5 простых правил безопасности входа в WordPress

Успешная стратегия безопасности WordPress должна включать шаги по усилению входа в WordPress. В этом посте мы рассмотрим пять простых правил для повышения безопасности входа в WordPress.

Самое замечательное в WordPress - это то, как он делает создание веб-сайта доступным практически для всех. Но с такой доступностью приходит предсказуемость. Любой, у кого есть опыт работы с WordPress, знает, где вносятся изменения на сайт: через область wp-admin . Они даже знают, куда им нужно перейти, чтобы получить доступ к wp-admin , странице wp-login.php .

К сожалению, создание бота, который будет бродить по Интернету и совершать атаки методом грубой силы, не требует особых навыков, и любой хакер начального уровня может его создать. Поскольку атаки на страницу входа в WordPress имеют низкий барьер входа, безопасность входа в WordPress имеет решающее значение для защиты любого сайта WordPress.

Следуя этим правилам и используя передовые методы безопасности WordPress, вы можете избежать типичных ошибок при входе в систему.

1. Используйте надежные пароли

В Интернете есть много запутанной и противоречивой информации о передовых методах защиты паролей. Чтобы прояснить эту путаницу, давайте разберемся в основах того, как использование надежного пароля повышает безопасность WordPress.

При создании пароля первое, что вам нужно учитывать, - это его длина . В приведенном ниже списке показано примерное время, необходимое для взлома пароля с помощью четырехъядерного процессора i5.

• Для взлома 7 символов потребуется 0,29 миллисекунды.
• Для взлома 8 символов потребуется 5 часов.
• Для взлома 9 символов потребуется 4 месяца.
• На взлом 10 персонажей потребуется 1 десятилетие
• Чтобы взломать 12 персонажей, потребуется 2 века.

Как видите, добавление одного символа к паролю может значительно повысить безопасность входа в систему. Пароль, состоящий не менее чем из 12 символов, случайный и включающий большое количество символов, таких как « ISt8XXa! 28X3 », очень затруднит взлом.

К сожалению, некоторые хакеры используют графические процессоры и более мощные процессоры, чтобы сократить время, необходимое для взлома паролей. Так что, чтобы улучшить ваши логины, также помните об энтропии пароля. Чем выше энтропия пароля, тем сложнее его будет взломать.

Например, исходя только из требований к длине, пароль типа « abcdefghijkl » состоит из 12 символов, что отлично, и на его взлом потребуется 200 лет. Однако, поскольку в пароле используются последовательные строки букв, он делает пароль более предсказуемым по сравнению с паролем типа « rfybolaawtpm », который состоит из случайных символов.

Случайный выбор символов снижает предсказуемость и увеличивает надежность пароля. Но у обоих этих паролей есть одна общая черта, которая в конечном итоге снижает энтропию паролей. Оба используют только строчные буквы, ограничивая пул возможных символов до 26. Вот почему важно включать буквенно-цифровые, прописные буквы и общие символы ASCII, чтобы увеличить количество символов, необходимых для взлома пароля, до 92.

2. Используйте уникальный пароль для каждой учетной записи.

Еще один лучший способ обеспечения безопасности в Интернете - использовать уникальные пароли для каждой учетной записи и входа на веб-сайт, которые у вас есть. Это так важно, мы повторим еще раз: вы должны использовать разные пароли для каждого сайта.

Почему так важно повторное использование паролей? Если вы используете один и тот же пароль для всех сайтов и один из этих сайтов взломан, вы теперь используете скомпрометированный пароль для каждой учетной записи на каждом сайте. Хакеры могут использовать дампы данных скомпрометированных паролей в сочетании с вашим адресом электронной почты или именем пользователя, чтобы получить доступ к вашим учетным записям. Лучше даже не рисковать.

Чем больше у вас будет пользователей, которые повторно используют пароли, тем слабее будет ваша безопасность входа в WordPress. В списке, составленном Splash Data, наиболее распространенным паролем, включенным во все дампы данных, был 123456. Безопасность входа на ваш сайт в WordPress настолько сильна, насколько сильна самая слабая ссылка, поэтому будьте активны с требованиями надежного пароля.

Совет: защитите WordPress от взломанных паролей

Вы можете защитить WordPress от взлома паролей с помощью такого плагина, как iThemes Security Pro. iThemes Security Pro использует API HaveIBeenPwned для определения того, появился ли пароль при утечке данных.

