5 tipů pro Toughen Up WordPress Přihlášení Bezpečnost
Bez ohledu na velikost vašich webových stránek, ztráta dat o vašich stránkách nebo nemožnost přístupu na vaše vlastní webové stránky může být nervovým zážitkem. WordPress, který ovládá více než 25% webu, je jednou z nejvíce cílených webových stránek pro hackery.
V našich předchozích příspěvcích jsme vám ukázali množství tipů a triků, které již pokryly téměř všechno, co chcete zabezpečit vaše webové stránky WordPress. Stále však existuje prostor pro zlepšení. V tomto příspěvku se podíváme na několik dalších tipů, které vám pomohou zkomplikovat vaše stránky aplikace WordPress.
1. Bcrypt Password Hashing
WordPress byl zahájen v roce 2003, kdy PHP a Web obecně byly stále v raných dnech. Facebook ještě nebyl, PHP ani vestavěnou architekturu OOP (objektově orientovaného programování); proto WordPress zdědil dědictví, která již dnes nejsou ideální - včetně toho, jak to šifruje heslo.
WordPress dodnes používá MD5 hašování. V podstatě to, co dělá, je obrátit svůj 123456
heslo do něčeho podobného e10adc3949ba59abbe56e057f20f883e
.
Vzhledem k tomu, že počítače jsou nyní sofistikovanější než před 10 lety hash heslo lze nyní snadno okamžitě převrátit do holého tvaru téměř okamžitě.
PHP má nativní šifrování protože 5.5 a Pokud je váš WordPress spuštěn v PHP5.5 nebo vyšším, je k dispozici praktický plugin nazvaný wp-password-bcrypt, který vám umožní přijmout tento nativní nástroj v PHP.
Nainstalujte a aktivujte plugin prostřednictvím Composer nebo prostřednictvím MU-Plugins. Znovu uložte heslo a jste nastaveni.
2. Aktivujte funkci WordPress.com Protect
Brute-force je obyčejný pokus o hackování, kdy se útočníci pokoušejí přihlásit na vaše webové stránky tím, že hádají, kolik možných hesel, obvykle slov nalezených ve slovníku. To je důvod, proč byste měli nastavit hard-to-hádat heslo.
Automattic, lidé za WordPress.com, získal jeden z nejpopulárnějších pluginů WordPress, které mohou čelit útoky brutální síly. Nazývá se BruteProtect a je integrován s Jetpack.
Na základě našich zkušeností má nám nesmírně pomohl bojovat s útoky brutální síly více než téměř milion krát.
Chcete-li si to, musíte nainstalovat nejnovější verzi Jetpack a připojit vaše webové stránky na WordPress.com. Poté povolte “Chránit” modul, a také bílý seznam vlastních IP adres.
Nyní byste se měli cítit o něco bezpečnější.
3. Skrýt svou přihlašovací adresu URL
WordPress je velmi dobře známý pro přihlašovací stránku, wp-login.php
. Proto hackeři vědí, která přesná stránka řídí jejich brutální útoky. Můžete jim to ztěžovat zamaskovat vaše WordPress přihlašovací URL.
Naštěstí existuje několik pluginů, které poskytují tento nástroj:
- iThemes Bezpečnost
- WPS Skrýt přihlášení
4. Zakázat “Zapomenout heslo”
“Zapomenout heslo” utilita v přihlašovacím formuláři je způsob, jak útočníci, kteří obvykle procházejí SQL injekcí získat vaše přihlašovací údaje. Pokud existuje pouze několik lidí, kteří mají přístup k oblasti admin, může být lepší jej vypnout.
Chcete-li tak učinit, vytvořte nový soubor upload - pojmenujte ho forget-password.php
.
Nejprve změníme ztracené heslo URL:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Odebrat odkaz. Bohužel, WordPress neposkytuje správné hák udělat to úhledně přes add_filter
funkce. Místo toho to děláme s JavaScriptem.
function lostpassword_elem ($ page) ?>Nakonec přesměrujeme “ztracené heslo” URL na přihlašovací obrazovce.
funkce lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword')) wp_redirect ('/ wp- login.php ', 301); výstup; add_action ('init', 'lostpassword_redirect');5. Povolte HTTPS
HTTPS poskytuje vašemu webu další úroveň zabezpečení s přenosem dat. To může také dát podporu v žebříčku vyhledávání Google. A nyní můžete získat platné HTTPS cert zdarma prostřednictvím komunální iniciativy Pojďme šifrovat.
Pro webové stránky WordPress můžete snadno získat Pojďme zašifrovat certifikát s WP Encrypt. Není tedy důvod, proč byste neměli nasazovat HTTPS na svých webových stránkách dnes.
Balení
Rád bych vás nechal s připomínkou, že i přes všechny tyto pokusy, naše webové stránky mohl být stále vystaven útokům, hackům a ohrožení hackery prostřednictvím prostředků mimo naše chápání. Dokonce i velké společnosti jako Dropbox a LinkedIn padly za oběť bezpečnostních hrozeb.
Jako poslední možnost, Nezapomeňte pravidelně zálohovat soubory a databázi svých webových stránek kdykoliv můžeš.