วิธีรักษาความปลอดภัยผู้ดูแลระบบ WordPress ของคุณ (Wp-Admin)
เผยแพร่แล้ว: 2022-08-27ความปลอดภัยของ WordPress นั้นค่อนข้างสำคัญในระบบนิเวศของ WordPress วิธีรักษาความปลอดภัยวิธีหนึ่งที่ต้องทำคือการรักษาความปลอดภัย Wp-admin ของคุณ เนื่องจากผู้ดูแลระบบ Wp น่าจะเป็นจุดแรกที่ผู้โจมตีจะใช้เพื่อพยายามเข้าถึงไซต์ของคุณ
ตามค่าเริ่มต้น ไฟล์การดูแลระบบ WordPress จะถูกเก็บไว้ในโฟลเดอร์ Wp-admin แม้ว่า WordPress จะมีมาตรการรักษาความปลอดภัยหลายอย่างเพื่อปกป้องโฟลเดอร์ แต่ความจริงที่ว่าผู้ดูแลระบบ WordPress เริ่มต้นนั้นเป็นที่รู้จักกันอย่างแพร่หลาย ซึ่งทำให้เป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์ ดังนั้นจึงเป็นสิ่งสำคัญที่จะลดความเสี่ยงของการโจมตีทางเว็บที่เกิดจากผู้ดูแลระบบ WordPress
ภายในบทความนี้ เราจะพิจารณาแนวทางบางส่วนที่คุณสามารถใช้เพื่อรักษาความปลอดภัยของผู้ดูแลระบบ WordPress ของคุณ
สารบัญ
แนวทางในการรักษาความปลอดภัย Wp-admin . ของคุณ
- หลีกเลี่ยงการใช้ชื่อผู้ใช้ "admin" เริ่มต้น
- การสร้างรหัสผ่านที่รัดกุม
- รหัสผ่าน-ป้องกันพื้นที่ผู้ดูแลระบบ Wp
- สร้าง URL เข้าสู่ระบบแบบกำหนดเอง
- รวมการรับรองความถูกต้อง/การยืนยันแบบสองปัจจัย
- เปิดใช้งานการออกจากระบบอัตโนมัติ
- จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ
- ใช้การจำกัด IP
- ปิดการใช้งานข้อผิดพลาดในหน้าเข้าสู่ระบบ
- การใช้ปลั๊กอินความปลอดภัย
- อัปเดต WordPress เป็นเวอร์ชันล่าสุด
บทสรุป
แนวทางในการรักษาความปลอดภัย Wp-admin . ของคุณ
มีหลายวิธีที่คุณสามารถใช้เพื่อรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบ WordPress ด้านล่างนี้คือรายการโดยย่อเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยเหล่านี้
1. หลีกเลี่ยงการใช้ชื่อผู้ใช้ “admin” ที่เป็นค่าเริ่มต้น
ในการติดตั้ง WordPress ใหม่ บัญชีแรกที่สร้างขึ้นคือบัญชีผู้ดูแลระบบ “admin” ถูกตั้งค่าเป็นชื่อผู้ใช้เริ่มต้นในการติดตั้งดังกล่าว นี่เป็นความรู้สาธารณะจริงๆ
วิธีหนึ่งที่แฮ็กเกอร์สามารถทราบได้อย่างง่ายดายว่า “ผู้ดูแลระบบ” คือชื่อผู้ใช้ของคุณโดยการเข้าถึง URL สำหรับเข้าสู่ระบบเว็บไซต์ของคุณและลองใช้ชื่อผู้ใช้ “ผู้ดูแลระบบ” หาก “admin” เป็นชื่อผู้ใช้ภายในไซต์จริง พวกเขาจะมีข้อความแสดงข้อผิดพลาดดังกล่าวในหน้าจอการเข้าสู่ระบบ “ ข้อผิดพลาด: รหัสผ่านที่คุณป้อนสำหรับผู้ดูแลระบบชื่อผู้ใช้ไม่ถูกต้อง ลืมรหัสผ่านของคุณ ?”
