Wordpress Логин Безопасность

Question

Привет, ребята, я использую Wordpress для большей части моего сайта, и я заметил, что экран входа не отображается в https на большинстве сайтов WordPress.

Как это влияет на безопасность, уязвим ли мой сайт, итак же как и другие сайты Wordpress?

Что можно сделать, чтобы улучшить мою безопасность для моего сайта WordPress, а именно: http://www.ryansammut.com

Answer 1

Вы можете принудительно ввести логин и всю область администрирования в WordPress, определив:

define('FORCE_SSL_ADMIN', true);

в вашем файле wp-config.php.

Подробнее см. Администрирование по SSL в Кодексе

.

Answer 2

Наличие правильного SSL-сертификата теперь является обязательным для веб-сайтов.Как вы сказали, ваша страница входа не HTTPS (для безопасности).Во многих случаях Google помечал веб-сайт как «обманчивый» или «небезопасный», потому что у них не было SSL.

Кроме того, если на некоторых ваших страницах есть HTTPS, но на странице входа его нет,рассматривает это как веб-сайт со смешанным контентом (смесь безопасного и небезопасного контента) и помечает его как обманчивый.Теперь эти предупреждения могут ограничить ваш веб-трафик и повлиять на репутацию вашего сайта.Поэтому лучше переместить все веб-страницы на HTTPS.

Для WordPress есть несколько плагинов, которые могут помочь вам перейти на HTTPS.Один из них - это Действительно Простой SSL.

Примечание: НЕ забудьте перенаправить ваш сайт с HTTP на HTTPS.

Answer 3

После входа в систему с именем пользователя и паролем действительный токен аутентификации - это ваш файл cookie.Нет смысла просто защищать логин, и вы все еще явно нарушаете OWASP A9 .В таком виде ребенок может использовать firehsheep , чтобы обойти вашу безопасность.

Answer 4

Я согласен с @ Rook.

Чтобы быть на 100% уверенным, что это безопасно, вы должны поместить весь сайт (часть, где вы должны войти, как минимум) как https.

В противном случае вы можете использовать куки и все же получить доступ.

Answer 5

Что касается вашего последнего вопроса, я бы направил вас к этому плагину: http://wordpress.org/extend/plugins/wp-security-scan/. Он расскажет вам ряд уязвимостей вашего сайта, и он хорошо скажет вам, что вы можете сделать,уязвимости.Хотя он укажет на некоторые уязвимости, он не будет идентифицировать все из них.Таким образом, это следует рассматривать как способ повышения безопасности, но он не дает никаких гарантий, что это сделает ваш сайт пуленепробиваемым.

Кроме того, всегда проверяйте, что версия WP обновлена!