменете. Как да го направите? Всъщност логина в WordPress не може да се промени. Но може да се създаде нов потребител със администраторски права, а предишния може да се изтрие.

  1. Влезте във Потребители -> Нов и регистрирате нов потребител. Кликнете бутон „Показване на паролата“, за да видите създадената от WordPress парола. Може да използвате нея или да измислите ваша парола.нов админРъководете се от тези правила при създаване на парола:- Не използвайте за име за логин думите admin и administrator;
    – Логин името не трябва да съвпада със името което добавяте във поле „Име“;
    – Логина не трябва да е като името на вашия домейн.
  2. Паролата която ще изберете не трябва да е дума от речника, датата ви на раждане или просто набор от цифри. Паролата трябва да се състои от минимум 7 символа и да включва малки и големи букви, цифри и специални символи като, !, @, #, $, %, ^, &, *, ?.
  3. След като добавите новия администратор излезте от админ акаунта и влезте отново, но вече със новия администраторски акаунт който сте създали.нов администраторнов wp админ
  4. Влезте във Потребители -> Всички и изтрийте предишния администратор.нов wp администратор
  5. Не забравяйте да отбележите в опция „Прехвърляне на съдържанието към:“ името на новия администратор. След това натиснете бутон „Потвърждаване на изтриването“, за да завършите изтриването на стария администраторски акаунт.нов wordpress админ
  6. Вече във сайта има нов администратор, логина на който ви е известен само на вас.нов wordpress администратор

Това значително ще усили защитата на вашия WordPress сайт. Но е възможно все пак вашето име за логин да стане известно на потенциалния хакер. В този случай той може да търси паролата за вашия логин. За да може да спрете и да знаете за такива опити, ви препоръчвам да използвате плъгин Limit Login Attempts.

Плъгина е много прост за настройка и използване и много полезен и просто задължителен за всеки WordPress сайт. Той се грижи да пресича опитите за подбор на парола. Ако някой се опита да търси паролата, то след 4 грешни опита от един ip адрес, от който се прави опита за подбор на паролата, този ip адрес ще бъде блокиран за 20 минути.

Препоръчвам ви поле „позволени опити“ да поставите 3, тоест заключването ще става след три грешни опита. Във поле „минути заключване“ ви препоръчвам да сложите 60, защото 20 минути за заключване ми се струват малко. Сложете чавка в поле „Прати Email до администратора след … заключвания“, за да ви бъде пратен имейл при опит за подбор на парола.

Това е много удобно, защото в този случай ще знаете, че логина вече е дискредитиран и може просто да създадете нов администратор със нов логин, като изтриете предишния.

Това е всичко което исках да ви разкажа в тази статия. Това е само един съвет как да се защитите от хакерски атаки, но, както отбелязах по-горе, това е един от най-важните съвети за безопасност. Успех!

С уважение, Николай Томов.

Хареса ли ви статията? Споделете я с приятелите:

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *