วิธีรักษาความปลอดภัยผู้ดูแลระบบ WordPress ของคุณ (Wp-Admin)

ความปลอดภัยของ WordPress นั้นค่อนข้างสำคัญในระบบนิเวศของ WordPress วิธีรักษาความปลอดภัยวิธีหนึ่งที่ต้องทำคือการรักษาความปลอดภัย Wp-admin ของคุณ เนื่องจากผู้ดูแลระบบ Wp น่าจะเป็นจุดแรกที่ผู้โจมตีจะใช้เพื่อพยายามเข้าถึงไซต์ของคุณ

ตามค่าเริ่มต้น ไฟล์การดูแลระบบ WordPress จะถูกเก็บไว้ในโฟลเดอร์ Wp-admin แม้ว่า WordPress จะมีมาตรการรักษาความปลอดภัยหลายอย่างเพื่อปกป้องโฟลเดอร์ แต่ความจริงที่ว่าผู้ดูแลระบบ WordPress เริ่มต้นนั้นเป็นที่รู้จักกันอย่างแพร่หลาย ซึ่งทำให้เป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์ ดังนั้นจึงเป็นสิ่งสำคัญที่จะลดความเสี่ยงของการโจมตีทางเว็บที่เกิดจากผู้ดูแลระบบ WordPress

ภายในบทความนี้ เราจะพิจารณาแนวทางบางส่วนที่คุณสามารถใช้เพื่อรักษาความปลอดภัยของผู้ดูแลระบบ WordPress ของคุณ

สารบัญ

แนวทางในการรักษาความปลอดภัย Wp-admin . ของคุณ

• หลีกเลี่ยงการใช้ชื่อผู้ใช้ "admin" เริ่มต้น
• การสร้างรหัสผ่านที่รัดกุม
• รหัสผ่าน-ป้องกันพื้นที่ผู้ดูแลระบบ Wp
• สร้าง URL เข้าสู่ระบบแบบกำหนดเอง
• รวมการรับรองความถูกต้อง/การยืนยันแบบสองปัจจัย
• เปิดใช้งานการออกจากระบบอัตโนมัติ
• จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ
• ใช้การจำกัด IP
• ปิดการใช้งานข้อผิดพลาดในหน้าเข้าสู่ระบบ
• การใช้ปลั๊กอินความปลอดภัย
• อัปเดต WordPress เป็นเวอร์ชันล่าสุด

บทสรุป

แนวทางในการรักษาความปลอดภัย Wp-admin . ของคุณ

มีหลายวิธีที่คุณสามารถใช้เพื่อรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบ WordPress ด้านล่างนี้คือรายการโดยย่อเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยเหล่านี้

1. หลีกเลี่ยงการใช้ชื่อผู้ใช้ “admin” ที่เป็นค่าเริ่มต้น

ในการติดตั้ง WordPress ใหม่ บัญชีแรกที่สร้างขึ้นคือบัญชีผู้ดูแลระบบ “admin” ถูกตั้งค่าเป็นชื่อผู้ใช้เริ่มต้นในการติดตั้งดังกล่าว นี่เป็นความรู้สาธารณะจริงๆ

วิธีหนึ่งที่แฮ็กเกอร์สามารถทราบได้อย่างง่ายดายว่า “ผู้ดูแลระบบ” คือชื่อผู้ใช้ของคุณโดยการเข้าถึง URL สำหรับเข้าสู่ระบบเว็บไซต์ของคุณและลองใช้ชื่อผู้ใช้ “ผู้ดูแลระบบ” หาก “admin” เป็นชื่อผู้ใช้ภายในไซต์จริง พวกเขาจะมีข้อความแสดงข้อผิดพลาดดังกล่าวในหน้าจอการเข้าสู่ระบบ “ ข้อผิดพลาด: รหัสผ่านที่คุณป้อนสำหรับผู้ดูแลระบบชื่อผู้ใช้ไม่ถูกต้อง ลืมรหัสผ่านของคุณ ?”

