5 prostych zasad bezpieczeństwa logowania WordPress

Opublikowany: 2022-07-12

Skuteczna strategia bezpieczeństwa WordPress powinna obejmować kroki mające na celu wzmocnienie logowania WordPress. W tym poście omówimy pięć prostych zasad dla lepszego bezpieczeństwa logowania do WordPressa.

Wspaniałą rzeczą w WordPressie jest to, że tworzenie strony internetowej jest dostępne dla prawie każdego. Ale z tą dostępnością wiąże się przewidywalność. Każdy, kto ma doświadczenie w pracy z WordPressem, wie, gdzie wprowadzane są zmiany na stronie: za pośrednictwem obszaru wp-admin. Wiedzą nawet, gdzie muszą się udać, aby uzyskać dostęp do wp-admin, strony wp-login.php.

Domyślnie adres URL logowania do WordPressa jest taki sam dla każdej witryny WordPress i nie wymaga żadnych specjalnych uprawnień dostępu. Właśnie dlatego strona logowania do WordPressa jest najbardziej atakowaną i potencjalnie podatną na ataki częścią dowolnej witryny WordPress.

Niestety, stworzenie bota, który będzie wędrował po Internecie i przeprowadzał ataki typu brute force, nie wymaga dużych umiejętności, a każdy haker na poziomie początkującym może go stworzyć. Ponieważ ataki na stronę logowania WordPress mają niską barierę wejścia, bezpieczeństwo logowania WordPress ma kluczowe znaczenie dla zabezpieczenia dowolnej witryny WordPress.

Przestrzegając tych zasad i stosując najlepsze praktyki bezpieczeństwa WordPress, możesz uniknąć typowych błędów logowania użytkowników.

1. Używaj silnych haseł

W Internecie jest wiele mylących i sprzecznych informacji na temat najlepszych praktyk w zakresie bezpieczeństwa haseł. Aby wyjaśnić to zamieszanie, przedstawmy podstawy tego, jak używanie silnego hasła poprawia bezpieczeństwo WordPressa.

Za każdym razem, gdy tworzysz hasło, pierwszą rzeczą, którą będziesz chciał wziąć pod uwagę, jest długość hasła. Poniższa lista pokazuje szacowany czas potrzebny do złamania hasła przy użyciu czterordzeniowego procesora i5.

Złamanie 7 znaków zajmie 0,29 milisekundy.
Złamanie 8 znaków zajmie 5 godzin.
Złamanie 9 znaków zajmie 5 dni.
Złamanie 10 znaków zajmie 4 miesiące
Złamanie 11 znaków zajmie 1 dekadę
Złamanie 12 znaków zajmie 2 wieki.

Jak widać, dodanie jednego znaku do hasła może znacznie zwiększyć bezpieczeństwo logowania.

Hasło, które ma co najmniej 12 znaków, jest losowe i zawiera dużą pulę znaków, np. „ ISt8XXa!28X3 ”, sprawi, że będzie bardzo trudne do złamania.

Niestety, niektórzy hakerzy wykorzystują procesory graficzne i mocniejsze procesory, aby skrócić czas potrzebny do łamania haseł. Aby wzmocnić swoje loginy, pamiętaj również o entropii hasła. Im wyższa entropia hasła, tym trudniej będzie je złamać.

Na przykład, w oparciu tylko o wymagania dotyczące długości, hasło takie jak „abcdefghijkl” ma 12 znaków, co jest świetne i powinno zająć 200 lat. Ponieważ jednak hasło wykorzystuje sekwencyjne ciągi liter, sprawia, że hasło jest znacznie bardziej przewidywalne w porównaniu z hasłem takim jak „rfybolaawtpm”, które ma losowe znaki.

Losowanie znaków zmniejsza przewidywalność i zwiększa siłę hasła. Ale oba te hasła mają jedną wspólną cechę, która ostatecznie zmniejsza entropię hasła. Oba używają tylko małych liter, ograniczając pulę możliwych znaków do 26. Dlatego ważne jest, aby uwzględnić litery alfanumeryczne, wielkie litery i typowe znaki ASCII, aby zwiększyć pulę znaków potrzebnych do złamania hasła do 92.

Wskazówka: Użyj menedżera haseł, takiego jak LastPass, aby łatwo generować i bezpiecznie przechowywać hasła.

