Você está vendo muitos ataques na área de administração do WordPress? Proteger a área de administração do acesso não autorizado permite bloquear muitas ameaças de segurança comuns. Neste artigo, mostraremos algumas das dicas e hacks vitais para proteger sua área de administração do WordPress.
1. Use um firewall de aplicativo de site
Um firewall de aplicativo de site ou WAF monitora o tráfego do site e bloqueia solicitações suspeitas de chegar ao seu site.
Embora existam vários plugins de firewall do WordPress, recomendamos o uso de Sucuri. É um serviço de segurança e monitoramento de sites que oferece um WAF baseado em nuvem para proteger seu site.
Todo o tráfego do seu site passa pelo seu proxy em nuvem em primeiro lugar, onde eles analisam cada solicitação e bloqueiam as pessoas suspeitas de alcançar seu site. Ele impede seu site de possíveis tentativas de hacking, phishing, malware e outras atividades maliciosas.
Para mais detalhes, veja como a Sucuri nos ajudou a bloquear 450.000 ataques em um mês.
2. Proteção contra senha do diretório de administração do WordPress
Sua área de administração do WordPress já está protegida por sua senha do WordPress. No entanto, adicionar proteção por senha ao seu diretório de administração do WordPress adiciona outra camada de segurança ao seu site.
Primeiro faça o login no seu painel de controle do WordPress hosting cPanel e clique no ícone “Proteger por senha ou diretório”.
Em seguida, você precisará selecionar sua pasta wp-admin, que normalmente está localizada dentro / public_html / diretório.
Na próxima tela, você precisa verificar a caixa ao lado da opção ‘Proteger por senha neste diretório’ e fornecer um nome para o diretório protegido.
Depois disso, clique no botão Salvar para definir as permissões.
Em seguida, você precisa pressionar o botão Voltar e, em seguida, criar um usuário. Você será solicitado a fornecer um nome de usuário / senha e depois clicar no botão Salvar.
Agora, quando alguém tenta visitar o administrador do WordPress ou o diretório do wp-admin em seu site, eles serão convidados a inserir o nome de usuário e a senha.
Para obter instruções mais detalhadas
3. Use sempre senhas fortes
Use sempre senhas fortes para todas as suas contas on-line, incluindo seu site WordPress. Recomendamos usar uma combinação de letras, números e caracteres especiais em suas senhas. Isso torna mais difícil para hackers adivinhar sua senha.
Muitas vezes, os iniciantes nos perguntam como lembrar todas essas senhas. A resposta mais simples é que você não precisa. Existem alguns aplicativos de gerenciador de senhas realmente excelentes que você pode instalar no seu computador e nos seus telefones.
Para mais informações sobre este tópico
4. Use a Verificação de dois passos para a tela de login do WordPress
A verificação em dois passos adiciona outra camada de segurança às suas senhas. Em vez de usar a senha sozinha, solicita que você insira um código de verificação gerado pelo aplicativo Google Authenticator no seu telefone.
Mesmo que alguém possa adivinhar sua senha do WordPress, eles ainda precisarão do código do Google Authenticator para entrar.
5. Limitar as tentativas de login
Por padrão, o WordPress permite aos usuários inserir senhas quantas vezes quiserem. Isso significa que alguém pode continuar tentando adivinhar sua senha do WordPress digitando diferentes combinações. Ele também permite que os hackers usem scripts automatizados para quebrar senhas.
Para corrigir isso, você precisa instalar e ativar o plugin Login LockDown. Após a ativação, vá visitar Configurações »Login LockDown página para configurar as configurações do plugin.
Para instruções detalhadas
6. Limite o Acesso de Acesso aos Endereços IP
Outra ótima maneira de proteger o login do WordPress é limitar o acesso a endereços IP específicos. Esta dica é particularmente útil se você ou apenas alguns usuários confiáveis precisam acessar a área de administração.
Basta adicionar este código ao seu arquivo .htaccess.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basicordenar negar, permitir negar de todos # whitelist Endereço IP de Syed permitir a partir de xx.xx.xx.xxx # lista branca endereço IP de David permitir a partir de xx.xx.xx.xxx
Não se esqueça de substituir os valores xx pelo seu próprio endereço IP. Se você usa mais de um endereço IP para acessar a internet, então certifique-se de adicioná-los também.
Para instruções detalhadas
7. Desativar dicas de login
Em uma tentativa de login com falha, o WordPress mostra erros que dizem aos usuários se seu nome de usuário estava incorreto ou a senha. Essas dicas de login podem ser usadas por alguém para tentativas mal-intencionadas.
Você pode facilmente ocultar essas dicas de login adicionando este código ao arquivo functions.php do seu tema ou a um plugin específico do site.
função no_wordpress_errors () {
Retornar 'Algo está errado!';
}
add_filter ('login_errors', 'no_wordpress_errors');
8. Exigir que os usuários usem senhas fortes
Se você executar um site WordPress multi-autor, esses usuários podem editar seu perfil e usar uma senha fraca. Essas senhas podem ser quebradas e dar a alguém acesso à área de administração do WordPress.
Para corrigir isso, você pode instalar e ativar o plugin Force Strong Passwords. Isso funciona fora da caixa, e não há configurações para você configurar. Uma vez ativado, isso impedirá os usuários de salvar senhas mais fracas.
Não verificará a força da senha para as contas de usuários existentes. Se um usuário já estiver usando uma senha fraca, eles poderão continuar usando sua senha.
9. Redefinir senha para todos os usuários
Preocupado com a segurança da senha em seu site multi-usuário do WordPress? Você pode facilmente pedir a todos os seus usuários para redefinir suas senhas.
Primeiro, você precisa instalar e ativar o plugin de inicialização de senha de emergência. Após a ativação, vá visitar Usuários »Reinicialização de senha de emergência página e clique no botão ‘Redefinir todas as senhas’.
10. Mantenha o WordPress atualizado
O WordPress geralmente lança novas versões do software. Cada nova versão do WordPress contém correções de erros importantes, novos recursos e correções de segurança.
Usar uma versão mais antiga do WordPress no seu site deixa você aberto para explorações conhecidas e potenciais vulnerabilidades. Para corrigir isso
Da mesma forma, os plugins do WordPress também são atualizados frequentemente para introduzir novos recursos ou corrigir a segurança e outros problemas. Verifique se os plugins do WordPress também estão atualizados.
11. Criar páginas de login e registro personalizadas
Muitos sites WordPress exigem que os usuários se cadastram. Por exemplo, sites de membros, sites de gerenciamento de aprendizagem ou lojas online precisam de usuários para criar uma conta.
No entanto, esses usuários podem usar suas contas para entrar na área de administração do WordPress. Este não é um grande problema, pois eles só serão capazes de fazer as coisas permitidas pelo seu papel e capacidade de usuário. No entanto, ele impede você de limitar corretamente o acesso às páginas de login e registro, pois você precisa dessas páginas para usuários se inscrever, gerenciar seu perfil e fazer login.
A maneira fácil de corrigir isso é criando páginas de login e registro personalizadas, para que os usuários possam se inscrever e fazer login diretamente do seu site.
Para instruções passo a passo detalhadas
12. Saiba sobre funções e permissões de usuário do WordPress
O WordPress vem com um poderoso sistema de gerenciamento de usuários com diferentes funções e recursos do usuário. Ao adicionar um novo usuário ao seu site WordPress, você pode selecionar uma função de usuário para eles. Essa função de usuário define o que eles podem fazer no seu site WordPress.
A atribuição de função de usuário incorreta pode proporcionar às pessoas mais recursos do que precisam
13. Limitar o acesso ao painel de instrumentos
Alguns sites do WordPress possuem certos usuários que precisam acessar o painel e alguns usuários que não o fazem. No entanto, por padrão, todos podem acessar a área de administração.
Para corrigir isso, você precisa instalar e ativar o plugin Remove Dashboard Access. Após a ativação, vá para Configurações »Acesso ao painel de instrumentos página e selecione quais funções de usuários terão acesso à área de administração em seu site.
Para obter instruções mais detalhadas
14. Faça o login Usuários inativos
O WordPress não desconecta automaticamente os usuários até que eles desconectassem ou fechassem explicitamente a janela do navegador. Isso pode ser uma preocupação para os sites do WordPress com informações confidenciais. É por isso que os sites e aplicativos da instituição financeira descontam automaticamente os usuários se não estiverem ativos.
Para corrigir isso, você pode instalar e ativar o plugin de Logon de Log Inativo. Após a ativação, vá para Configurações »Sair desativado do usuário e digite o tempo após o qual você deseja que os usuários sejam automaticamente desconectados.
Para mais detalhes
Esperamos que este artigo o ajude a aprender algumas novas dicas e hacks para proteger sua área de administração do WordPress