ข้อความแสดงข้อผิดพลาดดังกล่าวจะทำหน้าที่เป็นการยืนยันกับแฮ็กเกอร์ว่ามีชื่อผู้ใช้ "admin" อยู่ในไซต์

ในขั้นตอนนี้ แฮ็กเกอร์มีข้อมูลสองส่วนที่เกี่ยวกับไซต์ของคุณอยู่แล้ว นี่คือชื่อผู้ใช้และ URL เข้าสู่ระบบ ทั้งหมดที่แฮ็กเกอร์ต้องการคือรหัสผ่านของไซต์

ณ จุดนี้แฮ็กเกอร์จะพยายามโจมตีโดยเพียงแค่เรียกใช้รหัสผ่านกับชื่อผู้ใช้นั้นเพื่อเข้าถึงไซต์ สามารถทำได้ด้วยตนเองหรือแม้แต่ผ่านบอท

อีกวิธีหนึ่งที่แฮ็กเกอร์สามารถใช้ได้คือเพียงแค่เพิ่มข้อความค้นหา “?author=1/” ต่อท้าย URL เพื่อให้อ่านเป็น yourdomain/?author=1/ หากคุณมีชื่อผู้ใช้กับผู้ดูแลระบบผู้ใช้ URL จะส่งคืนโพสต์จากผู้ใช้หรือไม่หากไม่มีโพสต์ที่เกี่ยวข้อง ด้านล่างเป็นภาพประกอบตัวอย่าง:

ในทั้งสองกรณี ตราบใดที่ไม่มีการส่งคืนข้อผิดพลาด 404 การดำเนินการนี้จะเป็นการยืนยันว่ามีชื่อผู้ใช้ที่มีชื่อผู้ใช้ "admin" อยู่อย่างแน่นอน

จากสถานการณ์ข้างต้น หากคุณมีชื่อผู้ใช้เริ่มต้น "admin" อยู่แล้ว คุณจำเป็นต้องสร้างบัญชีผู้ดูแลระบบใหม่จากส่วน ผู้ใช้ > เพิ่มใหม่ ภายในแดชบอร์ด WordPress ของคุณ

เมื่อเสร็จแล้ว ตรวจสอบให้แน่ใจว่าคุณลบบัญชี “ผู้ดูแลระบบ” ก่อนหน้า

2. การสร้างรหัสผ่านที่รัดกุม

รหัสผ่านที่รัดกุมเป็นสิ่งจำเป็นสำหรับไซต์ WordPress ใด ๆ ในทางกลับกัน รหัสผ่านที่อ่อนแอทำให้แฮกเกอร์เข้าถึงไซต์ WordPress ของคุณได้ง่าย

มาตรการรักษาความปลอดภัยด้วยรหัสผ่านบางส่วนที่คุณสามารถนำไปใช้ได้ ได้แก่:

• ตรวจสอบให้แน่ใจว่ารหัสผ่านมีความยาวเพียงพอ (อย่างน้อย 10 ตัวอักษร)
• รหัสผ่านอย่างน้อยควรมีตัวอักษร ตัวเลข ช่องว่าง และอักขระพิเศษ
• ตรวจสอบให้แน่ใจว่ารหัสผ่านมีการเปลี่ยนแปลงหรืออัปเดตเป็นประจำ
• ตรวจสอบให้แน่ใจว่าคุณไม่ได้ใช้รหัสผ่านซ้ำ
• รหัสผ่านไม่ควรเป็นคำในพจนานุกรม
• จัดเก็บรหัสผ่านโดยใช้ตัวจัดการรหัสผ่าน
• ตรวจสอบให้แน่ใจว่าผู้ใช้ที่ลงทะเบียนกับเว็บไซต์กรอกรหัสผ่านที่คาดเดายาก

