Właściciele witryn internetowych muszą priorytetowo traktować zabezpieczenia WordPressa, aby zabezpieczyć swoje wrażliwe dane i utrzymać zaufanie użytkowników. Jednym z bardzo skutecznych sposobów, w jaki robimy to w WPBeginner, jest zabezpieczenie hasłem naszego katalogu administracyjnego WordPress.
Katalog wp-admin jest centrum kontroli twojej witryny WordPress. To tutaj zarządzasz wszystkim, od treści po ustawienia, co czyni go głównym celem hakerów. Zabezpieczenie hasłem twoich plików administracyjnych uchroni je przed atakami.
Ten artykuł zawiera prosty przewodnik, jak łatwo zabezpieczyć hasłem katalog wp-admin i wzmocnić zabezpieczenia twojej witryny internetowej.
Dlaczego warto zabezpieczyć hasłem Twój katalog administracyjny WordPress?
Zabezpieczając hasłem swój katalog administracyjny WordPress, dodajesz dodatkową warstwę zabezpieczeń do najważniejszego punktu wejścia do twojej witryny internetowej WordPress.
Twój kokpit administratora WordPress jest centralnym punktem Twojej witryny. To tutaj publikujesz wpisy i strony, dostosowujesz swój motyw, instalujesz wtyczki WordPress i nie tylko.
Często, gdy hakerzy próbują dostać się na twoją witrynę internetową, robią to za pośrednictwem ekranu wp-admin przy użyciu ataku siłowego.
Możesz pomóc chronić twoją witrynę internetową przed potencjalnymi atakami, stosując zabezpieczenia, takie jak silne hasło i ograniczenie prób logowania.
Aby być jeszcze bardziej zabezpieczonym, możesz również zabezpieczyć hasłem katalog wp-admin. Wówczas, gdy ktoś spróbuje uzyskać dostęp do twojego obszaru administracyjnego, będzie musiał wpisz nazwę użytkownika i hasło, zanim w ogóle dotrze do strony logowania WordPress.
Mając to na uwadze, przyjrzyjmy się, jak krok po kroku zabezpieczyć hasłem twój katalog administracyjny WordPress.
Pierwsza metoda jest zalecana dla większości użytkowników i możesz skorzystać z poniższych szybkich odnośników, aby przejść bezpośrednio do metody, której chcesz użyć:
Film instruktażowy
Jeśli wolisz pisemne instrukcje, czytaj dalej.
Metoda 1: Zabezpieczony hasłem wp-admin przy użyciu funkcji prywatności katalogów (zalecane)
Najprostszym sposobem na zabezpieczenie hasłem katalogu administracyjnego WordPress jest użycie aplikacji Directory Privacy dostawcy hostingu WordPress.
Najpierw należy logować się do kokpitu konta hostingowego i kliknąć opcję „Prywatność katalogów” w sekcji Pliki w kokpicie Twojej witryny internetowej.
Uwaga: Większość hostów internetowych korzystających z cPanel, takich jak Bluehost, będzie miała podobne kroki. Jednak twój kokpit może się nieco różnić od naszych zrzutów ekranu, w zależności od dostawcy hostingu.
Spowoduje to wyświetlenie ekranu z listą różnych katalogów na twoim serwerze. Musisz znaleźć katalog zawierający pliki twojej witryny internetowej.
W przypadku większości właścicieli witryn internetowych można to znaleźć, klikając katalog „public_html”.
Spowoduje to wyświetlenie wszystkich plików witryny internetowej zainstalowanych na twoim serwerze.
Następnie należy kliknąć katalog z nazwą domeny twojej witryny internetowej.
W tym folderze zobaczysz katalog wp-admin.
Zamiast klikać nazwę katalogu, należy kliknąć przycisk „Edytuj” obok tego katalogu.
Spowoduje to wyświetlenie ekranu, na którym można włączyć zabezpieczenie hasłem.
Wystarczy zaznaczyć pole „Zabezpiecz ten katalog hasłem”. Jeśli chcesz, możesz również nadać twojemu katalogowi nazwę, taką jak „Obszar administracyjny”, aby ułatwić zapamiętanie.
Gdy to zrobisz, musisz kliknąć przycisk „Zapisz”.
Spowoduje to przejście do strony, na której pojawi się komunikat z potwierdzeniem.
Teraz musisz kliknąć przycisk „Wróć”, a zostaniesz przeniesiony do ekranu, na którym możesz utworzyć użytkownika, który będzie mógł uzyskać dostęp do tego katalogu.
Zostaniesz poproszony o wpisz nazwy użytkownika i hasła, a następnie potwierdź hasło. Pamiętaj, aby zapisać swoją nazwę użytkownika i hasło w bezpiecznym miejscu, takim jak aplikacja do zarządzania hasłami.
Upewnij się, że kliknąłeś przycisk „Zapisz”, gdy to zrobiłeś.
Teraz, gdy ktoś spróbuje uzyskać dostęp do twojego katalogu wp-admin, zostanie poproszony o wpisz nazwy użytkownika i hasła, które utworzyłeś powyżej.
Metoda 2: Zabezpieczony hasłem wp-admin przy użyciu kodu
Możesz również ręcznie zabezpieczyć hasłem twój katalog administracyjny WordPress. Aby to zrobić, musisz utworzyć dwa pliki o nazwach .htpasswd i .htaccess.
Uwaga: Dodawanie jakiegokolwiek kodu do twojej witryny WordPress może być niebezpieczne. Nawet mały błąd może spowodować poważne błędy na twojej witrynie internetowej. Zalecamy tę metodę tylko zaawansowanym użytkownikom.
Tworzenie pliku .htaccess
Najpierw otwórz twój preferowany edytor tekstu i nazwij nowy plik .htaccess.
Następnie należy skopiować poniższy fragment kodu i dodać go do pliku:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Upewnij się, że zmieniłeś ścieżkę „AuthUserFile” na lokalizację, do której prześlesz plik .htpasswd i zmieniłeś „yourusername” na nazwę użytkownika, której chcesz używać do logowania się.
Nie zapomnij zapisać pliku po zakończeniu.
Tworzenie pliku .htpasswd
Gdy już to zrobisz, musisz utworzyć plik .htpasswd.
Aby to zrobić, otwórz edytor tekstu i utwórz plik o nazwie .htpasswd. Plik ten będzie zawierał twoją nazwę użytkownika wraz z hasłem w zaszyfrowanym formacie.
Najprostszym sposobem na wygenerowanie zaszyfrowanego hasła jest użycie generatora htpasswd.
Po prostu wpisz swoją nazwę użytkownika i hasło, wybierz format szyfrowania i kliknij przycisk „Utwórz plik .htpasswd”.
Generator htpasswd wyświetli linię tekstu, którą należy wkleić do twojego pliku .htpasswd. Upewnij się, że zapisałeś plik po wykonaniu tej czynności.
Przesyłanie .htaccess i .htpasswd do katalogu wp-admin
Ostatnim krokiem jest przesłanie obu utworzonych plików do katalogu wp-admin twojej witryny internetowej.
Będziesz musiał połączyć się ze swoim kontem hostingowym WordPress za pomocą klienta FTP lub narzędzia do zarządzania plikami online dostarczonego przez dostawcę hostingu. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem dla początkujących na temat korzystania z FTP do przesyłania plików do WordPress.
W tym poradniku użyjemy programu FileZilla, ponieważ jest on darmowy i działa zarówno na komputerach Mac, jak i Windows.
Po połączeniu się ze swoją witryną, w lewym oknie zobaczysz pliki na twoim komputerze, a w prawym pliki na twojej witrynie internetowej. Po lewej stronie musisz przejść do lokalizacji, w której zapisałeś pliki .htaccess i .htpasswd.
Następnie, po prawej stronie, musisz przejść do katalogu wp-admin dla witryny internetowej, którą chcesz zabezpieczyć. Większość użytkowników będzie musiała dwukrotnie kliknąć folder public_html, następnie katalog z nazwą swojej domeny, a następnie katalog wp-admin.
Teraz możesz wybrać dwa pliki po lewej stronie i kliknąć „Prześlij” z menu po kliknięciu prawym przyciskiem myszy lub po prostu przeciągnąć pliki do lewego okna.
Teraz twój katalog „wp-admin” będzie zabezpieczony hasłem.
Rozwiązywanie problemów z zabezpieczeniem hasłem wp-admin
W zależności od tego, jak skonfigurowany jest twój serwer i witryna internetowa, istnieje szansa, że napotkasz błędy WordPress. Błędy te można naprawić poprzez staranne dodanie kodu do twojego pliku .htaccess.
Uwaga: Jest to plik .htaccess znajdujący się w twoim głównym katalogu witryny internetowej, a nie ten, który przesłałeś do katalogu „wp-admin”. Jeśli masz problemy z jego znalezieniem, zapoznaj się z naszym przewodnikiem na temat tego, dlaczego nie możesz znaleźć .htaccess i jak go zlokalizować.
Poprawki do błędu niedziałającego Ajaxa
Jednym z najczęstszych błędów jest to, że funkcjonalność Ajax może przestać działać na front-endzie twojej witryny. Jeśli masz wtyczki WordPress, które wymagają Ajax, takie jak wyszukiwanie na żywo Ajax lub formularze kontaktowe Ajax, to powiadomienie, że te wtyczki nie będą już działać.