Совет: поощряйте пользователей часто менять пароли

Функции требований к паролю iThemes Security позволяют вам заставить всех ваших пользователей изменить свой пароль при следующем входе в систему. Принуждение пользователей к созданию нового пароля позволяет каждому начать все заново с надежным и бескомпромиссным паролем, что увеличит ваш логин в WordPress безопасность.

Совет: используйте менеджер паролей

В конечном счете, использование диспетчера паролей может помочь вам отслеживать ваши логины и уникальные пароли. С помощью менеджера паролей вам не нужно запоминать свои пароли.

3. Ограничьте количество попыток входа в систему

По умолчанию в WordPress нет ничего, что ограничивало бы количество неудачных попыток входа в систему. Без ограничения количества неудачных попыток входа в систему, которые может сделать злоумышленник, он может продолжать пробовать бесконечное количество имен пользователей и паролей, пока не добьется успеха.

Повысьте безопасность входа в WordPress, установив плагин безопасности WordPress, такой как iThemes Security Pro, чтобы ограничить количество неудачных попыток входа в систему. Функция защиты WordPress от грубой силы iThemes Security Pro дает вам возможность установить количество разрешенных неудачных попыток входа в систему, прежде чем имя пользователя или IP-адрес будут заблокированы. Блокировка временно отключит возможность злоумышленника предпринимать попытки входа в систему. Как только злоумышленники будут заблокированы три раза, им будет запрещено даже просматривать сайт.

4. Ограничьте количество попыток внешней аутентификации по запросу.

Есть и другие способы входа в WordPress, помимо формы входа. Используя XML-RPC, злоумышленник может сделать сотни попыток ввода имени пользователя и пароля за один HTTP-запрос. Метод усиления грубой силы позволяет злоумышленникам делать тысячи попыток ввода имени пользователя и пароля с помощью XML-RPC всего за несколько HTTP-запросов. Когда вы знаете, что злоумышленник может использовать дампы базы данных в качестве отправной точки и делать тысячи предположений за запрос, это делает важность безопасности входа в WordPress гораздо более очевидной.

Кроме того, при разработке плана безопасности входа в WordPress важно знать, что WordPress Rest API добавляет дополнительные способы аутентификации пользователя WordPress. Аутентификация с помощью файлов cookie - это один из методов проверки подлинности, когда вы входите в систему. WordPress автоматически сохраняет файл cookie, поэтому плагины и темы могут выполнять функцию от вашего имени. Аутентификация файлов cookie выиграет от защиты, которую вы добавили в wp-login.php.

5. Используйте двухфакторную аутентификацию.

Я оставил лучший способ повысить безопасность входа в WordPress напоследок: двухфакторную аутентификацию WordPress. Для двухфакторной аутентификации требуется дополнительный код вместе с вашим именем пользователя и паролем WordPress для входа в систему.

Существует множество методов двухфакторной аутентификации, но не все методы одинаковы. По возможности избегайте использования текста для двухфакторной аутентификации. Национальный институт стандартов и технологий больше не рекомендует использовать SMS для отправки и получения кодов аутентификации.

Используя плагин безопасности WordPress, такой как iThemes Security Pro, вы должны включить двухфакторный метод электронной почты или мобильного приложения.

Просто обратите внимание, что многие сайты требуют, чтобы вы использовали адрес электронной почты в качестве имени пользователя. Если злоумышленник взломает один из этих сайтов, следующим шагом будет попытка войти в учетные записи электронной почты, используя новые адреса электронной почты и пароли, которые они украли. Если один из ваших пользователей или клиентов повторно использует взломанные пароли на каждом сайте, его учетная запись электронной почты, а также их двухфакторные коды электронной почты будут скомпрометированы.

Резюме: простой контрольный список безопасности входа в WordPress

Безопасность входа в WordPress должна быть главным приоритетом на каждом сайте. Теперь, когда вы знаете, как повысить безопасность входа на свой сайт, вы можете воспользоваться этой эффективной стратегией предотвращения взлома.

• 1. Используйте надежные пароли
• 2. Используйте уникальные пароли для каждой учетной записи.
• 3. Ограничьте количество попыток входа в систему
• 4. Ограничьте количество попыток аутентификации.
• 5. Используйте двухфакторную аутентификацию.

Плагин безопасности WordPress может помочь защитить ваш сайт WordPress

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 30 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С двухфакторной аутентификацией WordPress, защитой от перебора, надежным паролем и многим другим вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Получите iThemes Security сейчас

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.