WordPress Giriş Güvenliğinizi Güçlendirmek için 5 İpucu
Web sitenizin boyutu ne olursa olsun, site verilerinizi kaybetmek veya kendi web sitenize erişememek sinir bozucu bir deneyim olabilir. Web’in% 25’inden daha fazlasına güç veren WordPress, bilgisayar korsanları için en çok hedeflenen web sitelerinden biri.
Önceki yayınlarımızda, size gösterdik WordPress web sitenizi korumak için neredeyse her şeyi kapsayan bir dizi ipucu ve püf noktası. Yine de, iyileştirme için her zaman yer var. Bu yazıda, WordPress sitenizi ihlal etmeyi zorlaştırmanıza yardımcı olacak birkaç ipucu daha arayacağız.
1. Bcrypt Şifre Hashing
WordPress, 2003'te PHP ve Web genel olarak hala ilk günlerinde olduğu zaman başlatıldı. Facebook henüz çevrede değildi, PHP yerleşik OOP (Nesneye Yönelik Programlama) mimarisine bile sahip değildi; Bu nedenle, WordPress bugün artık ideal olmayan mirasları miras aldı - nasıl da dahil şifreler şifre.
WordPress bu güne kadar hala MD5 kullanıyor karma. Temel olarak, ne çevirmen gerekiyor? 123456
gibi bir şey içine şifre e10adc3949ba59abbe56e057f20f883e
.
Ancak, bilgisayarlar şimdi 10 yıldan daha sofistike olduğu için bu karma parola artık hemen anında kolayca çıplak haliyle tersine çevrilebilir.
PHP vardır yerel şifreleme 5.5'ten beri ve eğer WordPress'iniz PHP5.5 veya daha üst bir sürümde çalışıyorsa, PHP'deki bu yerel yardımcı programı kullanmanıza izin veren wp-password-bcrypt adlı kullanışlı bir eklenti vardır..
Eklentiyi Composer veya MU Eklentileri aracılığıyla kurun ve etkinleştirin. Şifrenizi tekrar kaydedin ve hepiniz hazırsınız..
2. WordPress.com Korumasını Etkinleştir
Brute-force, saldırganların, genellikle sözlükte bulunan kelimelerden oluşan çok sayıda şifreyi tahmin ederek web sitenize giriş yapmaya çalıştığı yaygın bir saldırı girişimidir. Tahmin edilmesi zor bir şifre belirlemenizin nedeni budur..
Automattic, WordPress.com'un arkasındaki insanlar, kaba kuvvet saldırılarına karşı koyabilen en popüler WordPress eklentilerinden birini edindi. BruteProtect olarak adlandırılır ve Jetpack ile entegredir..
Tecrübelerimize dayanarak, müthiş bize yardımcı oldu kaba kuvvet saldırılarıyla mücadele milyona yakın zamanlar.
Bunu almak için, Jetpack'in en son sürümünü kurmanız ve web sitenizi WordPress.com'a bağlamanız gerekir. Sonra etkinleştirmek “korumak” modül ve kendi IP adresinizi de beyaz listeleme.
Şimdi biraz daha güvende hissetmelisin.
3. Giriş URL’nizi gizleyin
WordPress giriş sayfası için çok iyi bilinmektedir., wp-login.php
. Bu nedenle bilgisayar korsanları, kaba kuvvet saldırılarını yönlendirmek için tam olarak hangi sayfanın olduğunu bilir. Onlar için zorlaştırabilirsin WordPress giriş URL’nizi gizleyerek.
Neyse ki, bu yardımcı programı sağlayan birkaç eklenti var:
- iThemes Güvenlik
- WPS Giriş Gizle
4. Devre Dışı Bırak “Şifreyi unut”
“Şifreyi unut” Giriş formundaki yardımcı program giriş bilgilerinizi almak için genellikle bir SQL enjeksiyonundan geçen saldırganların bir yoludur. Yönetici alanına erişimi olan yalnızca birkaç kişi varsa, onu kapatmak daha iyi olabilir.
Bunu yapmak için yeni bir dosya yükleme oluşturun - adlandırın unutma-password.php
.
İlk önce kayıp parola URL'sini değiştiriyoruz:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Bağlantıyı kaldır. Ne yazık ki, WordPress bunu düzgün bir şekilde yapmak için uygun bir kanca sağlamaz. add_filter
işlevi. Yani, bunun yerine JavaScript ile yapıyoruz.
fonksiyon lostpassword_elem ($ sayfa) ?>Son olarak, yönlendiririz. “kayıp Şifre” Giriş ekranına URL.
fonksiyon lostpassword_redirect () if (isset ($ _GET ['eylem'])) if (in_array ($ _GET ['eylem'], dizi ('lostpassword', 'retrievepassword')))) wp_redirect ('/ wp- login.php ', 301); çıkış; add_action ('init', 'lostpassword_redirect');5. HTTPS'yi etkinleştir
HTTPS, sitenize veri iletimi ile birlikte ekstra bir güvenlik katmanı sağlar. Ayrıca Google arama sıralamasında size bir destek verebilir. Ve şimdi geçerli HTTPS sertifikası alabilirsiniz bedava toplumsal girişim yoluyla Let's Encrypt ile.
WordPress web siteleri için kolayca Şifreleyelim WP Şifrelemesi ile sertifika. Bu nedenle, HTTPS'yi bugün web sitenize yerleştirmemeniz için hiçbir neden yok.
Kaydırma
Tüm bu denemelere rağmen, web sitelerimizde sizi hatırlatmak isterim. Hala saldırılara, saldırılara ve bilgisayar korsanları tarafından tehlikeye atılmaya maruz kalabilir anlamamızın ötesinde araçlar yoluyla. Dropbox ve LinkedIn gibi büyük şirketler bile güvenlik tehditlerine karşı av düşmüştür..
Son çare olarak, web sitenizin dosyalarını ve veritabanlarını düzenli olarak yedeklemeyi unutmayın. ne zaman yapabilirsen.