Jak snadno zabezpečit WordPress login

WordPress je jedním z nejpoužívanějších nástrojů pro tvorbu flexibilních webových stránek a blogů. Právě tato popularita však WordPress dostává do užšího hledáčku hackerů. Je proto důležité klást důraz na jeho zabezpečení. Jedním z nejslabších článků tohoto redakčního systému je přihlašovací stránka. Jak snadno zabezpečit WordPress login? Čemu se při jeho zabezpečení vyvarovat? Právě o tom pojednávají následující odstavce.

Tři kroky k zabezpečení WordPress loginu

Prvním, nejzákladnějším, krokem je změna defaultního uživatelského jména „Admin“ na vlastní volbu. Ponechání jakéhokoli původního nastavení vystavuje webové stránky riziku a je proto třeba dbát zřetel i na tuto konfiguraci. V případě, že byste ponechali původní uživatelské jméno, usnadnili byste útočníkům práci i čas, jelikož nemusí “uhodnout” celý login, nýbrž pouze heslo. Níže naleznete příklad bezpečnostního reportu, ze kterého je jasně vidět zpráva o útoku hackera používající login administrator:

Dalším způsobem zabezpečení je použití dvou administrátorských účtů. Mezi tyto účty lze rozdělit správcovské úkoly, jako je správa pluginů a úkony redaktora (blogera) jakožto tvorba a správa obsahu. Díky tomuto rozdělení je menší šance na napadení celé struktury webu. Nelze opomenout ani třetí krok, který bývá často zdůrazňován v rámci většiny práce s počítačem. Tímto krokem je volba silného hesla. Heslo by se mělo skládat z velkých i malých písmen, číslic a ideálně i symbolů. Nemělo by se jednat o obecně známá slova, jako je jméno, název nebo číselné kombinace typu datum narození.

Další možnosti ochrany přihlašovací stránky do WordPressu

Mezi další účinná řešení bezpochyby patří také změna přihlašovací URL, tedy adresa stránky, která slouží pro přihlášení do WordPress účtu. WordPress k tomuto účelu, v základním nastavení, používá ve všech případech stejnou cestu – typicky www.example.com/wp-login.php, případně www.example.com/wp-admin.php. Útočník by tak při svých pokusech využíval právě takového stylu adresy. Změnou URL s přihlašovací stránkou tak můžete útok zastavit ještě dřív, než vůbec započne, jelikož útočník nebude hned vědět, kam útočit. Pro lepší ochranu WordPress loginu je možné rovněž použít takzvané dvoufázové ověření známé například z internetového bankovnictví či sociální sítě Facebook.

Dvoufázové ověření využívá kromě zadávání přihlašovacích údajů také vygenerovaný kód, který je po zadání hesla odeslán na mobilní telefon. Účet pak není přístupný bez vložení zmíněného kódu. K prolomení tohoto způsobu ověření by bylo zapotřebí, aby útočník v první řadě ukradl váš mobilní telefon, což útok značně ztěžuje. Existuje také řada pluginů, které se na zabezpečení loginu specializují. V těchto pluginech je možné nastavit maximální počet pokusů pro přihlášení, což hackerům zabraňuje ve zkoušení různých kombinací hesla. Jakmile je maximální počet pokusů překročen, dojde k zablokování přihlašovacích údajů, až do zadání správné kombinace. V případě, že chcete se zabezpečením vašeho WordPress loginu pomoct, neváhejte nás kontaktovat, nabízíme také ošetření již napadeného webu a jeho znovuuvedení do provozu.