5 Kroki na bezpieczną stronę logowania WordPress

Artykuł napisany przez:
  • WordPress
  • Zaktualizowano: Oct 17, 2019

Zabezpieczenie strony logowania nie może być wykonane za pomocą żadnej konkretnej techniki, ale z pewnością są kroki i darmowe wtyczki bezpieczeństwa możesz podjąć się, aby wszelkie ataki były znacznie mniej prawdopodobne.

Strona logowania do Twojej witryny jest z pewnością jedną z najbardziej narażonych stron w Twojej witrynie, więc zacznijmy od uczynienia strony logowania do witryny WordPress nieco bardziej bezpieczną.

1. Użyj silnego hasła i dziwnej nazwy użytkownika

Brute wymuszanie stron logowania jest jedną z najczęstszych form ataków internetowych, które mogą napotkać Twoją witrynę. Jeśli masz łatwe do odgadnięcia hasło lub nazwę użytkownika, twoja strona będzie prawie na pewno nie tylko celem, ale ostatecznie ofiarą.

Dane powitalne skompilował listę często używanych haseł dla 2014.

Hasło według kategorii w kategoriach użytkowania.

  1. 123456
  2. hasło
  3. 12345
  4. 12345678
  5. qwerty
  6. 123456789
  7. 1234
  8. baseball
  9. smok
  10. piłka nożna

Jeśli użyjesz jednego z tych haseł, a Twoja witryna otrzyma jakikolwiek ruch, Twoja strona będzie prawie na pewno wcześniej czy później usunięta.

Używaj silnych haseł i nietypowych nazw użytkowników. Wcześniej w WordPressie trzeba było zacząć od domyślnej nazwy administratora, ale już tak nie jest. Jednak większość nowych administratorów sieci używa domyślnej nazwy użytkownika i musi zmienić swoją nazwę użytkownika. Możesz użyć Admin Renamer Extended zmienić swoją nazwę użytkownika admin.

Dzięki wtyczkom bezpieczeństwa możesz łatwo wymusić silne hasła dla wszystkich użytkowników. Nie chciałbyś, żeby ktoś z dostępem na poziomie edytora używał teraz słabych haseł, prawda? Znacznie zagraża to Twojemu bezpieczeństwu.

Użyj losowego narzędzia generatora haseł dostępnego w trybie online Bezpieczny generator haseł or Generator haseł Nortona or LastPass. Wszystkie z nich można swobodnie używać.

Jeśli masz trudności z zapamiętywaniem swoich haseł, możesz użyć KeePass Password Safe or Menedżer haseł Dashlane.

2. Ukryj stronę logowania i stronę Wp-Admin

Haker musi znaleźć stronę logowania, jeśli chce brutalna siła strona logowania, aby uzyskać dostęp. Można temu zapobiec, wykorzystując to, co niektórzy nazywają bezpieczeństwem poprzez niejasność, pomysł, że ukrycie strony logowania będzie cię chronić, ponieważ atakujący nie może zidentyfikować potencjalnego punktu wejścia. Twoja strona byłaby odpowiednikiem banku bez drzwi lub innego publicznego punktu dostępu.

Większość stron internetowych WordPress posiada punkt logowania na yourwebsite.com/login.php.

Spróbuj wpisać webhostingsecretrevealed.net/login.php w pasku adresu przeglądarki. Nie działa, prawda? Ponieważ to nie istnieje. Wpis logowania dla WHSR znajduje się na innym adresie URL.

Podobnie możesz zmienić punkt dostępu na swojej stronie internetowej na inny. Zasadniczo my zmień adres URL strony logowania.

ProtectYourAdmin

Podobnie do strony login.php istnieje katalog wp-admin, który również musi być chroniony. Jest to dość łatwe do zrobienia z jedną z dwóch wtyczek - WPS Hide Login i Chroń swojego administratora.

3. SSL

SSL lub Secure Socket Layer to dodatkowa warstwa bezpieczeństwa, która sprawia, że ​​wszelkie informacje wysyłane i odbierane między przeglądarką a serwerem są nieczytelne. Gdyby ktoś przechwycił informacje, nie byłby w stanie ich odczytać i nie miałoby to żadnego sensu.

