คุณกังวลหรือไม่ว่าแฮ็กเกอร์พยายามค้นหาชื่อผู้ใช้บนไซต์ WordPress ของคุณเพื่อแฮ็กหรือไม่
อาจไม่ใช่สัญชาตญาณแรกของคุณใช่ไหม
แต่นี่คือการตรวจสอบความเป็นจริง: การตรวจสอบไซต์ของคุณเพื่อค้นหาชื่อผู้ใช้นั้นค่อนข้างเป็นกลวิธีทั่วไปที่แฮ็กเกอร์ใช้
เมื่อแฮกเกอร์พบชื่อผู้ใช้ที่ถูกต้อง พวกเขาเพียงแค่เดารหัสผ่านเพื่อเข้าถึงไซต์ของคุณ แฮกเกอร์จะใช้สิ่งที่เรียกว่า 'Brute Force Attack' เพื่อเดารหัสผ่านที่ถูกต้องสำหรับแดชบอร์ด WordPress ของคุณ
ถัดไป พวกเขาจะเข้าควบคุมเว็บไซต์ของคุณอย่างสมบูรณ์และสร้างความหายนะ แฮ็กเกอร์ขโมยข้อมูล เปลี่ยนเส้นทางผู้เข้าชม และลูกค้าที่เป็นสแปม ท่ามกลางรายการกิจกรรมที่เป็นอันตรายอื่นๆ อีกมากมาย
แต่อย่ากังวลเพราะคุณสามารถป้องกันแฮ็กเกอร์ไม่ให้ค้นพบชื่อผู้ใช้ด้วยการใช้มาตรการกับช่องโหว่การแจงนับผู้ใช้
ในคู่มือนี้ คุณจะได้เรียนรู้ว่าการแจงนับผู้ใช้คืออะไรและจะป้องกันมิให้แฮ็กเกอร์เอาเปรียบได้อย่างไร
TL;DR : การแจงนับผู้ใช้สามารถเพิ่มโอกาสในการโจมตีด้วยกำลังเดรัจฉานที่ประสบความสำเร็จบนไซต์ WordPress ของคุณ เพื่อป้องกันสิ่งนี้ คุณสามารถติดตั้ง MalCare Security Plugin มันจะตรวจจับและบล็อกการพยายามใช้กำลังเดรัจฉานในเว็บไซต์ของคุณโดยอัตโนมัติ
การแจงนับผู้ใช้คืออะไร
การแจงนับชื่อผู้ใช้เป็นกระบวนการที่แฮกเกอร์สามารถค้นหาผู้ใช้เว็บไซต์ WordPress ได้ พวกเขาสแกนเว็บไซต์และรวบรวมข้อมูลผู้ใช้ (เช่น ชื่อ, ID อีเมล) ที่พวกเขาใช้เพื่อพยายามเข้าสู่เว็บไซต์
หมายเหตุ: โดยผู้ใช้ เราไม่ได้หมายถึงผู้เยี่ยมชมหรือลูกค้า เราหมายถึงผู้ใช้ที่สามารถเข้าถึงแผงการดูแลระบบ WordPress ของคุณได้
เหตุใดจึงเป็นปัญหา แฮกเกอร์ใช้เทคนิคที่เรียกว่าการโจมตีแบบเดรัจฉานซึ่งพยายามเดาชื่อผู้ใช้และรหัสผ่านของคุณ พวกเขาตั้งโปรแกรมบอทให้ป้อนชื่อผู้ใช้และรหัสผ่านหลายพันชุดในเวลาไม่กี่วินาที
แต่ถ้าพวกเขารู้ชื่อผู้ใช้ของคุณ ก็หมายความว่าพวกเขาอยู่ห่างจากการเข้าถึงไซต์ของคุณเพียงขั้นตอนเดียว
นี่คือที่มาของการแจงนับผู้ใช้ แฮกเกอร์พยายามหาชื่อผู้ใช้โดยดูจากชื่อผู้เขียนและที่อยู่อีเมลบนเว็บไซต์ของคุณ
แฮกเกอร์สามารถค้นหาชื่อผู้ใช้ในไซต์ของคุณได้หลายวิธี สิ่งสำคัญคือต้องเข้าใจวิธีการที่แฮ็กเกอร์ใช้ในการดำเนินมาตรการกับการแจงนับผู้ใช้
ประเภทของการแจงนับผู้ใช้
ชื่อผู้ใช้จะถูกเก็บไว้ในฐานข้อมูลของไซต์ WordPress ของคุณ อย่างไรก็ตาม แฮกเกอร์ไม่จำเป็นต้องเข้าถึงฐานข้อมูลของคุณเพื่อค้นหาข้อมูลนี้
เราให้รายละเอียดสองเทคนิคหลักที่แฮ็กเกอร์ใช้ในการระบุผู้ใช้บนไซต์ WordPress:
