5 Kroki na bezpieczną stronę logowania WordPress

Artykuł napisany przez:
  • WordPress
  • Zaktualizowano: Jun 19, 2019

Zabezpieczenie strony logowania nie może być wykonane za pomocą żadnej konkretnej techniki, ale z pewnością są kroki i darmowe wtyczki bezpieczeństwa możesz podjąć się, aby wszelkie ataki były znacznie mniej prawdopodobne.

Strona logowania Twojej witryny jest z pewnością jedną z bardziej narażonych stron na Twojej stronie, więc zacznijmy od uczynienia twojej strony logowania do WordPressa trochę bardziej bezpieczną.

1. Użyj silnego hasła i dziwnej nazwy użytkownika

Brute wymuszanie stron logowania jest jedną z najczęstszych form ataków internetowych, które mogą napotkać Twoją witrynę. Jeśli masz łatwe do odgadnięcia hasło lub nazwę użytkownika, twoja strona będzie prawie na pewno nie tylko celem, ale ostatecznie ofiarą.

Dane powitalne skompilował listę często używanych haseł dla 2014.

Hasło według kategorii w kategoriach użytkowania.

  1. 123456
  2. hasło
  3. 12345
  4. 12345678
  5. qwerty
  6. 123456789
  7. 1234
  8. baseball
  9. smok
  10. piłka nożna

Jeśli użyjesz jednego z tych haseł, a Twoja witryna otrzyma jakikolwiek ruch, Twoja strona będzie prawie na pewno wcześniej czy później usunięta.

Używaj silnych haseł i nietypowych nazw użytkowników. Wcześniej w WordPressie trzeba było zacząć od domyślnej nazwy administratora, ale już tak nie jest. Jednak większość nowych administratorów sieci używa domyślnej nazwy użytkownika i musi zmienić swoją nazwę użytkownika. Możesz użyć Admin Renamer Extended zmienić swoją nazwę użytkownika admin.

Dzięki wtyczkom bezpieczeństwa możesz łatwo wymusić silne hasła dla wszystkich użytkowników. Nie chciałbyś, żeby ktoś z dostępem do poziomu redaktora korzystał teraz ze słabych haseł, prawda? Znacznie zagraża twojemu bezpieczeństwu.

Użyj losowego narzędzia generatora haseł dostępnego w trybie online Bezpieczny generator haseł or Norton's Password Generator or LastPass. Wszystkie z nich można swobodnie używać.

Jeśli masz trudności z zapamiętywaniem swoich haseł, możesz użyć KeePass Password Safe or Kierownik haseł Dashlane'a.

2. Ukryj stronę logowania i stronę Wp-Admin

Haker musi znaleźć stronę logowania, jeśli chce brutalna siła strona logowania, aby uzyskać dostęp. Można temu zapobiec, wykorzystując to, co niektórzy nazywają bezpieczeństwem poprzez niejasność, pomysł, że ukrycie strony logowania będzie cię chronić, ponieważ atakujący nie może zidentyfikować potencjalnego punktu wejścia. Twoja strona byłaby odpowiednikiem banku bez drzwi lub innego publicznego punktu dostępu.

Większość stron internetowych WordPress posiada punkt logowania na yourwebsite.com/login.php.

Spróbuj wpisać webhostingsecretrevealed.net/login.php w pasku adresu przeglądarki. Nie działa, prawda? Ponieważ nie istnieje. Wpis logowania dla WHSR znajduje się na innym adresie URL.

Podobnie możesz zmienić punkt dostępu na swojej stronie internetowej na inny. Zasadniczo my zmień adres URL strony logowania.

ProtectYourAdmin

Podobnie do strony login.php istnieje katalog wp-admin, który również musi być chroniony. Jest to dość łatwe do zrobienia z jedną z dwóch wtyczek - WPS Hide Login i Chroń swojego administratora.

3. SSL

SSL lub Secure Socket Layer to dodatkowa warstwa bezpieczeństwa, która sprawia, że ​​wszelkie informacje wysyłane i odbierane między przeglądarką a serwerem są nieczytelne. Gdyby ktoś przechwycił informację, nie byłby w stanie jej przeczytać i nie miałoby to sensu.

