10 สุดยอดเคล็ดลับในการปกป้อง WordPress Admin Area

เผยแพร่แล้ว: 2022-07-12

ในบรรดาเว็บไซต์ที่ติดเชื้อ 8,000 แห่งที่ Sucuri รู้จัก 74% ของเว็บไซต์เหล่านั้นใช้ WordPress ตามรายงานเว็บไซต์ที่ถูกแฮ็กประจำปี 2559 สถิติที่ร้ายแรงนี้ส่วนหนึ่งช่วยให้คุณตระหนักถึงความกังวลอย่างต่อเนื่องและต่อเนื่องของการรักษาความปลอดภัยเว็บในเว็บไซต์ของคุณ

บุคคลที่สามที่เป็นอันตรายใช้วิธีการต่างๆ ในการโจมตีเว็บไซต์ WordPress ของคุณ แดชบอร์ดผู้ดูแลระบบจะเป็นเป้าหมายที่เปราะบางที่สุด เหมือนกับศูนย์กลางของไซต์ของคุณที่มีข้อมูลสำคัญ เมื่อบุกเข้าไปในแดชบอร์ดของผู้ดูแลระบบแล้ว พวกเขาจะดำเนินการที่เป็นอันตรายซึ่งจะทำให้ไซต์ของคุณเสียหายอย่างมาก

เพื่อป้องกันการโจมตีที่น่าสงสัยอย่างมีประสิทธิภาพ คุณต้องปกป้องผู้ดูแลระบบ WordPress บทความของเราในวันนี้มีเนื้อหาเกี่ยวกับ 10 วิธีในการกระชับพื้นที่การเข้าสู่ระบบของคุณ ก่อนเจาะลึกรายละเอียด ให้เราอธิบายเหตุผลสั้นๆ ในการรักษาความปลอดภัยให้กับผู้ดูแลระบบของคุณก่อน

ทำไมต้องรักษาความปลอดภัยให้กับผู้ดูแลระบบ WordPress

เมื่อพูดถึงการหาประโยชน์จากเว็บไซต์ เรานึกถึงแฮกเกอร์ที่เจาะเข้าไปในเซิร์ฟเวอร์ของคุณโดยใช้ระบบคอมพิวเตอร์ที่ซับซ้อน

อันที่จริง กระบวนการนี้ง่ายกว่านั้นมาก พวกเขาสามารถเข้าถึงและควบคุมส่วนหลังของเว็บไซต์ของคุณได้ง่ายๆ จากนั้น คุณจะได้รับผลกระทบจากการสูญเสียข้อมูล ประสบปัญหาทางกฎหมาย และใช้จ่ายเงินในการทำความสะอาดเว็บไซต์

ในกรณีส่วนใหญ่ แฮ็กเกอร์ทิ้งมัลแวร์ไว้บนไซต์ของคุณเพื่อขโมยข้อมูลลูกค้าประจำตัว เช่น หมายเลขโทรศัพท์หรือรายละเอียดบัตรเครดิต เมื่อข้อมูลส่วนตัวนี้ถูกขโมย ไม่เพียงแต่ลูกค้าของคุณจะเสียเงินและถูกรบกวน แต่ยังทำลายชื่อเสียงแบรนด์ของคุณด้วย

ผู้ซื้อจะไม่กลับไปที่ร้านค้าออนไลน์ของคุณเพื่อซื้อเนื่องจากไม่แน่ใจว่าข้อมูลของตนได้รับการรักษาความปลอดภัยอย่างสมบูรณ์หรือไม่ คุณอาจถูกลากเข้าสู่การดำเนินคดีเนื่องจากไม่ได้ปกป้องข้อมูลลูกค้าอย่างระมัดระวังเช่นกัน

นอกจากนี้ การทำความสะอาดเว็บไซต์เนื่องจากการโจมตีทางอินเทอร์เน็ตนั้นมีค่าใช้จ่ายสูง คุณต้องจ้างบริการบำรุงรักษา WordPress เพื่อจัดการกับเรื่องนี้

มีหลายเทคนิคที่คุณสามารถนำไปใช้เพื่อปกป้องผู้ดูแลระบบ WordPress ด้านล่างนี้คือวิธีแก้ปัญหา 10 วิธีที่ง่ายที่สุดสำหรับเจ้าของเว็บไซต์ ตั้งแต่คนที่ไม่เชี่ยวชาญเทคโนโลยีไปจนถึงคนที่เชี่ยวชาญด้านเทคโนโลยี

