5 Nasveti za krepitev vašo WordPress Prijava Varnost
Ne glede na velikost vaše spletne strani, lahko izgubite podatke o svojem spletnem mestu ali pa ne morete dostopati do lastne spletne strani, kar je lahko živčna napaka. WordPress, ki upravlja več kot 25% spleta, je ena najbolj ciljanih spletnih strani za hekerje.
V prejšnjih objavah smo vam pokazali številne nasvete in trike, ki so že pokrivali skoraj vse, da bi zaščitili vašo WordPress spletno stran. Kljub temu je vedno prostora za izboljšave. V tem postu bomo iskali še nekaj nasvetov, ki vam bodo pomagali, da bo vaše spletno mesto WordPress težje kršiti.
1. Bcrypt Password Hashing
WordPress se je začel leta 2003, ko sta bila PHP in splet na splošno še vedno v svojih prvih dneh. Facebook še ni bil v bližini, PHP pa ni imel niti vgrajene arhitekture OOP (objektno usmerjeno programiranje); zato je WordPress podedoval zapuščine, ki danes niso več idealne - vključno s tem, kako šifrira geslo.
WordPress do danes še vedno uporablja MD5 razprševanje. V bistvu, to, kar počne, je, da vam obrne 123456
geslo v nekaj podobnega e10adc3949ba59abbe56e057f20f883e
.
Ker pa so računalniki zdaj bolj izpopolnjeni kot pred desetimi leti zgoščeno Geslo je zdaj mogoče takoj zamenjati v golo obliko.
PHP ima izvorno šifriranje od 5.5 in če vaš WordPress teče v PHP5.5 ali novejši, je priročen vtičnik, imenovan wp-password-bcrypt, ki vam omogoča, da vključite ta izvirni pripomoček v PHP.
Namestite in aktivirajte vtičnik preko Composerja ali prek MU-Plugins. Znova shranite svoje geslo in vsi ste nastavljeni.
2. Omogočite WordPress.com Protect
Brute-force je pogost poskus poskusa, ko se napadalci poskusijo prijaviti na vašo spletno stran tako, da ugibajo številna možna gesla, ponavadi besede v slovarju. To je razlog, zakaj nastavite geslo, ki ga je težko predvideti.
Automattic, ljudje, ki stojijo za WordPress.com, je pridobil enega izmed najbolj priljubljenih WordPress vtičnikov, ki lahko preprečijo brutalne napade. Imenuje se BruteProtect in je integriran z Jetpackom.
Na podlagi naših izkušenj ima nam je zelo pomagal boj proti napadom na surovo silo več kot skoraj milijon krat.
Da bi ga dobili, morate namestiti najnovejšo različico Jetpack-a in povezati vašo spletno stran z WordPress.com. Nato omogočite “Zaščititi” modul, in bele liste svojega IP naslova.
Sedaj se morate počutiti bolj varne.
3. Skrij URL za prijavo
WordPress je zelo znan za prijavno stran, wp-login.php
. Zato hekerji vedo, katero natančno stran usmerjajo svoje brutalne napade. Lahko jim otežite prikrivate svoj URL za prijavo v WordPress.
Na srečo obstaja nekaj vtičnikov, ki nudijo ta pripomoček:
- iThemes Varnost
- WPS Hide Login
4. Onemogoči “Pozabite geslo”
The “Pozabite geslo” Pripomoček v obrazcu za prijavo je način za napadalce, ki ponavadi gredo skozi injekcijo SQL, da bi dobili vaše poverilnice za prijavo. Če je le nekaj ljudi, ki imajo dostop do skrbniškega območja, je morda bolje, da ga izklopite.
To naredite tako, da ustvarite novo nalaganje datoteke - ime forget-password.php
.
Najprej spremenimo URL izgubljenega gesla:
function lostpassword_url () vrnitev site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Odstranite povezavo. Na žalost WordPress ne zagotavlja pravega kljuke, da bi to naredil lepo skozi add_filter
funkcijo. Zato namesto tega uporabljamo JavaScript.
funkcija lostpassword_elem ($ page) ?>Nazadnje preusmerimo “Izgubljeno geslo” URL za prijavni zaslon.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); izhod; add_action ('init', 'lostpassword_redirect');5. Omogočite HTTPS
HTTPS daje vašemu spletnemu mestu dodatno raven varnosti s prenosom podatkov. Morda vam bo dala tudi spodbudo v iskanju Google. In zdaj lahko dobite veljavni certifikat HTTPS zastonj prek skupne pobude Let's Encrypt.
Za WordPress spletne strani lahko enostavno pridobite Šifrirajmo potrdilo s šifriranjem WP. Torej ni razloga, zakaj ne bi morali uvajati HTTPS na vašo spletno stran danes.
Zavijanje
Rada bi vas pustila, da vas opozorim, da so naše spletne strani kljub vsem tem poskusom lahko še vedno predmet napadov, hekerjev in ogrožanja hekerjev preko sredstev, ki presegajo naše razumevanje. Tudi velika podjetja, kot so Dropbox in LinkedIn, so postali plen varnostnih groženj.
Kot zadnja možnost, Ne pozabite redno varnostno kopirati datotek in podatkovne baze vašega spletnega mesta kadarkoli lahko.