คำแนะนำเกี่ยวกับวิธีการรักษาความปลอดภัยผู้ดูแลระบบ WordPress - MalCare

ผู้ดูแลระบบ WordPress ที่ปลอดภัย: คุณรู้หรือไม่ว่า มี การพยายามแฮ็ก มากกว่า 90,000 ครั้งบนเว็บไซต์ WordPress ทุกนาทีของวัน สิ่งที่บ่งบอกก็คือความพยายามในการแฮ็กเว็บไซต์ของคุณใกล้เข้ามาไม่ว่าไซต์นั้นจะเล็กหรือใหญ่ก็ตาม ความปลอดภัยเป็นหนึ่งในความกังวลสูงสุดสำหรับเว็บไซต์

แฮ็กเกอร์ใช้ เทคนิคต่างๆ ในการแฮ็กเว็บไซต์ WordPress และ การโจมตีด้วยกำลังดุร้าย ก็เป็นเทคนิคหนึ่ง มันเกี่ยวข้องกับการลองใช้ ชื่อผู้ใช้ และ รหัสผ่าน ที่ใช้กันทั่วไป ในหน้าเข้าสู่ระบบของเว็บไซต์

การโจมตีด้วยกำลังดุร้าย ที่ประสบความสำเร็จ ช่วยให้คุณเข้าถึงผู้ดูแลระบบ WordPress พื้นที่ผู้ดูแลระบบ WordPress เป็นศูนย์กลางการจัดการของเว็บไซต์ที่ขับเคลื่อนด้วย WordPress ใครก็ตามที่มีสิทธิ์เข้าถึงผู้ดูแลระบบโดยสมบูรณ์จะสามารถควบคุมไซต์ได้อย่างเต็มที่ ดังนั้น สิ่งสำคัญคือต้องปกป้องผู้ดูแลระบบ WordPress ของคุณจากการโจมตีแบบเดรัจฉาน

จะรักษาความปลอดภัยผู้ดูแลระบบ WordPress ได้อย่างไร

เราได้คิดค้นเทคนิคมากมายที่จะช่วยให้คุณรักษาความปลอดภัยของผู้ดูแลระบบ WordPress ของไซต์ของคุณจากการพยายามแฮ็ก

1. ใช้รหัสผ่านที่รัดกุม

หนึ่งในข้อผิดพลาดที่พบบ่อยที่สุดที่เจ้าของเว็บไซต์ทำคือการใช้รหัสผ่านที่ไม่รัดกุม ในช่วงหลายปีที่ผ่านมา เทคนิคการถอดรหัสรหัสผ่านได้พัฒนาเต็มที่ รหัสผ่านที่คาดเดาได้ง่ายจะถูกถอดรหัสภายในไม่กี่นาที รหัสผ่านที่รัดกุมจะช่วยปกป้องไซต์ของคุณจากเทคนิคการถอดรหัสรหัสผ่านที่ชาญฉลาด ต่อไปนี้เป็นบทความที่ยอดเยี่ยมเกี่ยวกับ วิธีสร้างรหัสผ่านที่รัดกุม สำหรับเว็บไซต์ WordPress ของคุณ

อย่างไรก็ตาม การจำรหัสผ่านที่รัดกุมอาจเป็นปัญหาได้ โพสต์นี้จะ อธิบาย วิธี จัดการรหัสผ่าน WordPress ที่รัดกุม

ข้อผิดพลาดทั่วไปอีกอย่างที่หลายคนทำคือเมื่อพวกเขาใช้รหัสผ่านเดียวกันในหลายไซต์ เมื่อรหัสผ่านเดียวถูกล่วงละเมิด บัญชีทั้งหมดที่เชื่อมโยงกับรหัสผ่านนั้นจะถูกบุกรุก ดังนั้น การใช้รหัสผ่านที่แตกต่างกันสำหรับบัญชีสามารถช่วยหลีกเลี่ยงสถานการณ์นี้ได้

2. หลีกเลี่ยงการใช้ชื่อผู้ใช้ทั่วไป

การรักษาความปลอดภัยรหัสผ่าน WordPress เป็นขั้นตอนสำคัญในการรักษาความปลอดภัยข้อมูลรับรองการเข้าสู่ระบบ WordPress องค์ประกอบที่สองของข้อมูลรับรองการเข้าสู่ระบบคือชื่อผู้ใช้ หากชื่อผู้ใช้ของคุณคาดเดาได้ง่าย แฮ็กเกอร์ก็เพียงแต่เน้นที่รหัสผ่านเท่านั้น

หนึ่งในชื่อผู้ใช้ WordPress ที่พบบ่อยที่สุดคือ “admin” เมื่อไม่กี่ปีที่ผ่านมา WordPress แนะนำ "ผู้ดูแลระบบ" เป็นชื่อผู้ใช้โดยอัตโนมัติ แม้ว่า WordPress จะหยุดแนะนำ “ผู้ดูแลระบบ” แต่เจ้าของเว็บไซต์จำนวนมากยังคงใช้มันอยู่ มีการสร้างบัญชีผู้ใช้ใหม่หลายบัญชีโดยใช้ "admin" เป็นชื่อผู้ใช้ เว็บไซต์ทั้งหมดเหล่านี้กำลังทำให้ตัวเองเป็นเป้าหมายที่ง่าย

เนื่องจาก WordPress ไม่บังคับใช้ชื่อผู้ใช้ที่ไม่ซ้ำกัน คุณต้องแน่ใจว่าไม่มีผู้ใช้คนใดของคุณใช้ชื่อผู้ใช้ทั่วไป และไม่มีการสร้างบัญชีใหม่ด้วย "admin" ดู รายการชื่อผู้ใช้ที่ใช้กันทั่วไปอย่างถี่ถ้วน เพื่อให้คุณทราบว่าชื่อผู้ใช้ใดที่ควรหลีกเลี่ยง

3. ซ่อนหน้าเข้าสู่ระบบ WordPress ของคุณ

เว็บไซต์ WordPress ทำงานในลักษณะที่กำหนดไว้ล่วงหน้า ในกรณีนี้ เว็บไซต์ WordPress ทั้งหมดมาพร้อมกับหน้าเข้าสู่ระบบเริ่มต้นซึ่งมีลักษณะดังนี้“www.anysite.com/wp-admin”สิ่งนี้ทำให้งานของแฮ็กเกอร์ง่ายขึ้นเพราะพวกเขาสามารถเปิดการโจมตีอัตโนมัติบนไซต์ WordPress เป้าหมายหลายแห่งพร้อมกัน แต่ถ้าคุณซ่อนหน้าเข้าสู่ระบบด้วยการเปลี่ยน คุณสามารถป้องกันการโจมตีประเภทดังกล่าวบนไซต์ของคุณได้

มีปลั๊กอินมากมายที่คุณสามารถใช้เพื่อเปลี่ยนหน้าเข้าสู่ระบบและใช้ URL ที่ปลั๊กอินแนะนำคุณได้ มีแนวโน้มว่าเว็บไซต์อื่นๆ ที่ใช้ปลั๊กอินเดียวกันจะใช้ URL เดียวกัน และหากแฮ็กเกอร์รู้รูปแบบ URL การซ่อนหน้าเข้าสู่ระบบของคุณจะไม่มีประโยชน์อะไรเลย ดังนั้น ให้ใช้เครื่องมือที่ช่วยให้คุณสร้าง URL ของหน้าเข้าสู่ระบบของคุณเอง

4. ใช้การตรวจสอบสิทธิ์ HTTP

เพื่อรักษาความปลอดภัยผู้ดูแลระบบ WordPress คุณสามารถป้องกันโฟลเดอร์ wp-admin ทั้งหมดด้วยรหัสผ่านได้ โฟลเดอร์ wp-admin มีไฟล์การดูแลระบบที่ขับเคลื่อนแดชบอร์ด WordPress ทุกคนที่มีสิทธิ์เข้าถึงโฟลเดอร์นี้จะสามารถควบคุมทั้งไซต์ได้ หากรหัสผ่านของคุณป้องกันทั้งโฟลเดอร์ ทุกครั้งที่มีคนร้องขอส่วนผู้ดูแลระบบ เซิร์ฟเวอร์จะเริ่มกระบวนการตรวจสอบสิทธิ์ เบราว์เซอร์จะถามผู้ใช้ถึงรหัสผ่านการตรวจสอบสิทธิ์ HTTP มีเครื่องมือมากมายที่คุณสามารถใช้ปรับใช้การพิสูจน์ตัวตน HTTP บนผู้ดูแลระบบ WordPress ของคุณ เช่น HTTP Auth , AskApache Password Protect เป็นต้น

