웹 사이트의 크기와 상관없이 사이트 데이터를 잃어 버리거나 자신의 웹 사이트에 액세스 할 수 없으면 신경 쓰이는 경험 일 수 있습니다. 웹의 25 % 이상을 차지하는 WordPress는 해커에게 가장 적합한 웹 사이트 중 하나입니다..
이전 게시물에서 우리는 WordPress 웹 사이트 보안을 위해 거의 모든 것을 다룬 팁과 트릭. 여전히 개선의 여지가 있습니다. 이 게시물에서 우리는 당신이 당신의 WordPress 사이트를 더 쉽게 침입하도록 도와 줄 몇 가지 팁을 살펴볼 것입니다..
1. Bcrypt 암호 해싱
WordPress는 2003 년 PHP와 웹이 일반적으로 초기에 시작되었을 때 시작되었습니다. 페이스 북은 아직 없었으며, PHP는 OOP (Object-Oriented Programming) 아키텍처가 내장되어 있지도 않았다. 따라서 WordPress는 더 이상 이상적이지 않은 유산을 물려 받았다. 암호화하다 비밀번호.
WordPress는 여전히 MD5를 사용합니다. 해싱. 기본적으로, 그것은 당신을 돌리는 것입니다. 123456 암호를 다음과 같이 입력하십시오. e10adc3949ba59abbe56e057f20f883e.
그러나 컴퓨터는 이제 10 년 전보다 더 정교 해 졌으므로 해시 된 비밀 번호는 이제 즉시 거의 맨손으로 쉽게 되돌릴 수 있습니다.
PHP는 네이티브 암호화 5.5 이후 및 WordPress가 PHP5.5 이상에서 실행되는 경우 wp-password-bcrypt라는 편리한 플러그인이있어이 기본 유틸리티를 PHP로 포용 할 수 있습니다.
Composer 또는 MU-Plugins를 통해 플러그인을 설치하고 활성화하십시오. 비밀번호를 다시 저장하면 모두 설정됩니다..
2. WordPress.com 보호 사용
브 루트 포스 (Brute-force)는 공격자가 수많은 암호 (일반적으로 사전에있는 단어)를 추측하여 웹 사이트에 로그인하는 일반적인 해킹 시도입니다. 이것이 추측하기 어려운 암호를 설정해야하는 이유입니다..
WordPress.com 뒤에있는 Automattic은 무차별 공격에 대응할 수있는 가장 유명한 WordPress 플러그인 중 하나를 인수했습니다. 그것은 BruteProtect 라 불리며, 그것은 Jetpack과 통합되어 있습니다..
우리의 경험을 바탕으로 대단히 우리를 도왔다. 무차별 공격보다 더 많은 공격을한다. 백만에 가까운 타임스.
발생한 공격 및 스팸의 수를보고하는 Jetpack 대시 보드 위젯.
그것을 얻으려면 Jetpack의 최신 버전을 설치하고 웹 사이트를 WordPress.com에 연결해야합니다. 그런 다음 “보호” 모듈 및 흰색 목록에 자신의 IP 주소뿐만 아니라.
이제 좀 더 안전하게 느껴 져야합니다..
3. 로그인 URL 숨기기
WordPress는 로그인 페이지로 잘 알려져 있습니다., wp-login.php. 따라서 해커들은 정확한 페이지를 통해 무차별 대입 공격을 지시합니다. 당신은 그들을 위해 더 열심히 만들 수 있습니다 WordPress 로그인 URL 위장.
다행히도이 유틸리티를 제공하는 몇 가지 플러그인이 있습니다.
iThemes 보안
WPS 숨기기 로그인
4. 사용 안함 “비밀번호 분실”
그만큼 “비밀번호 분실” 로그인 폼의 유틸리티는 공격자가 SQL 인젝션을 통해 로그인 자격 증명을 얻는 방법입니다. 관리 영역에 액세스 할 수있는 사람이 몇 명이면 스위치를 끄는 것이 좋습니다..
그렇게하려면 새 파일 업로드를 만듭니다 - 이름을 지정하십시오 forget-password.php.