#1 เปลี่ยนชื่อผู้ใช้ผู้ดูแลระบบเริ่มต้น

WordPress กำหนด ผู้ดูแลระบบ ให้กับชื่อผู้ใช้เริ่มต้นของเว็บไซต์ทั้งหมด และอาชญากรไซเบอร์ก็รู้เรื่องนี้อย่างแน่นอน พวกเขาเดารหัสผ่านของคุณเพื่อเข้าสู่ไซต์ของคุณได้อย่างง่ายดาย พวกเขาสามารถหาได้จากที่ไหนสักแห่งหรือพยายามโจมตีด้วยกำลังเดรัจฉาน

คุณควรใช้ชื่อผู้ใช้อื่นแทน ผู้ดูแลระบบ เพื่อรักษาความปลอดภัยในการเข้าสู่ระบบของผู้ดูแลระบบ โชคดีที่การเปลี่ยนชื่อผู้ใช้ใน WordPress เป็นเรื่องง่าย

  1. เยี่ยมชม ผู้ใช้ ในเมนูผู้ดูแลเว็บไซต์ของคุณ
  2. เลือก ผู้ใช้ทั้งหมด และเปิดโปรไฟล์ผู้ดูแลระบบ
    pda-ผู้ใช้ทั้งหมด
  3. อัพเดทชื่อผู้ใช้และรหัสผ่าน
  4. บันทึกการเปลี่ยนแปลงของคุณ

#2 ใช้รหัสผ่านที่รัดกุมเพื่อปกป้องผู้ดูแลระบบ WordPress

ประมาณว่า 8% ของไซต์ WordPress ที่ถูกแฮ็กมาจากรหัสผ่านที่ไม่ปลอดภัย ดังนั้น จำไว้ว่าให้ใช้รหัสผ่านที่รัดกุมสำหรับบัญชีของคุณ รหัสผ่านต้องมีอักขระอย่างน้อย 8 ตัว ซึ่งประกอบด้วยตัวอักษร ตัวเลข และอักขระพิเศษ คุณสามารถป้อนรหัสผ่านใหม่ได้โดยตรงบนหน้า ผู้ใช้ ที่คุณเปลี่ยนชื่อผู้ใช้

ตัวสร้างรหัสผ่านช่วยคุณอย่างมากในการสร้างรหัสผ่านแบบสุ่มและคาดเดายาก เพียงเลือกองค์ประกอบที่คุณต้องการรวมไว้ในรหัสผ่านและให้เครื่องมือจัดการงาน

อย่างไรก็ตาม การจำรหัสผ่านทั้งหมดของคุณเป็นเรื่องที่เจ็บปวด เนื่องจากคุณเป็นเจ้าของรหัสผ่านและบัญชีจำนวนมากที่ต้องจัดการ โชคดีที่คุณมีแอปตัวจัดการรหัสผ่านอยู่ในมือ ซึ่งช่วยให้คุณจัดเก็บรหัสผ่านได้อย่างปลอดภัยโดยไม่ต้องกังวลว่าจะถูกแฮ็ก

#3 สร้าง URL ล็อกอินที่กำหนดเอง

นอกจากชื่อผู้ใช้แล้ว WordPress ยังให้ลิงค์เข้าสู่ระบบเริ่มต้นโดยการเพิ่ม /wp-login.php ให้กับโดเมนเว็บไซต์ ตัวอย่างเช่น www.example.com/wp-login.php หากคุณยังคงเป็นทั้ง URL สำหรับเข้าสู่ระบบเริ่มต้นและชื่อผู้ใช้ แฮกเกอร์สามารถเข้าถึงผู้ดูแลไซต์ของคุณได้ครึ่งทาง

แม้ว่าคุณสามารถสร้าง URL ล็อกอินของผู้ดูแลระบบที่กำหนดเองได้โดยแก้ไขไฟล์ wp-login.php เราขอแนะนำอย่างยิ่งให้ใช้ปลั๊กอิน คุณไม่จำเป็นต้องสัมผัสเซิร์ฟเวอร์หรือทำการเปลี่ยนแปลงไฟล์และโฟลเดอร์ที่อาจทำลายเว็บไซต์

