วิธีป้องกันไซต์ WordPress ของคุณจากการโจมตีด้วยกำลังดุร้าย

เผยแพร่แล้ว: 2022-11-24

แฮ็กเกอร์ใช้วิธีนับไม่ถ้วนเพื่อเข้าควบคุมเว็บไซต์ WordPress การโจมตีที่พบบ่อยที่สุดคือการโจมตีลับๆ การแทรก SQL หรือการโจมตีด้วยกำลังเดรัจฉาน

การโจมตีด้วยกำลังดุร้ายเป็นวิธีที่พบได้บ่อยและง่ายที่สุดในการแฮ็กเว็บไซต์ คุณอาจไม่เคยรู้ว่าคุณเคยตกเป็นเหยื่อของการโจมตีดังกล่าวจนกว่าไซต์ของคุณจะหยุดทำงาน

ในการโจมตีแบบเดรัจฉาน แฮ็กเกอร์สามารถใช้รายการคำที่มีชื่อผู้ใช้และรหัสผ่านหลายพันรายการเพื่อลองใช้ในหน้าเข้าสู่ระบบ WordPress รายการนี้มีชุดค่าผสมทั้งหมดที่เป็นไปได้ในรูปแบบต่างๆ เช่น daniel/11, daniel/12 เป็นต้น

เป็นกระบวนการที่น่าเบื่อ แต่ด้วยความช่วยเหลือของซอฟต์แวร์ จะกลายเป็นเรื่องง่ายมาก ในบางกรณี อาจใช้เวลาไม่กี่วินาทีในการถอดรหัสบัญชีโดยเฉพาะ โดยเฉพาะบัญชีที่อ่อนแอกว่า

จะเป็นอย่างไรถ้าคุณสูญเสียการทำงานอย่างหนักเป็นเวลาหลายปีบนเว็บไซต์ไปชั่วข้ามคืน น่ากลัวใช่มั้ย? คุณไม่ควรเป็นเช่นนั้นเพราะมีวิธีที่ชัดเจนในการปกป้องเว็บไซต์ของคุณ เมื่อปฏิบัติตามพวกเขา คุณมีแนวโน้มที่จะอยู่อย่างปลอดภัย

Brute Force Attack คืออะไร และจะป้องกันได้อย่างไร

การโจมตีแบบเดรัจฉานเป็นวิธีการแฮ็คประเภทหนึ่งที่แฮ็กเกอร์ใช้ซอฟต์แวร์อัตโนมัติเพื่อถอดรหัสข้อมูลรับรองการเข้าสู่ระบบของเว็บไซต์

แฮ็กเกอร์อาจใช้อัลกอริธึมที่ซับซ้อน และเมื่อได้รับชื่อผู้ใช้และรหัสผ่านที่ถูกต้องแล้ว ก็จะสามารถเข้าสู่เว็บไซต์ของคุณได้อย่างง่ายดาย

การโจมตีด้วยกำลังเดรัจฉาน

การโจมตีดังกล่าวอาจมุ่งไปที่บริการประเภทต่างๆ ผู้โจมตีสามารถมุ่งเป้าไปที่บัญชีโซเชียลมีเดียของผู้ใช้ หรือแม้แต่บัญชีธนาคารออนไลน์

อย่างไรก็ตาม การจู่โจมดังกล่าวสามารถกำหนดเป้าหมายไปยังเว็บไซต์ WordPress ได้เช่นกัน หากการโจมตีสำเร็จ ผู้กระทำความผิดอาจทำการแก้ไขโดยไม่ได้ร้องขอหรือทำการยึดครองบัญชี

ประเภทของการโจมตีด้วยกำลังดุร้าย

มีการโจมตีด้วยกำลังดุร้ายที่แตกต่างกันในพื้นที่ดิจิทัล เพื่อปกป้องเว็บไซต์และบัญชีอื่นๆ ของคุณ คุณต้องรู้เกี่ยวกับแต่ละบัญชี

  • การรีไซเคิลข้อมูลประจำตัว:
  • ดังที่คุณทราบ รหัสผ่านบางรหัสถือว่าไม่ปลอดภัย (ใช่ ชุดค่าผสมอย่างเช่น 123456789 อยู่ในนั้น) อย่างไรก็ตาม ไม่ใช่แฮ็กเกอร์เพียงแหล่งเดียวที่สามารถหันไปหา การละเมิดข้อมูลนับสิบครั้งทั่วโลกส่งผลให้ผู้ใช้ตั้งรหัสผ่านจำนวนมาก

    ดังนั้นจึงอาจเป็นแรงบันดาลใจหลักสำหรับการโจมตีด้วยกำลังดุร้าย ตัวอย่างเช่น หากการโจมตีเจาะจงไปที่เว็บไซต์ของคุณ แฮ็กเกอร์อาจพยายามค้นหารหัสผ่านเดิมที่เกี่ยวข้องกับคุณ อาจเป็นรหัสผ่านที่รั่วไหลโดยบริการอื่นโดยสิ้นเชิง อย่างไรก็ตาม สามารถใช้แฮ็กเข้าสู่เว็บไซต์ WordPress ของคุณได้ (หากคุณใช้รหัสผ่านที่รั่วไหลออกมา)

  • การโจมตีพจนานุกรม:
  • แหล่งที่มาหลักสำหรับการโจมตีเหล่านี้คือพจนานุกรม คุณอาจคิดว่าเป็นการฉลาดที่จะใช้คำต่างๆ ผสมกัน อย่างไรก็ตามมันไม่ใช่ แฮ็กเกอร์สามารถใช้พจนานุกรมทั้งหมดและเรียกใช้แต่ละคำ (หรือรวมกัน) ดังนั้น คุณไม่ควรใช้คำในพจนานุกรมเพื่อปกป้องบัญชีใดๆ ของคุณ รวมถึง WordPress

  • ย้อนกลับการโจมตีด้วยกำลังเดรัจฉาน:
  • ในกรณีนี้ การโจมตีมักจะเกิดขึ้นแบบสุ่ม แฮ็กเกอร์ใช้รหัสผ่านยอดนิยมและเรียกใช้ผ่านบัญชีต่างๆ ในบางกรณี ผู้โจมตีเหล่านี้อาจโชคดีและเข้าถึงบัญชีแบบสุ่มได้

    ดังนั้น การโจมตีด้วยกำลังดุร้ายจึงแตกต่างกันไปในแง่ของแหล่งที่มาที่ใช้ ก่อนหน้านี้อาจมีการละเมิดรหัสผ่าน พจนานุกรม หรือรหัสผ่านยอดนิยมที่รู้จัก

เสริมสร้างรหัสผ่านของคุณ

แม้ว่าจะมีวิธีอื่นอีกหลายวิธีในการป้องกันการโจมตีแบบเดรัจฉาน แต่วิธีที่แข็งแกร่งที่สุดคือรหัสผ่านเข้าสู่ระบบของคุณ ตรวจสอบให้แน่ใจว่าคุณตั้งรหัสผ่านเข้าสู่ระบบที่รัดกุม

คำว่าแข็งแกร่งในที่นี้ไม่ได้หมายถึง David1234 หรือ Daniel456 รหัสผ่านดังกล่าวไม่ปลอดภัยอีกต่อไป ด้วยความช่วยเหลือของซอฟต์แวร์อัตโนมัติ สิ่งเหล่านี้สามารถถอดรหัสได้ภายในไม่กี่วินาทีหรือไม่กี่นาที ดังนั้น ตั้งรหัสผ่านที่ตรงตามเงื่อนไขต่อไปนี้:

  • ต้องมีความยาวอย่างน้อย 12 อักขระ
  • ไม่ควรใช้อักขระหรือตัวเลขซ้ำกัน
  • ใช้สัญลักษณ์พิเศษ เช่น @#$%^&*<.>? เป็นต้น
  • การใช้ชื่อ วันเกิด หรือข้อมูลส่วนตัวอื่นใดที่คล้ายคลึงกันเป็นความคิดที่ดีในรหัสผ่าน แฮ็กเกอร์ Brute Force สามารถใช้แฮ็กเข้าบัญชีของคุณได้อย่างง่ายดาย ดังนั้นจึงแนะนำให้ใช้ตัวอักษรพิมพ์ใหญ่ ตัวอักษรพิมพ์เล็ก และอักขระพิเศษหรือตัวเลขผสมกันเสมอ
  • รหัสผ่านที่คุณตั้งไว้สำหรับหน้าเข้าสู่ระบบควรแตกต่างจากที่มีอยู่ในตารางฐานข้อมูลของคุณ ซึ่ง WordPress จะเก็บข้อมูลประจำตัวของผู้ใช้ทั้งหมดของคุณ

แน่นอน คุณอาจรู้สึกสับสนว่าคุณควรจำชุดค่าผสมเหล่านี้อย่างไร โชคดีที่เครื่องมือได้รับการออกแบบมาเพื่อจุดประสงค์นี้โดยเฉพาะ ผู้จัดการรหัสผ่านเป็นส่วนเสริมที่ยอดเยี่ยมสำหรับคลังแสงดิจิทัลของคุณ

