W tym poradniku poznasz skuteczne i sprawdzone metody, które pomogą Ci zabezpieczyć panel administracyjny WordPress. Podpowiemy Ci jak uniemożliwić dostęp do wp-admin osobom nieupoważnionym oraz w jaki sposób chronić stronę WordPress przed atakami z internetu.
Panel administracyjny WordPress
Panel administracyjny WordPress zwany też panelem logowania lub potocznie panelem admina to najważniejsze miejsce w całej platformie WordPress. To serce Twojej strony internetowej, które zapewnia jej nieprzerwane i bezbłędne działanie. W panelu administratora WordPress znajdują się wszystkie kluczowe informacje na temat samej strony jak i jej konfiguracji. I choć dostęp do panelu admina mogą mieć także inni użytkownicy [sprawdź pozostałe role i uprawnienia WordPress] to tylko administrator może za pomocą panelu /wp-admin/ wpłynąć dosłownie na każdy aspekt funkcjonowania platformy WordPress.
Panel administracyjny to jednak nie tylko ustawienia samej platformy, lecz także cenne i wrażliwe dane, które na niej się znajdują. W przypadku sklepu internetowego WooCommerce będą to m.in. dane klientów oraz zamówienia, a w przypadku strony firmowej np. dane napływające za pomocą formularza kontaktowego. Warto także wspomnieć, iż posiadając dostęp administratora do panelu logowania WordPress mamy także realną możliwość modyfikowania plików znajdujących się na serwerze FTP, co może narazić Cię w przypadku ataku na jeszcze większe problemy. Współczesne systemy CMS pełnią coraz ważniejszą rolę w nieprzerwanym funkcjonowaniu biznesu i zawierają znacznie większą ilość danych niż miało to miejsce przed szczytem popularności WordPress. Z tego powodu stały się one jeszcze bardziej atrakcyjnym celem dla atakujących, ponieważ mogą przynieść im wymierne korzyści finansowe. Doskonałym tego przykładem jest rosnąca popularność ransomware, które co raz częściej infekuje także WordPress szyfrując wszystkie dane znajdujące się na dysku.
W świetle powyższych informacji zabezpieczenie dostępu do panelu administracyjnego WordPress jest nie tylko konieczne, lecz także wymagane prawnie. Dostęp do strony przez osoby niepowołane może narazić Twoją markę na utratę reputacji, a także na poważne konsekwencje ze strony instytucji takich jak UOKiK. Nawet jeżeli Twoja strona internetowa nie przetwarza wrażliwych danych użytkowników to musisz pamiętać, że udany atak hakerski może narazić ich na niebezpieczeństwo, za które odpowiada administrator strony internetowej. Dodatkowo, zmodyfikowana strona zawierająca np. złośliwy kod może negatywnie wpłynąć na pozycję domeny w wynikach Google. Z tego powodu zabezpieczenie panelu administracyjnego powinno być pierwszym krokiem, który zostanie wykonany po instalacji WordPress.
W tym poradniku przedstawimy Ci sprawdzone oraz skuteczne metody ochrony panelu logowania WordPress przed dostępem przez osoby, które nie powinny tam się znaleźć. I chociaż w internecie nie istnieje 100% ochrona to jednak warto włożyć trochę pracy, aby skutecznie chronić swój system WordPress oraz klientów przed atakami.
Jak zabezpieczyć panel wp-admin krok po kroku
Przedstawimy Ci teraz najlepsze metody jak zabezpieczyć panel administracyjny WordPress 🔐 krok po kroku. Koniecznie zapoznaj się ze wszystkim wskazówkami, które znajdziesz poniżej, a także przeczytaj nasz poradnik dotyczący Bezpieczeństwa WordPress, który pozwoli Ci uzupełnić wiedzę na temat ochrony systemu WordPress. A jeżeli nie poradzisz sobie, z którymś z punktów to napisz do nas, a my zrobimy to za Ciebie.
Zaczynamy ☺️
Krok 1. Zaktualizuj WordPress
Pierwszy i najważniejszy krok, który pozwoli Ci zabezpieczyć panel administracyjny WordPress to aktualizacja systemu oraz jego dodatków. Nawet najlepiej chroniony panel logowania może wciąż zawierać luki oprogramowania, które pozwolą na dostęp do platformy osobom niepowołanym. Z tego powodu zawsze dbaj o regularne aktualizacje systemu WordPress, wtyczek oraz motywów, które często zawierają łatki bezpieczeństwa i najnowsze zabezpieczenia.
W naszym dziale znajdziesz zawsze najnowszą wersję WordPress, a z tych poradników Aktualizacja WordPress krok po kroku oraz Jak zaktualizować WordPress ręcznie dowiesz się jak wykonać aktualizacje ręcznie lub z poziomu panelu admina.