รหัสผ่านไม่ควรคาดเดาได้เนื่องจากจะเป็นภัยคุกคามด้านความปลอดภัยอีกครั้ง

3. รหัสผ่านป้องกันพื้นที่ผู้ดูแลระบบ Wp

WordPress เสนอระดับความปลอดภัยให้กับผู้ดูแลระบบ Wp โดยอนุญาตให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่ระบบ อย่างไรก็ตาม นี่อาจไม่เพียงพอเนื่องจากแฮ็กเกอร์สามารถโจมตีเว็บได้จริงเมื่อเข้าถึง Wp-admin ดังนั้นจึงแนะนำให้เพิ่มชั้นความปลอดภัยเพิ่มเติมให้กับ Wp-admin สามารถทำได้โดยผ่าน:

i) cPanel

ii) .htaccess

ผ่าน cPanel

ในการป้องกันรหัสผ่านสำหรับผู้ดูแลระบบ Wp ผ่าน cPanel คุณจะต้องดำเนินการดังต่อไปนี้:

ขั้นแรกให้เข้าถึงแดชบอร์ด cPanel ของคุณและคลิกที่ "ความเป็นส่วนตัวของไดเรกทอรี"

ถัดไป เข้าถึงโฟลเดอร์ public_html

ภายในให้คลิกที่ปุ่ม "แก้ไข" ภายในไดเร็กทอรี wp-admin

ในหน้าจอถัดไป ให้เปิดใช้งานตัวเลือก "รหัสผ่านป้องกันไดเรกทอรีนี้" และในฟิลด์ "ป้อนชื่อสำหรับไดเรกทอรีที่มีการป้องกัน" ให้กรอกชื่อที่คุณต้องการและบันทึกการเปลี่ยนแปลงของคุณ

เมื่อเสร็จแล้ว ให้ย้อนกลับไปและสร้างผู้ใช้ใหม่พร้อมรายละเอียดที่คุณต้องการ (ชื่อผู้ใช้และรหัสผ่าน)

ด้วยการดำเนินการข้างต้น หากผู้ใช้พยายามเข้าถึงโฟลเดอร์ wp-admin เขาจะต้องกรอกชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้นใหม่ก่อนที่จะถูกเปลี่ยนเส้นทางไปยังหน้าจอซึ่งเขาจะต้องกรอกผู้ดูแลระบบ WordPress ของตน ข้อมูลประจำตัว

ผ่าน .htaccess

.htaccess เป็นไฟล์คอนฟิกูเรชันที่ Apache ใช้ทำการเปลี่ยนแปลงไดเร็กทอรี คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับไฟล์ในบทความนี้

ในส่วนนี้ เราจะมาดูวิธีการใช้ไฟล์ .htaccess เพื่อจำกัดโฟลเดอร์ wp-admin ในการดำเนินการดังกล่าว เราจะต้องสร้างไฟล์สองไฟล์ (.htaccess และ .htpasswd) โดยดำเนินการดังต่อไปนี้:

i) สร้างไฟล์ .htaccess

ใช้โปรแกรมแก้ไขข้อความที่คุณต้องการสร้างไฟล์ใหม่ชื่อ . htaccess

เพิ่มเนื้อหาต่อไปนี้ในไฟล์:

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

ในโค้ดด้านบน คุณจะต้องเปลี่ยนเส้นทาง "AuthUserFile" ที่ระบุ (/home/user/public_html/mydomain.com/wp-admin/) ด้วยพาธไดเร็กทอรี wp-admin ซึ่งเป็นตำแหน่งที่คุณจะอัปโหลดไฟล์ .htpasswd . นอกจากนี้ คุณจะต้องเปลี่ยน "รายละเอียดชื่อผู้ใช้" ภายในบรรทัด "ต้องการผู้ใช้" ด้วยชื่อผู้ใช้ที่คุณต้องการ

ii) สร้างไฟล์ .htpasswd

ยังคงใช้โปรแกรมแก้ไขข้อความที่คุณต้องการ ให้สร้างไฟล์ใหม่ชื่อ .htpasswd

เข้าถึงตัวสร้าง wtools.io

กรอกชื่อผู้ใช้และรหัสผ่านของคุณในฟิลด์เฉพาะภายในแบบฟอร์ม Htpasswd และคลิกที่ปุ่ม "สร้าง"

