5 простых правил безопасности входа в WordPress

Опубликовано: 2022-07-12

Успешная стратегия безопасности WordPress должна включать меры по усилению входа в WordPress. В этом посте мы рассмотрим пять простых правил для повышения безопасности входа в WordPress.

Самое замечательное в WordPress то, что он делает создание веб-сайта доступным практически для всех. Но с этой доступностью приходит предсказуемость. Любой, у кого есть опыт работы с WordPress, знает, где вносятся изменения на сайт: через область wp-admin. Они даже знают, куда им нужно перейти, чтобы получить доступ к wp-admin, странице wp-login.php.

По умолчанию URL-адрес входа в WordPress одинаков для всех сайтов WordPress, и для доступа к нему не требуются специальные разрешения. Вот почему страница входа в WordPress является наиболее атакуемой и потенциально уязвимой частью любого сайта WordPress.

К сожалению, создание бота, который будет бродить по Интернету и совершать атаки грубой силы, не требует особых навыков, и любой хакер начального уровня может создать его. Поскольку атаки на страницу входа в WordPress имеют низкий барьер входа, безопасность входа в WordPress имеет решающее значение для защиты любого сайта WordPress.

Следуя этим правилам и применяя лучшие практики безопасности WordPress, вы можете избежать уязвимости к распространенным ошибкам входа пользователей.

1. Используйте надежные пароли

В Интернете есть много запутанной и противоречивой информации о передовых методах защиты паролей. Чтобы прояснить эту путаницу, давайте разберем основы того, как использование надежного пароля повышает вашу безопасность WordPress.

Всякий раз, когда вы создаете пароль, первое, что вам нужно учитывать, — это длина пароля. В приведенном ниже списке показано примерное время, необходимое для взлома пароля с использованием четырехъядерного процессора i5.

Для взлома 7 символов потребуется 0,29 миллисекунды.
На взлом 8 персонажей уйдет 5 часов.
На взлом 9 персонажей уйдет 5 дней.
10 персонажей будут взломаны за 4 месяца
На взлом 11 персонажей уйдет 1 десятилетие
На взлом 12 персонажей уйдет 2 века.

Как видите, добавление одного символа к вашему паролю может значительно повысить безопасность вашего входа в систему.

Пароль длиной не менее 12 символов, случайный и включающий в себя большой набор символов, таких как « ISt8XXa!28X3 », очень затруднит взлом.

К сожалению, некоторые хакеры используют графические процессоры и более мощные процессоры, чтобы сократить время, необходимое для взлома паролей. Поэтому, чтобы усилить свои логины, также помните об энтропии вашего пароля. Чем выше энтропия пароля, тем сложнее будет его взломать.

Например, исходя только из требований к длине, пароль типа «abcdefghijkl» состоит из 12 символов, что отлично, и для его взлома потребуется 200 лет. Однако, поскольку пароль использует последовательные строки букв, он делает пароль более предсказуемым по сравнению с таким паролем, как «rfybolaawtpm», в котором используются случайные символы.

Рандомизация символов снижает предсказуемость и повышает надежность пароля. Но у обоих этих паролей есть одна общая черта, которая в конечном итоге снижает энтропию пароля. В обоих случаях используются только буквы нижнего регистра, что ограничивает набор возможных символов до 26. Вот почему очень важно включать буквенно-цифровые буквы, буквы верхнего регистра и общие символы ASCII, чтобы увеличить количество символов, необходимых для взлома пароля, до 92.

Совет: используйте менеджер паролей, например LastPass, чтобы легко генерировать и безопасно хранить пароли.

Совет: по крайней мере, вы должны требовать от пользователей, которые могут вносить изменения в WordPress, использовать надежные пароли. Использование плагина безопасности WordPress, такого как iThemes Security Pro, чтобы заставить привилегированных пользователей использовать надежные пароли, поможет повысить безопасность входа в WordPress.

2. Используйте уникальный пароль для каждой учетной записи

Еще одна лучшая практика для онлайн-безопасности — использование уникальных паролей для каждой учетной записи и входа на веб-сайт, которые у вас есть. Это настолько важно, что мы повторим еще раз: вы должны использовать разные пароли для каждого сайта.

Почему повторное использование паролей так важно? Если вы используете один и тот же пароль для каждого сайта, и один из этих сайтов скомпрометирован, теперь вы используете скомпрометированный пароль для каждой учетной записи на каждом сайте. Хакеры могут использовать дампы данных скомпрометированных паролей в сочетании с вашим адресом электронной почты или именем пользователя, чтобы получить доступ к вашим учетным записям. Лучше даже не рисковать.

Чем больше у вас пользователей, которые повторно используют пароли, тем слабее будет ваша безопасность входа в WordPress.

В списке, составленном Cybernews, самым распространенным паролем в 2022 году был 123456. Безопасность входа в систему WordPress на вашем сайте настолько надежна, насколько надежна самая слабая ссылка, поэтому будьте активны с требованиями к надежному паролю.

Совет: защитите WordPress от скомпрометированных паролей

Вы можете защитить WordPress от скомпрометированных паролей с помощью такого плагина, как iThemes Security Pro. iThemes Security Pro использует API-интерфейс HaveIBeenPwned, чтобы определить, появился ли пароль при утечке данных.

Совет: поощряйте пользователей часто менять пароли

Функции требований к паролю iThemes Security позволяют вам заставить всех ваших пользователей сменить пароль при следующем входе в систему. Принуждение пользователей к созданию нового пароля позволяет всем начать заново с надежным и бескомпромиссным паролем, что увеличит ваш логин WordPress. безопасность.

