วิธีบล็อกความพยายามเข้าสู่ระบบที่ล้มเหลวบน WordPress

การเข้าสู่ระบบที่ล้มเหลวอาจเกิดขึ้นได้จากหลายสาเหตุ บ่อยครั้ง เป็นเพียงผลลัพธ์ของผู้ใช้ที่ลืมรหัสผ่านอย่างแท้จริง มันเกิดขึ้นกับสิ่งที่ดีที่สุดของเราเพื่อที่เราจะได้ไม่ตัดสินอย่างรุนแรงเกินไป อย่างไรก็ตาม ในบางครั้ง อาจมีบางสิ่งที่ร้ายแรงกว่านั้นเกิดขึ้น – มีคนพยายามบุกรุก

ศาสตร์แห่งการแก้ไขปัญหาการเข้าสู่ระบบล้มเหลว

เช่นเดียวกับปัญหาอื่น ๆ ของ WordPress การแก้ไขปัญหา (หรือที่รู้จักในประเด็นนี้) เป็นขั้นตอนแรกที่เราต้องดำเนินการ วิธีนี้จะช่วยให้แน่ใจว่าเรากำลังจัดการกับปัญหาจริง ไม่ใช่อาการของปัญหา โชคดีที่มีวิธีง่ายๆ ในการเริ่มกระบวนการนี้ – ดูข้อมูล โดยพื้นฐานแล้ว คุณควรเห็นสิ่งใดสิ่งหนึ่งจากสองสิ่งต่อไปนี้:

• ชื่อผู้ใช้และรหัสผ่านไม่ถูกต้อง

ชื่อผู้ใช้และรหัสผ่านไม่ถูกต้องอาจเกิดขึ้นได้จากสองสาเหตุ อาจมีบางคนหรือบางสิ่งบางอย่างกำลังพยายามเดาชื่อผู้ใช้/รหัสผ่านเพื่อเข้าถึง หรือว่าเป็นการโจมตีแบบกำหนดเป้าหมาย ในกรณีของตัวเลือกแรก นี่เป็นเรื่องปกติธรรมดา มิฉะนั้น อาจเป็นการโจมตีแบบกำหนดเป้าหมายบนเว็บไซต์ของคุณเพื่อเข้าถึงหรือใช้งานเว็บไซต์ของคุณมากเกินไป (DoS/DDoS)

• ชื่อผู้ใช้ที่ถูกต้องและรหัสผ่านไม่ถูกต้อง

ชื่อผู้ใช้ที่ถูกต้องและรหัสผ่านที่ไม่ถูกต้องอาจหมายถึงหนึ่งในสองสิ่ง ไม่ว่าจะเป็นกรณีจริงที่มีคนลืมรหัสผ่าน หรือมีคนค้นพบชื่อผู้ใช้จริงที่ลงทะเบียนบน WordPress ของคุณและตอนนี้กำลังพยายามเดารหัสผ่าน

อีกสิ่งหนึ่งที่คุณควรจำไว้ดูคือความถี่ ความพยายามจำนวนมากในช่วงเวลาสั้น ๆ มักเป็นสัญญาณของการโจมตีอัตโนมัติ ในทางกลับกัน ไทม์ไลน์ที่ช้าและไม่สม่ำเสมอเป็นสัญญาณบอกเล่าของคนที่ยังไม่ได้ดื่มกาแฟ

อันตรายจากการพยายามเข้าสู่ระบบล้มเหลวมากเกินไป

การโจมตีโดยเดารหัสผ่านค่อนข้างแพร่หลาย การพยายามเข้าสู่ระบบ WordPress ที่ล้มเหลวมากเกินไปมักบ่งบอกถึงการโจมตีประเภทนี้ หากไม่มีวิธีจัดการ คุณอาจปล่อยให้ไซต์ของคุณเปิดกว้างต่อการโจมตีและการหยุดชะงัก โชคดีที่การจัดการความเสี่ยงนี้ทำได้ง่ายมากและต้องใช้ความพยายามในการบริหารเพียงเล็กน้อย

