5 порад для посилення безпеки входу в WordPress

Незалежно від розміру веб-сайту, втрата даних сайту або неможливість отримати доступ до власного веб-сайту може стати пережитком нервів. WordPress, який володіє більш ніж 25% веб, є одним з найбільш цільових веб-сайтів для хакерів.

У попередніх посадах ми показали вам ряд порад і прийомів, які вже охопили майже все, щоб захистити ваш сайт WordPress. Тим не менш, завжди є місце для вдосконалення. У цьому пості ми розглянемо ще кілька порад, які допоможуть вам зробити ваш сайт WordPress важче порушити.

1. Bcrypt Password Hashing

WordPress був запущений в 2003 році, коли PHP і Web взагалі були ще в перші дні. Facebook ще не був навколо, PHP навіть не мав вбудованої архітектури ООП (об'єктно-орієнтованого програмування); отже, WordPress успадкував спадщини, які сьогодні більше не є ідеальними - в тому числі, як це шифрує пароль.

WordPress до цих пір використовує MD5 перемішування. В основному, це робить ваш 123456 пароль в щось подібне e10adc3949ba59abbe56e057f20f883e.

Однак, оскільки комп'ютери тепер більш складні, ніж 10 років тому хеш Тепер пароль може бути легко змінений в голову форму майже миттєво.

PHP має рідне шифрування з 5,5 і якщо ваш WordPress працює в PHP5.5 або вище, є зручний плагін під назвою wp-password-bcrypt, що дозволяє прийняти цю рідну утиліту на PHP.

Встановіть і активуйте плагін через Composer або через MU-Plugins. Повторно збережіть свій пароль, і ви все налаштовані.

2. Увімкніть Захист WordPress.com

Brute-force - звичайна спроба злому, коли зловмисники намагаються ввійти на ваш сайт, вгадуючи численні можливі паролі, як правило, слова, знайдені у словнику. Це причина, чому ви повинні встановити важкодоступний пароль.

Automattic, люди, що стоять за WordPress.com, придбали один з найпопулярніших плагінів WordPress, які можуть протистояти атакам з грубою силою. Вона називається BruteProtect, і вона інтегрована з Jetpack.

Виходячи з нашого досвіду, вона має надзвичайно допомогли нам Боротьба з грубою атакою більше близько мільйона разів.

Щоб отримати його, потрібно встановити останню версію Jetpack і підключити ваш сайт до WordPress.com. Потім увімкніть “Захист” модуля, а також білого списку власних IP-адрес.

Тепер ви повинні відчувати себе більш безпечними.

3. Приховати URL для входу

WordPress дуже відома для сторінки входу, wp-login.php. Отже, хакери знають, яку точну сторінку направляти свої напади з грубою силою. Ви можете зробити це важче для них маскування URL-адреси для входу в WordPress.

На щастя, є кілька плагінів, які надають цю утиліту:

• iThemes Безпека
• WPS Hide Login

4. Вимкнути “Забули пароль”

The “Забули пароль” Утиліта у формі входу є способом для зловмисників, які зазвичай проходять ін'єкцію SQL, щоб отримати облікові дані для входу. Якщо є лише кілька людей, які мають доступ до адміністративної області, краще вимкнути її.

Для цього створіть нове завантаження файлу - назвіть його forget-password.php.

Спочатку змінюємо URL-адресу втраченого пароля:

 функція lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

Видалити посилання. На жаль, WordPress не забезпечує належного гачка, щоб зробити це акуратно через add_filter функції. Таким чином, ми робимо це за допомогою JavaScript.

 функція lostpassword_elem ($ page) ?>   
Нарешті, ми перенаправляємо “Втрачений Пароль” URL на екран входу.
 
 function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], масив ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Вхід;  add_action ('init', 'lostpassword_redirect'); 
 
5. Увімкніть HTTPS
 
HTTPS надає вашому сайту додатковий рівень безпеки при передачі даних. Це також може дати вам імпульс у пошукових рейтингах Google. А тепер ви можете отримати дійсний сертифікат HTTPS безкоштовно через комунальну ініціативу Let's Encrypt.
 
Для сайтів WordPress можна легко отримати Давайте шифрувати сертифікат з WP Encrypt. Тому немає жодної причини, чому ви не повинні розгортати HTTPS на вашому сайті сьогодні.
 
 
Підведенню
 
Я просто хочу залишити вам нагадування, що, незважаючи на всі ці спроби, наші веб-сайти може все ще бути об'єктом атак, хакі та порушень хакерами через засоби, що виходять за рамки нашого розуміння. Навіть великі компанії, такі як Dropbox та LinkedIn, стали жертвою загроз безпеці.
 
У крайньому випадку, не забувайте регулярно створювати резервні копії файлів і баз даних вашого веб-сайту будь-коли.