Сегодня поговорим о безопасности вашего сайта на популярной платформе WordPress. Безопасность блога напрямую зависит от степени заботы о нем и качестве администрирования. Используя простые советы и рекомендации вы намного сможете повысить уровень безопасности.
Потребность в увеличении уровня безопасности растет по мере увеличения количества ваших посетителей. Чем ваш ресурс популярнее тем больше хакеров захочет его взломать. Исходя из ваших желаний по увеличении безопасности WordPress и была написана эта статья.
Безопасность WordPress 2015 содержит следующие рекомендации:
Навигация по статье:
Htaccess - это файл, который позволяет корректировать конфигурацию сервера. С помощью него можно проделать множество настроек, в том числе и добавить безопасности сайту.
Давайте рассмотрим все по порядку, раз.htaccess такой ценный значит для начала стоит обезопасить его от стороннего вмешательства.
Говоря о поднятии безопасности при помощи файла.htaccess без защиты его самого было бы глупо. По этой причине защитим сперва наш файл, а затем пойдем далее.
Для того что бы защитить.htaccess нужно внести в него небольшой код:
order allow,deny
deny from all
Этот код позволит закрыть доступ к файлу из вне, что уже значительно обезопасит ваш сайт от взлома.
Нам нужно также защитить важный файл который имеет множество информации связанной с доступом к базе данных и другое. Запретить доступ к файлу из вне можно при помощи.htaccess. Защитный код должен быть таковым:
order allow,deny
deny from all
Для доступа к сайту WordPress использует 4 ключа, которые указываются в файле wp-config.php. Вы должны создать и установить свои собственные уникальные ключи, для обеспечения безопасности. Для облегчения сего действия существует специальный генератор ключей , с помощью которого вы создадите все что вам потребуется.
Сменить ключи можно изменив файл wp-config.php и перезаписать его на сервер.
Префикс базы данных создаются при установке WordPress, по умолчанию он назначается как wp_название таблицы. Если при установке вы не задали другое значение, вы можете сменить его в файле wp-config.php задав переменной $table_prefix другое значение. Чем сложнее будет ваш префикс тем меньше вероятность несанкционированного доступа к вашей базе данных. Примером может быть такая строчка $table_prefix = wp65zym6 . Запоминать это значение не требуется, вы устанавливаете его только один раз и больше к нему не возвращаетесь.
Одним из способов предотвращения взлома вашего сайта является ограничение количество попыток входа, и дальнейшая блокировка нарушителя. Эти простые настройки позволят обезопасить вас от автоматических переборов паролей бот программами, а так же ручного ввода людьми.
На помощь вам придет , настройка которого не займет у вас много времени, но позволит добавить очередную преграду взломщикам.
В версии WordPress 4.3 и выше при установке платформы вам будут предложены безопасные пароли, которые отлично подойдут вам, так же вы сможете изменить их в дальнейшем.
Безопасность сайта WordPress по большей мере зависит от безопасности доступа к административной панели, поэтому пренебрегать этими рекомендациями будет большой ошибкой.
Если вы выбрали другой логин, отлично! Убедитесь что его трудно подобрать вручную, также зайдите в вашу базу данных в таблицу префикс_users и убедитесь что в ней нету зарегистрированного логина admin. Если таков существует, удалите его.
Обновитесь, обновитесь и еще раз обновитесь. Обновления версий ваших плагинов и самого движка WordPress выходят не просто так, основная их задача увеличить функционал и закрыть дыры в безопасности, по этому важность обновления стоит на одном из первых мест.
Эти файлы не нужны нам, но они показываю текущую версию WordPress и некоторую другую информацию сайта, а зачем нам лишняя утечка информации. По этому удалите их.
Эти файлы доступны всем пользователям по адресу ваш-сайт/readme.html, проверти это на своем блоге.
Эти действия не займут у вас много времени раз в один два месяца меняйте пароли и вы сможете поставить очередную галочку в безопасности вашего блога на WordPress.
