Ongeacht de grootte van uw website, het verliezen van uw sitegegevens of het niet kunnen bezoeken van uw eigen website kan een zenuwslopende ervaring zijn. WordPress, dat meer dan 25% van het internet beheert, is een van de meest gerichte websites voor hackers.
In onze vorige berichten hebben we je laten zien een aantal tips en trucs die al bijna alles omvatten om je WordPress-website te beveiligen. Toch is er altijd ruimte voor verbetering. In deze post zullen we nog een paar tips bekijken om u te helpen uw WordPress-site moeilijker te doorbreken.
1. Codering Wachtwoord Hashing
WordPress is in 2003 gestart toen PHP en het web in het algemeen nog in de kinderschoenen stonden. Facebook was er nog niet, PHP had zelfs geen OOP (object-oriented programming) architectuur ingebouwd; vandaar dat WordPress erfenis heeft geërfd die vandaag niet meer ideaal is - inclusief hoe het is versleutelt het wachtwoord.
WordPress gebruikt tot op de dag van vandaag nog steeds MD5 hashing. Kortom, wat het doet is om jouw 123456 wachtwoord in zoiets e10adc3949ba59abbe56e057f20f883e.
Echter, aangezien computers nu geavanceerder zijn dan 10 jaar geleden gehashte wachtwoord kan nu vrijwel onmiddellijk in zijn kale vorm worden teruggedraaid.
PHP heeft native codering sinds 5.5 en Als uw WordPress in PHP5.5 of hoger draait, is er een handige plug-in genaamd wp-password-bcrypt waarmee u dit native hulpprogramma in PHP kunt omarmen.
Installeer en activeer de plug-in via Composer of via MU-Plugins. Sla uw wachtwoord opnieuw op en u bent helemaal klaar.
2. Schakel WordPress.com Protect in
Brute-force is een veel voorkomende hackpoging waarbij aanvallers proberen in te loggen op uw website door verschillende mogelijke wachtwoorden te raden, meestal woorden die in het woordenboek worden gevonden. Dit is de reden waarom u een moeilijk te raden wachtwoord moet instellen.
Automattic, de mensen achter WordPress.com, heeft een van de populairste WordPress-plug-ins gekocht die brute-force-aanvallen kunnen tegengaan. Het wordt BruteProtect genoemd en is geïntegreerd met Jetpack.
Gebaseerd op onze ervaring, het heeft heeft ons enorm geholpen bestrijding van brute-force-aanvallen meer dan bijna een miljoen tijden.
Jetpack Dashboard Widget rapporteert het aantal aanvallen en spam dat is aangetroffen.
Om dit te krijgen, moet je de nieuwste versie van Jetpack installeren en je website verbinden met WordPress.com. Schakel vervolgens de “Beschermen” module en white-listing uw eigen IP-adres ook.
Nu zou je je wat veiliger moeten voelen.
3. Verberg uw inlog-URL
WordPress is zeer bekend voor de inlogpagina, wp-login.php. Vandaar dat hackers weten welke exacte pagina hun brute-force aanvallen moeten sturen. Je kunt het voor hen moeilijker maken door vermommen uw WordPress login URL.
Gelukkig zijn er een paar plug-ins die dit hulpprogramma bieden:
iThemes-beveiliging
WPS Verberg Login
4. Uitschakelen “Wachtwoord vergeten”
De “Wachtwoord vergeten” utility in het inlogformulier is een manier voor aanvallers, die meestal een SQL-injectie doorlopen om uw inloggegevens te verkrijgen. Als er maar een paar mensen zijn die toegang hebben tot het beheerdersgedeelte, is het misschien beter om het uit te schakelen.
Om dit te doen, maakt u een nieuwe bestandsupload - noem deze vergeet-password.php.
Eerst veranderen we de verloren wachtwoord-URL:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Verwijder de link. Helaas biedt WordPress geen goede haak om dit netjes te doen via een add_filter functie. Dus doen we het in plaats daarvan met JavaScript.
function lostpassword_elem ($ page) ?>
Ten slotte verwijzen we de “vergeten wachtwoord” URL naar het inlogscherm.
function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); Uitgang; add_action ('init', 'lostpassword_redirect');
5. Schakel HTTPS in
HTTPS geeft uw site een extra beveiligingslaag met gegevensoverdracht. Het kan ook een boost geven in de zoekresultaten van Google. En nu kunt u geldige HTTPS-certificaten verkrijgen gratis via het gemeenschappelijke initiatief Let's Encrypt.
Voor WordPress-websites kunt u eenvoudig een Laten we versleutelen certificaat met WP Encrypt. Er is dus geen reden waarom u vandaag geen HTTPS in uw website zou moeten implementeren.
Afsluiten
Ik wil je graag achterlaten met de herinnering dat ondanks al deze pogingen onze websites kan nog steeds onderhevig zijn aan aanvallen, hacks en hackers door middelen die ons bevattingsvermogen te boven gaan. Zelfs grote bedrijven zoals Dropbox en LinkedIn zijn ten prooi gevallen aan beveiligingsdreigingen.
Als laatste redmiddel, vergeet niet regelmatig een back-up te maken van de bestanden en database van uw website wanneer je maar kunt.
