Шаги 5 для безопасной страницы входа в WordPress

Статья написана:
  • WordPress
  • Обновлено: Jun 19, 2019

Защита вашей страницы входа не может быть достигнута каким-либо конкретным способом, но, безусловно, есть шаги и бесплатные плагины безопасности Вы можете предпринять любые атаки, которые с меньшей вероятностью будут успешными.

Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной.

1. Используйте надежный пароль и странное имя пользователя

Brute forcing login pages является одной из распространенных форм веб-атак, с которыми может столкнуться ваш веб-сайт. Если у вас есть простой способ угадать пароль или имя пользователя, ваш сайт почти наверняка будет не просто целью, а в конечном итоге жертвой.

Всплеск данных скомпилировал список часто используемых паролей для 2014.

Пароль по рангу с точки зрения использования.

  1. 123456
  2. пароль,
  3. 12345
  4. 12345678
  5. БУКВ
  6. 123456789
  7. 1234
  8. бейсбол
  9. дракон
  10. футбол

Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.

Используйте надежные пароли и необычные имена пользователей. Раньше с WordPress вам приходилось начинать с имени пользователя admin по умолчанию, но это уже не так. Тем не менее, большинство новых веб-админов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Ты можешь использовать Admin Renamer Extended для изменения имени администратора.

С плагинами безопасности вы можете легко обеспечить надежные пароли для всех ваших пользователей. Вы бы не хотели, чтобы кто-то с доступом на уровне редактора к использованию слабых паролей теперь, не так ли? Это значительно снижает вашу безопасность.

Используйте рандомизированный инструмент для генерации пароля, доступный в Интернете, например Защитный генератор паролей or Генератор паролей Norton or LastPass, Все они свободны в использовании.

Если у вас возникли трудности с запоминанием ваших паролей, вы можете использовать Безопасность паролей KeePass or Менеджер паролей Dashlane.

2. Скрыть страницу входа и страницу Wp-Admin

Хакер должен найти вашу страницу входа, если он или она намеревается грубая сила страница входа, чтобы получить доступ. Вы можете предотвратить это, используя то, что некоторые называют безопасностью из-за неясности, идея о том, что сокрытие вашей страницы входа защитит вас, поскольку злоумышленник не может определить потенциальную точку входа. Ваш веб-сайт будет эквивалентом банка без двери или любой другой общедоступной точки доступа.

На большинстве веб-сайтов WordPress есть точка входа в систему на yourwebsite.com/login.php.

Попробуйте ввести webhostingsecretrevealed.net/login.php в адресную строку вашего браузера. Не работает, не так ли? Потому что его не существует. Вход в систему для WHSR находится по другому URL.

Точно так же вы можете изменить точку доступа на вашем сайте на другую. По сути мы изменить URL страницы входа.

ProtectYourAdmin

Как и на странице login.php, существует каталог wp-admin, который также необходимо защитить. Это довольно легко сделать с одним из двух плагинов - WPS Hide Login Защитите свой админ.

3. SSL

SSL или Secure Socket Layer - это дополнительный уровень безопасности, который делает любую информацию, которую вы отправляете и получаете между вашим браузером и сервером, нечитаемой. Если кто-то перехватит информацию, он не сможет ее прочитать, и в этом не будет никакого смысла.

SSL всегда используется для порталов финансовых транзакций и всякий раз, когда делится конфиденциальная информация. Веб-сайты хранят большую информацию о пользователях и SSL, чтобы обеспечить безопасность этой информации.

Аналогично, SSL работает на страницах входа, делая процесс взаимодействия с сервером на сервере намного более безопасным.

SimpleSSl

Для отдельных блоггеров и малого бизнеса - бесплатный общий SSL - который вы обычно можете получить у своего хостинг-провайдера, Давайте шифровать или CloudFlare - обычно более чем достаточно.

Для предприятий, которые обрабатывают платежи клиентов - лучше, чтобы вы купить выделенный сертификат SSL от вашего веб-хостинга или центра сертификации (CA). Действительно простой SSL WP Force SSL оба помогут вам настроить SSL на своем веб-сайте, как только вы приобрели сертификат SSL.

4. Ограничение количества попыток входа

Это один из невероятно простых способов остановить атаки грубой силы на странице входа в систему. Атака грубой силы работает, пытаясь получить ваше имя пользователя и пароль, повторив несколько комбинаций снова и снова.

Если определенный IP-адрес, который совершает атаку, отслеживается, вы можете заблокировать повторные попытки принудительного форматирования и обеспечить безопасность своего сайта. Это также связано с тем, что глобальные атаки DDOS происходят с несколькими IP-адресами с различным происхождением атаки, чтобы отбросить услуги хостинга и безопасность веб-сайта.

LoginLockdown

Войти LockDown Решение Логин безопасности оба предлагают отличные решения для защиты страниц входа в ваш сайт. Они отслеживают IP-адреса и ограничивают количество попыток входа в систему для защиты вашего веб-сайта.

5. Двухфакторная аутентификация

Google Authenticator это плагин WordPress, который работает через приложение, установленное на вашем Android / iPhone / Blackberry. Плагин генерирует QR-код, который вы можете сканировать с помощью мобильного устройства, или вы можете ввести секретный код вручную.

Код авторизации

Для входа в систему вам потребуется код аутентификации, который создается на вашем мобильном устройстве для входа. Плагин может использоваться пользователем по принципу пользователя и не рекомендуется для пользователей получать меньше привилегий. Учитывая, что маловероятно, что хакер имеет физический доступ к вашему мобильному устройству, страница входа в ваш веб-сайт будет очень надежной (если нет других уязвимостей).

Дополнительная безопасность

Мы обсудили скрытие / переименование страницы входа и wp-admin, включение SSL на страницах входа, использование двухфакторной аутентификации, ограничение попыток входа в систему и использование надежных паролей и необычных имен пользователей. Вы также должны знать, что некоторые веб-хосты предоставляют некоторые из этих методов безопасности для своих пользователей.

Если вы хотите, вы также можете использовать полноценный плагин безопасности, например iThemes безопасности or Wordfence которые предлагают множество функций защиты входа в дополнение к общим мерам безопасности сайта WordPress.

Нет статьи безопасности WordPress, без упоминания о том, что безопасность всегда может быть скомпрометирована. Планируйте заранее и создайте резервную копию своего веб-сайта с помощью бесплатного инструмента, такого как Обновление или поставщик решений премиум-класса, например VaultPress or BackUp Buddy.

Я надеюсь, что статья была полезна и сделала ваш сайт более безопасным.

О Вишну

Вишну - внештатный писатель ночью, который работает аналитиком данных днем.

Подключение: