嗨,大家好,我在我的大多數網站上都使用Wordpress,並且我注意到登錄屏幕並不在https的大部分WordPress網站中。Wordpress登錄安全
這是如何影響安全性的,是我的網站易受攻擊的,其他的WordPress網站也是如此?
能夠做些什麼來提高我的安全我的wordpress網站,這是這一個:http://www.ryansammut.com
嗨,大家好,我在我的大多數網站上都使用Wordpress,並且我注意到登錄屏幕並不在https的大部分WordPress網站中。Wordpress登錄安全
這是如何影響安全性的,是我的網站易受攻擊的,其他的WordPress網站也是如此?
能夠做些什麼來提高我的安全我的wordpress網站,這是這一個:http://www.ryansammut.com
您可以通過定義迫使WordPress的登錄和整個行政區域:
define('FORCE_SSL_ADMIN', true);
您在wp-config.php文件。
有關詳細信息,請參閱食品
在你的最後一個問題而言,我會引導您到這個插件:http://wordpress.org/extend/plugins/wp-security-scan/。它會告訴你一些你網站的漏洞,它很好地告訴你你可以做些什麼來解決這些漏洞。雖然它會指出一些漏洞,但它不會識別所有這些漏洞。因此,這應該被視爲增強安全性的一種方式,但它不能保證這會使您的網站具有防彈功能。
此外,始終確保您的WP版本是最新的!
使用用戶名和密碼登錄後,實際的身份驗證令牌就是您的cookie。在保護登錄信息方面毫無意義,您仍然明確違反了OWASP A9。因爲它的孩子可以使用firehsheep繞過你的安全。
那麼你說什麼,保護登錄頁面就沒用了? – 2011-04-24 08:46:01
@Ryan Sammut它毫無價值只保護登錄頁面。它就像有一扇門,但沒有柵欄。 – rook 2011-04-25 03:28:21
我同意@Rook。
要100%確定它是安全的,您必須將所有網站(您必須登錄atleast的部分)作爲https。
否則,人們可以使用cookie並仍然可以訪問。
感謝Administration over SSL,但怎麼樣的WordPress的實際登錄,是安全的? – 2011-04-24 08:52:36