Aby to naprawić, wystarczy dodać następujący kod do pliku .htaccess, który znajduje się w twoim katalogu wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Poprawka błędu 404 i zbyt wielu przekierowań
Dwa inne błędy, które możesz napotkać, to błąd 404 i błąd zbyt wielu przekierowań.
Najprostszym sposobem na ich poprawienie jest otwarcie głównego pliku .htaccess znajdującego się w katalogu twojej witryny internetowej i dodanie następującej linii kodu przed regułami WordPress:
ErrorDocument 401 default
Bonus: Najlepsze przewodniki WordPress dotyczące zabezpieczeń wp-admin
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak zabezpieczyć hasłem twój katalog administracyjny WordPress (wp-admin). Warto zapoznać się z dalszymi przewodnikami na temat zabezpieczenia obszaru administracyjnego:
- Jak ograniczyć dostęp administratora WordPress według adresu IP?
- Najważniejsze wskazówki dotyczące zabezpieczenia obszaru administracyjnego WordPress (aktualizacja)
- Jak dodać własny adres URL logowania w WordPress (krok po kroku)
- Jak i dlaczego należy ograniczyć próby logowania w WordPress?
- Jak dodać uwierzytelnianie dwuskładnikowe w WordPress (darmowa metoda)
- Jak dodać pytania dotyczące zabezpieczeń do ekranu logowania WordPress
- Jak zmusić użytkowników do zmiany haseł w WordPress – Wygaśnięcie hasła
- Jak zresetować hasła wszystkich użytkowników w WordPress?
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mrteesurez
Thanks. I found it helpful.
I want to ask if the methods are all offering the same level of security, I would prefer and recommend to stick to the first method as it seems easy and straight forward.
Or is there any one that is better than the other ??
WPBeginner Support
These are different methods to achieve the same result so it would depend on your preference for which one you would use.
Administrator
Mark
Is there anyway for hackers to gain access to this password and even change it, like in phpMyAdmin ?
WPBeginner Support
They would need access to your hosting provider or site files for this guide.
Administrator
Salman
I have changed my login URL using the „WPS Hide Login” plugin. Lets say the previous URL ended in wp-admin/ and the new URL ends in hidden/ now how can I password protect this new URL?
WPBeginner Support
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Administrator
Jiří Vaněk
WPShide doesn’t create a new folder, I use that too. The wp-admin folder is still on the server and functional. So if you use WPSHide, secure the wp-admin folder exactly the same.
Jiří Vaněk
A good practice is also to rename the WordPress administration URL and choose a different administrator username than 'admin.’ Changing the URL makes it harder for attackers to locate the administration, and not using 'admin’ as the administrator reduces the risk of a successful brute force attack.
WPBeginner Support
Having a username other than admin is definitely recommended but for changing the wp-admin url is not always recommended as that can cause trouble with some plugins as well as make troubleshooting more difficult.
Administrator
Jose
Ajax fix worked fine. Thanks a lot for this.
WPBeginner Support
Glad our article could help
Administrator
Umer Yaseen
What if someone accesses our WordPress admin directory by entering mywebsite.com/wp-login.php instead of mywebsite.com/wp-admin. This method only protects wp-admin and not protects wp-login.php. So how it is useful?
WPBeginner Support
This would show the same prompt for users trying to log in using the wp-login.php
Administrator
nadia
you are the best. thanks for thousand time like allways.
WPBeginner Support
Glad you’ve found our content helpful
Administrator
Lordemmaculate
I want to do this but my server is Nginx not Apache so I can’t use .htaccess
WPBeginner Support
We’ll see if we can add a method for that type of server when we update this article
Administrator
Rajah
The first method through cPanel worked like a charm. However, when I logout again from WP and login again it doesn’t ask again for the directory password. Is it meant to ask only once?
WPBeginner Support
Your cookies/cache will remember the login information. Normally the next time you start up your computer it will require you to log in again.
Administrator
Webo
Very good, Thank you…
WPBeginner Support
You’re welcome
Administrator
Izzy
The „Password Protect Directories” is not on my cPanel under „securitiy”, so I tried the manual way, but it doesn’t seem to work as it doesn’t ask for login when I open wp-admin…
WPBeginner Support
If you reach out to your hosting provider they should be able to assist and take a look if there’s any reason it wouldn’t be working.
Administrator
Ahsan Ali
Thanks for your efforts!
I used cpanel method it works fine but the problem is that the password prompt appearing on every page of my website!
What i have to do so that it appear only at wp-admin page?
WPBeginner Support
It sounds like you may have password protected your public_html folder instead of the wp-admin folder. You would want to remove the current protection and attempt to set it up again
Administrator