Częstym sposobem włamania się na stronę WordPress jest zalogowanie się do panelu administracyjnego (kokpit WordPress). Trzeba znać adres strony logowania, login (nazwa użytkownika) i hasło. Adres logowania do panelu po zainstalowaniu WordPressa jest zawsze taki sam (domena/wp-admin). Login to często adres e-mail podany na stronie kontaktowej naszego biura rachunkowego. Automat, mając adres logowania i login, hasło zdobywa metodą prób i błędów.
Bezpieczeństwo WordPress – Zmiana adresu logowania do strony WordPress – spis treści:
Logowanie do WordPress (kokpit) – ustawienie pierwszej blokady w celu zabezpieczenia strony www
Aby postawić pierwszą, bardzo skuteczną blokadę dla tego typu włamań możemy zmienić domyślny adres /wp-admin na inny, znany tylko nam. Wykonamy to dzięki prostemu rozszerzeniu WP Hide Login.
Prawie wszystkie próby włamań na stronę poprzez zalogowanie się do kokpitu WordPress dokonywane są automatycznie przez roboty internetowe. Automaty czasami podejmują tysiące takich prób w stosunku do jednej strony. Nawet jeśli finalnie żadna z nich się nie powiedzie, może dochodzić do wyczerpywania limitów transferu na hostingu i spowolnienia działania strony. Każdy serwer ma swoje ograniczenia dla użytkowników, nawet jeśli kupujemy oferowany coraz częściej „hosting bez limitów”.
Ochrona strony internetowej WordPress przed włamaniem
Oprócz wydajności naszego hostingu są potrzeby dużo większe, które powinny zachęcić nas do ochrony strony internetowej. Często firmy uważają, że uzyskanie dostępu do ich strony nie przyniesie żadnej korzyści włamywaczowi a zatem nie ma sensu aby szczególnie ją chronić. Należy pamiętać, że strony mogą przechowywać dane osobowe. Na przykład adresy e-mail osób, które wypełniły formularz kontaktowy na stronie, chcąc poznać cennik biura rachunkowego. Zdarzały się włamania na strony internetowe, gdzie zmieniano numer konta bankowego, które firma podała swoim klientom. Włamaniom na serwery towarzyszy często dodanie złośliwego kodu przez co odwiedzający naszą stronę mogą być przekierowywani automatycznie do innych niebezpiecznych stron.
Innym bardzo częstym motywem włamań na stronę jest uzyskanie dostępu do serwera w celu wysyłania spamu reklamowego. W czasie jednej godziny automat może wysłać tysiące wiadomości, przez co adres IP naszego serwera lub nasza domena firmowa trafi na czarną listę. Efekt jest taki, że do naszych klientów nie będą trafiały wiadomości od nas. Czasami na zdjęcie takiej blokady trzeba długo czekać i tłumaczyć się w wielu miejscach.
Ochrona strony i dobra historia domeny ma też wpływ na pozycjonowanie biura rachunkowego. Jeśli strona ulega atakowi i zagraża wchodzącym na nią użytkownikom, Google może wykluczyć ją z indeksu wyszukiwania. Zmienienie adresu logowania do strony WordPress nie ochroni jej w pełni, ale będzie tarczą, która odeprze ogromną część ataków na stronę.
Wtyczka WordPress WP Hide Login
Strona wtyczki WordPress WP Hide Login: https://pl.wordpress.org/plugins/wps-hide-login/