5 tips til at gøre din WordPress Login Security sikret
Uanset størrelsen på dit websted, taber dine webstedsdata eller ikke har adgang til dit eget websted, kan det være en nervepirrende oplevelse. WordPress, som styrer mere end 25% af internettet, er et af de mest målrettede websteder for hackere.
I vores tidligere indlæg har vi vist dig en række tips og tricks, der allerede dækkede næsten alt for at sikre din WordPress hjemmeside. Alligevel er der altid plads til forbedringer. I dette indlæg vil vi se på nogle få flere tips til at hjælpe dig med at gøre dit WordPress-websted sværere at bryde.
1. Bcrypt Password Hashing
WordPress blev startet i 2003, da PHP og internettet generelt stadig var i deres tidlige dage. Facebook var ikke omkring endnu, PHP havde ikke engang OOP (Object-Oriented Programming) arkitektur indbygget; Derfor er WordPress arvet legater, der ikke længere er ideelle i dag - herunder hvordan det krypterer adgangskoden.
WordPress til denne dag bruger stadig MD5 hashing. Dybest set, hvad det gør er at vende din 123456
adgangskode til noget som e10adc3949ba59abbe56e057f20f883e
.
Men da computere nu er mere sofistikerede end 10 år siden dette hashed adgangskoden kan nu nemt omdannes til sin blotte form næsten øjeblikkeligt.
PHP har native kryptering siden 5.5 og hvis din WordPress kører i PHP5.5 eller derover, er der praktisk plugin kaldet wp-password-bcrypt, der giver dig mulighed for at omfavne dette native utility i PHP.
Installer og aktiver plugin'et gennem Composer eller via MU-plugins. Gem din adgangskode igen, og du er helt indstillet.
2. Aktiver WordPress.com Protect
Brute-force er et fælles hackingforsøg, hvor angriberne prøver at logge ind på din hjemmeside ved at gætte adskillige mulige adgangskoder, typisk ord, der findes i ordbogen. Dette er grunden til, at du skal angive en svær at gætte kodeord.
Automattic, folkene bag WordPress.com, har erhvervet et af de mest populære WordPress-plugins, der kan modvirke brute-force angreb. Det hedder BruteProtect, og det er integreret med Jetpack.
Baseret på vores erfaring har den enormt hjulpet os bekæmpe brute-force angreb mere end tæt på en million gange.
For at få det, skal du installere Jetpacks seneste version og forbinde din hjemmeside til WordPress.com. Aktivér derefter “Beskytte” modul og hvidliste din egen IP-adresse også.
Nu skal du føle sig lidt mere sikker.
3. Skjul din login URL
WordPress er meget kendt for login-siden, wp-login.php
. Derfor kan hackere vide, hvilken nøjagtig side der skal lede deres brute-force angreb. Du kan gøre det sværere for dem ved forkæle din WordPress login URL.
Heldigvis er der et par plugins, der giver dette værktøj:
- iThemes Security
- WPS Skjul login
4. Deaktiver “Glem adgangskode”
Det “Glem adgangskode” hjælpeprogrammet i login-formularen er en vej til angriberne, som normalt går gennem en SQL-indsprøjtning for at få dine loginoplysninger. Hvis der kun er få personer, der har adgang til adminområdet, kan det være bedre at slukke for det.
For at gøre det skal du oprette en ny filopload - navngive den glem-password.php
.
Først ændrer vi webadressen til mistet adgangskode:
funktion lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Fjern linket. Desværre giver WordPress ikke en ordentlig krog til at gøre dette pænt gennem en add_filter
fungere. Så gør vi det med JavaScript i stedet.
funktion lostpassword_elem ($ side) ?>Endelig omdirigerer vi “glemt kodeord” URL til login-skærmen.
funktionen lostpassword_redirect () if (isset ($ _GET ['action'])) hvis (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Afslut; add_action ('init', 'lostpassword_redirect');5. Aktiver HTTPS
HTTPS giver dit websted et ekstra sikkerhedsniveau med dataoverførsel. Det kan også give dig et løft i Google Search Rankings. Og nu kan du få gyldig HTTPS cert gratis gennem det fælles initiativ Lad os kryptere.
For WordPress hjemmesider kan du nemt få en Lad os kryptere certifikat med WP Encrypt. Så der er ingen grund til, at du ikke bør installere HTTPS på dit websted i dag.
Afslutter
Jeg vil bare forlade dig med påmindelsen om, at på trods af alle disse forsøg, vores hjemmesider kunne stadig blive udsat for angreb, hacks og at blive ramt af hackere gennem midler ud over vores forståelse. Selv store virksomheder som Dropbox og LinkedIn er blevet byttet til sikkerhedstrusler.
Som en sidste udvej, Husk at regelmæssigt sikkerhedskopiere dit websites filer og database når du kan.