ข้อความแสดงข้อผิดพลาดดังกล่าวจะทำหน้าที่เป็นการยืนยันกับแฮ็กเกอร์ว่ามีชื่อผู้ใช้ "admin" อยู่ในไซต์
ในขั้นตอนนี้ แฮ็กเกอร์มีข้อมูลสองส่วนที่เกี่ยวกับไซต์ของคุณอยู่แล้ว นี่คือชื่อผู้ใช้และ URL เข้าสู่ระบบ ทั้งหมดที่แฮ็กเกอร์ต้องการคือรหัสผ่านของไซต์
ณ จุดนี้แฮ็กเกอร์จะพยายามโจมตีโดยเพียงแค่เรียกใช้รหัสผ่านกับชื่อผู้ใช้นั้นเพื่อเข้าถึงไซต์ สามารถทำได้ด้วยตนเองหรือแม้แต่ผ่านบอท
อีกวิธีหนึ่งที่แฮ็กเกอร์สามารถใช้ได้คือเพียงแค่เพิ่มข้อความค้นหา “?author=1/” ต่อท้าย URL เพื่อให้อ่านเป็น yourdomain/?author=1/ หากคุณมีชื่อผู้ใช้กับผู้ดูแลระบบผู้ใช้ URL จะส่งคืนโพสต์จากผู้ใช้หรือไม่หากไม่มีโพสต์ที่เกี่ยวข้อง ด้านล่างเป็นภาพประกอบตัวอย่าง:
ในทั้งสองกรณี ตราบใดที่ไม่มีการส่งคืนข้อผิดพลาด 404 การดำเนินการนี้จะเป็นการยืนยันว่ามีชื่อผู้ใช้ที่มีชื่อผู้ใช้ "admin" อยู่อย่างแน่นอน
จากสถานการณ์ข้างต้น หากคุณมีชื่อผู้ใช้เริ่มต้น "admin" อยู่แล้ว คุณจำเป็นต้องสร้างบัญชีผู้ดูแลระบบใหม่จากส่วน ผู้ใช้ > เพิ่มใหม่ ภายในแดชบอร์ด WordPress ของคุณ
เมื่อเสร็จแล้ว ตรวจสอบให้แน่ใจว่าคุณลบบัญชี “ผู้ดูแลระบบ” ก่อนหน้า
2. การสร้างรหัสผ่านที่รัดกุม
รหัสผ่านที่รัดกุมเป็นสิ่งจำเป็นสำหรับไซต์ WordPress ใด ๆ ในทางกลับกัน รหัสผ่านที่อ่อนแอทำให้แฮกเกอร์เข้าถึงไซต์ WordPress ของคุณได้ง่าย
มาตรการรักษาความปลอดภัยด้วยรหัสผ่านบางส่วนที่คุณสามารถนำไปใช้ได้ ได้แก่:
- ตรวจสอบให้แน่ใจว่ารหัสผ่านมีความยาวเพียงพอ (อย่างน้อย 10 ตัวอักษร)
- รหัสผ่านอย่างน้อยควรมีตัวอักษร ตัวเลข ช่องว่าง และอักขระพิเศษ
- ตรวจสอบให้แน่ใจว่ารหัสผ่านมีการเปลี่ยนแปลงหรืออัปเดตเป็นประจำ
- ตรวจสอบให้แน่ใจว่าคุณไม่ได้ใช้รหัสผ่านซ้ำ
- รหัสผ่านไม่ควรเป็นคำในพจนานุกรม
- จัดเก็บรหัสผ่านโดยใช้ตัวจัดการรหัสผ่าน
- ตรวจสอบให้แน่ใจว่าผู้ใช้ที่ลงทะเบียนกับเว็บไซต์กรอกรหัสผ่านที่คาดเดายาก
รหัสผ่านไม่ควรคาดเดาได้เนื่องจากจะเป็นภัยคุกคามด้านความปลอดภัยอีกครั้ง
3. รหัสผ่านป้องกันพื้นที่ผู้ดูแลระบบ Wp
WordPress เสนอระดับความปลอดภัยให้กับผู้ดูแลระบบ Wp โดยอนุญาตให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่ระบบ อย่างไรก็ตาม นี่อาจไม่เพียงพอเนื่องจากแฮ็กเกอร์สามารถโจมตีเว็บได้จริงเมื่อเข้าถึง Wp-admin ดังนั้นจึงแนะนำให้เพิ่มชั้นความปลอดภัยเพิ่มเติมให้กับ Wp-admin สามารถทำได้โดยผ่าน:
