Các bước 5 đến trang đăng nhập bảo mật WordPress

Bài viết được viết bởi:
  • WordPress
  • Cập nhật: Tháng mười 17, 2019

Bảo vệ trang đăng nhập của bạn không thể được thực hiện bằng bất kỳ một kỹ thuật cụ thể nào, nhưng chắc chắn có các bước và plugin bảo mật miễn phí bạn có thể thực hiện để thực hiện bất kỳ cuộc tấn công nào ít có khả năng thành công.

Trang đăng nhập trang web của bạn chắc chắn là một trong những trang dễ bị tổn thương hơn trên trang web của bạn, vì vậy hãy bắt đầu làm cho trang đăng nhập trang web WordPress của bạn an toàn hơn một chút.

KHAI THÁC. Sử dụng mật khẩu mạnh và tên người dùng lạ

Brute buộc các trang đăng nhập là một trong những dạng tấn công web phổ biến mà trang web của bạn có khả năng gặp phải. Nếu bạn có mật khẩu hoặc tên người dùng dễ đoán, trang web của bạn gần như chắc chắn sẽ không chỉ là mục tiêu mà cuối cùng là nạn nhân.

Dữ liệu Splash biên soạn một danh sách các mật khẩu thường được sử dụng cho 2014.

Mật khẩu theo thứ hạng về mặt sử dụng.

  1. 123456
  2. mật khẩu
  3. 12345
  4. 12345678
  5. qwerty
  6. 123456789
  7. 1234
  8. bóng chày
  9. con rồng
  10. bóng đá

Nếu bạn sử dụng một trong các mật khẩu đó và trang web của bạn nhận được bất kỳ lưu lượng truy cập nào, trang web của bạn gần như chắc chắn sẽ bị gỡ xuống sớm hay muộn.

Sử dụng mật khẩu mạnh và tên người dùng bất thường. Trước đây với WordPress, bạn phải bắt đầu với tên người dùng quản trị mặc định, nhưng điều đó không còn nữa. Tuy nhiên, hầu hết quản trị viên web mới sử dụng tên người dùng mặc định và cần thay đổi tên người dùng của họ. Bạn có thể dùng Quản trị viên Renamer mở rộng để thay đổi tên người dùng quản trị của bạn.

Với các plugin bảo mật, bạn có thể dễ dàng thực thi các mật khẩu mạnh trên tất cả người dùng của mình. Bạn sẽ không muốn ai đó có quyền truy cập cấp biên tập viên sử dụng mật khẩu yếu bây giờ chứ? Nó làm tổn hại đến an ninh của bạn rất nhiều.

Sử dụng công cụ tạo mật khẩu ngẫu nhiên có sẵn trực tuyến như Trình tạo mật khẩu an toàn or Trình tạo mật khẩu của Norton or LastPass. Tất cả đều miễn phí.

Nếu bạn gặp khó khăn khi nhớ mật khẩu của mình, bạn có thể sử dụng KeePass Mật khẩu an toàn or Trình quản lý mật khẩu của Dashlane.

KHAI THÁC. Ẩn trang đăng nhập và trang quản trị Wp

Một hacker cần tìm trang đăng nhập của bạn, nếu người đó có ý định bạo lực trang đăng nhập để có quyền truy cập. Bạn có thể ngăn chặn điều này bằng cách sử dụng những gì một số cuộc gọi bảo mật thông qua che khuất, ý tưởng rằng việc ẩn trang đăng nhập của bạn sẽ bảo vệ bạn, vì kẻ tấn công không thể xác định được một điểm tiềm năng. Trang web của bạn sẽ tương đương với một ngân hàng không có cửa hoặc bất kỳ điểm truy cập công cộng nào khác.

Hầu hết các trang web WordPress đều có điểm vào đăng nhập tại yourwebsite.com/login.php.

Hãy thử gõ webhostingsecretreveal.net/login.php vào thanh địa chỉ trình duyệt của bạn. Không hoạt động, phải không? Bởi vì nó không tồn tại. Mục đăng nhập cho WHSR được đặt trên một URL khác.

Tương tự, bạn có thể thay đổi điểm truy cập trên trang web của bạn sang một thứ khác. Chủ yếu là chúng tôi thay đổi URL trang đăng nhập.

ProtectYourAdmin

Tương tự như trang login.php, có thư mục wp-admin cũng cần được bảo vệ. Nó là khá dễ dàng để làm với một trong hai plugin - Đăng nhập ẩn WPSBảo vệ quản trị viên của bạn.

KHAI THÁC. SSL

SSL hoặc Lớp cổng bảo mật là một lớp bảo mật bổ sung, làm cho bất kỳ thông tin nào bạn gửi và nhận giữa trình duyệt và máy chủ của bạn không thể đọc được. Nếu ai đó chặn thông tin, họ sẽ không thể đọc được và nó sẽ không có ý nghĩa gì.

