Есть вы имеете свой собственный сайт на wordpress, рано или поздно вам придется думать о необходимости реализовать какую-то защиту. Одна из уязвимостей – страница входа в административную часть сайта. Давайте посмотрим, что в себя включает защита админки wordpress.
Защита админки на CMS WordPress: что можно сделать?
Сначала я предлагаю несколько простых рекомендаций, потом несколько более конкретных и действенных. Итак, первое, что вы можете сделать, это поставить сложный пароль. Банальный совет, но важно этим не пренебрегать.
Не используйте для входа в админку пароль, который вы также используете на множестве других сайтов. Движок сам отлично генерирует пароли. И я рекомендую позволить ему сгенерировать вам пароль и записать его в надежное место.
Второе – использовать нестандартный логин. На многих сайтах стоит логин типа: admin, siteadmin и т.д. Таким образом, хакеру остается подобрать только пароль.
Скрыть логин. Дело в том, что в большинстве тем по умолчанию отображается имя автора. А это, по сути, логин для входа в админку. Я это поле убрал. Во-первых, какая разница, кто написал статью? Миша, Вася или Коля? Нет никакого значения, людей интересует сама статья, его содержание и польза для них. Во-вторых, при скрытом логине даже если он у вас является простым, никто его так просто не узнает.
Продвинутая защита админки на WordPress сайте
Если вы сделали все вышеперечисленное, уже можно сказать, что серьезно обезопасили админку. Но пока у нас нет никакой защиты против ботов, вводящих миллионы комбинаций логина-пароля за короткое время.
Конечно, если у вас пароль состоит из 20 хаотичных символов, то боту ничего не светит, но зачем вообще допускать такие попытки? Решение простое – поставить плагин Login LockDown. Он предлагает такой вариант – блокировать доступ к странице входа после нескольких неудачных попыток входа.
Плагин имеет интуитивно понятные настройки. Их можно найти в боковой панели WordPress на вкладке «Настройки». Самая главная – это количество попыток, которые даются одному пользователю для успешного входа. Я рекомендую выставить число 3. Трех попыток хватит, чтобы зайти на сайт даже в очень рассеянном состоянии.
Если вы ведете блог самостоятельно, то можно поступить более радикально – поставить только 1 попытку на вход. Есть риск, что вы сами случайно неправильно введете данные. В таком случае придется через диспетчер файлов удалять плагин, чтобы убрать блокировку.
Другая настройка – время, на которое блокируется доступ. По умолчанию стоит 60 минут. В принципе, это отобьет желание подбора пароля у любого, кто захотел зайти на ваш сайт через админку. Опять же, можете поставить хоть 3 дня. Если вы единственный пользователь на сайте, то такая мера вполне оправдана.
Альтернатива
Какая еще есть альтернатива? Как вариант, изменить адрес страницы входа. На всех WordPress сайтах по умолчанию стоит арес wp-login или wp-admin. А значит, на страницу входа может зайти практически любой желающий. Хотите скрыть от них страницу?
Достаточно поменять адрес страницы. Например, на login-to-site, wp-enter, come. Естественно, это просто мои примеры, которые я только что выдумал. Таким образом, никто просто не сможет зайти на страницу входа, не то что там подбирать пароли. Как видите, для защиты админки wordpress достаточно нескольких простых действий. Защищайте свою админку и читайте полезные статьи на том блоге.