Trang chủ » WordPress » 5 mẹo để tăng cường bảo mật đăng nhập WordPress của bạn

    5 mẹo để tăng cường bảo mật đăng nhập WordPress của bạn

    Bất kể kích thước của trang web của bạn, mất dữ liệu trang web của bạn hoặc không thể truy cập trang web của riêng bạn có thể là một kinh nghiệm căng thẳng thần kinh. WordPress, nơi cung cấp hơn 25% Web, là một trong những trang web được nhắm mục tiêu nhiều nhất cho tin tặc.

    Trong các bài viết trước của chúng tôi, chúng tôi đã cho bạn thấy một số mẹo và thủ thuật đã bao gồm hầu hết mọi thứ để bảo mật trang web WordPress của bạn. Tuy nhiên, luôn có chỗ để cải thiện. Trong bài đăng này, chúng tôi sẽ xem xét thêm một số mẹo để giúp bạn làm cho trang web WordPress của bạn khó vi phạm hơn.

    1. Băm mật khẩu Bcrypt

    WordPress đã được bắt đầu vào năm 2003 khi PHP và Web nói chung vẫn còn trong những ngày đầu. Facebook vẫn chưa xuất hiện, PHP thậm chí còn không tích hợp kiến ​​trúc OOP (Lập trình hướng đối tượng); do đó, WordPress được thừa hưởng những di sản không còn lý tưởng ngày nay - bao gồm cả cách nó mã hóa Mật khẩu.

    WordPress cho đến ngày nay vẫn sử dụng MD5 băm. Về cơ bản, những gì nó làm là biến 123456 mật khẩu vào một cái gì đó như e10adc3949ba59abbe56e057f20f883e.

    Tuy nhiên, vì máy tính bây giờ tinh vi hơn 10 năm trước băm mật khẩu bây giờ có thể dễ dàng đảo ngược thành dạng trần gần như ngay lập tức.

    PHP có mã hóa tự nhiên kể từ 5.5 và Nếu WordPress của bạn đang chạy PHP5.5 trở lên, có một plugin tiện dụng có tên wp-password-bcrypt cho phép bạn nắm lấy tiện ích gốc này trong PHP.

    Cài đặt và kích hoạt plugin thông qua Trình soạn thảo hoặc thông qua MU-Plugins. Lưu lại mật khẩu của bạn và bạn đã thiết lập xong.

    2. Kích hoạt WordPress.com Bảo vệ

    Brute-force là một nỗ lực hack phổ biến trong đó những kẻ tấn công cố gắng đăng nhập vào trang web của bạn bằng cách đoán nhiều mật khẩu có thể, điển hình là các từ được tìm thấy trong từ điển. Đây là lý do tại sao bạn nên đặt mật khẩu khó đoán.

    Automattic, những người đứng sau WordPress.com, đã có được một trong những plugin WordPress phổ biến nhất có thể chống lại các cuộc tấn công vũ phu. Nó được gọi là BruteProtect, và nó được tích hợp với Jetpack.

    Dựa trên kinh nghiệm của chúng tôi, nó có đã giúp chúng tôi rất nhiều chiến đấu tấn công vũ phu hơn gần một triệu lần.

    Tiện ích Bảng điều khiển Jetpack báo cáo số lần tấn công và spam gặp phải.

    Để có được nó, bạn cần cài đặt phiên bản mới nhất của Jetpack và kết nối trang web của bạn với WordPress.com. Sau đó kích hoạt “Bảo vệ” mô-đun và liệt kê trắng địa chỉ IP của riêng bạn.

    Bây giờ bạn sẽ cảm thấy an toàn hơn một chút.

    3. Ẩn URL đăng nhập của bạn

    WordPress rất nổi tiếng với trang đăng nhập, wp-login.php. Do đó tin tặc biết trang chính xác nào để chỉ đạo các cuộc tấn công vũ phu của chúng. Bạn có thể làm cho họ khó khăn hơn bằng cách ngụy trang URL đăng nhập WordPress của bạn.

    May mắn thay, có một vài plugin cung cấp tiện ích này:

    • iTheme Security
    • WPS Ẩn Đăng nhập

    4. Vô hiệu hóa “Quên mật khẩu”

    Các “Quên mật khẩu” tiện ích trong biểu mẫu đăng nhập là một cách dành cho những kẻ tấn công, những người thường trải qua việc tiêm SQL để có được thông tin đăng nhập của bạn. Nếu chỉ có một vài người có quyền truy cập vào khu vực quản trị, tốt hơn hết là tắt nó đi.

    Để làm như vậy, tạo một tệp tải lên mới - đặt tên cho nó quên mật khẩu.php.

    Đầu tiên chúng tôi thay đổi URL mật khẩu bị mất:

     hàm mấtpassword_url () return site_url ('wp-login.php');  add_filter ('mất mật khẩu_url', 'mất mật khẩu_url'); 

    Xóa liên kết. Thật không may, WordPress không cung cấp một cái móc thích hợp để thực hiện việc này một cách gọn gàng thông qua một add_filter chức năng. Vì vậy, chúng tôi làm điều đó với JavaScript thay thế.

     hàm mất passwordword_elem ($ page) ?>   

    Cuối cùng, chúng tôi chuyển hướng “Mất mật khẩu” URL tới màn hình đăng nhập.

     hàm mất password_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], mảng ('lospassword', 'lấy mật khẩu')) wp_redirect ('/ wp đăng nhập.php ', 301); lối thoát hiểm;  add_action ('init', 'Lostpassword_redirect'); 

    5. Kích hoạt HTTPS

    HTTPS cung cấp cho trang web của bạn một lớp bảo mật bổ sung với việc truyền dữ liệu. Nó cũng có thể cung cấp cho bạn một sự gia tăng trong bảng xếp hạng tìm kiếm của Google. Và bây giờ bạn có thể nhận được chứng chỉ HTTPS hợp lệ miễn phí thông qua sáng kiến ​​chung Hãy mã hóa.

    Đối với các trang web WordPress, bạn có thể dễ dàng có được một Hãy mã hóa chứng chỉ với WP Encrypt. Vì vậy, không có lý do tại sao bạn không nên triển khai HTTPS trong trang web của mình ngay hôm nay.

    Kết thúc

    Tôi chỉ muốn để lại cho bạn lời nhắc rằng mặc dù tất cả những nỗ lực này, các trang web của chúng tôi vẫn có thể bị tấn công, hack và bị tin tặc xâm nhập thông qua các phương tiện vượt quá sự hiểu biết của chúng tôi. Ngay cả các công ty lớn như Dropbox và LinkedIn cũng trở thành con mồi của các mối đe dọa bảo mật.

    Như một phương sách cuối cùng, nhớ thường xuyên sao lưu các tập tin và cơ sở dữ liệu của trang web của bạn bất cứ khi nào bạn có thể.