Jak ustawić bezpieczny dostęp do strony na WordPress?

Data dodania: 7 maja 2020

Autor: Tomek Mikiciuk

Dziś kolejny wpis zainspirowany kalendarzem. Siódmy maja ustanowiony został Światowym Dniem Hasła (World Password Day). Podobnie jak w przypadku podobnych „świąt” takich jak obchodzony niedawno dzień backupu – ma ono przypominać o dobrych nawykach i bezpieczeństwie pracy w Internecie. Tu konkretnie – o wyborze i stosowaniu silnych haseł.
Zważywszy na to, że jeden na pięciu użytkowników pada ofiarą włamania spowodowanego stosowaniem słabych haseł, idea Dnia Hasła zaaprobowana została przez Intel, Microsoft, McAfee,  Samsung, Toshiba i innych specjalistów z branży. Jak natomiast wygląda kwestia hasłowania WordPressa?

Zmiana adresu logowania

Domyślnym adresem logowania do kokpitu jest wp-admin.php Oczywistym zatem jest, że każdy, kto będzie próbował dostać się na naszą stronę, podejmie pierwszą próbę włamania właśnie z tego adresu. Żeby nie ułatwiać życia hakerom, w bardzo łatwy sposób możemy zmienić adres strony logowania. Możemy zrobić to za pomocą wtyczki Hide My WP Ghost https://pl.wordpress.org/plugins/hide-my-wp/ lub Protect My Admin https://pl.wordpress.org/plugins/protect-wp-admin/
W ten prosty sposób postawimy kolejną barierę, która stanie na drodze potencjalnego ataku na naszą stronę.

Login

Kolejna podstawowa, a jakże często zaniedbywana kwestia. Zdecydowanie zbyt wielu użytkowników pozostaje przy domyślnej nazwie instalatora, czyli nieszczęsnym admin. Nie będzie kosztowało nas to zbyt wiele czasu, kiedy zmienimy nazwę w ustawieniach. Nie ma co kusić losu.

Hasło

Ogólne wytyczne, co do bezpieczeństwa i mocy hasła są uniwersalne i mają takie samo zastosowanie również w zabezpieczaniu dostępu do kokpitu WordPress. Dobrze więc, kiedy hasło do panelu administratora składało się będzie z więcej niż ośmiu, a nawet dziesięciu znaków pozbawionych logiki, ale jednocześnie łatwych do zapamiętania dla nas, jako użytkowników. Dobrym rozwiązaniem będzie tu również menadżer haseł, dzięki któremu wystarczy, że pamiętać będziemy jedno, odpowiednio złożone hasło główne, a dostępy do poszczególnych stron zostaną wygenerowane w menedżerze.

Dwuetapowe uwierzytelnianie

To również dodatkowe zabezpieczenie, które możemy śmiało zastosować na naszym WordPressie i które jednocześnie nie będzie wymagało od nas specjalnych umiejętności programistycznych. Do tego rozwiązania również możemy podejść na kilka sposobów.

Wielu hostingodawców udostępnia możliwość ustawienia dwuetapowego logowania, u niektórych jest ono nawet ustawione domyślnie. Po ustawieniu odpowiedniej opcji, po wczytaniu strony logowania do WP, pojawi się dodatkowe okno, które należy uzupełnić o dodatkowy login i hasło.
Możemy zrobić to również za pomocą wtyczki – np Two Factor Authentication https://pl.wordpress.org/plugins/two-factor-authentication/
Możemy również robić skorzystać z rozwiązań Google Authenticator, gdzie programowy token wygeneruje nam sześć cyfr, które należy podać podczas logowania razem z loginem i hasłem do usług Google. Są też bardziej złożone, płatne rozwiązania weryfikacji choćby poprzez SMS. Skonfigurowanie takiej weryfikacji jest możliwe po założeniu konta np. na https://www.twilio.com/

Inne możliwości zapewnienia bezpieczeństwa

Kilka wyżej poruszonych aspektów, to jedynie muśnięcie tematu bezpieczeństwa. Opisaliśmy jedynie te, które bardziej związane są z samą kwestią hasłowania, lecz należy pamiętać, że absolutnie nie wyczerpują one tego, jakże istotnego zagadnienia. Jeśli chcesz przeczytać więcej na ten temat, zapoznać się z naszymi standardami w kwestii bezpieczeństwa, albo masz z tym problem i potrzebujesz pomocy, zapraszam do zapoznania się z naszą ofertą zabezpieczenia i utrzymania stron WP.


Dodaj komentarz

Twój adres email nie będzie widoczny.

*