1. การใช้คลังข้อมูลของผู้แต่ง
ผู้ใช้ทุกคนในไซต์ WordPress ของคุณมี ID เฉพาะที่จัดสรรให้กับพวกเขา รหัสนี้ถูกใช้โดย WordPress เพื่ออ้างอิงบัญชีผู้ใช้ที่เกี่ยวข้องในฐานข้อมูล
ขั้นต่อไป เมื่อผู้ใช้เว็บไซต์ของคุณสร้างหน้าและโพสต์ WordPress จะจัดเก็บข้อมูลนี้ไว้ในที่เก็บถาวรของผู้เขียน
ที่เก็บถาวรของผู้เขียนโดยทั่วไปจะจัดหมวดหมู่หน้าและโพสต์ตามผู้ที่สร้างมันขึ้นมา
แฮกเกอร์สามารถเรียกใช้สคริปต์บนไซต์ของคุณเพื่อโหลดที่เก็บถาวรของผู้เขียน ซึ่งอาจเปิดเผย ID ผู้ใช้ ถัดไป พวกเขาเรียกใช้สคริปต์เพิ่มเติมเพื่อค้นหาชื่อผู้ใช้ที่เชื่อมโยงกับ ID ผู้ใช้
2. การใช้แบบฟอร์มการเข้าสู่ระบบ
เมื่อคุณ ป้อนชื่อผู้ใช้ที่ไม่ถูกต้อง ในหน้าเข้าสู่ระบบ WordPress จะแสดงข้อความนี้:
ในขณะที่หากคุณ ป้อนชื่อผู้ใช้ที่ถูกต้องและรหัสผ่านไม่ถูกต้อง , WordPress จะแสดงข้อความนี้:
นี่แสดงว่าชื่อผู้ใช้ 'user1@example.com' เป็นชื่อผู้ใช้ที่ถูกต้องและมีเพียงรหัสผ่านที่ไม่ถูกต้องเท่านั้น
แฮกเกอร์ใช้เครื่องมือเช่น Burp Intruder เพื่อโหลดรายการชื่อผู้ใช้ที่เป็นไปได้เพื่อค้นหาชื่อผู้ใช้ที่ถูกต้องโดยตรวจสอบการตอบสนองนี้จาก WordPress
ด้วยวิธีการเหล่านี้ แฮกเกอร์สามารถค้นพบชื่อผู้ใช้ของคุณ และทำให้พวกเขาเข้าใกล้การแฮ็กเว็บไซต์ของคุณมากขึ้น คุณสามารถใช้มาตรการรักษาความปลอดภัยเพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้น
การป้องกันความพยายามที่เป็นไปได้ในการระบุจำนวนผู้ใช้
คุณสามารถหยุดการแจงนับผู้ใช้ได้โดยใช้ปลั๊กอินหรือโดยการแทรกข้อมูลโค้ดลงในไฟล์ WordPress ของคุณด้วยตนเอง เราไม่แนะนำวิธีการด้วยตนเองเพราะมีความเสี่ยงสูง ความผิดพลาดเพียงเล็กน้อยสามารถทำลายเว็บไซต์ของคุณได้ อย่างไรก็ตาม เราจะให้รายละเอียดขั้นตอนสำหรับทั้งคู่
1. ติดตั้งปลั๊กอินการแจงนับผู้ใช้หยุด
นี่เป็นวิธีที่ง่ายและมีประสิทธิภาพมากที่สุดในการหยุดการแจกแจงผู้ใช้บนไซต์ WordPress ของคุณ คุณสามารถติดตั้งปลั๊กอิน Stop User Enumeration บนไซต์ของคุณจากที่เก็บ WordPress
ตามชื่อที่แนะนำ ปลั๊กอินได้รับการออกแบบมาเพื่อป้องกันไม่ให้แฮกเกอร์สแกนชื่อผู้ใช้ในไซต์ของคุณ
นอกจากนี้ยังมีคุณลักษณะที่ดีในการบันทึกที่อยู่ IP ที่พยายามระบุผู้ใช้ของคุณ ที่อยู่ IP คือรหัสเฉพาะที่จัดสรรให้กับอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต ปลั๊กอิน WordPress Firewall เช่น MalCare ได้รับการออกแบบมาเพื่อตรวจจับที่อยู่ IP ที่ดำเนินกิจกรรมที่เป็นอันตรายและบล็อกไม่ให้เข้าถึงไซต์ของคุณ