เมื่อเสร็จแล้ว ให้คัดลอกผลลัพธ์ไปยังไฟล์ .htpasswd ของคุณและบันทึกการเปลี่ยนแปลงของคุณ

iii) อัปโหลดไฟล์ผ่าน FTP

ในการอัปโหลดไฟล์ผ่าน FTP คุณจะต้องใช้เครื่องมือเช่น Filezilla

ในการเริ่มต้น คุณจะต้องอัปโหลดไฟล์ .htaccess ไปยังไดเร็กทอรี wp-admin ของไซต์ของคุณ ตามด้วยไฟล์ .htpasswd

เมื่อผู้ใช้พยายามเข้าถึง /wp-admin เขาจะถูกนำเสนอด้วยหน้าจอเข้าสู่ระบบคล้ายกับที่แสดงด้านล่าง:

4. สร้าง URL เข้าสู่ระบบแบบกำหนดเอง

URL ล็อกอินของ WordPress สามารถเข้าถึงได้โดยการต่อท้าย wp-admin หรือ wp-login.php? ไปยังโดเมนของคุณ ข้อเท็จจริงเหล่านี้เป็นจุดสิ้นสุดการเข้าสู่ระบบ WordPress เริ่มต้น หมายความว่าตราบใดที่แฮ็กเกอร์สามารถเข้าถึงโดเมน เขาสามารถเข้าถึง URL เข้าสู่ระบบของคุณได้อย่างง่ายดาย

หากคุณบังเอิญใช้ชื่อผู้ใช้ "admin" ที่เป็นค่าเริ่มต้น นั่นหมายความว่าแฮ็กเกอร์จะต้องค้นหาข้อมูลเพียงชิ้นเดียว ซึ่งก็คือ "รหัสผ่าน"

ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องมี URL ล็อกอินที่กำหนดเองสำหรับไซต์ของคุณ วิธีหนึ่งในการบรรลุเป้าหมายนี้คือ คุณจะต้องติดตั้งปลั๊กอิน WPS Hide Login

เมื่อติดตั้งปลั๊กอิน ให้ไปที่ส่วน การตั้งค่า > WPS ซ่อนการเข้าสู่ระบบ และระบุ URL เข้าสู่ระบบที่คุณต้องการและ URL เปลี่ยนเส้นทางซึ่งจะเข้าถึงได้เมื่อผู้ใช้ที่ไม่ได้เข้าสู่ระบบพยายามเข้าถึง Wp-login.php หรือ Wp-admin

เมื่อเสร็จแล้ว ให้บันทึกการเปลี่ยนแปลงของคุณ

ซึ่งจะทำให้ยากสำหรับทุกคนที่พยายามเข้าถึงข้อมูลเข้าสู่ระบบเว็บไซต์ของคุณ ซึ่งจะช่วยลดงานที่อาจเกิดขึ้น

5. รวมการรับรองความถูกต้อง/การยืนยันแบบสองปัจจัย

การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นกลไกการรักษาความปลอดภัยโดยเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมโดยการเพิ่มข้อกำหนดการตรวจสอบสิทธิ์เพิ่มเติม

เพื่อใช้การตรวจสอบสิทธิ์แบบสองปัจจัยภายในไซต์ WordPress ของคุณ คุณสามารถใช้ปลั๊กอินของบุคคลที่สามตามต้องการได้ ในคู่มือนี้ เราแนะนำให้ใช้ WP 2FA – การรับรองความถูกต้องด้วยสองปัจจัยสำหรับปลั๊กอิน WordPress เนื่องจากใช้งานง่าย

ในการใช้ปลั๊กอิน ให้ไปที่ส่วน ปลั๊กอิน > เพิ่มใหม่ ภายในแดชบอร์ด WordPress และค้นหา WP 2FA

