5 suggerimenti per irrigidire la sicurezza di accesso WordPress

Indipendentemente dalle dimensioni del tuo sito web, perdere i dati del tuo sito o non poter accedere al tuo sito web può essere un'esperienza snervante. WordPress, che alimenta oltre il 25% del Web, è uno dei siti Web più mirati per gli hacker.

Nei nostri post precedenti, ti abbiamo mostrato una serie di suggerimenti e trucchi che già coprivano quasi tutto per proteggere il tuo sito Web WordPress . Tuttavia, c'è sempre spazio per miglioramenti. In questo post vedremo alcuni altri suggerimenti per aiutarti a rendere il tuo sito WordPress più difficile da violare.

1. Bypting Password Hashing

WordPress è stato avviato nel 2003 quando PHP e il Web in generale erano ancora all'inizio. Facebook non era ancora in circolazione, PHP non aveva nemmeno l'architettura OOP (Object-oriented Programming) integrata; quindi, WordPress ha ereditato eredità che oggi non sono più ideali, incluso il modo in cui crittografa la password.

WordPress fino ad oggi usa ancora l' hashing MD5. Fondamentalmente, quello che fa è trasformare la tua password 123456 in qualcosa come e10adc3949ba59abbe56e057f20f883e .

Tuttavia, poiché i computer sono ora più sofisticati di 10 anni fa, questa password hash può ora essere facilmente invertita nella sua forma nuda quasi istantaneamente.

PHP ha crittografia nativa da 5.5 e se il tuo WordPress è in esecuzione in PHP5.5 o superiore, c'è un comodo plugin chiamato wp-password-bcrypt che ti permette di abbracciare questa utility nativa in PHP.

Installa e attiva il plugin tramite Composer o MU-Plugin. Ri-salva la tua password e sei pronto.

2. Abilitare WordPress.com Protect

La forza bruta è un tentativo di hacking comune in cui gli aggressori tentano di accedere al tuo sito web indovinando numerose possibili password, in genere le parole trovate nel dizionario. Questo è il motivo per cui dovresti impostare una password difficile da indovinare.

Automattic, la gente dietro a WordPress.com, ha acquisito uno dei plugin di WordPress più popolari in grado di contrastare gli attacchi di forza bruta. Si chiama BruteProtect ed è integrato con Jetpack.

Sulla base della nostra esperienza, ci ha enormemente aiutato a combattere gli attacchi di forza bruta più che vicino a un milione di volte.

Per ottenerlo, è necessario installare l'ultima versione di Jetpack e collegare il sito Web a WordPress.com. Quindi abilitare il modulo "Proteggi" e inserire il proprio indirizzo IP in bianco.

Ora dovresti sentirti un po 'più sicuro.

3. Nascondi l'URL di accesso

WordPress è molto conosciuto per la pagina di login, wp-login.php . Quindi gli hacker sanno quale pagina esatta indirizzare i loro attacchi di forza bruta. Puoi renderlo più difficile mascherando l'URL di accesso di WordPress .

Fortunatamente, ci sono alcuni plugin che forniscono questa utilità:

• iThemes Sicurezza
• WPS Nascondi accesso

4. Disattiva "Password dimenticata"

L'utilità "Password dimenticata" nel modulo di accesso è un modo per gli aggressori, che di solito passano attraverso un'iniezione SQL per ottenere le credenziali di accesso. Se ci sono solo poche persone che hanno accesso all'area di amministrazione, potrebbe essere meglio spegnerla.

Per fare ciò, crea un nuovo caricamento di file: chiamalo forget-password.php .

Per prima cosa modifichiamo l'URL della password persa:

 function lostpassword_url () {return site_url ('wp-login.php'); } add_filter ('lostpassword_url', 'lostpassword_url'); 

Rimuovi il link. Sfortunatamente, WordPress non fornisce un hook adeguato per farlo in modo ordinato attraverso una funzione add_filter . Quindi, lo facciamo invece con JavaScript.

 function lostpassword_elem ($ page) {?> 
Infine, reindirizziamo l'URL "Password dimenticata" alla schermata di accesso.
 function lostpassword_redirect () {if (isset ($ _GET ['action'])) {if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) {wp_redirect ('/ wp- login.php ', 301); Uscita; }}} add_action ('init', 'lostpassword_redirect'); 
5. Abilita HTTPS 
HTTPS offre al tuo sito un ulteriore livello di sicurezza con la trasmissione dei dati. Potrebbe anche darti una spinta nelle classifiche di ricerca di Google. E ora puoi ottenere gratuitamente un certificato HTTPS valido attraverso l'iniziativa comunale Let's Encrypt.
Per i siti Web WordPress è possibile ottenere facilmente un certificato Let's Encrypt con WP Encrypt. Quindi non vi è alcun motivo per cui non dovresti distribuire HTTPS nel tuo sito web oggi.
 Avvolgendo 
Mi piace lasciarti con il promemoria che nonostante tutti questi tentativi, i nostri siti web potrebbero essere ancora oggetto di attacchi, hack e di essere compromessi dagli hacker attraverso mezzi che vanno al di là della nostra comprensione. Anche grandi aziende come Dropbox e LinkedIn sono preda di minacce alla sicurezza.
Come ultima risorsa, ricorda di eseguire regolarmente il backup dei file e del database del tuo sito web ogni volta che puoi.







        

          
          

		  
Come inviare messaggi personalizzati a Slack dalla tua applicazione
            
Slack è un'app di messaggistica molto utilizzata da molti team. Viene fornito con molti servizi e un'API per gli sviluppatori per integrarlo con le loro applicazioni. Nel post di oggi vedremo come utilizzare uno dei suoi servizi chiamati Incoming Webhooks, per inviare i dati a un intervallo da un'applicazione esterna.
			
(Consigli tecnici e di design)
          
        
      

        

          
          

		  
5 caratteristiche in Windows 10 Insider's ultima build che dovresti sapere
            
The Fall Creators Update per Windows 10 è diventato molto più interessante in quanto l'ultima build di Windows 10 Insider ha introdotto una serie di funzionalità che saranno rese disponibili al momento del lancio dell'aggiornamento principale.Visto che l' elenco delle funzionalità è estremamente lungo, ci concentreremo su alcune delle funzionalità chiave introdotte con Insider Build 16215 di Windows 10 . Un n
			
(Consigli tecnici e di design)