В ручном режиме или автоматическом, с помощью плагинов или программ делайте резервные копии своего сайта, что бы при необходимости быстро восстановить последнюю версию сайта. Вас взломали? Или же вы сами поломали свой сайт? Резервные копии помогут быстро восстановить дееспособность вашего ресурса.
Безопасность wordpress – очень важный аспект в работе системы. Понятно, что сегодня интернет не является такой уж безобидной средой, а наоборот содержит множество угроз в виде троянов, вирусов и прочей нечисти. Поскольку wordpress open sourse система, то хакеры имеют доступ к исходному коду, что позволяет находить в нем различные дыры для взлома. Но не нужно паниковать! Все системы для управления сайтов содержат известные или скрытые уязвимости, идеальных решений не существует.
Поэтому важным элементом безопасности wordpress есть своевременное обновление системы до самых поздних версия, содержащих все нужные исправления глюков. Еще одним потенциальным источником риска являются плагины: во-первых, их не всегда делают профессионалы в области безопасности или даже программирования, а во-вторых, сами злоумышленники могут создавать подобные модули. Поэтому в целях безопасности wordpress я рекомендую устанавливать лишь популярные и проверенные плагины, а также отказываться от таких, которые можно заменить обычной правкой кода.
Технология XML-RPC применяется в системе WordPress для разных приятных фишек по типу пингбэков, трекбеков, удаленного управления сайтом без входа в админку и т.п. К сожалению, злоумышленники могут использовать ее для DDoS атаки на сайты. То есть вы создаете красивые интересные WP проекты для себя или на заказ и при этом, ничего не подозревая, можете быть частью ботнета для DDoS`а. Соединяя воедино десятки и сотни тысяч площадок, нехорошие люди создают мощнейшую атаку на свою жертву. Хотя при этом ваш сайт также страдает, т.к. нагрузка идет на хостинг, где он размещен.
Одним из вариантом взлома сайтов на WordPress есть подбор пароля к админке. Особенно это актуально для тех сайтов, где отображается логин пользователя. Очень хорошо, когда вы меняете логин (admin) по умолчанию на свой, но если в шаблоне его значение отображается, то толку от этого мало. Вы можете либо отредактировать тему сайта, либо в настройках своей учетной записи пользователя выбрать отображение имени вместо логина.
Вопрос — один из наиболее важных аспектов, которому нужно уделять немало внимания. Какая бы ни была функциональность или наполнение, без защитных данных вы можете все это легко потерять. Далеко за примером ходить не приходится — буквально две недели назад я писал как . К счастью, все обошлось и я смог оперативно их восстановить, но это лишний раз напомнило насколько важно соблюдать требования безопасности по сайтам. У каждой CMS системы (в том числе и wordpress) имеется определенный набор советов, рекомендаций и модулей для защиты сайта.
Вчера столкнулся с неприятной ситуацией, когда с 10-ток моих сайтов в том числе и парочка основных блогов была хакнута. Не знаю что за мудак этот Badi, но судя по подписи это все его «заслуга». Вообще, изначально, когда возникают проблемы со многими сайтами на хостинге, первое подозрение на хак панели управления или утечку паролей на ФТП/Базы данных. Это, пожалуй, самое неприятное, что может произойти — т.к. является показателем сознательной атаки против вас или конкретных проектов. Но, просматривая просторы интернета понимаю, что мои проблемы с вордпресс не единичный случай, и этот проказник натворил делов.
Когда делаешь более-менее крупный заказ по разработке сайта или улучшению блога всегда получается столкнуться с каким-то новыми плагинами, хаками или решениями. Все это очень хорошо подходит для новых тем статей в блоге — сегодня как раз одной из них поделюсь. Речь пойдет о плагине . Основная его задача — мониторинг файлов WordPress, которые были установлены, изменены или удалены. При обнаружении определенных событий генерируется сообщение на указанный вами почтовый адрес. В общем, получается дополнительная опция контроля безопасности блога, которая может весьма пригодиться.
