5 tipp a WordPress bejelentkezési biztonságának szigorításához
Nem számít a webhelyed méretétől, ha elveszíted a webhelyadatokat, vagy nem tudod elérni a saját webhelyedet, ideg-rázó élmény lehet. A WordPress, amely a web több mint 25% -át teszi ki, a hackerek egyik leginkább célzott webhelye.
Korábbi üzeneteinkben megmutattuk számos tipp és trükk, amelyek már majdnem mindenre kiterjedtek a WordPress webhely biztosítására. Mindazonáltal mindig van lehetőség javítani. Ebben a hozzászólásban néhány további tippet fogunk találni, amelyek segítenek a WordPress webhelyének nehezebb megsértésében.
1. Jelszó Hashing kódolása
A WordPress-et 2003-ban indították el, amikor a PHP és a Web általában még mindig a korai napokban volt. A Facebook még nem volt körül, a PHP-nek még az OOP (Objektum-orientált programozás) architektúrája sem volt beépítve; ezért a WordPress örökölte azokat a hagyományokat, amelyek ma már nem ideálisak - beleértve azt is, hogyan titkosítja a jelszó.
A WordPress ezen a napon még mindig MD5-t használ tördeljük. Alapvetően, mit csinál, az, hogy megfordítsd 123456
jelszót e10adc3949ba59abbe56e057f20f883e
.
Mivel azonban a számítógépek most kifinomultabbak, mint 10 évvel ezelőtt kivonatolt A jelszó most azonnal azonnal visszafordítható a csupasz formába.
A PHP-nek van natív titkosítás mivel 5.5 és Ha a WordPress PHP5.5 vagy újabb verzióban fut, akkor praktikus plugin nevű wp-password-bcrypt, amely lehetővé teszi, hogy ezt a natív segédprogramot PHP-ben vegye fel.
Telepítse és aktiválja a plugint a Composer vagy a MU-Plugins segítségével. Mentse újra a jelszavát, és mindent beállított.
2. Engedélyezze a WordPress.com védelmet
A brutális erő egy gyakori hackelési kísérlet, ahol a támadók megpróbálnak bejelentkezni a webhelyére számos lehetséges jelszóval, általában a szótárban található szavakkal. Ez az oka annak, hogy nehezen kitalálható jelszót kell beállítania.
Az Automattic, a WordPress.com mögötti ember az egyik legnépszerűbb WordPress bővítményt szerezte meg, amely képes ellenállni a brutális erők támadásainak. Ezt BruteProtect néven hívják, és a Jetpack-hoz van integrálva.
Tapasztalataink alapján van rendkívül segített nekünk harcolni a brutális erők támadásaival közel egy millió alkalommal.
Ahhoz, hogy megkapja, telepítenie kell a Jetpack legújabb verzióját, és csatlakoztatnia kell webhelyét a WordPress.com-hoz. Ezután engedélyezze a “véd” modul, valamint a saját IP-címének fehér listázása is.
Most egy kicsit biztonságosabbnak kell lennie.
3. A bejelentkezési URL elrejtése
A WordPress nagyon jól ismert a bejelentkezési oldalon, wp-login.php
. Ezért a hackerek tudják, hogy melyik pontos oldalt irányítja a brutális erők támadásait. Megnehezítheti számukra a WordPress bejelentkezési URL-je elrejtése.
Szerencsére van néhány plugin, amely ezt a segédprogramot biztosítja:
- iThemes biztonság
- WPS elrejtése
4. Tiltsa le “Elfelejtett jelszo”
A “Elfelejtett jelszo” A bejelentkezési űrlap segédprogramja a támadók számára, akik általában egy SQL injekciót használnak a bejelentkezési adatok megszerzéséhez. Ha csak néhány ember fér hozzá az adminisztrációs területhez, akkor lehet, hogy jobb kikapcsolni.
Ehhez hozzon létre egy új fájl feltöltést - nevezze el elfelejteni password.php
.
Először módosítjuk az elveszett jelszó URL-jét:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Távolítsa el a hivatkozást. Sajnos, a WordPress nem nyújt megfelelő horgot, hogy ezt szépen elvégezhesse add_filter
funkció. Tehát a JavaScript helyett ezt csináljuk.
function lostpassword_elem ($ oldal) ?>Végül, átirányítjuk a “Elfelejtett jelszó” URL a bejelentkezési képernyőhöz.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], tömb ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); kijárat; add_action ('init', 'lostpassword_redirect');5. Engedélyezze a HTTPS-t
A HTTPS adattovábbítással további biztonsági réteget biztosít a webhelynek. Ez is növelheti a Google keresési rangsorát. És most érvényes HTTPS-sertet kaphat ingyen a kommunális kezdeményezésen keresztül titkosítsuk.
A WordPress weboldalak számára könnyen beszerezhető a Titkosítsuk tanúsítvány WP titkosítással. Tehát nincs ok arra, hogy ma ne telepítse a HTTPS-t a webhelyére.
Csomagolás
Csak emlékeztetni szeretném, hogy mindezen kísérletek ellenére weboldalunk még mindig támadások, hackek és a hackerek által veszélyeztetettek lehetnek a megértésen kívüli eszközökön keresztül. Még a nagyvállalatok, mint a Dropbox és a LinkedIn, a biztonsági fenyegetések áldozatává váltak.
Végső megoldásként, ne feledje, hogy rendszeresen készítsen biztonsági másolatot a webhely fájljairól és adatbázisáról amikor csak tudsz.