5 reguli simple pentru securitatea conectării WordPress

Publicat: 2020-09-25

O strategie de securitate WordPress de succes ar trebui să includă pași pentru consolidarea autentificării WordPress. În această postare, acoperim cele cinci reguli simple pentru o mai bună securitate de conectare la WordPress.

Lucrul minunat despre WordPress este modul în care face ca crearea unui site web să fie accesibilă pentru aproape oricine. Dar odată cu această accesibilitate vine previzibilitatea. Oricine are experiență de lucru cu WordPress știe unde se fac modificările site-ului: prin zona wp-admin . Știu chiar unde trebuie să meargă pentru a accesa wp-admin , pagina wp-login.php .

În mod implicit, adresa URL de conectare WordPress este aceeași pentru fiecare site WordPress și nu necesită permisiuni speciale pentru acces. De aceea, pagina de autentificare WordPress este cea mai atacată - și potențial vulnerabilă - parte a oricărui site WordPress.

Din păcate, crearea unui bot care să parcurgă internetul care comite atacuri de forță brută nu necesită prea multă abilitate și orice hacker la nivel de începător poate crea unul. Deoarece atacurile asupra paginii de conectare WordPress au o barieră scăzută de intrare, securitatea conectării WordPress este crucială pentru securizarea oricărui site WordPress.

Urmând aceste reguli și folosind cele mai bune practici de securitate WordPress, puteți evita să fiți vulnerabili la greșelile obișnuite de conectare ale utilizatorilor.

Securitate de conectare WordPress

1. Folosiți parole puternice

Există o mulțime de informații confuze și contradictorii despre cele mai bune practici de securitate a parolelor pe internet. Într-un efort de a clarifica această confuzie, să descompunem noțiunile de bază despre modul în care utilizarea unei parole puternice îmbunătățește securitatea WordPress.

Ori de câte ori creați o parolă, primul element pe care doriți să îl luați în considerare este lungimea parolei. Lista de mai jos arată timpul estimat pentru a sparge o parolă folosind un procesor i5 cu patru nuclee.

7 caractere vor dura 0,29 milisecunde pentru a se sparge.
8 caractere vor dura 5 ore pentru a sparge.
9 personaje vor dura 4 luni pentru a sparge.
10 personaje vor dura 1 deceniu pentru a sparge
12 personaje vor dura 2 secole pentru a sparge.

Așa cum puteți vedea, adăugarea unui singur caracter la parola dvs. poate crește semnificativ securitatea datelor de conectare. O parolă care are cel puțin 12 caractere, aleatorie și include un grup mare de caractere precum „ ISt8XXa! 28X3 ” va face foarte dificilă spargerea.

Din păcate, unii hackeri folosesc GPU-uri și procesoare mai puternice pentru a reduce timpul necesar pentru a sparge parolele. Deci, pentru a vă consolida datele de conectare, țineți cont și de entropia parolei. Cu cât este mai mare entropia parolei, cu atât parola va fi mai dificilă de spart.

De exemplu, bazându-ne doar pe cerința de lungime, o parolă precum „ abcdefghijkl ” are 12 caractere, ceea ce este minunat și ar trebui să dureze 200 de ani. Cu toate acestea, deoarece parola utilizează șiruri secvențiale de litere, aceasta face parola mult mai previzibilă în comparație cu o parolă precum „ rfybolaawtpm ” care are caractere randomizate.

Randomizarea caracterelor scade predictibilitatea și crește puterea parolei. Dar ambele parole au un lucru în comun care reduce în cele din urmă entropia parolei. Ambele folosesc doar litere mici, limitând grupul de caractere posibile la 26. De aceea este vital să includeți litere alfanumerice, majuscule și caractere ASCII comune pentru a mări grupul de caractere necesare pentru a sparge parola la 92.

Sfat: utilizați un manager de parole precum LastPass pentru a genera și a stoca parolele cu ușurință.

Sfat: cel puțin, ar trebui să solicitați utilizatorilor care pot face modificări la WordPress pentru a utiliza parole puternice. Utilizarea unui plugin de securitate WordPress precum iThemes Security Pro pentru a forța utilizatorii privilegiați să utilizeze parole puternice va ajuta la creșterea securității de conectare la WordPress.

2. Folosiți o parolă unică pentru fiecare cont

O altă bună practică pentru securitatea online este utilizarea parolelor unice pentru fiecare cont și site de conectare pe care le aveți. Acest lucru este atât de important, îl vom spune din nou: ar trebui să utilizați o parolă diferită pentru fiecare site.

De ce contează atât de mult refolosirea parolelor? Dacă utilizați aceeași parolă pentru fiecare site și unul dintre aceste site-uri este compromis, utilizați acum o parolă compromisă pentru fiecare cont, pe fiecare site. Hackerii pot utiliza stocări de date de parole compromise asociate cu adresa dvs. de e-mail sau numele de utilizator pentru a avea acces la conturile dvs. Cel mai bine este să nu riscați nici măcar.

Cu cât aveți mai mulți utilizatori care refolosesc parolele, cu atât va fi mai slabă securitatea de conectare la WordPress. Într-o listă compilată de Splash Data, cea mai obișnuită parolă inclusă în toate depozitele de date a fost 123456. Securitatea de conectare WordPress a site-ului dvs. este la fel de puternică precum cea mai slabă legătură, deci fiți proactivi cu cerințe de parolă puternice.

Sfat: Protejați WordPress de parole compromise

Puteți proteja WordPress de parole compromise cu un plugin precum iThemes Security Pro. iThemes Security Pro profită de API-ul HaveIBeenPwned pentru a detecta dacă a apărut sau nu o parolă într-o încălcare a datelor.