ติดตั้งและเปิดใช้งานปลั๊กอิน

เมื่อดำเนินการเสร็จแล้ว ให้ไปที่ส่วน ผู้ใช้ > โปรไฟล์ แล้วคลิกปุ่ม "กำหนดค่า 2FA"

ในหน้าจอถัดไป เลือกวิธี 2FA ที่คุณต้องการ ในกรณีของเราที่นี่ เราจะเลือกตัวเลือก “รหัสแบบใช้ครั้งเดียวที่สร้างด้วยแอปที่คุณเลือก”

เมื่อเลือกแล้วให้ดำเนินการในขั้นตอนต่อไป ที่นี่ เลือกแอปที่คุณต้องการสำหรับการตรวจสอบสิทธิ์จากรายการไอคอนที่ให้ไว้ การคลิกที่ไอคอนจะเปลี่ยนเส้นทางไปยังคำแนะนำเกี่ยวกับวิธีตั้งค่าแอปพลิเคชัน

ในกรณีของเรา เราจะใช้แอป “Google Authenticator” คุณสามารถเริ่มต้นด้วยการติดตั้งแอป Google Authenticator บนอุปกรณ์ที่คุณต้องการ เช่น บนมือถือก่อน

เมื่อเสร็จแล้ว ให้เปิดแอปแล้วแตะที่ไอคอน "+" ลอยตัวที่บริเวณด้านล่างขวาของแอป

ถัดไป คุณจะต้องสแกนรหัส QR ภายในภาพหน้าจอที่แสดงด้านบน

เมื่อทำเช่นนั้น คุณจะถูกเปลี่ยนเส้นทางไปยังหน้าจอที่มีบัญชีที่เพิ่มใหม่ ควบคู่ไปกับรหัส 2FA

ถัดไป กลับไปที่ไซต์ของคุณและกรอกรหัส 2FA ตรวจสอบและบันทึกการกำหนดค่า ด้านล่างเป็นภาพประกอบตัวอย่าง:

เมื่อดำเนินการเสร็จแล้ว คุณจะมีข้อความแสดงความสำเร็จ จากนั้นคุณสามารถสำรองข้อมูลโค้ดของคุณได้

สำหรับภาพประกอบโดยละเอียดเกี่ยวกับวิธีการดำเนินการ คุณสามารถดูคำแนะนำได้ที่นี่

เมื่อผู้ใช้พยายามลงชื่อเข้าใช้เว็บไซต์ แม้จะผ่านการเข้าสู่ระบบครั้งแรก เขาก็จะได้รับชั้นการตรวจสอบสิทธิ์พิเศษ ซึ่งเขาหรือเธอจะต้องกรอกรหัสการตรวจสอบสิทธิ์

6. เปิดใช้งานการออกจากระบบอัตโนมัติ

หลังจากลงชื่อเข้าใช้เว็บไซต์และผู้ใช้ไม่ปิดหน้าต่างเบราว์เซอร์ เซสชันจะไม่สิ้นสุดในระยะเวลาหนึ่ง ทำให้เว็บไซต์ดังกล่าวมีแนวโน้มที่จะแฮ็กเกอร์ผ่านการจี้คุกกี้ นี่เป็นเทคนิคที่แฮ็กเกอร์อยู่ในฐานะที่จะประนีประนอมเซสชันโดยการขโมยหรือเข้าถึงคุกกี้ภายในเบราว์เซอร์ของผู้ใช้

กลไกการรักษาความปลอดภัยจึงเป็นเรื่องสำคัญที่จะต้องออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานภายในเว็บไซต์โดยอัตโนมัติ เพื่อให้บรรลุสิ่งนี้ คุณสามารถใช้ปลั๊กอิน เช่น ปลั๊กอิน Inactive Logout

สามารถติดตั้งปลั๊กอินได้จากส่วน ปลั๊กอิน > เพิ่มใหม่ โดยค้นหาก่อน ติดตั้ง และเปิดใช้งาน

