ทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้นด้วยการตรวจสอบสิทธิ์แบบหลายปัจจัย

บางทีคุณอาจเบื่อกับการจำรหัสผ่านที่แตกต่างกันมากมาย และคุณคิดว่าบริษัทโฮสติ้งของคุณดูแลความปลอดภัยของเว็บไซต์ของคุณ แต่ฉันรับรองกับคุณ: หากคุณปกป้องและดูแลความปลอดภัยของเว็บไซต์ของคุณ คุณจะช่วยตัวเองให้พ้นจากความไม่พอใจครั้งใหญ่และผลที่ไม่พึงประสงค์ โปรดทราบว่าการละเมิดความปลอดภัยบนเว็บไซต์ของคุณไม่เพียงส่งผลกระทบต่อคุณและธุรกิจของคุณเท่านั้น แต่ยังส่งผลกระทบต่อลูกค้าของคุณและคุณอาจจบลงด้วยปัญหาทางกฎหมายเนื่องจากไม่ได้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสม

เพื่อช่วยให้คุณนอนหลับได้ง่ายขึ้น (หากเป็นไปได้ในยุคนี้) ฉันจะอธิบายวิธีทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้นด้วยการตรวจสอบสิทธิ์แบบหลายปัจจัย

Multi-Factor Authentication (MFA) คืออะไร

ไม่ใช่แค่คุณเคยเห็น Multi-Factor Authentication (MFA) ในภาพยนตร์หลายเรื่อง แต่คุณเคยใช้เพื่อยืนยันการชำระเงินออนไลน์ด้วยบัตรเครดิตของคุณหรือโดยการลงชื่อเข้าใช้อีเมลของคุณ เป็นต้น เป็นวิธีการควบคุมการเข้าถึงคอมพิวเตอร์โดยที่บุคคลจะได้รับอนุญาตให้เข้าถึงได้หลังจากที่แสดงหลักฐานยืนยันตัวตนที่แตกต่างกันมากกว่าหนึ่งฉบับเท่านั้น หลักฐานหรือปัจจัยการรับรองความถูกต้องเหล่านี้มีความหลากหลาย:

• วัตถุทางกายภาพบางอย่างที่บุคคลนั้นครอบครอง เช่น แท่ง USB ที่มีตัวระบุเฉพาะ บัตรเครดิต กุญแจ ฯลฯ
• ความลับบางอย่างที่บุคคลนั้นรู้ เช่น รหัสผ่าน เข็มหมุด ฯลฯ
• ลักษณะทางชีวภาพบางอย่างของบุคคล เช่น ลายนิ้วมือ ม่านตา เสียง ความเร็วในการพิมพ์ รูปแบบช่วงเวลาการกดแป้นพิมพ์ ฯลฯ

กรณีของการรวมเพียงสองปัจจัยเรียกอีกอย่างว่า "การตรวจสอบสองขั้นตอน" หรือ "การตรวจสอบสิทธิ์สองปัจจัย" หรือ "2FA" และแนวคิดก็คือการรับรองความถูกต้องด้วยหลายปัจจัยจะมีความปลอดภัยมากกว่าแค่ชื่อผู้ใช้และรหัสผ่านเสมอ

ทำไมฉันจึงควรเพิ่ม MFA ให้กับเว็บไซต์ WordPress ของฉัน

วิธีการหนึ่งในการถอดรหัสรหัสผ่านยังคงเป็นการโจมตีแบบเดรัจฉาน การโจมตีนี้ประกอบด้วยการทดสอบอย่างดุเดือดระหว่างผู้ใช้และรหัสผ่าน การโจมตีประเภทนี้ดำเนินการโดยบ็อตเน็ตโดยใช้อัลกอริธึมและเครื่องมือที่ซับซ้อนมากขึ้น

บริษัทโฮสติ้งหลายแห่งมีไฟร์วอลล์และเครื่องมืออื่นๆ อยู่แล้วเพื่อป้องกันการโจมตีดังกล่าว อย่างไรก็ตาม ยังมีคำแนะนำอื่นๆ ที่สามารถช่วยบรรเทาการละเมิดความปลอดภัยได้ เช่น การบังคับให้ผู้ใช้เพิ่มรหัสผ่านที่รัดกุมหรือบังคับให้เปลี่ยนทุกๆ 3 เดือน

แต่การเพิ่มการรับรองความถูกต้องแบบหลายปัจจัยในเว็บไซต์ของคุณทำให้ปลอดภัย 100% จากการโจมตีแบบเดรัจฉาน ปัจจัยพิเศษและขั้นตอนในการระบุตัวบุคคลนั้นคือการรุกฆาตสำหรับบอทประเภทนี้

วิธีการใช้การยืนยันแบบสองขั้นตอน

การเพิ่มการยืนยันแบบสองขั้นตอนหมายความว่าเราจะต้องเพิ่มขั้นตอนการยืนยันเพิ่มเติมให้กับการตรวจสอบผู้ใช้และรหัสผ่านตามปกติ วิธีที่ง่ายที่สุดคือให้ผู้ใช้แต่ละรายติดตั้งแอปพลิเคชันตรวจสอบสิทธิ์ในโทรศัพท์ของตนโดยแสดงรหัสชั่วคราวที่ใช้งานได้เพียงไม่กี่วินาที และนี่คือรหัสที่พวกเขาต้องเพิ่มเป็นรูปแบบการยืนยัน (นอกเหนือจากรหัสผ่าน) ).

แอพมือถือที่รู้จักกันดี ได้แก่ Google Authenticator, Authy, HDE OTP, FreeOTP หรือ SoundLogin (ในกรณีที่มีการตรวจสอบเสียง) เป็นต้น ทั้งหมดมีอยู่ในแอป Android และ iOS

มาดูด้านล่างว่าเราสามารถใช้การยืนยันแบบสองขั้นตอนกับ Google Authenticator ได้อย่างไร โปรดทราบว่ากระบวนการจะคล้ายกันมากกับแอปดังกล่าว

Google Authenticator

Google Authenticator เป็นแอปง่ายๆ ที่พร้อมใช้งานบน Android และ iOS และแสดงรหัสตัวเลข 6 หลักที่เปลี่ยนทุกๆ 30 วินาที นี่คือสิ่งที่คุณควรใช้หลังจากที่คุณลงชื่อเข้าใช้ WordPress หรือบริการอื่นๆ ที่คุณใช้อยู่ เช่น บริการอีเมล โฮสติ้ง คลาวด์ เครือข่ายสังคม ฯลฯ สำหรับแต่ละบัญชี คุณจะเห็น รหัสและเวลาที่เหลือจนกว่าจะมีการรีเฟรช

ทุกคนที่จะเข้าถึง WordPress ของคุณโดยใช้ 2FA จะต้องดาวน์โหลดแอป Google Authenticator บนมือถือเพื่อยืนยันตัวตนของพวกเขาด้วยระบบนี้

ติดตั้งและเปิดใช้งานปลั๊กอินสำหรับ 2FA

มีปลั๊กอินหลายตัวที่ให้คุณตรวจสอบสิทธิ์ผู้ใช้แบบสองขั้นตอนได้ เช่น Google Authenticator, Wordfence Login Security, Google Authenticator ของ miniOrange หรือการตรวจสอบสิทธิ์แบบสองปัจจัย มาดูขั้นตอนที่ต้องปฏิบัติตามด้วยปลั๊กอิน Google Authenticator

ก่อนอื่น จากแดชบอร์ด WordPress ของคุณ ให้คลิกที่ปลั๊กอิน "เพิ่มใหม่":

ค้นหาปลั๊กอินที่คุณต้องการติดตั้ง ซึ่งในกรณีของเราคือ "Google Authenticator" แล้วคลิก "ติดตั้ง" และ "เปิดใช้งาน:"

ตั้งค่าปลั๊กอิน

หลังจากเปิดใช้งานปลั๊กอิน คุณจะมีตัวเลือกการตั้งค่า Google Authenticator ใหม่

ในหน้าต่างการกำหนดค่า Google Authenticator คุณมีตัวเลือกในการระบุว่าคุณต้องการให้ผู้ใช้ตัดสินใจว่าจะใช้การตรวจสอบสิทธิ์แบบคู่หรือไม่ และบทบาทใดที่คุณต้องการเปิดใช้งานการตรวจสอบสิทธิ์แบบคู่

ถัดไป ในโปรไฟล์ของผู้ใช้แต่ละรายที่มีบทบาทอย่างใดอย่างหนึ่งที่มีการรับรองความถูกต้องสองครั้ง คุณจะพบตัวเลือกการกำหนดค่า Google Authenticator

คุณสามารถระบุว่าผู้ใช้ต้องเปิดใช้งาน 2FA หรือไม่ ผู้ใช้ต้องการเวลาพิเศษในการเข้าสู่ระบบหรือไม่ ชื่อของบัญชีที่แสดงในแอปที่ติดตั้งในโทรศัพท์ของคุณ รหัสลับ แสดงรหัส QR และอนุญาตให้เพิ่ม รหัสผ่านในแอป

เพิ่มบัญชีที่กำหนดค่าไปยังแอพมือถือ

ตอนนี้ เป็นครั้งแรกที่ผู้ที่ได้รับคำสั่งให้เข้าสู่ระบบด้วยการเข้าสู่ระบบ 2FA หน้าต่างต่อไปนี้จะปรากฏขึ้นเพื่อขอให้พวกเขาสแกนรหัส QR บนมือถือและยืนยันรหัสที่สร้างขึ้นซึ่งพวกเขาเห็นในแอป

ในแอป Google Authenticator บนมือถือ ผู้ใช้ต้องคลิกปุ่ม "+" ที่ด้านล่างขวาของหน้าจอแอปเพื่อเพิ่มบัญชีใหม่ เลือกสแกนโค้ด และหลังจากสแกนโค้ดที่แสดงโดยไซต์ WordPress ของคุณ พวกเขาจะพร้อมติดตั้ง

ตอนนี้ สิ่งที่ผู้ใช้ต้องทำคือป้อนรหัสที่ปรากฏในแอพในหน้าจอเริ่มต้น และการกำหนดค่าก็เสร็จสมบูรณ์

ครั้งต่อไปที่ผู้ใช้ต้องการเข้าถึงไซต์ จะต้องดำเนินการในสองขั้นตอน: ขั้นแรกให้ป้อนชื่อผู้ใช้และรหัสผ่าน และถัดไปคือรหัส Google Authenticator

และนั่นแหล่ะ! ด้วยสิ่งนี้ คุณจะเพิ่มความมั่นใจในความปลอดภัยของเว็บไซต์ของคุณเป็นสองเท่า

บทสรุป

การรักษาความปลอดภัยบนเว็บไซต์ของคุณเกี่ยวข้องกับการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเพื่อลดความเสี่ยงที่จะตกเป็นเหยื่อของการโจมตี แม้ว่าการป้องกันตัวเอง 100% จะเป็นไปไม่ได้ แต่คุณได้เห็นแล้วว่า การติดตั้งกำแพงความปลอดภัยสองชั้นบนเว็บไซต์ของคุณนั้นง่ายและฟรี ดังนั้นอย่ารอจนกว่าคุณจะมีปัญหาเมื่อคุณรู้ว่าการป้องกันนั้นดีกว่าการรักษา!

ภาพเด่นของ FLY:D บน Unsplash