5 טיפים להקשיח את האבטחה שלך WordPress כניסה

לא משנה את הגודל של האתר שלך, לאבד את הנתונים באתר שלך או לא להיות מסוגל לגשת לאתר שלך יכול להיות חוויה מעייפת עצבים. וורדפרס, אשר סמכויות יותר מ 25% של האינטרנט, הוא אחד האתרים הממוקדים ביותר עבור האקרים.

בפוסטים הקודמים שלנו, הראינו לך מספר טיפים וטריקים אשר כבר מכוסה כמעט הכל כדי לאבטח את אתר וורדפרס. עם זאת, תמיד יש מקום לשיפור. בהודעה זו אנו נסתכל על עוד כמה טיפים שיעזרו לכם להפוך את אתר וורדפרס שלכם לפרוץ יותר.

1. Bcrypt סיסמה Hashing

וורדפרס החלה בשנת 2003 כאשר PHP והאינטרנט היו עדיין בימים הראשונים שלהם. פייסבוק לא היה עדיין בסביבה, PHP אפילו לא OOP (תכנות מונחה עצמים) ארכיטקטורה מובנית; לפיכך, וורדפרס בירושה בירושה כי הם כבר לא אידיאלי היום - כולל איך זה מצפין הסיסמא.

וורדפרס עד היום עדיין משתמש MD5 has has. בעיקרון, מה שהיא עושה זה להפוך את 123456 סיסמה למשהו כמו e10adc3949ba59abbe56e057f20f883e.

עם זאת, מאז מחשבים הם עכשיו יותר מתוחכם מאשר לפני 10 שנים זה hashed הסיסמה יכולה כעת להפוך בקלות לתוך טופס חשוף כמעט מיד.

PHP יש יליד הצפנה מאז 5.5 ואם WordPress שלך פועל PHP5.5 ומעלה, יש תוסף שימושי שנקרא wp-password-bcrypt המאפשר לך לאמץ את השירות הילידים ב- PHP.

להתקין ולהפעיל את תוסף דרך מלחין או דרך MU-Plugins. שמור מחדש את הסיסמה שלך ואתה מוכן.

2. הפעל את WordPress.com הגן

כוח ברוט הוא ניסיון פריצה נפוץ שבו התוקפים מנסים להיכנס לאתר שלך על ידי ניחוש סיסמאות רבות, בדרך כלל מילים שנמצאו במילון. זו הסיבה שאתה צריך להגדיר סיסמה קשה לנחש.

Automattic, אנשים מאחורי WordPress.com, רכשה אחד plugins WordPress הפופולריים ביותר שיכולים נגד התקפות כוח הזרוע. זה נקרא BruteProtect, והוא משולב עם Jetpack.

בהתבסס על הניסיון שלנו, יש לו עזר לנו מאוד לחימה התקפות כוח הזרוע יותר מ קרוב למיליון פעמים.

כדי לקבל את זה, אתה צריך להתקין את הגירסה האחרונה של Jetpack ולחבר את האתר שלך ל- WordPress.com. לאחר מכן הפעל את “להגן” מודול, ולרשום לבן כתובת ה- IP שלך גם כן.

עכשיו אתה צריך להרגיש קצת יותר בטוח.

3. הסתר את כתובת האתר להתחברות שלך

וורדפרס ידועה מאוד עבור דף הכניסה, wp-login.php. לפיכך האקרים יודעים איזה דף מדויק לכוון את התקפות כוח הזרוע שלהם. אתה יכול לעשות את זה יותר קשה להם על ידי מסווה את כתובת האתר של וורדפרס ההתחברות שלך.

למרבה המזל, יש כמה תוספים המספקים את השירות הזה:

• אבטחה של iThemes
• WPS הסתר התחברות

4. השבת “שכחתי את הסיסמה”

ה “שכחתי את הסיסמה” השירות בטופס ההתחברות הוא דרך עבור התוקפים, שבדרך כלל עוברים הזרקת SQL כדי לקבל את פרטי הכניסה שלך. אם יש רק כמה אנשים שיש להם גישה לאזור הניהול, עדיף לכבות אותו.

לשם כך, צור קובץ חדש העלה - תן לו שם תשכח- password.php.

תחילה אנו משנים את כתובת האתר לאיבוד הסיסמה:

 function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

הסר את הקישור. למרבה הצער, וורדפרס אינו מספק וו הנכון לעשות זאת בצורה מסודרת דרך add_filter פונקציה. אז, אנחנו עושים את זה עם JavaScript במקום.

 functionpassword_elem function ($ page) ?>   
לבסוף, אנו מנתבים מחדש את “סיסמה אבודה” כתובת האתר למסך הכניסה.
 
 (= _GET ['action'], ($ _GET ['action'])) אם in_array ($ _GET ['action'], מערך ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); יציאה;  add_action ('init', 'lostpassword_redirect'); 
 
5. הפעל HTTPS
 
HTTPS מעניק לאתר שלך שכבה נוספת של אבטחה עם העברת נתונים. זה עשוי גם לתת לך דחיפה בדירוג החיפוש של Google. ועכשיו תוכל לקבל אישור HTTPS חוקי בחינם באמצעות יוזמה קהילתית בואו להצפין.
 
עבור אתרי וורדפרס אתה יכול בקלות להשיג בואו להצפין אישור עם הצפנת WP - -. לכן אין סיבה שלא תפרוס את HTTPS באתר שלך עוד היום.
 
 
מסיימים
 
אני רק רוצה להשאיר אותך עם תזכורת שלמרות כל הניסיונות האלה, אתרי האינטרנט שלנו יכול עדיין להיות נתון להתקפות, פריצות ולהיות בסכנה על ידי האקרים באמצעות אמצעים מעבר להבנתנו. אפילו חברות גדולות כמו Dropbox ו- LinkedIn נפלו טרף לאיומי אבטחה.
 
כמוצא אחרון, זכור לגבות באופן קבוע את הקבצים באתר שלך ואת מסד הנתונים מתי שתוכל.