Hvor bra er egentlig wordpress sikkerheten?

TorsteinO

TorsteinO

Art Director & grunder
Travellingman skrev:
Det er også en god ide, men du mener vel ikke for innlogging på wp-admin?
Klikk for å utvide...

Jo, det er minst like sikkert, om ikke tilogmed enda sikrere. "Jeg_Bor_I_Tromsø!" er faktisk ganske mye sikrere en f.ex. "&KLur176#!gLKJL". Hvorfor? Tja, det er 17 tegn vs 15, så du har vel noe såntsom 256x256 ganger så mange muligheter, det vil altså si ca 65000 ganger så mange muligheter. Bruke ordliste? Lykke til... for det første er det norske ord, hvilket de færreste hackere vil tenke på, for det andre kan du bruke ord som ikke er i ordlista. F.ex. kunne jeg ha brukt "lellekopp_klatrer_på_Nadia_!_2011" - "lellekopp" var noe av det første dattera mi sa, dermed husker jeg det garantert, og resten er logisk og lett å huske for meg, men å gjette det? lykke til ;)

password_strength.png
 
Travellingman

Travellingman

Nettgrunder
TorsteinO skrev:
Jo, det er minst like sikkert, om ikke tilogmed enda sikrere. "Jeg_Bor_I_Tromsø!" er faktisk ganske mye sikrere en f.ex. "&KLur176#!gLKJL". Hvorfor? Tja, det er 17 tegn vs 15, så du har vel noe såntsom 256x256 ganger så mange muligheter, det vil altså si ca 65000 ganger så mange muligheter. Bruke ordliste? Lykke til... for det første er det norske ord, hvilket de færreste hackere vil tenke på, for det andre kan du bruke ord som ikke er i ordlista. F.ex. kunne jeg ha brukt "lellekopp_klatrer_på_Nadia_!_2011" - "lellekopp" var noe av det første dattera mi sa, dermed husker jeg det garantert, og resten er logisk og lett å huske for meg, men å gjette det? lykke til ;)
Klikk for å utvide...

Det er greit, ser att Linux "tog an" ;)
 
TorsteinO

TorsteinO

Art Director & grunder
Joda, det går fint å bruke det til innlogging på wp-admin også (hvorfor skulle det ikke gjøre det?).

Nå forsvant redigeringen min fordi jeg brukte for lang tid på å regne ut alt sammen, men vi har i følge tanums store rettskrivingsordbok rundt 300.000 ord i det norske språket (sikkert inkludert bøyninger), så 6 ord vil da si 729x10^30 muligheter. Altså 729 med 30 nuller bak, hva nå det tallet heter.

Videre, hvis en bruteforcer klarer litt over 3000 forsøk mot serveren din pr sekund, vil det si at han rekker ca 100 milliarder (10^11) forsøk i løpet av et år. Mange? Vel, joda, på en måte, men det tilsvarer fremdeles at han måtte ha fortsatt gjennom 729x10^19 år, og til sammenlikning er universet ca 13 x 10^9 år... det vil altså si at man sitter igjen med noe sånt som (729/13 = 56)x 10^10 .... altså ville det med 3000 forsøk i sekundet ta 560.000.000.000 ganger universets levetid å komme gjennom alle mulige kombinasjoner av seks ord... Lykke til ;) (og fremdeles har man da ikke tatt høyde for tulleord, tall og tegn...)
 
Travellingman

Travellingman

Nettgrunder
Hensikten med å bruke .htaccess er jo for å hindre brute force angrep på serveren, inntrengere blir stoppet før de får tilgang på wp-login ;)

Bra for deg og bra for alle de andre om du har shared hosting :D
 
zapotek

zapotek

Medlem
Dseller skrev:
Bruker ikke admin som brukernavn.

Jeg har også gjort at jeg må legge til ip adresse i .htaacess for at man skal få tilgang til /wp-admin og wp-login

men dette hjelper jo lite da man bare kan gå rett inn på siden og trykke logg inn (der kunder logger inn) om jeg skriver inn brukernavn og passord der så kommer jeg rett til admin panelet.....
Klikk for å utvide...

Med Limit Login Attemptspluginet, så klarer de ikke å knekke deg med brute force uansett. Det er heller via sikkerhetshull i gamle plugins, SQL injection osv. de kommer seg inn.
 
Du må logge inn eller registrere deg for å svare her.
Topp