Startseite » WordPress » 5 Tipps zur Verbesserung Ihrer WordPress-Anmeldesicherheit

    5 Tipps zur Verbesserung Ihrer WordPress-Anmeldesicherheit

    Unabhängig von der Größe Ihrer Website kann der Verlust Ihrer Websitedaten oder der Nichtzugriff auf Ihre eigene Website eine nervenaufreibende Erfahrung sein. WordPress, das mehr als 25% des Webs ausmacht, ist eine der am meisten zielgerichteten Websites für Hacker.

    In unseren vorherigen Beiträgen haben wir Ihnen gezeigt eine Reihe von Tipps und Tricks, die bereits fast alles zur Absicherung Ihrer WordPress-Website enthielten. Dennoch gibt es immer Raum für Verbesserungen. In diesem Beitrag werden wir uns ein paar weitere Tipps anschauen, die Ihnen dabei helfen, Ihre WordPress-Site schwerer zu verletzen.

    1. Bcrypt Password Hashing

    WordPress wurde 2003 gestartet, als PHP und das Web noch in den Anfängen standen. Facebook war noch nicht da, PHP hatte nicht einmal eine OOP-Architektur (Object Oriented Programming) eingebaut; WordPress hat also Vermächtnisse geerbt, die heute nicht mehr ideal sind - auch, wie es geht verschlüsselt das Passwort.

    WordPress verwendet bis heute noch MD5 hashing. Im Grunde ist es das, was Sie machen 123456 Passwort in so etwas e10adc3949ba59abbe56e057f20f883e.

    Da Computer heute jedoch raffinierter sind als vor zehn Jahren, ist dies der Fall hashed Das Passwort kann jetzt fast sofort in seine bloße Form zurückgesetzt werden.

    PHP hat native Verschlüsselung seit 5.5 und Wenn Ihr WordPress unter PHP5.5 oder höher läuft, gibt es ein praktisches Plugin namens wp-password-bcrypt, mit dem Sie dieses native Dienstprogramm in PHP nutzen können.

    Installieren und aktivieren Sie das Plugin über Composer oder über MU-Plugins. Speichern Sie Ihr Passwort erneut und Sie sind fertig.

    2. Aktivieren Sie WordPress.com Protect

    Brute-Force ist ein häufiger Hacking-Versuch, bei dem Angreifer versuchen, sich bei Ihrer Website anzumelden, indem sie zahlreiche mögliche Passwörter erraten, normalerweise Wörter, die im Wörterbuch zu finden sind. Aus diesem Grund sollten Sie ein schwer zu erratendes Kennwort festlegen.

    Automattic, die Leute hinter WordPress.com, haben eines der beliebtesten WordPress-Plugins erworben, das Brute-Force-Angriffen entgegenwirken kann. Es heißt BruteProtect und ist in Jetpack integriert.

    Basierend auf unserer Erfahrung hat es hat uns enorm geholfen bekämpfen Brute-Force-Angriffe mehr als fast eine Million mal.

    Jetpack Dashboard Widget meldet die Anzahl der angegriffenen Angriffe und Spam.

    Um dies zu erhalten, müssen Sie die neueste Version von Jetpack installieren und Ihre Website mit WordPress.com verbinden. Dann aktivieren Sie die “Schützen” Modul und weiße Liste Ihrer eigenen IP-Adresse.

    Jetzt sollten Sie sich etwas sicherer fühlen.

    3. Verstecken Sie Ihre Login-URL

    WordPress ist bekannt für die Login-Seite, wp-login.php. Daher wissen Hacker genau, welche Seite sie für ihre Brute-Force-Angriffe verwenden müssen. Sie können es für sie schwieriger machen Verschleiern Sie Ihre WordPress-Login-URL.

    Glücklicherweise gibt es einige Plugins, die dieses Dienstprogramm bereitstellen:

    • iThemes Sicherheit
    • WPS-Login ausblenden

    4. Deaktivieren “Passwort vergessen”

    Das “Passwort vergessen” Dienstprogramm im Anmeldeformular ist eine Möglichkeit für Angreifer, die normalerweise eine SQL-Injektion durchlaufen, um Ihre Anmeldeinformationen abzurufen. Wenn nur wenige Personen Zugriff auf den Admin-Bereich haben, ist es möglicherweise besser, ihn auszuschalten.

    Erstellen Sie dazu eine neue Datei - nennen Sie sie forget-password.php.

    Zuerst ändern wir die URL für das verlorene Passwort:

     function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url');

    Entfernen Sie den Link. Leider bietet WordPress keinen richtigen Haken, um dies übersichtlich zu erledigen add_filter Funktion. Also machen wir es stattdessen mit JavaScript.

     Funktion lostpassword_elem ($ page) ?>   
    Zuletzt leiten wir die “Passwort vergessen” URL zum Anmeldebildschirm.
     
     Funktion lostpassword_redirect () if (isset ($ _GET ['action']))) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Ausfahrt;  add_action ('init', 'lostpassword_redirect'); 
     
    5. Aktivieren Sie HTTPS
     
    HTTPS gibt Ihrer Site eine zusätzliche Sicherheitsebene bei der Datenübertragung. Es kann Ihnen auch einen Schub in den Google-Suchrankings geben. Und jetzt können Sie ein gültiges HTTPS-Zertifikat erhalten kostenlos durch die Gemeinschaftsinitiative Let's Encrypt.
     
    Für WordPress-Websites können Sie problemlos eine Lassen Sie uns verschlüsseln Zertifikat mit WP Encrypt. Es gibt also keinen Grund, warum Sie HTTPS heute nicht auf Ihrer Website bereitstellen sollten.
     
     
    Einpacken
     
    Ich möchte Ihnen gerne die Erinnerung hinterlassen, dass trotz all dieser Versuche unsere Websites Angriffe, Hacks und die Beeinträchtigung durch Hacker könnten weiterhin möglich sein durch Mittel jenseits unseres Verständnisses. Auch große Unternehmen wie Dropbox und LinkedIn sind Sicherheitsbedrohungen zum Opfer gefallen.
     
    Als letztes, Denken Sie daran, die Dateien und Datenbanken Ihrer Website regelmäßig zu sichern wann immer du kannst.
    5 Top Augmented Reality-Apps für Bildung
    5 Top Windows 8-Funktionen, die Sie lieben werden
    5 Tipps zur Beschleunigung der iPhone-Ladezeit
    Nächste Artikel
    5 Tools to Manage Your Workflow and Online Collaboration
    Vorheriger Artikel
    5 Tipps, um Freelancer mit einem Vollzeitjob anzugehen