Koduleht » WordPress » 5 nõuandeid oma WordPressi sisselogimise turvalisuse tugevdamiseks

    5 nõuandeid oma WordPressi sisselogimise turvalisuse tugevdamiseks

    Ükskõik, milline on teie veebisaidi suurus, saidi andmete kaotamine või teie veebisaidile ligipääsu puudumine võib olla närvivastane kogemus. WordPress, mis annab üle 25% veebist, on häkkerite jaoks üks sihitud veebisaite.

    Meie eelmistes postitustes oleme teile näidanud mitmeid nõuandeid ja nippe, mis juba hõlmasid peaaegu kõike, et kaitsta teie WordPressi veebisaiti. Siiski on alati arenguruumi. Selles postituses vaatame veel mõningaid näpunäiteid, mis aitavad teil oma WordPressi saidi raskemini rikkuda.

    1. Bcrypt Password Hashing

    WordPress alustati 2003. aastal, kui PHP ja veebi üldiselt olid nende algusaegad. Facebook ei olnud veel ringi, PHP-l polnud isegi sisseehitatud OOP-i (objekti-orienteeritud programmeerimine) arhitektuuri; seega päris WordPress pärandeid, mis ei ole enam tänapäeval ideaalsed, sealhulgas kuidas see on krüpteerib parooli.

    Selle päeva WordPress kasutab ikka veel MD5-d segamine. Põhimõtteliselt, mida ta teeb, on muuta oma 123456 parool midagi e10adc3949ba59abbe56e057f20f883e.

    Kuna aga arvutid on nüüdseks keerukamad kui 10 aastat tagasi räsitud parooli saab nüüd kohe tühja vormi ümber pöörata.

    PHP-l on natiivne krüptimine alates 5.5 ja Kui teie WordPress töötab PHP5.5 või uuemates versioonides, on käepärane plugin nimega wp-password-bcrypt, mis võimaldab teil omaks võtta see natiivne utiliit PHP-s.

    Paigaldage ja aktiveerige plugin Composeri või MU-pluginate kaudu. Salvesta oma parool uuesti ja olete kõik seadistatud.

    2. Luba WordPress.com Protect

    Brutsejõud on levinud häkkimise katse, kus ründajad üritavad teie veebisaidile sisse logida, arvates arvukalt võimalikke paroole, tavaliselt sõnastikus leiduvaid sõnu. See on põhjus, miks peaksite seadma raskesti loetava parooli.

    WordPress.com'i taga olevad inimesed Automattic on omandanud ühe kõige populaarsema WordPress plugina, mis suudab võidelda jõuvastaste rünnakutega. Seda nimetatakse BruteProtectiks ja see on integreeritud Jetpackiga.

    Meie kogemuste põhjal on see olemas tohutult aitas meid võidelda brute-force rünnakutega rohkem kui peaaegu miljon korda.

    Jetpack Dashboard Widget teatab rünnakute ja rämpsposti arvu.

    Selle saamiseks peate installima Jetpack'i uusima versiooni ja ühendama oma veebisaidi WordPress.comiga. Seejärel lubage “Kaitse” moodul ja ka oma enda IP-aadressi valged.

    Nüüd peaksite tundma natuke turvalisemat.

    3. Peida oma sisselogimise URL

    WordPress on sisselogimislehele väga tuntud, wp-login.php. Seega teavad häkkerid, millist täpset lehekülge suunavad nende brutaaljõudude rünnakud. Te saate nende jaoks raskemaks muuta varjata oma WordPress'i sisselogimise URL-i.

    Õnneks on mõned kasulikud pluginad, mis pakuvad seda utiliiti:

    • iThemes Security
    • WPSi peida sisselogimine

    4. Keela “Unusta parool”

    The “Unusta parool” sisselogimisvormi utiliit on sissetungijate jaoks viis, kes tavaliselt siseneb SQL-i sisselogimisandmete saamiseks. Kui administraatorile on juurdepääs vaid mõnele inimesele, võib see olla parem välja lülitada.

    Selleks looge uus faili üleslaadimine - nime unusta salasõna.php.

    Kõigepealt muudame kadunud parooli URL-i:

     function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

    Eemalda link. Kahjuks ei paku WordPress õiget konksu, et seda korralikult läbi viia add_filter funktsiooni. Niisiis, me teeme seda JavaScripti asemel.

     funktsioon lostpassword_elem ($ page) ?>   

    Lõpuks suuname “Unustasid parooli” URL sisselogimisekraanile.

     function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], massiiv ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); väljumine;  add_action ('init', 'lostpassword_redirect'); 

    5. Luba HTTPS

    HTTPS annab saidile täiendava turvalisuse kihi andmeedastusega. Samuti võib see anda Google'i otsingu paremusjärjestusest hoogu. Ja nüüd saate saada kehtiva HTTPS-serti tasuta Kommunaalalgatuse kaudu krüpteerime.

    WordPressi veebisaitide jaoks saate hõlpsasti hankida a Krüpteerime sertifikaat WP krüptimisega. Seega pole mingit põhjust, miks te ei tohiks täna oma veebisaidile HTTPSi kasutada.

    Pakkimine üles

    Soovin teile meelde tuletada, et hoolimata kõigist nendest katsetest, meie veebilehed ründajad, häkkerid ja häkkerite ohustamine vahenditega, mis on väljaspool meie arusaamist. Isegi suured ettevõtted, nagu Dropbox ja LinkedIn, on ohud julgeolekuohtudele.

    Viimase abinõuna, pidage meeles oma veebisaidi failide ja andmebaasi regulaarset varundamist kui võimalik.