- 1. Використовуйте надійний пароль і дивне ім'я користувача
- 2. Приховати сторінку входу і сторінку Wp-Admin
- 3. SSL
- 4. Обмеження кількості спроб входу
- 5. Двухфакторная аутентифікація
- Додаткова безпека
Захист вашої сторінки входу не може бути досягнута будь-яким конкретним способом, але, безумовно, є кроки і безкоштовні плагіни безпеки Ви можете зробити будь-які атаки, які з меншою ймовірністю будуть успішними.
Сторінка входу на ваш сайт, безумовно, є однією з найбільш уразливих сторінок вашого сайту, тому давайте почнемо з того, щоб зробити вашу сторінку входу на WordPress трохи більш безпечною.
1. Використовуйте надійний пароль і дивне ім'я користувача
Brute forcing login pages є однією з поширених форм веб-атак, з якими може зіткнутися ваш веб-сайт. Якщо у вас є простий спосіб вгадати пароль або ім'я користувача, ваш сайт майже напевно буде не просто метою, а в кінцевому підсумку жертвою.
сплеск даних скомпілював список часто використовуваних паролів для 2014.
Пароль за рангом з точки зору використання.
- 123456
- пароль,
- 12345
- 12345678
- ЛІТЕР
- 123456789
- тисячу двісті тридцять чотири
- бейсбол
- дракон
- Футбол
Якщо ви використовуєте один з цих паролів, і ваш веб-сайт отримує будь-якої трафік, ваш веб-сайт майже напевно буде знесений рано чи пізно.
Використовуйте надійні паролі і незвичайні імена користувачів. Раніше з WordPress вам доводилося починати з імені користувача admin за замовчуванням, але це вже не так. Тим не менше, більшість нових веб-адмінів використовують ім'я користувача за замовчуванням і повинні змінити своє ім'я користувача. Ти можеш використовувати Admin Renamer Extended для зміни імені адміністратора.
З плагінами безпеки ви можете легко забезпечити надійні паролі для всіх ваших користувачів. Ви б не хотіли, щоб хтось з доступом на рівні редактора до використання слабких паролів тепер, чи не так? Це значно знижує вашу безпеку.
Використовуйте рандомізований інструмент для генерації пароля, доступний в Інтернеті, наприклад Захисний генератор паролів or Генератор паролів Norton or LastPass , Всі вони вільні у використанні.
Якщо у вас виникли труднощі із запам'ятовуванням ваших паролів, ви можете використовувати Безпека паролів KeePass or Менеджер паролів Dashlane .
2. Приховати сторінку входу і сторінку Wp-Admin
Хакер повинен знайти вашу сторінку входу, якщо він або вона має намір груба сила сторінка входу, щоб отримати доступ. Ви можете запобігти цьому, використовуючи те, що деякі називають безпекою через неясність, ідея про те, що приховування вашої сторінки входу захистить вас, оскільки зловмисник не може визначити потенційну точку входу. Ваш веб-сайт буде еквівалентом банку без дверей або будь-який інший загальнодоступною точки доступу.
На більшості веб-сайтів WordPress є точка входу в систему на yourwebsite.com/login.php.
Спробуйте ввести webhostingsecretrevealed.net/login.php в адресний рядок вашого браузера. Чи не працює, чи не так? Тому що його не існує. Вхід в систему для WHSR знаходиться за іншою URL.
Точно так же ви можете змінити точку доступу на вашому сайті на іншу. По суті ми змінити URL сторінки входу .
Як і на сторінці login.php, існує каталог wp-admin, який також необхідно захистити. Це досить легко зробити з одним з двох полігонів - WPS Hide Login Захистіть свій адмін .
3. SSL
SSL або Secure Socket Layer - це додатковий рівень безпеки, який робить будь-яку інформацію, яку ви відправляєте і отримуєте між вашим браузером і сервером, нечитаною. Якщо хтось перехопить інформацію, він не зможе її прочитати, і в цьому не буде ніякого сенсу.
SSL завжди використовується для порталів фінансових транзакцій і всякий раз, коли ділиться конфіденційна інформація. Веб-сайти зберігають велику інформацію про користувачів і SSL, щоб забезпечити безпеку цієї інформації.
Аналогічно, SSL працює на сторінках входу, роблячи процес взаємодії з сервером на сервері набагато безпечнішим.
Для окремих блогерів і малого бізнесу - безкоштовний загальний SSL - який ви зазвичай можете отримати у свого хостинг-провайдера, Давайте шифрувати або CloudFlare - зазвичай більш ніж достатньо.
Для підприємств, які обробляють платежі клієнтів - краще, щоб ви купити виділений сертифікат SSL від вашого веб-хостингу або центру сертифікації (CA). Дійсно простий SSL WP Force SSL обидва допоможуть вам налаштувати SSL на своєму веб-сайті, як тільки ви придбали сертифікат SSL.
4. Обмеження кількості спроб входу
Це один з неймовірно простих способів зупинити атаки грубої сили на сторінці входу в систему. Атака грубої сили працює, намагаючись отримати ваше ім'я користувача та пароль, повторивши кілька комбінацій знову і знову.
Якщо певний IP-адреса, який здійснює атаку, відстежується, ви можете заблокувати повторні спроби примусового форматування і забезпечити безпеку свого сайту. Це також пов'язано з тим, що глобальні атаки DDOS відбуваються з декількома IP-адресами з різним походженням атаки, щоб відкинути послуги хостингу і безпеку веб-сайту.
Ввійти LockDown Рішення Логін безпеки обидва пропонують відмінні рішення для захисту сторінок входу в ваш сайт. Вони відстежують IP-адреси і обмежують кількість спроб входу в систему для захисту вашого веб-сайту.
5. Двухфакторная аутентифікація
Google Authenticator це плагін WordPress, який працює через додаток, встановлений на вашому Android / iPhone / Blackberry. Плагін генерує QR-код, який ви можете сканувати за допомогою мобільного пристрою, або ви можете ввести секретний код вручну.
Для входу в систему вам буде потрібно код аутентифікації, який створюється на вашому мобільному пристрої для входу. Плагін може використовуватися користувачем за принципом користувача і не рекомендується для користувачів отримувати менше привілеїв. З огляду на, що малоймовірно, що хакер має фізичний доступ до вашого мобільного пристрою, від мене вимагається залогуватись в ваш веб-сайт буде дуже надійною (якщо немає інших вразливостей).
Додаткова безпека
Ми обговорили приховування / перейменування сторінки входу і wp-admin, включення SSL на сторінках входу, використання двофакторної аутентифікації, обмеження спроб входу в систему і використання надійних паролів і незвичайних імен користувачів. Ви також повинні знати, що деякі веб-хости пропонують деякі з цих методів безпеки для своїх користувачів.
Якщо ви хочете, ви також можете використовувати повноцінний плагін безпеки, наприклад iThemes безпеки or Wordfence які пропонують безліч функцій захисту входу в додаток до загальних заходів безпеки сайту WordPress.
Не знайдено статтi безпеки WordPress, без згадки про те, що безпека завжди може бути скомпрометована. Плануйте заздалегідь і створіть резервну копію свого веб-сайту за допомогою безкоштовного інструменту, такого як оновлення або постачальник рішень преміум-класу, наприклад VaultPress or BackUp Buddy .
Я сподіваюся, що стаття була корисна і зробила ваш сайт більш безпечним.
Ви б не хотіли, щоб хтось з доступом на рівні редактора до використання слабких паролів тепер, чи не так?Чи не працює, чи не так?