Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> HTML

วิธีการแก้ไขข้อผิดพลาด “การป้องกันความพยายามที่เป็นไปได้ในการแจกแจงผู้ใช้” (2 วิธีง่ายๆ)

คุณกังวลหรือไม่ว่าแฮ็กเกอร์พยายามค้นหาชื่อผู้ใช้บนไซต์ WordPress ของคุณเพื่อแฮ็กหรือไม่

อาจไม่ใช่สัญชาตญาณแรกของคุณใช่ไหม

แต่นี่คือการตรวจสอบความเป็นจริง: การตรวจสอบไซต์ของคุณเพื่อค้นหาชื่อผู้ใช้นั้นค่อนข้างเป็นกลวิธีทั่วไปที่แฮ็กเกอร์ใช้

เมื่อแฮกเกอร์พบชื่อผู้ใช้ที่ถูกต้อง พวกเขาเพียงแค่เดารหัสผ่านเพื่อเข้าถึงไซต์ของคุณ แฮกเกอร์จะใช้สิ่งที่เรียกว่า 'Brute Force Attack' เพื่อเดารหัสผ่านที่ถูกต้องสำหรับแดชบอร์ด WordPress ของคุณ

ถัดไป พวกเขาจะเข้าควบคุมเว็บไซต์ของคุณอย่างสมบูรณ์และสร้างความหายนะ แฮ็กเกอร์ขโมยข้อมูล เปลี่ยนเส้นทางผู้เข้าชม และลูกค้าที่เป็นสแปม ท่ามกลางรายการกิจกรรมที่เป็นอันตรายอื่นๆ อีกมากมาย

แต่อย่ากังวลเพราะคุณสามารถป้องกันแฮ็กเกอร์ไม่ให้ค้นพบชื่อผู้ใช้ด้วยการใช้มาตรการกับช่องโหว่การแจงนับผู้ใช้

ในคู่มือนี้ คุณจะได้เรียนรู้ว่าการแจงนับผู้ใช้คืออะไรและจะป้องกันมิให้แฮ็กเกอร์เอาเปรียบได้อย่างไร

TL;DR : การแจงนับผู้ใช้สามารถเพิ่มโอกาสในการโจมตีด้วยกำลังเดรัจฉานที่ประสบความสำเร็จบนไซต์ WordPress ของคุณ เพื่อป้องกันสิ่งนี้ คุณสามารถติดตั้ง MalCare Security Plugin มันจะตรวจจับและบล็อกการพยายามใช้กำลังเดรัจฉานในเว็บไซต์ของคุณโดยอัตโนมัติ

การแจงนับผู้ใช้คืออะไร

การแจงนับชื่อผู้ใช้เป็นกระบวนการที่แฮกเกอร์สามารถค้นหาผู้ใช้เว็บไซต์ WordPress ได้ พวกเขาสแกนเว็บไซต์และรวบรวมข้อมูลผู้ใช้ (เช่น ชื่อ, ID อีเมล) ที่พวกเขาใช้เพื่อพยายามเข้าสู่เว็บไซต์

หมายเหตุ: โดยผู้ใช้ เราไม่ได้หมายถึงผู้เยี่ยมชมหรือลูกค้า เราหมายถึงผู้ใช้ที่สามารถเข้าถึงแผงการดูแลระบบ WordPress ของคุณได้

เหตุใดจึงเป็นปัญหา แฮกเกอร์ใช้เทคนิคที่เรียกว่าการโจมตีแบบเดรัจฉานซึ่งพยายามเดาชื่อผู้ใช้และรหัสผ่านของคุณ พวกเขาตั้งโปรแกรมบอทให้ป้อนชื่อผู้ใช้และรหัสผ่านหลายพันชุดในเวลาไม่กี่วินาที

แต่ถ้าพวกเขารู้ชื่อผู้ใช้ของคุณ ก็หมายความว่าพวกเขาอยู่ห่างจากการเข้าถึงไซต์ของคุณเพียงขั้นตอนเดียว

นี่คือที่มาของการแจงนับผู้ใช้ แฮกเกอร์พยายามหาชื่อผู้ใช้โดยดูจากชื่อผู้เขียนและที่อยู่อีเมลบนเว็บไซต์ของคุณ

แฮกเกอร์สามารถค้นหาชื่อผู้ใช้ในไซต์ของคุณได้หลายวิธี สิ่งสำคัญคือต้องเข้าใจวิธีการที่แฮ็กเกอร์ใช้ในการดำเนินมาตรการกับการแจงนับผู้ใช้

ประเภทของการแจงนับผู้ใช้

ชื่อผู้ใช้จะถูกเก็บไว้ในฐานข้อมูลของไซต์ WordPress ของคุณ อย่างไรก็ตาม แฮกเกอร์ไม่จำเป็นต้องเข้าถึงฐานข้อมูลของคุณเพื่อค้นหาข้อมูลนี้

