5 reguli simple pentru securitatea autentificării WordPress

Publicat: 2022-07-12

O strategie de securitate WordPress de succes ar trebui să includă pași pentru a consolida autentificarea WordPress. În această postare, acoperim cele cinci reguli simple pentru o mai bună securitate a autentificării WordPress.

Lucrul grozav despre WordPress este modul în care face crearea unui site web accesibilă pentru aproape oricine. Dar cu această accesibilitate vine și predictibilitatea. Oricine are experiență de lucru cu WordPress știe unde se fac modificările site-ului: prin zona wp-admin. Ei știu chiar și unde trebuie să meargă pentru a accesa pagina wp-admin, pagina wp-login.php.

În mod implicit, adresa URL de conectare WordPress este aceeași pentru fiecare site WordPress și nu necesită permisiuni speciale pentru a accesa. De aceea, pagina de conectare WordPress este cea mai atacată – și potențial vulnerabilă – parte a oricărui site WordPress.

Din păcate, crearea unui bot care va hoinări pe internet comitând atacuri de forță brută nu necesită foarte multă abilitate și orice hacker de nivel începător poate crea unul. Deoarece atacurile asupra paginii de autentificare WordPress au o barieră scăzută de intrare, securitatea de conectare la WordPress este crucială pentru a securiza orice site WordPress.

Urmând aceste reguli și utilizând cele mai bune practici de securitate WordPress, puteți evita să fiți vulnerabil la greșelile comune de conectare ale utilizatorilor.

1. Folosiți parole puternice

Există o mulțime de informații confuze și contradictorii despre cele mai bune practici de securitate a parolelor pe internet. În efortul de a înlătura această confuzie, să dezvăluim elementele de bază despre modul în care utilizarea unei parole puternice îmbunătățește securitatea WordPress.

Ori de câte ori creați o parolă, primul element pe care veți dori să luați în considerare este lungimea parolei. Lista de mai jos arată timpul estimat necesar pentru a sparge o parolă folosind un procesor i5 cu patru nuclee.

7 caractere vor dura 0,29 milisecunde pentru a sparge.
8 caractere vor dura 5 ore pentru a se sparge.
9 caractere vor dura 5 zile pentru a se sparge.
10 caractere vor dura 4 luni pentru a se sparge
11 caractere vor dura 1 deceniu pentru a se sparge
12 caractere vor dura 2 secole pentru a se sparge.

Așadar, după cum puteți vedea, adăugarea unui singur caracter la parola poate crește semnificativ securitatea autentificarii.

O parolă care are cel puțin 12 caractere lungime, aleatoare și include un număr mare de caractere precum „ ISt8XXa!28X3 ” va face foarte dificil de spart.

Din păcate, unii hackeri folosesc GPU-uri și procesoare mai puternice pentru a reduce timpul necesar pentru spargerea parolelor. Așa că, pentru a vă consolida conexiunile, fiți atenți și la entropia parolei. Cu cât este mai mare entropia parolei, cu atât parola va fi mai dificil de spart.

De exemplu, doar pe baza cerinței de lungime, o parolă precum „abcdefghijkl” are 12 caractere, ceea ce este grozav și ar trebui să dureze 200 de ani pentru a se sparge. Cu toate acestea, deoarece parola utilizează șiruri secvențiale de litere, aceasta face parola mult mai previzibilă în comparație cu o parolă precum „rfybolaawtpm” care are caractere aleatorii.

Randomizarea caracterelor scade predictibilitatea și crește puterea parolei. Dar ambele parole au un lucru în comun care, în cele din urmă, reduce entropia parolei. Ambele folosesc doar litere mici, limitând numărul de caractere posibile la 26. De aceea este vital să includeți litere alfanumerice, majuscule și caractere ASCII comune pentru a crește numărul de caractere necesare pentru a sparge parola la 92.

Sfat: Utilizați un manager de parole precum LastPass pentru a genera și stoca cu ușurință parolele în siguranță.

Sfat: Cel puțin, ar trebui să solicitați utilizatorilor care pot face modificări în WordPress să folosească parole puternice. Folosirea unui plugin de securitate WordPress, cum ar fi iThemes Security Pro, pentru a forța utilizatorii privilegiați să folosească parole puternice, va ajuta la creșterea securității autentificarii WordPress.

