Pagrindinis » WordPress » 5 patarimai, kaip sustiprinti „WordPress Login Security“

    5 patarimai, kaip sustiprinti „WordPress Login Security“

    Nesvarbu, koks jūsų svetainės dydis, prarandami jūsų svetainės duomenys arba negalėsite patekti į savo svetainę, tai gali būti nervų sukrėtimo patirtis. „WordPress“, kuri valdo daugiau nei 25% interneto, yra viena iš tikslinių svetainių, skirtų įsilaužėliams.

    Ankstesniuose pranešimuose mes parodėme keletas patarimų ir gudrybių, kurie jau apėmė beveik viską, kad apsaugotumėte „WordPress“ svetainę. Vis dėlto visada yra galimybių tobulėti. Šiame pranešime mes ieškosime dar keletas patarimų, kurie padės jums padaryti jūsų „WordPress“ svetainę sunkiau pažeisti.

    1. Bcrypt Password Hashing

    WordPress buvo pradėtas 2003 m., Kai PHP ir Web apskritai vis dar buvo pradinėse dienose. „Facebook“ dar nebuvo, PHP net neturėjo OOP (Objektinis programavimas) architektūros; taigi „WordPress“ paveldėjo palikimus, kurie šiandien nėra idealūs, įskaitant tai, kaip ji šifruoja slaptažodį.

    WordPress iki šios dienos vis dar naudoja MD5 maišymas. Iš esmės, ką jis daro, yra paversti savo 123456 slaptažodį į kažką panašaus e10adc3949ba59abbe56e057f20f883e.

    Tačiau, kadangi kompiuteriai dabar yra sudėtingesni nei prieš 10 metų išnyko slaptažodis dabar gali būti lengvai pakeistas į savo pliką formą.

    PHP turi vietinis šifravimas nuo 5.5 ir Jei jūsų „WordPress“ veikia PHP5.5 ar naujesnėje versijoje, yra patogus įskiepis, vadinamas „wp-password-bcrypt“, leidžiančiu jums pasinaudoti šia „natūra“ programa PHP.

    Įdiekite ir įjunkite įskiepį per Kompozitorių arba per MU-Įskiepius. Iš naujo išsaugokite slaptažodį ir visi esate nustatyti.

    2. Įjunkite „WordPress.com“ apsaugą

    Brutalinė jėga yra bendras įsilaužimo bandymas, kai užpuolikai bando prisijungti prie jūsų svetainės spėliodami daugybę galimų slaptažodžių, paprastai žodžių, pateiktų žodynuose. Štai kodėl turėtumėte nustatyti sunkiai atspėjamą slaptažodį.

    „Automattic“, „WordPress.com“ užimantys žmonės, įsigijo vieną iš populiariausių „WordPress“ įskiepių, kurie gali kovoti su brutalia jėga. Jis vadinamas „BruteProtect“ ir yra integruotas su „Jetpack“.

    Remiantis mūsų patirtimi, jis turi labai padėjo mums kovoti su brutalia jėga beveik milijonas laikai.

    „Jetpack Dashboard“ valdiklis praneša apie įvykusių atakų ir šlamšto skaičių.

    Norėdami gauti ją, turite įdiegti naujausią „Jetpack“ versiją ir prijungti savo svetainę prie „WordPress.com“. Tada įjunkite “Apsaugokite” modulis, taip pat baltojo sąrašo savo IP adresą.

    Dabar turėtumėte jaustis šiek tiek saugiau.

    3. Slėpti prisijungimo URL

    WordPress yra labai gerai žinomas dėl prisijungimo puslapio, wp-login.php. Todėl įsilaužėliai žino, kuris tikslus puslapis nukreipti savo brutalinių jėgų išpuolius. Jiems gali būti sunkiau užmaskuoti „WordPress“ prisijungimo URL.

    Laimei, yra keletas papildinių, kurie teikia šią paslaugą:

    • „iThemes“ saugumas
    • WPS slėpti prisijungimą

    4. Išjungti “Pamiršti slaptažodį”

    The “Pamiršti slaptažodį” naudingumas prisijungimo formoje yra būdas užpuolikams, kurie paprastai gauna SQL injekciją, kad gautų prisijungimo duomenis. Jei yra tik keletas žmonių, turinčių prieigą prie administratoriaus srities, tai gali būti geriau išjungti.

    Norėdami tai padaryti, sukurkite naują failo įkėlimą - pavadinkite jį pamiršti slaptažodį.php.

    Pirmiausia keičiame prarastą slaptažodį URL:

     function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url');

    Pašalinkite nuorodą. Deja, „WordPress“ nesuteikia tinkamo kablio, kad tai atliktų gerai add_filter funkcija. Taigi, mes tai darome su „JavaScript“.

     funkcija lostpassword_elem ($ page) ?>   
    Galiausiai, mes nukreipiame “pamečiau slaptažodį” URL prisijungimo ekrane.
     
     function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], masyvas ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); išeiti;  add_action („init“, „lostpassword_redirect“); 
     
    5. Įgalinti HTTPS
     
    HTTPS suteikia jūsų svetainei papildomą saugumo sluoksnį su duomenų perdavimu. Jis taip pat gali paskatinti „Google“ paieškos reitingus. Ir dabar galite gauti galiojantį HTTPS certą nemokamai per bendruomeninę iniciatyvą Leiskite šifruoti.
     
    „WordPress“ svetainėms galite lengvai gauti a Leiskite šifruoti sertifikatas su WP šifru. Taigi nėra jokios priežasties, kodėl šiandien neturėtumėte naudoti HTTPS.
     
     
    Apvyniojimas
     
    Aš tiesiog norėčiau jus priminti, kad, nepaisant visų šių bandymų, mūsų interneto svetainės vis dar gali būti nukentėję nuo įsilaužimo, įsilaužimo ir įsilaužimo per mūsų supratimą. Net didelės kompanijos, tokios kaip „Dropbox“ ir „LinkedIn“, pateko į grėsmę saugumui.
     
    Kaip paskutinė išeitis, nepamirškite reguliariai kurti atsargines savo svetainės failų ir duomenų bazės kopijas kai tik galite.
    5 Aukščiausios papildytos realybės programos švietimui
    5 Geriausios „Windows 8“ funkcijos Jums patiks
    5 patarimai, kaip pagreitinti „iPhone“ įkrovimo laiką
    Kitas straipsnis
    5 Priemonės, skirtos valdyti savo darbo eigą ir bendradarbiavimą internete
    Ankstesnis straipsnis
    5 patarimai, kaip išspręsti laisvai dirbančius darbus su visu etatu