Wskazówka: przynajmniej powinieneś wymagać od użytkowników, którzy mogą wprowadzać zmiany w WordPressie, aby używali silnych haseł. Korzystanie z wtyczki zabezpieczającej WordPress, takiej jak iThemes Security Pro, aby zmusić uprzywilejowanych użytkowników do używania silnych haseł, pomoże zwiększyć bezpieczeństwo logowania WordPress.

2. Użyj unikalnego hasła dla każdego konta

Inną najlepszą praktyką w zakresie bezpieczeństwa online jest używanie unikalnych haseł dla każdego konta i loginu do witryny. To bardzo ważne, powiemy to jeszcze raz: powinieneś używać innego hasła dla każdej witryny.

Dlaczego ponowne używanie haseł ma takie znaczenie? Jeśli używasz tego samego hasła dla każdej witryny, a jedna z tych witryn zostanie przejęta, teraz używasz zhakowanego hasła dla każdego konta w każdej witrynie. Hakerzy mogą używać zrzutów danych z przejętymi hasłami w połączeniu z Twoim adresem e-mail lub nazwą użytkownika, aby uzyskać dostęp do Twoich kont. Najlepiej nawet nie ryzykować.

Im więcej masz użytkowników, którzy ponownie używają haseł, tym słabsze będzie Twoje bezpieczeństwo logowania do WordPressa.

Na liście opracowanej przez Cybernews najczęstszym hasłem w 2022 r. było 123456. Bezpieczeństwo logowania WordPress do Twojej witryny jest tak silne, jak najsłabsze łącze, więc bądź proaktywny, stosując silne wymagania dotyczące haseł.

Wskazówka: chroń WordPress przed złamanymi hasłami

Możesz chronić WordPressa przed złamanymi hasłami za pomocą wtyczki takiej jak iThemes Security Pro. iThemes Security Pro wykorzystuje API HaveIBeenPwned do wykrywania, czy hasło pojawiło się w przypadku naruszenia danych.

Wskazówka: zachęcaj użytkowników do częstej zmiany haseł

Funkcje iThemes Security dotyczące wymagań dotyczących hasła pozwalają zmusić wszystkich użytkowników do zmiany hasła przy następnym logowaniu. Zmuszenie użytkowników do utworzenia nowego hasła pozwala każdemu zacząć od nowa z silnym i bezkompromisowym hasłem, co zwiększy twoje logowanie do WordPressa bezpieczeństwo.

Wskazówka: użyj menedżera haseł

Ostatecznie korzystanie z menedżera haseł może pomóc w śledzeniu swoich loginów i unikalnych haseł. Z pomocą menedżera haseł nie musisz pamiętać swoich haseł.

3. Ogranicz próby logowania

Domyślnie w WordPress nie ma nic wbudowanego, aby ograniczyć liczbę nieudanych prób logowania, które ktoś może wykonać. Bez ograniczenia liczby nieudanych prób logowania, jakie może wykonać osoba atakująca, mogą próbować nieskończonej liczby nazw użytkowników i haseł, aż do skutku.

Zwiększ bezpieczeństwo logowania WordPress, instalując wtyczkę bezpieczeństwa WordPress, taką jak iThemes Security Pro, aby ograniczyć liczbę nieudanych prób logowania. Funkcja iThemes Security Pro WordPress Brute Force Protection daje możliwość ustawienia liczby dozwolonych nieudanych prób logowania przed zablokowaniem nazwy użytkownika lub adresu IP. Blokada tymczasowo wyłączy możliwość podejmowania prób logowania przez atakującego. Gdy atakujący zostaną trzykrotnie zablokowani, nie będą mogli nawet przeglądać witryny. Uwaga: Decydując o tym, jak surowe mają być reguły dotyczące nieudanych prób logowania, pamiętaj o rzeczywistych użytkownikach Twojej witryny. Jeśli sprawisz, że zasady blokady będą zbyt bezlitosne, ryzykujesz nieumyślne zablokowanie prawdziwych użytkowników.

4. Ogranicz zewnętrzne próby uwierzytelnienia na żądanie

Istnieją inne sposoby logowania się do WordPressa poza użyciem formularza logowania. Korzystając z XML-RPC, osoba atakująca może wykonać setki prób podania nazwy użytkownika i hasła w jednym żądaniu HTTP. Metoda amplifikacji brute force umożliwia atakującym tysiące prób nazwy użytkownika i hasła przy użyciu XML-RPC w zaledwie kilku żądaniach HTTP. Kiedy wiesz, że atakujący może użyć zrzutów bazy danych jako punktu wyjścia i wykonać tysiące zgadnięć na żądanie, znacznie jaśniejsze znaczenie bezpieczeństwa logowania do WordPressa. Korzystając z ustawień WordPress Tweaks iThemes Security Pro, możesz zablokować wiele prób uwierzytelnienia na żądanie XML-RPC. Ograniczenie liczby prób podania nazwy użytkownika i hasła do jednego na każde żądanie znacznie pomoże w zabezpieczeniu logowania do WordPressa.

