- Ten temat ostatnio został zaktualizowany 2 miesiące temu przez
.
- Wpisy
Dzień dobry,
Ostatnio dostałam maila z konta wodpress@nazwa mojej domeny, że ktoś prosi o reset hasła. Osoba, która to wysłała to login, przez który loguję się sama do mojej strony. Wyświetla się również IP osoby, która tę prośbę wysyła.
Prosiłam lh.pl o skan mojej witryny i okazało się, że moja strona jest czysta.
Skąd to się bierze? Czy ktoś ma dostęp do mojego konta?
Nikomu nigdy go nie podawałam. Zmieniłam nawet podpis pod komentarzami na samo imię. Zmieniłam również hasło logowania do wordpress. Czy mogę zmienić też jakoś sam login?Kilka dni temu ta sytuacja się powtórzyła. Jak mogę to zablokować, sprawdzić czy ktoś nie chce się włamać na moje konto?
Z góry dziękuję za pomoc,
MarysiaNa zabezpieczenie strony na WP jest wiele sposobów.
Wtyczki seciurity robiące wszystko w jednym np. solid seciurity którą polecam, chodź pewnie zaraz znajdzie się dużo osób piszących że to niebezpieczne, ja korzystam i jestem zadowolony.
Wpisy do pliku .htacess
Osobne wtyczki, które zmieniają stronę logowania z /wp-admin na coś innego
Wtyczki które dodają dwuskładnikowe uwierzytelnianie
Wtyczki blokujące adres ip atakującego po 3 nieudanych próbach podania źle hasłaPodaj adres strony spróbuję ją przeskanować, zobaczymy co wyjdzie.
Hej, zaloguj się do WordPressa, utwórz nowego użytkownika z rolą admin i ustaw naprawdę mocne hasło, nawet kilkunastoznakowe, tak samo do skrzynki mailowej – tylko koniecznie inne. Ja korzystam z generatora i menedżera haseł Keepass. Tego obecnego usera co jest można usunąć, tylko jeśli masz bloga, to trzeba będzie przypisać wszystkie wpisy do nowego usera. To jedyna opcja na zmianę loginu.
Możliwe jest by ktoś dostał dostęp do tego maila i mógł skorzystać z przypominania hasła?Co do wtyczek im jest ich mniej na stronie tym lepiej, a do tego wtyczki “bezpieczeństwa” same mają wiele podatności czyli luk przez które można – ogólnie mówiąc – przejąć kontrolę nad stroną. Usypiają czujność, więc z czasem wydaje Ci się, że więcej możesz, bo przecież wtyczka poinformuje. Tymczasem, jak strona ma już wirusa, to równie dobrze może działanie takiej wtyczki zdezaktywować. Większość ataków na strony jest właśnie poprzez brak aktualizacji, szczególnie tych poprawiających bezpieczeństwo, co za tym idzie niezałatanych luk w bezpieczeństwie. Tak więc jeśli ich nie praktykujesz to warto zacząć 🙂
Można ewentualnie ograniczyć możliwość logowania się do WP tylko do Twojego IP.
Jest jeszcze jedna opcja warta rozważenia a propos Twojego loginu 🙂 Stosuję ją na swoich stronach.
Mam dwa loginy, administratora, który jest nieoczywisty i trudny do zhakowania (wg zasad tworzenia haseł) oraz redaktora, który jest prosty i estetyczny.
Już tłumaczę dlaczego.
Jeśli masz jeden login i dodajesz wpisy blogowe i strony z konta administratora, to bardzo łatwo można podejrzeć, jak on brzmi, bo pojawia się w linkach jako autor treści, a dodatkowo czasami wyświetla się w zajawce strony, jeśli ustawienia meta są źle skonfigurowane (u mnie: na Discordzie, kiedy wrzucałam szkice strony znajomym).
Jeśli jednak z poziomu administratora konfigurujesz ważne rzeczy na stronie, a z poziomu redaktora dodajesz treści – łatwo będzie poznać tylko login konta o uprawieniach redaktora.
Dodam jeszcze, że administrator może ustawić autora wpisu, więc do dodania wpisu nie musisz się przelogowywać na redaktora (o ile pamiętasz, żeby tego autora ustawić).
To drobne zabezpieczenie, ale na bezpieczeństwo strony składa się m.in. wiele drobnych luk.
- UWAGA! Forum tylko dla studentek i studentów Interaktywnej Akademii WordPressa Musisz się zalogować by odpowiedzieć w tym temacie.
