ความปลอดภัยในการเข้าสู่ระบบ WordPress: 5 ขั้นตอนง่าย ๆ ในการรักษาความปลอดภัยหน้าเข้าสู่ระบบของคุณ
เผยแพร่แล้ว: 2021-10-20สงสัยว่าคุณควรกังวลเกี่ยวกับความปลอดภัยในการเข้าสู่ระบบ WordPress หรือไม่?
WordPress เป็น CMS ที่ได้รับความนิยมมากที่สุดในโลก เพราะสร้างเว็บไซต์ได้ง่ายมาก แม้ว่าจะเป็น CMS ฟรี แต่ก็มีราคาที่ต้องจ่าย WordPress สามารถคาดเดาได้อย่างมาก ซึ่งบางครั้งทำให้เป็นเป้าหมายที่ง่าย
ใช้ตัวอย่างเช่นหน้าเข้าสู่ระบบ
เว็บไซต์ WordPress ทุกแห่งมีหน้าเข้าสู่ระบบเดียวกัน (/wp-admin.com หรือ /wp-login.php) รวมความสามารถในการคาดเดาเข้ากับความชอบของมนุษย์ในการใช้ข้อมูลประจำตัวที่อ่อนแอ และหน้าเว็บจะกลายเป็นเป้าหมายที่เย้ายวนใจสำหรับแฮ็กเกอร์
ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าหน้าเข้าสู่ระบบเป็นหน้าที่เสี่ยงที่สุดบนเว็บไซต์ ทุกวัน แฮกเกอร์ปรับใช้บอทเพื่อโจมตีด้วยกำลังเดรัจฉานบนหน้านั้น ด้วยการค้นหาข้อมูลรับรองการเข้าสู่ระบบของคุณ พวกเขาสามารถเข้าถึง CMS ของคุณได้อย่างง่ายดาย ดังนั้น คุณต้องทำทุกอย่างเพื่อปกป้องมันจากแขกที่ไม่ได้รับเชิญเหล่านี้
ในบทความนี้ เราจะแสดงวิธีการขั้นสูง 5 วิธีในการปรับปรุงความปลอดภัยในการเข้าสู่ระบบ WordPress และป้องกันการถูกแฮ็ก
วิธีรักษาความปลอดภัยหน้าเข้าสู่ระบบ WordPress ในปี 2022
มีคำแนะนำที่ไม่ดีมากมายเกี่ยวกับความปลอดภัยทางไซเบอร์ ส่วนใหญ่มีจุดมุ่งหมายเพื่อผลักดันให้ผู้คนตกอยู่ในความกลัวและทำให้พวกเขายอมแพ้ต่อทางเลือกที่บีบบังคับ แทนที่จะเพิ่มเสียงรบกวน ในบทความนี้ เราจะแสดงวิธีการที่ใช้ได้ผลจริง นั่นคือ:
- เปลี่ยน URL หน้าเข้าสู่ระบบ
- ใช้การรับรองความถูกต้องด้วยสองปัจจัย
- จำกัดการพยายามเข้าสู่ระบบที่ล้มเหลว
- ป้องกันการค้นพบชื่อผู้ใช้
- ใช้ออกจากระบบอัตโนมัติ
คุณต้องสังเกตว่าเราไม่ได้รวมการบังคับใช้รหัสผ่านที่รัดกุมและการติดตั้งใบรับรอง SSL นั่นเป็นเพราะมันเป็นสิ่งที่ให้ เราหวังว่าคุณจะใช้สิ่งเหล่านั้นอยู่แล้ว ดูคำแนะนำอื่น ๆ ของเราเกี่ยวกับวิธีการทำสิ่งนั้นให้สำเร็จ
