5 съвета за заздравяване на сигурността при влизане в WordPress
Независимо от размера на уебсайта ви, загубата на данни за сайта или невъзможността да получите достъп до собствения си уебсайт може да се окаже изнервящ опит. WordPress, който управлява повече от 25% от мрежата, е един от най-целевите уеб сайтове за хакери.
В предишните ни публикации ви показахме редица съвети и трикове, които вече обхванаха почти всичко, за да осигурят вашия WordPress сайт. Все пак винаги има място за подобрение. В този пост ще разгледаме още няколко съвета, които ще ви помогнат да направите вашия сайт WordPress по-труден за нарушаване.
1. Bcrypt Password Hashing
WordPress беше стартиран през 2003 г., когато PHP и Web като цяло все още бяха в ранните си дни. Facebook все още не е наоколо, PHP дори няма вградена архитектура OOP (обектно-ориентирано програмиране); следователно, WordPress наследи завещания, които днес вече не са идеални - включително и как криптира паролата.
WordPress и до днес използва MD5 хеширане. По принцип, това, което прави, е да обърнете Вашето 123456
парола в нещо подобно e10adc3949ba59abbe56e057f20f883e
.
Въпреки това, тъй като компютрите сега са по-сложни отпреди 10 години, това хеширана Сега паролата може лесно да се обърне в голата си форма почти незабавно.
PHP има естествено криптиране от 5.5 и ако вашият WordPress работи в PHP5.5 или по-нова версия, има удобен плъгин, наречен wp-password-bcrypt, който ви позволява да прегърнете тази собствена помощна програма в PHP.
Инсталирайте и активирайте плъгина чрез Composer или чрез MU-Plugins. Запишете отново паролата си и всички сте готови.
2. Активирайте WordPress.com Protect
Брутална сила е често срещан опит за хакерство, при който нападателите се опитват да влязат в сайта Ви, като познаят многобройни възможни пароли, обикновено думи, намерени в речника. Това е причината, поради която трябва да зададете труднодостъпна парола.
Automattic, хората зад WordPress.com, е придобил един от най-популярните WordPress плъгини, които могат да противодействат на атаките с груба сила. Тя се нарича BruteProtect и е интегрирана с Jetpack.
Въз основа на нашия опит, той има много ни помогна борбата с нападения с груба сила повече от близо един милион пъти.
За да го получите, трябва да инсталирате последната версия на Jetpack и да свържете уебсайта си с WordPress.com. След това разрешете “защитавам” модул, както и бял списък на вашия собствен IP адрес, както добре.
Сега трябва да се чувствате по-безопасно.
3. Скрийте своя URL за вход
WordPress е много добре познат на страницата за вход, WP-login.php
. Следователно хакерите знаят коя точно страница да насочват атаките си с груба сила. Можете да ги направите по-трудно за тях прикриване на вашия URL адрес за вход в WordPress.
За щастие има няколко приставки, които предоставят тази помощна програма:
- Сигурност на темите
- WPS Hide Login
4. Изключване “Забравена парола”
Най- “Забравена парола” Помощната програма във формуляра за вход е начин за атакуващи, които обикновено преминават през SQL инжекция, за да получат идентификационни данни за вход. Ако има само няколко души, които имат достъп до административната област, може би е по-добре да го изключите.
За да направите това, създайте ново зареждане на файл - назовете го забравите-password.php
.
Първо променяме URL адреса на изгубената парола:
функция lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Премахнете връзката. За съжаление, WordPress не осигурява подходяща кука, за да направи това спретнато чрез add_filter
функция. Затова го правим с JavaScript.
функция lostpassword_elem ($ page) ?>И накрая, ние пренасочваме “Забравена Парола” URL към екрана за вход.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['действие'], масив ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); изход; add_action ('init', 'lostpassword_redirect');5. Активирайте HTTPS
HTTPS дава на вашия сайт допълнително ниво на сигурност с предаване на данни. Може също да ви даде тласък в класацията за търсене в Google. И сега можете да получите валиден HTTPS cert безплатно чрез общинската инициатива Let's Encrypt.
За WordPress сайтове можете лесно да получите a Да шифроваме сертификат с WP Encrypt. Така че няма причина да не разгръщате HTTPS в уебсайта си днес.
Обобщавайки
Искам само да ви напомня, че въпреки всички тези опити, нашите уебсайтове все още могат да бъдат обект на атаки, хакове и да бъдат компрометирани от хакери чрез средства извън нашето разбиране. Дори големите компании като Dropbox и LinkedIn са станали жертва на заплахи за сигурността.
В краен случай, не забравяйте редовно да архивирате файловете и базата данни на уебсайта си когато можеш.