I en ideell verden ville det være enkelt å endre wp-admin-mappenavnet. Selv om det egentlig ikke er mulig uten noe hacking av WordPress, er det en rekke ting du kan gjøre for å sikre wp-admin litt mer. Jeg har ikke tenkt å prøve å gi nytt navn til denne mappen, som før det er en løsning som offisielt er støttet av WordPress, det er bare ikke verdt å gjøre. WordPress er ikke bygget for det, plugins er ikke bygget for det, og heller ikke temaer. Her er noen flere ting du kan gjøre selv …
Bare tillat bestemte IP-er
Dette er sannsynligvis min favorittløsning da den virkelig låser ting. Det vi skal gjøre er å se etter en ip-adresse, og hvis IP-adressen ikke samsvarer med de godkjente IP-adressene dine, returnerer den en forbudt feil. Denne bruker .htaccess-filen din for å se etter ip-adressen din.
.htaccess ordre tillate, nekt tillat fra 1.0.0.1 tillat fra 1.0.0.2 nekt fra alle
Du vil erstatte de to ip-adressene ovenfor med ip-adressene du vil bruke til å få tilgang til WordPress-administratoren. Du kan tillate bare en IP-adresse, eller så mange du vil ved å legge til eller fjerne linjer som begynner med tillate fra .
Legg til et nytt passordlag
Forutsatt at du kjører WordPress gjennom Apache, er det ganske enkelt å passordbeskytte katalogen din med et htaccess passord. Følg instruksjonene på forrige lenke, og legg koden i wp-admin-katalogen. Hvis du trenger å generere en .htpasswd-fil, se htpasswd-generatoren jeg opprettet.
Ikke bruk brukernavnadministrator
Endre brukernavnet fra standardadministratornavnet. Hvis den som prøver å få tilgang til nettstedet ditt har brukernavnet, er det et skritt nærmere de å tvinge seg inn i WordPress-installasjonen. Spesielt i lys av det nylige brute force-angrepet fra et botnett som var rettet mot brukernavnet admin, er dette viktigere enn noen gang.
Passordstyrke
Dette bør være gitt på ethvert nettsted. Ikke bruk 1234 som passord. Velg noe sikkert, store og små bokstaver, strenger, symboler, hva du enn kan gjøre for å gjette passordet ditt litt mer komplisert.