i) cPanel
ii) .htaccess
ผ่าน cPanel
ในการป้องกันรหัสผ่านสำหรับผู้ดูแลระบบ Wp ผ่าน cPanel คุณจะต้องดำเนินการดังต่อไปนี้:
ขั้นแรกให้เข้าถึงแดชบอร์ด cPanel ของคุณและคลิกที่ "ความเป็นส่วนตัวของไดเรกทอรี"
ถัดไป เข้าถึงโฟลเดอร์ public_html
ภายในให้คลิกที่ปุ่ม "แก้ไข" ภายในไดเร็กทอรี wp-admin
ในหน้าจอถัดไป ให้เปิดใช้งานตัวเลือก "รหัสผ่านป้องกันไดเรกทอรีนี้" และในฟิลด์ "ป้อนชื่อสำหรับไดเรกทอรีที่มีการป้องกัน" ให้กรอกชื่อที่คุณต้องการและบันทึกการเปลี่ยนแปลงของคุณ
เมื่อเสร็จแล้ว ให้ย้อนกลับไปและสร้างผู้ใช้ใหม่พร้อมรายละเอียดที่คุณต้องการ (ชื่อผู้ใช้และรหัสผ่าน)
ด้วยการดำเนินการข้างต้น หากผู้ใช้พยายามเข้าถึงโฟลเดอร์ wp-admin เขาจะต้องกรอกชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้นใหม่ก่อนที่จะถูกเปลี่ยนเส้นทางไปยังหน้าจอซึ่งเขาจะต้องกรอกผู้ดูแลระบบ WordPress ของตน ข้อมูลประจำตัว
ผ่าน .htaccess
.htaccess เป็นไฟล์คอนฟิกูเรชันที่ Apache ใช้ทำการเปลี่ยนแปลงไดเร็กทอรี คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับไฟล์ในบทความนี้
ในส่วนนี้ เราจะมาดูวิธีการใช้ไฟล์ .htaccess เพื่อจำกัดโฟลเดอร์ wp-admin ในการดำเนินการดังกล่าว เราจะต้องสร้างไฟล์สองไฟล์ (.htaccess และ .htpasswd) โดยดำเนินการดังต่อไปนี้:
i) สร้างไฟล์ .htaccess
ใช้โปรแกรมแก้ไขข้อความที่คุณต้องการสร้างไฟล์ใหม่ชื่อ . htaccess
เพิ่มเนื้อหาต่อไปนี้ในไฟล์:
AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail
ในโค้ดด้านบน คุณจะต้องเปลี่ยนเส้นทาง "AuthUserFile" ที่ระบุ (/home/user/public_html/mydomain.com/wp-admin/) ด้วยพาธไดเร็กทอรี wp-admin ซึ่งเป็นตำแหน่งที่คุณจะอัปโหลดไฟล์ .htpasswd . นอกจากนี้ คุณจะต้องเปลี่ยน "รายละเอียดชื่อผู้ใช้" ภายในบรรทัด "ต้องการผู้ใช้" ด้วยชื่อผู้ใช้ที่คุณต้องการ
ii) สร้างไฟล์ .htpasswd
ยังคงใช้โปรแกรมแก้ไขข้อความที่คุณต้องการ ให้สร้างไฟล์ใหม่ชื่อ .htpasswd
เข้าถึงตัวสร้าง wtools.io
กรอกชื่อผู้ใช้และรหัสผ่านของคุณในฟิลด์เฉพาะภายในแบบฟอร์ม Htpasswd และคลิกที่ปุ่ม "สร้าง"
เมื่อเสร็จแล้ว ให้คัดลอกผลลัพธ์ไปยังไฟล์ .htpasswd ของคุณและบันทึกการเปลี่ยนแปลงของคุณ
iii) อัปโหลดไฟล์ผ่าน FTP
ในการอัปโหลดไฟล์ผ่าน FTP คุณจะต้องใช้เครื่องมือเช่น Filezilla
ในการเริ่มต้น คุณจะต้องอัปโหลดไฟล์ .htaccess ไปยังไดเร็กทอรี wp-admin ของไซต์ของคุณ ตามด้วยไฟล์ .htpasswd
เมื่อผู้ใช้พยายามเข้าถึง /wp-admin เขาจะถูกนำเสนอด้วยหน้าจอเข้าสู่ระบบคล้ายกับที่แสดงด้านล่าง:
4. สร้าง URL เข้าสู่ระบบแบบกำหนดเอง
URL ล็อกอินของ WordPress สามารถเข้าถึงได้โดยการต่อท้าย wp-admin หรือ wp-login.php? ไปยังโดเมนของคุณ ข้อเท็จจริงเหล่านี้เป็นจุดสิ้นสุดการเข้าสู่ระบบ WordPress เริ่มต้น หมายความว่าตราบใดที่แฮ็กเกอร์สามารถเข้าถึงโดเมน เขาสามารถเข้าถึง URL เข้าสู่ระบบของคุณได้อย่างง่ายดาย
หากคุณบังเอิญใช้ชื่อผู้ใช้ "admin" ที่เป็นค่าเริ่มต้น นั่นหมายความว่าแฮ็กเกอร์จะต้องค้นหาข้อมูลเพียงชิ้นเดียว ซึ่งก็คือ "รหัสผ่าน"
ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องมี URL ล็อกอินที่กำหนดเองสำหรับไซต์ของคุณ วิธีหนึ่งในการบรรลุเป้าหมายนี้คือ คุณจะต้องติดตั้งปลั๊กอิน WPS Hide Login
เมื่อติดตั้งปลั๊กอิน ให้ไปที่ส่วน การตั้งค่า > WPS ซ่อนการเข้าสู่ระบบ และระบุ URL เข้าสู่ระบบที่คุณต้องการและ URL เปลี่ยนเส้นทางซึ่งจะเข้าถึงได้เมื่อผู้ใช้ที่ไม่ได้เข้าสู่ระบบพยายามเข้าถึง Wp-login.php หรือ Wp-admin
เมื่อเสร็จแล้ว ให้บันทึกการเปลี่ยนแปลงของคุณ
ซึ่งจะทำให้ยากสำหรับทุกคนที่พยายามเข้าถึงข้อมูลเข้าสู่ระบบเว็บไซต์ของคุณ ซึ่งจะช่วยลดงานที่อาจเกิดขึ้น
5. รวมการรับรองความถูกต้อง/การยืนยันแบบสองปัจจัย
การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นกลไกการรักษาความปลอดภัยโดยเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมโดยการเพิ่มข้อกำหนดการตรวจสอบสิทธิ์เพิ่มเติม
เพื่อใช้การตรวจสอบสิทธิ์แบบสองปัจจัยภายในไซต์ WordPress ของคุณ คุณสามารถใช้ปลั๊กอินของบุคคลที่สามตามต้องการได้ ในคู่มือนี้ เราแนะนำให้ใช้ WP 2FA – การรับรองความถูกต้องด้วยสองปัจจัยสำหรับปลั๊กอิน WordPress เนื่องจากใช้งานง่าย
ในการใช้ปลั๊กอิน ให้ไปที่ส่วน ปลั๊กอิน > เพิ่มใหม่ ภายในแดชบอร์ด WordPress และค้นหา WP 2FA
ติดตั้งและเปิดใช้งานปลั๊กอิน