หมายเหตุ: ในการดำเนินการตามมาตรการที่เราได้กล่าวไว้ด้านล่างนี้ คุณจะต้องติดตั้งปลั๊กอินหรือสองปลั๊กอิน และเราทราบดีว่าแม้แต่ปลั๊กอินที่ดีที่สุดก็สามารถทำให้เกิดปัญหาได้ ดังนั้นควรสำรองข้อมูลเว็บไซต์ของคุณก่อนที่จะดำเนินการต่อไป
เริ่มกันเลย:
1. เปลี่ยน URL หน้าเข้าสู่ระบบ
ดังที่เราได้กล่าวไว้ในตอนต้นของบทความ หน้าเข้าสู่ระบบ WordPress เริ่มต้นจะมีลักษณะดังนี้:
-
www.website.com/wp-admin/ -
www.website.com/wp-login.php/
ทุกคนรู้ดี รวมถึงแฮกเกอร์ที่ออกแบบบอทที่กำหนดเป้าหมายหน้าเข้าสู่ระบบ WordPress และเนื่องจาก 59% ของชาวอเมริกัน [1] ใช้รหัสผ่านที่ไม่รัดกุม การแฮ็คเว็บไซต์จึงง่ายเกินไปโดย การบังคับหน้าล็อกอิน
วิธีหนึ่งในการปกป้องหน้าเข้าสู่ระบบของคุณคือการเปลี่ยน URL
การสร้าง URL หน้าเข้าสู่ระบบที่กำหนดเองใหม่นั้นเป็นเรื่องง่าย มีปลั๊กอินจำนวนมากที่ให้คุณทำสิ่งนี้ได้ในไม่กี่คลิก
เราจะใช้ปลั๊กอิน WPS Hide Login เพื่อสาธิตกระบวนการนี้ แต่ถ้าคุณต้องการปลั๊กอินอื่น ๆ ให้ดำเนินการทันที ขั้นตอนจะง่ายและรวดเร็วไม่แพ้กัน
วิธีเปลี่ยน URL ล็อกอิน WordPress ของคุณ
ติดตั้งและเปิดใช้งาน WPS ซ่อนการเข้าสู่ระบบ ไปที่ การตั้งค่า → WPS ซ่อนการเข้าสู่ระบบ
เลื่อนลงไปที่ด้านล่างของหน้า แทรก URL ใหม่ในส่วน URL การเข้าสู่ระบบ แล้วกด บันทึกการเปลี่ยนแปลง
ลองเข้าสู่ระบบด้วย URL ใหม่ อย่าลืมแบ่งปันกับเพื่อนร่วมทีมของคุณ
หากคุณต้องการความช่วยเหลือ นี่คือคำแนะนำเฉพาะของเรา: วิธีเปลี่ยน URL หน้าเข้าสู่ระบบ WordPress ของคุณ
2. ใช้การรับรองความถูกต้องด้วยสองปัจจัย
คุณต้องมีการตรวจสอบสิทธิ์แบบสองปัจจัยในขณะที่ใช้ Facebook และ Gmail โดยทั่วไป บริการจะส่งรหัสเฉพาะไปยังหมายเลขโทรศัพท์มือถือที่ลงทะเบียนไว้ทุกครั้งที่คุณพยายามลงชื่อเข้าใช้บัญชีของคุณ มาตรการรักษาความปลอดภัยนี้ดำเนินการเพื่อให้แน่ใจว่ามีเพียงเจ้าของบัญชีเท่านั้นที่สามารถเข้าถึงได้ แม้ว่าแฮกเกอร์จะได้รับข้อมูลประจำตัวของคุณ แต่ก็ไม่มีทางที่พวกเขาจะสามารถขโมยรหัสเฉพาะที่ส่งไปยังหมายเลขโทรศัพท์มือถือที่ลงทะเบียนของคุณ
การรับรองความถูกต้องด้วยสองปัจจัยสามารถนำไปใช้กับเว็บไซต์ WordPress ของคุณได้ จะเพิ่มชั้นการรักษาความปลอดภัยให้กับหน้าเข้าสู่ระบบ สิ่งที่คุณต้องทำคือติดตั้งปลั๊กอินใดๆ ต่อไปนี้:
