5 กฎง่าย ๆ สำหรับความปลอดภัยในการเข้าสู่ระบบ WordPress

เผยแพร่แล้ว: 2020-09-25

กลยุทธ์การรักษาความปลอดภัย WordPress ที่ประสบความสำเร็จควรมีขั้นตอนในการเสริมความแข็งแกร่งให้กับการเข้าสู่ระบบ WordPress ในบทความนี้ เราจะพูดถึงกฎง่ายๆ ห้าข้อเพื่อความปลอดภัยในการเข้าสู่ระบบ WordPress ที่ดียิ่งขึ้น

สิ่งที่ยอดเยี่ยมเกี่ยวกับ WordPress คือการสร้างเว็บไซต์ให้ทุกคนเข้าถึงได้ แต่ด้วยความสามารถในการเข้าถึงนั้นทำให้คาดเดาได้ ใครก็ตามที่มีประสบการณ์ในการทำงานกับ WordPress รู้ดีว่ามีการเปลี่ยนแปลงที่ใดในไซต์: ผ่านพื้นที่ ผู้ดูแลระบบ wp พวกเขายังรู้ว่าต้องไปที่ใดเพื่อเข้าถึงหน้า wp-admin หน้า wp-login.php

ตามค่าเริ่มต้น URL ล็อกอินของ WordPress จะเหมือนกันสำหรับทุกไซต์ WordPress และไม่ต้องการการอนุญาตพิเศษใด ๆ ในการเข้าถึง นั่นเป็นสาเหตุที่หน้าเข้าสู่ระบบ WordPress เป็นส่วนที่ถูกโจมตีมากที่สุด—และอาจมีช่องโหว่—ส่วนหนึ่งของเว็บไซต์ WordPress ใดๆ

น่าเสียดายที่การสร้างบอทที่จะท่องอินเทอร์เน็ตเพื่อโจมตีด้วยกำลังเดรัจฉานไม่จำเป็นต้องใช้ทักษะมากนักและแฮ็กเกอร์ระดับเริ่มต้นทุกคนสามารถสร้างได้ เนื่องจากการโจมตีบนหน้าเข้าสู่ระบบ WordPress มีอุปสรรคในการเข้าสู่ระบบต่ำ การรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress จึงเป็นสิ่งสำคัญในการรักษาความปลอดภัยไซต์ WordPress ใดๆ

การปฏิบัติตามกฎเหล่านี้และการใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress คุณสามารถหลีกเลี่ยงความเสี่ยงที่จะเกิดข้อผิดพลาดในการเข้าสู่ระบบของผู้ใช้ทั่วไปได้

ความปลอดภัยในการเข้าสู่ระบบ WordPress

1. ใช้รหัสผ่านที่รัดกุม

มีข้อมูลที่สับสนและขัดแย้งกันมากมายเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยรหัสผ่านบนอินเทอร์เน็ต ในความพยายามที่จะขจัดความสับสนนั้น เรามาดูรายละเอียดพื้นฐานของการใช้รหัสผ่านที่คาดเดายากซึ่งช่วยปรับปรุงความปลอดภัยของ WordPress ของคุณ

เมื่อใดก็ตามที่สร้างรหัสผ่าน รายการแรกที่คุณต้องพิจารณาคือ ความยาว ของรหัสผ่าน รายการด้านล่างแสดงเวลาโดยประมาณที่ใช้ในการถอดรหัสรหัสผ่านโดยใช้โปรเซสเซอร์สี่คอร์ i5

  • อักขระ 7 ตัวจะใช้เวลา .29 มิลลิวินาทีในการถอดรหัส
  • 8 ตัวอักษรจะใช้เวลา 5 ชั่วโมงในการถอดรหัส
  • 9 ตัวอักษรจะใช้เวลา 4 เดือนในการถอดรหัส
  • ตัวละคร 10 ตัวจะใช้เวลา 1 ทศวรรษในการถอดรหัส
  • ตัวละคร 12 ตัวจะใช้เวลา 2 ศตวรรษในการถอดรหัส

อย่างที่คุณเห็น การเพิ่มอักขระตัวเดียวในรหัสผ่านของคุณสามารถเพิ่มความปลอดภัยในการเข้าสู่ระบบของคุณได้อย่างมาก รหัสผ่านที่มีความยาวอย่างน้อย 12 อักขระ สุ่มและรวมกลุ่มอักขระขนาดใหญ่ เช่น “ ISt8XXa!28X3 ” จะทำให้ถอดรหัสได้ยากมาก

น่าเสียดายที่แฮ็กเกอร์บางคนใช้ประโยชน์จาก GPU และ CPU ที่แรงกว่า เพื่อลดเวลาที่ใช้ในการถอดรหัสรหัสผ่าน ดังนั้น เพื่อให้การเข้าสู่ระบบของคุณแข็งแกร่งขึ้น ให้คำนึงถึงเอนโทรปีรหัสผ่านของคุณด้วย ยิ่งเอนโทรปีของรหัสผ่านสูงเท่าไหร่ รหัสผ่านก็จะยิ่งถอดรหัสได้ยากขึ้นเท่านั้น

ตัวอย่างเช่น ตามข้อกำหนดด้านความยาวเพียงอย่างเดียว รหัสผ่านเช่น “ abcdefghijkl ” มีอักขระ 12 ตัว ซึ่งถือว่าดีมาก และควรใช้เวลา 200 ปีในการถอดรหัส อย่างไรก็ตาม เนื่องจากรหัสผ่านใช้สตริงตัวอักษรที่เรียงตามลำดับ มันทำให้รหัสผ่านสามารถคาดเดาได้มากกว่าเมื่อเปรียบเทียบกับรหัสผ่านเช่น “ rfybolaawtpm ” ซึ่งมีอักขระแบบสุ่ม

การสุ่มอักขระจะลดความสามารถในการคาดเดาและเพิ่มความแข็งแกร่งของรหัสผ่าน แต่รหัสผ่านทั้งสองนี้มีสิ่งหนึ่งที่เหมือนกันซึ่งท้ายที่สุดจะลดเอนโทรปีของรหัสผ่าน ทั้งสองใช้อักษรตัวพิมพ์เล็กเท่านั้น โดยจำกัดกลุ่มอักขระที่เป็นไปได้ไว้ที่ 26 ตัว นั่นเป็นเหตุผลว่าทำไมจึงต้องรวมตัวอักษรและตัวเลข ตัวพิมพ์ใหญ่ และอักขระ ASCII ทั่วไปเพื่อเพิ่มกลุ่มอักขระที่จำเป็นในการถอดรหัสรหัสผ่านเป็น 92

เคล็ดลับ: ใช้ตัวจัดการรหัสผ่านเช่น LastPass เพื่อสร้างและจัดเก็บรหัสผ่านอย่างปลอดภัยได้อย่างง่ายดาย
เคล็ดลับ: อย่างน้อยที่สุด คุณควรกำหนดให้ผู้ใช้ที่แก้ไข WordPress ได้ต้องใช้รหัสผ่านที่รัดกุม การใช้ปลั๊กอินความปลอดภัย WordPress เช่น iThemes Security Pro เพื่อบังคับให้ผู้ใช้ที่มีสิทธิพิเศษใช้รหัสผ่านที่คาดเดายากจะช่วยเพิ่มความปลอดภัยในการเข้าสู่ระบบ WordPress

2. ใช้รหัสผ่านที่ไม่ซ้ำกับทุกบัญชี

แนวทางปฏิบัติที่ดีที่สุดอีกประการหนึ่งสำหรับการรักษาความปลอดภัยออนไลน์คือการใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับทุกบัญชีและการเข้าสู่ระบบเว็บไซต์ที่คุณมี นี่สำคัญมาก เราจะพูดอีกครั้ง: คุณควรใช้รหัสผ่านที่แตกต่างกันสำหรับทุกไซต์

ทำไมการใช้รหัสผ่านซ้ำจึงมีความสำคัญมาก? หากคุณใช้รหัสผ่านเดียวกันสำหรับทุกไซต์และไซต์ใดไซต์หนึ่งถูกบุกรุก แสดงว่าคุณกำลังใช้รหัสผ่านที่ถูกบุกรุกสำหรับทุกบัญชี ในทุกไซต์ แฮกเกอร์สามารถใช้การถ่ายโอนข้อมูลของรหัสผ่านที่ถูกบุกรุกซึ่งจับคู่กับที่อยู่อีเมลหรือชื่อผู้ใช้ของคุณเพื่อเข้าถึงบัญชีของคุณ เป็นการดีที่สุดที่จะไม่เสี่ยง

ยิ่งคุณมีผู้ใช้ที่ใช้รหัสผ่านซ้ำมากเท่าไหร่ ความปลอดภัยในการเข้าสู่ระบบ WordPress ของคุณก็จะยิ่งอ่อนแอลงเท่านั้น ในรายการที่รวบรวมโดย Splash Data รหัสผ่านทั่วไปที่รวมอยู่ในการถ่ายโอนข้อมูลทั้งหมดคือ 123456 การรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress ของไซต์ของคุณมีความแข็งแกร่งพอๆ กับลิงก์ที่อ่อนแอที่สุดเท่านั้น ดังนั้น โปรดใช้รหัสผ่านที่รัดกุมในเชิงรุก