WordPress ไม่มีฟังก์ชันใดๆ ในการจำกัดหรือดำเนินการหลีกเลี่ยงเมื่อมีการพยายามเข้าสู่ระบบที่ล้มเหลว ผู้ใช้สามารถลองใช้โฆษณาที่คลื่นไส้ได้จนกว่าจะถูกต้อง แม้ว่าการให้โอกาสพิเศษแก่ผู้คนนั้นสามารถโต้แย้งได้ว่าเป็นสิ่งที่ต้องทำตามหลักจริยธรรม แต่การจำกัดขอบเขตและการควบคุมสามารถช่วยรับรองความปลอดภัยและความสมบูรณ์ของเว็บไซต์ WordPress ของคุณได้

วิธีป้องกันการพยายามเข้าสู่ระบบที่ล้มเหลวบน WordPress

การใช้นโยบายการเข้าสู่ระบบที่ล้มเหลวของ WordPress ทำได้ง่ายกว่าเสียง มีสองตัวเลือกหลักให้เลือกซึ่งตอนนี้เราจะพูดถึง

จำกัดการเข้าสู่ระบบล้มเหลวด้วยตนเอง

หากคุณต้องการจำกัดการเข้าสู่ระบบที่ล้มเหลวของ WordPress โดยไม่ต้องใช้ปลั๊กอิน คุณสามารถแก้ไขไฟล์ function.php ของธีมที่ใช้งานอยู่และเพิ่มโค้ดที่เกี่ยวข้อง มีหลายวิธีในการเพิ่มโค้ดที่กำหนดเองลงในเว็บไซต์ WordPress; อย่างไรก็ตาม สิ่งนี้ต้องการความเข้าใจที่ดีเกี่ยวกับ PHP และวิธีการทำงานของ WordPress

ติดตั้งปลั๊กอิน

มีอีกตัวเลือกหนึ่งที่ใช้งานได้จริงที่สุด – ใช้ปลั๊กอิน ปลั๊กอินมีรูปร่างและขนาดทั้งหมด รวมถึงปลั๊กอินที่จำกัดความพยายามในการเข้าสู่ระบบ และปลั๊กอินที่อนุญาตให้คุณบังคับใช้นโยบายการรักษาความปลอดภัยรหัสผ่านบน WordPress เพื่อการควบคุมและความปลอดภัยที่เข้มงวดยิ่งขึ้น

WPassword เป็นหนึ่งในปลั๊กอิน WordPress ดังกล่าว ช่วยให้ผู้ดูแลระบบสามารถควบคุมวิธีการใช้และจัดการรหัสผ่านบนเว็บไซต์ WordPress ของตนได้ดียิ่งขึ้น ซึ่งรวมถึงความสามารถในการตั้งค่านโยบายที่เกี่ยวข้องกับการพยายามเข้าสู่ระบบที่ล้มเหลวอย่างชัดเจน รวมถึงคุณลักษณะอื่นๆ อีกมากมาย

สิ่งอื่น ๆ ที่ต้องพิจารณา

อีกทางเลือกหนึ่งที่น่ากล่าวถึงคือ CAPTCHA ปลั๊กอินเช่น Advanced noCaptcha และ Captcha ที่มองไม่เห็นนั้นยอดเยี่ยมในการช่วยคุณหยุดการโจมตีอัตโนมัติ เนื่องจากต้องกรอก CAPTCHA ให้เสร็จก่อนที่จะพยายามบันทึก บอทที่อยู่เบื้องหลังการโจมตีดังกล่าวจึงไม่ผ่านการทดสอบและจะไม่พยายามเข้าสู่ระบบเพียงครั้งเดียว

