5 padomi, kā pastiprināt WordPress pieteikšanās drošību
Neatkarīgi no jūsu tīmekļa vietnes lieluma, jūsu vietnes datu zaudēšana vai nespēja piekļūt savai vietnei var būt nervu izraisoša pieredze. WordPress, kas nodrošina vairāk nekā 25% Web, ir viena no mērķtiecīgākajām tīmekļa vietnēm, kas paredzētas hakeriem.
Iepriekšējos amatos mēs esam parādījuši vairāki padomi un triki, kas jau aptvēra gandrīz visu, lai nodrošinātu jūsu WordPress tīmekļa vietni. Tomēr vienmēr ir iespējami uzlabojumi. Šajā amatā mēs apskatīsim vēl dažus padomus, kas palīdzēs jums padarīt jūsu WordPress vietni grūtāk pārkāpus.
1. Bcrypt Password Hashing
WordPress tika uzsākts 2003. gadā, kad PHP un Web kopumā vēl bija sākumā. Facebook vēl nebija apkārt, PHP nebija pat iebūvēta OOP (objektorientētā programmēšana) arhitektūra; līdz ar to WordPress mantojis mantojumus, kas šodien vairs nav ideāli, ieskaitot to šifrē paroli.
WordPress līdz šai dienai joprojām izmanto MD5 jaukšana. Būtībā tas, ko tas dara, ir pārvērst savu 123456
parole kaut ko līdzīgu e10adc3949ba59abbe56e057f20f883e
.
Tomēr, tā kā datori tagad ir sarežģītāki nekā pirms 10 gadiem izskalots paroli tagad var viegli mainīt savā tukšā formā.
PHP ir dzimtā šifrēšana kopš 5.5 un Ja jūsu WordPress darbojas PHP5.5 vai jaunākā versijā, ir ērts spraudnis ar nosaukumu wp-password-bcrypt, kas ļauj jums izmantot šo vietējo utilītu PHP.
Instalējiet un aktivizējiet spraudni, izmantojot Composer vai MU-Plugins. Atkārtoti saglabājiet savu paroli un visi esat iestatīti.
2. Iespējot WordPress.com Protect
Brutāls spēks ir kopīgs hakeru mēģinājums, kurā uzbrucēji mēģina pieteikties jūsu vietnē, uzminot vairākas iespējamās paroles, parasti vārdnīcā atrodamos vārdus. Tas ir iemesls, kāpēc jums vajadzētu iestatīt grūti uzminējamu paroli.
Automattic, cilvēki aiz WordPress.com, ir ieguvis vienu no populārākajiem WordPress spraudņiem, kas var novērst brutālu spēku uzbrukumus. To sauc par BruteProtect, un tas ir integrēts ar Jetpack.
Pamatojoties uz mūsu pieredzi, tas ir ārkārtīgi palīdzēja mums cīnīties pret brutālu spēku uzbrukumiem vairāk nekā gandrīz miljons reizes.
Lai to iegūtu, jums ir jāinstalē Jetpack jaunākā versija un jāpievieno jūsu vietne WordPress.com. Tad iespējojiet “Aizsargāt” modulis, kā arī baltā saraksta jūsu IP adrese.
Tagad jums vajadzētu justies mazliet drošāk.
3. Paslēpt savu pieteikšanās URL
WordPress ir ļoti labi pazīstams ar pieteikšanās lapu, wp-login.php
. Tādējādi hakeri zina, kura precīza lapa ir vērsta uz brutālu spēku uzbrukumiem. Jūs to varat padarīt grūtāk slēpjot jūsu WordPress pieteikšanās URL.
Par laimi, ir daži spraudņi, kas nodrošina šo lietderību:
- iThemes drošība
- WPS paslēpt pieteikšanos
4. Atspējot “Aizmirstiet paroli”
The “Aizmirstiet paroli” lietderība pieteikšanās veidlapā ir veids, kā uzbrucējiem, kas parasti iet caur SQL injekciju, lai saņemtu jūsu pieteikšanās akreditācijas datus. Ja ir tikai daži cilvēki, kuriem ir piekļuve administratora zonai, tas varētu būt labāk to izslēgt.
Lai to izdarītu, izveidojiet jaunu faila augšupielādi - nosauciet to aizmirst paroli.php
.
Vispirms mēs mainām zaudēto paroli URL:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Noņemiet saiti. Diemžēl WordPress nepiedāvā pareizu āķi, lai to izdarītu pareizi pievienojiet filtru
funkciju. Tātad, mēs to darām ar JavaScript.
funkcija lostpassword_elem ($ page) ?>Visbeidzot, mēs novirzām “aizmirsta parole” URL pieteikšanās ekrānam.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['darbība'], masīvs ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Izeja; add_action ('init', 'lostpassword_redirect');5. Iespējot HTTPS
HTTPS sniedz jūsu vietnei papildu drošības slāni ar datu pārraidi. Tas var arī veicināt Google meklēšanas rezultātu klasifikāciju. Un tagad jūs varat saņemt derīgu HTTPS cert par brīvu caur komunālo iniciatīvu Let's Encrypt.
WordPress tīmekļa vietnēm varat viegli iegūt Ļaujiet šifrēt sertifikāts ar WP šifrēšanu. Tāpēc nav iemesla, kāpēc šodien nevajadzētu izvietot HTTPS savā tīmekļa vietnē.
Iesaiņošana
Es tikai vēlos jums atgādināt, ka, neskatoties uz visiem šiem mēģinājumiem, mūsu tīmekļa vietnes varētu būt pakļauti uzbrukumiem, hakeriem un hakeriem izmantojot līdzekļus, kas nav mūsu izpratne. Pat lielie uzņēmumi, piemēram, Dropbox un LinkedIn, ir bijuši drošības apdraudējumu upuri.
Kā pēdējo līdzekli, neaizmirstiet regulāri dublēt vietnes failus un datu bāzi kad vien iespējams.