เมื่อเปิดใช้งานปลั๊กอิน ให้ไปที่ส่วนการตั้งค่า > ออกจากระบบที่ไม่ได้ใช้งาน ตั้งค่า "หมดเวลาใช้งานไม่ได้" และบันทึกการเปลี่ยนแปลงของคุณ

คุณสามารถตั้งค่าได้ตามต้องการ แต่ 5 นาทีจะเหมาะที่สุด

7. จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress ไม่ได้จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบภายในเว็บไซต์ ทำให้แฮกเกอร์สามารถเรียกใช้สคริปต์ที่มีรายละเอียดการเข้าสู่ระบบของผู้ใช้ทั่วไปเพื่อพยายามเจาะเข้าไปในเว็บไซต์ หากจำนวนครั้งในการพยายามมากเกินไป อาจทำให้เซิร์ฟเวอร์ทำงานหนักเกินไป และเว็บไซต์อาจหยุดทำงานในที่สุด ในกรณีที่คุณใช้ข้อมูลการเข้าสู่ระบบทั่วไป แฮ็กเกอร์ก็มีแนวโน้มที่จะเข้าถึงไซต์ได้สำเร็จเช่นกัน

ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบภายในเว็บไซต์ สำหรับการใช้งานนี้ คุณสามารถใช้ปลั๊กอิน เช่น การล็อกการเข้าสู่ระบบ

เช่นเดียวกับการติดตั้งปลั๊กอินอื่น ๆ ใน wordpress.org คุณสามารถติดตั้งปลั๊กอินล็อคการเข้าสู่ระบบได้จากส่วน ปลั๊กอิน > เพิ่มใหม่ ภายในส่วน ค้นหาปลั๊กอิน ติดตั้ง และเปิดใช้งาน

เมื่อเปิดใช้งาน ให้ไปที่การตั้งค่า > การล็อกการเข้าสู่ระบบ และระบุการตั้งค่าการปิดล็อกที่คุณต้องการ เช่น การลองใหม่ในการเข้าสู่ระบบสูงสุด การจำกัดระยะเวลาในการลองใหม่ ระยะเวลาการล็อก และอื่นๆ อีกมากมายตามความต้องการของคุณ

8. ใช้การจำกัด IP

การจำกัด IP เป็นแนวทางที่คุณสามารถนำไปใช้เพื่อปฏิเสธการเข้าถึง Wp-admin อย่างไรก็ตาม วิธีนี้แนะนำได้หากคุณใช้ IP แบบคงที่

ในการใช้การจำกัด IP คุณจะต้องสร้างไฟล์ .htaccess ภายในไดเร็กทอรี wp-admin หากคุณยังไม่มี และเพิ่มโค้ดต่อไปนี้ลงในไฟล์:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

เมื่อเสร็จแล้ว คุณจะต้องแทนที่ xx.xx.xx.xxx ภายในรหัสด้วยที่อยู่ IP ที่คุณต้องการให้สิทธิ์การเข้าถึง

หากคุณบังเอิญเปลี่ยนเครือข่าย คุณจะต้องเข้าถึงไฟล์ไซต์ของคุณและเพิ่ม IP ใหม่เพื่อให้สามารถลงชื่อเข้าใช้ไซต์ได้

หากตอนนี้ผู้ใช้ที่ IP ไม่ได้รับอนุญาตให้เข้าถึง wp-admin พยายามเข้าถึง เขาจะพบข้อความแสดงข้อผิดพลาดที่ต้องห้ามคล้ายกับภาพประกอบด้านล่าง

9. ปิดการใช้งานข้อผิดพลาดในหน้าเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress จะแสดงข้อผิดพลาดในหน้าเข้าสู่ระบบหากผู้ใช้พยายามเข้าสู่ระบบในไซต์โดยใช้ข้อมูลประจำตัวที่ไม่ถูกต้อง ตัวอย่างของข้อความแสดงข้อผิดพลาดเหล่านี้ ได้แก่