เมื่อดำเนินการเสร็จแล้ว ให้ไปที่ส่วน ผู้ใช้ > โปรไฟล์ แล้วคลิกปุ่ม "กำหนดค่า 2FA"
ในหน้าจอถัดไป เลือกวิธี 2FA ที่คุณต้องการ ในกรณีของเราที่นี่ เราจะเลือกตัวเลือก “รหัสแบบใช้ครั้งเดียวที่สร้างด้วยแอปที่คุณเลือก”
เมื่อเลือกแล้วให้ดำเนินการในขั้นตอนต่อไป ที่นี่ เลือกแอปที่คุณต้องการสำหรับการตรวจสอบสิทธิ์จากรายการไอคอนที่ให้ไว้ การคลิกที่ไอคอนจะเปลี่ยนเส้นทางไปยังคำแนะนำเกี่ยวกับวิธีตั้งค่าแอปพลิเคชัน
ในกรณีของเรา เราจะใช้แอป “Google Authenticator” คุณสามารถเริ่มต้นด้วยการติดตั้งแอป Google Authenticator บนอุปกรณ์ที่คุณต้องการ เช่น บนมือถือก่อน
เมื่อเสร็จแล้ว ให้เปิดแอปแล้วแตะที่ไอคอน "+" ลอยตัวที่บริเวณด้านล่างขวาของแอป
ถัดไป คุณจะต้องสแกนรหัส QR ภายในภาพหน้าจอที่แสดงด้านบน
เมื่อทำเช่นนั้น คุณจะถูกเปลี่ยนเส้นทางไปยังหน้าจอที่มีบัญชีที่เพิ่มใหม่ ควบคู่ไปกับรหัส 2FA
ถัดไป กลับไปที่ไซต์ของคุณและกรอกรหัส 2FA ตรวจสอบและบันทึกการกำหนดค่า ด้านล่างเป็นภาพประกอบตัวอย่าง:
เมื่อดำเนินการเสร็จแล้ว คุณจะมีข้อความแสดงความสำเร็จ จากนั้นคุณสามารถสำรองข้อมูลโค้ดของคุณได้
สำหรับภาพประกอบโดยละเอียดเกี่ยวกับวิธีการดำเนินการ คุณสามารถดูคำแนะนำได้ที่นี่
เมื่อผู้ใช้พยายามลงชื่อเข้าใช้เว็บไซต์ แม้จะผ่านการเข้าสู่ระบบครั้งแรก เขาก็จะได้รับชั้นการตรวจสอบสิทธิ์พิเศษ ซึ่งเขาหรือเธอจะต้องกรอกรหัสการตรวจสอบสิทธิ์
6. เปิดใช้งานการออกจากระบบอัตโนมัติ
หลังจากลงชื่อเข้าใช้เว็บไซต์และผู้ใช้ไม่ปิดหน้าต่างเบราว์เซอร์ เซสชันจะไม่สิ้นสุดในระยะเวลาหนึ่ง ทำให้เว็บไซต์ดังกล่าวมีแนวโน้มที่จะแฮ็กเกอร์ผ่านการจี้คุกกี้ นี่เป็นเทคนิคที่แฮ็กเกอร์อยู่ในฐานะที่จะประนีประนอมเซสชันโดยการขโมยหรือเข้าถึงคุกกี้ภายในเบราว์เซอร์ของผู้ใช้
กลไกการรักษาความปลอดภัยจึงเป็นเรื่องสำคัญที่จะต้องออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานภายในเว็บไซต์โดยอัตโนมัติ เพื่อให้บรรลุสิ่งนี้ คุณสามารถใช้ปลั๊กอิน เช่น ปลั๊กอิน Inactive Logout
สามารถติดตั้งปลั๊กอินได้จากส่วน ปลั๊กอิน > เพิ่มใหม่ โดยค้นหาก่อน ติดตั้ง และเปิดใช้งาน
เมื่อเปิดใช้งานปลั๊กอิน ให้ไปที่ส่วนการตั้งค่า > ออกจากระบบที่ไม่ได้ใช้งาน ตั้งค่า "หมดเวลาใช้งานไม่ได้" และบันทึกการเปลี่ยนแปลงของคุณ
คุณสามารถตั้งค่าได้ตามต้องการ แต่ 5 นาทีจะเหมาะที่สุด
7. จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ
ตามค่าเริ่มต้น WordPress ไม่ได้จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบภายในเว็บไซต์ ทำให้แฮกเกอร์สามารถเรียกใช้สคริปต์ที่มีรายละเอียดการเข้าสู่ระบบของผู้ใช้ทั่วไปเพื่อพยายามเจาะเข้าไปในเว็บไซต์ หากจำนวนครั้งในการพยายามมากเกินไป อาจทำให้เซิร์ฟเวอร์ทำงานหนักเกินไป และเว็บไซต์อาจหยุดทำงานในที่สุด ในกรณีที่คุณใช้ข้อมูลการเข้าสู่ระบบทั่วไป แฮ็กเกอร์ก็มีแนวโน้มที่จะเข้าถึงไซต์ได้สำเร็จเช่นกัน
ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบภายในเว็บไซต์ สำหรับการใช้งานนี้ คุณสามารถใช้ปลั๊กอิน เช่น การล็อกการเข้าสู่ระบบ
เช่นเดียวกับการติดตั้งปลั๊กอินอื่น ๆ ใน wordpress.org คุณสามารถติดตั้งปลั๊กอินล็อคการเข้าสู่ระบบได้จากส่วน ปลั๊กอิน > เพิ่มใหม่ ภายในส่วน ค้นหาปลั๊กอิน ติดตั้ง และเปิดใช้งาน
เมื่อเปิดใช้งาน ให้ไปที่การตั้งค่า > การล็อกการเข้าสู่ระบบ และระบุการตั้งค่าการปิดล็อกที่คุณต้องการ เช่น การลองใหม่ในการเข้าสู่ระบบสูงสุด การจำกัดระยะเวลาในการลองใหม่ ระยะเวลาการล็อก และอื่นๆ อีกมากมายตามความต้องการของคุณ
8. ใช้การจำกัด IP
การจำกัด IP เป็นแนวทางที่คุณสามารถนำไปใช้เพื่อปฏิเสธการเข้าถึง Wp-admin อย่างไรก็ตาม วิธีนี้แนะนำได้หากคุณใช้ IP แบบคงที่
ในการใช้การจำกัด IP คุณจะต้องสร้างไฟล์ .htaccess ภายในไดเร็กทอรี wp-admin หากคุณยังไม่มี และเพิ่มโค้ดต่อไปนี้ลงในไฟล์:
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>
เมื่อเสร็จแล้ว คุณจะต้องแทนที่ xx.xx.xx.xxx ภายในรหัสด้วยที่อยู่ IP ที่คุณต้องการให้สิทธิ์การเข้าถึง
หากคุณบังเอิญเปลี่ยนเครือข่าย คุณจะต้องเข้าถึงไฟล์ไซต์ของคุณและเพิ่ม IP ใหม่เพื่อให้สามารถลงชื่อเข้าใช้ไซต์ได้
หากตอนนี้ผู้ใช้ที่ IP ไม่ได้รับอนุญาตให้เข้าถึง wp-admin พยายามเข้าถึง เขาจะพบข้อความแสดงข้อผิดพลาดที่ต้องห้ามคล้ายกับภาพประกอบด้านล่าง
9. ปิดการใช้งานข้อผิดพลาดในหน้าเข้าสู่ระบบ
ตามค่าเริ่มต้น WordPress จะแสดงข้อผิดพลาดในหน้าเข้าสู่ระบบหากผู้ใช้พยายามเข้าสู่ระบบในไซต์โดยใช้ข้อมูลประจำตัวที่ไม่ถูกต้อง ตัวอย่างของข้อความแสดงข้อผิดพลาดเหล่านี้ ได้แก่
- “ ข้อผิดพลาด: ชื่อผู้ใช้ไม่ถูกต้อง ลืมรหัสผ่านของคุณ? “
- “ ข้อผิดพลาด: รหัสผ่านไม่ถูกต้อง ลืมรหัสผ่านของคุณ? “
เมื่อมีการแสดงข้อความดังกล่าว พวกเขากำลังให้คำแนะนำเกี่ยวกับรายละเอียดการเข้าสู่ระบบที่ไม่ถูกต้อง ซึ่งหมายความว่าแฮ็กเกอร์จะเหลือเพียงรายละเอียดเดียวที่จะเข้าใจ ตัวอย่างเช่น ข้อความที่สองเป็นคำใบ้ว่ารหัสผ่านไม่ถูกต้อง แฮ็กเกอร์จะต้องคิดรหัสผ่านเพื่อเข้าใช้เว็บไซต์เท่านั้น
เพื่อปิดการใช้งานข้อความแสดงข้อผิดพลาดเหล่านี้ คุณจะต้องเพิ่มรหัสต่อไปนี้ภายในไฟล์ functions.php ในธีม:
function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );
หากตอนนี้ผู้ใช้พยายามลงชื่อเข้าใช้ไซต์ด้วยข้อมูลประจำตัวที่ไม่ถูกต้อง จะไม่มีข้อความแสดงข้อผิดพลาดปรากฏขึ้น ด้านล่างนี้เป็นตัวอย่างภาพประกอบเกี่ยวกับเรื่องนี้:
10. การใช้ปลั๊กอินความปลอดภัย
ปลั๊กอินความปลอดภัย WordPress ช่วยลดภัยคุกคามด้านความปลอดภัยภายในเว็บไซต์ของคุณ ปลั๊กอินความปลอดภัยเหล่านี้บางตัวมีคุณสมบัติต่างๆ เช่น การเพิ่ม reCaptcha การจำกัด IP และอื่นๆ อีกมากมาย
ดังนั้นจึงเป็นสิ่งสำคัญที่คุณจะต้องพิจารณาใช้ปลั๊กอินความปลอดภัยเพื่อลดโอกาสในการโจมตีภายใน Wp-admin ตัวอย่างปลั๊กอินความปลอดภัยบางตัวที่คุณสามารถใช้ ได้แก่ WordFence และ Malcare
11. อัปเดต WordPress เป็นเวอร์ชันล่าสุด
WordPress เป็นซอฟต์แวร์ที่อัปเดตเป็นประจำ การอัปเดตบางอย่างรวมการแก้ไขความปลอดภัยไว้ด้วย ตัวอย่างเช่น หากมีการรักษาความปลอดภัยที่กำหนดเป้าหมายไปที่ผู้ดูแลระบบ Wp และในกรณีของคุณ คุณไม่สามารถอัปเดตเวอร์ชัน WordPress ได้ นั่นหมายความว่าผู้ดูแลระบบ Wp ของคุณมีแนวโน้มที่จะถูกโจมตี
ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องอัปเดตเวอร์ชัน WordPress ของคุณเป็นประจำเพื่อลดความเสี่ยงของการถูกโจมตีบนเว็บไซต์ของคุณ
บทสรุป
ผู้ดูแลระบบ WordPress เป็นเป้าหมายหลักของแฮกเกอร์เพื่อให้พวกเขาเข้าควบคุมเว็บไซต์ของคุณได้อย่างเต็มที่ ดังนั้นจึงเป็นสิ่งสำคัญสำหรับคุณในการปกป้องส่วนผู้ดูแลระบบ WordPress ของเว็บไซต์ของคุณ
ในบทความนี้ เราได้พิจารณาหลายวิธีที่คุณสามารถใช้ได้เพื่อรักษาความปลอดภัยให้กับผู้ดูแลระบบ WordPress ของคุณ เราหวังว่าบทความนี้จะมีข้อมูลและเป็นประโยชน์ หากคุณมีคำถามหรือข้อเสนอแนะ โปรดใช้ส่วนความคิดเห็นด้านล่าง