เคล็ดลับ: ปกป้อง WordPress จากรหัสผ่านที่ถูกบุกรุก

คุณสามารถปกป้อง WordPress จากรหัสผ่านที่ถูกบุกรุกด้วยปลั๊กอินเช่น iThemes Security Pro iThemes Security Pro ใช้ประโยชน์จาก HaveIBeenPwned API เพื่อตรวจสอบว่ารหัสผ่านปรากฏในการละเมิดข้อมูลหรือไม่

เคล็ดลับ: แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ

คุณลักษณะข้อกำหนดรหัสผ่านของ iThemes Security ช่วยให้คุณสามารถบังคับผู้ใช้ทั้งหมดของคุณให้เปลี่ยนรหัสผ่านในครั้งต่อไปที่เข้าสู่ระบบ การบังคับให้ผู้ใช้สร้างรหัสผ่านใหม่ ทำให้ทุกคนสามารถเริ่มต้นใหม่ด้วยรหัสผ่านที่รัดกุมและไม่เป็นอันตราย ซึ่งจะเพิ่มการเข้าสู่ระบบ WordPress ของคุณ ความปลอดภัย.

เคล็ดลับ: ใช้ตัวจัดการรหัสผ่าน

ท้ายที่สุด การใช้ตัวจัดการรหัสผ่านสามารถช่วยให้คุณติดตามการเข้าสู่ระบบและรหัสผ่านเฉพาะของคุณได้ ด้วยความช่วยเหลือของผู้จัดการรหัสผ่าน คุณไม่จำเป็นต้องจำรหัสผ่านของคุณ

3. จำกัดความพยายามในการเข้าสู่ระบบ

ตามค่าเริ่มต้น ไม่มีอะไรใน WordPress ที่จะจำกัดจำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลว โดยไม่มีการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวที่ผู้โจมตีสามารถทำได้ พวกเขาสามารถลองใช้ชื่อผู้ใช้และรหัสผ่านได้ไม่รู้จบจนกว่าจะสำเร็จ

เพิ่มความปลอดภัยในการเข้าสู่ระบบ WordPress ของคุณด้วยการติดตั้งปลั๊กอินความปลอดภัย WordPress เช่น iThemes Security Pro เพื่อจำกัดจำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลว คุณลักษณะ iThemes Security Pro WordPress Brute Force Protection ช่วยให้คุณสามารถกำหนดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวก่อนที่ชื่อผู้ใช้หรือ IP จะถูกล็อก การล็อกจะปิดใช้งานความสามารถของผู้โจมตีในการพยายามเข้าสู่ระบบชั่วคราว เมื่อผู้โจมตีถูกล็อคสามครั้ง พวกเขาจะถูกแบนจากการดูเว็บไซต์

หมายเหตุ: เมื่อตัดสินใจว่าคุณต้องการให้กฎของคุณเข้มงวดเพียงใดสำหรับการพยายามเข้าสู่ระบบที่ล้มเหลว โปรดคำนึงถึงผู้ใช้จริงของไซต์ของคุณ หากคุณตั้งกฎการล็อกเอาต์ที่ไม่เอื้ออำนวยเกินไป คุณจะเสี่ยงต่อการล็อกผู้ใช้จริงโดยไม่ได้ตั้งใจ

4. จำกัด การพยายามตรวจสอบสิทธิ์ภายนอกต่อคำขอ

มีวิธีอื่นในการเข้าสู่ระบบ WordPress นอกเหนือจากการใช้แบบฟอร์มการเข้าสู่ระบบ การใช้ XML-RPC ผู้โจมตีสามารถสร้างชื่อผู้ใช้และรหัสผ่านได้หลายร้อยครั้งในคำขอ HTTP เดียว วิธีการขยายกำลังเดรัจฉานช่วยให้ผู้โจมตีสามารถพยายามชื่อผู้ใช้และรหัสผ่านได้หลายพันครั้งโดยใช้ XML-RPC ในคำขอ HTTP เพียงไม่กี่ครั้ง เมื่อคุณรู้ว่าผู้โจมตีสามารถใช้การดัมพ์ฐานข้อมูลเป็นจุดเริ่มต้นและคาดเดาได้หลายพันครั้งต่อคำขอ มันทำให้ความสำคัญของความปลอดภัยในการเข้าสู่ระบบ WordPress ชัดเจนขึ้นมาก

เมื่อใช้การตั้งค่า WordPress Tweaks ของ iThemes Security Pro คุณสามารถบล็อกการพยายามตรวจสอบสิทธิ์ได้หลายครั้งต่อคำขอ XML-RPC การจำกัดจำนวนชื่อผู้ใช้และรหัสผ่านสำหรับคำขอแต่ละครั้งจะช่วยรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณได้อย่างมาก

