Główna » WordPress » 5 wskazówek, które poprawią bezpieczeństwo logowania WordPress

    5 wskazówek, które poprawią bezpieczeństwo logowania WordPress

    Bez względu na rozmiar witryny, utrata danych witryny lub brak możliwości uzyskania dostępu do własnej strony internetowej może być bardzo stresujące. WordPress, który obsługuje ponad 25% sieci, jest jedną z najbardziej ukierunkowanych stron internetowych dla hakerów.

    W naszych poprzednich postach pokazaliśmy Ci wiele porad i sztuczek, które obejmowały już prawie wszystko, aby zabezpieczyć Twoją witrynę WordPress. Mimo to zawsze jest miejsce na poprawę. W tym poście zajmiemy się kilkoma dodatkowymi wskazówkami, które pomogą ci utrudnić złamanie witryny WordPress.

    1. Hashowanie hasła Bcrypt

    WordPress został uruchomiony w 2003 roku, kiedy PHP i Internet w ogóle były w początkowej fazie rozwoju. Facebooka jeszcze nie było, PHP nie posiadało wbudowanej architektury OOP (Object-oriented Programming); stąd WordPress odziedziczył spuściznę, która nie jest już idealna dzisiaj - w tym jak to jest szyfruje hasło.

    WordPress do dziś używa MD5 mieszanie. Zasadniczo to, co robi, to włączyć 123456 hasło do czegoś takiego e10adc3949ba59abbe56e057f20f883e.

    Jednak ponieważ komputery są teraz bardziej zaawansowane niż 10 lat temu hashed hasło można teraz w prosty sposób odwrócić do jego nagiej postaci.

    PHP ma natywne szyfrowanie od 5.5 i jeśli twój WordPress działa w PHP5.5 lub nowszym, istnieje poręczna wtyczka o nazwie wp-password-bcrypt, która pozwala objąć to natywne narzędzie w PHP.

    Zainstaluj i aktywuj wtyczkę za pomocą Composera lub wtyczek MU. Zapisz ponownie swoje hasło, a wszystko gotowe.

    2. Włącz ochronę WordPress.com

    Brute-force jest powszechną próbą włamania, w której atakujący próbują zalogować się do Twojej witryny, zgadując wiele możliwych haseł, zazwyczaj słów znajdujących się w słowniku. Z tego powodu powinieneś ustawić hasło trudne do odgadnięcia.

    Automattic, ludzie za WordPress.com, nabyli jedną z najpopularniejszych wtyczek WordPress, które mogą przeciwdziałać atakom siłowym. Nazywa się BruteProtect i jest zintegrowany z Jetpack.

    W oparciu o nasze doświadczenie ma ogromnie nam pomógł zwalczać ataki sił brutalnych więcej niż blisko milion czasy.

    Jetpack Dashboard Widget raportujący liczbę napotkanych ataków i spamu.

    Aby go zdobyć, musisz zainstalować najnowszą wersję Jetpack i podłączyć swoją stronę do WordPress.com. Następnie włącz “Ochraniać” moduł i wpisanie własnego adresu IP.

    Teraz powinieneś czuć się trochę bezpieczniej.

    3. Ukryj swój adres URL logowania

    WordPress jest bardzo dobrze znany ze strony logowania, wp-login.php. Stąd hakerzy wiedzą, którą stronę dokładnie kierować atakami siłowymi. Możesz im to utrudnić ukrywanie adresu URL logowania do WordPress.

    Na szczęście istnieje kilka wtyczek, które dostarczają tego narzędzia:

    • iThemes Bezpieczeństwo
    • WPS Hide Login

    4. Wyłącz “Zapomnij hasła”

    The “Zapomnij hasła” narzędzie w formularzu logowania jest sposobem dla napastników, którzy zazwyczaj przechodzą przez iniekcję SQL, aby uzyskać dane logowania. Jeśli jest tylko kilka osób, które mają dostęp do obszaru administracyjnego, może być lepiej wyłączyć.

    Aby to zrobić, utwórz nowy plik upload - nazwij go forget-password.php.

    Najpierw zmieniamy adres URL utraconego hasła:

     funkcja lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url');

    Usuń link. Niestety, WordPress nie zapewnia odpowiedniego haka, aby zrobić to porządnie add_filter funkcjonować. Robimy to za pomocą JavaScript.

     funkcja lostpassword_elem ($ page) ?>   
    Na koniec przekierowujemy “Zgubione hasło” URL do ekranu logowania.
     
     funkcja lostpassword_redirect () if (isset ($ _GET ['action']))) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); wyjście;  add_action ('init', 'lostpassword_redirect'); 
     
    5. Włącz HTTPS
     
    HTTPS zapewnia Twojej stronie dodatkową warstwę bezpieczeństwa dzięki transmisji danych. Może to również zwiększyć pozycję w rankingach wyszukiwania Google. A teraz możesz uzyskać prawidłowy certyfikat HTTPS za darmo poprzez wspólnotową inicjatywę Szyfrujmy.
     
    W przypadku witryn WordPress można łatwo uzyskać Szyfrujmy certyfikat z WP Szyfruj. Nie ma więc powodu, dla którego nie powinieneś dziś wdrażać HTTPS w swojej witrynie.
     
     
    Zawijanie
     
    Po prostu chciałbym zostawić cię z przypomnieniem, że pomimo tych wszystkich prób, nasze strony internetowe wciąż może być przedmiotem ataków, hacków i ataków hakerów poprzez środki wykraczające poza nasze rozumienie. Nawet duże firmy, takie jak Dropbox i LinkedIn, padły ofiarą zagrożeń bezpieczeństwa.
     
    W ostateczności, pamiętaj, aby regularnie tworzyć kopie zapasowe plików i bazy danych witryny kiedy tylko możesz.
    5 najlepszych aplikacji Augmented Reality dla edukacji
    5 najlepszych funkcji systemu Windows 8, które pokochasz
    5 wskazówek, aby przyspieszyć czas ładowania iPhone'a
    Następny artykuł
    5 Narzędzia do zarządzania przepływem pracy i współpracą online
    Poprzedni artykuł
    5 wskazówek, jak walczyć z freelancingiem w pełnym wymiarze godzin