Ponadto podczas opracowywania planu bezpieczeństwa logowania WordPress ważne jest, aby mieć świadomość, że WordPress Rest API dodaje dodatkowe sposoby uwierzytelniania użytkownika WordPress. Uwierzytelnianie za pomocą plików cookie to jedna z metod uwierzytelniania podczas logowania WordPress automatycznie przechowuje plik cookie, aby wtyczki i motywy mogły pełnić funkcję w Twoim imieniu. Uwierzytelnianie plików cookie skorzysta z zabezpieczeń dodanych do wp-login.php.

5. Użyj uwierzytelniania dwuskładnikowego

Na koniec zapisałem najlepszą metodę zwiększenia bezpieczeństwa logowania WordPress: dwuskładnikowe uwierzytelnianie WordPress. Uwierzytelnianie dwuskładnikowe wymaga dodatkowego kodu wraz z nazwą użytkownika i hasłem WordPress, aby się zalogować.

Istnieje wiele metod uwierzytelniania dwuskładnikowego, ale nie wszystkie metody są sobie równe. Jeśli możesz, unikaj używania SMS-ów do uwierzytelniania dwuskładnikowego. Narodowy Instytut Standardów i Technologii nie zaleca już używania SMS-ów do wysyłania i odbierania kodów uwierzytelniających.

Korzystając z wtyczki zabezpieczającej WordPress, takiej jak iThemes Security Pro, należy włączyć dwuskładnikową metodę poczty e-mail lub aplikacji mobilnej.

Pamiętaj tylko, że wiele witryn wymaga podania adresu e-mail jako nazwy użytkownika. Jeśli atakujący włamie się na jedną z tych witryn, następnym krokiem będzie próba zalogowania się na konta e-mail przy użyciu nowych adresów e-mail i haseł, które ukradł. Jeśli jeden z Twoich użytkowników lub klientów ponownie używa złamanych haseł w każdej witrynie, jego konto e-mail wraz z dwuskładnikowymi kodami e-mail zostanie naruszone. Dwuskładnikowa metoda aplikacji mobilnej w największym stopniu zwiększy bezpieczeństwo logowania do WordPressa. Dodatkowy kod uwierzytelniający wymagany do zalogowania zostanie wysłany na telefon użytkownika. Tak więc, nawet jeśli atakujący ma dostęp do danych uwierzytelniających WordPress i poczty e-mail, nadal nie będzie mógł się zalogować.

Przypomnienie: Prosta lista kontrolna bezpieczeństwa logowania WordPress

Bezpieczeństwo logowania WordPress powinno być najwyższym priorytetem w każdej witrynie. Teraz, gdy wiesz, jak zwiększyć bezpieczeństwo logowania w swojej witrynie, możesz skorzystać z tej skutecznej strategii zapobiegania włamaniom.

1. Używaj silnych haseł
2. Używaj unikalnych haseł dla każdego konta
3. Ogranicz próby logowania
4. Ogranicz próby uwierzytelnienia
5. Użyj uwierzytelniania dwuskładnikowego

Zdobądź dodatkową zawartość: Przewodnik po zabezpieczeniach WordPress

Kliknij tutaj

Najlepsza wtyczka bezpieczeństwa WordPress do zabezpieczania i ochrony WordPressa

WordPress obsługuje obecnie ponad 40% wszystkich stron internetowych, więc stał się łatwym celem dla hakerów o złych zamiarach. Wtyczka iThemes Security Pro eliminuje zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczenie i ochronę witryny WordPress. To tak, jakby zatrudniać pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.

Uzyskaj iThemes Security Pro

Kristen Wright

Kristen pisze samouczki, które pomagają użytkownikom WordPressa od 2011 roku. Jako dyrektor ds. marketingu w iThemes, poświęca się pomaganiu Ci w znalezieniu najlepszych sposobów tworzenia, zarządzania i utrzymywania skutecznych witryn WordPress. Kristen lubi także prowadzić dzienniki (sprawdź jej projekt poboczny, The Transformation Year !), wędrować i biwakować, stepować aerobik, gotować i codzienne przygody z rodziną, mając nadzieję na bardziej obecne życie.