นอกจากนี้ เมื่อคุณกำลังพัฒนาแผนความปลอดภัยในการเข้าสู่ระบบ WordPress สิ่งสำคัญคือต้องตระหนักว่า WordPress Rest API จะเพิ่มวิธีการเพิ่มเติมในการตรวจสอบสิทธิ์ผู้ใช้ WordPress การรับรองความถูกต้องของคุกกี้เป็นวิธีการรับรองความถูกต้องวิธีหนึ่งเมื่อคุณเข้าสู่ระบบ WordPress จะจัดเก็บคุกกี้โดยอัตโนมัติ ดังนั้นปลั๊กอินและธีมจึงสามารถทำงานในนามของคุณได้ การรับรองความถูกต้องของคุกกี้จะได้รับประโยชน์จากการป้องกันที่คุณได้เพิ่มลงใน wp-login.php

5. ใช้การรับรองความถูกต้องด้วยสองปัจจัย

ฉันบันทึกวิธีที่ดีที่สุดในการเพิ่มความปลอดภัยในการเข้าสู่ระบบ WordPress ครั้งสุดท้าย: การรับรองความถูกต้องด้วยสองปัจจัยของ WordPress การรับรองความถูกต้องด้วยสองปัจจัยต้องใช้รหัสพิเศษพร้อมกับชื่อผู้ใช้และรหัสผ่าน WordPress ของคุณเพื่อเข้าสู่ระบบ

มีหลายวิธีในการรับรองความถูกต้องด้วยสองปัจจัย แต่ไม่ใช่ทุกวิธีจะถูกสร้างขึ้นเท่ากัน หากทำได้ ให้หลีกเลี่ยงการใช้ข้อความสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติไม่แนะนำให้ใช้ SMS เพื่อส่งและรับรหัสยืนยันตัวตนอีกต่อไป

การใช้ปลั๊กอินความปลอดภัย WordPress เช่น iThemes Security Pro คุณควรเปิดใช้งานวิธีอีเมลหรือแอพมือถือแบบสองปัจจัย

โปรดทราบว่าเว็บไซต์หลายแห่งกำหนดให้คุณต้องใช้ที่อยู่อีเมลเป็นชื่อผู้ใช้ หากผู้โจมตีแฮ็คหนึ่งในไซต์เหล่านี้ ขั้นตอนต่อไปคือการพยายามลงชื่อเข้าใช้บัญชีอีเมลโดยใช้ที่อยู่อีเมลและรหัสผ่านใหม่ที่พวกเขาขโมยมา หากผู้ใช้หรือลูกค้ารายใดของคุณใช้รหัสผ่านที่ถูกบุกรุกซ้ำในทุกไซต์ บัญชีอีเมลของพวกเขาพร้อมกับรหัสอีเมลสองปัจจัยจะถูกบุกรุก

วิธีแอพมือถือของสองปัจจัยจะทำได้มากที่สุดเพื่อเพิ่มความปลอดภัยในการเข้าสู่ระบบ WordPress รหัสรับรองความถูกต้องพิเศษที่จำเป็นในการเข้าสู่ระบบจะถูกส่งไปยังโทรศัพท์ของผู้ใช้ ดังนั้น แม้ว่าผู้โจมตีจะสามารถเข้าถึง WordPress และข้อมูลรับรองอีเมลได้ แต่ก็ยังไม่มีทางให้พวกเขาเข้าสู่ระบบได้

สรุป: รายการตรวจสอบความปลอดภัยในการเข้าสู่ระบบ WordPress อย่างง่าย

ความปลอดภัยในการเข้าสู่ระบบ WordPress ควรมีความสำคัญสูงสุดในทุกไซต์ เมื่อคุณทราบวิธีเพิ่มความปลอดภัยในการเข้าสู่ระบบในเว็บไซต์ของคุณแล้ว คุณสามารถใช้ประโยชน์จากกลยุทธ์การป้องกันการแฮ็กที่มีประสิทธิภาพนี้ได้

  • 1. ใช้รหัสผ่านที่รัดกุม
  • 2. ใช้รหัสผ่านที่ไม่ซ้ำกับทุกบัญชี
  • 3. จำกัดความพยายามในการเข้าสู่ระบบ
  • 4. จำกัดความพยายามในการตรวจสอบสิทธิ์
  • 5. ใช้การรับรองความถูกต้องด้วยสองปัจจัย

ปลั๊กอินความปลอดภัยเวิร์ดเพรส

ปลั๊กอินความปลอดภัยของ WordPress สามารถช่วยให้เว็บไซต์ WordPress ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วยการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งให้กับเว็บไซต์ของคุณได้

รับ iThemes Security ทันที