2. Folosiți o parolă unică pentru fiecare cont

O altă practică bună pentru securitatea online este utilizarea parolelor unice pentru fiecare cont și site-ul de conectare pe care îl aveți. Acest lucru este atât de important, încât îl vom spune din nou: ar trebui să utilizați o parolă diferită pentru fiecare site.

De ce contează atât de mult reutilizarea parolelor? Dacă utilizați aceeași parolă pentru fiecare site și unul dintre acele site-uri este compromis, acum utilizați o parolă compromisă pentru fiecare cont, pe fiecare site. Hackerii pot folosi depozitele de date ale parolelor compromise asociate cu adresa dvs. de e-mail sau numele de utilizator pentru a obține acces la conturile dvs. Cel mai bine este să nu-ți asumi nici măcar riscul.

Cu cât aveți mai mulți utilizatori care reutilizați parolele, cu atât securitatea dvs. de conectare la WordPress va fi mai slabă.

Într-o listă întocmită de Cybernews, cea mai comună parolă în 2022 a fost 123456. Securitatea de conectare WordPress a site-ului dvs. este la fel de puternică ca și cea mai slabă verigă, așa că fiți proactiv cu cerințe puternice de parolă.

Sfat: Protejați WordPress de parolele compromise

Puteți proteja WordPress de parole compromise cu un plugin precum iThemes Security Pro. iThemes Security Pro profită de API-ul HaveIBeenPwned pentru a detecta dacă o parolă a apărut sau nu într-o încălcare a datelor.

Sfat: încurajați utilizatorii să schimbe frecvent parolele

Funcțiile de cerințe de parolă ale iThemes Security vă permit să forțați toți utilizatorii să-și schimbe parola data viitoare când se conectează. Forțarea utilizatorilor să creeze o nouă parolă, permite tuturor să înceapă din nou cu o parolă puternică și fără compromisuri, ceea ce vă va crește datele de conectare la WordPress Securitate.

Sfat: utilizați un manager de parole

În cele din urmă, folosirea unui manager de parole vă poate ajuta să vă urmăriți login-urile și parolele unice. Cu ajutorul unui manager de parole, nu trebuie să vă amintiți parolele.

3. Limitați încercările de conectare

În mod implicit, nu există nimic încorporat în WordPress care să limiteze numărul de încercări eșuate de conectare pe care cineva le poate face. Fără o limită a numărului de încercări eșuate de conectare pe care un atacator le poate face, acesta poate continua să încerce un număr nesfârșit de nume de utilizator și parole până când au succes.

Creșteți-vă securitatea de conectare WordPress instalând un plugin de securitate WordPress, cum ar fi iThemes Security Pro, pentru a limita numărul de încercări de conectare eșuate. Caracteristica iThemes Security Pro WordPress Brute Force Protection vă oferă puterea de a seta numărul de încercări de conectare eșuate permise înainte ca un nume de utilizator sau IP să fie blocat. O blocare va dezactiva temporar capacitatea atacatorului de a face încercări de conectare. Odată ce atacatorii au fost blocați de trei ori, li se va interzice chiar și să vizualizeze site-ul. Notă: când decideți cât de stricte doriți să fie regulile pentru încercările eșuate de conectare, țineți cont de utilizatorii actuali ai site-ului dvs. Dacă faceți ca regulile de blocare să fie prea neiertătoare, riscați să blocați din greșeală utilizatorii reali.

4. Limitați încercările de autentificare din exterior pe cerere

Există și alte modalități de a vă conecta la WordPress în afară de utilizarea unui formular de conectare. Folosind XML-RPC, un atacator poate face sute de încercări de nume de utilizator și parolă într-o singură solicitare HTTP. Metoda de amplificare a forței brute permite atacatorilor să facă mii de încercări de nume de utilizator și parole folosind XML-RPC în doar câteva solicitări HTTP. Când știți că un atacator poate folosi depozitele bazei de date ca punct de plecare și poate face mii de ghiciri per solicitare, aceasta face mult mai clară importanța securității autentificarii WordPress. Folosind setările WordPress Tweaks de la iThemes Security Pro, puteți bloca mai multe încercări de autentificare pentru fiecare solicitare XML-RPC. Limitarea numărului de încercări de nume de utilizator și parolă la una pentru fiecare solicitare va ajuta în mare măsură să vă securizați autentificarea WordPress.