Krok 2. Ukryj stronę logowania
A konkretnie adres logowania do panelu administracyjnego, który domyślnie znajduje się w tym miejscu:
https://siriuspro.pl/wp-admin/
W tym celu musisz skorzystać z wtyczki o nazwie WPS Hide Login, która w bardzo łatwy sposób pozwala na zmianę adresu URL logowania:
Zmiana adresu logowania za pomocą wtyczki WPS Hide Login.
Niestety, aby zmiana była trwała wtyczka musi być cały czas aktywna. Dodatkowo, wtyczka pozwala określić na jaką stronę zostanie przeniesiony użytkownik, który spróbuje skorzystać ze standardowego adresu URL logowania.
Krok 3. Skorzystaj z dodatkowego hasła
Bardzo dobrą metodą dodatkowego na zabezpieczenie panelu admina WordPress jest korzystanie z uwierzytelnienia HTTP. Jest to dodatkowy rodzaj weryfikacji uprawnień dostępu do strony za pomocą nazwy użytkownika i hasła z poziomu przeglądarki internetowej:
Uwierzytelnianie HTTP za pomogą przeglądarki internetowej.
Pierwszym krokiem, który musisz zrobić to dodać poniższy kod do pliku .htaccess na serwerze:
<FilesMatch "wp-login.php">
AuthName "Tylko dla administratorów"
AuthType Basic
AuthUserFile /{ścieżka_serwera}/.htpasswda
require user admin
</FilesMatch>
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Możesz zmienić w powyższym kodzie treść komunikatu AuthName oraz akceptowaną nazwę użytkownika w linii require user. Aby kod zadziałać musisz także zmodyfikować ścieżkę serwera tak, aby wskazywała bezwzględnie na plik .htpasswda, który możesz pobrać stąd.
Po jego pobraniu musisz umieścić go na serwerze w bezpiecznym miejscu zgodnym z powyższą ścieżką, a następnie dodać na początku nazwy pliku kropkę [.htpasswda]. Przygotowany przez nas plik umożliwia uwierzytelnianie się za pomocą nazwy użytkownika admin oraz hasła admin. Edytując ten plik możesz zmienić hasło korzystając z narzędzia htpasswd generator i trybu * Apache specific salted MD5 (insecure but common).
Generowania hasła uwierzytelnienia HTTP.
Jeżeli chcesz skorzystać z innej metody generowania hasła to musisz upewnić się, że wspiera ją Twój serwer.
Krok 4. Skorzystaj z firewalla
Skuteczną metodą ochrony strony logowania jak i całego systemu WordPress jest skorzystanie z firewalla. Może działać on zarówno na poziomie samego systemu CMS jako wtyczka np. Wordfence Security – Firewall & Malware Scan lub też na poziomie DNS np. za pomocą usługi CloudFlare.
Korzystanie z firewalla pozwala ochronić domenę przed atakami typu DDoS, a także atakami siłowymi mającymi na celu odgadnięcie hasła do panelu administratora. Dodatkowo za pomocą firewalla możesz skonfigurować zaawansowane reguły dostępu do strony blokując wskazane adresy IP np. z konkretnych krajów, a także przeglądać logi mówiące wiele o tym co dzieje się na Twojej stronie internetowej.
To podstawowa, a zarazem skuteczna ochrona WordPress przed wieloma zagrożeniami z sieci.
Krok 5. Stosuj silne hasło
Które nie będzie łatwe do odgadnięcia, a tym samym ochroni Twój panel administratora przed włamaniem. Unikalne, silne hasło WordPress to połowa sukcesu do bezpiecznej platformy. Aktualnie wciąż w internecie królują takie hasła jak 123456, czy też password, których złamanie zajmuje mniej niż… 1 sekundę❗️
Silne hasło powinno składać się z kombinacji małych i WIELKICH liter, liczb oraz znaków specjalnych. Taki silne hasło powinno być wygenerowane nie tylko dla panelu administracyjnego WordPress, lecz także bazy MySQL oraz serwera FTP.
Zobacz także poradnik Jak wyłączyć sprawdzanie [miernik] siły hasła w WordPress.
Krok 6. Ogranicz logowanie po adresie IP
Za pomocą poniższego kodu, który wystarczy dodać do pliku .htaccess, a następnie wprowadzić w nim dozwolone adresy IP, które będą miały możliwość logowania do panelu administracyjnego:
<Files wp-login.php> order deny,allow Deny from all # Dozwolony adres IP allow from xx.xxx.xx.xx # Dozwolony adres IP allow from xx.xxx.xx.xx </Files>
Proste i skuteczne rozwiązanie, jednak wymagane posiadania stałego adresu IP z miejsca logowania.
