Jak zabezpieczyć panel administracyjny WordPress?

Czas czytania czas czytania 7 min.
Obrazek dla Jak zabezpieczyć panel administracyjny WordPress?

Prosta obsługa oraz dostępność popularnych CMS sprawiają, że stworzenie strony internetowej trwa dosłownie kilkadziesiąt minut. Niestety, każdy medal ma dwie strony i ta popularność sprawia, że CMS taki, jak WordPress, staje się łatwym celem dla hakerów wykradających dane logowania. Choć nigdy nie ma stuprocentowej gwarancji, że Twoja witryna internetowa będzie całkowicie bezpieczna, warto inwestować w kolejne zabezpieczenia i zrobić to, zanim dojdzie do nieszczęścia. Podpowiadamy kilka sprawdzonych sposobów na powstrzymanie cyberataków i podnoszenie poziomu zabezpieczeń CMS WordPress.

Dostęp do panelu administracyjnego WordPress dla jednego adresu IP

Na początku sprawa z pozoru trywialna, ale pamiętaj o tym, że jedną z podstawowych zasad bezpieczeństwa jest tworzenie i utrzymywanie kopii zapasowych strony oraz stosowanie silnych haseł. Dzięki backupowi możesz nie tylko przywrócić stronę WWW, ale i zidentyfikować ewentualne zmiany, jakie zostały wykonane podczas ataku. Używanie skomplikowanych haseł dostępu, czyli długich i zawierających różne znaki, również znacznie zmniejsza ryzyko odgadnięcia hasła przez atakującego.

Pierwszym sposobem dodatkowego zabezpieczenia panelu administracyjnego może być ograniczenie dostępu do niego tylko dla połączeń z danego adresu IP. W tym celu będzie potrzebna modyfikacja pliku .htaccess. Najpierw musisz skontaktować się z dostawcą usług internetowych i upewnić się, że Twoje IP jest stałe. W przypadku zmiennego adresu IP aktualizację wykonasz regularnie modyfikując plik .htaccess lub dodając pulę adresów IP, ale jest to mniej bezpieczne rozwiązanie. Zamiast adresu „46.242.149.10” wpisujesz IP, który ma mieć zapewniony dostęp do panelu administracyjnego wp-admin, czyli po prostu Twój stały publiczny adres IP.

Przykład, Twój publiczny adres IP to: 46.242.149.10

Dodaj do pliku .htaccess następujący kod:

<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 46.242.149.10
</Files>

Jeśli nie wiesz jak, zobacz jak edytować plik .htaccess bezpośrednio z panelu hostingowego.

Możesz też użyć opisywanej przez nas wcześniej wtyczki AIOS i dodać swój publiczny adres IP do białej listy. Jeśli używasz wtyczki AIOS, przejdź do Brute-Force -> Login whitelist i dodaj do listy swój publiczny adres IP. Aktywuj zabezpieczenie poprzez przełączenie suwaka i zapisz ustawienia.

blokowanie logowania wordpress IP
Limitowanie logowania do panelu WordPress dla IP.

Zmiana domyślnego adresu logowania w WordPress

Zmiana ścieżek logowania też mocno utrudnia nieautoryzowane próby dostania się na Twoje konto. W celu uzyskania dostępu do panelu administracyjnego domyślnie używa się adresu URL /wp-admin. Skoro jest wykorzystywany przez wszystkie instalacje WordPress na świecie, czyni go to wyjątkowo podatnym na ataki. Hakerzy programują boty, które skanując dany adres URL i testując najczęściej stosowane hasła dążą do złamania dostępu do panelu admina.

Zmiana domyślnego adresu URL całkiem skutecznie hamuje ataki brute force, ponieważ włamywacze najpierw muszą znaleźć poprawny adres logowania. Jak to zrobić? W panelu WordPress wystarczy odszukać, zainstalować i aktywować wtyczkę WPS Hide Login.

wps hide login

Postępując zgodnie z instrukcjami możesz wprowadzić nowy adres strony logowania do zaplecza WordPress oraz strony, na którą zostaną przekierowani użytkownicy, logujący się dotąd pod domyślnym adresem URL /wp-admin.

da howto2
Ustawienia wtyczki WPS Hide Login.

Możesz skorzystać też z wtyczki AIOS. Umożliwia ona zmianę adresu logowania do WordPress. Dostępny jest też szereg innych zabezpieczeń. Konfigurację opisujemy w poniższym poradniku.

Przeczytaj także:
Zabezpiecz WordPress. Zapora firewall jako wtyczka.
Dodaj nowe zabezpieczenia na swoją stronę WWW stosując firewall jako wtyczkę w WordPress. Zobacz jak skonfigurować i jakie opcje zabezpieczeń AIOS.
Zabezpiecz WordPress. Zapora firewall jako wtyczka.

Implementacja kilku różnych rozwiązań ochronnych zapewni stabilność i bezpieczeństwo Twojej witryny WordPress, szczególnie w obliczu rosnącego ryzyka ataków DDoS i ciągłych prób hakerów posługujących się metodą brute force. Jeśli powierzysz hosting specjalistom HitMe, możesz liczyć nie tylko na zaawansowaną ochronę WordPressa i aktywne wsparcie, ale też na inne usługi, jak SuperCache dla WordPress, REDIS, AntyDDoS oraz szybkie dyski NVMe. Tymczasem stawiając stronę WordPress od zera od razu zadbaj o zainstalowanie jednej z wtyczek bezpieczeństwa.