În plus, atunci când vă dezvoltați planul de securitate pentru autentificare WordPress, este important să fiți conștient de faptul că API-ul WordPress Rest adaugă modalități suplimentare de autentificare a unui utilizator WordPress. Autentificarea cookie-urilor este o metodă de autentificare atunci când vă conectați WordPress stochează automat un cookie, astfel încât pluginurile și temele să poată îndeplini o funcție în numele dvs. Autentificarea prin cookie-uri va beneficia de protecțiile pe care le-ați adăugat la wp-login.php.

5. Utilizați autentificarea cu doi factori

Am salvat cea mai bună metodă de a crește securitatea autentificarii WordPress pentru final: autentificarea cu doi factori WordPress. Autentificarea cu doi factori necesită un cod suplimentar împreună cu numele de utilizator și parola WordPress pentru a vă conecta.

Există multe metode de autentificare cu doi factori, dar nu toate metodele sunt create egale. Dacă puteți, evitați utilizarea SMS-urilor pentru autentificarea cu doi factori. Institutul Național de Standarde și Tehnologie nu mai recomandă utilizarea SMS-ului pentru a trimite și a primi coduri de autentificare.

Folosind un plugin de securitate WordPress, cum ar fi iThemes Security Pro, ar trebui să activați metoda de e-mail sau aplicația mobilă a doi factori.

Doar rețineți că multe site-uri necesită să utilizați o adresă de e-mail ca nume de utilizator. Dacă un atacator pirata unul dintre aceste site-uri, următorul pas va fi să încerce să se conecteze la conturi de e-mail folosind noile adrese de e-mail și parole pe care le-a furat. Dacă unul dintre utilizatorii sau clienții tăi reutiliza parole compromise pe fiecare site, contul său de e-mail, împreună cu codurile de e-mail cu doi factori, vor fi compromise. Metoda cu doi factori a aplicației mobile va face cel mai mult pentru a crește securitatea autentificării WordPress. Codul de autentificare suplimentar necesar pentru autentificare va fi trimis pe telefonul utilizatorului. Așadar, chiar dacă un atacator are acces la acreditările WordPress și la e-mail, nu va exista nicio modalitate de a se conecta.

Recapitulare: O listă simplă de verificare a securității autentificării WordPress

Securitatea autentificării WordPress ar trebui să fie o prioritate de top pe fiecare site. Acum că știți cum să creșteți securitatea de conectare pe site-ul dvs., puteți profita de această strategie eficientă de prevenire a atacurilor.

1. Folosiți parole puternice
2. Folosiți parole unice pentru fiecare cont
3. Limitați încercările de conectare
4. Limitați încercările de autentificare
5. Utilizați autentificarea cu doi factori

Obțineți conținutul bonus: Un ghid pentru securitatea WordPress

Click aici

Cel mai bun plugin de securitate WordPress pentru a securiza și proteja WordPress

WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. Pluginul iThemes Security Pro elimină presupunerile din securitatea WordPress pentru a facilita securizarea și protejarea site-ului dvs. WordPress. Este ca și cum ai avea în personal un expert în securitate cu normă întreagă care monitorizează și protejează constant site-ul tău WordPress pentru tine.

Obțineți iThemes Security Pro

Kristen Wright

Kristen a scris tutoriale pentru a ajuta utilizatorii WordPress din 2011. În calitate de director de marketing aici la iThemes, ea este dedicată să vă ajute să găsiți cele mai bune modalități de a construi, gestiona și menține site-uri web WordPress eficiente. De asemenea, lui Kristen îi place să scrie în jurnal (vezi proiectul ei paralel, The Transformation Year !), drumeții și camping, aerobic, gătit și aventurile zilnice cu familia ei, sperând să trăiască o viață mai prezentă.