5 เคล็ดลับเพื่อเพิ่มความปลอดภัยให้กับการเข้าสู่ระบบ WordPress ของคุณ
ไม่ว่าเว็บไซต์ของคุณจะมีขนาดเท่าใดการสูญเสียข้อมูลในเว็บไซต์ของคุณหรือไม่สามารถเข้าถึงเว็บไซต์ของคุณเองได้ WordPress ซึ่งมีพลังอำนาจมากกว่า 25% ของเว็บเป็นหนึ่งในเว็บไซต์ที่ตรงเป้าหมายที่สุดสำหรับแฮกเกอร์.
ในโพสต์ก่อนหน้าของเราเราได้แสดงให้คุณเห็น เคล็ดลับและกลวิธีจำนวนหนึ่งที่ครอบคลุมเกือบทุกอย่างแล้วเพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ. ยังคงมีห้องพักสำหรับการปรับปรุงอยู่เสมอ ในโพสต์นี้เราจะมาดูเคล็ดลับเพิ่มเติมอีกสองสามข้อเพื่อช่วยให้คุณสร้างเว็บไซต์ WordPress ของคุณได้ยากขึ้น.
1. การแฮ็ชรหัสผ่าน Bcrypt
WordPress เริ่มต้นในปี 2003 เมื่อ PHP และเว็บโดยทั่วไปยังอยู่ในช่วงแรก ๆ Facebook ยังไม่ได้เปิดตัว PHP ยังไม่มีแม้แต่สถาปัตยกรรม OOP (การเขียนโปรแกรมเชิงวัตถุ) ในตัว; ด้วยเหตุนี้ WordPress จึงสืบทอดมรดกที่ไม่เหมาะในวันนี้ - รวมถึงวิธีการ เข้ารหัส รหัสผ่าน.
WordPress มาจนถึงทุกวันนี้ยังคงใช้ MD5 hashing. โดยพื้นฐานแล้วสิ่งที่ทำให้คุณเปลี่ยนคือ 123456
รหัสผ่านเป็นสิ่งที่ชอบ e10adc3949ba59abbe56e057f20f883e
.
อย่างไรก็ตามเนื่องจากคอมพิวเตอร์ในปัจจุบันมีความซับซ้อนมากกว่าเมื่อ 10 ปีก่อน แฮช ตอนนี้รหัสผ่านสามารถย้อนกลับได้อย่างง่ายดายในรูปแบบเปลือยของมันเกือบจะในทันที.
PHP มี การเข้ารหัสดั้งเดิม ตั้งแต่ 5.5 และถ้า WordPress ของคุณทำงานใน PHP5.5 หรือสูงกว่ามีปลั๊กอินที่มีประโยชน์ที่เรียกว่า wp-password-bcrypt ที่ให้คุณโอบกอดยูทิลิตี้ดั้งเดิมนี้ใน PHP.
ติดตั้งและเปิดใช้งานปลั๊กอินผ่านนักแต่งเพลงหรือผ่าน MU-Plugins บันทึกรหัสผ่านของคุณอีกครั้งและคุณพร้อมแล้ว.
2. เปิดใช้งานการป้องกัน WordPress.com
Brute-force เป็นความพยายามในการแฮ็คทั่วไปที่ผู้โจมตีลองเข้าสู่เว็บไซต์ของคุณโดยการเดารหัสผ่านที่เป็นไปได้จำนวนมากซึ่งโดยทั่วไปมักเป็นคำที่พบในพจนานุกรม นี่คือเหตุผลที่คุณควรตั้งรหัสผ่านที่คาดเดายาก.
Automattic ซึ่งเป็นผู้อยู่เบื้องหลัง WordPress.com ได้รับหนึ่งในปลั๊กอิน WordPress ที่ได้รับความนิยมมากที่สุดที่สามารถตอบโต้การโจมตีที่ดุร้าย เรียกว่า BruteProtect และรวมเข้ากับ Jetpack.
จากประสบการณ์ของเราก็มี ช่วยเราอย่างมาก ต่อสู้กับการโจมตีที่ดุร้ายมากกว่า ใกล้กับล้าน ครั้ง.
