ผู้ดูแลระบบ WordPress ที่ปลอดภัย: คุณรู้หรือไม่ว่ามีการพยายามแฮ็คมากกว่า 90,000 ครั้งบนเว็บไซต์ WordPress ทุก ๆ นาทีของวัน? ความหมายก็คือการพยายามแฮ็คบนเว็บไซต์ของคุณนั้นใกล้เข้ามาแล้ว ไม่ว่าไซต์นั้นจะใหญ่หรือเล็ก ความปลอดภัยเป็นหนึ่งในข้อกังวลสูงสุดสำหรับเว็บไซต์
แฮกเกอร์ใช้เทคนิคต่างๆ เพื่อแฮ็กเว็บไซต์ WordPress และการโจมตีแบบเดรัจฉานเป็นหนึ่งในเทคนิคดังกล่าว มันเกี่ยวข้องกับการทดลองใช้ชื่อผู้ใช้และรหัสผ่านร่วมกันบนหน้าเข้าสู่ระบบเว็บไซต์
การโจมตีด้วยกำลังเดรัจฉานที่ประสบความสำเร็จช่วยให้คุณเข้าถึงผู้ดูแลระบบ WordPress พื้นที่ผู้ดูแลระบบ WordPress เป็นศูนย์การจัดการของเว็บไซต์ที่ขับเคลื่อนด้วย WordPress ทุกคนที่มีสิทธิ์เข้าถึงผู้ดูแลระบบอย่างสมบูรณ์จะสามารถควบคุมไซต์ได้อย่างเต็มที่ ดังนั้นจึงเป็นสิ่งสำคัญที่จะปกป้องผู้ดูแลระบบ WordPress ของคุณจากการโจมตีแบบเดรัจฉาน
วิธีการรักษาความปลอดภัยผู้ดูแลระบบ WordPress
เรามีเทคนิคมากมายที่จะช่วยให้คุณรักษาความปลอดภัยให้กับผู้ดูแลระบบ WordPress ของไซต์ของคุณจากการพยายามแฮ็ค
1. ใช้รหัสผ่านที่รัดกุม
หนึ่งในข้อผิดพลาดทั่วไปที่เจ้าของเว็บไซต์ทำคือใช้รหัสผ่านที่ไม่รัดกุม หลายปีที่ผ่านมา เทคนิคการถอดรหัสรหัสผ่านได้พัฒนาเต็มที่ รหัสผ่านที่เดาได้ง่ายจะถูกถอดรหัสภายในไม่กี่นาที รหัสผ่านที่รัดกุมช่วยปกป้องไซต์ของคุณจากเทคนิคการถอดรหัสรหัสผ่านที่ชาญฉลาด นี่คือบทความที่ยอดเยี่ยมเกี่ยวกับวิธีสร้างรหัสผ่านที่รัดกุมสำหรับไซต์ WordPress ของคุณ
อย่างไรก็ตาม การจำรหัสผ่านที่รัดกุมอาจเป็นปัญหาได้ โพสต์นี้จะอธิบายวิธีจัดการรหัสผ่าน WordPress ที่รัดกุม
ข้อผิดพลาดทั่วไปอีกอย่างที่หลายคนทำคือเมื่อพวกเขาใช้รหัสผ่านเดียวกันในหลายเว็บไซต์ เมื่อรหัสผ่านเดียวถูกบุกรุก บัญชีทั้งหมดที่เชื่อมโยงกับรหัสผ่านจะถูกบุกรุก ดังนั้น การใช้รหัสผ่านที่แตกต่างกันสำหรับบัญชีสามารถช่วยหลีกเลี่ยงสถานการณ์นี้ได้
2. หลีกเลี่ยงการใช้ชื่อผู้ใช้ทั่วไป
การรักษาความปลอดภัยรหัสผ่าน WordPress เป็นขั้นตอนสำคัญในการรักษาความปลอดภัยข้อมูลรับรองการเข้าสู่ระบบ WordPress องค์ประกอบที่สองของข้อมูลรับรองการเข้าสู่ระบบคือชื่อผู้ใช้ หากชื่อผู้ใช้ของคุณเดาได้ง่าย แฮกเกอร์จะต้องเน้นที่รหัสผ่านเท่านั้น
หนึ่งในชื่อผู้ใช้ WordPress ที่พบบ่อยที่สุดคือ "admin" เมื่อไม่กี่ปีที่ผ่านมา WordPress ได้แนะนำ "ผู้ดูแลระบบ" เป็นชื่อผู้ใช้โดยอัตโนมัติ แม้ว่า WordPress จะหยุดแนะนำ "ผู้ดูแลระบบ" แต่เจ้าของเว็บไซต์จำนวนมากยังคงใช้งานอยู่ มีการสร้างบัญชีผู้ใช้ใหม่หลายบัญชีโดยใช้ "admin" เป็นชื่อผู้ใช้ เว็บไซต์ทั้งหมดเหล่านี้กำลังทำให้ตัวเองเป็นเป้าหมายที่ง่าย
เนื่องจาก WordPress ไม่ได้บังคับใช้ชื่อผู้ใช้ที่ไม่ซ้ำกัน คุณต้องตรวจสอบให้แน่ใจว่าไม่มีผู้ใช้คนใดของคุณใช้ชื่อผู้ใช้ทั่วไป และไม่มีการสร้างบัญชีใหม่กับ "ผู้ดูแลระบบ" ดูรายการชื่อผู้ใช้ที่ใช้กันทั่วไปอย่างละเอียดถี่ถ้วน เพื่อให้คุณทราบว่าควรหลีกเลี่ยงชื่อผู้ใช้ใด
3. ซ่อนหน้าเข้าสู่ระบบ WordPress ของคุณ
เว็บไซต์ WordPress ทำงานในลักษณะที่กำหนดไว้ล่วงหน้า ในกรณีนี้ เว็บไซต์ WordPress ทั้งหมดมาพร้อมกับหน้าเข้าสู่ระบบเริ่มต้นซึ่งมีลักษณะดังนี้ “www.anysite.com/wp-admin” สิ่งนี้ทำให้แฮ็กเกอร์ทำงานได้ง่ายขึ้น เนื่องจากพวกเขาสามารถเปิดการโจมตีอัตโนมัติบนไซต์ WordPress ที่เป็นเป้าหมายหลายไซต์พร้อมกันได้ แต่ถ้าคุณซ่อนหน้าเข้าสู่ระบบโดยการเปลี่ยนแปลง คุณสามารถป้องกันการโจมตีประเภทดังกล่าวในเว็บไซต์ของคุณได้
มีปลั๊กอินมากมายที่คุณสามารถใช้เพื่อเปลี่ยนหน้าเข้าสู่ระบบและใช้ URL ที่ปลั๊กอินแนะนำคุณ เป็นไปได้ว่าเว็บไซต์อื่นที่ใช้ปลั๊กอินเดียวกันนั้นใช้ URL เดียวกัน และหากแฮกเกอร์รู้รูปแบบ URL การซ่อนหน้าเข้าสู่ระบบของคุณจะไม่มีผลใดๆ ดังนั้น ใช้เครื่องมือที่ช่วยให้คุณสามารถสร้าง URL ของหน้าเข้าสู่ระบบที่กำหนดเองได้
4. ใช้การตรวจสอบสิทธิ์ HTTP
เพื่อความปลอดภัยของผู้ดูแลระบบ WordPress คุณสามารถใช้รหัสผ่านป้องกันโฟลเดอร์ wp-admin ทั้งหมดของคุณได้ โฟลเดอร์ wp-admin มีไฟล์การดูแลระบบที่ขับเคลื่อนแดชบอร์ด WordPress ทุกคนที่มีสิทธิ์เข้าถึงโฟลเดอร์นี้สามารถควบคุมทั้งไซต์ได้ หากรหัสผ่านของคุณปกป้องทั้งโฟลเดอร์ ทุกครั้งที่มีคนร้องขอส่วนผู้ดูแลระบบ เซิร์ฟเวอร์จะเริ่มกระบวนการตรวจสอบสิทธิ์ เบราว์เซอร์จะขอรหัสผ่านการตรวจสอบ HTTP จากผู้ใช้ มีเครื่องมือมากมายที่คุณสามารถใช้ตรวจสอบสิทธิ์ HTTP กับผู้ดูแลระบบ WordPress ได้ เช่น HTTP Auth, AskApache Password Protect เป็นต้น
5. ใช้ Google Authenticator
ด้วยเทคนิคการแฮ็กเว็บไซต์ที่มีความซับซ้อนมากขึ้นในทุกวันนี้ จึงเป็นเรื่องปกติที่จะเพิ่มการป้องกันการเข้าสู่ระบบอีกชั้นหนึ่งพร้อมกับข้อมูลรับรองผู้ใช้ที่แข็งแกร่ง เทคนิคนี้เรียกว่าการรับรองความถูกต้องด้วยสองปัจจัย (2FA) วิธีการนี้เกี่ยวข้องกับการส่งรหัสที่มีเพียงคุณเท่านั้นที่จะได้รับบนสมาร์ทโฟนของคุณ ก่อนที่คุณจะได้รับสิทธิ์เข้าถึงแดชบอร์ด WordPress คุณต้องป้อนรหัสที่ไม่ซ้ำบนไซต์ของคุณ ประโยชน์ของวิธีนี้คือ แม้ว่าแฮ็กเกอร์จะจัดการถอดรหัสข้อมูลรับรองของคุณได้ แต่ก็ยังต้องการรหัสที่ส่งไปยังอุปกรณ์ของคุณโดยเฉพาะ
มีปลั๊กอิน WordPress มากมายที่คุณสามารถใช้สำหรับการตรวจสอบสิทธิ์แบบ 2 ปัจจัย เราเปิดใช้งาน 2FA บนไซต์ของเราโดยใช้ Mini Orange เพื่อรักษาความปลอดภัยของผู้ดูแลระบบ WordPress และเขียนคำแนะนำในลักษณะเดียวกัน
6. การจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลว
เว็บไซต์ภายใต้การโจมตีด้วยกำลังเดรัจฉานประสบกับการพยายามเข้าสู่ระบบที่ล้มเหลวหลายร้อยครั้ง เพื่อป้องกันการโจมตีอย่างไม่หยุดยั้งในผู้ดูแลระบบ WordPress ของคุณ คุณสามารถจำกัดจำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลวบนไซต์ของคุณ ปลั๊กอินความปลอดภัย MalCare ป้องกันไม่ให้ผู้ใช้พยายามเข้าสู่ระบบหลังจากพยายามเข้าสู่ระบบล้มเหลว 3 ครั้ง พวกเขาต้องแก้ CAPTCHA ก่อนจึงจะสามารถเข้าถึงหน้าเข้าสู่ระบบ WordPress ได้อีกครั้ง ซึ่งช่วยระบุได้ว่าผู้ใช้เป็นมนุษย์หรือบอทอัตโนมัติที่พยายามโจมตีด้วยกำลังเดรัจฉานบนไซต์
7. ติดตั้งใบรับรอง SSL
ดู URL เว็บไซต์ของเรา! คุณเห็นแม่กุญแจสีเขียวที่มีคำว่า “ปลอดภัย” อยู่ข้างๆ ไหม? ไซต์ของเรามีการติดตั้งใบรับรอง SSL ซึ่งหมายความว่าไม่มีใครสามารถสอดแนมและอ่านข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้ของเรา เว็บไซต์ที่ไม่มีใบรับรอง SSL ตกอยู่ในอันตรายจากการเปิดเผยข้อมูลที่ละเอียดอ่อนของเว็บไซต์โดยไม่เจตนา