อีกทางเลือกหนึ่งที่มักจะเกิดขึ้นในการสนทนาเกี่ยวกับนโยบายการเข้าสู่ระบบที่ล้มเหลวคือการบล็อก IP ด้วยตัวเลือกนี้ IP ที่ละเมิดจะถูกขึ้นบัญชีดำ ป้องกันไม่ให้เข้าถึงเว็บไซต์ของคุณตั้งแต่แรก แม้ว่าสิ่งนี้จะถูกต้องในทางเทคนิค แต่ผู้มุ่งร้ายที่แฝงตัวอยู่ก็สามารถใช้ IP อื่นได้ ซึ่งพวกเขาสามารถทำได้อย่างง่ายดาย ด้วยเหตุนี้ กลยุทธ์ในการบล็อก IP มักจะกลายเป็นเกมแมวและเมาส์

ทางเลือกหนึ่งที่ดีกว่าคือการใช้ CDN (Content Delivery Network) และให้พวกเขาจัดการกับการบล็อก IP ที่ละเมิด นี้สามารถประหยัดเวลาอันมีค่าของคุณ ซึ่งคุณสามารถลงทุนในสิ่งที่มีประสิทธิผล

วิธีการออกแบบนโยบายการเข้าสู่ระบบ WordPress ที่ล้มเหลว

ก่อนที่เราจะเริ่มบังคับใช้นโยบายการเข้าสู่ระบบที่ล้มเหลวบนเว็บไซต์ WordPress มีบางสิ่งที่เราต้องคำนึงถึง เช่นเดียวกับปัญหาด้านความปลอดภัยอื่นๆ การจัดการความพยายามในการเข้าสู่ระบบที่ล้มเหลวได้รับผลกระทบจากความขัดแย้งด้านความปลอดภัย/ความสามารถในการใช้งาน ยิ่งของมีความปลอดภัยมากเท่าไร ก็ยิ่งใช้งานได้น้อยลงเท่านั้น กลับเป็นจริงอย่างเท่าเทียมกัน การไม่อนุญาตให้ใครเข้าสู่ระบบมีความปลอดภัยสูงแต่ใช้งานยาก การให้โอกาสผู้ใช้ในการบันทึกอย่างไม่จำกัดอาจทำให้ความปลอดภัยลดลงแต่เพิ่มความสามารถในการใช้งาน

สิ่งที่คุณต้องเข้าใจคือคุณเต็มใจที่จะให้ผู้ใช้ของคุณมีเวลาเหลือเฟือมากน้อยเพียงใด ตามเนื้อผ้า การพยายามสามครั้งถือว่าเพียงพอและสมเหตุสมผล บางคนไม่เห็นด้วยกับแนวคิดนี้และพยายามเข้าสู่ระบบสูงสุดที่อนุญาตไว้ที่สิบครั้ง ไม่ว่าจะด้วยวิธีใด การพยายามเข้าสู่ระบบแบบไม่จำกัดนั้นไม่ใช่กลยุทธ์ที่ดีและอาจมีผลสะท้อนในทางลบ

ความจริงของเรื่องคือไม่มีคำตอบที่ถูกหรือผิด สามเป็นตัวเลขที่ปลอดภัย แต่จะเพิ่มค่าใช้จ่ายในการบริหาร สิบคนอาจมีค่าโสหุ้ยในการบริหารที่ต่ำกว่า แต่มีความเสี่ยงมากกว่า

ดังนั้น คุณอาจต้องการเริ่มต้นด้วยการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบเป็นสามครั้ง จากนั้นจึงประเมินสถานการณ์ เมื่อใช้ WPassword การเปลี่ยนหมายเลขนี้ทำได้ง่ายมาก ดังนั้น คุณสามารถปรับนโยบายให้เข้ากับผู้ใช้และสถานการณ์ของคุณได้อย่างง่ายดาย

