Αρχική σελίδα » WordPress » 5 Συμβουλές για να ωθήσει το WordPress σας Ασφάλεια σύνδεσης

    5 Συμβουλές για να ωθήσει το WordPress σας Ασφάλεια σύνδεσης

    Ανεξάρτητα από το μέγεθος του ιστότοπού σας, η απώλεια δεδομένων του ιστότοπού σας ή η μη δυνατότητα πρόσβασης στον ιστότοπό σας μπορεί να είναι μια νευρική εμπειρία. Το WordPress, το οποίο εξουσιάζει περισσότερο από το 25% του Ιστού, είναι μία από τις πιο στοχευμένες ιστοσελίδες για τους χάκερς.

    Στις προηγούμενες δημοσιεύσεις μας, σας δείξαμε μια σειρά από συμβουλές και τεχνάσματα που κάλυψαν ήδη σχεδόν τα πάντα για να εξασφαλίσουν τον ιστοχώρο σας στο WordPress. Παρόλα αυτά, υπάρχει πάντα περιθώριο βελτίωσης. Σε αυτή τη θέση θα εξετάσουμε μερικές ακόμα συμβουλές για να σας βοηθήσουμε να κάνετε το site σας WordPress πιο δύσκολο να παραβιάσετε.

    1. Hashing κωδικού Bcrypt

    Το WordPress ξεκίνησε το 2003, όταν η PHP και ο ιστός γενικά ήταν ακόμα στις πρώτες μέρες. Το Facebook δεν ήταν ακόμα γύρω, η PHP δεν είχε καν ενσωματωμένη αρχιτεκτονική OOP (Object-Oriented Programming). ως εκ τούτου, WordPress κληρονόμησε κληρονομιές που δεν είναι πλέον ιδανικές σήμερα - συμπεριλαμβανομένου του πώς κρυπτογραφεί ο κωδικός.

    Το WordPress μέχρι σήμερα χρησιμοποιεί MD5 hashing. Βασικά, αυτό που κάνει είναι να γυρίσει σας 123456 κωδικό πρόσβασης σε κάτι σαν e10adc3949ba59abbe56e057f20f883e.

    Ωστόσο, δεδομένου ότι οι υπολογιστές είναι πλέον πιο εξελιγμένοι από ό, τι πριν από 10 χρόνια χτύπησε ο κωδικός πρόσβασης μπορεί τώρα να αντιστραφεί εύκολα στη γυμνή του μορφή σχεδόν αμέσως.

    Η PHP έχει μητρική κρυπτογράφηση από 5.5 και Εάν το WordPress τρέχει σε PHP5.5 ή παραπάνω, υπάρχει ένα εύχρηστο plugin που ονομάζεται wp-password-bcrypt που σας επιτρέπει να αγκαλιάσετε αυτό το εγγενές βοηθητικό πρόγραμμα στην PHP.

    Εγκαταστήστε και ενεργοποιήστε το plugin μέσω του Composer ή μέσω του MU-Plugins. Αποθηκεύστε ξανά τον κωδικό πρόσβασής σας και όλοι είστε έτοιμοι.

    2. Ενεργοποιήστε το WordPress.com Protect

    Brute-force είναι μια κοινή προσπάθεια hacking όπου οι επιτιθέμενοι προσπαθούν να συνδεθούν στον ιστότοπό σας, υποθέτοντας πολλούς πιθανούς κωδικούς πρόσβασης, συνήθως λέξεις που βρίσκονται στο λεξικό. Αυτός είναι ο λόγος για τον οποίο θα πρέπει να ορίσετε έναν δύσκολο να μαντέψετε κωδικό πρόσβασης.

    Το Automattic, οι άνθρωποι πίσω από το WordPress.com, έχουν αποκτήσει ένα από τα πιο δημοφιλή plug-ins του WordPress που μπορούν να αντιμετωπίσουν τις επιθέσεις με βίαιη δύναμη. Ονομάζεται BruteProtect και είναι ενσωματωμένος στο Jetpack.

    Με βάση την εμπειρία μας, έχει μας βοηθούσε τρομερά καταπολέμηση των επιθέσεων βίας-δύναμης περισσότερο από σχεδόν ένα εκατομμύριο φορές.

    Jetpack Dashboard Widget αναφέροντας τον αριθμό των επιθέσεων και του spam που συναντήσατε.

    Για να το αποκτήσετε, πρέπει να εγκαταστήσετε την τελευταία έκδοση του Jetpack και να συνδέσετε τον ιστότοπό σας στο WordPress.com. Στη συνέχεια ενεργοποιήστε το “Προστατεύω” και τη λευκή λίστα της δικής σας διεύθυνσης IP.

