Základním prvkem pro zajištění bezpečnosti WordPressu by mělo být správné zabezpečení přihlašovacího formuláře. Jelikož je adresa administrace veřejně známá, tak na téměř každý web útočí roboti, kteří zkouší prolomit heslo do systému pomocí hrubé síly.
Změna URL pro přihlášení do administrace
Veřejně známá adresa wp-admin pro přihlášení do administrace se dá jednoduše změnit pomocí pluginu WPS Hide Login.
https://wordpress.org/plugins/wps-hide-login/
Po instalaci pluginu přejdeme do Nastavení -> Obecné, kde na konci stránky nastavíme novou adresu pro přihlašování.
V mém případě jsem zvolil adresu „tajna-adresa„, tudíž od teď se do administrace přihlásím jen pomocí odkazu http://vasestranka.cz/tajna-adresa/
Tímto jednoduchým krokem vyřadíte většinu útoků na přihlašovací formulář. Novou stránku pro přihlášení si raději někam zapište nebo uložte do oblíbených položek prohlížeče, ať na ni nikdy nezapomenete.
Ochrana proti útokům hrubou silou
Dalším krokem pro lepší zabezpečení WordPressu je ochrana přihlašovacího formuláře proti útokům hrubou silou. Ty spočívají v tom, že se roboti automaticky snaží přihlašovat pomocí běžně používaných hesel.
Pro ochranu proti tomuto typu útoku je vhodný osvědčený plugin Limit Logins Reloaded:
https://cs.wordpress.org/plugins/limit-login-attempts-reloaded/
Plugin stačí po instalaci pouze aktivovat a tím se vaše stránka stane zase o něco bezpečnější. Ve výchozím stavu plugin odesílá informační emaily o neúspěšných pokusech o přihlášení. Pokud by vás to obtěžovalo, můžete tyto notifikace deaktivovat v nastavení pluginu, které naleznete v sekci Nastavení -> Limit Login Attempts.