Protokół SSL jest zawsze używany w przypadku portali transakcji finansowych oraz w przypadku udostępniania wszelkich poufnych informacji. Witryny internetowe przechowują mnóstwo informacji o użytkownikach, a protokół SSL pomaga chronić te informacje.

Podobnie protokół SSL działa na stronach logowania, znacznie ułatwiając proces komunikacji w przeglądarce z serwerem.

SimpleSSl

Dla indywidualnych blogerów i małych firm darmowy, współdzielony SSL - który zazwyczaj można uzyskać od dostawcy usług hostingowych, Szyfrujmylub CloudFlare - jest zazwyczaj więcej niż wystarczająco dobry.

Dla firm przetwarzających płatności klientów - najlepiej, że Ty kup dedykowany certyfikat SSL z hosta internetowego lub urzędu certyfikacji (CA). Naprawdę prosty SSL i WP Force SSL oba pomagają skonfigurować SSL w Twojej witrynie po zakupie certyfikatu SSL.

4. Ograniczenie liczby prób logowania

Jest to niesamowicie prosta technika zatrzymywania ataków typu brute force na swoją stronę logowania bezpośrednio na ich śladach. Atak brute force działa, próbując uzyskać nazwę użytkownika i hasło, próbując wielokrotnie kombinować wiele kombinacji.

Jeśli śledzony jest konkretny adres IP, który atakuje, możesz zablokować powtarzające się próby wymuszenia i zachować bezpieczeństwo witryny. Z tego też powodu globalne ataki DDoS występują z wieloma adresami IP o różnym pochodzeniu ataku, aby zrzucić usługi hostingu i ochronę strony internetowej.

LogowanieLockdown

Zaloguj Lockdown i Login Rozwiązanie bezpieczeństwa oba oferują świetne rozwiązania do ochrony stron logowania do Twojej witryny. Śledzą adresy IP i ograniczają liczbę prób logowania w celu ochrony Twojej witryny.

5. Uwierzytelnianie dwuskładnikowe

Google Authenticator to wtyczka WordPress działająca za pośrednictwem aplikacji zainstalowanej na Twoim urządzeniu z Androidem / iPhone'ie / Blackberry. Wtyczka generuje kod QR, który możesz skanować za pomocą urządzenia mobilnego lub możesz wprowadzić tajny kod ręcznie.

AuthCode

Twój login będzie wymagał kodu uwierzytelniającego, który jest generowany na twoim urządzeniu mobilnym do logowania. Wtyczka może być używana dla poszczególnych użytkowników i nie jest zalecana dla użytkowników, którzy będą mieli mniejsze uprawnienia. Biorąc pod uwagę, że jest mało prawdopodobne, aby haker miał jakikolwiek fizyczny dostęp do twojego urządzenia mobilnego, strona logowania do Twojej witryny będzie naprawdę bardzo bezpieczna (zakładając, że nie ma innych luk).

Dodatkowe zabezpieczenia

Omówiliśmy ukrywanie / zmianę nazwy strony logowania i katalogu wp-admin, włączanie protokołu SSL na stronach logowania, stosowanie uwierzytelniania dwuskładnikowego, ograniczanie prób logowania oraz stosowanie silnych haseł i nietypowych nazw użytkowników. Należy również pamiętać, że niektóre hosty wymagają od użytkowników niektórych z tych praktyk bezpieczeństwa.

Jeśli chcesz, możesz również użyć pełnoprawnej wtyczki bezpieczeństwa, takiej jak iThemes Bezpieczeństwo or Wordfence które oferują wiele funkcji ochrony logowania oprócz ogólnych zabezpieczeń witryny WordPress.

Nie Artykuł dotyczący bezpieczeństwa WordPress jest kompletny, nie wspominając, że bezpieczeństwo zawsze może być zagrożone. Zaplanuj z wyprzedzeniem i wykonaj kopię zapasową witryny za pomocą bezpłatnego narzędzia, takiego jak Updraft Plus lub dostawcą rozwiązań premium, takich jak VaultPress or BackUp Buddy.

Mam nadzieję, że artykuł był pomocny i uczynił twoją stronę nieco bezpieczniejszą.

O Wisznu

Vishnu jest niezależnym pisarzem w nocy, pracuje jako analityk danych w ciągu dnia.