ในการรับมันคุณจะต้องติดตั้ง Jetpack เวอร์ชันล่าสุดและเชื่อมต่อเว็บไซต์ของคุณกับ WordPress.com จากนั้นเปิดใช้งาน “ป้องกัน” โมดูลและรายการที่อยู่ IP ของคุณเองเช่นกัน.
ตอนนี้คุณควรรู้สึกปลอดภัยขึ้นอีกเล็กน้อย.
3. ซ่อน URL การเข้าสู่ระบบของคุณ
WordPress เป็นที่รู้จักกันดีสำหรับหน้าเข้าสู่ระบบ, WP-login.php
. แฮ็กเกอร์จึงรู้ว่าหน้าไหนที่จะควบคุมการโจมตีแบบดุร้ายของพวกเขา คุณสามารถทำให้มันยากขึ้นสำหรับพวกเขาโดย ซ่อน URL ล็อกอินของ WordPress.
โชคดีที่มีปลั๊กอินบางตัวที่ให้อรรถประโยชน์นี้:
- ความปลอดภัยของ iThemes
- WPS ซ่อนการเข้าสู่ระบบ
4. ปิดการใช้งาน “ลืมรหัสผ่าน”
“ลืมรหัสผ่าน” ยูทิลิตี้ในรูปแบบการเข้าสู่ระบบเป็นวิธีในการโจมตีที่มักจะผ่านการฉีด SQL เพื่อรับข้อมูลการเข้าสู่ระบบของคุณ หากมีเพียงไม่กี่คนที่สามารถเข้าถึงพื้นที่ผู้ดูแลระบบได้อาจเป็นการดีกว่าที่จะปิด.
หากต้องการทำเช่นนั้นให้สร้างการอัปโหลดไฟล์ใหม่ - ตั้งชื่อ ลืม password.php
.
ก่อนอื่นเราเปลี่ยน URL รหัสผ่านที่หายไป:
ฟังก์ชัน lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
ลบลิงค์ แต่น่าเสียดายที่ WordPress ไม่ได้ขอที่เหมาะสมในการทำสิ่งนี้ผ่านทาง add_filter
ฟังก์ชัน ดังนั้นเราจึงใช้ JavaScript แทน.
ฟังก์ชัน lostpassword_elem ($ page) ?>สุดท้ายเราเปลี่ยนเส้นทาง “ลืมรหัสผ่าน” URL ไปยังหน้าจอเข้าสู่ระบบ.
function lostpassword_redirect () ถ้า (isset ($ _GET ['action'])) ถ้า (in_array ($ _GET ['action'], อาร์เรย์ ('lostpassword', 'เรียกรหัสผ่าน')) wp_redirect ('/ wp-) login.php ', 301); ทางออก; add_action ('init', 'lostpassword_redirect');5. เปิดใช้งาน HTTPS
HTTPS ช่วยเพิ่มความปลอดภัยให้เว็บไซต์ของคุณด้วยการส่งข้อมูล นอกจากนี้ยังอาจช่วยเพิ่มอันดับการค้นหาของ Google และตอนนี้คุณสามารถรับใบรับรอง HTTPS ที่ถูกต้องได้ ฟรี ผ่านความคิดริเริ่มของชุมชน Let's Encrypt.
สำหรับเว็บไซต์ WordPress คุณสามารถได้รับ มาเข้ารหัสกันเถอะ ใบรับรองด้วย WP Encrypt ดังนั้นจึงไม่มีเหตุผลที่คุณไม่ควรปรับใช้ HTTPS ในเว็บไซต์ของคุณในวันนี้.
ห่อ
ฉันแค่อยากจะบอกคุณว่าแม้จะมีความพยายามทั้งหมดเหล่านี้เว็บไซต์ของเรา อาจยังมีการโจมตีแฮ็กและถูกแฮ็กเกอร์ ผ่านวิธีการที่เกินความเข้าใจของเรา แม้แต่ บริษัท ขนาดใหญ่อย่าง Dropbox และ LinkedIn ก็ตกเป็นเหยื่อของภัยคุกคามความปลอดภัย.
เป็นทางเลือกสุดท้าย, อย่าลืมสำรองไฟล์และฐานข้อมูลเว็บไซต์ของคุณเป็นประจำ เมื่อใดก็ตามที่คุณสามารถ.