Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

14 viktiga tips för att skydda ditt admin area i WordPress (Updated)

Letar du efter sätt att skydda din WordPress admin area?

Genom att skydda admin area från obehörig åtkomst allow you att blockera många vanliga säkerhetshot. Detta kan vara till hjälp om du ser många attacker på din WordPress website.

I denna tutorial kommer vi att visa dig några av de viktigaste tipsen och hacks för att skydda din WordPress admin area.

Tips and hacks to protect WordPress admin area

Vi kommer att täcka många tips, och du kan använda snabblänkarna under för att hoppa mellan dem:

1. Använd en firewall

En firewall övervakar trafiken på webbplatsen och blockerar misstänkta requests från att nå your website.

Det finns flera tillägg till WordPress firewall, t.ex. Wordfence, men vi rekommenderar att du använder Sucuri. Det är en tjänst för säkerhet och övervakning av webbplatser som erbjuder en molnbaserad firewall för att skydda din website.

Website Application Firewall

All trafik på din website går först genom Sucuris molnproxy, som analyserar varje request och blockerar misstänkta requests från att någonsin nå din website. Detta förhindrar att din website utsätts för hackningsförsök, nätfiske, skadlig kod och andra skadliga aktiviteter.

Ett annat bra alternativ är Cloudflare, vilket är vad vi nu använder på WPBeginner. För mer detaljer, se vår artikel om varför vi bytte från Sucuri till Cloudflare.

2. Skydda WordPress Admin Directory med password

Din WordPress admin area är redan skyddad av din WordPress password. Men genom att add to password protection till din WordPress admin directory lägger du till ytterligare ett lager av säkerhet på din login page.

Först måste du logga in på din WordPress dashboard på webbhotellet cPanel och sedan clicka på ikonen ”Password Protect Directories” eller ”Directory Privacy”.

Directory privacy

Därefter måste du selecta din wp-admin folder, som normalt ligger i /public_html/ directory.

På nästa vy måste du kontrollera boxen bredvid alternativet ”Password protect this directory” och ange ett namn för den skyddade katalogen.

Därefter klickar du på knappen ”Save” för att ställa in behörigheterna.

Password protect directory settings

Därefter måste du trycka på knappen tillbaka och sedan skapa en användare. You will be asked to provide a username/password and then click on the ”Save” button.

När någon nu försöker besöka WordPress admin eller wp-admin directory på din website, kommer de att bli ombedda att enter användarnamn och password.

Enter password

För mer detaljer, se vår guide om hur du skyddar WordPress admin (wp-admin) directory med password.

3. Använd alltid starka password

Always use strong passwords

Använd alltid starka lösenord för alla dina online accounts, inklusive din WordPress site. Vi rekommenderar att du använder en kombination av bokstäver, siffror och specialtecken i dina password. Det gör det svårare för hackare att gissa sig till ditt password.

Vi får ofta frågan från Beginners om hur man kommer ihåg alla dessa password. Det enklaste svaret är att you don’t need to. Det finns några riktigt bra appar för hantering av lösenord som du kan installera på din dator och telefon.

Mer information om detta ämne finns i vår guide om hur du hanterar password på bästa sätt för WordPress nybörjare.

4. Använd tvåstegsverifiering på WordPress login vy

WordPress login screen with Google Authenticator enabled

Tvåstegs-autentisering, även känd som tvåfaktors-autentisering, tvåfaktorsverifiering eller 2FA, add to ytterligare ett säkerhetslager till dina password. Istället för att bara använda lösenordet ber den dig att enter en verifieringskod som genereras av Google Authenticator-appen på din telefon.

Även om någon kan gissa sig till ditt WordPress password, behöver de ändå Google Authenticator-koden för att komma in.

För detaljerade steg-för-steg-instruktioner, se vår guide om hur du ställer in 2-stegsverifiering i WordPress med hjälp av Google Authenticator.

5. Limit Login Försök

Limit login attempts

Som standard tillåter WordPress användare att enter lösenord så många gånger de vill. Det innebär att någon kan fortsätta att försöka gissa ditt WordPress password genom att enter olika kombinationer. Det allow också hackare att använda automatiserade skript för att knäcka password.

För att fixa detta måste du installera och aktivera plugin-programmet Limit Login Attempts Reloaded. Efter aktivering, gå till besök Settings ” Login Lockdown page för att konfigurera plugin-inställningarna.

För detaljerade instruktioner, se vår guide om varför du bör limit login-försök i WordPress. För att lära dig mer om pluginet kan du också kontrollera vår detaljerade Limit Login Attempts review.

