5 tipov pre zvýšenie váš WordPress Prihlásenie zabezpečenia

Nezáleží na veľkosti vašich webových stránok, straty údajov o vašich stránkach alebo nedosiahnutie prístupu k vlastným webovým stránkam môže byť zážitok z toho, že ste boli nervózni. WordPress, ktorý ovláda viac ako 25% webu, je jedným z najviac cielených webových stránok pre hackerov.

V predchádzajúcich príspevkoch sme vám ukázali množstvo tipov a trikov, ktoré už pokryli takmer všetko, aby ste zabezpečili vašu webovú stránku WordPress. Napriek tomu je stále priestor na zlepšenie. V tomto príspevku sa budeme zaoberať niekoľkými ďalšími tipmi, ktoré vám pomôžu urobiť vašu stránku WordPress ťažšie porušit.

1. Hashing heslom Bcrypt

Program WordPress bol spustený v roku 2003, kedy PHP a web vo všeobecnosti boli ešte v prvých dňoch. Facebook ešte nebola, PHP ešte nemalo zabudovanú architektúru OOP (Object-oriented Programming); preto WordPress zdedil dedičstvo, ktoré už dnes nie je ideálne - vrátane toho, ako to šifruje heslo.

WordPress dodnes používa MD5 zatrieďovanie. V podstate to, čo robí, je obrátiť sa 123456 heslo do niečoho e10adc3949ba59abbe56e057f20f883e.

Avšak, pretože počítače sú teraz sofistikovanejšie ako pred 10 rokmi to čiarkovaná heslo sa dá ľahko vrátiť do svojej holého tvaru takmer okamžite.

PHP má natívne šifrovanie od 5.5 a ak je vaša WordPress spustená v PHP5.5 alebo vyššom, existuje praktický doplnok s názvom wp-password-bcrypt, ktorý vám umožňuje prevziať tento natívny nástroj v PHP.

Nainštalujte a aktivujte doplnok prostredníctvom aplikácie Composer alebo prostredníctvom doplnkov MU. Znova uložte svoje heslo a všetci ste nastavili.

2. Povoliť ochranu WordPress.com

Brute-force je bežný pokus o hacker, keď sa útočníci pokúšajú prihlásiť sa na vaše webové stránky hádaním mnohých možných hesiel, zvyčajne slov nájdených v slovníku. To je dôvod, prečo by ste mali nastaviť ťažko odhadnúť heslo.

Automattic, ľudia za WordPress.com, získali jeden z najpopulárnejších plug-inov WordPress, ktorý dokáže čeliť útokom na hrubou silou. Nazýva sa to BruteProtect a je integrovaná s Jetpackom.

Na základe našich skúseností to má mimoriadne nám pomohol bojovať proti brutálnym útokom viac ako blízko milióna doba.

Ak chcete získať to, musíte nainštalovať najnovšiu verziu Jetpack a pripojiť svoje webové stránky na WordPress.com. Potom povoľte “chrániť” modulu a bielu-zoznam vašej vlastnej IP adresy rovnako.

Teraz by ste sa mali cítiť trochu bezpečnejšie.

3. Skryť svoju prihlasovaciu URL

WordPress je veľmi dobre známa pre prihlasovaciu stránku, wp-login.php. Preto hackeri vedia, ktorú presnú stránku nasmerujú svoje útoky na hrubou silou. Môžete im to ešte ťažšie skrytie vašej prihlasovacej adresy WordPress.

Našťastie existuje niekoľko doplnkov, ktoré poskytujú tento nástroj:

• iThemes Security
• WPS Skryť prihlásenie

4. Zakázať “Zabudnuté heslo”

“Zabudnuté heslo” utility v prihlasovacom formulári je spôsob, ako pre útočníkov, ktorí zvyčajne prejdú pomocou SQL injection a získajú vaše prihlasovacie poverenia. Ak je len málo ľudí, ktorí majú prístup do administrátorskej oblasti, môže byť lepšie ho vypnúť.

Ak to chcete urobiť, vytvorte nový súbor na nahrávanie - pomenujte ho forget-password.php.

Najskôr zmeníme stratené heslo URL:

 funkcia lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

Odstráňte odkaz. Bohužiaľ, WordPress neposkytuje správny hák, aby to urobil úhľadne add_filter Funkcie. Takže to robíme pomocou jazyka JavaScript.

 funkcia lostpassword_elem ($ page) ?>   
Napokon sme presmerovali “stratene heslo” Adresa URL na prihlasovacej obrazovke.
 
 funkcia lostpassword_redirect () if (isset ($ _GET ['akcia'])) if (in_array ($ _GET ['action'], login.php ', 301); východ;  add_action ('init', 'lostpassword_redirect'); 
 
5. Povolenie protokolu HTTPS
 
HTTPS poskytuje vášmu webu dodatočnú úroveň zabezpečenia s prenosom dát. Môže vám to tiež zvýšiť hodnotenie v rebríčkoch vyhľadávania Google. A teraz môžete získať platný certifikát HTTPS zadarmo prostredníctvom komunálnej iniciatívy Poďme šifrovať.
 
Pre webové stránky WordPress môžete ľahko získať Zašifrovať s certifikátom WP Encrypt. Takže nie je dôvod, prečo by ste dnes nemali na svojom webe nainštalovať HTTPS.
 
 
Zbaliť
 
Chcel by som vám len nechať s pripomienkou, že napriek všetkým týmto pokusom, našim webovým stránkam mohli byť stále predmetom útokov, hackerov a ohrozenia hackermi prostredníctvom prostriedkov, ktoré sú mimo nášho chápania. Aj veľké spoločnosti ako Dropbox a LinkedIn sa stali obeťami bezpečnostných hrozieb.
 
Ako posledná možnosť, Nezabudnite pravidelne zálohovať súbory a databázu svojich webových stránok hocikedy môžeš.