Wtyczki bezpieczeństwa WordPress – Sucuri, Wordfence, AIOS

Wtyczka Sucuri to świetne narzędzie zabezpieczające, które chroni strony internetowe oparte na WordPress przed złośliwym oprogramowaniem, atakami DDoS oraz brute force, a także powstrzymuje inne formy naruszeń bezpieczeństwa. Działa zarówno jako system zapobiegania włamaniom, jak i narzędzie monitorujące, które regularnie sprawdza czy strona nie została naruszona. Sucuri skanuje witrynę w poszukiwaniu złośliwego oprogramowania lub kodu, nieautoryzowanych zmian w plikach oraz błędów konfiguracji. Wersja Premium tej wtyczki oferuje też rozbudowaną zaporę sieciową, filtrującą ruch internetowy i blokuje złośliwe żądania zanim dotrą do serwera strony. Web Application Firewall, czyli w skrócie WAF, ochroni Cię między innymi przed atakami DDoS, SQL injection, XSS (cross-site scripting). Wtyczkę zainstaluj z oficjalnego repozytorium WordPress.

sucuri security wordpress

Wordfence – popularna wtyczka bezpieczeństwa

Wordfence również automatycznie blokuje dziwnie zachowujące się adresy IP, na przykład kilkukrotne próby logowania się z błędnym hasłem. Ponadto daje możliwość włączenia dwuskładnikowego uwierzytelniania dla panelu logowania WordPress, a 2FA można uruchomić zarówno dla administratorów, jak i dla innych użytkowników strony. Podobnie, jak Sucuri, tak też i Wordfence posiada wbudowaną zaporę sieciową, która zatrzymuje nietypowe żądania nim trafią do serwera. Chroni przed SQL Injection, XSS, atakami brute force oraz DDoS. Regularnie skanuje pliki strony i bazę danych w poszukiwaniu złośliwego oprogramowania, zmodyfikowanych plików oraz wszystkich podejrzanych działań.

wordfence wordpress security

AIOS – wtyczka firewall dla WordPress

All-In-One Security (AIOS) – Security and Firewall to wszechstronna wtyczka WordPress, dostępna w repozytorium WP. Jako następca popularnej wtyczki iThemes Security również wspiera blokowanie ataków brute force na panel administracyjny. AIOS wykorzystuje reguły zapory „6G Blacklist”, chroniąc Twoją stronę internetową przed botami, spam referres czy też złośliwymi żądaniami adresów URL. Zabezpieczy witrynę web za pomocą firewalla, blokowania adresów IP i skanera złośliwego oprogramowania. Posiada także wsparcie dla logowania 2FA i możliwość ustawienia automatycznego wylogowania po zdefiniowanym okresie czasu. Dla zapewnienia dodatkowego bezpieczeństwa przed spamem można zaimplementować w niej reCAPTCHA lub alternatywnie Cloudflare Turnstile. AIOS posiada też zautomatyzowany skaner zmian w plikach, który sprawdzi Twoją witrynę – powiadomienie o wykryciu czegoś podejrzanego wysyłane jest na dany adres e-mail.

aios wordpress security firewall

Wtyczka udostępnia możliwość blokowania botów, ale z tym należy obchodzić się ostrożnie, aby nie zablokować sobie indeksowania SEO.

Przeczytaj także:
Jak zabezpieczyć stronę internetową przed atakami brute force?
Dowiedz się, jak zabezpieczyć swoją stronę przed atakami brute force, tworzyć silne hasła, stosować unikalny login, ograniczać próby logowania oraz korzystać z 2FA. Sprawdź, czy warto stosować wtyczki, CAPTCHA i reCAPTCHA, aby poprawić bezpieczeństwo logowania.
Jak zabezpieczyć stronę internetową przed atakami brute force?

Zobacz także
Przegląd prywatności
hitme logo

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Facebook Pixel

Używamy narzędzia Facebook Pixel, aby śledzić działania użytkowników na naszej stronie internetowej. Facebook Pixel umożliwia nam analizowanie skuteczności reklam oraz tworzenie spersonalizowanych treści marketingowych. Dzięki temu możemy lepiej dostosować naszą ofertę do Twoich potrzeb. Zbierane dane mogą obejmować m.in. informacje o odwiedzonych stronach, kliknięciach oraz konwersjach.

Bezpieczna analityka

W celu lepszej analizy ruchu na naszej stronie internetowej korzystamy z narzędzia Matomo Analytics. Matomo jest hostowane w naszej infrastrukturze, a zbierane dane nie są udostępniane żadnym podmiotom zewnętrznym. Informacje o Twojej aktywności na stronie służą jedynie do analizy statystycznej oraz poprawy jakości naszych usług, zgodnie z przepisami RODO/GDPR.

Dane są w pełni anonimowe i nie są przekazywane poza naszą firmę.

Powered by  Zgodności ciasteczek z RODO