Как защитить страницу авторизации на WordPress
Защита сайта не может ограничиваться только с технической стороны, поэтому мы предлагаем к вашему вниманию несколько шагов, которые помогут снизить риск атаки на сайт созданный на WordPress. Странница авторизации на сайте - это одна из наиболее уязвимых страниц, поэтому мы рассмотрим пути повышения уровня ее безопасности.
WordPress для бизнеса. Какие решения существуют? Хостинг cms wordpress всегда доступен от комании ГиперХост
1. Используйте надежный пароль и нестандартное имя
Взлом страницы авторизации является самым распространенным видом атаки на сайт. Если вы без труда можете угадать пароль или имя пользователя, то скорее всего, что сайт будет не просто целью, а скорее станет жертвой. Наведем Топ - 10 самых популярных паролей:
- 123456
- password
- 12345
- 12345678
- qwerty
- 123456789
- 1234
- admin
- 654321
- admin123
Если вы используете один из выше указанных паролей, и ваш сайт имеет хоть какой-то трафик, то скорее всего, его рано или поздно взломают. Для снижения риска взлома используйте надежный пароль и уникальное имя пользователя.
Раньше начиная работу с WordPress, вам приходилось по умолчанию использовать имя “admin”, но сейчас эта функция изменена. В тоже время, большинство веб-администраторов используют имена, которые даются по умолчанию, и не меняют их. Поэтому для смены пароля или имя пользователя вы можете воспользоваться - Admin Renamer Extended.
Дополнительно вы можете установить различные плагины, которые показывают уровень безопасности паролей пользователей сайта. Вы же не хотите, чтоб кто-то с уровнем доступа редактора использовал слабый пароль для доступа, не так ли? Ведь легкие пароли несут существенную угрозу безопасности сайта.
Создать надежный пароль можно с помощью он-лайн генераторов паролей Secure Password Generator, Norton’s Password Generator или LastPass (все они являются бесплатными).
Если вам сложно запомнить пароль, то можно воспользоваться программами по сохранению паролей например: KeePass Password Safe или Dashlane’s password manager.
2. Спрячьте страницу авторизации или страницу wp-admin
Для того, чтоб взломать сайт хакеру, сначала надо найти страницу авторизации. Скрытие страницы авторизации будет защищать вас так, как злоумышленник не сможет определить потенциальную точку входа. Большинство сайтов на WordPress имеют общий механизм входа через yourwebsite.com/login.php.
Попробуйте прописать в строке браузера нужно пример/login.php.
Не работает? Потому что такой адрес не существует. Вход на пример размещен по другому адресу. Вы также запросто можете сменить URL страницы входа.
Похожая ситуация с страницей login.php, которая содержит wp-admin directory и нуждается в защите. Сменить URL достаточно просто, это можно сделать с помощью плагинов WPS Hide Login и Protect Your Admin.
3. Используйте SSL сертификат
SSL (уровень защищённых сокетов) - это дополнительная система защиты, которая делает нечитабельной информацию, что передается из браузера на сервер. В случае, если кто-то попытается перехватить информацию, то информация не будет иметь никакого смысла.
SSL следует использовать на сайтах с подключенными системами оплаты, а также при наличии на сайте любой конфиденциальной информации. SSL обеспечивает безопасность баз данных сайта, содержащих информацию про пользователей. Аналогично SSL влияет на страницы авторизации значительно повышая уровень безопасности сайта.
Приобрести SSL сертификат можно у нас в разделе дополнительные услуги. Мы поможем с его установкой, или самостоятельно вы может установить сертификат используя плагины Really Simple SSL and WP Force SSL.
4. Ограничьте число попыток входа на сайт
Невероятно, но самым простым способом остановки атак на страницу авторизации, есть ограничение числа попыток входа. Взлом сайта происходит методом подбора разных комбинаций имя пользователя и паролей, снова и снова.
Если определенный IP, который совершает попытки взлома, отслеживается, то вы можете блокировать его, тем самым ограничив доступ к сайту и как следствие обезопасить сайт. Это также объясняет, почему глобальные атаки DDOS происходят с использованием нескольких IP адресов и используют разные механизмы атак, для того чтоб скинуть систему защиты хостинга.
Login LockDown и Login Security Solution, этих два плагина предлагают отличные решения для защиты страницы авторизации. Они отслеживают IP адреса и ограничивают число попыток входа для защиты вашего сайта.
5. Двухэтапная система аутентификации
Google Authenticator - это приложения повышения безопасности на сайт написанный на WordPress, приложение работает на Android/iPhone/Blackberry. Приложение может генерировать коды доступа даже без доступа к интернету, а также поддерживает работу с нескольким аккаунтами.
При авторизации на сайте, кроме пароля и логина, вам необходимо будет ввести код, сгенирированный с помощью мобильного устройства. Это приложение следует использовать владельцам или администраторам сайта, и не рекомендуется для установки пользователям с более низким уровнем доступа. Приложение повышает безопасность вашего сайта, так хакер, скорее всего, не имеет доступа к вашему мобильному устройству для генерации кода авторизации.
Дополнительные меры безопасности. При желании, вы также можете воспользоваться полноценными плагинами для повышения безопасности, такими как iThemes или Wordfence, которые предлагают много настроек для защиты процесса аутентификации, в дополнение к общим мерам безопасности WordPress сайтов.
Так же не стоит забывать, что в WordPress всегда небольшая вероятность взлома остается, по этому стоит заранее настроить создание резервных копий сайта. Для создания бек-апов можно использовать бесплатный инструмент, например, Updraft Plus или премиум пакеты VaultPress или BackUp Buddy.
Я надеюсь, эта статья поможет устранить вам уязвимости вашего сайта и повысить уровень его безопасности. Как защитить сайт на WordPress. Способы обезопасить проект от взлома тут.
Позаботьтесь о безопасности Ваших проектов, а компания HyperHost™ обеспечит их стабильную работу.
Перевод статьи с сайта: webhostingsecretrevealed.ne