Krok 7. Stosuj uwierzytelnianie wielopoziomowe
Wielopoziomowe uwierzytelnienie pozwala zabezpieczyć logowanie do WordPress np. kodem SMS lub generowanym w aplikacji takiej jak Google Authenticator. Jest to powszechnie stosowana metoda dodatkowego zabezpieczania dostępu do konta przez największe platformy na świecie.
Konfiguracja wielopoziomowego uwierzytelniania wymaga jednak dosyć sporej wiedzy. Skontaktuj się z nami, aby skorzystać z naszej pomocy przy wdrożeniu tego zabezpieczenia.
Krok 8. Wyłącz podpowiedzi logowania
Jeżeli w trakcie logowania wpiszesz złe dane to WordPress poinformuje Cię o tym, które z nich są błędne. Takie informacje mogą ułatwić osobie niepożądanej włamanie do platformy, dlatego, aby uniknąć tego należy dodać w pliku functions.php poniższy kod:
function no_wordpress_errors(){
return 'Wprowadzono błędne dane logowania.';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Od teraz zamiast podpowiedzi użytkownik zobaczy tylko komunikat: Wprowadzono błędne dane logowania. Oczywiście możesz go dowolnie modyfikować ☺️
Krok 9. Zainstaluj wtyczkę iThemes Security
A dokładnie mówiąc iThemes Security (formerly Better WP Security). Jest to darmowy dodatek WordPress, który posiada niesamowitą ilość funkcji pozwalających zabezpieczyć panel logowania WordPress oraz całą stronę internetową.
Wtyczka iThemes Security do zabezpieczania WordPress.
Wsród nich możemy znaleźć możliwość aktywacji firewalla, logowanie wszystkich podejrzanych zachowań na stronie, banowanie użytkowników oraz adresów IP, sprawdzanie integralności plików, ochrona przed atakami Brute Force oraz wiele dodatkowych mniejszych opcji, które podnoszą bezpieczeństwo strony internetowej na WordPress. Konfiguracja wtyczki jest bardzo prosta i intuicyjna, a sam dodatek cieszy się dużą popularnością w repozytorium WordPress.
Krok 10. Wymuś logowanie przez HTTPS
Jeżeli Twoja strona korzysta z certyfikatu SSL to z pomocą tego prostego kodu możesz wymusić logowanie administratora za pomocą protokołu HTTPS. Dodaj poniższy kod do pliku wp-config.php i zapisz plik na dysku:
define('FORCE_SSL_ADMIN', true);
Krok 11. Zmień lokalizację pliku wp-config.php
To prosta, ale niezwykle skuteczna metoda, która uchroni plik wp-config.php przed niekontrolowanym dostępem. W ten sposób zabezpieczysz swoją bazę danych WordPress, a także dostęp do panelu administracyjnego WordPress. Sprawdź nasz poradnik jak przenieść plik wp-config.php w WordPress.
To już wszystkie nasze porady w tym temacie ☺️ Daj znać, w komentarzach które rozwiązanie jest Twoim zdaniem najlepsze 👍
Krok 12. Zablokuj adresy IP w .htaccess
W naszym poradniku Jak zablokować adres IP w .htaccess opisaliśmy Ci jak krok po kroku zablokować adresy IP za pomocą pliku .htaccess. Korzystając z zawartych tam porad całkowicie ograniczysz na swojej stronie internetowej niechciany ruch oraz uniemożliwisz potencjalnym hakerom wykonywanie ataków na stronę internetową takich jak DDoS.
Metodę tę możesz również wykorzystać do ograniczenia dostępu do panelu administracyjnego dla wybranego adresu IP lub ich póli. Blokada adresów IP w .htaccess działa podobnie jak zapora sieciowa i przy odpowiedniej konfiguracji uniemożliwia siłowe odgadnięcie hasła do panelu administratora WordPress. I co najważniejsze, zabezpieczenie to działa jeszcze przed faktycznym załadowaniem strony internetowej i tym samym nie stanowi dla serwera żadnego obciążenia.
Zabezpiecz panel administracyjny WordPress razem z nami
Jeżeli nie chcesz tracić czasu na powyższe kroki lub po prostu nie masz wystarczającej wiedzy, aby samodzielnie zabezpieczyć panel administracyjny WordPress to skorzystaj z naszej pomocy. Napisz do nas wiadomość i opisz swój problem lub potrzebę, a my odpowiemy Ci w jaki sposób możemy Ci pomóc ☺️ no to do usłyszenia niebawem ✋