• โฮมเพจ
  • บทความ
  • แนะนำ
  • วิธีแก้ไขข้อผิดพลาด “การป้องกันการพยายามระบุผู้ใช้ที่เป็นไปได้” (2 วิธีง่ายๆ)

วิธีแก้ไขข้อผิดพลาด “การป้องกันการพยายามระบุผู้ใช้ที่เป็นไปได้” (2 วิธีง่ายๆ)

เผยแพร่แล้ว: 2023-04-19

คุณกังวลว่าแฮ็กเกอร์พยายามค้นหาชื่อผู้ใช้บนไซต์ WordPress ของคุณเพื่อแฮ็คหรือไม่?

คงไม่ใช่สัญชาตญาณแรกของคุณใช่ไหม?

แต่นี่คือการตรวจสอบความเป็นจริง: การตรวจสอบไซต์ของคุณเพื่อค้นหาชื่อผู้ใช้เป็นกลวิธีทั่วไปที่แฮ็กเกอร์ใช้

เมื่อแฮ็กเกอร์พบชื่อผู้ใช้ที่ถูกต้องแล้ว พวกเขาเพียงแค่เดารหัสผ่านเพื่อเข้าถึงไซต์ของคุณ จากนั้นแฮ็กเกอร์จะใช้สิ่งที่เรียกว่า 'Brute Force Attack' เพื่อเดารหัสผ่านที่ถูกต้องไปยังแดชบอร์ด WordPress ของคุณ

จากนั้นพวกเขาจะเข้าควบคุมเว็บไซต์ของคุณอย่างเต็มที่และสร้างความหายนะ แฮ็กเกอร์ขโมยข้อมูล เปลี่ยนเส้นทางผู้เข้าชม และสแปมลูกค้า ท่ามกลางรายการกิจกรรมที่เป็นอันตรายอื่นๆ

แต่ไม่ต้องกังวลเพราะคุณสามารถป้องกันไม่ให้แฮ็กเกอร์ค้นพบชื่อผู้ใช้ได้โดยใช้มาตรการป้องกันช่องโหว่การแจงนับผู้ใช้

ในคู่มือนี้ คุณจะได้เรียนรู้ว่าการแจงนับผู้ใช้คืออะไร และวิธีป้องกันไม่ให้แฮ็กเกอร์ใช้ช่องโหว่นี้

TL;DR : การแจงนับผู้ใช้สามารถเพิ่มโอกาสประสบความสำเร็จในการโจมตีด้วยกำลังเดรัจฉานบนไซต์ WordPress ของคุณ เพื่อป้องกันสิ่งนี้ คุณสามารถติดตั้ง MalCare Security Plugin มันจะตรวจจับและบล็อกความพยายามอย่างดุร้ายบนไซต์ของคุณโดยอัตโนมัติ

[lwptocskipHeadingLevel=”h1,h3,h4,h5,h6″skipHeadingText=”ความคิดสุดท้าย”]

การแจงนับผู้ใช้คืออะไร?

การระบุชื่อผู้ใช้เป็นกระบวนการที่แฮ็กเกอร์สามารถค้นหาผู้ใช้เว็บไซต์ WordPress ได้ พวกเขาสแกนเว็บไซต์และรวบรวมข้อมูลผู้ใช้ (เช่น ชื่อ ID อีเมล) ที่พวกเขาใช้เพื่อลองและลงชื่อเข้าใช้เว็บไซต์

หมายเหตุ: ตามผู้ใช้ เราไม่ได้หมายถึงผู้เยี่ยมชมหรือลูกค้า เราหมายถึงผู้ใช้ที่สามารถเข้าถึงแผงผู้ดูแลระบบ WordPress ของคุณได้

ทำไมสิ่งนี้ถึงเป็นปัญหา แฮ็กเกอร์ใช้เทคนิคที่เรียกว่าการโจมตีด้วยกำลังดุร้ายโดยที่พวกเขาพยายามเดาชื่อผู้ใช้และรหัสผ่านของคุณ พวกเขาตั้งโปรแกรมบอทให้ป้อนชื่อผู้ใช้และรหัสผ่านรวมกันหลายพันรายการในเวลาไม่กี่วินาที

แต่ถ้าพวกเขารู้ชื่อผู้ใช้ของคุณ ก็หมายความว่าพวกเขาอยู่ห่างจากการเข้าถึงไซต์ของคุณเพียงขั้นตอนเดียว

นี่คือที่มาของการแจงนับผู้ใช้ แฮ็กเกอร์พยายามค้นหาชื่อผู้ใช้โดยดูจากชื่อผู้เขียนและที่อยู่อีเมลในเว็บไซต์ของคุณ

มีหลายวิธีที่แฮ็กเกอร์สามารถค้นหาชื่อผู้ใช้ในไซต์ของคุณได้ สิ่งสำคัญคือต้องเข้าใจวิธีที่แฮ็กเกอร์ใช้เพื่อใช้มาตรการต่อต้านการแจงนับผู้ใช้

ประเภทของการแจงนับผู้ใช้

ชื่อผู้ใช้จะถูกเก็บไว้ในฐานข้อมูลของไซต์ WordPress ของคุณ อย่างไรก็ตาม แฮ็กเกอร์ไม่จำเป็นต้องเข้าถึงฐานข้อมูลของคุณเพื่อค้นหาข้อมูลนี้

เราให้รายละเอียดสองเทคนิคหลักที่แฮ็กเกอร์ใช้เพื่อระบุผู้ใช้บนไซต์ WordPress:

1. การใช้จดหมายเหตุของผู้แต่ง

ผู้ใช้ทุกคนในไซต์ WordPress ของคุณมี ID เฉพาะที่จัดสรรให้ ID นี้ใช้โดย WordPress เพื่ออ้างอิงบัญชีผู้ใช้ที่เกี่ยวข้องในฐานข้อมูล

ถัดไป เมื่อผู้ใช้เว็บไซต์ของคุณสร้างเพจและโพสต์ WordPress จะเก็บข้อมูลนี้ไว้ในที่เก็บถาวรของผู้แต่ง

ที่เก็บถาวรของผู้เขียนจัดหมวดหมู่หน้าและโพสต์โดยพื้นฐานแล้วตามผู้ที่สร้าง

แฮ็กเกอร์สามารถเรียกใช้สคริปต์ในไซต์ของคุณเพื่อโหลดไฟล์เก็บถาวรผู้เขียนซึ่งอาจเปิดเผยรหัสผู้ใช้ ต่อไป พวกเขาเรียกใช้สคริปต์เพิ่มเติมเพื่อค้นหาชื่อผู้ใช้ที่เชื่อมโยงกับ ID ผู้ใช้

2. การใช้แบบฟอร์มเข้าสู่ระบบ

เมื่อคุณ ป้อนชื่อผู้ใช้ที่ไม่ถูกต้อง ในหน้าเข้าสู่ระบบ WordPress ระบบจะแสดงข้อความนี้:

wordpress เข้าสู่ระบบ

หากคุณ ป้อนชื่อผู้ใช้ที่ถูกต้องและรหัสผ่านไม่ถูกต้อง WordPress จะแสดงข้อความแจ้งนี้:

wordpress-เข้าสู่ระบบบ่งชี้ว่ารหัสผ่านผิด

สิ่งนี้บ่งชี้ว่าชื่อผู้ใช้ '[email protected]' เป็นชื่อผู้ใช้ที่ถูกต้อง และมีเพียงรหัสผ่านเท่านั้นที่ไม่ถูกต้อง

แฮ็กเกอร์ใช้เครื่องมือเช่น Burp Intruder เพื่อโหลดรายชื่อผู้ใช้ที่เป็นไปได้เพื่อค้นหาชื่อที่ถูกต้องโดยตรวจสอบการตอบสนองนี้จาก WordPress

เมื่อใช้วิธีการเหล่านี้ แฮ็กเกอร์สามารถค้นพบชื่อผู้ใช้ของคุณ ซึ่งทำให้พวกเขาเข้าใกล้การแฮ็กเว็บไซต์ของคุณมากขึ้น คุณสามารถใช้มาตรการรักษาความปลอดภัยเพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้น

การป้องกันไม่ให้พยายามระบุผู้ใช้ที่เป็นไปได้

คุณสามารถหยุดการแจงนับผู้ใช้ได้โดยใช้ปลั๊กอินหรือแทรกส่วนย่อยของโค้ดลงในไฟล์ WordPress ของคุณด้วยตนเอง เราไม่แนะนำวิธีการด้วยตนเองเนื่องจากมีความเสี่ยงสูง ความผิดพลาดเพียงเล็กน้อยอาจทำให้เว็บไซต์ของคุณเสียหายได้ อย่างไรก็ตาม เราจะลงรายละเอียดขั้นตอนสำหรับทั้งสองอย่าง

1. ติดตั้งปลั๊กอิน Stop User Enumeration

นี่เป็นวิธีที่ง่ายที่สุดและมีประสิทธิภาพที่สุดในการหยุดการแจงนับผู้ใช้บนไซต์ WordPress ของคุณ คุณสามารถติดตั้ง Stop User Enumeration Plugin บนไซต์ของคุณได้จากที่เก็บ WordPress

ตามชื่อที่แนะนำ ปลั๊กอินได้รับการออกแบบมาเพื่อป้องกันแฮ็กเกอร์ไม่ให้สแกนไซต์ของคุณเพื่อหาชื่อผู้ใช้

นอกจากนี้ยังมีคุณสมบัติที่ดีในการบันทึกที่อยู่ IP ที่พยายามระบุผู้ใช้ของคุณ ที่อยู่ IP เป็นรหัสเฉพาะที่กำหนดให้กับอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต ปลั๊กอิน WordPress Firewall เช่น MalCare ได้รับการออกแบบมาเพื่อตรวจจับที่อยู่ IP ที่ดำเนินกิจกรรมที่เป็นอันตรายและบล็อกไม่ให้เข้าถึงไซต์ของคุณ

หากคุณติดตั้งไฟร์วอลล์บนไซต์ของคุณ คุณสามารถตรวจสอบข้ามบันทึกที่อยู่ IP ที่ให้ไว้โดยปลั๊กอิน Stop User Enumeration กับรายการที่ไฟร์วอลล์ของคุณบล็อกอยู่ ในกรณีที่ไม่ได้ปิดกั้น ไฟร์วอลล์ส่วนใหญ่จะอนุญาตให้คุณป้อนที่อยู่ IP และขึ้นบัญชีดำด้วยตนเอง ไฟร์วอลล์จะป้องกันไม่ให้ที่อยู่ IP เข้าถึงไซต์ของคุณโดยอัตโนมัติอีก

2. การใส่รหัสด้วยตนเองเพื่อหยุดการแจงนับผู้ใช้

หมายเหตุ: โปรดจำไว้ว่าเราไม่แนะนำให้ใช้วิธีนี้ ในกรณีที่คุณต้องการดำเนินการต่อ เราแนะนำให้คุณสำรองข้อมูลไซต์ WordPress ของคุณ หากมีอะไรผิดพลาด คุณสามารถคืนค่าเว็บไซต์ของคุณให้กลับมาเป็นปกติได้

ขั้นตอนที่ 1: เข้าสู่ระบบบัญชีโฮสติ้งของคุณ ไปที่ cPanel > File Manager (คุณยังสามารถเข้าถึงไฟล์ของคุณโดยใช้ FTP เช่น FileZilla)

ตัวจัดการไฟล์ใน cpanel-1

ขั้นตอนที่ 2: เปิดโฟลเดอร์ public_html ไปที่ wp-content และเข้าถึง โฟลเดอร์ธีม ของคุณ อย่าลืมเลือกธีมที่ใช้งานอยู่บนไซต์ของคุณ

เลือกธีมในตัวจัดการไฟล์

ขั้นตอนที่ 3: ที่นี่ คุณจะพบไฟล์ function.php ของธีมของคุณ คลิกขวาและแก้ไขไฟล์นี้

ขั้นตอนที่ 4: ใส่รหัสต่อไปนี้:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

บันทึก การเปลี่ยนแปลงและปิดไฟล์ การแจงนับผู้ใช้ควรถูกบล็อกบนเว็บไซต์ของคุณ

ด้วยเหตุนี้ เราจึงยุติการปกป้องเว็บไซต์ของคุณจากการแจงนับผู้ใช้ เราขอแนะนำอย่างยิ่งให้ใช้ชื่อผู้ใช้ที่ไม่พร้อมใช้งานบนไซต์ของคุณ ตัวอย่างเช่น หากคุณมีสมาชิกในทีมและชื่อผู้เขียนบล็อกแสดงอยู่บนไซต์ของคุณ คุณควรจะใช้ชื่อผู้ดูแลระบบที่แตกต่างกัน

ความคิดสุดท้าย

ด้วยการบล็อกการแจงนับผู้ใช้ในไซต์ WordPress คุณจะลดโอกาสในการโจมตีด้วยกำลังดุร้าย แฮ็กเกอร์มักจะกำหนดเป้าหมายไปยังไซต์ที่ง่ายต่อการแฮ็ก บอทของพวกเขาจะพยายามไม่สำเร็จและย้ายออกจากไซต์ของคุณ

อย่างไรก็ตาม การโจมตีด้วยกำลังเดรัจฉานเป็นเพียงหนึ่งในภัยคุกคามความปลอดภัยที่คุณต้องปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์

เราขอแนะนำอย่างยิ่งให้เปิดใช้งานปลั๊กอินความปลอดภัยที่จะสแกนไซต์ของคุณเป็นประจำเพื่อให้แน่ใจว่าปลอดภัยและปราศจากมัลแวร์ นอกจากนี้ยังจะบล็อกแฮ็กเกอร์ไม่ให้เข้าถึงเว็บไซต์ของคุณในเชิงรุก

คุณสามารถดำเนินการไซต์ของคุณด้วยความสบายใจเมื่อรู้ว่าเว็บไซต์ของคุณปลอดภัย

ปกป้องเว็บไซต์ WordPress ของคุณด้วย MalCare!