Ajouter des options WordPress devrait-elle pour améliorer la sécurité ou le laisser aux développeurs plugin? [fermé]
https://wordpress.stackexchange.com/questions/9610
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Sur la base de la passion engendrée par les réponses à cette question. Il semble que la réponse est un retentissant « Rien! » ou « laisser du plugin développeurs à manipuler, WP est déjà assez sécurisé » ...
Je suppose que je suis loin de base à la question? Il semble avoir agité le nid de frelons et qui n'a pas l'intention. Jamais le moins, voici le résultat réel du monde ...
Je viens de recevoir un e-mail d'un de mes clients qui avaient 12 de ses sites piratés, car un attaquant craqué son mot de passe. Ses commentaires ont ouvert mes yeux un peu aux possibilités pour certaines options très simples qui pourraient être ajoutés au noyau de WordPress afin d'aider à faire des sites WP moins sujettes à ce genre d'attaques.
L'utilisateur une chose la plus simple peut faire est de changer le nom d'utilisateur par défaut. Je suppose que plus de 90% des sites WP en direct ont un profil d'utilisateur « admin » qui peuvent ou peuvent ne pas être utilisé, mais qui a de toute évidence les droits et autorisations. Le travail d'un attaquant est déjà à moitié fait!
Mais WP noyau pourrait être améliorée avec des options de sécurité très simple aussi. Comment serait-il difficile d'ajouter ...
- tentatives de connexion BLOCAGE (paramètre défini par l'utilisateur)
- Réguler le temps entre les tentatives de connexion (paramètre défini par l'utilisateur en secondes)
- restriction de la plage IP (définir une liste d'adresses IP à partir de laquelle les connexions sont acceptées)
Ce ne sont que quelques petites choses du haut de ma tête. Je suis sûr que vous les gars ont des meilleures options aussi.
Et le point de ma question n'est pas ce que « les utilisateurs » devraient faire pour améliorer la sécurité, qui est une toute autre question. Je demande quelles mesures WP pourrait prendre pour fournir des options, rien obligatoire, mais les choses que les développeurs de plugins doivent actuellement combler les lacunes où des choses devrait faire partie de chaque installation de WP par défaut (à mon humble avis).
Est-ce que ces types d'améliorations prévues pour les versions de WP à terme?
La solution
RE: Nom d'utilisateur - admin
Depuis la version 3.0 du programme d'installation demande à l'utilisateur de fournir un nom d'utilisateur pour le compte principal, vous aurez évidemment pas obtenir cette option si vous mettez à niveau à partir d'une ancienne version (car ce n'est pas une nouvelle installation).
Vous pouvez voir une image de ce ici:
http://codex.wordpress.org/Installing_WordPress#Step_5:_Run_the_Install_Script
RE: Blocage des utilisateurs malveillants
Il n'y a pas vraiment moyen efficace de le faire, parce que toute information que vous pouvez obtenir et conserver sur un utilisateur peut être usurpée et changé en quelques instants, vous courez le risque de bloquer les utilisateurs légitimes.
RE: tentatives de connexion échouées
Cela peut être utile, mais il y a toujours la possibilité d'un locks utilisateur malveillant sur un admin (ou un autre utilisateur) à partir de leur propre installation simplement en essayant délibérément de connexion au compte de l'utilisateur avec les informations de connexion non valides. La régulation du temps entre les tentatives de connexion pourrait aider mais honnêtement tout pirate informatique intelligent permettant d'automatiser la procédure de toute façon et cela devient un point discutable dans une certaine mesure (mais oui bien sûr, il arrête quelques-uns).
C'est juste mon avis sur ces points spécifiques, prenez comme vous voulez ..:)
Autres conseils
Je suppose que vous aviez jamais eu affaire à la base d'utilisateurs considérablement grande de quelque chose sous la sécurité de connexion serré? Ce n'est pas assez ...:)
Connexion vous change proposer sera:
-
Do peu la sécurité, parce que la plupart des hacks sont des versions obsolètes et peu de sécurité du serveur, pas les connexions bruteforced.
-
Générer des commentaires plus négatifs des utilisateurs que des problèmes de sécurité l'a jamais fait et ne le fera jamais.
La chose est que WordPress ne fonctionne que dans le cadre de la pile de serveur Web. Il y a seulement tant qu'il pourrait faire sur la sécurité et les mesures générales feront plus de mal que de bien dans la plupart des cas.
WordPress prend soin de tout ce qu'il peut et est plugin-conduit pour ajouter et configurer ce que vous avez besoin spécifiquement. Il est difficile de sauter plus haut que cela.
Si votre client avait 12 sites se piraté alors l'une des deux choses doit se produire:. Soit il a besoin pour obtenir un meilleur accueil, ou il doit cesser de créer des failles de sécurité dans ses sites de
WordPress n'a pas besoin de faire l'une des choses que vous proposez parce qu'ils ont soit déjà (vous pouvez choisir votre propre nom d'utilisateur d'administration lors de l'installation), ou l'utilisation cas ne dicte pas. Comme t31os souligné, alors que les choses pourraient être utiles, ils pourraient également être utilisés par les pirates comme une arme contre les admins.
Pas assez de gens ont besoin ou veulent que ces mesures de sécurité pour les justifier même en option dans le noyau.
