Wstęp

Strona logowania w WordPressie jest mocno newralgicznym miejscem i jednocześnie jednym z najczęściej atakowanych elementów WordPressa. Najczęściej są to automatyczne ataki poprzez boty, a nie fizyczne atakowanie przez jedną osobę, dlatego jest to szczególnie niebezpieczne. Jaka jest dobra wiadomość? Możesz im to łatwo utrudnić – nawet jeśli nie jesteś osobą techniczną. Poniżej przedstawię Ci trzy proste sposoby, które skutecznie podniosą poziom bezpieczeństwa Twojej strony.

Nie będę w tym wpisie wspominał o podstawach bezpieczeństwa takich jak silne hasła, ale jeżeli jeszcze używasz hasła „marek123” to jak najszybciej zmień na coś mocniejszego. Możesz skorzystać z tego generatora haseł – im więcej znaków będzie miało hasło tym więcej czasu zajmie jego złamanie.

Blokada logowania za pomocą IP

Jeżeli jesteś jedynym użytkownikiem swojej strony (lub masz mniejszą grupę osób, która musi mieć dostęp do panelu admina) i ze strony będziesz korzystał wyłącznie w jednym miejscu, to możesz ograniczyć dostęp do strony logowania tylko do wybranych adresów IP. Dzięki temu nikt z zewnątrz nie będzie mógł zobaczyć ekranu logowania.

Jak to działa?

W pliku .htaccess (na serwerze) dodajesz prosty kod, który mówi: “Tylko te IP mają dostęp”. Inni zobaczą błąd 403 lub pustą stronę. Na początku pliku .htaccess w głównym folderze WordPressa dodaj poniższy kod (oczywiście podmieniając dane).

<Files wp-login.php>
    order deny,allow        
    deny from all        
    # Adam Kowalski - admin 1       
    allow from 79.97.12.123        
    # Marek Janowski - admin 2      
    allow from 12.34.56.789
</Files>


💡 To bardzo skuteczne rozwiązanie, ale sprawdza się tylko wtedy, gdy masz stały adres IP (albo wiesz, jak dodać nowy, gdy się zmieni).

Zabezpieczenie logowania za pomocą pliku .htpasswd

Drugim sposobem na zabezpieczenie strony logowania w WordPressie jest dodanie dodatkowej warstwy ochrony – w momencie zanim WordPress wyświetli jeszcze stronę logowania – to tzw. autoryzacja serwera, czyli wyskakujące okienko z loginem i hasłem do uzupełnienia.

Zdjęcie pokazujące sposób zabezpieczenia panelu logowania do WordPressa za pomocą htpasswd

Do wdrożenia tego zabezpieczenia potrzebne będą dwa pliki: .htaccess oraz .htpasswd. Pierwszy z nich będzie ustawiał sposób ochrony, natomiast drugi będzie służył do przechowywania dodatkowych danych do logowania.

W pliku .htaccess w głównym katalogu WordPressa dodaj następujący kod (/sciezka-do-htpasswd/.htpasswd – w tym miejscu musisz podać faktyczną ścieżkę do pliku .htpasswd (możesz umieścić go w głównym katalogu WordPressa)): 

<Files wp-login.php>
	AuthType Basic
	AuthGroupFile /dev/null
	AuthName "Czego tu szukasz"
	AuthUserFile /sciezka-do-htpasswd/.htpasswd
	require valid-user
</Files>

W pliku .htpasswd musisz podać zaszyfrowany login oraz hasło, aby to zrobić możesz skorzystać z tego generatora htpasswd.

🔐 Dzięki temu nawet jeśli ktoś zna Twój login i hasło do WordPressa, musi najpierw przejść przez to pierwsze zabezpieczenie. Dwa hasła = podwójna trudność.

Dwuetapowe logowanie (F2A)

Nawet najlepsze hasło może zostać złamane (chociaż szanse nie są duże), dlatego warto skorzystać z dwueatapowej weryfikacji logowania, czyli dodatkowe potwierdzenie, że to właśnie ty się w tym momencie logujesz do panelu administratora WordPressa. Najczęściej wykonuje się to za pomocą kodu z aplikacji np. Google Authenticator.

Jak to działa?

Po wpisaniu loginu i hasła do WordPressa system poprosi cię o wpisanie dodatkowego kodu, który będzie właśnie w Twojej aplikacji (można też skonfigurować dwueatapową weryfikację za pomocą SMS lub emaila). Nawet jeśli ktoś zdobędzie Twoje dane logowania – nie wejdzie bez tego drugiego kroku.

Nie polecę żadnej konkretnej wtyczki do tego celu, ważne jest żeby sprawdzić kiedy wtyczka miała ostatnią aktualizację oraz czy jest dalej wspierana przez twórców. Na dzień pisania tego wpisu możesz sprawdzić wtyczkę: Two-Factor – Dwuskładnikowe logowanie od George’a Stephanisa.

Dlaczego NIE WARTO zmieniać adresu logowania w WordPressie?

Często poleca się zmianę adresu /wp-admin lub /wp-login.php jako sposób na poprawę bezpieczeństwa. W teorii brzmi to dobrze – skoro boty nie znajdą strony logowania, nie będą mogły jej atakować. Problem w tym, że to wyłącznie pozorna ochrona.

Zmiana adresu logowania nie rozwiązuje problemu tylko go maskuje. Boty potrafią wykrywać niestandardowe adresy, a ataki brute force nadal mogą się zdarzyć.

Podsumowanie

Nie musisz być ekspertem, żeby szybko i w łatwy sposób zwiększyć bezpieczeństwo swojego WordPressa. Wystarczy jedna z powyższych metod, aby drastycznie zwiększyć bezpieczeństwo Twoich danych oraz Twoich klientów.

Pamiętaj, że dużo lepiej zadbać o ochronę już teraz, zamiast ratować stronę po włamaniu.

Po więcej wiedzy odwiedź nasze
media społecznościowe!

Podobne wpisy

Zdjęcie wpisu na bloga przedstawiającego jak zabezpieczyć swoje produkty cyfrowe sprzedawane na WooCommerce
|

Jak zabezpieczyć produkty cyfrowe w WooCommerce przed dostępem przez REST API

PrzezStudio Orange

Zastanawiasz się, czy Twoje kursy wideo, ebooki czy szablony graficzne są naprawdę chronione w Twoim sklepie WooCommerce? W tym artykule pokażę Ci, jak w kilku prostych krokach uniemożliwić nieautoryzowany podgląd i pobieranie produktów cyfrowych za pomocą REST API WordPressa. Zyskasz pewność, że tylko uprawnieni klienci otrzymają dostęp do Twoich materiałów.

Zdjęcie wpisu na bloga przedstawiającego dlaczego nie warto polegać na wtyczkach zabezpieczających do WordPressa

Dlaczego nie warto polegać na wtyczkach zabezpieczających WordPressa?

PrzezStudio Orange

Czy Twoja strona WordPress naprawdę jest bezpieczna, tylko dlatego, że masz zainstalowaną wtyczkę zabezpieczającą?
W tym wpisie wyjaśniam, dlaczego poleganie wyłącznie na wtyczkach to poważny błąd i co warto zrobić, aby naprawdę zadbać o bezpieczeństwo swojej strony

2 komentarze

  1. Naprawdę dobrze napisane. Wielu autorom wydaje się, że mają rzetelną wiedzę na opisywany temat, ale tak nie jest. Stąd też moje zaskoczenie. Świetny artykuł. Będę rekomendował to miejsce i często wpadał, żeby zobaczyć nowe rzeczy.

    Odpowiedz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *