5 savjeta za Toughen Up Your WordPress Login Sigurnost
Bez obzira na veličinu vaše web-lokacije, gubitak podataka na web-lokaciji ili neuspjeh pristupa vlastitoj web-lokaciji može biti iskustvo koje izaziva nervozu. WordPress, koji pokreće više od 25% weba, jedna je od najcjelovitijih web stranica za hakere.
U našim prethodnim postovima pokazali smo vam nekoliko savjeta i trikova koji su već pokrili gotovo sve kako bi osigurali vašu WordPress web stranicu. Ipak, uvijek postoji prostor za poboljšanje. U ovom postu ćemo biti u potrazi za još nekoliko savjeta koji će vam pomoći da vaše WordPress stranice budu teže kršiti.
1. Bcrypt Password Hashing
WordPress je započeo 2003. godine kada su PHP i Web općenito još uvijek bili u ranim danima. Facebook još nije bio prisutan, PHP nije imao ugrađenu arhitekturu OOP-a (Objektno-orijentirano programiranje); dakle, WordPress je naslijedio nasljedstva koja danas više nisu idealna - uključujući i način na koji to čine šifrira lozinku.
WordPress do danas još uvijek koristi MD5 raspršivanje. U osnovi, ono što radi jest da se okrene 123456
lozinku u nešto slično e10adc3949ba59abbe56e057f20f883e
.
Međutim, budući da su računala sada više sofisticirana nego prije 10 godina ovo skraćenog Lozinka se sada može odmah preokrenuti u golu formu.
PHP ima izvorno šifriranje od 5.5 i ako je vaš WordPress pokrenut u PHP5.5 ili novijoj verziji, tu je zgodan dodatak koji se zove wp-password-bcrypt koji vam omogućuje da prihvatite ovaj izvorni uslužni program u PHP-u.
Instalirajte i aktivirajte dodatak putem Skladatelja ili putem MU-Pluginsa. Ponovo spremite zaporku i svi ste spremni.
2. Omogućite zaštitu WordPress.com
Brute-force je uobičajen pokušaj hakiranja u kojem se napadači pokušavaju prijaviti na vašu web-lokaciju pogađanjem brojnih mogućih zaporki, obično riječi koje se nalaze u rječniku. To je razlog zašto biste trebali postaviti lozinku za koju je teško pogoditi.
Automattic, ljudi koji stoje iza WordPress.com-a, kupio je jedan od najpopularnijih WordPress dodataka koji se mogu suprotstaviti brutalnim napadima. Zove se BruteProtect i integriran je s Jetpackom.
Na temelju našeg iskustva, ima strahovito nam je pomogao borbe protiv brutalnih napada više nego blizu milijun puta.
Da biste ga dobili, morate instalirati najnoviju verziju Jetpack-a i povezati svoju web-lokaciju s WordPress.com. Zatim omogućite “Zaštititi” i bijelo popisivanje vlastite IP adrese.
Sada biste se trebali osjećati sigurnije.
3. Sakrijte svoj URL za prijavu
WordPress je vrlo poznat po stranici za prijavu, wp-login.php
. Stoga hakeri znaju koja je točna stranica usmjeravala svoje brutalne napade. Možete im otežati prikrivanje URL-a za prijavu u WordPress.
Srećom, postoji nekoliko dodataka koji pružaju ovaj uslužni program:
- iThemes Sigurnost
- WPS Sakrij prijavu
4. Onemogući “Zaboravili ste lozinku”
“Zaboravili ste lozinku” uslužni program u obrascu za prijavu je način za napadače koji obično prolaze kroz SQL injection kako bi dobili vaše vjerodajnice za prijavu. Ako ima samo nekoliko ljudi koji imaju pristup administratorskom području, možda je bolje isključiti ga.
Da biste to učinili, izradite novu datoteku za prijenos - imenujte je zaboraviti-password.php
.
Najprije promijenimo URL izgubljene zaporke:
funkcija lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Uklonite vezu. Nažalost, WordPress ne osigurava odgovarajuću kuku da to učini uredno putem add_filter
funkcija. Dakle, umjesto toga to radimo s JavaScriptom.
funkcija lostpassword_elem ($ page) ?>Konačno, preusmjeravamo “izgubljena lozinka” URL na zaslon za prijavu.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['akcija'], niz ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Izlaz; add_action ('init', 'lostpassword_redirect');5. Omogućite HTTPS
HTTPS daje vašoj web-lokaciji dodatni sloj sigurnosti s prijenosom podataka. Također vam može dati poticaj u Google ljestvici pretraživanja. I sada možete dobiti važeći HTTPS certifikat besplatno preko komunalne inicijative Let's Encrypt.
Za WordPress web stranice možete lako dobiti a Šifrirajmo s WP šifriranjem. Stoga ne postoji razlog zašto danas ne biste trebali primijeniti HTTPS na svojoj web-lokaciji.
Završavati
Samo vas želim ostaviti podsjetnik da unatoč svim tim pokušajima, naše web stranice i dalje mogu biti podložni napadima, hakovima i ugroženosti od strane hakera preko sredstava izvan našeg razumijevanja. Čak su i velike tvrtke kao što su Dropbox i LinkedIn pale žrtve sigurnosnih prijetnji.
Kao posljednji izbor, ne zaboravite redovito stvarati sigurnosne kopije datoteka i baze podataka vaše web-lokacije kad god možeš.