5. ใช้ Google Authenticator

ด้วยเทคนิคการแฮ็กเว็บไซต์ที่มีความซับซ้อนมากขึ้นเรื่อยๆ ในทุกวันนี้ เป็นเรื่องปกติที่จะเพิ่มการป้องกันการเข้าสู่ระบบอีกชั้นพร้อมกับข้อมูลรับรองผู้ใช้ที่แข็งแกร่ง เทคนิคนี้เรียกว่า การรับรองความถูกต้องด้วยสองปัจจัย (2FA) วิธีนี้เกี่ยวข้องกับการส่งรหัสที่คุณสามารถรับได้บนสมาร์ทโฟนของคุณเท่านั้น ก่อนที่คุณจะได้รับอนุญาตให้เข้าถึงแดชบอร์ด WordPress คุณต้องป้อนรหัสเฉพาะบนไซต์ของคุณ ข้อดีของแนวทางนี้คือ แม้ว่าแฮ็กเกอร์จะจัดการเพื่อถอดรหัสข้อมูลรับรองของคุณ พวกเขาก็ยังต้องการรหัสที่ส่งไปยังอุปกรณ์ของคุณโดยเฉพาะ

มีปลั๊กอิน WordPress มากมายที่คุณสามารถใช้สำหรับการตรวจสอบสิทธิ์แบบ 2 ปัจจัย เราเปิดใช้งาน 2FA บนไซต์ของเราโดยใช้ Mini Orange เพื่อรักษาความปลอดภัยผู้ดูแลระบบ WordPress และ เขียนคำแนะนำ ในเรื่องเดียวกัน

6. จำกัดจำนวนความพยายามเข้าสู่ระบบที่ล้มเหลว

เว็บไซต์ที่อยู่ภายใต้ การโจมตีแบบเดรัจฉาน ประสบกับการพยายามเข้าสู่ระบบที่ล้มเหลวหลายร้อยครั้ง เพื่อป้องกันการโจมตีอย่างไม่หยุดยั้งกับผู้ดูแลระบบ WordPress ของคุณ คุณสามารถจำกัดจำนวนครั้งในการเข้าสู่ระบบที่ล้มเหลวบนเว็บไซต์ของคุณได้ ปลั๊กอินความปลอดภัย MalCare ป้องกันไม่ให้ผู้ใช้พยายามเข้าสู่ระบบหลังจากพยายามเข้าสู่ระบบล้มเหลว 3 ครั้ง พวกเขาต้องแก้ไข CAPTCHA ก่อนจึงจะได้รับอนุญาตให้เข้าถึงหน้าเข้าสู่ระบบ WordPress ได้อีกครั้ง สิ่งนี้ช่วยตรวจสอบว่าผู้ใช้เป็นมนุษย์หรือบอทอัตโนมัติที่พยายามดำเนินการโจมตีแบบเดรัจฉานในไซต์

7. ติดตั้งใบรับรอง SSL

ดูที่ URL เว็บไซต์ของเรา! คุณเห็นแม่กุญแจสีเขียวที่มีคำว่า “ปลอดภัย” อยู่ข้างๆ หรือไม่ ไซต์ของเรามีการติดตั้งใบรับรอง SSL ซึ่งหมายความว่าไม่มีใครสามารถสอดแนมและอ่านข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้ของเราได้ เว็บไซต์ที่ไม่มีใบรับรอง SSL ตกอยู่ในอันตรายจากการเปิดเผยข้อมูลที่ละเอียดอ่อนของเว็บไซต์โดยไม่เจตนา

ย้อนกลับไปในสมัยก่อน ใบรับรอง SSL มีไว้สำหรับหน้าการชำระเงินหรือพื้นที่ผู้ดูแลระบบ WordPress แต่ตอนนี้ใบรับรอง SSL สามารถช่วยรักษาความปลอดภัยทั้งไซต์ของคุณได้ ในการผลักดันให้เว็บเป็นสถานที่ที่ปลอดภัยยิ่งขึ้น Google ได้ระบุอย่างชัดเจนว่า ใบรับรอง SSL เป็นปัจจัยในการจัดอันดับ คุณสามารถขอใบรับรอง SSL จากผู้ให้บริการเช่น Comodo , Let's Encrypt และโฮสต์เว็บของคุณจะช่วยตั้งค่าใบรับรองบนไซต์ของคุณ