จะเป็นการดีที่สุดหากคุณคิดว่าจะเกิดอะไรขึ้นเมื่อบัญชีถูกล็อค บัญชีควรปลดล็อกโดยอัตโนมัติหลังจากกรอบเวลาที่กำหนดไว้ล่วงหน้า หรือผู้ดูแลระบบควรปลดล็อกด้วยตนเองหรือไม่ คำถามนี้ประสบปัญหาเดิม: คุณต้องตัดสินใจระหว่างการใช้งานและความปลอดภัย สิ่งสำคัญอีกประการหนึ่งที่อาจส่งผลต่อส่วนนี้ของนโยบายคือตำแหน่งของผู้ใช้ของคุณ หากมีคนเข้าสู่ระบบจากอีกฟากหนึ่งของโลก คุณยินดีที่จะตื่นตอนตีสองเพื่อปลดล็อกบัญชีหรือไม่? และหากไม่เป็นเช่นนั้น ผู้ใช้ควรรอนานเท่าใดจึงจะเข้าสู่ระบบได้อีกครั้ง สิ่งนี้จะส่งผลกระทบต่อประสิทธิภาพการทำงานหรือผลกำไรของคุณหรือไม่?

การเลือกปลั๊กอินที่เหมาะสม (และนโยบาย) เพื่อจัดการการเข้าสู่ระบบ WordPress ที่ล้มเหลว

เมื่อคุณเข้าใจแล้วว่าคุณต้องการให้รหัสผ่านและนโยบายการเข้าสู่ระบบที่ล้มเหลวเป็นอย่างไร คุณต้องเริ่มดำเนินการใช้งาน ก่อนหน้านี้เราได้กล่าวถึง WPassword ว่าเป็นผู้สมัครหลัก มีตัวเลือกการกำหนดค่ามากมาย ช่วยให้คุณมีเวลาเหลือเฟือในการกำหนดค่าและใช้นโยบายรหัสผ่านของคุณ

เมื่อคุณเปิดใช้งานนโยบายการเข้าสู่ระบบที่ล้มเหลวสำหรับ WordPress คุณสามารถเลือกจำนวนครั้งที่ผู้ใช้ทำก่อนที่บัญชีจะถูกล็อค คุณยังสามารถตัดสินใจได้ว่าปลดล็อคอย่างไร และคุณต้องการบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านหรือไม่ ดังที่อธิบายไว้ด้านล่าง

ขั้นตอนที่ 1: ติดตั้งและเปิดใช้งาน WPassword

การติดตั้ง WPassword เป็นเรื่องง่าย คุณสามารถดาวน์โหลดปลั๊กอินความปลอดภัยรหัสผ่านได้โดยตรงจากเว็บไซต์ของ WP White Security แล้วอัปโหลดไปยังเว็บไซต์ WordPress ของคุณ

เมื่อคุณติดตั้งปลั๊กอินแล้ว ให้คลิกที่ ปลั๊กอิน จากเมนูด้านข้างของ WordPress ค้นหาปลั๊กอิน แล้วคลิก เปิดใช้งาน สิ่งนี้จะเพิ่มตัวเลือกเมนูใหม่ที่เรียกว่า นโยบายรหัสผ่าน ซึ่งคุณต้องคลิก

ขั้นตอนที่ 2: เปิดใช้งานนโยบายการเข้าสู่ระบบที่ล้มเหลว

ทำเครื่องหมายที่ช่องถัดจาก เปิดใช้งานนโยบายการเข้าสู่ระบบที่ล้มเหลว เพื่อจำกัดการพยายามเข้าสู่ระบบที่ล้มเหลวบนเว็บไซต์ WordPress ของคุณ ป้อนจำนวนครั้งในการเข้าสู่ระบบที่ล้มเหลวก่อนที่จะล็อกผู้ใช้ โดยโดยทั่วไป 3 - 5 ครั้งถือเป็นการเริ่มต้นที่ดี

ตัวเลือกการกำหนดค่าอื่น ๆ รวมถึงสิ่งที่เกิดขึ้นเมื่อบัญชีถูกล็อคและผู้ใช้ที่ถูกบล็อกจำเป็นต้องรีเซ็ตรหัสผ่านเมื่อเลิกบล็อกหรือไม่ อ้างถึงบทความฐานความรู้เกี่ยวกับนโยบายการเข้าสู่ระบบที่ล้มเหลวของ WordPress สำหรับข้อมูลเพิ่มเติม

