โฮมเพจ » WordPress » 5 เคล็ดลับเพื่อเพิ่มความปลอดภัยให้กับการเข้าสู่ระบบ WordPress ของคุณ

    5 เคล็ดลับเพื่อเพิ่มความปลอดภัยให้กับการเข้าสู่ระบบ WordPress ของคุณ

    ไม่ว่าเว็บไซต์ของคุณจะมีขนาดเท่าใดการสูญเสียข้อมูลในเว็บไซต์ของคุณหรือไม่สามารถเข้าถึงเว็บไซต์ของคุณเองได้ WordPress ซึ่งมีพลังอำนาจมากกว่า 25% ของเว็บเป็นหนึ่งในเว็บไซต์ที่ตรงเป้าหมายที่สุดสำหรับแฮกเกอร์.

    ในโพสต์ก่อนหน้าของเราเราได้แสดงให้คุณเห็น เคล็ดลับและกลวิธีจำนวนหนึ่งที่ครอบคลุมเกือบทุกอย่างแล้วเพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ. ยังคงมีห้องพักสำหรับการปรับปรุงอยู่เสมอ ในโพสต์นี้เราจะมาดูเคล็ดลับเพิ่มเติมอีกสองสามข้อเพื่อช่วยให้คุณสร้างเว็บไซต์ WordPress ของคุณได้ยากขึ้น.

    1. การแฮ็ชรหัสผ่าน Bcrypt

    WordPress เริ่มต้นในปี 2003 เมื่อ PHP และเว็บโดยทั่วไปยังอยู่ในช่วงแรก ๆ Facebook ยังไม่ได้เปิดตัว PHP ยังไม่มีแม้แต่สถาปัตยกรรม OOP (การเขียนโปรแกรมเชิงวัตถุ) ในตัว; ด้วยเหตุนี้ WordPress จึงสืบทอดมรดกที่ไม่เหมาะในวันนี้ - รวมถึงวิธีการ เข้ารหัส รหัสผ่าน.

    WordPress มาจนถึงทุกวันนี้ยังคงใช้ MD5 hashing. โดยพื้นฐานแล้วสิ่งที่ทำให้คุณเปลี่ยนคือ 123456 รหัสผ่านเป็นสิ่งที่ชอบ e10adc3949ba59abbe56e057f20f883e.

    อย่างไรก็ตามเนื่องจากคอมพิวเตอร์ในปัจจุบันมีความซับซ้อนมากกว่าเมื่อ 10 ปีก่อน แฮช ตอนนี้รหัสผ่านสามารถย้อนกลับได้อย่างง่ายดายในรูปแบบเปลือยของมันเกือบจะในทันที.

    PHP มี การเข้ารหัสดั้งเดิม ตั้งแต่ 5.5 และถ้า WordPress ของคุณทำงานใน PHP5.5 หรือสูงกว่ามีปลั๊กอินที่มีประโยชน์ที่เรียกว่า wp-password-bcrypt ที่ให้คุณโอบกอดยูทิลิตี้ดั้งเดิมนี้ใน PHP.

    ติดตั้งและเปิดใช้งานปลั๊กอินผ่านนักแต่งเพลงหรือผ่าน MU-Plugins บันทึกรหัสผ่านของคุณอีกครั้งและคุณพร้อมแล้ว.

    2. เปิดใช้งานการป้องกัน WordPress.com

    Brute-force เป็นความพยายามในการแฮ็คทั่วไปที่ผู้โจมตีลองเข้าสู่เว็บไซต์ของคุณโดยการเดารหัสผ่านที่เป็นไปได้จำนวนมากซึ่งโดยทั่วไปมักเป็นคำที่พบในพจนานุกรม นี่คือเหตุผลที่คุณควรตั้งรหัสผ่านที่คาดเดายาก.

    Automattic ซึ่งเป็นผู้อยู่เบื้องหลัง WordPress.com ได้รับหนึ่งในปลั๊กอิน WordPress ที่ได้รับความนิยมมากที่สุดที่สามารถตอบโต้การโจมตีที่ดุร้าย เรียกว่า BruteProtect และรวมเข้ากับ Jetpack.

    จากประสบการณ์ของเราก็มี ช่วยเราอย่างมาก ต่อสู้กับการโจมตีที่ดุร้ายมากกว่า ใกล้กับล้าน ครั้ง.

    Jetpack Dashboard Widget รายงานจำนวนการโจมตีและสแปมที่พบ.