พิจารณา WPS Hide Login เมื่อเลือกปลั๊กอินเพื่อปรับแต่งลิงค์เข้าสู่ระบบ WordPress ปลั๊กอินนี้ได้รับความไว้วางใจจากผู้ใช้มากกว่า 1 ล้านคนทั่วโลก และพิสูจน์ให้เห็นถึงโซลูชันที่ได้รับความนิยมสูงสุดในช่องนี้

ปฏิบัติตาม 4 ขั้นตอนด้านล่างเพื่อเริ่มต้นใช้งานปลั๊กอิน

  1. ติดตั้งและเปิดใช้งาน WPS ซ่อนการเข้าสู่ระบบบนเว็บไซต์ของคุณ
  2. ไปที่ การตั้งค่า ในเมนูผู้ดูแลระบบ
  3. เลือก WPS ซ่อนการเข้าสู่ระบบ
  4. ป้อนลิงค์เข้าสู่ระบบใหม่ลงในช่อง URL เข้าสู่ระบบ

อย่าลืมบันทึกการเปลี่ยนแปลงของคุณ เมื่อเสร็จแล้ว เฉพาะผู้ใช้ที่มีลิงก์เข้าสู่ระบบใหม่และรายละเอียดบัญชีที่ถูกต้องเท่านั้นที่สามารถเข้าถึงหน้าผู้ดูแลระบบของคุณได้

#4 รหัสผ่านป้องกันโฟลเดอร์ผู้ดูแลระบบ wp

โฟลเดอร์ wp-admin ประกอบด้วยไฟล์การดูแลระบบที่สำคัญ ซึ่งอยู่ในไดเร็กทอรีราก คุณสามารถสร้างชั้นความปลอดภัยเพิ่มเติมสำหรับผู้ดูแลระบบของคุณโดยการป้องกันโฟลเดอร์ wp-admin นี้ด้วยรหัสผ่าน

  1. เข้าสู่ระบบโฮสติ้ง cPannel หรือเชื่อมต่อกับไคลเอนต์ FTP
  2. กด รหัสผ่านปกป้องไดเรกทอรี หรือ ความเป็นส่วนตัวของไดเรกทอรี
    pda-password-protect-directory
  3. ค้นหาโฟลเดอร์ wp-admin ใต้ไดเร็กทอรี /public_html/
  4. เปิดใช้งานตัวเลือกด้วย รหัสผ่านป้องกันไดเรกทอรีนี้
  5. ระบุชื่อผู้ใช้และรหัสผ่าน
    pda-ชื่อผู้ใช้-รหัสผ่าน-ไดเรกทอรี
  6. คลิก บันทึก

นี่คือสิ่งที่ผู้ใช้เห็นทุกครั้งที่พยายามรับหน้าผู้ดูแลระบบ WordPress ของคุณ พวกเขาต้องป้อนชื่อผู้ใช้และรหัสผ่านที่ถูกต้องเพื่อผ่านชั้นการตรวจสอบสิทธิ์แรกก่อนที่จะส่งข้อมูลรับรองผู้ดูแลระบบ

pda-admin-authentication

#5 รีเซ็ตรหัสผ่านสำหรับผู้ใช้ทั้งหมด

อีกวิธีในการปกป้องผู้ดูแลระบบ WordPress คือการบังคับให้ผู้ใช้ทุกคนรีเซ็ตรหัสผ่าน โดยเฉพาะในเว็บไซต์ที่มีผู้ใช้หลายคน หากต้องการทำสิ่งนี้อย่างรวดเร็ว คุณต้องได้รับความช่วยเหลือจากปลั๊กอินรีเซ็ตรหัสผ่านฉุกเฉิน

เมื่อเปิดใช้งาน ผู้ดูแลระบบจะรีเซ็ตรหัสผ่านและส่งอีเมลลิงก์รีเซ็ตให้โดยอัตโนมัติด้วยการคลิกเพียงครั้งเดียว ทำตามขั้นตอนด้านล่าง:

  1. ติดตั้งปลั๊กอิน รีเซ็ตรหัสผ่านฉุกเฉิน
  2. ไปที่ ผู้ใช้รีเซ็ตรหัสผ่านฉุกเฉิน
    pda-ฉุกเฉิน-รหัสผ่าน-รีเซ็ต
  3. กดปุ่ม รีเซ็ตรหัสผ่านทั้งหมด

แค่นั้นแหละ!