Совет: используйте менеджер паролей

В конечном счете, использование менеджера паролей может помочь вам отслеживать ваши логины и уникальные пароли. С помощью менеджера паролей вам не нужно запоминать пароли.

3. Ограничьте количество попыток входа

По умолчанию в WordPress нет ничего, что ограничивало бы количество неудачных попыток входа в систему. Без ограничения количества неудачных попыток входа в систему злоумышленник может продолжать использовать бесконечное количество имен пользователей и паролей, пока не добьется успеха.

Повысьте безопасность входа в WordPress, установив плагин безопасности WordPress, такой как iThemes Security Pro, чтобы ограничить количество неудачных попыток входа. Функция iThemes Security Pro WordPress Brute Force Protection дает вам возможность установить количество разрешенных неудачных попыток входа в систему, прежде чем имя пользователя или IP-адрес будут заблокированы. Блокировка временно отключит возможность злоумышленника предпринимать попытки входа в систему. После того, как злоумышленники будут заблокированы три раза, им будет запрещено даже просматривать сайт. Примечание. Решая, насколько строгими должны быть ваши правила для неудачных попыток входа в систему, помните о реальных пользователях вашего сайта. Если вы сделаете правила блокировки слишком неумолимыми, вы рискуете непреднамеренно заблокировать реальных пользователей.

4. Ограничьте количество попыток внешней аутентификации на запрос

Есть и другие способы входа в WordPress, помимо использования формы входа. Используя XML-RPC, злоумышленник может сделать сотни попыток ввода имени пользователя и пароля в одном HTTP-запросе. Метод усиления грубой силы позволяет злоумышленникам совершать тысячи попыток ввода имени пользователя и пароля с помощью XML-RPC всего за несколько HTTP-запросов. Когда вы знаете, что злоумышленник может использовать дампы базы данных в качестве отправной точки и делать тысячи предположений на запрос, это делает важность безопасности входа в WordPress намного более очевидной. Используя настройки WordPress Tweaks iThemes Security Pro, вы можете заблокировать несколько попыток аутентификации для каждого запроса XML-RPC. Ограничение количества попыток ввода имени пользователя и пароля до одной для каждого запроса будет иметь большое значение для защиты вашего входа в WordPress.

Кроме того, когда вы разрабатываете свой план безопасности входа в WordPress, важно знать, что WordPress Rest API добавляет дополнительные способы аутентификации пользователя WordPress. Аутентификация с помощью файлов cookie — это один из методов аутентификации, когда вы входите в систему, WordPress автоматически сохраняет файл cookie, поэтому плагины и темы могут выполнять функции от вашего имени. Аутентификация с помощью файлов cookie выиграет от средств защиты, которые вы добавили в файл wp-login.php.

5. Используйте двухфакторную аутентификацию

Я оставил лучший способ повысить безопасность входа в WordPress напоследок: двухфакторную аутентификацию WordPress. Двухфакторная аутентификация требует дополнительного кода вместе с вашим именем пользователя и паролем WordPress для входа в систему.

Существует множество методов двухфакторной аутентификации, но не все методы одинаковы. По возможности избегайте использования SMS для двухфакторной аутентификации. Национальный институт стандартов и технологий больше не рекомендует использовать SMS для отправки и получения кодов аутентификации.

Используя плагин безопасности WordPress, такой как iThemes Security Pro, вы должны включить двухфакторный метод электронной почты или мобильного приложения.

Просто обратите внимание, что многие сайты требуют, чтобы вы использовали адрес электронной почты в качестве имени пользователя. Если злоумышленник взломает один из этих сайтов, следующим шагом будет попытка войти в учетные записи электронной почты, используя новые адреса электронной почты и пароли, которые они украли. Если один из ваших пользователей или клиентов повторно использует скомпрометированные пароли на каждом сайте, его учетная запись электронной почты вместе с их двухфакторными кодами электронной почты будут скомпрометированы. Метод двухфакторного мобильного приложения сделает все возможное для повышения безопасности входа в WordPress. Дополнительный код аутентификации, необходимый для входа в систему, будет отправлен на телефон пользователя. Таким образом, даже если злоумышленник имеет доступ к учетным данным WordPress и электронной почты, он все равно не сможет войти в систему.

Резюме: простой контрольный список безопасности входа в WordPress

Безопасность входа в WordPress должна быть главным приоритетом на каждом сайте. Теперь, когда вы знаете, как повысить безопасность входа на свой сайт, вы можете воспользоваться этой эффективной стратегией предотвращения взлома.

1. Используйте надежные пароли
2. Используйте уникальные пароли для каждой учетной записи
3. Ограничьте количество попыток входа
4. Ограничьте количество попыток аутентификации
5. Используйте двухфакторную аутентификацию

Получите бонусный контент: Руководство по безопасности WordPress

Кликните сюда

Лучший плагин безопасности WordPress для защиты и защиты WordPress

В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злым умыслом. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, чтобы упростить защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.

Получите iThemes Security Pro

Кристен Райт

Кристен пишет учебные пособия, чтобы помочь пользователям WordPress с 2011 года. Как директор по маркетингу здесь, в iThemes, она стремится помочь вам найти лучшие способы создания, управления и поддержки эффективных веб-сайтов WordPress. Кристен также любит вести дневник (ознакомьтесь с ее побочным проектом «Год трансформации !»), походы и кемпинги, степ-аэробику, кулинарию и ежедневные приключения со своей семьей, надеясь жить более настоящей жизнью.