    ในการรับมันคุณจะต้องติดตั้ง Jetpack เวอร์ชันล่าสุดและเชื่อมต่อเว็บไซต์ของคุณกับ WordPress.com จากนั้นเปิดใช้งาน “ป้องกัน” โมดูลและรายการที่อยู่ IP ของคุณเองเช่นกัน.

    ตอนนี้คุณควรรู้สึกปลอดภัยขึ้นอีกเล็กน้อย.

    3. ซ่อน URL การเข้าสู่ระบบของคุณ

    WordPress เป็นที่รู้จักกันดีสำหรับหน้าเข้าสู่ระบบ, WP-login.php. แฮ็กเกอร์จึงรู้ว่าหน้าไหนที่จะควบคุมการโจมตีแบบดุร้ายของพวกเขา คุณสามารถทำให้มันยากขึ้นสำหรับพวกเขาโดย ซ่อน URL ล็อกอินของ WordPress.

    โชคดีที่มีปลั๊กอินบางตัวที่ให้อรรถประโยชน์นี้:

    • ความปลอดภัยของ iThemes
    • WPS ซ่อนการเข้าสู่ระบบ

    4. ปิดการใช้งาน “ลืมรหัสผ่าน”

    “ลืมรหัสผ่าน” ยูทิลิตี้ในรูปแบบการเข้าสู่ระบบเป็นวิธีในการโจมตีที่มักจะผ่านการฉีด SQL เพื่อรับข้อมูลการเข้าสู่ระบบของคุณ หากมีเพียงไม่กี่คนที่สามารถเข้าถึงพื้นที่ผู้ดูแลระบบได้อาจเป็นการดีกว่าที่จะปิด.

    หากต้องการทำเช่นนั้นให้สร้างการอัปโหลดไฟล์ใหม่ - ตั้งชื่อ ลืม password.php.

    ก่อนอื่นเราเปลี่ยน URL รหัสผ่านที่หายไป:

     ฟังก์ชัน lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

    ลบลิงค์ แต่น่าเสียดายที่ WordPress ไม่ได้ขอที่เหมาะสมในการทำสิ่งนี้ผ่านทาง add_filter ฟังก์ชัน ดังนั้นเราจึงใช้ JavaScript แทน.

     ฟังก์ชัน lostpassword_elem ($ page) ?>   

    สุดท้ายเราเปลี่ยนเส้นทาง “ลืมรหัสผ่าน” URL ไปยังหน้าจอเข้าสู่ระบบ.

     function lostpassword_redirect () ถ้า (isset ($ _GET ['action'])) ถ้า (in_array ($ _GET ['action'], อาร์เรย์ ('lostpassword', 'เรียกรหัสผ่าน')) wp_redirect ('/ wp-) login.php ', 301); ทางออก;  add_action ('init', 'lostpassword_redirect'); 

    5. เปิดใช้งาน HTTPS

    HTTPS ช่วยเพิ่มความปลอดภัยให้เว็บไซต์ของคุณด้วยการส่งข้อมูล นอกจากนี้ยังอาจช่วยเพิ่มอันดับการค้นหาของ Google และตอนนี้คุณสามารถรับใบรับรอง HTTPS ที่ถูกต้องได้ ฟรี ผ่านความคิดริเริ่มของชุมชน Let's Encrypt.

    สำหรับเว็บไซต์ WordPress คุณสามารถได้รับ มาเข้ารหัสกันเถอะ ใบรับรองด้วย WP Encrypt ดังนั้นจึงไม่มีเหตุผลที่คุณไม่ควรปรับใช้ HTTPS ในเว็บไซต์ของคุณในวันนี้.

    ห่อ

    ฉันแค่อยากจะบอกคุณว่าแม้จะมีความพยายามทั้งหมดเหล่านี้เว็บไซต์ของเรา อาจยังมีการโจมตีแฮ็กและถูกแฮ็กเกอร์ ผ่านวิธีการที่เกินความเข้าใจของเรา แม้แต่ บริษัท ขนาดใหญ่อย่าง Dropbox และ LinkedIn ก็ตกเป็นเหยื่อของภัยคุกคามความปลอดภัย.

    เป็นทางเลือกสุดท้าย, อย่าลืมสำรองไฟล์และฐานข้อมูลเว็บไซต์ของคุณเป็นประจำ เมื่อใดก็ตามที่คุณสามารถ.