6. Limit Login Access till IP-adresser

Ett annat bra sätt att säkra WordPress login är att limitera åtkomsten till specifika IP-adresser. Detta tips är viss användbart om du eller bara några få betrodda användare behöver tillgång till admin area.

Add helt enkelt denna kod till din .htaccess-fil:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Glöm inte att ersätta xx-värdena med din egen IP-adress. Om du använder mer än en IP-adress för att komma åt internet, se till att du addar dem också.

Detaljerade instruktioner finns i vår guide om hur du begränsar åtkomsten till WordPress-admin med hjälp av .htaccess.

7. Inaktivera tips för login

Disabled login hints

Vid ett Misslyckat försök till login visar WordPress error som talar om för användarna om användarnamnet eller passwordet var felaktigt. Dessa login-tips kan användas av någon för skadliga försök som gillar brute force-attacker.

Du kan enkelt dölja dessa tips om login genom att lägga till följande kod i ditt temas functions.php-fil eller genom att använda ett code snippets plugin som WPCode (rekommenderas):

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

För mer detaljer, se vår guide om hur du lägger till custom code i WordPress utan att förstöra din website.

8. Obligatoriskt för användare att använda starka password

Om du run en WordPress site med flera auktoriserade användare, kan dessa användare edit sina användarkonton och använda ett svagt password. Dessa password kan knäckas och ge någon tillgång till WordPress admin area.

För att fixa detta kan du installera och aktivera SolidWP plugin. Sedan kan du följa stegen i vår kompletta guide om hur du tvingar fram starka lösenord för användare i WordPress.

9. Återställ password för alla användare

Är du bekymrad över säkerheten för password på din multi-site WordPress site? Du kan enkelt be alla dina användare att återställa sina password.

Först måste du installera och aktivera plugin för Emergency Password Reset. När du är aktiverad går du till sidan Användare ” Emergency Password Reset och klickar på knappen ”Återställ alla lösenord”.

Reset all passwords

Detaljerade instruktioner finns i vår guide om hur du återställer lösenord för alla användare i WordPress

10. Håll WordPress Updated

WordPress släpper ofta nya programvaruversioner. Varje ny version av WordPress core innehåller viktiga buggfixar, nya funktioner och säkerhetsfixar.

Om du använder en äldre version av WordPress på din site är du öppen för kända exploateringar och potentiella sårbarheter. För att fixa detta måste du se till att du använder den senaste versionen av WordPress.

Mer om ämnet finns i vår guide om varför du alltid bör använda den senaste versionen av WordPress.

På samma sätt uppdateras WordPress tillägg ofta för att införa nya funktioner eller fixa säkerhets- och andra issues. Se till att dina tillägg till WordPress också är uppdaterade.

Note : Föredrar du att lämna ditt WordPress-underhåll till proffsen? Våra WPBeginner underhållstjänster kan ta hand om allt från updating till malware removal så att you bara kan fokusera på att run din website.

11. Skapa customize login- och registreringssidor

Många WordPress-webbplatser kräver att användare registrerar sig. Till exempel membership sites, learning management sites och online stores kräver att användare skapar ett account.

Dessa användare kan dock använda sina konton för att logga in på WordPress admin area. Detta är inte en stor issue, eftersom de bara kommer att kunna göra saker som tillåts av deras användares roll och capability.

Det hindrar dig dock från att på rätt sätt begränsa åtkomsten till login- och registreringssidor, eftersom du behöver dessa pages för att användare ska kunna registrera sig, hantera sina profiler och logga in.

Det enkla sättet att fixa detta är genom att skapa custom login och registrering pages så att användare kan registrera sig och logga in direkt från din website.

För detaljerade Step-by-Step instruktioner, se vår guide om hur du skapar customize login och registrering pages i WordPress.

12. Lär dig mer om roller och behörigheter för WordPress-användare

WordPress har ett kraftfullt system för hantering av användare med olika roller och capabilities. När du lägger till en new användare på din site i WordPress kan du välja en roll för användaren. Denna roll definierar vad användaren kan göra på din site i WordPress.

Genom att tilldela felaktiga roller kan användare få fler capabilities än de behöver. För att undvika detta måste du förstå vilka capabilities som följer med olika roller i WordPress.

Mer information om ämnet finns i vår guide för nybörjare om roller och behörigheter för WordPress-användare.

13. Limitera åtkomst till WordPress dashboard

Vissa WordPress-webbplatser har vissa användare som behöver tillgång till dashboarden och andra användare som inte behöver det. Som standard har dock alla tillgång till admin area.

För att fixa detta måste du installera och aktivera pluginet Remove Dashboard Access. Efter aktivering, gå till Settings ” Dashboard Access page och välj vilka användarroller som ska ha tillgång till admin area på din site.

För mer detaljerade instruktioner, se vår guide om hur du begränsar åtkomst till dashboard i WordPress.

14. Logga ut inaktiva användare

Idle user logout

WordPress loggar inte automatiskt ut användare förrän de uttryckligen loggar ut eller stänger webbläsarens fönster. Detta kan vara ett problem för WordPress webbplatser med känslig information. Det är därför som finansinstitutens webbplatser och appar automatiskt loggar ut användare om de inte har varit aktiva.

För att fixa detta kan du installera och aktivera pluginet Inactive Logout. När du har aktiverat det, gå till Settings ” Inactive Logout page och enter den tid efter vilken du vill att användarna ska loggas ut automatiskt.

För mer detaljer, se vår artikel om hur du automatiskt loggar ut användare som inte är aktiva i WordPress.

Vi hoppas att den här artikeln hjälpte dig att lära dig några new tips och hacks för att skydda ditt WordPress admin area. Du kanske också vill se vår ultimata Step-by-Step WordPress säkerhetsguide för nybörjare och våra expertval av de bästa WordPress säkerhetstilläggen.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Avslöjande: Vårt innehåll stöds av våra läsare. Det innebär att om du klickar på några av våra länkar, kan vi tjäna en provision. Se hur WPBeginner finansieras, varför det är viktigt, och hur du kan stödja oss. Här är vår editoriala process.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Den ultimata WordPress-verktygslådan

Få GRATIS tillgång till vår verktygslåda - en samling WordPress-relaterade produkter och resurser som varje professionell användare bör ha!

Reader Interactions

136 kommentarerLämna ett svar

  1. Jiří Vaněk

    I have used many of your tips and, additionally, I also changed the URL of the administration to prevent potential brute force attacks. Regarding strong passwords, I would also recommend not using the default ”admin” user because it is the first user a hacker will try to attack with brute force. Personally, when I install WordPress, I never use the ”admin” user but always choose a custom name. It’s a small detail, but it can also contribute to security.

  2. Mrteesurez

    I don’t think there will be a way hackers would be able to enter if one is able to implement all these tips and tricks.
    I have used some, limiting logging attempt and dashboard access and they worked fine, I will still try to implement others for maximum security.

    • Jiří Vaněk

      WordPress is a complex system, and securing the administration alone is not enough. There is always a way a hacker can attack you. They might target FTP to obtain sensitive database information, attempt to exploit a poorly protected MySQL, or try to take advantage of a newly discovered vulnerability in a plugin, theme, or WordPress itself before you manage to update it. Therefore, it is always good to think comprehensively and not forget about other elements of the system such as MySQL, FTP, and WordPress components.

  3. Moinuddin Waheed

    Must have tips and tricks for protection of WordPress admin dashboard.
    I have used two factor authentication for admin login and also the login limits for admin access.
    dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
    I didn’t know that we can have these much steps to protect our dashboard.
    Thanks for the exhaustive lists of tips for dashboard protection.

    • WPBeginner Support

      Glad to hear you found our list helpful!

      Administratör

  4. Theo

    ”This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.”

    I know that this is a 3 and a half years old article!

    It would be nice if someone could suggest an alternative! Thank you for your time!

    • WPBeginner Support

      We will certainly take a look at alternatives.

      Administratör

  5. Raksa Sav

    If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?

    • WPBeginner Support

      Hi Raksa,

      Yes, they can remove other administrators and take control of your website.

      Administratör

  6. Muchsin

    I want to ask
    I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
    I use the newspaper theme from tagdiv.

  7. sherizon

    what is the best advice in starting up an eceommerce website can i use wordpress?

  8. Brenda Donovan

    Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?

  9. Joe

    Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.

  10. Dragos

    You should also change where you install the default folder of wp-admin.

  11. Abhinav S Thakur

    Can anyone fix this?
    How shall I force SSL only for admin and rest of the site should be http.
    Like wp beginner has non SSL site!
    Running wordpress, cPanel

  12. Pinkey

    Hi,

    I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.

    Thanks & best Regards,

    Pinkey

  13. Lucy Barret

    The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.

  14. John

    Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?

    Help please!

  15. Craig

    Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.

  16. Tahir

    smart collection….!!

  17. Talha

    Thanks a lot. I have a website . I will set up there.

  18. Pat Fortino

    This plugin no longer exists: Stealth Login

    Can you recommend an alternative?

    Thanks

  19. Lori

    I’ve also been told to ”remove links to the admin page from the site so that the hacking robots can’t just follow a link.” I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?

    (I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)

  20. Emily Johns

    Great information!

    For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
    From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
    Tested and happy with it!

  21. Barry Richardson

    I was under the impression that the original username (e.g. ”admin”) of a WP site cannot be deleted, so even if we did add a new username, the original ”admin” would still be available for a potential hacker to exploit.

    • WPBeginner Support

      If you create a new user account with the administrator role, then you can safely delete admin user.

      Administratör

  22. Sandeep Jinagal

    Hyy WPBeginner first of All u are Doing Best OF Best???
    And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.

  23. Kheti

    Thanks for this educative material. Very helpful. Thanks for the good work and support.

  24. ifaheem

    great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!

    My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin :(

    After performing above steps (update them by some research), feeling secure a little.

    Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!

  25. Prince Jain

    Thank you for such a great post. :)

    But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of Wordpress.
    Also can you please suggest a plugin to create custom URL for login window.

  26. Mitchell Miller

    Stealth Login was removed from WP Plugin repository.

    But changing wp-login.php link is the first step to protecting a WordPress site.

  27. laya rappaport

    What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?

    • James Campbell

      I’m not sure if there’s a way for you to retrieve your sites information necessarily, but if you’re able to, always create a new user and give other people access through that particular user. This allows you to restrict access to certain areas and you can also delete their access when it’s no longer needed. Giving up your access to your site let’s them block you out.

  28. user4574

    One other helpful item not mentioned is database permissions. The Wordpress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.

    So if you’re doing it directly in mysql, it would be:
    GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;

    If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.

  29. Tanmoy Das

    Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.

  30. Derick

    @Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.

  31. Thorir

    Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.

    Perhaps this is a helpful factor, security wise?

  32. Mary

    Hello, I hope you are well!
    This was a great article but a little complicated for me.

    because I need the easy way right now, the wordpress firewall plugin looked good but

    my fear is losing my login page.
    I have spent a long time trying to work with FTP and have not been able to understand it.

    Will this be a good plugin for a scaredy cat?? Thanks Mary

  33. Ed van Dun

    And what about Bullet Proof Security? It covers some area’s mentioned above and quite a few more.

  34. Prodip

    All of the above tips helped me to make my blog with more secured.

  35. Dr. Sean Mullen

    This is great info but Please update! Thanks

  36. Guest

    I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer ”officially” compatible with the latest WordPress (3.4.x-3.5)?

    • Editorial Staff

      Yes, it is in the works along with few other things. We are doing the best we can. Thanks for letting us know.

      Administratör

  37. whoiscarrus

    Just really getting into WP development and can’t say thank you enough! These are great for beggin’n folk like myself!

  38. Bigdrobek

    Great turitorial, but please can you update it?

    Few plug-ins is not exist, are old or are hidden by WordPress.org.

    – Stealth Login

    – Login Lockdown

    – Admin SSL

    I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?

  39. mattjwalk

    You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.

  40. Jermaine

    The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?

  41. vivek

    great post and nice guide for new bloggers like me

  42. fareed

    Great post and very useful to me thank you

  43. Daniel

    Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ’subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!

  44. Jonathan K. Cohen

    This article needs to be revisited. A number of the plugins suggested have not been maintained, and may be incompatible with the latest version of WP.

    These include #1, #3, and #5.

    • John

      For #1 ckeck this plugin called WPS Hide Login

    • Greg

      I completely agree with you. I’ve been using the Limit Login Attempts plugin for my WordPress for a while. Today this plugin is outdated. I’ve switched to WP Cerber:

  45. Danang Sukma

    Thanks for your post.
    Im using password protect for my wp-admin folder in cpanel, is it enough?

  46. mby

    uh what a useful info guys, it can help surely!!
    thanks for posting! ^_^

  47. anthony

    This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!

  48. shoaib hussain

    man m moving from one post to the other in your blog and m loving it it.thnx a lot.guess i’ll have to subscribe now.

Lämna ett svar

Tack för att du väljer att lämna en kommentar. Tänk på att alla kommentarer modereras enligt våra policy för kommentarer, och din e-postadress kommer INTE att publiceras. Vänligen använd INTE nyckelord i namnfältet. Låt oss ha en personlig och meningsfull konversation.