    Τώρα θα πρέπει να αισθανθείτε λίγο πιο ασφαλή.

    3. Απόκρυψη της διεύθυνσης URL σύνδεσης

    Το WordPress είναι πολύ γνωστό για τη σελίδα σύνδεσης, wp-login.php. Ως εκ τούτου, οι χάκερ ξέρουν σε ποια ακριβή σελίδα θα κατευθύνουν τις επιθέσεις τους με βίαιη δύναμη. Μπορείτε να τους δυσκολευτείτε που συγκαλύπτει τη διεύθυνση URL σύνδεσης του WordPress.

    Ευτυχώς, υπάρχουν μερικά πρόσθετα που παρέχουν αυτό το βοηθητικό πρόγραμμα:

    • iThemes Ασφάλεια
    • WPS Απόκρυψη σύνδεσης

    4. Απενεργοποιήστε “Ξεχάστε τον κωδικό πρόσβασης”

    ο “Ξεχάστε τον κωδικό πρόσβασης” χρησιμότητα στη φόρμα σύνδεσης είναι ένας τρόπος για τους επιτιθέμενους, οι οποίοι συνήθως περάσουν από μια ένεση SQL για να λάβουν τα διαπιστευτήριά σας σύνδεσης. Εάν υπάρχουν μόνο λίγοι άνθρωποι που έχουν πρόσβαση στην περιοχή διαχείρισης, ίσως είναι καλύτερο να την απενεργοποιήσετε.

    Για να γίνει αυτό, δημιουργήστε ένα νέο αρχείο μεταφόρτωσης - ονομάστε το forget-password.php.

    Αρχικά αλλάζουμε τη διεύθυνση URL του χαμένου κωδικού πρόσβασης:

     Λειτουργία lostpassword_url () επιστροφή site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url').

    Αφαιρέστε τη σύνδεση. Δυστυχώς, το WordPress δεν παρέχει ένα σωστό γάντζο για να το κάνει αυτό καθαρά μέσα από ένα add_filter λειτουργία. Έτσι, το κάνουμε με το JavaScript αντί.

     Λειτουργία lostpassword_elem ($ σελίδα) ?>   
    Τέλος, ανακατευθύνουμε το “χαμένος κωδικός” Διεύθυνση URL στην οθόνη σύνδεσης.
     
     ())) if_set () () (if_set ($ _GET ['action'])) if_array ($ _GET ['action'], login.php ', 301). έξοδος;  add_action ('init', 'lostpassword_redirect'). 
     
    5. Ενεργοποιήστε το HTTPS
     
    Το HTTPS δίνει στον ιστότοπό σας ένα επιπλέον επίπεδο ασφάλειας με τη μετάδοση δεδομένων. Μπορεί επίσης να σας δώσει ώθηση στις ταξινομήσεις αναζήτησης Google. Και τώρα μπορείτε να λάβετε έγκυρο HTTPS cert δωρεάν μέσω της κοινοτικής πρωτοβουλίας Ας κρυπτογραφήσουμε.
     
    Για ιστοσελίδες του WordPress μπορείτε εύκολα να αποκτήσετε ένα Ας κρυπτογραφήσουμε πιστοποιητικό με κρυπτογράφηση WP. Επομένως, δεν υπάρχει κανένας λόγος για τον οποίο δεν πρέπει να αναπτύξετε το HTTPS στον ιστότοπό σας σήμερα.
     
     
    Τυλίγοντας
     
    Θα ήθελα απλώς να σας αφήσω με την υπενθύμιση ότι παρά τις προσπάθειες αυτές, τις ιστοσελίδες μας θα μπορούσε ακόμα να υποστεί επιθέσεις, αμυχές και να υπονομευθεί από τους χάκερς μέσω μέσων πέρα ​​από την κατανόησή μας. Ακόμη και μεγάλες εταιρείες όπως το Dropbox και το LinkedIn έχουν πέσει θύματα απειλών για την ασφάλεια.
     
    Ως έσχατη λύση, θυμηθείτε να δημιουργείτε συχνά αντίγραφα ασφαλείας των αρχείων και της βάσης δεδομένων του ιστότοπού σας οποτε μπορεις.
    5 κορυφαίες εφαρμογές επαυξημένης πραγματικότητας για εκπαίδευση
    5 κορυφαίες λειτουργίες των Windows 8 που θα αγαπήσετε
    5 Συμβουλές για την επιτάχυνση του χρόνου φόρτισης του iPhone
    Επόμενο άρθρο
    5 εργαλεία για τη διαχείριση της ροής εργασίας σας και την ηλεκτρονική συνεργασία
    Προηγούμενο άρθρο
    5 άκρες για να αντιμετωπίσετε το Freelancing με εργασία πλήρους απασχόλησης