5 Tipps zur Verbesserung Ihrer WordPress-Anmeldesicherheit
Unabhängig von der Größe Ihrer Website kann der Verlust Ihrer Websitedaten oder der Nichtzugriff auf Ihre eigene Website eine nervenaufreibende Erfahrung sein. WordPress, das mehr als 25% des Webs ausmacht, ist eine der am meisten zielgerichteten Websites für Hacker.
In unseren vorherigen Beiträgen haben wir Ihnen gezeigt eine Reihe von Tipps und Tricks, die bereits fast alles zur Absicherung Ihrer WordPress-Website enthielten. Dennoch gibt es immer Raum für Verbesserungen. In diesem Beitrag werden wir uns ein paar weitere Tipps anschauen, die Ihnen dabei helfen, Ihre WordPress-Site schwerer zu verletzen.
1. Bcrypt Password Hashing
WordPress wurde 2003 gestartet, als PHP und das Web noch in den Anfängen standen. Facebook war noch nicht da, PHP hatte nicht einmal eine OOP-Architektur (Object Oriented Programming) eingebaut; WordPress hat also Vermächtnisse geerbt, die heute nicht mehr ideal sind - auch, wie es geht verschlüsselt das Passwort.
WordPress verwendet bis heute noch MD5 hashing. Im Grunde ist es das, was Sie machen 123456
Passwort in so etwas e10adc3949ba59abbe56e057f20f883e
.
Da Computer heute jedoch raffinierter sind als vor zehn Jahren, ist dies der Fall hashed Das Passwort kann jetzt fast sofort in seine bloße Form zurückgesetzt werden.
PHP hat native Verschlüsselung seit 5.5 und Wenn Ihr WordPress unter PHP5.5 oder höher läuft, gibt es ein praktisches Plugin namens wp-password-bcrypt, mit dem Sie dieses native Dienstprogramm in PHP nutzen können.
Installieren und aktivieren Sie das Plugin über Composer oder über MU-Plugins. Speichern Sie Ihr Passwort erneut und Sie sind fertig.
2. Aktivieren Sie WordPress.com Protect
Brute-Force ist ein häufiger Hacking-Versuch, bei dem Angreifer versuchen, sich bei Ihrer Website anzumelden, indem sie zahlreiche mögliche Passwörter erraten, normalerweise Wörter, die im Wörterbuch zu finden sind. Aus diesem Grund sollten Sie ein schwer zu erratendes Kennwort festlegen.
Automattic, die Leute hinter WordPress.com, haben eines der beliebtesten WordPress-Plugins erworben, das Brute-Force-Angriffen entgegenwirken kann. Es heißt BruteProtect und ist in Jetpack integriert.
Basierend auf unserer Erfahrung hat es hat uns enorm geholfen bekämpfen Brute-Force-Angriffe mehr als fast eine Million mal.
Um dies zu erhalten, müssen Sie die neueste Version von Jetpack installieren und Ihre Website mit WordPress.com verbinden. Dann aktivieren Sie die “Schützen” Modul und weiße Liste Ihrer eigenen IP-Adresse.
Jetzt sollten Sie sich etwas sicherer fühlen.
3. Verstecken Sie Ihre Login-URL
WordPress ist bekannt für die Login-Seite, wp-login.php
. Daher wissen Hacker genau, welche Seite sie für ihre Brute-Force-Angriffe verwenden müssen. Sie können es für sie schwieriger machen Verschleiern Sie Ihre WordPress-Login-URL.
Glücklicherweise gibt es einige Plugins, die dieses Dienstprogramm bereitstellen:
- iThemes Sicherheit
- WPS-Login ausblenden
4. Deaktivieren “Passwort vergessen”
Das “Passwort vergessen” Dienstprogramm im Anmeldeformular ist eine Möglichkeit für Angreifer, die normalerweise eine SQL-Injektion durchlaufen, um Ihre Anmeldeinformationen abzurufen. Wenn nur wenige Personen Zugriff auf den Admin-Bereich haben, ist es möglicherweise besser, ihn auszuschalten.
Erstellen Sie dazu eine neue Datei - nennen Sie sie forget-password.php
.
Zuerst ändern wir die URL für das verlorene Passwort:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Entfernen Sie den Link. Leider bietet WordPress keinen richtigen Haken, um dies übersichtlich zu erledigen add_filter
Funktion. Also machen wir es stattdessen mit JavaScript.
Funktion lostpassword_elem ($ page) ?>Zuletzt leiten wir die “Passwort vergessen” URL zum Anmeldebildschirm.
Funktion lostpassword_redirect () if (isset ($ _GET ['action']))) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Ausfahrt; add_action ('init', 'lostpassword_redirect');5. Aktivieren Sie HTTPS
HTTPS gibt Ihrer Site eine zusätzliche Sicherheitsebene bei der Datenübertragung. Es kann Ihnen auch einen Schub in den Google-Suchrankings geben. Und jetzt können Sie ein gültiges HTTPS-Zertifikat erhalten kostenlos durch die Gemeinschaftsinitiative Let's Encrypt.
Für WordPress-Websites können Sie problemlos eine Lassen Sie uns verschlüsseln Zertifikat mit WP Encrypt. Es gibt also keinen Grund, warum Sie HTTPS heute nicht auf Ihrer Website bereitstellen sollten.
Einpacken
Ich möchte Ihnen gerne die Erinnerung hinterlassen, dass trotz all dieser Versuche unsere Websites Angriffe, Hacks und die Beeinträchtigung durch Hacker könnten weiterhin möglich sein durch Mittel jenseits unseres Verständnisses. Auch große Unternehmen wie Dropbox und LinkedIn sind Sicherheitsbedrohungen zum Opfer gefallen.
Als letztes, Denken Sie daran, die Dateien und Datenbanken Ihrer Website regelmäßig zu sichern wann immer du kannst.