พวกเขาเก็บรหัสผ่านของคุณไว้ในสภาพแวดล้อมที่ปลอดภัย สิ่งที่ดีที่สุดคือคุณจะต้องจำรหัสผ่านที่ใช้ในการปลดล็อกตัวจัดการรหัสผ่านเท่านั้น ทุกสิ่งทุกอย่างจะได้รับการปกป้องโดยเครื่องมือที่มีประโยชน์

โพสต์ที่เกี่ยวข้อง: คุณจะปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี DDoS ได้อย่างไร

ไฟร์วอลล์

หากคุณต้องการป้องกันไม่ให้ไซต์ของคุณถูกแฮ็กจากการโจมตีแบบ Brute Force คุณควรพิจารณาใช้ไฟร์วอลล์

มีปลั๊กอินหลายตัวที่สามารถลบที่อยู่ IP ของผู้โจมตีได้ทันทีหลังจากที่ตรวจพบว่าพยายามใช้ข้อมูลประจำตัวที่ไม่ถูกต้อง

นอกเหนือจากนี้ ไฟร์วอลล์ยังสามารถช่วยคุณในการบังคับใช้รหัสผ่านที่รัดกุม เพิ่ม CAPTCHA และการปิดกั้นทางภูมิศาสตร์ ด้วยความช่วยเหลือของไฟร์วอลล์ คุณสามารถขึ้นบัญชีดำ IP ที่น่าสงสัยได้ตลอดกาล หากคุณกำลังมองหาปลั๊กอิน คุณสามารถติดตั้งปลั๊กอินความปลอดภัยของ Wordfence เพื่อรักษาความปลอดภัยเว็บไซต์ของคุณอย่างสมบูรณ์แบบจากการโจมตีแบบเดรัจฉาน

การยืนยันตัวตนแบบ 2 ปัจจัย (2FA)

ในระดับหนึ่ง เป็นที่เข้าใจได้ว่าแฮ็กเกอร์ได้รับรหัสผ่านของคุณ อย่างไรก็ตาม ระดับความปลอดภัยถัดไปนั้นค่อนข้างยากที่จะถอดรหัส การรับรองความถูกต้องด้วยสองปัจจัยเป็นมาตรการรักษาความปลอดภัยที่ไม่สามารถเข้าถึงได้ซึ่งเกี่ยวข้องกับมากกว่ารหัสผ่าน

ทุกวันนี้ รหัสผ่าน (แม้แต่รหัสผ่านที่รัดกุม) คือการป้องกันขั้นต่ำสำหรับบัญชี จำเป็นต้องมีองค์ประกอบที่สามเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตให้ดียิ่งขึ้นไปอีก สำหรับเรื่องนี้ มีการรับรองความถูกต้องด้วยสองปัจจัย!

เมื่อใช้ 2FA แม้ว่าแฮ็กเกอร์จะมีรหัสผ่านของคุณ พวกเขาจะไม่สามารถแฮ็กเว็บไซต์ของคุณได้ เนื่องจากพวกเขาต้องการรหัสเข้าสู่ระบบพิเศษที่รู้จักกันทั่วไปในชื่อ OTP

เมื่อผู้ใช้ป้อนรหัสผู้ใช้และรหัสผ่าน OTP จะถูกส่งไปยังโทรศัพท์หรืออีเมลของผู้ใช้ ซึ่งสามารถเข้าถึงได้โดยผู้ใช้ที่ถูกต้องตามกฎหมายเท่านั้น

ดังนั้น ด้วย 2FA เว็บไซต์ของคุณแทบจะเข้าไม่ได้

จำกัด ความพยายามในการเข้าสู่ระบบ

เหตุผลเดียวที่แฮ็กเกอร์สามารถทำการโจมตีด้วยกำลังเดรัจฉานได้ก็เนื่องมาจากจำนวนครั้งในการเข้าสู่ระบบที่พวกเขามี หากคุณลดจำนวนครั้งในการพยายามเข้าสู่ระบบ ก็จะมีโอกาสเกิด Brute Force Attack น้อยลง

อย่างไรก็ตาม การดำเนินการนี้อาจทำให้คุณไม่สะดวกในอนาคตหากคุณลืมรหัสผ่าน

โพสต์ที่เกี่ยวข้อง: 18+ ปลั๊กอินการลงทะเบียน WordPress ที่ดีที่สุดสำหรับการลงทะเบียนผู้ใช้และการเข้าสู่ระบบ

เปลี่ยน URL ของหน้าเข้าสู่ระบบ

แฮ็กเกอร์เปิดโอกาสเพียงเพราะคุณมอบให้ เว็บไซต์ WordPress ส่วนใหญ่มีองค์ประกอบ URL ของหน้าเข้าสู่ระบบเหมือนกัน เช่น /login, /wp-login.php หรือ /admin เป็นต้น ซึ่งจะทำให้แฮ็กเกอร์มีโอกาสแฮ็กเข้าสู่เว็บไซต์ของคุณโดยไปที่หน้าเว็บและเรียกใช้สคริปต์ .