Вряд-ли есть блогеры, которые не слышали страшилок о том, как взламывают или воруют блоги (особенно на популярной платформе WordPress). Возможно, даже кто-то из вас или ваших знакомых оказывался в подобном незавидном положении. Сказать, что это ситуация неприятная — ничего не сказать. Для хозяина блога такое происшествие — настоящая трагедия, которая как минимум заставит потратить некоторое время на восстановление всей информации. Что может быть в худшем случае и думать не хочется. А ведь при должной бдительности и системном подходе такой беды можно избежать!
Давно хотел написать этот пост, но несколько месяцев назад мне обещали сделать по теме гостевую публикацию и я как-то забыл про нее. И вот буквально вчера вспомнил, занимаясь декодированием футера одного из шаблонов wordpress. В принципе, существует несколько разных вариаций и сложностей данной проблемы. Сегодня расскажу о самом простом (можно сказать тривиальном) случае, чуть более сложные будут рассмотрены в будущих постах. Опытным пользователям wordpress, конечно, решение покажется очевидным и очень знакомым, но, думаю, для начинающих пользователей будет полезно.
Зашел я тут как-то на один сайт полезный, читаю себе статью и вдруг захотелось посмотреть реализацию оформления текста в HTML коде. По привычке пытаюсь выделить часть текста, после чего с помощью контекстного меню в Firefox собирался глянуть «код выделенного фрагмента», но в результате не удалось сделать ни то, ни другое. Я, конечно, заинтересовался еще больше что там у них такой за механизм защиты текстов и контента. Поэтому в меню «Вид» все того же Firefox выбираю пункт «Исходный код страницы» и вижу упоминание плагина WP-CopyProtect для wordpress. Мне показалось это веселым, поэтому решил об этом написать:)
Насчитал около 20 постов, то есть где-то 3 подборки раз в неделю вам обеспечено:) Ближе к выходным чтобы почитать уже больше для расслабления и закрепления материала. Итак, поехали.
Безопасность WordPress — это вопрос, который нужно решить еще на этапе установки сайта на хостинг. Если не защитить Вордпресс, не предпринять какие-либо меры для этого, тогда ваш сайт быстро захватят вирусы, боты и спамеры. Вы должны уметь бороться со всякой угрозой, которая потенциально может навредить ресурсу. Иначе, еще не успев стать успешным, ваш сайт будет уничтожен недоброжетелями.
Безопасность сайта — это не только отлаженная работа движка в замкнутой непролазной системе, но и безопасность вашего компьютера.
Вирусы не должны быть у вас на диске. Также и хостинг не должен содержать вирусы. Иначе вы сами станете причиной разрушения сайта — вирусы, наподобие троянов, съедят его. Либо сайт может не повредиться, но он станет разносчиком «инфекции» — скачивая файл, пользователь скачает и вирус. Ниже приведены советы по защите сайта, а также плагины Вордпресс, которые помогут вам в этом деле.
Некоторые из приведенных советов могут показаться вам очевидными, но не каждый об этом знает. И даже те, кто знает, осознанно игнорируют правила защиты . Итак, вот советы, которые помогут защитить ваш сайт:
Все эти советы касались правильного подхода к использованию паролей. Но кроме этого, есть и другие нюансы, которые вы должны учитывать — это вирусы на вашем компьютере. Если у вас где-либо есть вирус, он может стать причиной испорченного доверия к вашему сайту, и принести много вреда посетителям. Потому следуйте описанным советам:
Если вы не будете следовать указанным советам, то вскоре и ваш сайт будет считаться сомнительным! А вот, что вы можете сделать в настройках Вордпресс для повышения безопасности ресурса:
Проверка паролей, обновлений, компьютера на вирусы — это хорошо, но недостаточно, чтобы наверняка оградить вашу площадку от злоумышленников и вредоносных программ. Ниже приведены лучше плагины для защиты движка Вордпресс от различных угроз:
WordPress - пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут - зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять - а точнее, какие плагины установить - об этом я и расскажу в этой статье.
Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.
1. Измените имя пользователя с admin на другое.
Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:
После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.
Про пароль писать не буду - лучше воспользоваться тем, который сгенерирует вам Wordpress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).
2. Изменить префикс базы данных с wp на другой.
Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.
Изменение через phpMyAdmin
Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.
Первым делом создайте бэкап базы данных - он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).
Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = "wp_";
“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).
Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше - больше данных придется менять.
После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.
Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».
После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» - в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles - измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.
Следующая таблица для изменения - “…_usermeta” - аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.
Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.
Изменение через плагин
Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.
После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» - напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.
Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.
Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.
В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.
Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин - во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).
Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» - тоже активируйте этот пункт.
Теперь переходим в раздел «Файрволл» - здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.
Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять - этот адрес будет использоваться для входа в админку, жизненно важно его запомнить !
С этим плагином мы закончили, переходим к следующему.
Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто - после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.
Тут же вы можете настроить и ежедневную проверку с отчетом на email.
Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно - не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.
Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.
Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.
Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.
Вообще Sucuri - это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц - сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.
Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.
Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!
Про функционал много писать не буду - как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security - возможно, кто-то помнит его по этому названию.
Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:
Теперь перейдем к самому использованию этого плагина.
Настройка iThemes Security
Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).
После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) - для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).
Нажмите “Security Check ” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.
Следующий блок - «Основные настройки » (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку - советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).
В режиме «Нет на мест е» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.
Блок «Заблокированные пользователи » - тут все понятно, помещайте сюда всех, кого нужно заблокировать.
“Local Brute Force Protection ” - это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.
«Резервные копии базы данных » - настройка резервного копирования, в бесплатной версии речь идет только про базы данных.
«Обнаружение изменений файлов » - крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.
“File Permissions ” - блок показывает права доступа к файлам.
“Network Brute Force Protection ” - сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.
“SSL ” - вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.
“Strong Password Enforcement ” - если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.
«Тонкая подстройка системы » и «Подстройка WordPress » - эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс - включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу - включайте по одному пункту и проверяйте работоспособность вашего сайта.
Наконец, «WordPress Соли » - настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.
О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.
Плагины - это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.
Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress - при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.
Эта статья сфокусирована на вопросах усиления безопасности WordPress - как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin» , которое отображается только после авторизации . Мы сознательно выделили фразу "после авторизации " - вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.
Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.
Примечание: Если системные файлы WordPress больше не в корневой директории, и имя папки инсталяции изменено в соответствии с рекомендациями, описанными выше, блог будет все равно доступен по адресу wp-config.ru . Почему? Зайдите в раздел «Общие настройки (General settings)» вашего блога и введите в поле «WordPress address (URL)» реальный адрес блога на сервере, как показано в примере:
Адрес блога должен быть красивым и ненавязчивым
Это позволит блогу отображаться по красивому виртуальному адресу.
Не пренебрегайте установкой правильных ключей безопасности!
# protect wpconfig.php
Очень важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php .
Примечание: В идеале желательно чтобы логин нового пользователя отличался от отображаемого имени пользователя в постах, чтобы никто не узнал ваш логин.
Чаще всего именно пароли являются самым слабым звеном в этой цепи. Почему? Способы выбора пароля у большинства пользователей зачастую необдуманны и беспечны. Многие проведенные исследования показали, что большинство паролей - односложные существующие слова, набранные строчными буквами, которые не сложно подобрать. В программах подбора паролей существуют даже списки самых часто используемых паролей.
В WordPress реализован интуитивно понятный индикатор стойкости набираемого пароля, который показывает цветом его уровень сложности:
Для того чтобы просто и быстро сгенерировать файлы .htaccess и .htpasswd , воспользуйтесь этим сервисом .
Несложно догадаться, как быстро сокращается вероятность подбора комбинации логина/пароля, когда система указывает что именно введено неверно. Простая строка кода, поможет решить эту проблему, достаточно добавить её в файл functions.php вашей темы:
Add_filter("login_errors",create_function("$a", «return null;»));
Изначальный/измененный вид страницы авторизации.