Как усилить защиту сайта на WordPress от взлома пароля администратора
В октябре, ноябре,- наблюдаю интенсивные попытки взломать пароль администратора сайта на WordPress. В декабре был вынужден поставить сайт на паузу.
Что было сделано для повышения устойчивости ко взлому пароля:
- Пароль администратора довольно сложный и длинный
- Установлена Капча (CAPTCHA)
- Установлен сертификат безопасности SSL (https://)
- регулярно, по расписанию снимаются копии БД и файлов
- Изменен .htacces - добавлены строки для обработки SVG файлов
- Сайт изолирован
Что можно ещё сделать для усиления защиты?
Ответы (2 шт):
Перестать параноить и бояться как слова "последний", так и каких-то там попыток. Менять пароль каждый день тоже бред.
Если сайт не многопользовательский то ограничить доступ в админку по IP или тп.
Ах, да! Изучить основные меры безопасности
Первое что нужно сделать - переименовать папку wp-admin во что-то вроде 2dd6a917db7c4baab89e2a256db77151. Ведь первое что нужно при взломе это объект взлома.
Переименовать админа можно, если не найдете как - создайте нового админа с интересным логином, а админа с логином админ заблокируйте.
Когда у меня был сложный и длинный пароль я заходил чаще через форму сброса пароля чем через сам пароль. Пароль для безопасного использования должен храниться только в голове. Тут или сложный короткий или длинный и простой подойдут лучше.
Если пароль меняется каждый день, то он записывается на листочке, бумажке, файле. Этот файлик может быть не защищен как следует.
Капча ок. но форма логина её проверяет?
Сайт изолирован от других сайтов или от пользователей?)