ขั้นตอนที่ 3: ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม

แคปต์ชา

นอกจากนี้เรายังได้สัมผัสกับ CAPTCHA ซึ่งเป็นการทดสอบที่แพร่หลายในการเข้าสู่ระบบและรูปแบบต่างๆ มากมายที่ออกแบบมาเพื่อให้มนุษย์ผ่านเข้าไปในขณะที่หยุดบอทและการโจมตีอัตโนมัติรูปแบบอื่นๆ ปลั๊กอินเช่น Advanced no Captcha และ Captcha ที่มองไม่เห็นทำให้การใช้งานการทดสอบดังกล่าวเป็นเรื่องง่ายสุด ๆ ในขณะที่นำเสนอความเข้ากันได้สากลและการสนับสนุนสำหรับเวอร์ชันต่างๆ

การรับรองความถูกต้องด้วยสองปัจจัย

ในการเพิ่มความปลอดภัยของกระบวนการเข้าสู่ระบบ การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นสิ่งที่ต้องมี ผ่านกระบวนการนี้ ผู้ใช้จำเป็นต้องตรวจสอบสิทธิ์เป็นครั้งที่สองโดยป้อนรหัสผ่านแบบใช้ครั้งเดียวที่ให้ผ่านสมาร์ทโฟนของตน ด้วยการใช้ 2FA ซึ่งคุณสามารถทำได้ง่ายๆ ผ่านปลั๊กอิน เช่น WP 2FA คุณสามารถมั่นใจได้ว่าแม้ว่ารหัสผ่านจะถูกบุกรุก เว้นแต่บุคคลนั้นมีโทรศัพท์ที่เชื่อมโยงกับบัญชีผู้ใช้นั้น พวกเขาจะไม่สามารถเข้าสู่ระบบได้

ขั้นตอนที่ 4: ก้าวไปอีกขั้น (ไม่บังคับ)

ด้วยรหัสผ่านและนโยบายการเข้าสู่ระบบที่ล้มเหลว CAPTCHA และการตรวจสอบสิทธิ์แบบสองปัจจัย คุณควรจะได้รับการคุ้มครองอย่างดี

อย่างไรก็ตาม หากเว็บไซต์ของคุณยังคงประสบปัญหาการพยายามเข้าสู่ระบบที่ล้มเหลวจำนวนมาก คุณควรพิจารณาใช้บริการ CDN คุณอาจต้องการพูดคุยกับผู้ให้บริการเว็บโฮสติ้งเพื่อช่วยคุณในการติดตั้งโซลูชันที่เหมาะสมกับการโจมตีในวงกว้าง

การรักษาความปลอดภัยรหัสผ่าน WordPress ต้องใช้แนวทางแบบ 360 องศา

ดังที่เราเห็นในบทความแล้ว ปัจจัยหลายประการที่ต้องพิจารณาเมื่อนำนโยบายรหัสผ่านไปใช้ แม้ว่าการบล็อกการเข้าสู่ระบบ WordPress ที่ล้มเหลวเป็นขั้นตอนแรกที่ดี (และเป็นขั้นตอนที่จำเป็นในนั้น) ด้วยวิธีการ 360 คุณก็จะปลอดภัยมากขึ้น สิ่งนี้ไม่เพียงแค่ช่วยให้คุณครอบคลุมฐานทั้งหมดของคุณ แต่ยังช่วยให้คุณสร้างความไว้วางใจและความมั่นใจให้กับเว็บไซต์ WordPress ของคุณอีกด้วย

วิธีการแบบ 360 องศาจะพิจารณาปัจจัยหลายประการ รวมถึงปลั๊กอินและธีม โฮสติ้ง TLS แกน WordPress และอื่นๆ ด้วยวิธีนี้ คุณจะมั่นใจได้ว่าการรักษาความปลอดภัยของ WordPress อยู่ในระดับสูงสุด