- Google Authenticator ของ miniOrange
- Google Authenticator – การตรวจสอบสิทธิ์สองปัจจัย (2FA)
- WP 2FA โดย WP White Security
การตั้งค่าปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัยนั้นง่ายมาก เราจะใช้ Google Authenticator ของ miniOrange เพื่อแสดงขั้นตอนการตั้งค่า
วิธีการใช้การรับรองความถูกต้องด้วยสองปัจจัย
ติดตั้ง Google Authenticator ของ miniOrange ในหน้าเข้าสู่ระบบ WordPress ของคุณ ทันทีที่คุณเปิดใช้งานปลั๊กอิน วิดเจ็ตการตั้งค่าจะปรากฏขึ้น เลือกตัวเลือกแรก เช่น Google Authenticator
ถัดไป ดาวน์โหลดแอป Google Authenticator บนสมาร์ทโฟนของคุณ เปิดแอพและ สแกนรหัส QR
แอพสร้าง รหัส ป้อนลงในวิดเจ็ตการตั้งค่าแล้วกด บันทึก
ความปลอดภัยในการเข้าสู่ระบบ 2FA WordPress เปิดใช้งานบนหน้าเข้าสู่ระบบของคุณแล้ว
3. จำกัดการพยายามเข้าสู่ระบบที่ล้มเหลว
WordPress อนุญาตให้ผู้ใช้พยายามเข้าสู่ระบบได้ไม่จำกัด นี่อาจฟังดูไม่เป็นอันตราย แต่ตามจริงแล้ว มันเป็นช่องโหว่ด้านความปลอดภัยที่เห็นได้ชัด
ความพยายามในการเข้าสู่ระบบแบบไม่จำกัดทำให้แฮกเกอร์สามารถโจมตีด้วยกำลังเดรัจฉาน ในการโจมตีประเภทนี้ แฮกเกอร์จะปรับใช้บอทเพื่อค้นหาชื่อผู้ใช้และรหัสผ่านที่เหมาะสม บอทล้มเหลวหลายครั้งก่อนที่จะลองตรวจสอบข้อมูลประจำตัวที่ถูกต้อง วิธีที่มีประสิทธิภาพที่สุดวิธีหนึ่งในการตอบโต้การโจมตีของบอทคือการจำกัดความพยายามในการเข้าสู่ระบบ
ปลั๊กอินด้านล่างจะช่วยให้คุณทำสิ่งนี้ได้:
- จำกัดการพยายามเข้าสู่ระบบโหลดซ้ำ
- การเข้าสู่ระบบจำกัด WPS
- WP จำกัด ความพยายามในการเข้าสู่ระบบโดย Arshid
วิธี จำกัด การพยายามเข้าสู่ระบบที่ล้มเหลว
ติดตั้งปลั๊กอินแล้วไปที่ จำกัดความพยายามในการเข้าสู่ระบบ → การตั้งค่า → แอพใน เครื่อง ที่นี่คุณสามารถกำหนดจำนวนครั้งในการพยายามเข้าสู่ระบบบนเว็บไซต์ของคุณ และนานแค่ไหนที่บางคนจะถูกล็อกไม่ให้เข้าระบบหลังจากพยายามเข้าสู่ระบบตามจำนวนดังกล่าว
4. ป้องกันการค้นพบชื่อผู้ใช้
โดยปกติ ชื่อผู้ใช้จะถือว่ามีความสำคัญน้อยกว่ารหัสผ่าน เป็นบันทึกที่เปิดเผยต่อสาธารณะ และด้วยเหตุนี้เราจึงถือว่าบันทึกนั้นมีมูลค่าต่ำ ไม่จริง.
