5 Vinkkejä WordPress-kirjautumisturvan vahvistamiseen
Riippumatta sivustosi koosta, sivustosi tietojen menettäminen tai oman Web-sivuston käyttäminen ei voi olla hermostunut kokemus. WordPress, joka käyttää yli 25% Webistä, on yksi hakkerien kohdistetuimmista sivustoista.
Aiemmissa viestissämme olemme osoittaneet sinulle useita vinkkejä ja temppuja, jotka jo kattoivat lähes kaiken WordPress-sivuston suojaamiseksi. Silti on aina parannettavaa. Tässä viestissä tarkastelemme muutamia vinkkejä, joiden avulla voit tehdä WordPress-sivustosi raskaammaksi.
1. Salaa salasana Hashing
WordPress aloitettiin vuonna 2003, jolloin PHP ja Web olivat yleensä alkuvaiheessa. Facebook ei ollut vielä lähellä, PHP ei edes ollut sisäänrakennettu OOP (Object-Oriental Programming) -arkkitehtuuria; Siksi WordPress peri perintöjä, jotka eivät ole enää ihanteellisia tänään - mukaan lukien miten se on kryptaa salasana.
Tämän päivän WordPress käyttää edelleen MD5: tä hajautusta. Periaatteessa, mitä se tekee on kääntää 123456
salasana jotain e10adc3949ba59abbe56e057f20f883e
.
Koska tietokoneet ovat nyt kehittyneempiä kuin 10 vuotta sitten hajautettu salasana voidaan nyt helposti kääntää paljaaksi muotoksi lähes välittömästi.
PHP: llä on natiivi salaus 5.5 ja Jos WordPress on käynnissä PHP5.5: ssa tai uudemmassa versiossa, on kätevä plugin nimeltä wp-password-bcrypt, jonka avulla voit käyttää tätä natiivia apuohjelmaa PHP: ssä.
Asenna ja aktivoi laajennus Composerin kautta tai MU-pluginien kautta. Tallenna salasana uudelleen ja olet kaikki asetettu.
2. Ota WordPress.com Protect käyttöön
Brute-force on yleinen hakkerointiyritys, jossa hyökkääjät yrittävät kirjautua sivustoosi arvaamalla lukuisia mahdollisia salasanoja, yleensä sanakirjassa olevia sanoja. Siksi sinun pitäisi asettaa vaikeasti arvattava salasana.
WordPress.comin takana olevat Automattic on hankkinut yhden suosituimmista WordPress-laajennuksista, jotka voivat torjua brute-force-hyökkäyksiä. Sitä kutsutaan BruteProtectiksi, ja se on integroitu Jetpackiin.
Kokemuksemme perusteella se on valtavasti auttoi meitä torjua voimakkaita hyökkäyksiä enemmän kuin lähes miljoona ajat.
Saadaksesi sen, sinun täytyy asentaa Jetpackin uusin versio ja liittää sivustosi WordPress.comiin. Ota sitten käyttöön “Suojella” moduulin ja myös valkoisen listan oman IP-osoitteesi.
Nyt sinun pitäisi tuntea hieman turvallisempaa.
3. Piilota kirjautumistunnuksesi URL-osoite
WordPress on hyvin tunnettu kirjautumissivulta, WP-login.php
. Näin ollen hakkerit tietävät, mihin tarkkaan sivulle suunnataan heidän rajuja hyökkäyksiä. Voit vaikeuttaa niiden tekemistä peittää WordPress-kirjautumistunnuksesi URL-osoite.
Onneksi on olemassa muutamia laajennuksia, jotka tarjoavat tämän apuohjelman:
- iThemes Security
- WPS piilottaa kirjautumisen
4. Poista käytöstä “Unohtaa salasana”
“Unohtaa salasana” kirjautumislomakkeessa oleva apuohjelma on tapa hyökkääjille, jotka yleensä käyvät läpi SQL-injektion saadakseen kirjautumistiedot. Jos on vain muutamia ihmisiä, joilla on pääsy admin-alueelle, se voi olla parempi kytkeä se pois päältä.
Voit tehdä tämän luomalla uuden tiedoston latauksen - nimeä sen forget-password.php
.
Ensin vaihdamme kadonneen salasanan URL-osoitteen:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Poista linkki. Valitettavasti WordPress ei tarjoa asianmukaista koukkua, jotta se voidaan tehdä siististi add_filter
toimia. Joten teemme sen JavaScriptin sijaan.
toiminto lostpassword_elem ($ sivu) ?>Lopuksi ohjaamme “Kadonnut Salasana” URL-osoite kirjautumisnäyttöön.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); exit; add_action ('init', 'lostpassword_redirect');5. Ota HTTPS käyttöön
HTTPS antaa sivustollesi ylimääräisen tietoturvatason tiedonsiirron avulla. Se voi myös lisätä Google-hakusijoituksia. Ja nyt voit saada voimassa olevan HTTPS-sertin ilmaiseksi yhteisöllisen aloitteen kautta salataan.
WordPress-sivustoille voit helposti hankkia a Salataan WP-salauksella. Joten ei ole mitään syytä, miksi sinun ei pitäisi käyttää HTTPS: ää sivustossasi tänään.
Käärimistä
Haluan jättää teille muistutuksen siitä, että kaikista näistä yrityksistä huolimatta verkkosivustomme voivat edelleen joutua hyökkäyksiin, hakkerointiin ja hakkerien vaarantumiseen kautta ymmärrystä. Jopa suuret yritykset, kuten Dropbox ja LinkedIn, ovat joutuneet turvallisuusuhkiin.
Viimeisenä keinona, muista varmuuskopioida säännöllisesti verkkosivustosi tiedostot ja tietokanta milloinvain pystyt.