5 tipov pre zvýšenie váš WordPress Prihlásenie zabezpečenia
Nezáleží na veľkosti vašich webových stránok, straty údajov o vašich stránkach alebo nedosiahnutie prístupu k vlastným webovým stránkam môže byť zážitok z toho, že ste boli nervózni. WordPress, ktorý ovláda viac ako 25% webu, je jedným z najviac cielených webových stránok pre hackerov.
V predchádzajúcich príspevkoch sme vám ukázali množstvo tipov a trikov, ktoré už pokryli takmer všetko, aby ste zabezpečili vašu webovú stránku WordPress. Napriek tomu je stále priestor na zlepšenie. V tomto príspevku sa budeme zaoberať niekoľkými ďalšími tipmi, ktoré vám pomôžu urobiť vašu stránku WordPress ťažšie porušit.
1. Hashing heslom Bcrypt
Program WordPress bol spustený v roku 2003, kedy PHP a web vo všeobecnosti boli ešte v prvých dňoch. Facebook ešte nebola, PHP ešte nemalo zabudovanú architektúru OOP (Object-oriented Programming); preto WordPress zdedil dedičstvo, ktoré už dnes nie je ideálne - vrátane toho, ako to šifruje heslo.
WordPress dodnes používa MD5 zatrieďovanie. V podstate to, čo robí, je obrátiť sa 123456
heslo do niečoho e10adc3949ba59abbe56e057f20f883e
.
Avšak, pretože počítače sú teraz sofistikovanejšie ako pred 10 rokmi to čiarkovaná heslo sa dá ľahko vrátiť do svojej holého tvaru takmer okamžite.
PHP má natívne šifrovanie od 5.5 a ak je vaša WordPress spustená v PHP5.5 alebo vyššom, existuje praktický doplnok s názvom wp-password-bcrypt, ktorý vám umožňuje prevziať tento natívny nástroj v PHP.
Nainštalujte a aktivujte doplnok prostredníctvom aplikácie Composer alebo prostredníctvom doplnkov MU. Znova uložte svoje heslo a všetci ste nastavili.
2. Povoliť ochranu WordPress.com
Brute-force je bežný pokus o hacker, keď sa útočníci pokúšajú prihlásiť sa na vaše webové stránky hádaním mnohých možných hesiel, zvyčajne slov nájdených v slovníku. To je dôvod, prečo by ste mali nastaviť ťažko odhadnúť heslo.
Automattic, ľudia za WordPress.com, získali jeden z najpopulárnejších plug-inov WordPress, ktorý dokáže čeliť útokom na hrubou silou. Nazýva sa to BruteProtect a je integrovaná s Jetpackom.
Na základe našich skúseností to má mimoriadne nám pomohol bojovať proti brutálnym útokom viac ako blízko milióna doba.
Ak chcete získať to, musíte nainštalovať najnovšiu verziu Jetpack a pripojiť svoje webové stránky na WordPress.com. Potom povoľte “chrániť” modulu a bielu-zoznam vašej vlastnej IP adresy rovnako.
Teraz by ste sa mali cítiť trochu bezpečnejšie.
3. Skryť svoju prihlasovaciu URL
WordPress je veľmi dobre známa pre prihlasovaciu stránku, wp-login.php
. Preto hackeri vedia, ktorú presnú stránku nasmerujú svoje útoky na hrubou silou. Môžete im to ešte ťažšie skrytie vašej prihlasovacej adresy WordPress.
Našťastie existuje niekoľko doplnkov, ktoré poskytujú tento nástroj:
- iThemes Security
- WPS Skryť prihlásenie
4. Zakázať “Zabudnuté heslo”
“Zabudnuté heslo” utility v prihlasovacom formulári je spôsob, ako pre útočníkov, ktorí zvyčajne prejdú pomocou SQL injection a získajú vaše prihlasovacie poverenia. Ak je len málo ľudí, ktorí majú prístup do administrátorskej oblasti, môže byť lepšie ho vypnúť.
Ak to chcete urobiť, vytvorte nový súbor na nahrávanie - pomenujte ho forget-password.php
.
Najskôr zmeníme stratené heslo URL:
funkcia lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Odstráňte odkaz. Bohužiaľ, WordPress neposkytuje správny hák, aby to urobil úhľadne add_filter
Funkcie. Takže to robíme pomocou jazyka JavaScript.
funkcia lostpassword_elem ($ page) ?>Napokon sme presmerovali “stratene heslo” Adresa URL na prihlasovacej obrazovke.
funkcia lostpassword_redirect () if (isset ($ _GET ['akcia'])) if (in_array ($ _GET ['action'], login.php ', 301); východ; add_action ('init', 'lostpassword_redirect');5. Povolenie protokolu HTTPS
HTTPS poskytuje vášmu webu dodatočnú úroveň zabezpečenia s prenosom dát. Môže vám to tiež zvýšiť hodnotenie v rebríčkoch vyhľadávania Google. A teraz môžete získať platný certifikát HTTPS zadarmo prostredníctvom komunálnej iniciatívy Poďme šifrovať.
Pre webové stránky WordPress môžete ľahko získať Zašifrovať s certifikátom WP Encrypt. Takže nie je dôvod, prečo by ste dnes nemali na svojom webe nainštalovať HTTPS.
Zbaliť
Chcel by som vám len nechať s pripomienkou, že napriek všetkým týmto pokusom, našim webovým stránkam mohli byť stále predmetom útokov, hackerov a ohrozenia hackermi prostredníctvom prostriedkov, ktoré sú mimo nášho chápania. Aj veľké spoločnosti ako Dropbox a LinkedIn sa stali obeťami bezpečnostných hrozieb.
Ako posledná možnosť, Nezabudnite pravidelne zálohovať súbory a databázu svojich webových stránok hocikedy môžeš.