5 tips for å tøffe opp WordPress Login Security
Uansett størrelsen på nettstedet ditt, å miste nettsteddataene dine eller ikke kunne få tilgang til ditt eget nettsted, kan det være en nervepirrende opplevelse. WordPress, som driver mer enn 25% av nettet, er et av de mest målrettede nettstedene for hackere.
I våre tidligere innlegg har vi vist deg en rekke tips og triks som allerede dekket nesten alt for å sikre ditt WordPress-nettsted. Likevel er det alltid rom for forbedring. I dette innlegget vil vi se på noen få flere tips for å hjelpe deg å gjøre ditt WordPress-nettsted vanskeligere å bryte.
1. Bcrypt Password Hashing
WordPress ble startet i 2003 da PHP og Internett generelt var fortsatt i deres tidlige dager. Facebook var ikke rundt ennå, PHP hadde ikke engang OOP (Object-Oriented Programming) arkitektur innebygd; Derfor er WordPress arvet legat som ikke lenger er ideell i dag - inkludert hvordan det krypterer passordet.
WordPress til denne dagen bruker fortsatt MD5 hashing. I utgangspunktet, hva det gjør er å slå din 123456
passord inn i noe som e10adc3949ba59abbe56e057f20f883e
.
Men siden datamaskiner er nå mer sofistikerte enn 10 år siden dette hashet Passordet kan nå lett omdannes til sin røde form nesten umiddelbart.
PHP har native kryptering siden 5.5 og Hvis WordPress kjører i PHP5.5 eller nyere, er det praktisk plugin kalt wp-password-bcrypt som lar deg omfavne dette innfødte verktøyet i PHP.
Installer og aktiver pluginet gjennom Composer eller gjennom MU-plugins. Lagre passordet ditt på nytt, og du er helt innstilt.
2. Aktiver WordPress.com Protect
Brute-force er et vanlig hackingforsøk der angriperne prøver å logge inn på nettstedet ditt ved å gjette mange mulige passord, vanligvis ord som finnes i ordboken. Dette er grunnen til at du bør angi et vanskelig å gjette passord.
Automattic, folkene bak WordPress.com, har kjøpt en av de mest populære WordPress-pluginene som kan motvirke brute-force-angrep. Det kalles BruteProtect, og det er integrert med Jetpack.
Basert på vår erfaring har den enormt hjulpet oss bekjempe brute-force angrep mer enn nær en million ganger.
For å få det, må du installere Jetpacks nyeste versjon og koble nettstedet ditt til WordPress.com. Aktiver deretter “Beskytte” modul, og hvittoppføring din egen IP-adresse også.
Nå bør du føle deg litt tryggere.
3. Skjul innloggingsadressen din
WordPress er veldig kjent for innloggingssiden, wp-login.php
. Derfor hackere vet hvilken eksakt side som skal lede sine brute-force angrep. Du kan gjøre det vanskeligere for dem skjule WordPress-innloggingsadressen din.
Heldigvis er det noen plugins som gir dette verktøyet:
- iThemes Security
- WPS Skjul innlogging
4. Deaktiver “Glem passord”
De “Glem passord” verktøyet i påloggingsskjemaet er en måte for angripere, som vanligvis går gjennom en SQL-injeksjon for å få påloggingsinformasjonen din. Hvis det bare er noen få personer som har tilgang til administrasjonsområdet, kan det være bedre å slå den av.
For å gjøre det, opprett en ny filopplasting - navn den glemme-password.php
.
Først endrer vi nettadressen til tapt passord:
funksjon lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Fjern koblingen. Dessverre gir WordPress ikke en skikkelig krok for å gjøre dette pent gjennom en add_filter
funksjon. Så, gjør vi det med JavaScript i stedet.
funksjon lostpassword_elem ($ side) ?>Til slutt omdirigerer vi “Mistet Passord” URL til påloggingsskjermen.
funksjonen lostpassword_redirect () if (isset ($ _GET ['action'])) hvis (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); exit; add_action ('init', 'lostpassword_redirect');5. Aktiver HTTPS
HTTPS gir nettstedet ditt et ekstra lag med sikkerhet med dataoverføring. Det kan også gi deg et løft i Googles søkerangeringer. Og nå kan du få gyldig HTTPS cert gratis gjennom det felles initiativet La oss kryptere.
For WordPress nettsteder kan du enkelt få en La oss kryptere sertifikat med WP Encrypt. Så det er ingen grunn til at du ikke skal distribuere HTTPS på nettstedet ditt i dag.
Innpakning
Jeg liker bare å forlate deg med påminnelsen om at på tross av alle disse forsøkene, våre nettsteder kan fortsatt bli utsatt for angrep, hack og å bli skadet av hackere gjennom midler utenfor vår forståelse. Selv store selskaper som Dropbox og LinkedIn har blitt byttet til sikkerhetstrusler.
Som en siste utvei, Husk å regelmessig sikkerhetskopiere nettsidens filer og database når du kan.