8. บัญชีดำที่อยู่ IP ที่เป็นอันตราย

ทุกคนที่ใช้อินเทอร์เน็ตมีที่อยู่ IP แม้แต่แฮ็กเกอร์ที่โจมตีเว็บไซต์ WordPress ก็มีที่อยู่ IP หากคุณเก็บบันทึกที่อยู่ IP เหล่านี้ไว้ คุณสามารถบล็อกไม่ให้พวกเขาเข้าถึงไซต์ของคุณได้ MalCare – หนึ่งในปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดนำเสนอรายละเอียด (ที่อยู่ IP) ของความพยายามเข้าสู่ระบบที่ล้มเหลวบนเว็บไซต์ หากคุณสังเกตว่ามีความพยายามที่ล้มเหลวจำนวนมากเกิดขึ้นจาก IP เดียวกันเป็นประจำ คุณสามารถบล็อก IP ที่น่าสงสัยเหล่านี้ไม่ให้เข้าถึงเว็บไซต์ของคุณได้เพียงแค่วางรหัสต่อไปนี้ในไฟล์ .htaccess ของเรา:

 คำสั่งอนุญาตปฏิเสธ

ปฏิเสธจาก 192.168.20.10

อนุญาตจากทั้งหมด

“192.168.20.10” คือที่อยู่ IP ที่เราต้องการบล็อกหนึ่งในไซต์ของเรา คุณสามารถแทนที่ด้วย IP ที่คุณต้องการบล็อก

9. เปลี่ยนคีย์ความปลอดภัย

คุณไม่จำเป็นต้องป้อนข้อมูลรับรองการเข้าสู่ระบบทุกครั้งที่ต้องลงชื่อเข้าใช้ไซต์ของคุณ เคยสงสัยหรือไม่ว่าเบราว์เซอร์ของคุณเก็บข้อมูลประจำตัวเหล่านี้ไว้อย่างไร? หลังจากที่คุณลงชื่อเข้าใช้บัญชีของคุณ ข้อมูลการเข้าสู่ระบบของคุณจะถูกจัดเก็บในลักษณะที่เข้ารหัสในคุกกี้ของเบราว์เซอร์ คีย์ความปลอดภัยเป็นเพียงตัวแปรสุ่มที่ช่วยปรับปรุงการเข้ารหัสนี้ หากไซต์ของคุณถูกแฮ็ก การเปลี่ยนรหัสลับจะทำให้คุกกี้ใช้ไม่ได้และบังคับให้ผู้ใช้ที่ใช้งานอยู่ทุกคนต้องออกจากระบบโดยอัตโนมัติ เมื่อถูกโยนออกไป แฮ็กเกอร์จะสูญเสียการเข้าถึงผู้ดูแลระบบ WordPress ของคุณ

ไปยังคุณ

ไม่มีวิธีเดียวในการรักษาความปลอดภัยให้กับผู้ดูแลระบบ WordPress ดังนั้นโปรดใช้หลายวิธี เราได้แชร์วิธีที่ได้รับการแนะนำมากที่สุดในการรักษาความปลอดภัยผู้ดูแลระบบ WordPress ให้กับคุณ แต่ก่อนที่ จะ ใช้วิธีการใดๆ เหล่านี้ คุณต้อง สำรองไซต์ของคุณ หากเกิดข้อผิดพลาด คุณสามารถคืนค่าข้อมูลสำรองและทำให้ไซต์ของเราทำงานได้ทันที

นอกจากนี้ คุณสามารถใช้มาตรการรักษาความปลอดภัยเพิ่มเติมอีกสองสามอย่าง เช่น การบล็อก IP การปกป้องหน้าเข้าสู่ระบบ การรักษาความปลอดภัยไซต์ด้วย wp-config.php ทำตามคำแนะนำฉบับสมบูรณ์เกี่ยวกับความปลอดภัยของ WordPress และโดยการติดตั้งปลั๊กอินความปลอดภัย WordPress เช่น MalCare

MalCare จะช่วยให้คุณใช้มาตรการบางอย่างที่เราได้กล่าวถึงข้างต้น ตัวอย่างเช่น ปลั๊กอิน MalCare Security จะช่วยให้คุณเปลี่ยนคีย์ความปลอดภัย จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลว อัปเดตเว็บไซต์ของคุณอยู่เสมอ เหนือสิ่งอื่นใด

ลองใช้ปลั๊กอิน MalCare Security ทันที!