As pessoas estão tentando invadir seu site WordPress?

Sim, eles estão.

Você pode dizer: “Ei, eu executar um pequeno blog. Eu não sou um alvo. “

Bem a maioria dos ataques não são o alvo. Eles são feitos com as ferramentas de verificação automatizados implantados em grandes botnets. Nos atacantes uma técnica chamada ataques de força bruta para tentar entrar em seu site WordPress.

Durante um ataque de força bruta, os atacantes tentam adivinhar o seu nome de usuário e senha. Você pode pensar que isso não iria funcionar, mas ele faz. Usando um botnet, eles podem facilmente experimentar 100 das combinações em questão de minutos. Mais cedo ou mais tarde, eles encontram alguém que tem sido preguiçoso e usou uma combinação nome de usuário / senha pobres e sua in.

Enquanto o meu método favorito para evitar isso é usar autenticação HTTP, aqui estão algumas outras dicas sobre como proteger o seu WordPress em Login.

 

 

1.Não use Admin como Seu Nome de Usuário

 

Quando você configurar seu site WordPress, não use “admin” como seu nome de usuário. Esta é a ponta superior em próprio artigo WordPress ‘em ataques de força bruta .

Durante uma tentativa de força bruta, o atacante deve adivinhar tanto o nome de usuário e senha par. Ao usar admin, você tem feito metade do trabalho para eles.

Eu já vi muitas botnets simplesmente tentar administrador mais e mais na esperança de obter acesso completo.

Alterar o nome de usuário não é infalível.

Por padrão, muitos temas WordPress criar arquivos autor que usam seu nome de usuário na URL. Alguns dos cabeçalhos padrão também podem conter essas informações.

Um determinado atacante pode facilmente picar através de seu site e encontrar o nome de usuário. Felizmente, a maioria dos ataques são automatizados – eles não se preocupam com esta etapa. Eles apenas tentar pares nome de usuário / senha tradicionais, na esperança de entrar.

Senhas fortes

Use senhas fortes. Disse o suficiente.

Se você quiser garantir senha forte, dê uma olhada WP Política Password Manager ,Força Senhas fortes ou Enforce Strong senha . (Eu não testei nenhum deles, mas vê-los recomendado de vez em quando).

 

Você também pode usar H ow seguro é meu senha se você não quer um plugin, e confira LastPass para um bom gerenciador de senhas.

 

2. A autenticação HTTP

Vou manter este curto como eu detalhou esta técnica no meu post sobre parar os ataques WordPress Força Bruta .

Este é o meu método preferido, pois depende de um método de autenticação completamente diferente – a autenticação HTTP Apache. O que isto significa é que, mesmo se houver um bug no WordPress ou um ataque de força bruta como alvo a URL de login WordPress, isso vai impedir que o ataque.

 

Eu sugiro que você usar diferentes combinações de usuário / senha para o AUTH HTTP e seu login WordPress.

Se você tiver vários autores ou contas de convidado, essa vontade pode não funcionar para você, mas só se você ou um pequeno grupo de acesso do site, esta é uma ótima maneira de proteger seus dados de login do WordPress.

3. Segurança Plugins

Eu encontrei mais de 2000 plugins marcados com segurança em WordPress.org.Portanto, há um monte de opções.

Escolher o caminho certo depende de seus objetivos como muitos fazem mais do que simplesmente parar de ataques de força bruta.

Como acontece com qualquer plugin, eu uso os seguintes critérios para julgar qual plugin para usar quando há muitas opções.

  • É o plugin mantido ativamente?
  • Qual é a história da segurança?
  • Como é amplamente lo implantado?
  • Será que ela tem base de usuários ativos?

Você pode notar que eu não mencionei classificação. As avaliações são muito facilmente falsificado, e uma boa classificação em um plugin com poucos usuários significa pouco.

Classificando através dos resultados, eu encontrei três plugins que standout

  • BulletProof Segurança (1.1m de downloads)
  • IThemes (Anteriormente Melhor WP Segurança, downloads de 2.4M)
  • Wordfence (1,9 m downloads)

Todas essas três ferramentas oferecem diversas proteções contra ataques de login do WordPress. Espero ter a chance de explorar esses plugins de segurança do WordPress no futuro.

 

Bônus: Two-Factor Authentication

 

Enquanto você provavelmente precisa de um plugin para isso, eu coloquei isso em outra categoria.Autenticação de dois fatores significa que você precisa de dois pedaços diferentes de login.

O método mais comum é o envio de uma mensagem de texto para o seu celular com um código de autenticação.Para iniciar sessão, você precisa conhecer o seu nome de usuário / senha e ter o seu telefone.

Pessoalmente, eu acho que isso é um pouco pesado para algo que você pode estar usando diariamente, especialmente quando existem métodos mais simples, como HTTP AUTH.

No entanto, se você quiser embarcar nesta viagem, eu recomendo que você verifique DuoSecurity . Eles oferecem um plugin para WordPress que se integra com o seu sistema.

Evite: Renomear WP Directory Admin

Não faça isso!

Eu vejo isso aparecer muitas vezes. Isso é que chamamos de segurança pela obscuridade na área de segurança da informação. Basicamente, você está contando com o fato de que o seu wp-admin ou página de login do WordPress não estão onde normalmente deveria ser. Você está escondendo essas informações.

Embora esta técnica pode derrotar bots, estou relutante em recomendar.

WordPress é construído para usar o diretório wp-admin. Os desenvolvedores de temas e plugins esperam que você seja usando wp-admin. Quando você mudar isso, você corre o risco de quebrar WordPress ou a introdução de falhas de segurança.

Summary
Article Name
3 grandes formas de proteger o WordPress Login
Author
Description
Super dicas para você que deseja melhorar a segurança do seu site, tudo que esta sendo postado já foi testado e aprovado pela equipe de suporte QTAG Hospedagem de sites.

suporte qtag

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

7 + quatro =