ชื่อผู้ใช้ทำให้ข้อมูลประจำตัวของคุณครึ่งหนึ่ง จะต้องมีการป้องกันเช่นเดียวกับรหัสผ่าน
บนเว็บไซต์ WordPress คุณจะพบชื่อผู้ใช้ที่แสดงบนบทความและที่เก็บถาวรของผู้เขียน โชคดีที่มีวิธีปิดการใช้งานทั้งคู่
วิธีปิดการใช้งานที่เก็บถาวรของผู้เขียน
ซึ่งสามารถทำได้ด้วยความช่วยเหลือของปลั๊กอิน SEO ในบทช่วยสอนด้านล่าง เราใช้ Yoast SEO เพื่อแสดง
ไปที่ SEO → ลักษณะที่ปรากฏของการค้นหา → คลังข้อมูล จากนั้นปิดใช้งานคลังข้อมูลผู้แต่ง กด บันทึกการเปลี่ยนแปลง
วิธีเปลี่ยนชื่อที่แสดง
ชื่อที่แสดงจะปรากฏในบทความและความคิดเห็นที่เผยแพร่ โดยค่าเริ่มต้น ชื่อที่แสดงและชื่อผู้ใช้ (ชื่อที่คุณใช้เข้าสู่ระบบ) จะเหมือนกัน เพื่อป้องกันการค้นหาชื่อผู้ใช้ คุณสามารถเปลี่ยนชื่อที่แสดงเป็นอย่างอื่นได้
ไปที่ ผู้ใช้ → โปรไฟล์ → ชื่อเล่น คุณไม่สามารถเปลี่ยนชื่อที่แสดงได้โดยตรง ให้เปลี่ยนชื่อเล่นแทน จากนั้นเลือก ชื่อเล่นใหม่ จากเมนูแบบเลื่อนลงด้านล่าง
5. ออกจากระบบอัตโนมัติ
ออกจากระบบอัตโนมัติปกป้องเว็บไซต์จากการสอดแนม เมื่อผู้ใช้ออกจากเซสชันโดยไม่มีใครดูแล การล็อกเอาต์อัตโนมัติจะสิ้นสุดเซสชัน ปกป้องเว็บไซต์
พฤติกรรมเริ่มต้นของ WordPress คือการออกจากระบบผู้ใช้ 48 ชั่วโมงหลังจากคุกกี้เซสชันการเข้าสู่ระบบหมดอายุ และหากผู้ใช้เลือกช่อง "จดจำฉัน" คุณจะอยู่ในระบบเป็นเวลา 14 วัน หากต้องการยุติเซสชันเนื่องจากไม่มีการใช้งานเพียงเล็กน้อย คุณต้องติดตั้งปลั๊กอินแยกต่างหาก
ปลั๊กอินด้านล่างช่วยให้คุณออกจากระบบอัตโนมัติเพื่อสิ้นสุดเซสชันผู้ใช้ที่ไม่ได้ใช้งาน:
- ออกจากระบบที่ไม่ได้ใช้งาน
- ความปลอดภัยของ iThemes
วิธีเปิดใช้งานการล็อกเอาต์อัตโนมัติ
เปิดใช้งานปลั๊กอินแล้วไปที่การ ตั้งค่า → ออกจากระบบที่ไม่ได้ใช้งาน → การจัดการขั้นพื้นฐาน ตั้งค่านาฬิกาสำหรับการหมดเวลาที่ไม่ได้ใช้งาน มีตัวเลือกสำหรับการหมดเวลาตามบทบาทเช่นกัน ลองดูถ้าคุณชอบ
บทสรุปเกี่ยวกับความปลอดภัยในการเข้าสู่ระบบ WordPress
ทุกชุด? ยอดเยี่ยม! ก่อนที่คุณจะออกจากหน้านี้ คำแนะนำสุดท้าย: การปรับปรุงความปลอดภัยในการเข้าสู่ระบบ WordPress จะนำคุณเข้าใกล้การรักษาความปลอดภัยของเว็บไซต์ทั้งหมดซึ่งเป็นเป้าหมายสุดท้าย!
แม้ว่าคุณจะใช้มาตรการเพื่อป้องกันแฮ็กเกอร์จากการบังคับเดรัจฉานในเว็บไซต์ของคุณ ผู้บุกรุกยังคงสามารถเข้าถึงได้ผ่านธีมและปลั๊กอินที่มีช่องโหว่ ดังนั้น ให้เว็บไซต์ของคุณอัพเดทตลอดเวลา
เพื่อความปลอดภัยของเว็บไซต์ของคุณเพิ่มเติม เราขอแนะนำให้คุณใช้มาตรการรักษาความปลอดภัยทั้งหมดที่ครอบคลุมในคู่มือนี้: 10 เคล็ดลับด้านความปลอดภัย WordPress ที่สำคัญ
หากคุณมีคำถามเกี่ยวกับวิธีจัดการความปลอดภัยในการเข้าสู่ระบบ WordPress ของคุณ โปรดแจ้งให้เราทราบในความคิดเห็นด้านล่าง