Sfat: încurajați utilizatorii să schimbe frecvent parolele

Funcțiile de Cerințe de parolă ale iThemes Security vă permit să forțați toți utilizatorii să își schimbe parola data viitoare când se conectează. Forțarea utilizatorilor să creeze o parolă nouă, permite tuturor să înceapă proaspăt cu o parolă puternică și fără compromisuri, ceea ce va crește datele de conectare WordPress Securitate.

Sfat: utilizați un manager de parole

În cele din urmă, utilizarea unui manager de parole vă poate ajuta să vă urmăriți datele de conectare și parolele unice. Cu ajutorul unui manager de parole, nu trebuie să vă amintiți parolele.

3. Limitați încercările de conectare

În mod implicit, nu există nimic încorporat în WordPress pentru a limita numărul de încercări eșuate de conectare pe care le poate face cineva. Fără o limită a numărului de încercări de conectare nereușite pe care le poate face un atacator, pot continua să încerce un număr nesfârșit de nume de utilizator și parole până când vor avea succes.

Sporiți securitatea de conectare la WordPress instalând un plugin de securitate WordPress precum iThemes Security Pro pentru a limita numărul de încercări de conectare nereușite. Funcția iThemes Security Pro WordPress Brute Force Protection vă oferă puterea de a seta numărul de încercări de autentificare eșuate permise înainte ca un nume de utilizator sau un IP să fie blocat. Un blocaj va dezactiva temporar capacitatea atacatorului de a efectua încercări de conectare. Odată ce atacatorii au fost blocați de trei ori, li se va interzice accesul chiar la site.

Notă: atunci când decideți cât de stricte doriți să fie regulile dvs. pentru încercările eșuate de conectare, țineți cont de utilizatorii reali ai site-ului dvs. Dacă faceți ca regulile de blocare să fie prea neiertătoare, riscați să blocați din greșeală utilizatori reali.

4. Limitați încercările de autentificare în afara cererii

Există și alte modalități de a vă conecta la WordPress pe lângă utilizarea unui formular de autentificare. Folosind XML-RPC, un atacator poate efectua sute de încercări de nume de utilizator și parolă într-o singură cerere HTTP. Metoda de amplificare a forței brute permite atacatorilor să facă mii de încercări de nume de utilizator și parolă folosind XML-RPC în doar câteva solicitări HTTP. Când știți că un atacator poate folosi dumpurile de baze de date ca punct de plecare și poate face mii de presupuneri pe cerere, este mult mai clară importanța securității de conectare WordPress.

Folosind setările WordPress Tweaks ale iThemes Security Pro, puteți bloca mai multe încercări de autentificare pentru fiecare solicitare XML-RPC. Limitarea numărului de încercări de nume de utilizator și parolă la una pentru fiecare solicitare va ajuta mult în asigurarea autentificării dvs. WordPress.

În plus, atunci când vă dezvoltați planul de securitate de conectare la WordPress, este important să fiți conștient de faptul că API-ul WordPress Rest adaugă modalități suplimentare de autentificare a unui utilizator WordPress. Autentificarea cookie-urilor este o metodă de autentificare atunci când vă conectați la WordPress stochează automat un cookie, astfel încât pluginurile și temele să poată îndeplini o funcție în numele dvs. Autentificarea cookie-urilor va beneficia de protecțiile pe care le-ați adăugat la wp-login.php.

5. Utilizați autentificarea cu doi factori

Am salvat cea mai bună metodă de a crește securitatea de conectare la WordPress pentru ultima: autentificarea cu doi factori WordPress. Autentificarea în doi factori necesită un cod suplimentar împreună cu numele de utilizator și parola WordPress pentru a vă conecta.

Există multe metode de autentificare cu doi factori, dar nu toate metodele sunt create egale. Dacă puteți, evitați utilizarea textului pentru autentificarea cu doi factori. Institutul Național de Standarde și Tehnologie nu mai recomandă utilizarea SMS-urilor pentru a trimite și primi coduri de autentificare.

Folosind un plugin de securitate WordPress, cum ar fi iThemes Security Pro, ar trebui să activați metoda de e-mail sau aplicația mobilă cu doi factori.

Rețineți că multe site-uri necesită utilizarea unei adrese de e-mail ca nume de utilizator. Dacă un atacator piratează unul dintre aceste site-uri, următorul pas va fi să încercați să vă conectați la conturi de e-mail folosind noile adrese de e-mail și parole pe care le-au furat. Dacă unul dintre utilizatorii sau clienții dvs. reutilizează parolele compromise pe fiecare site, contul lor de e-mail, împreună cu codurile lor de e-mail cu doi factori, vor fi compromise.

Metoda aplicației mobile cu doi factori va face cel mai mult pentru a crește securitatea de conectare WordPress. Codul de autentificare suplimentar necesar pentru conectare va fi trimis pe telefonul utilizatorului. Deci, chiar dacă un atacator are acces la acreditările WordPress și e-mail, tot nu va exista nicio modalitate de a se conecta.

Recapitulare: o listă simplă de verificare a securității autentificării WordPress

Securitatea de conectare WordPress ar trebui să fie o prioritate de top pe fiecare site. Acum, că știți cum să creșteți securitatea de conectare pe site-ul dvs., puteți profita de această strategie eficientă de prevenire a hack-urilor.

1. Folosiți parole puternice
2. Folosiți parole unice pentru fiecare cont
3. Limitați încercările de conectare
4. Limitați încercările de autentificare
5. Utilizați autentificarea cu doi factori

plugin de securitate wordpress

Un plugin de securitate WordPress vă poate ajuta să vă securizați site-ul WordPress

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 30 de moduri de a vă proteja și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu autentificarea cu doi factori WordPress, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Obțineți iThemes Security acum

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.