Domovská » WordPress » 5 tipů pro Toughen Up WordPress Přihlášení Bezpečnost

    5 tipů pro Toughen Up WordPress Přihlášení Bezpečnost

    Bez ohledu na velikost vašich webových stránek, ztráta dat o vašich stránkách nebo nemožnost přístupu na vaše vlastní webové stránky může být nervovým zážitkem. WordPress, který ovládá více než 25% webu, je jednou z nejvíce cílených webových stránek pro hackery.

    V našich předchozích příspěvcích jsme vám ukázali množství tipů a triků, které již pokryly téměř všechno, co chcete zabezpečit vaše webové stránky WordPress. Stále však existuje prostor pro zlepšení. V tomto příspěvku se podíváme na několik dalších tipů, které vám pomohou zkomplikovat vaše stránky aplikace WordPress.

    1. Bcrypt Password Hashing

    WordPress byl zahájen v roce 2003, kdy PHP a Web obecně byly stále v raných dnech. Facebook ještě nebyl, PHP ani vestavěnou architekturu OOP (objektově orientovaného programování); proto WordPress zdědil dědictví, která již dnes nejsou ideální - včetně toho, jak to šifruje heslo.

    WordPress dodnes používá MD5 hašování. V podstatě to, co dělá, je obrátit svůj 123456 heslo do něčeho podobného e10adc3949ba59abbe56e057f20f883e.

    Vzhledem k tomu, že počítače jsou nyní sofistikovanější než před 10 lety hash heslo lze nyní snadno okamžitě převrátit do holého tvaru téměř okamžitě.

    PHP má nativní šifrování protože 5.5 a Pokud je váš WordPress spuštěn v PHP5.5 nebo vyšším, je k dispozici praktický plugin nazvaný wp-password-bcrypt, který vám umožní přijmout tento nativní nástroj v PHP.

    Nainstalujte a aktivujte plugin prostřednictvím Composer nebo prostřednictvím MU-Plugins. Znovu uložte heslo a jste nastaveni.

    2. Aktivujte funkci WordPress.com Protect

    Brute-force je obyčejný pokus o hackování, kdy se útočníci pokoušejí přihlásit na vaše webové stránky tím, že hádají, kolik možných hesel, obvykle slov nalezených ve slovníku. To je důvod, proč byste měli nastavit hard-to-hádat heslo.

    Automattic, lidé za WordPress.com, získal jeden z nejpopulárnějších pluginů WordPress, které mohou čelit útoky brutální síly. Nazývá se BruteProtect a je integrován s Jetpack.

    Na základě našich zkušeností má nám nesmírně pomohl bojovat s útoky brutální síly více než téměř milion krát.

    Jetpack Dashboard Widget oznamující počet zjištěných útoků a nevyžádané pošty.

    Chcete-li si to, musíte nainstalovat nejnovější verzi Jetpack a připojit vaše webové stránky na WordPress.com. Poté povolte “Chránit” modul, a také bílý seznam vlastních IP adres.

    Nyní byste se měli cítit o něco bezpečnější.

    3. Skrýt svou přihlašovací adresu URL

    WordPress je velmi dobře známý pro přihlašovací stránku, wp-login.php. Proto hackeři vědí, která přesná stránka řídí jejich brutální útoky. Můžete jim to ztěžovat zamaskovat vaše WordPress přihlašovací URL.

    Naštěstí existuje několik pluginů, které poskytují tento nástroj:

    • iThemes Bezpečnost
    • WPS Skrýt přihlášení

    4. Zakázat “Zapomenout heslo”

    “Zapomenout heslo” utilita v přihlašovacím formuláři je způsob, jak útočníci, kteří obvykle procházejí SQL injekcí získat vaše přihlašovací údaje. Pokud existuje pouze několik lidí, kteří mají přístup k oblasti admin, může být lepší jej vypnout.

    Chcete-li tak učinit, vytvořte nový soubor upload - pojmenujte ho forget-password.php.

    Nejprve změníme ztracené heslo URL:

     function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

    Odebrat odkaz. Bohužel, WordPress neposkytuje správné hák udělat to úhledně přes add_filter funkce. Místo toho to děláme s JavaScriptem.

     function lostpassword_elem ($ page) ?>   

    Nakonec přesměrujeme “ztracené heslo” URL na přihlašovací obrazovce.

     funkce lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword')) wp_redirect ('/ wp- login.php ', 301); výstup;  add_action ('init', 'lostpassword_redirect'); 

    5. Povolte HTTPS

    HTTPS poskytuje vašemu webu další úroveň zabezpečení s přenosem dat. To může také dát podporu v žebříčku vyhledávání Google. A nyní můžete získat platné HTTPS cert zdarma prostřednictvím komunální iniciativy Pojďme šifrovat.

    Pro webové stránky WordPress můžete snadno získat Pojďme zašifrovat certifikát s WP Encrypt. Není tedy důvod, proč byste neměli nasazovat HTTPS na svých webových stránkách dnes.

    Balení

    Rád bych vás nechal s připomínkou, že i přes všechny tyto pokusy, naše webové stránky mohl být stále vystaven útokům, hackům a ohrožení hackery prostřednictvím prostředků mimo naše chápání. Dokonce i velké společnosti jako Dropbox a LinkedIn padly za oběť bezpečnostních hrozeb.

    Jako poslední možnost, Nezapomeňte pravidelně zálohovat soubory a databázi svých webových stránek kdykoliv můžeš.