SSL luôn được sử dụng cho các cổng giao dịch tài chính và bất cứ khi nào có bất kỳ thông tin nhạy cảm nào được chia sẻ. Trang web lưu trữ rất nhiều thông tin về người dùng và SSL giúp giữ cho thông tin đó an toàn.

Tương tự, SSL hoạt động trên các trang đăng nhập bằng cách làm cho trình duyệt tới quy trình giao tiếp máy chủ an toàn hơn rất nhiều.

SimpleSSl

Đối với các blogger cá nhân và doanh nghiệp nhỏ, SSL miễn phí, được chia sẻ - mà bạn thường có thể nhận được từ nhà cung cấp dịch vụ lưu trữ của mình, Hãy mã hóa, hoặc là CloudFlare - thường là nhiều hơn đủ tốt.

Đối với các doanh nghiệp xử lý thanh toán của khách hàng - tốt nhất là bạn mua chứng chỉ SSL chuyên dụng từ máy chủ web của bạn hoặc cơ quan cấp chứng chỉ (CA). Thực sự đơn giản SSLWP Force SSL cả hai đều giúp bạn thiết lập SSL trên trang web của mình, sau khi bạn đã mua chứng chỉ SSL.

KHAI THÁC. Giới hạn số lần thử đăng nhập

Đây là một kỹ thuật cực kỳ đơn giản để ngăn chặn các cuộc tấn công bạo lực trên trang đăng nhập của bạn ngay trong bài hát của họ. Một cuộc tấn công bạo lực làm việc bằng cách cố gắng để có được tên người dùng và mật khẩu của bạn ngay bằng cách thử nhiều kết hợp hơn và hơn.

Nếu IP cụ thể đang thực hiện cuộc tấn công được theo dõi, thì bạn có thể chặn các cuộc tấn công lặp đi lặp lại gây ra các nỗ lực và giữ an toàn cho trang web của bạn. Đây cũng là lý do tại sao các cuộc tấn công DDOS toàn cầu xảy ra với nhiều địa chỉ IP có nguồn gốc tấn công khác nhau, để ném các dịch vụ lưu trữ và bảo mật trang web không được bảo vệ.

LoginLockdown

Login LockdownGiải pháp đăng nhập an ninh cả hai đều cung cấp các giải pháp tuyệt vời để bảo vệ các trang đăng nhập của trang web của bạn. Họ theo dõi địa chỉ IP và giới hạn số lần thử đăng nhập để bảo vệ trang web của bạn.

KHAI THÁC. Xác thực hai yếu tố

Google Authenticator là một plugin WordPress hoạt động thông qua một ứng dụng được cài đặt trên Android / iPhone / Blackberry của bạn. Plugin tạo mã QR mà bạn có thể quét bằng thiết bị di động của mình hoặc bạn có thể nhập mã bí mật theo cách thủ công.

AuthCode

Đăng nhập của bạn sẽ yêu cầu mã xác thực được tạo trên thiết bị di động của bạn để đăng nhập. Plugin có thể được sử dụng cho người dùng theo cơ sở người dùng và không được khuyến nghị cho người dùng sẽ ít đặc quyền hơn. Vì rất khó có khả năng hacker có quyền truy cập vật lý vào thiết bị di động của bạn, trang đăng nhập trang web của bạn sẽ thực sự rất an toàn (giả sử không có lỗ hổng nào khác).

Bảo mật bổ sung

Chúng tôi đã thảo luận về việc ẩn / đổi tên trang đăng nhập và thư mục wp-admin, cho phép SSL trên các trang đăng nhập, sử dụng xác thực hai yếu tố, hạn chế các lần thử đăng nhập và sử dụng mật khẩu mạnh và tên người dùng bất thường. Bạn cũng nên lưu ý rằng một số máy chủ web bắt buộc một số thực tiễn bảo mật này đối với người dùng của họ.

Nếu bạn muốn, bạn cũng có thể sử dụng một plugin bảo mật chính thức đầy đủ như iThemes an or Wordfence cung cấp nhiều tính năng bảo vệ đăng nhập ngoài các biện pháp bảo mật trang web WordPress tổng thể.

Không Bài viết bảo mật WordPress là hoàn thành mà không đề cập đến việc bảo mật luôn có thể bị xâm phạm. Lập kế hoạch trước và sao lưu trang web của bạn với một công cụ miễn phí như Updraft Plus hoặc nhà cung cấp giải pháp cao cấp như VaultPress or BackUp Buddy.

Tôi hy vọng bài viết hữu ích và giúp trang web của bạn an toàn hơn một chút.

Về Vishnu

Vishnu là một nhà văn tự do vào ban đêm, làm việc như một nhà phân tích dữ liệu theo ngày.

Kết nối: