หมายเหตุประจำรุ่น: เพิ่มการเข้ารหัสลงในรหัสสองปัจจัยใน iThemes Security Pro

ด้วย iThemes Security Pro รุ่นล่าสุด เราได้เพิ่มการเข้ารหัสเพื่อปกป้องรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ที่ใช้สำหรับการตรวจสอบสิทธิ์การเข้าสู่ระบบแบบหลายปัจจัย เพื่อให้แน่ใจว่าไซต์ของคุณใช้ฟังก์ชันใหม่นี้ ให้อัปเกรดเป็น iThemes Security Pro เวอร์ชัน 7.2.2 ในแดชบอร์ดปลั๊กอิน wp-admin

เช่นเดียวกับคุณลักษณะใหม่ใดๆ เรามั่นใจว่าจะต้องมีคำถามเกี่ยวกับคุณลักษณะใหม่และเหตุผลที่เราเพิ่มคุณลักษณะนี้ ในโพสต์นี้ เราจะให้รายละเอียดว่าเราได้เปลี่ยนแปลงอะไรไปบ้าง เหตุใดเราจึงเลือกที่จะเพิ่มคุณสมบัติความปลอดภัยเพิ่มเติมให้กับการตรวจสอบสิทธิ์แบบสองปัจจัย และความคิดเห็นบางประการเกี่ยวกับสถานะปัจจุบันของการรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress โดยรวม

การเปลี่ยนแปลงนี้ในการจัดเก็บรหัสการพิสูจน์ตัวตนแบบสองปัจจัยก่อให้เกิดอะไร?

iThemes Security รองรับวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยสามประเภท: แอพมือถือ อีเมล และรหัสสำรอง พวกเขาแต่ละคนทำงานแตกต่างกันเล็กน้อย

เมื่อคุณใช้อีเมล 2FA การรักษาความปลอดภัย iThemes จะสร้างรหัสแปดหลักแบบสุ่มและส่งอีเมลถึงคุณ เราเก็บสิ่งที่เรียกว่า "แฮช" ของโค้ดสุ่มนี้ไว้ในฐานข้อมูล WordPress แฮชช่วยให้เราตรวจสอบได้ว่าคุณให้รหัสแปดหลักเดียวกับที่เราจัดเก็บไว้ในฐานข้อมูลหรือไม่

อย่างไรก็ตาม iThemes Security ไม่สามารถ "ถอดรหัส" แฮชกลับเป็นรหัสสุ่มแปดหลักเดิมได้ นี่คือเหตุผลที่ถ้าคุณขอให้ iThemes Security “ส่งอีเมล 2FA อีกครั้ง” เราจะสร้างรหัสสุ่มใหม่แทนที่จะส่งรหัส 2FA เดียวกันกับที่เราส่งไปให้คุณในอีเมลฉบับแรก

ซึ่งคล้ายกับวิธีที่ WordPress สามารถตรวจสอบว่ารหัสผ่านของคุณถูกต้องหรือไม่ แต่ถ้าคุณลืมรหัสผ่าน คุณต้องสร้างรหัสผ่านใหม่ WordPress จะไม่สามารถส่งรหัสผ่านปัจจุบันให้คุณได้

Mobile Two-Factor นั้นแตกต่างกัน รหัสใหม่จะปรากฏในแอพมือถือของคุณทุก ๆ 30 วินาที หมายความว่า iThemes Security กำลังบันทึกแต่ละรหัสใหม่ลงในฐานข้อมูลหรือไม่ ไม่ iThemes Security ใช้แนวคิดของ "ความลับที่ใช้ร่วมกัน" แทน

เมื่อคุณตั้งค่า Mobile Two-Factor ใน iThemes Security เราจะแสดงรหัส QR ที่มีรหัสลับเฉพาะสำหรับบัญชีของคุณ การสแกนรหัส QR ในแอพ Two-Factor จะคัดลอกรหัสลับไปยังโทรศัพท์ของคุณ

เมื่อคุณเข้าสู่ระบบโดยใช้แอพมือถือ iThemes Security และโทรศัพท์ของคุณจะสร้างรหัสหกหลักตามคีย์ "ความลับที่ใช้ร่วมกัน" หากรหัสตรงกัน แสดงว่าคุณเข้ามาแล้ว!

ต่างจาก Two-Factor ที่ใช้อีเมลที่เราต้องการเก็บแฮชเท่านั้น ซึ่งหมายความว่าเราต้องเก็บคีย์ลับของแอพมือถือในลักษณะที่ทำให้เราเข้าถึงข้อความธรรมดาได้

ปลั๊กอินและบริการการตรวจสอบสิทธิ์แบบสองปัจจัยส่วนใหญ่สำหรับ WordPress กำลังจัดเก็บคีย์ลับแบบสองปัจจัยในฐานข้อมูล WordPress และความปลอดภัยของ iThemes ก็ไม่ต่างกัน ต้องเก็บรหัสเหล่านี้ไว้เพื่อที่ว่าเมื่อผู้ใช้ป้อนรหัส 2FA จากแอปตรวจสอบสิทธิ์บนโทรศัพท์หรืออุปกรณ์ ปลั๊กอินความปลอดภัยสามารถจับคู่รหัสเหล่านี้เพื่อตรวจสอบสิทธิ์ผู้ใช้ที่พยายามเข้าสู่ระบบ

การจัดเก็บรหัสเหล่านี้ในฐานข้อมูลเป็นวิธีที่ปลอดภัยที่สุด เนื่องจากข้อมูลใดๆ ที่จัดเก็บไว้ในฐานข้อมูลสามารถเข้าถึงได้โดยผู้ใช้ฐานข้อมูลและรหัสผ่านเท่านั้น ข้อมูลประจำตัวเหล่านี้ถูกเก็บไว้ในไฟล์ WordPress wp-config.php ของคุณ และทำให้ไซต์ WordPress ของคุณสามารถเข้าถึงข้อมูลในฐานข้อมูลนี้ได้

แม้ว่าจะมีบริการบางอย่างที่ใช้แนวทางระบบไฟล์สำหรับรหัส 2FA แต่ iThemes Security และบริการตรวจสอบสิทธิ์แบบสองปัจจัยหลักอื่นๆ ส่วนใหญ่ได้เลือกใช้วิธีการจัดเก็บฐานข้อมูลที่ปลอดภัยยิ่งขึ้น

เพื่อความปลอดภัยเพิ่มเติม เราได้เพิ่มการเข้ารหัสให้กับรหัสเหล่านี้ซึ่งจัดเก็บไว้ในฐานข้อมูล WordPress ของเว็บไซต์ ในกรณีที่ฐานข้อมูลถูกบุกรุกโดยช่องโหว่อื่น การเข้ารหัสที่เพิ่มเข้ามานี้จะเพิ่มระดับการรักษาความปลอดภัยอีกชั้นหนึ่งเพื่อปกป้องไซต์ WordPress จากการโจมตีตามการเข้าสู่ระบบจำนวนเท่าใดก็ได้ที่สามารถรวมกับช่องโหว่อื่นๆ

เหตุผลที่เราเลือกเพิ่มคุณสมบัตินี้

หากเว็บไซต์ WordPress มีความปลอดภัยเพียงพอ โอกาสที่รหัสการตรวจสอบสิทธิ์แบบสองปัจจัยจะถูกเปิดเผยนั้นต่ำ อย่างไรก็ตาม ในกรณีที่มีช่องโหว่ระดับบริการของผู้ให้บริการโฮสติ้งที่การเข้าถึงฐานข้อมูลถูกบุกรุก หรือหากมีช่องโหว่แบบ zero-day ที่ใช้ประโยชน์อย่างแข็งขันในปลั๊กอินหรือธีม สามารถใช้รหัสการตรวจสอบสิทธิ์แบบสองปัจจัยที่ไม่ได้เข้ารหัสร่วมกับช่องโหว่อื่นได้ .

ที่ iThemes ความปลอดภัยของเว็บไซต์ WordPress ของลูกค้ามีความสำคัญอย่างยิ่งต่อธุรกิจของเรา ดังนั้นเมื่อถึงแม้สถานการณ์ช่องโหว่ของ edge-case ที่เราให้ความสำคัญ การตอบสนองและลำดับความสำคัญอันดับแรกของเราคือความปลอดภัยของไซต์เหล่านั้น

เป้าหมายของเราคือทำให้ไซต์ WordPress ของคุณปลอดภัยในทุกจุดเชื่อมต่อ เพื่อให้ทุกแง่มุมของไซต์ของคุณ ตั้งแต่ไฟล์และฐานข้อมูลไปจนถึงขั้นตอนการเข้าสู่ระบบ ล้วนได้รับการปกป้องจากผู้โจมตีที่ประสงค์ร้าย การป้องกันที่มีประสิทธิภาพจากการโจมตีต้องการให้ WordPress ทุกด้านมีความปลอดภัยเพียงพอ

การรับรองความถูกต้องด้วยสองปัจจัยคืออะไร?

การรับรองความถูกต้องด้วยสองปัจจัย (2FA) เป็นประเภทของการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่เสริมความปลอดภัยในการเข้าถึงโดยต้องใช้วิธีการยืนยันสองวิธีเพื่อพิสูจน์ตัวตนของคุณบนระบบ ในกรณีนี้คือไซต์ WordPress ปัจจัยเหล่านี้อาจรวมถึงสิ่งที่คุณรู้ เช่น ชื่อผู้ใช้หรืออีเมลและรหัสผ่านของคุณ ตลอดจนสิ่งที่คุณมี เช่น การเข้าถึงอุปกรณ์ของคุณด้วยแอปพลิเคชันการตรวจสอบสิทธิ์เพื่อรับรองความถูกต้องหรือกำหนดว่าคุณเป็นใคร แอปตรวจสอบสิทธิ์ เช่น Google Authenticator จะสร้างรหัสผ่านแบบใช้ครั้งเดียวตามเวลา ซึ่งจะเปลี่ยนทีละนาที

รหัสผ่านไม่เพียงพอ

การตรวจสอบสิทธิ์แบบสองปัจจัยมีความสำคัญมากขึ้นเรื่อยๆ เนื่องจากการโจมตีแบบฟิชชิ่ง การโจมตีทางวิศวกรรมสังคม การโจมตีด้วยรหัสผ่านแบบเดรัจฉาน และปัญหาการใช้รหัสผ่านซ้ำ ทำให้การรับรองความถูกต้องด้วยรหัสผ่านเพียงครั้งเดียวไม่เพียงพออีกต่อไป

เป็นเพราะปัญหาเช่นนี้ที่นักประดิษฐ์เช่น iThemes Security ได้เพิ่มรหัสผ่านสำหรับการเข้าสู่ระบบแบบไร้รหัสผ่านอย่างแท้จริงโดยใช้การตรวจสอบสิทธิ์แบบไบโอเมตริกและการเข้ารหัสคีย์ส่วนตัว/สาธารณะ เพื่อสร้างโปรโตคอลการตรวจสอบสิทธิ์ที่ซับซ้อนยิ่งขึ้นเพื่อปกป้องระบบที่สำคัญต่อภารกิจ รหัสผ่านถูกทำลาย ดังนั้น iThemes Security Pro จึงเป็นปลั๊กอินความปลอดภัย WordPress ตัวแรกที่อนุญาตให้มีการตรวจสอบสิทธิ์แบบไม่มีรหัสผ่านด้วยรหัสผ่าน

ด้วยรหัสผ่าน การจัดเก็บรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยจะไม่เป็นปัญหา เนื่องจากการเข้ารหัสคีย์ส่วนตัว/สาธารณะทำให้ทั้งรหัสผ่านและ 2FA ล้าสมัย

หากเว็บไซต์ WordPress ของคุณมีความสำคัญต่อธุรกิจหรือองค์กรของคุณอย่างแท้จริง การใช้ iThemes Security แสดงให้เห็นถึงความมุ่งมั่นของคุณในการรักษาความปลอดภัยสินทรัพย์นั้น ตรวจสอบให้แน่ใจว่าคุณเสนอการเข้าสู่ระบบแบบไม่ใช้รหัสผ่านที่ปราศจากการสะดุดและความสามารถในการตรวจสอบสิทธิ์แบบสองปัจจัยที่เข้ารหัสเพื่อแสดงให้ผู้มีส่วนได้ส่วนเสียของคุณเห็นถึงความมุ่งมั่นขององค์กรของคุณในการใช้งานเว็บไซต์ที่คำนึงถึงความปลอดภัย

หากคุณยังไม่ได้ใช้ iThemes Security Pro คุณสามารถรับปลั๊กอินความปลอดภัย WordPress รุ่น Pro ที่ดีที่สุดได้โดยการซื้อผ่านลิงก์ด้านล่าง

ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดสำหรับการรักษาความปลอดภัยและปกป้อง WordPress

ปัจจุบัน WordPress มีอำนาจมากกว่า 40% ของเว็บไซต์ทั้งหมด ดังนั้นจึงกลายเป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์ที่มีเจตนาร้าย ปลั๊กอิน iThemes Security Pro นำการคาดเดาออกจากความปลอดภัยของ WordPress เพื่อให้ง่ายต่อการรักษาความปลอดภัยและปกป้องเว็บไซต์ WordPress ของคุณ เหมือนกับการมีผู้เชี่ยวชาญด้านความปลอดภัยเต็มเวลาที่เจ้าหน้าที่คอยตรวจสอบและปกป้องไซต์ WordPress ของคุณอย่างต่อเนื่อง

รับ iThemes Security Pro

ขอขอบคุณ Calvin Alkan ที่เปิดเผยปัญหาให้เราทราบอย่างมีความรับผิดชอบ