5 советов по повышению безопасности входа в WordPress
Независимо от размера вашего сайта, потеря данных на вашем сайте или невозможность получить доступ к вашему собственному сайту могут быть нервными. WordPress, который обслуживает более 25% веб-сайтов, является одним из наиболее популярных веб-сайтов для хакеров..
В наших предыдущих постах мы показали вам ряд советов и приемов, которые уже охватили практически все, чтобы защитить ваш сайт WordPress. Тем не менее, всегда есть возможности для улучшения. В этом посте мы рассмотрим еще несколько советов, которые помогут сделать ваш сайт WordPress более сложным для взлома..
1. Зашифровать пароль
WordPress был запущен в 2003 году, когда PHP и Интернет в целом еще были на заре своего существования. Facebook еще не было, в PHP даже не было встроенной архитектуры ООП (объектно-ориентированного программирования); следовательно, WordPress унаследовал наследие, которое сегодня уже не идеально, включая то, как шифрует пароль.
WordPress по сей день все еще использует MD5 хэширования. По сути, это делает ваш 123456
пароль в нечто вроде e10adc3949ba59abbe56e057f20f883e
.
Тем не менее, поскольку компьютеры сейчас более сложны, чем 10 лет назад, это хешированное пароль теперь может быть легко возвращен в исходное состояние практически мгновенно.
PHP имеет родное шифрование начиная с 5.5 и если ваш WordPress работает на PHP5.5 или выше, есть удобный плагин wp-password-bcrypt, который позволяет вам использовать эту нативную утилиту в PHP.
Установите и активируйте плагин через Composer или через MU-плагины. Повторно сохраните свой пароль, и все готово.
2. Включить WordPress.com Protect
Brute-force - это обычная попытка взлома, когда злоумышленники пытаются войти на ваш сайт, угадав множество возможных паролей, как правило, это слова из словаря. Это причина, почему вы должны установить трудно угадываемый пароль.
Компания Automattic, создатель WordPress.com, приобрела один из самых популярных плагинов для WordPress, который может противостоять атакам методом перебора. Он называется BruteProtect и интегрирован с Jetpack..
Исходя из нашего опыта, он имеет очень помог нам боевые атаки грубой силы более близко к миллиону раз.
Чтобы получить его, вам нужно установить последнюю версию Jetpack и подключить ваш сайт к WordPress.com. Затем включите “защищать” модуль, а также белый список вашего собственного IP-адреса.
Теперь вы должны чувствовать себя немного безопаснее.
3. Скрыть ваш логин
WordPress очень известен за страницу входа, сор-login.php
. Следовательно, хакеры знают, на какую именно страницу направлять свои атаки грубой силы. Вы можете сделать это сложнее для них, замаскировать ваш URL для входа в WordPress.
К счастью, есть несколько плагинов, которые предоставляют эту утилиту:
- iThemes Security
- WPS Скрыть логин
4. Отключить “Забыть пароль”
“Забыть пароль” Утилита в форме входа - это путь для злоумышленников, которые обычно проходят SQL-инъекцию, чтобы получить ваши учетные данные для входа. Если есть только несколько человек, которые имеют доступ к административной области, может быть лучше отключить ее.
Для этого создайте новый файл загрузки - назовите его забыть-password.php
.
Сначала мы изменим URL утерянного пароля:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Удалить ссылку. К сожалению, WordPress не обеспечивает правильного подключения для аккуратного add_filter
функция. Итак, мы делаем это с помощью JavaScript вместо.
function lostpassword_elem ($ page) ?>Наконец, мы перенаправляем “потерянный пароль” URL на экран входа.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], массив ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); выход; add_action ('init', 'lostpassword_redirect');5. Включить HTTPS
HTTPS дает вашему сайту дополнительный уровень безопасности при передаче данных. Это также может повысить рейтинг в поисковой системе Google. И теперь вы можете получить действительный сертификат HTTPS бесплатно через общинную инициативу Let's Encrypt.
Для сайтов WordPress вы можете легко получить Давайте зашифруем сертификат с WP Encrypt. Поэтому нет причин, по которым вы не должны развертывать HTTPS на своем веб-сайте сегодня..
Завершение
Я просто хотел бы оставить вас с напоминанием о том, что, несмотря на все эти попытки, наши сайты все еще может подвергаться атакам, взломам и хакерским атакам через средства за пределами нашего понимания. Даже крупные компании, такие как Dropbox и LinkedIn, стали жертвами угроз безопасности.
В крайнем случае, не забывайте регулярно создавать резервные копии файлов и базы данных вашего сайта когда вы сможете.