เราให้รายละเอียดสองเทคนิคหลักที่แฮ็กเกอร์ใช้ในการระบุผู้ใช้บนไซต์ WordPress:

1. การใช้คลังข้อมูลของผู้แต่ง

ผู้ใช้ทุกคนในไซต์ WordPress ของคุณมี ID เฉพาะที่จัดสรรให้กับพวกเขา รหัสนี้ถูกใช้โดย WordPress เพื่ออ้างอิงบัญชีผู้ใช้ที่เกี่ยวข้องในฐานข้อมูล

ขั้นต่อไป เมื่อผู้ใช้เว็บไซต์ของคุณสร้างหน้าและโพสต์ WordPress จะจัดเก็บข้อมูลนี้ไว้ในที่เก็บถาวรของผู้เขียน

ที่เก็บถาวรของผู้เขียนโดยทั่วไปจะจัดหมวดหมู่หน้าและโพสต์ตามผู้ที่สร้างมันขึ้นมา

แฮกเกอร์สามารถเรียกใช้สคริปต์บนไซต์ของคุณเพื่อโหลดที่เก็บถาวรของผู้เขียน ซึ่งอาจเปิดเผย ID ผู้ใช้ ถัดไป พวกเขาเรียกใช้สคริปต์เพิ่มเติมเพื่อค้นหาชื่อผู้ใช้ที่เชื่อมโยงกับ ID ผู้ใช้

2. การใช้แบบฟอร์มการเข้าสู่ระบบ

เมื่อคุณ ป้อนชื่อผู้ใช้ที่ไม่ถูกต้อง ในหน้าเข้าสู่ระบบ WordPress จะแสดงข้อความนี้:

วิธีการแก้ไขข้อผิดพลาด “การป้องกันความพยายามที่เป็นไปได้ในการแจกแจงผู้ใช้” (2 วิธีง่ายๆ)

ในขณะที่หากคุณ ป้อนชื่อผู้ใช้ที่ถูกต้องและรหัสผ่านไม่ถูกต้อง , WordPress จะแสดงข้อความนี้:

วิธีการแก้ไขข้อผิดพลาด “การป้องกันความพยายามที่เป็นไปได้ในการแจกแจงผู้ใช้” (2 วิธีง่ายๆ)

นี่แสดงว่าชื่อผู้ใช้ '[email protected]' เป็นชื่อผู้ใช้ที่ถูกต้องและมีเพียงรหัสผ่านที่ไม่ถูกต้องเท่านั้น

แฮกเกอร์ใช้เครื่องมือเช่น Burp Intruder เพื่อโหลดรายการชื่อผู้ใช้ที่เป็นไปได้เพื่อค้นหาชื่อผู้ใช้ที่ถูกต้องโดยตรวจสอบการตอบสนองนี้จาก WordPress

ด้วยวิธีการเหล่านี้ แฮกเกอร์สามารถค้นพบชื่อผู้ใช้ของคุณ และทำให้พวกเขาเข้าใกล้การแฮ็กเว็บไซต์ของคุณมากขึ้น คุณสามารถใช้มาตรการรักษาความปลอดภัยเพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้น

การป้องกันความพยายามที่เป็นไปได้ในการระบุจำนวนผู้ใช้

คุณสามารถหยุดการแจงนับผู้ใช้ได้โดยใช้ปลั๊กอินหรือโดยการแทรกข้อมูลโค้ดลงในไฟล์ WordPress ของคุณด้วยตนเอง เราไม่แนะนำวิธีการด้วยตนเองเพราะมีความเสี่ยงสูง ความผิดพลาดเพียงเล็กน้อยสามารถทำลายเว็บไซต์ของคุณได้ อย่างไรก็ตาม เราจะให้รายละเอียดขั้นตอนสำหรับทั้งคู่

1. ติดตั้งปลั๊กอินการแจงนับผู้ใช้หยุด

นี่เป็นวิธีที่ง่ายและมีประสิทธิภาพมากที่สุดในการหยุดการแจกแจงผู้ใช้บนไซต์ WordPress ของคุณ คุณสามารถติดตั้งปลั๊กอิน Stop User Enumeration บนไซต์ของคุณจากที่เก็บ WordPress

ตามชื่อที่แนะนำ ปลั๊กอินได้รับการออกแบบมาเพื่อป้องกันไม่ให้แฮกเกอร์สแกนชื่อผู้ใช้ในไซต์ของคุณ

นอกจากนี้ยังมีคุณลักษณะที่ดีในการบันทึกที่อยู่ IP ที่พยายามระบุผู้ใช้ของคุณ ที่อยู่ IP คือรหัสเฉพาะที่จัดสรรให้กับอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต ปลั๊กอิน WordPress Firewall เช่น MalCare ได้รับการออกแบบมาเพื่อตรวจจับที่อยู่ IP ที่ดำเนินกิจกรรมที่เป็นอันตรายและบล็อกไม่ให้เข้าถึงไซต์ของคุณ