หากคุณมีไฟร์วอลล์ติดตั้งอยู่บนไซต์ของคุณ คุณสามารถตรวจสอบข้ามบันทึกที่อยู่ IP ที่ปลั๊กอิน Stop User Enumeration ให้มากับที่ไฟร์วอลล์ของคุณบล็อกได้ ในกรณีที่ไม่ได้ปิดกั้น ไฟร์วอลล์ส่วนใหญ่อนุญาตให้คุณป้อนที่อยู่ IP และบัญชีดำด้วยตนเอง จากนั้นไฟร์วอลล์จะป้องกันไม่ให้ที่อยู่ IP เข้าถึงเว็บไซต์ของคุณอีกครั้งโดยอัตโนมัติ
2. การใส่รหัสด้วยตนเองเพื่อหยุดการแจงนับผู้ใช้
หมายเหตุ:จำไว้ว่าเราไม่แนะนำให้ใช้วิธีนี้ ในกรณีที่คุณต้องการดำเนินการต่อ เราขอแนะนำให้คุณสำรองข้อมูลไซต์ WordPress ของคุณ หากมีอะไรผิดพลาด คุณสามารถคืนค่าเว็บไซต์ของคุณให้กลับมาเป็นปกติได้
ขั้นตอนที่ 1: ลงชื่อเข้าใช้บัญชีโฮสติ้งของคุณ ไปที่ cPanel> ตัวจัดการไฟล์ . (คุณยังสามารถเข้าถึงไฟล์ของคุณโดยใช้ FTP เช่น FileZilla)
ขั้นตอนที่ 2: เปิด public_html โฟลเดอร์ ไปที่ wp-content และเข้าถึงโฟลเดอร์ของธีม . อย่าลืมเลือกธีมที่ใช้งานบนเว็บไซต์ของคุณ
ขั้นตอนที่ 3: ที่นี่ คุณจะพบ function.php . ของธีมของคุณ ไฟล์. คลิกขวาและแก้ไขไฟล์นี้
ขั้นตอนที่ 4: ใส่รหัสต่อไปนี้:
/**
* Block User Enumeration
*/
function kl_block_user_enumeration_attempts() {
if ( is_admin() ) return;
$author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) );
if ( $author_by_id )
wp_die( 'Author archives have been disabled.' );
}
add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );
บันทึก เปลี่ยนแปลงและปิดไฟล์ การแจงนับผู้ใช้ควรถูกบล็อกบนเว็บไซต์ของคุณ
ด้วยเหตุนี้ เราจึงยุติการปกป้องเว็บไซต์ของคุณจากการแจงนับผู้ใช้ เราขอแนะนำอย่างยิ่งให้ใช้ชื่อผู้ใช้ที่ไม่พร้อมใช้งานบนไซต์ของคุณ ตัวอย่างเช่น หากคุณมีสมาชิกในทีมและชื่อผู้เขียนบล็อกที่แสดงบนไซต์ของคุณ ก็ควรที่จะรักษาชื่อผู้ดูแลระบบที่ต่างออกไป
ความคิดสุดท้าย
การบล็อกการแจงนับผู้ใช้ในไซต์ WordPress คุณจะลดโอกาสในการโจมตีด้วยกำลังเดรัจฉาน แฮกเกอร์มักจะกำหนดเป้าหมายไซต์ที่แฮ็คได้ง่าย บอทของพวกเขาจะพยายามไม่สำเร็จสักสองสามครั้งและไปต่อจากไซต์ของคุณ
อย่างไรก็ตาม การโจมตีด้วยกำลังเดรัจฉานเป็นเพียงหนึ่งในภัยคุกคามด้านความปลอดภัยที่คุณต้องการเพื่อปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์
เราขอแนะนำอย่างยิ่งให้เปิดใช้งานปลั๊กอินความปลอดภัยที่จะสแกนไซต์ของคุณเป็นประจำเพื่อให้แน่ใจว่าไซต์สะอาดและปราศจากมัลแวร์ นอกจากนี้ยังจะบล็อกแฮ็กเกอร์ในเชิงรุกไม่ให้เข้าถึงเว็บไซต์ของคุณ
คุณสามารถดำเนินการไซต์ของคุณได้อย่างสบายใจเมื่อรู้ว่าเว็บไซต์ของคุณปลอดภัย
ปกป้องไซต์ WordPress ของคุณด้วย MalCare!