#6 จำกัดความพยายามในการเข้าสู่ระบบ

WordPress อนุญาตให้ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบได้หลายครั้งเท่าที่ต้องการ จนกว่าพวกเขาจะเข้าถึงพื้นที่ผู้ดูแลระบบของคุณได้สำเร็จ อย่างไรก็ตาม ตัวเลือกนี้เปิดโอกาสให้แฮ็กเกอร์โจมตีเว็บไซต์ของคุณด้วยกำลังดุร้าย

ผู้ใช้ที่มีเจตนาร้ายเหล่านี้มักมีคลังรหัสผ่านของคนทั่วไป แฮกเกอร์จะใช้สคริปต์อัตโนมัติและผ่านรหัสผ่านที่เป็นไปได้นับพัน

เพื่อลดความเสี่ยง คุณสามารถจำกัดความพยายามในการเข้าสู่ระบบด้วยปลั๊กอิน Wordfence Security เป็นมากกว่าปลั๊กอินสำหรับป้องกันการโจมตีแบบเดรัจฉาน ซึ่งมีหน้าที่ดูแลความปลอดภัยของไซต์และไฟร์วอลล์ WordPress เราจะพูดถึงประโยชน์ของปลั๊กอินนี้ในหัวข้อถัดไป

  1. ติดตั้งและเปิดใช้งานปลั๊กอิน Wordfence Security สำหรับเว็บไซต์ของคุณ
  2. เปิด Wordfence แล้วเลือก ตัวเลือกทั้งหมด
    pda-wordfence-enable-brute-force-attack
  3. เปิดเปิด ใช้งานการป้องกันกำลังเดรัจฉาน ภายใต้ ตัวเลือกไฟร์วอลล์
  4. ป้อนเวลาที่ผู้ใช้ได้รับอนุญาตให้ส่งข้อมูลการเข้าสู่ระบบที่ล้มเหลว

หากพวกเขาสามารถเข้าสู่ระบบได้แม้ว่าจะพยายามถึงจำนวนครั้งสูงสุดแล้วก็ตาม ปลั๊กอินจะบล็อกที่อยู่ IP ของพวกเขาทันที

#7 จำกัดการเข้าถึงการเข้าสู่ระบบด้วยที่อยู่ IP

วิธีนี้มีประโยชน์ในกรณีที่คุณมีผู้ใช้ไม่กี่คนที่ต้องการเข้าถึงพื้นที่ผู้ดูแลระบบของคุณ คุณต้องแก้ไขไฟล์ .htaccess ผ่าน File Transfer Protocol (FTP) หรือตัวจัดการไฟล์ของโฮสต์เว็บ

เพิ่มรหัสด้านล่างลงในไฟล์:

 AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "การควบคุมการเข้าถึงผู้ดูแลระบบ WordPress"
AuthType Basic
<LIMIT GET>
คำสั่งปฏิเสธอนุญาต
ปฏิเสธจากทั้งหมด
# รายการที่อยู่ IP ที่อนุญาตพิเศษ
อนุญาตจาก xx.xx.xx.xxx
</LIMIT>

แทนที่ xx.xx.xx.xxx ด้วยที่อยู่ IP จริง

การแก้ไขไฟล์ .htaccess ถือเป็นอันตรายอย่างยิ่ง อย่าลืมสร้างข้อมูลสำรองของไซต์ของคุณก่อนที่จะแก้ไขไฟล์ .htaccess ด้วยวิธีนี้ คุณสามารถย้อนกลับเวอร์ชันก่อนหน้าได้หากมีสิ่งผิดปกติเกิดขึ้นกับไซต์

#8 ตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัย

การรับรองความถูกต้องด้วยสองปัจจัย (2FA) ช่วยให้คุณเพิ่มชั้นความปลอดภัยพิเศษให้กับผู้ดูแลระบบ WordPress ของคุณ ตัวอย่างเช่น ป้อนรหัสความปลอดภัยที่ส่งไปยังอุปกรณ์มือถือของคุณ หรือใช้รหัสใบหน้าของคุณ

