4 moduri de a vă securiza autentificarea pe WordPress

Hackerii nu trebuie să fie furioși sau sofisticați pentru a obține ceea ce doresc. Adesea, ei doar intră pe ușa din față. Folosirea instrumentelor potrivite vă poate ajuta, dar puteți face mai multe pentru a vă proteja site-ul web și pentru a vă securiza datele de conectare la WordPress .

În acest raport al lui Nathan Finch de la Aussie Hosting , aceștia au analizat și comparat diferite companii de găzduire pe baza performanței lor. Ei au descoperit că companiile cu mai multe perioade de nefuncționare aveau, de asemenea, servere slab întreținute, ceea ce crește riscul de probleme de securitate.

S-a raportat că Google afișează pe lista neagră aproximativ 70.000 de site-uri web pe săptămână pentru probleme de securitate de conectare la WordPress, cum ar fi malware și phishing. Prima dvs. linie de apărare împotriva infiltrării vă protejează datele de conectare WordPress. Această formă de control al accesului pare a fi o nebunie, dar ai fi surprins de cât de des sunt trecute cu vederea cele mai simple măsuri de securitate sau puse pe spate.

Indiferent de caracteristicile de securitate oferite de serviciul dvs. de găzduire din partea din spate, în calitate de proprietar al site-ului web, dolarul se oprește la dvs.

- Sursa: Wordfence

Ce face vulnerabilele conectările WordPress?

Popularitatea WordPress este ceea ce îl face o țintă ușoară și atractivă. Dar, ce face platforma vulnerabilă la atacuri și exploatări?

În primul rând, hackerii fac o mulțime de recunoaștere înainte de a sparge un sistem. Știu că anumite versiuni WP au mai multe vulnerabilități decât altele, iar platforma a fost suficient de lungă pentru ca profesioniștii să știe ce sunt. Numărul versiunii se află pe paginile dvs. web și în adresa URL, cu excepția cazului în care îl eliminați.

Vizualizarea directorului dvs. oferă, de asemenea, o mulțime de informații utile, cum ar fi tipul de pluginuri și temele pe care le-ați instalat. Deoarece funcționează cu codificare open source, lăsând pluginuri neutilizate sau neacceptate în directorul dvs., chiar dacă sunt dezactivate, este o modalitate simplă pentru hackeri de a avea acces la codul dvs. Odată ajuns în interior, pot lansa exploit-uri, schimba codarea, deturna sesiunile sau vă pot bloca de pe propriul site web.

Hackerii pot verifica indexarea directorului dvs. răsfoind locațiile folderelor și verificând un răspuns „Index Of” de genul acesta:

/ wp-content /

/ wp-content / plugins /

/ wp-content / themes /

/ uploads /

/ imagini /

Aceștia pot căuta pluginuri vulnerabile în directorul dvs. printr-o căutare activă utilizând instrumente de scriptare sau o căutare pasivă cu solicitări HTML normale. Acest lucru se realizează prin revizuirea codului sursă HTML și căutarea pluginurilor instalate prin foi de stil CSS, comentarii și linkuri JS.

Un alt mod prin care hackerii accesează site-urile web WordPress este prin enumerarea utilizatorilor . Acesta este un simplu preludiu la un atac de forță brută care implică descoperirea numelor de utilizatori și ghicirea parolelor acestora printr-un atac de dicționar sau încercarea de a intra prin mecanisme implicite. De exemplu, utilizatorii pot fi descoperiți iterând ID-urile lor și adăugându-le la adresa URL astfel:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

Dacă funcționează, ID-ul de conectare va fi dezvăluit printr-o redirecționare 303.

Un instrument numit WPScan care este utilizat pentru testarea vulnerabilității poate trece prin sute de parole posibile în mai puțin de un minut. A reușit să returneze următoarea ieșire dintr-o temă ieftină în câteva secunde:

 ruby wpscan.rb -u 192.241.xx.x68 - fire 20 --wordlist 500worst.txt - nume de utilizator testadmin

********* SNIP ******************

[+] Lansarea parolei brute forcer

Utilizator de forță brută „testadmin” cu 500 de parole ... 100% complet.
[+] Finalizat joi 18 iulie 03:39:02 2013
[+] Timp scurs: 00:01:16

4 moduri de a vă securiza autentificarea pe WordPress

Din fericire, dezvoltatorii WP și comunitatea de utilizatori sunt sârguincioși atunci când vine vorba de a oferi asistență. Datorită acestui fapt, există instrumente care sunt disponibile gratuit și cele mai bune practici pe care le puteți învăța și implementa pentru a vă menține site-ul în siguranță.