หากคุณมีไฟร์วอลล์ติดตั้งอยู่บนไซต์ของคุณ คุณสามารถตรวจสอบข้ามบันทึกที่อยู่ IP ที่ปลั๊กอิน Stop User Enumeration ให้มากับที่ไฟร์วอลล์ของคุณบล็อกได้ ในกรณีที่ไม่ได้ปิดกั้น ไฟร์วอลล์ส่วนใหญ่อนุญาตให้คุณป้อนที่อยู่ IP และบัญชีดำด้วยตนเอง จากนั้นไฟร์วอลล์จะป้องกันไม่ให้ที่อยู่ IP เข้าถึงเว็บไซต์ของคุณอีกครั้งโดยอัตโนมัติ

2. การใส่รหัสด้วยตนเองเพื่อหยุดการแจงนับผู้ใช้

หมายเหตุ:จำไว้ว่าเราไม่แนะนำให้ใช้วิธีนี้ ในกรณีที่คุณต้องการดำเนินการต่อ เราขอแนะนำให้คุณสำรองข้อมูลไซต์ WordPress ของคุณ หากมีอะไรผิดพลาด คุณสามารถคืนค่าเว็บไซต์ของคุณให้กลับมาเป็นปกติได้

ขั้นตอนที่ 1: ลงชื่อเข้าใช้บัญชีโฮสติ้งของคุณ ไปที่ cPanel> ตัวจัดการไฟล์ . (คุณยังสามารถเข้าถึงไฟล์ของคุณโดยใช้ FTP เช่น FileZilla)

วิธีการแก้ไขข้อผิดพลาด “การป้องกันความพยายามที่เป็นไปได้ในการแจกแจงผู้ใช้” (2 วิธีง่ายๆ)

ขั้นตอนที่ 2: เปิด public_html โฟลเดอร์ ไปที่ wp-content และเข้าถึงโฟลเดอร์ของธีม . อย่าลืมเลือกธีมที่ใช้งานบนเว็บไซต์ของคุณ

วิธีการแก้ไขข้อผิดพลาด “การป้องกันความพยายามที่เป็นไปได้ในการแจกแจงผู้ใช้” (2 วิธีง่ายๆ)

ขั้นตอนที่ 3: ที่นี่ คุณจะพบ function.php . ของธีมของคุณ ไฟล์. คลิกขวาและแก้ไขไฟล์นี้

ขั้นตอนที่ 4: ใส่รหัสต่อไปนี้:


/**

* Block User Enumeration

*/

function kl_block_user_enumeration_attempts() {

if ( is_admin() ) return;

$author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) );

if ( $author_by_id )

wp_die( 'Author archives have been disabled.' );

}

add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

บันทึก เปลี่ยนแปลงและปิดไฟล์ การแจงนับผู้ใช้ควรถูกบล็อกบนเว็บไซต์ของคุณ

ด้วยเหตุนี้ เราจึงยุติการปกป้องเว็บไซต์ของคุณจากการแจงนับผู้ใช้ เราขอแนะนำอย่างยิ่งให้ใช้ชื่อผู้ใช้ที่ไม่พร้อมใช้งานบนไซต์ของคุณ ตัวอย่างเช่น หากคุณมีสมาชิกในทีมและชื่อผู้เขียนบล็อกที่แสดงบนไซต์ของคุณ ก็ควรที่จะรักษาชื่อผู้ดูแลระบบที่ต่างออกไป

ความคิดสุดท้าย

การบล็อกการแจงนับผู้ใช้ในไซต์ WordPress คุณจะลดโอกาสในการโจมตีด้วยกำลังเดรัจฉาน แฮกเกอร์มักจะกำหนดเป้าหมายไซต์ที่แฮ็คได้ง่าย บอทของพวกเขาจะพยายามไม่สำเร็จสักสองสามครั้งและไปต่อจากไซต์ของคุณ

อย่างไรก็ตาม การโจมตีด้วยกำลังเดรัจฉานเป็นเพียงหนึ่งในภัยคุกคามด้านความปลอดภัยที่คุณต้องการเพื่อปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์

เราขอแนะนำอย่างยิ่งให้เปิดใช้งานปลั๊กอินความปลอดภัยที่จะสแกนไซต์ของคุณเป็นประจำเพื่อให้แน่ใจว่าไซต์สะอาดและปราศจากมัลแวร์ นอกจากนี้ยังจะบล็อกแฮ็กเกอร์ในเชิงรุกไม่ให้เข้าถึงเว็บไซต์ของคุณ

คุณสามารถดำเนินการไซต์ของคุณได้อย่างสบายใจเมื่อรู้ว่าเว็บไซต์ของคุณปลอดภัย

ปกป้องไซต์ WordPress ของคุณด้วย MalCare!