Protokół SSL jest zawsze używany w przypadku portali transakcji finansowych oraz w przypadku udostępniania wszelkich poufnych informacji. Witryny internetowe przechowują mnóstwo informacji o użytkownikach, a protokół SSL pomaga chronić te informacje.

Podobnie protokół SSL działa na stronach logowania, znacznie ułatwiając proces komunikacji w przeglądarce z serwerem.

SimpleSSl

Dla indywidualnych blogerów i małych firm darmowy, współdzielony SSL - który zazwyczaj można uzyskać od dostawcy usług hostingowych, Szyfrowanie LET'Slub CloudFlare - jest zazwyczaj więcej niż wystarczająco dobry.

Dla firm, które przetwarzają płatności klientów - najlepiej, że ty kup dedykowany certyfikat SSL z hosta internetowego lub urzędu certyfikacji (CA). Naprawdę prosty SSL i WP Force SSL oba pomagają skonfigurować SSL w witrynie po zakupie certyfikatu SSL.

4. Ograniczenie liczby prób logowania

Jest to niesamowicie prosta technika zatrzymywania ataków typu brute force na swoją stronę logowania bezpośrednio na ich śladach. Atak brute force działa, próbując uzyskać nazwę użytkownika i hasło, próbując wielokrotnie kombinować wiele kombinacji.

Jeśli śledzony jest konkretny adres IP, który atakuje, możesz zablokować powtarzające się próby wymuszenia i zachować bezpieczeństwo witryny. Z tego też powodu globalne ataki DDoS występują z wieloma adresami IP o różnym pochodzeniu ataku, aby zrzucić usługi hostingu i ochronę strony internetowej.

LogowanieLockdown

Zaloguj Lockdown i Login Rozwiązanie bezpieczeństwa oba oferują świetne rozwiązania, aby chronić strony logowania do witryny. Śledzą adresy IP i ograniczają liczbę prób logowania w celu ochrony witryny.

5. Uwierzytelnianie dwuskładnikowe

Google Authenticator to wtyczka WordPress działająca za pośrednictwem aplikacji zainstalowanej na Twoim urządzeniu z Androidem / iPhone'ie / Blackberry. Wtyczka generuje kod QR, który możesz skanować za pomocą urządzenia mobilnego lub możesz wprowadzić tajny kod ręcznie.

AuthCode

Twój login wymaga kodu uwierzytelniającego wygenerowanego na urządzeniu mobilnym do logowania. Wtyczka może być używana dla każdego użytkownika i nie jest zalecana dla użytkowników z mniejszymi uprawnieniami. Biorąc pod uwagę, że jest wysoce nieprawdopodobne, aby haker miał fizyczny dostęp do urządzenia mobilnego, strona logowania na twoją stronę będzie bardzo bezpieczna (zakładając, że nie ma innych luk).

Dodatkowe zabezpieczenia

Omówiliśmy ukrywanie / zmianę nazwy strony logowania i katalogu wp-admin, włączanie SSL na stronach logowania, używanie uwierzytelniania dwuskładnikowego, ograniczanie prób logowania i używanie silnych haseł i nietypowych nazw użytkowników. Należy również pamiętać, że niektóre hosty sieci Web upoważniają niektóre z tych praktyk bezpieczeństwa do korzystania z nich.

Jeśli chcesz, możesz także użyć pełnoprawnej wtyczki bezpieczeństwa, takiej jak iThemes Bezpieczeństwo or Wordfence które oferują wiele funkcji ochrony logowania oprócz ogólnych zabezpieczeń witryny WordPress.

Żaden artykuł zabezpieczający WordPressa nie jest kompletny bez wspominania, że ​​bezpieczeństwo zawsze może zostać naruszone. Planuj z wyprzedzeniem i twórz kopie zapasowe swojej witryny za pomocą bezpłatnego narzędzia takiego jak Updraft Plus lub dostawcą rozwiązań premium, takich jak VaultPress or BackUp Buddy.

Mam nadzieję, że artykuł był pomocny i uczynił twoją stronę nieco bezpieczniejszą.

O Wisznu

Vishnu jest niezależnym pisarzem w nocy, pracuje jako analityk danych w ciągu dnia.