Dacă ai un site WordPress, există roboți care încearcă să intre în el chiar acum. Nu e o exagerare — scanările automate și atacurile de tip brute force pe pagina de login WordPress sunt printre cele mai frecvente activități malițioase de pe internet. Adresa /wp-admin sau /wp-login.php e cunoscută de oricine, iar atacatorii profită exact de asta.
Vestea bună e că protejarea paginii de login nu e complicată și nu necesită cunoștințe tehnice avansate. Ce necesită e să faci câteva lucruri corecte, în locul obiceiurilor cu care cei mai mulți proprietari de site-uri pornesc la drum.
De ce pagina de login e prima țintă
WordPress rulează pe peste 40% din toate site-urile de pe internet. Asta înseamnă că un robot care scanează automat adrese web știe cu certitudine că la yoursite.ro/wp-login.php există o pagină de login — dacă site-ul rulează WordPress. Nu trebuie să te caute special. Ești automat în lista tuturor.
Atacurile brute force funcționează simplu: un script încearcă combinații de utilizator și parolă în mod repetat, de sute sau mii de ori pe minut, până găsește una care funcționează. Dacă folosești „admin” ca utilizator și o parolă ușor de ghicit, e o chestiune de timp.
Dincolo de brute force, există și atacuri de tip credential stuffing — folosirea unor combinații de utilizator/parolă scurse din alte breach-uri de date. Dacă folosești aceeași parolă pe mai multe platforme, e suficient ca una dintre ele să fie compromisă ca atacatorul să aibă acces și la site-ul tău.
Măsurile concrete, în ordinea priorității
1. Schimbă numele de utilizator „admin”
WordPress obișnuia să creeze automat contul de administrator cu numele „admin”. Mulți proprietari de site-uri nu l-au schimbat niciodată. Dacă și contul tău de admin se numește „admin”, atacatorul a ghicit deja jumătate din combinație — îi mai rămâne doar parola.
Soluția: creează un utilizator nou cu rol de Administrator, dă-i un nume care nu e evident (nu prenumele tău, nu numele site-ului), transferă conținutul dacă e cazul, și șterge contul „admin” original. E un pas simplu care elimină imediat o vulnerabilitate majoră.
2. Folosește o parolă puternică și unică
O parolă puternică înseamnă cel puțin 16 caractere, cu combinație de litere mari, mici, cifre și simboluri — și, mai important, o parolă pe care nu o folosești în altă parte. WordPress generează automat parole puternice la creare; majoritatea oamenilor le înlocuiesc cu ceva mai ușor de reținut. Greșeală.
Folosește un manager de parole (Bitwarden, 1Password sau similar) ca să nu trebuiască să le ții minte. Parola contului de admin WordPress nu ar trebui să fie ceva pe care îl tastezi de mână.
3. Activează autentificarea în doi pași (2FA)
Autentificarea în doi pași înseamnă că, după parolă, mai e nevoie de un cod generat de o aplicație (Google Authenticator, Authy sau similar) sau trimis prin SMS. Chiar dacă cineva îți obține parola, nu poate intra fără al doilea factor.
2FA e probabil cea mai eficientă măsură individuală de securitate pentru pagina de login — și e gratuită. Există mai multe plugin-uri WordPress care o implementează simplu, fără configurare complexă.
4. Limitează numărul de încercări de login
Implicit, WordPress permite un număr nelimitat de încercări de autentificare. Un atac brute force poate face mii de încercări fără să fie oprit. Un plugin de tip „login limiter” blochează automat o adresă IP după un număr definit de încercări eșuate (de exemplu, 5 încercări în 10 minute).
Această măsură singură reduce dramatic eficiența atacurilor brute force, chiar dacă parola ar fi relativ slabă. Combinată cu o parolă puternică și 2FA, face atacurile automate practic ineficiente.
5. Schimbă URL-ul paginii de login
Adresa implicită /wp-login.php e știută de toți roboții. Mutarea ei la o adresă personalizată — de exemplu /acces-administrare sau orice altceva nestandard — nu e o soluție de securitate în sine (prin obscuritate), dar elimină o parte semnificativă din traficul automat de scanare care nici măcar nu va găsi pagina.
Există plugin-uri care fac asta cu câteva click-uri. Important: notează-ți noua adresă undeva sigur înainte să faci modificarea.
6. Restricționează accesul la /wp-admin după IP
Dacă accesezi site-ul dintr-un număr limitat de locații (acasă, birou), poți restricționa accesul la zona de administrare doar pentru acele adrese IP. Oricine altcineva care încearcă să acceseze /wp-admin primește un 403 Forbidden, indiferent de parolă.
Aceasta e una dintre măsurile cele mai puternice, dar și cea mai puțin potrivită pentru toți: dacă lucrezi de pe IP-uri dinamice sau din locații variate, această restricție poate deveni un obstacol pentru tine însuți. Evaluează dacă se potrivește situației tale înainte să o implementezi.
7. Ține WordPress, plugin-urile și tema actualizate
Nu e o măsură directă de protecție a login-ului, dar e legată inextricabil de securitatea generală. Multe atacuri nu vizează login-ul, ci vulnerabilități în plugin-uri sau teme neactualizate care permit accesul direct, fără autentificare. Un site cu login bine protejat dar cu un plugin vulnerabil neactualizat poate fi compromis pe o cale complet diferită.
Ce se întâmplă dacă nu faci nimic
Un site WordPress cu login nepăzit nu e neapărat spart mâine. Dar e o țintă constantă, iar probabilitatea unui incident crește cu fiecare lună care trece. Consecințele unui cont de admin compromis sunt severe: atacatorul are acces complet la site, poate instala malware, poate redirecționa vizitatorii, poate fura date sau poate folosi serverul pentru atacuri asupra altor site-uri.
Recuperarea după un astfel de incident e scumpă în timp și bani — și adesea implică daune de reputație care nu se recuperează rapid.
Securitatea login-ului nu e un proiect de o dată
La fel ca backup-urile și actualizările, securitatea paginii de login nu e ceva ce configurezi o dată și uiți. Parole compromise, adrese IP blocate care trebuie revizuite, plugin-uri de securitate care se actualizează — toate necesită atenție periodică.
De aceea, securitatea face parte din mentenanța regulată a oricărui site WordPress serios. Nu e o intervenție de urgență care se face după ce s-a întâmplat ceva.
Toate pachetele noastre de administrare WordPress includ configurare de securitate pentru pagina de login, monitorizare și remediere în caz de incident — ca să nu trebuiască să te gândești tu la asta. De la 49 €/lună.
Vrei să știi cât de expus e login-ul site-ului tău acum? Cere auditul gratuit — verificăm și îți spunem exact ce trebuie făcut, fără obligații.