5 dicas para fortalecer sua segurança de login no WordPress
Não importa o tamanho do seu site, perder os dados do site ou não acessar seu próprio site pode ser uma experiência estressante. O WordPress, que fornece mais de 25% da Web, é um dos sites mais segmentados para hackers..
Em nossos posts anteriores, mostramos a você uma série de dicas e truques que já cobriam quase tudo para proteger seu site WordPress. Ainda assim, há sempre espaço para melhorias. Nesta postagem, veremos mais algumas dicas para ajudar você a tornar seu site do WordPress mais difícil de violar.
1. Hashing de Senha Bcrypt
O WordPress foi iniciado em 2003, quando o PHP e a Web em geral ainda estavam em seus primeiros dias. O Facebook ainda não existia, o PHP não possuía arquitetura OOP (Object-oriented Programming) embutida; Portanto, o WordPress herdou legados que não são mais ideais hoje em dia - incluindo criptografa a senha.
WordPress para este dia ainda usa MD5 hashing. Basicamente, o que faz é transformar seu 123456
senha em algo como e10adc3949ba59abbe56e057f20f883e
.
No entanto, como os computadores são agora mais sofisticados do que há 10 anos atrás, hashed senha agora pode ser facilmente revertida em sua forma nua quase que instantaneamente.
PHP tem criptografia nativa desde o 5.5 e se o seu WordPress estiver rodando no PHP 5.5 ou superior, existe um plugin útil chamado wp-password-bcrypt que permite que você abraçar este utilitário nativo em PHP.
Instale e ative o plug-in através do Composer ou através de MU-Plugins. Salve novamente sua senha e está tudo pronto.
2. Habilitar o WordPress.com Protect
A força bruta é uma tentativa comum de invasão em que os invasores tentam fazer login no seu site adivinhando várias senhas possíveis, geralmente palavras encontradas no dicionário. Esta é a razão pela qual você deve definir uma senha difícil de adivinhar.
A Automattic, as pessoas por trás do WordPress.com, adquiriu um dos plug-ins mais populares do WordPress que pode combater ataques de força bruta. Ele é chamado de BruteProtect e é integrado ao Jetpack.
Baseado em nossa experiência, nos ajudou tremendamente combater ataques de força bruta mais de perto de um milhão vezes.
Para obtê-lo, você precisa instalar a versão mais recente do Jetpack e conectar seu site ao WordPress.com. Então ative o “Proteger” módulo e white-listando seu próprio endereço IP também.
Agora você deve se sentir um pouco mais seguro.
3. Ocultar seu URL de login
WordPress é muito conhecido pela página de login, wp-login.php
. Assim, os hackers sabem qual página exata direciona seus ataques de força bruta. Você pode tornar mais difícil para eles disfarçando seu URL de login do WordPress.
Felizmente, existem alguns plugins que fornecem esse utilitário:
- Segurança iThemes
- WPS Hide Login
4. Desativar “Esqueceu a senha”
o “Esqueceu a senha” O utilitário no formulário de login é uma forma de invasores, que geralmente passam por uma injeção de SQL para obter suas credenciais de login. Se houver apenas algumas pessoas que tenham acesso à área de administração, talvez seja melhor desativá-lo.
Para fazer isso, crie um novo upload de arquivo - nomeie-o esquecer-password.php
.
Primeiro, alteramos o URL da senha perdida:
função lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Remova o link. Infelizmente, o WordPress não fornece um bom gancho para fazer isso de forma organizada add_filter
função. Então, nós fazemos isso com JavaScript.
função lostpassword_elem ($ page) ?>Por fim, redirecionamos o “Senha perdida” URL para a tela de login.
função lostpassword_redirect () if (isset ($ _GET ['ação'])) if (in_array ($ _GET ['ação'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Saída; add_action ('init', 'lostpassword_redirect');5. Ativar HTTPS
O HTTPS oferece ao seu site uma camada extra de segurança com transmissão de dados. Pode também dar um impulso nas classificações de pesquisa do Google. E agora você pode obter um certificado HTTPS válido de graça através da iniciativa comunal Vamos criptografar.
Para sites WordPress, você pode obter facilmente um Vamos criptografar certificado com o WP Encrypt. Portanto, não há motivos para você não implantar o HTTPS em seu website hoje.
Empacotando
Eu só gostaria de deixar você com o lembrete de que, apesar de todas essas tentativas, nossos sites ainda pode estar sujeito a ataques, hacks e ser comprometido por hackers através de meios além da nossa compreensão. Mesmo grandes empresas como o Dropbox e o LinkedIn foram vítimas de ameaças à segurança.
Como último recurso, lembre-se de regularmente fazer backup de arquivos e banco de dados do seu site quando você puder.