• “ ข้อผิดพลาด: ชื่อผู้ใช้ไม่ถูกต้อง ลืมรหัสผ่านของคุณ? “
• “ ข้อผิดพลาด: รหัสผ่านไม่ถูกต้อง ลืมรหัสผ่านของคุณ? “

เมื่อมีการแสดงข้อความดังกล่าว พวกเขากำลังให้คำแนะนำเกี่ยวกับรายละเอียดการเข้าสู่ระบบที่ไม่ถูกต้อง ซึ่งหมายความว่าแฮ็กเกอร์จะเหลือเพียงรายละเอียดเดียวที่จะเข้าใจ ตัวอย่างเช่น ข้อความที่สองเป็นคำใบ้ว่ารหัสผ่านไม่ถูกต้อง แฮ็กเกอร์จะต้องคิดรหัสผ่านเพื่อเข้าใช้เว็บไซต์เท่านั้น

เพื่อปิดการใช้งานข้อความแสดงข้อผิดพลาดเหล่านี้ คุณจะต้องเพิ่มรหัสต่อไปนี้ภายในไฟล์ functions.php ในธีม:

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

หากตอนนี้ผู้ใช้พยายามลงชื่อเข้าใช้ไซต์ด้วยข้อมูลประจำตัวที่ไม่ถูกต้อง จะไม่มีข้อความแสดงข้อผิดพลาดปรากฏขึ้น ด้านล่างนี้เป็นตัวอย่างภาพประกอบเกี่ยวกับเรื่องนี้:

10. การใช้ปลั๊กอินความปลอดภัย

ปลั๊กอินความปลอดภัย WordPress ช่วยลดภัยคุกคามด้านความปลอดภัยภายในเว็บไซต์ของคุณ ปลั๊กอินความปลอดภัยเหล่านี้บางตัวมีคุณสมบัติต่างๆ เช่น การเพิ่ม reCaptcha การจำกัด IP และอื่นๆ อีกมากมาย

ดังนั้นจึงเป็นสิ่งสำคัญที่คุณจะต้องพิจารณาใช้ปลั๊กอินความปลอดภัยเพื่อลดโอกาสในการโจมตีภายใน Wp-admin ตัวอย่างปลั๊กอินความปลอดภัยบางตัวที่คุณสามารถใช้ ได้แก่ WordFence และ Malcare

11. อัปเดต WordPress เป็นเวอร์ชันล่าสุด

WordPress เป็นซอฟต์แวร์ที่อัปเดตเป็นประจำ การอัปเดตบางอย่างรวมการแก้ไขความปลอดภัยไว้ด้วย ตัวอย่างเช่น หากมีการรักษาความปลอดภัยที่กำหนดเป้าหมายไปที่ผู้ดูแลระบบ Wp และในกรณีของคุณ คุณไม่สามารถอัปเดตเวอร์ชัน WordPress ได้ นั่นหมายความว่าผู้ดูแลระบบ Wp ของคุณมีแนวโน้มที่จะถูกโจมตี

ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องอัปเดตเวอร์ชัน WordPress ของคุณเป็นประจำเพื่อลดความเสี่ยงของการถูกโจมตีบนเว็บไซต์ของคุณ

บทสรุป

ผู้ดูแลระบบ WordPress เป็นเป้าหมายหลักของแฮกเกอร์เพื่อให้พวกเขาเข้าควบคุมเว็บไซต์ของคุณได้อย่างเต็มที่ ดังนั้นจึงเป็นสิ่งสำคัญสำหรับคุณในการปกป้องส่วนผู้ดูแลระบบ WordPress ของเว็บไซต์ของคุณ

ในบทความนี้ เราได้พิจารณาหลายวิธีที่คุณสามารถใช้ได้เพื่อรักษาความปลอดภัยให้กับผู้ดูแลระบบ WordPress ของคุณ เราหวังว่าบทความนี้จะมีข้อมูลและเป็นประโยชน์ หากคุณมีคำถามหรือข้อเสนอแนะ โปรดใช้ส่วนความคิดเห็นด้านล่าง