เพื่อป้องกันสิ่งนี้ คุณสามารถเปลี่ยนแปลง URL ของหน้าเข้าสู่ระบบได้ การทำเช่นนั้นจะซ่อนหน้าเข้าสู่ระบบและทำให้แฮ็กเกอร์เข้าถึงได้ยาก แม้ว่าจะมีบางวิธีที่จะหลีกเลี่ยงสิ่งนี้ แต่มันจะป้องกันเว็บไซต์ของคุณจากการพยายามแฮ็กส่วนใหญ่

ตรวจสอบการละเมิดข้อมูล

ดังที่ได้กล่าวไว้ก่อนหน้านี้ การละเมิดข้อมูลเกิดขึ้นบ่อยกว่าที่เราต้องการ ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องติดตามบริการทั้งหมดที่คุณใช้ หากในบางกรณี ธุรกิจประสบกับการละเมิดข้อมูล คุณควรจะตอบสนองอย่างรวดเร็ว

หนึ่งในแนวทางปฏิบัติแรกคือการเปลี่ยนรหัสผ่านของคุณ อย่ารอช้าเพื่อดูว่าจะมีใครใช้หรือไม่

แน่นอน บริษัทต่างๆ จำเป็นต้องแจ้งให้ผู้ใช้ทราบว่ามีปัญหาด้านความปลอดภัย (การละเมิดข้อมูล) ดังนั้น คอยสังเกตข้อความดังกล่าวและปฏิบัติตามแนวทางของพวกเขา

เปลี่ยนรหัสผ่านของคุณเป็นประจำ

ไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทุกคนอาจเห็นด้วยกับคำแนะนำนี้ หากรหัสผ่านนั้นรัดกุมและไม่ถูกเปิดเผย อาจไม่มีเหตุผลที่จะต้องเปลี่ยนรหัสผ่าน อย่างไรก็ตาม การเปลี่ยนรหัสผ่านบ่อยๆ อาจทำให้การปกป้องบัญชีของคุณง่ายขึ้น

ตัวอย่างเช่น หากรหัสผ่านถูกบุกรุก เวลาที่ผู้โจมตียังคงอยู่ในบัญชีที่ถูกแฮ็กก็จะสั้นลง

อย่างไรก็ตาม โปรดทราบว่าการเปลี่ยนรหัสผ่านของคุณไม่ได้หมายถึงการเลือกรหัสผ่านที่อ่อนแอกว่า ชุดค่าผสมของคุณควรจะแข็งแกร่งพอๆ กัน ถ้าไม่มากกว่านั้น เป็นหนึ่งในข้อบกพร่องที่นักวิจัยด้านความปลอดภัยในโลกไซเบอร์กล่าวถึงเมื่อพูดถึงการเปลี่ยนรหัสผ่านบ่อยๆ

คำสุดท้าย
เว็บไซต์ที่ดีอาจใช้เวลาหลายเดือนในการพัฒนา และหากคุณไม่ระมัดระวังพอ การทำงานหนักทั้งหมดของคุณอาจหมดลงภายในไม่กี่นาที เพื่อให้แน่ใจว่าคุณจะไม่ตกเป็นเหยื่อของการโจมตีแบบเดรัจฉาน คอยอัปเดตเว็บไซต์ WordPress ของคุณและปฏิบัติตามแนวทางที่กล่าวมาทั้งหมดอย่างเคร่งครัด

นอกจากนี้ เพื่อให้แน่ใจว่าแฮ็กเกอร์จะไม่ขโมยข้อมูลอันมีค่าของคุณ ให้ดาวน์โหลดแอป VPN รับประกันได้ว่าทุกสิ่งที่คุณทำทางออนไลน์จะได้รับการเข้ารหัส ดังนั้น แม้ว่าคุณจะเชื่อมต่อกับเครือข่ายที่ไม่ปลอดภัย ข้อมูลของคุณจะยังคงได้รับการเข้ารหัสที่เหมาะสม และหากคุณจัดการเว็บไซต์ WordPress คุณน่าจะทำงานร่วมกับเพื่อนร่วมงานหลายคน

โปรดเลือกเครื่องมือการทำงานร่วมกันที่ปลอดภัยและสภาพแวดล้อมที่มีประสิทธิภาพสำหรับการแลกเปลี่ยนข้อมูล ด้วยการป้องกันเช่นนี้ การโจมตีด้วยกำลังเดรัจฉานหรือความพยายามที่จะสกัดกั้นการเชื่อมต่อของคุณควรไร้ประโยชน์!