Iată patru tehnici pe care le puteți implementa pentru a vă îmbunătăți securitatea de conectare la WordPress.

1. Eliminați numărul versiunii WP

Deoarece hackerii caută mai întâi numărul versiunii atunci când verifică vulnerabilitățile, acesta este primul lucru pe care ar trebui să-l schimbi atunci când îți configurezi site-ul web. Acest lucru ar trebui făcut în așa fel încât să fie eliminat din pagini, adrese URL și metaetichete, fără a elimina cârligul de antet sau alte metode greșite care sunt promovate pe internet.

Cel mai bun mod de a elimina numărul de versiune WP este să adăugați acest bit de cod în fișierul functions.php :

Pentru a elimina din antet:

 remove_action ('wp_head', 'wp_generator');

Pentru a elimina din fluxul RSS:

 funcție remove_version_info () {
întoarcere '';
}
add_filter ('generatorul_', 'remove_version_info');

Pentru a elimina numărul versiunii din scripturi și stiluri:

 funcție remove_version_from_style_js ($ src) {
if (strpos ($ src, 'ver ='. get_bloginfo ('version')))
$ src = remove_query_arg ('ver', $ src);
returnează $ src;
}
add_filter ('style_loader_src', 'remove_version_from_style_js', 9999);
add_filter ('script_loader_src', 'remove_version_from_style_js', 9999);

Indiferent când instalați WP, ar trebui să vă mențineți întotdeauna WordPress-ul actualizat la cea mai recentă versiune imediat ce este lansat. Același lucru este valabil și pentru pluginuri și teme.

Citiți mai multe: Actualizările sunt cruciale pentru securitatea WordPress !

2. Schimbați adresa URL de autentificare

Adresa de autentificare implicită pentru administratorii WP este site-ul dvs. web.com/wp-admin și este ceva ce știu aproape toți cei familiarizați cu platforma. Tot ce trebuie este să adăugați /wp-login.php după numele domeniului și sunteți înăuntru. O simplă modificare a adresei URL este tot ceea ce este necesar pentru a împiedica hackerii să vă ghicească pagina de autentificare.

Puteți utiliza un plugin precum iThemes Security pentru a realiza acest lucru în mod eficient.

3. Reduceți numărul de încercări de autentificare

O altă caracteristică implicită WP defectă permite încercări nelimitate de conectare. Aceasta permite atacuri de dicționar și alte tehnici de ghicire a parolelor. Pluginul iThemes Security are o caracteristică care vă blochează site-ul web după un număr stabilit de încercări eșuate de conectare și vă trimite o alertă.

Dacă doriți doar funcția de deconectare a conectării, puteți instala un plugin numit Limitarea încercărilor de conectare reîncărcate și puteți accesa setările pentru a configura numărul de conectări permise.

4. Limitați accesul și utilizați autentificarea cu doi factori

Până acum, ar trebui să știți să alegeți o parolă sigură utilizând un plugin de autentificare cu doi factori. Următorul pas către limitarea accesului este limitarea numărului de persoane care au acces la funcționarea interioară a site-ului dvs. web. În al treilea rând, utilizați autentificarea cu 2 factori care utilizează o combinație de parolă și cheie criptată pentru a vă conecta.

Gânduri finale!

În timp ce aceste precauții de securitate și măsuri preventive explicate în această postare nu vă vor proteja site-ul 100%, ele vor oferi o măsură uriașă de securitate.

Este important să ne amintim că hackerii și terții părți răuvoitori caută cele mai ușoare uși din spate pe site-ul dvs. web. De cele mai multe ori soluții automatizate sunt folosite pentru a găsi aceste portiere din spate.

Asigurarea autentificării WP păstrează acele uși închise și vă asigură că singura persoană care are acces la site-ul dvs. este dumneavoastră.

Declinare de responsabilitate: Aceasta este o postare de invitat contribuită de Nathan Goldfinch de la AussieHosting .