Techniquement, ils sont une option dans le noyau:
Aller à Plugins -.> Ajouter un nouveau, recherchez 'Connexion Lockdown' et install
WordPress est la plate-forme de blogs la plus populaire et largement utilisé. Il prend en charge tous les types de site, d'un simple blog à un site Web d'entreprise complet. Vingt-six pour cent de tous les sites dans le monde utilisent WordPress. En raison de cette popularité, les pirates et les spammeurs ont pris un vif intérêt à briser la sécurité des sites exploités WordPress.
En Janvier 2017 seulement, WordFence fait état d'une moyenne de 26 millions d'attaques par force brute contre les sites WordPress par day.In le même rapport ils ont enregistré plus complexes, les attaques ciblées à une moyenne de 4,7 millions par jour pour le même laps de temps. Cela fait beaucoup de gens et les robots à rien de bon. La sécurité de votre site WordPress est une grosse affaire, et un bon endroit pour commencer à sécuriser est à la connexion screen.so COMMENÇONS à rendre votre page de connexion de site WordPress un peu plus sûr.
1. Ne pas utiliser admin comme un nom d'utilisateur Ceci est peut-être le plus facile étape de base pour la sécurité WordPress vous pouvez prendre en tant qu'utilisateur de WordPress. Cela ne vous coûte rien, et l'installation, il est facile de le faire. La majorité des attaques d'aujourd'hui cibler vos accès wp-admin / wp-login points en utilisant une combinaison d'admin et un certain mot de passe dans ce qu'on appelle les attaques Brute Force. Le bon sens dicterait que si vous supprimez admin, vous aussi tuer carrément l'attaque.
Il suffit de créer un nouvel utilisateur dans WordPress à Utilisateurs> Nouvel utilisateur et de faire un utilisateur avec des droits d'administrateur. Après cela, supprimer l'utilisateur admin. Ne vous inquiétez pas au sujet du poste ou pages que l'utilisateur admin a déjà créé. WordPress bien vous demander: « Que faut-il faire avec un contenu appartenant à cet utilisateur? » et vous donner la possibilité de supprimer tout le contenu ou l'affecter à un nouvel utilisateur, comme celui que vous venez de créer.
2.Utilisez un mot de passe
Brute Forcing pages de connexion est une des formes communes d'attaques Web que votre site est susceptible de faire face. Si vous avez un facile à deviner le mot de passe ou nom d'utilisateur, votre site sera presque certainement pas seulement une cible, mais finalement une victime.
Jouez avec les mots de passe du site Web et les changer régulièrement. Améliorer leur force en ajoutant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. appliquer des mots de passe sur tous vos utilisateurs
tentatives de connexion 3.Pour C'est une technique incroyablement simple pour arrêter les attaques par force brute sur votre page de connexion droit dans leurs pistes. Une attaque de force brute fonctionne en essayant d'obtenir votre nom d'utilisateur et mot de passe droit en essayant plusieurs combinaisons à plusieurs reprises.
Si l'adresse IP particulière qui est en train de perpétrer l'attaque est suivie, alors vous pouvez bloquer la brute répétée forçant les tentatives et garder votre site sécurisé. Limiter ensemble Connexion tentatives pour prévenir les attaques de force brute.
4.Stay mise à jour Très grand pourcentage des hacks du site est venu de l'extérieur de ce jour, les versions vulnérables, des plug-ins.
Tout bon logiciel est pris en charge par ses développeurs et est mis à jour en temps, mais WordPress est mis à jour très fréquemment. Ces mises à jour sont destinées à des bugs fixes et parfois des correctifs de sécurité vitaux.
mettre à jour votre WordPress, plug-in, Thames régulièrement.
5. Sauvegardez régulièrement votre site Peu importe comment sécuriser votre site Web est, il y a toujours place à l'amélioration. Mais à la fin de la journée, en gardant un hors site quelque part de sauvegarde est peut-être le meilleur antidote, peu importe ce qui se passe.
Si vous avez une sauvegarde, vous pouvez toujours restaurer votre site WordPress à un état de travail chaque fois que vous voulez. Il y a quelques plugins qui peuvent vous aider à cet égard.
WP Tout plug-in de sauvegarde vous permet de créer sauvegarde et de restauration de sauvegarde facilement sur simple click.Manual ou les sauvegardes automatiques et également la sauvegarde de magasin sur dropbox place- sûr, FTP.
Crée une sauvegarde de votre site Web entier: qui est votre base de données, actuelle WP Core tous vos thèmes, Plugins et Upcharges.
Le WP ALL sauvegarde donne WordPress aux administrateurs la possibilité de migrer, copier ou cloner un site d'un endroit à l'autre. Si vous devez déplacer WordPress WordPress ou de sauvegarde ce plugin peut aider à simplifier le processus.
6.Set des mots de passe pour votre base de données Un mot de passe pour l'utilisateur principal de la base de données est un must -. Les utilisations d'un WordPress pour accéder à la base de données
Comme toujours, l'utilisation des majuscules, des minuscules, des chiffres et des caractères spéciaux pour le mot de passe.
7.Set up le site web de verrouillage et interdiction Une fonction de verrouillage pour les tentatives de connexion infructueuses peut résoudre un énorme problème, à savoir la force brute tentatives de plus continues. Chaque fois qu'il ya une tentative de piratage des mots de passe mal répétitifs, le site est verrouillé, et vous être averti de cette activité non autorisée.
WP plugin WordPress L'utilisateur a mécanisme d'attaque de force brute de ralentissement, les tentatives Limite Connexion, avisez le lock-out, Mot de passe Expression régulière, Google reCAPTCHA, Connexion Connexion, Approve / Deny utilisateur, Auto / Email utilisateur d'approbation.
