WordPressのログインセキュリティを強化するための5つのヒント
あなたのウェブサイトのサイズに関係なく、あなたのサイトのデータを失うか、あなた自身のウェブサイトにアクセスできないということは神経を悩ます経験になり得ます。 Webの25%以上を占めるWordPressは、ハッカーのための最もターゲットを絞ったWebサイトの1つです。.
私たちの以前の記事では、私たちはあなたを見せました あなたのWordPressウェブサイトを安全にするためにすでにほとんどすべてをカバーしていたたくさんの秘訣と秘訣. それでも、改善の余地は常にあります。この記事では、WordPressサイトを侵害しにくくするためのヒントをいくつか紹介します。.
1. Bcryptパスワードハッシュ
WordPressは、PHPとWeb全般がまだ初期の段階にあった2003年に始まりました。 Facebookにはまだ登場していない、PHPにはOOP(Object-oriented Programming)アーキテクチャさえ組み込まれていなかった。したがって、WordPressは今日ではもはや理想的ではない遺産を継承しました - それをどのように含むか 暗号化する パスワード.
今日までのWordPressはまだMD5を使用しています ハッシング. 基本的には、それはあなたを変えることです 123456
のようなものにパスワード e10adc3949ba59abbe56e057f20f883e
.
しかし、コンピューターは10年前よりも洗練されたものになっているので、 ハッシュ化 パスワードをすぐに元の形式に簡単に元に戻すことができるようになりました.
PHPは ネイティブ暗号化 5.5以降、あなたのWordPressがPHP5.5以上で動作している場合は、このネイティブユーティリティをPHPで使用できるwp-password-bcryptという便利なプラグインがあります。.
ComposerまたはMU-Pluginsを通じてプラグインをインストールしてアクティブ化します。パスワードを再保存すれば、すべて設定完了です.
2. WordPress.com Protectを有効にする
ブルートフォースは、攻撃者が可能性のある多数のパスワード(通常は辞書にある単語)を推測してWebサイトにログインしようとする一般的なハッキングの試みです。これが、推測しにくいパスワードを設定する必要がある理由です。.
WordPress.comの開発者であるAutomatticは、ブルートフォース攻撃に対抗できる最も人気のあるWordPressプラグインの1つを入手しました。これはBruteProtectと呼ばれ、Jetpackと統合されています。.
私たちの経験に基づいて、それは持っています ものすごく助けてくれました ブルートフォース攻撃よりも 100万に近い 回.
入手するには、Jetpackの最新バージョンをインストールし、あなたのウェブサイトをWordPress.comに接続する必要があります。それから有効にします “保護する” モジュール、そしてあなた自身のIPアドレスもホワイトリストに載せる.
今、あなたはもう少し安全に感じるはずです.
3.あなたのログインURLを隠す
WordPressはログインページで有名です, wp-login.php
. そのため、ハッカーは、ブルートフォース攻撃を仕向ける正確なページを知っています。あなたは彼らによってそれを難しくすることができます WordPressのログインURLを偽装する.
幸い、このユーティリティを提供するプラグインがいくつかあります。
- iThemesのセキュリティ
- WPSログインを隠す
無効にする “パスワードを忘れた”
の “パスワードを忘れた” ログインフォームのユーティリティは、通常、ログイン情報を取得するためにSQLインジェクションを受ける攻撃者のための手段です。管理領域にアクセスできる人が少ない場合は、それをオフにすることをお勧めします。.
そうするためには、新しいファイルアップロードを作成します - それに名前を付けます forget-password.php
.
まず、紛失したパスワードのURLを変更します。
function lostpassword_url()return site_url( 'wp-login.php'); add_filter( 'lostpassword_url'、 'lostpassword_url');
リンクを削除してください。残念ながら、WordPressはこれをきちんと行うための適切なフックを提供していません。 add_filter
関数。それで、代わりにJavaScriptでそれをします.
function lostpassword_elem($ page)?>最後に、 “パスワード紛失” ログイン画面へのURL.
function lostpassword_redirect()if(isset($ _GET ['action']))if(in_array($ _GET ['action']、配列( 'lostpassword'、 'retrievepassword')))wp_redirect( '/ wp- login.php '、301)。出口; add_action( 'init'、 'lostpassword_redirect');5. HTTPSを有効にする
HTTPSはあなたのサイトにデータ伝送によるさらなるセキュリティの層を与えます。それはまたあなたにグーグル検索ランキングを後押しするかもしれません。そして今、あなたは有効なHTTPS証明書を取得することができます 無料で 共同主導で暗号化しよう.
WordPressのWebサイトでは、簡単に入手できます。 暗号化しましょう WP暗号化による証明書。だから今日あなたのウェブサイトにHTTPSを展開すべきでない理由はありません.
まとめ
これらすべての試みにもかかわらず、私たちのウェブサイトはあなたにそのことを思い出させたいのですが 依然として攻撃、ハッキング、およびハッカーによる危害を受ける可能性があります。 私たちの理解を超えた手段を通して。 DropboxやLinkedInのような大企業でもセキュリティの脅威に襲われています.
最後の手段として, あなたのウェブサイトのファイルとデータベースを定期的にバックアップすることを忘れないでください あなたができる時はいつでも.