5 tipů pro Toughen Up WordPress Přihlášení Bezpečnost

Bez ohledu na velikost vašich webových stránek, ztráta dat o vašich stránkách nebo nemožnost přístupu na vaše vlastní webové stránky může být nervovým zážitkem. WordPress, který ovládá více než 25% webu, je jednou z nejvíce cílených webových stránek pro hackery.

V našich předchozích příspěvcích jsme vám ukázali množství tipů a triků, které již pokryly téměř všechno, co chcete zabezpečit vaše webové stránky WordPress. Stále však existuje prostor pro zlepšení. V tomto příspěvku se podíváme na několik dalších tipů, které vám pomohou zkomplikovat vaše stránky aplikace WordPress.

1. Bcrypt Password Hashing

WordPress byl zahájen v roce 2003, kdy PHP a Web obecně byly stále v raných dnech. Facebook ještě nebyl, PHP ani vestavěnou architekturu OOP (objektově orientovaného programování); proto WordPress zdědil dědictví, která již dnes nejsou ideální - včetně toho, jak to šifruje heslo.

WordPress dodnes používá MD5 hašování. V podstatě to, co dělá, je obrátit svůj 123456 heslo do něčeho podobného e10adc3949ba59abbe56e057f20f883e.

Vzhledem k tomu, že počítače jsou nyní sofistikovanější než před 10 lety hash heslo lze nyní snadno okamžitě převrátit do holého tvaru téměř okamžitě.

PHP má nativní šifrování protože 5.5 a Pokud je váš WordPress spuštěn v PHP5.5 nebo vyšším, je k dispozici praktický plugin nazvaný wp-password-bcrypt, který vám umožní přijmout tento nativní nástroj v PHP.

Nainstalujte a aktivujte plugin prostřednictvím Composer nebo prostřednictvím MU-Plugins. Znovu uložte heslo a jste nastaveni.

2. Aktivujte funkci WordPress.com Protect

Brute-force je obyčejný pokus o hackování, kdy se útočníci pokoušejí přihlásit na vaše webové stránky tím, že hádají, kolik možných hesel, obvykle slov nalezených ve slovníku. To je důvod, proč byste měli nastavit hard-to-hádat heslo.

Automattic, lidé za WordPress.com, získal jeden z nejpopulárnějších pluginů WordPress, které mohou čelit útoky brutální síly. Nazývá se BruteProtect a je integrován s Jetpack.

Na základě našich zkušeností má nám nesmírně pomohl bojovat s útoky brutální síly více než téměř milion krát.

Chcete-li si to, musíte nainstalovat nejnovější verzi Jetpack a připojit vaše webové stránky na WordPress.com. Poté povolte “Chránit” modul, a také bílý seznam vlastních IP adres.

Nyní byste se měli cítit o něco bezpečnější.

3. Skrýt svou přihlašovací adresu URL

WordPress je velmi dobře známý pro přihlašovací stránku, wp-login.php. Proto hackeři vědí, která přesná stránka řídí jejich brutální útoky. Můžete jim to ztěžovat zamaskovat vaše WordPress přihlašovací URL.

Naštěstí existuje několik pluginů, které poskytují tento nástroj:

• iThemes Bezpečnost
• WPS Skrýt přihlášení

4. Zakázat “Zapomenout heslo”

“Zapomenout heslo” utilita v přihlašovacím formuláři je způsob, jak útočníci, kteří obvykle procházejí SQL injekcí získat vaše přihlašovací údaje. Pokud existuje pouze několik lidí, kteří mají přístup k oblasti admin, může být lepší jej vypnout.

Chcete-li tak učinit, vytvořte nový soubor upload - pojmenujte ho forget-password.php.

Nejprve změníme ztracené heslo URL:

 function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

Odebrat odkaz. Bohužel, WordPress neposkytuje správné hák udělat to úhledně přes add_filter funkce. Místo toho to děláme s JavaScriptem.

 function lostpassword_elem ($ page) ?>   
Nakonec přesměrujeme “ztracené heslo” URL na přihlašovací obrazovce.
 
 funkce lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword')) wp_redirect ('/ wp- login.php ', 301); výstup;  add_action ('init', 'lostpassword_redirect'); 
 
5. Povolte HTTPS
 
HTTPS poskytuje vašemu webu další úroveň zabezpečení s přenosem dat. To může také dát podporu v žebříčku vyhledávání Google. A nyní můžete získat platné HTTPS cert zdarma prostřednictvím komunální iniciativy Pojďme šifrovat.
 
Pro webové stránky WordPress můžete snadno získat Pojďme zašifrovat certifikát s WP Encrypt. Není tedy důvod, proč byste neměli nasazovat HTTPS na svých webových stránkách dnes.
 
 
Balení
 
Rád bych vás nechal s připomínkou, že i přes všechny tyto pokusy, naše webové stránky mohl být stále vystaven útokům, hackům a ohrožení hackery prostřednictvím prostředků mimo naše chápání. Dokonce i velké společnosti jako Dropbox a LinkedIn padly za oběť bezpečnostních hrozeb.
 
Jako poslední možnost, Nezapomeňte pravidelně zálohovat soubory a databázi svých webových stránek kdykoliv můžeš.