Homepage » WordPress » 5 tipp a WordPress bejelentkezési biztonságának szigorításához

    5 tipp a WordPress bejelentkezési biztonságának szigorításához

    Nem számít a webhelyed méretétől, ha elveszíted a webhelyadatokat, vagy nem tudod elérni a saját webhelyedet, ideg-rázó élmény lehet. A WordPress, amely a web több mint 25% -át teszi ki, a hackerek egyik leginkább célzott webhelye.

    Korábbi üzeneteinkben megmutattuk számos tipp és trükk, amelyek már majdnem mindenre kiterjedtek a WordPress webhely biztosítására. Mindazonáltal mindig van lehetőség javítani. Ebben a hozzászólásban néhány további tippet fogunk találni, amelyek segítenek a WordPress webhelyének nehezebb megsértésében.

    1. Jelszó Hashing kódolása

    A WordPress-et 2003-ban indították el, amikor a PHP és a Web általában még mindig a korai napokban volt. A Facebook még nem volt körül, a PHP-nek még az OOP (Objektum-orientált programozás) architektúrája sem volt beépítve; ezért a WordPress örökölte azokat a hagyományokat, amelyek ma már nem ideálisak - beleértve azt is, hogyan titkosítja a jelszó.

    A WordPress ezen a napon még mindig MD5-t használ tördeljük. Alapvetően, mit csinál, az, hogy megfordítsd 123456 jelszót e10adc3949ba59abbe56e057f20f883e.

    Mivel azonban a számítógépek most kifinomultabbak, mint 10 évvel ezelőtt kivonatolt A jelszó most azonnal azonnal visszafordítható a csupasz formába.

    A PHP-nek van natív titkosítás mivel 5.5 és Ha a WordPress PHP5.5 vagy újabb verzióban fut, akkor praktikus plugin nevű wp-password-bcrypt, amely lehetővé teszi, hogy ezt a natív segédprogramot PHP-ben vegye fel.

    Telepítse és aktiválja a plugint a Composer vagy a MU-Plugins segítségével. Mentse újra a jelszavát, és mindent beállított.

    2. Engedélyezze a WordPress.com védelmet

    A brutális erő egy gyakori hackelési kísérlet, ahol a támadók megpróbálnak bejelentkezni a webhelyére számos lehetséges jelszóval, általában a szótárban található szavakkal. Ez az oka annak, hogy nehezen kitalálható jelszót kell beállítania.

    Az Automattic, a WordPress.com mögötti ember az egyik legnépszerűbb WordPress bővítményt szerezte meg, amely képes ellenállni a brutális erők támadásainak. Ezt BruteProtect néven hívják, és a Jetpack-hoz van integrálva.

    Tapasztalataink alapján van rendkívül segített nekünk harcolni a brutális erők támadásaival közel egy millió alkalommal.

    A Jetpack Dashboard Widget a támadások és a levélszemétek számáról számol be.

    Ahhoz, hogy megkapja, telepítenie kell a Jetpack legújabb verzióját, és csatlakoztatnia kell webhelyét a WordPress.com-hoz. Ezután engedélyezze a “véd” modul, valamint a saját IP-címének fehér listázása is.

    Most egy kicsit biztonságosabbnak kell lennie.

    3. A bejelentkezési URL elrejtése

    A WordPress nagyon jól ismert a bejelentkezési oldalon, wp-login.php. Ezért a hackerek tudják, hogy melyik pontos oldalt irányítja a brutális erők támadásait. Megnehezítheti számukra a WordPress bejelentkezési URL-je elrejtése.

    Szerencsére van néhány plugin, amely ezt a segédprogramot biztosítja:

    • iThemes biztonság
    • WPS elrejtése

    4. Tiltsa le “Elfelejtett jelszo”

    A “Elfelejtett jelszo” A bejelentkezési űrlap segédprogramja a támadók számára, akik általában egy SQL injekciót használnak a bejelentkezési adatok megszerzéséhez. Ha csak néhány ember fér hozzá az adminisztrációs területhez, akkor lehet, hogy jobb kikapcsolni.

    Ehhez hozzon létre egy új fájl feltöltést - nevezze el elfelejteni password.php.

    Először módosítjuk az elveszett jelszó URL-jét:

     function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

    Távolítsa el a hivatkozást. Sajnos, a WordPress nem nyújt megfelelő horgot, hogy ezt szépen elvégezhesse add_filter funkció. Tehát a JavaScript helyett ezt csináljuk.

     function lostpassword_elem ($ oldal) ?>   

    Végül, átirányítjuk a “Elfelejtett jelszó” URL a bejelentkezési képernyőhöz.

     function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], tömb ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); kijárat;  add_action ('init', 'lostpassword_redirect'); 

    5. Engedélyezze a HTTPS-t

    A HTTPS adattovábbítással további biztonsági réteget biztosít a webhelynek. Ez is növelheti a Google keresési rangsorát. És most érvényes HTTPS-sertet kaphat ingyen a kommunális kezdeményezésen keresztül titkosítsuk.

    A WordPress weboldalak számára könnyen beszerezhető a Titkosítsuk tanúsítvány WP titkosítással. Tehát nincs ok arra, hogy ma ne telepítse a HTTPS-t a webhelyére.

    Csomagolás

    Csak emlékeztetni szeretném, hogy mindezen kísérletek ellenére weboldalunk még mindig támadások, hackek és a hackerek által veszélyeztetettek lehetnek a megértésen kívüli eszközökön keresztül. Még a nagyvállalatok, mint a Dropbox és a LinkedIn, a biztonsági fenyegetések áldozatává váltak.

    Végső megoldásként, ne feledje, hogy rendszeresen készítsen biztonsági másolatot a webhely fájljairól és adatbázisáról amikor csak tudsz.