หากคุณได้ติดตั้งปลั๊กอิน Wordfence ที่เราแนะนำไว้ข้างต้น คุณสามารถใช้ฟังก์ชันนี้ได้โดยไม่ต้องใช้โซลูชันเพิ่มเติม

  1. เยี่ยมชม Wordfence และเปิดส่วน ความปลอดภัยในการเข้าสู่ระบบ
  2. สแกนรหัส QR ด้วยแอปรับรองความถูกต้องของคุณ

#9 ปิดการใช้งานคำแนะนำในการเข้าสู่ระบบ

เมื่อผู้ใช้เข้าสู่ระบบแดชบอร์ดของผู้ดูแลระบบไม่สำเร็จ WordPress จะแสดงข้อความแสดงข้อผิดพลาดเพื่อแจ้งให้ทราบว่าชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง ซึ่งจะให้คำแนะนำแก่ผู้ใช้เกี่ยวกับข้อมูลรับรองการเข้าสู่ระบบ

ยกตัวอย่างแฮกเกอร์ที่ใช้ชื่อผู้ใช้และรหัสผ่านแบบสุ่มเพื่อเข้าถึงหน้าผู้ดูแลระบบ หากพวกเขารู้รายละเอียดอย่างใดอย่างหนึ่ง พวกเขาก็ต้องแสวงหารายละเอียดอื่นที่เหมาะสม

คุณสามารถหยุดสิ่งนี้ได้โดยแก้ไขไฟล์ functions.php ของธีมของคุณ ตรงไปที่ AppearanceTheme Editorfunctions.php ในแบ็กเอนด์ WordPress จากนั้นป้อนรหัสต่อไปนี้ลงในไฟล์ functions.php ของคุณ

 ฟังก์ชั่น no_wordpress_errors(){
ส่งคืน 'มีบางอย่างผิดปกติ!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

#10 ใช้ไฟร์วอลล์แอปพลิเคชันเว็บไซต์

ไฟร์วอลล์ไม่ใช่โซลูชันเก่าในการรักษาความปลอดภัยให้กับผู้ดูแลระบบ WordPress ของคุณ ตรวจสอบการเข้าชมไซต์และบล็อกคำขอที่เป็นอันตรายไม่ให้เข้าถึงไซต์ของคุณ ปลั๊กอินยอดนิยมบางตัวที่คุณสามารถลองใช้ได้ ได้แก่ Wordfence, iThemes Security และ Sucuri

ไม่เพียงแต่ป้องกันผู้ใช้ที่น่าสงสัยเท่านั้น แต่ปลั๊กอินเหล่านี้ยังสแกนหามัลแวร์อีกด้วย มีตัวเลือกการป้องกันการเข้าสู่ระบบให้เลือกมากมาย ตั้งแต่การป้องกันการโจมตีแบบเดรัจฉาน การตรวจสอบสิทธิ์แบบสองปัจจัย CAPTCHA เป็นต้น

ถึงเวลาปกป้องผู้ดูแลระบบ WordPress

ผลที่ตามมาของการหาประโยชน์จาก WordPress นั้นสร้างความเสียหายอย่างมาก คุณจะสูญเสียลูกค้า ชื่อเสียงของแบรนด์ และเงินเนื่องจากผู้ดูแลระบบเข้าสู่ระบบอาชญากรรมทางอินเทอร์เน็ต

การป้องกันย่อมดีกว่าการรักษาเสมอ คุณได้อ่านเคล็ดลับที่ดีที่สุด 10 ข้อในการรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบ WordPress ของคุณทั้งแบบมีและไม่มีปลั๊กอิน

เปลี่ยนชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบด้วยการคลิกเพียงไม่กี่ครั้ง คุณสามารถติดตั้งปลั๊กอินเพื่อสร้าง URL การเข้าสู่ระบบแบบกำหนดเอง จำกัดความพยายามในการเข้าสู่ระบบ ตั้งค่า 2FA และใช้ไฟร์วอลล์ คุณต้องใช้รหัสเพื่อป้องกันรหัสผ่านโฟลเดอร์ wp-admin จำกัดการเข้าสู่ระบบด้วยที่อยู่ IP และปิดใช้งานคำแนะนำในการเข้าสู่ระบบ

คุณใช้วิธีการเหล่านี้กี่วิธี? แบ่งปันกับเราในส่วนความคิดเห็นด้านล่าง