5 suggerimenti per irrigidire la sicurezza di accesso di WordPress
Indipendentemente dalle dimensioni del tuo sito web, perdere i dati del tuo sito o non poter accedere al tuo sito web può essere un'esperienza snervante. WordPress, che alimenta oltre il 25% del Web, è uno dei siti Web più mirati per gli hacker.
Nei nostri post precedenti, ti abbiamo mostrato una serie di suggerimenti e trucchi che già coprivano quasi tutto per proteggere il tuo sito Web WordPress. Tuttavia, c'è sempre spazio per miglioramenti. In questo post vedremo alcuni altri suggerimenti per aiutarti a rendere più difficile la violazione del tuo sito WordPress.
1. Bypting Password Hashing
WordPress è stato avviato nel 2003 quando PHP e il Web in generale erano ancora all'inizio. Facebook non era ancora disponibile, PHP non aveva nemmeno l'architettura OOP (Object-oriented Programming) integrata; quindi, WordPress ha ereditato eredità che oggi non sono più ideali, compreso il modo in cui cripta la password.
WordPress utilizza ancora MD5 hashing. Fondamentalmente, quello che fa è trasformare il tuo 123456
password in qualcosa di simile e10adc3949ba59abbe56e057f20f883e
.
Tuttavia, poiché i computer sono ora più sofisticati di 10 anni fa, questo hash la password può ora essere facilmente invertita nella sua forma nuda quasi istantaneamente.
PHP ha crittografia nativa dal 5.5 e Se il tuo WordPress è in esecuzione in PHP5.5 o superiore, c'è un comodo plugin chiamato wp-password-bcrypt che ti permette di abbracciare questa utility nativa in PHP.
Installa e attiva il plugin tramite Composer o MU-Plugin. Ri-salva la tua password e sei pronto.
2. Abilitare WordPress.com Protect
La forza bruta è un tentativo di hacking comune in cui gli aggressori tentano di accedere al tuo sito web indovinando numerose possibili password, in genere le parole trovate nel dizionario. Questo è il motivo per cui dovresti impostare una password difficile da indovinare.
Automattic, la gente dietro a WordPress.com, ha acquisito uno dei plugin di WordPress più popolari in grado di contrastare gli attacchi a forza bruta. Si chiama BruteProtect ed è integrato con Jetpack.
In base alla nostra esperienza, ha tremendamente ci ha aiutato combattere gli attacchi di forza bruta più di vicino a un milione volte.
Per ottenerlo, è necessario installare l'ultima versione di Jetpack e collegare il sito Web a WordPress.com. Quindi abilitare il “Proteggere” modulo, e bianco-elenco il proprio indirizzo IP pure.
Ora dovresti sentirti un po 'più sicuro.
3. Nascondi l'URL di accesso
WordPress è molto conosciuto per la pagina di accesso, wp-login.php
. Quindi gli hacker conoscono la pagina esatta per dirigere i loro attacchi di forza bruta. Puoi renderlo più difficile per loro camuffando il tuo URL di accesso a WordPress.
Fortunatamente, ci sono alcuni plugin che forniscono questa utility:
- iThemes Sicurezza
- WPS Nascondi accesso
4. Disabilita “Dimenticare la password”
Il “Dimenticare la password” l'utilità nel modulo di accesso è un modo per gli aggressori, che di solito passano attraverso un'iniezione SQL per ottenere le credenziali di accesso. Se ci sono solo poche persone che hanno accesso all'area di amministrazione, potrebbe essere meglio spegnerla.
Per fare ciò, crea un nuovo caricamento di file: chiamalo forget-password.php
.
Per prima cosa modifichiamo l'URL della password persa:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Rimuovi il link. Sfortunatamente, WordPress non fornisce un vero e proprio hook per farlo in modo ordinato attraverso un add_filter
funzione. Quindi, lo facciamo invece con JavaScript.
function lostpassword_elem ($ page) ?>Infine, reindirizziamo il “Password dimenticata” URL alla schermata di accesso.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Uscita; add_action ('init', 'lostpassword_redirect');5. Abilita HTTPS
HTTPS offre al tuo sito un ulteriore livello di sicurezza con la trasmissione dei dati. Potrebbe anche darti una spinta nelle classifiche di ricerca di Google. E ora puoi ottenere un certificato HTTPS valido gratuito attraverso l'iniziativa comunale Let's Encrypt.
Per i siti Web WordPress è possibile ottenere facilmente a Let's Encrypt certificato con WP Encrypt. Quindi non vi è alcun motivo per cui non dovresti distribuire HTTPS nel tuo sito web oggi.
Avvolgendo
Mi piace lasciarti con il promemoria che nonostante tutti questi tentativi, i nostri siti web potrebbe ancora essere soggetto ad attacchi, hack e ad essere compromesso dagli hacker attraverso mezzi al di là della nostra comprensione Persino grandi aziende come Dropbox e LinkedIn sono preda di minacce alla sicurezza.
Come ultima opzione, ricorda di eseguire regolarmente il backup dei file e del database del tuo sito web quando puoi.