ในสมัยก่อน ใบรับรอง SSL ใช้สำหรับหน้าการชำระเงินหรือพื้นที่ผู้ดูแลระบบ WordPress แต่ตอนนี้ ใบรับรอง SSL สามารถช่วยรักษาความปลอดภัยทั้งเว็บไซต์ของคุณได้ Google ได้ระบุอย่างชัดเจนว่าใบรับรอง SSL เป็นปัจจัยในการจัดอันดับเพื่อให้เว็บไซต์ปลอดภัยยิ่งขึ้น คุณสามารถขอรับใบรับรอง SSL จากผู้ให้บริการเช่น Comodo, Let's Encrypt และโฮสต์เว็บของคุณจะช่วยตั้งค่าใบรับรองบนไซต์ของคุณ
8. บัญชีดำที่อยู่ IP ที่เป็นอันตราย
ทุกคนที่ใช้อินเทอร์เน็ตมีที่อยู่ IP แม้แต่แฮกเกอร์ที่โจมตีเว็บไซต์ WordPress ก็มีที่อยู่ IP หากคุณเก็บบันทึกที่อยู่ IP เหล่านี้ไว้ คุณสามารถบล็อกไม่ให้เข้าถึงไซต์ของคุณได้ MalCare – หนึ่งในปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด มีรายละเอียด (ที่อยู่ IP) ของการพยายามเข้าสู่ระบบที่ล้มเหลวบนไซต์ หากคุณพบว่ามีความพยายามที่ล้มเหลวจำนวนมากเกิดขึ้นจาก IP เดียวกันเกือบเป็นประจำ คุณสามารถบล็อก IP ที่น่าสงสัยเหล่านี้ไม่ให้เข้าถึงเว็บไซต์ของคุณได้โดยเพียงแค่วางรหัสต่อไปนี้ในไฟล์ .htaccess ของเรา:
order allow,deny deny from 192.168.20.10 allow from all
“192.168.20.10” คือที่อยู่ IP ที่เราต้องการบล็อกในไซต์ใดไซต์หนึ่งของเรา คุณสามารถแทนที่ด้วย IP ที่คุณต้องการบล็อก
9. เปลี่ยนคีย์ความปลอดภัย
You don’t have to enter your login credentials every time you need to log in to your site. Ever wondered how your browser stores these credentials? After you sign into your account, your login information is stored in an encrypted manner in the browser cookie. Security keys are just random variables that help improve this encryption. If your site is hacked, changing the secret keys will invalidate cookie and force every active user to log out automatically. Once thrown out, the hacker losses access your WordPress admin.
เหนือกว่าคุณ
There is no one way to secure a WordPress admin hence be sure to use multiple methods. We shared with you some of the most recommended ways to secure WordPress admin. But before implementing any of these methods, you must back up your site. If something goes wrong, you can simply restore a backup and get our site up and running in no time.
Besides these, you can take a few more security measures like IP blocking, protecting the login page, securing site with wp-config.php, following this complete guide on WordPress security, and by installing a WordPress security plugin like MalCare.
MalCare will help you implement some of the measures we have mentioned above. For instance, MalCare Security Plugin will help you change security keys, limit the number of failed login attempts, keep your website update, among other things.
Try MalCare Security Plugin Right Now!
