8 วิธีในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

เผยแพร่แล้ว: 2021-04-27

URL ล็อกอินของ WordPress จะเหมือนกันทุกไซต์ WordPress และไม่ต้องมีการอนุญาตพิเศษใดๆ ในการเข้าถึง ใครก็ตามที่มีประสบการณ์ในการทำงานกับ WordPress จะรู้ดีว่า URL ล็อกอินนั้นอยู่ที่หน้า /wp-login.php

ความสามารถในการเข้าใช้งานของหน้าเข้าสู่ระบบ WordPress ทำให้เป็นส่วนที่ถูกโจมตีมากที่สุด และอาจเป็นส่วนที่เปราะบางที่สุดของเว็บไซต์ WordPress ใดๆ โชคดีสำหรับเรา ปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress ของคุณ

มาดูเครื่องมือใน iThemes Security Pro ที่คุณสามารถใช้รักษาความปลอดภัยการเข้าสู่ระบบ WordPress และทำให้เข้าถึงไม่ได้!

ในบทความนี้

    1. จำกัดความพยายามในการเข้าสู่ระบบ

    ขั้นตอนแรกในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณคือการ จำกัด การพยายามเข้าสู่ระบบที่ล้มเหลว ตามค่าเริ่มต้น ไม่มีอะไรใน WordPress ที่จะจำกัดจำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลว โดยไม่จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวที่ผู้โจมตีสามารถทำได้ พวกเขาสามารถลองใช้ชื่อผู้ใช้และรหัสผ่านต่างๆ ร่วมกันได้จนกว่าจะพบชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้

    คุณสมบัติ iThemes Security Pro Local Brute Force Protection ช่วยติดตามการพยายามเข้าสู่ระบบที่ไม่ถูกต้องโดยโฮสต์หรือที่อยู่ IP และชื่อผู้ใช้ เมื่อ IP หรือชื่อผู้ใช้พยายามเข้าสู่ระบบที่ไม่ถูกต้องติดต่อกันหลายครั้งเกินไป พวกเขาจะถูกล็อคและจะป้องกันไม่ให้พยายามอีกในช่วงระยะเวลาหนึ่ง

    ในการเริ่มต้นใช้งานฟีเจอร์ Local Brute Force Protection ให้เปิดใช้งานในหน้าหลักของหน้าการตั้งค่า iThemes Security Pro

    การ ตั้งค่า Local Brute Force Protection ช่วยให้คุณสามารถกำหนดเกณฑ์สำหรับการล็อกได้

    • ความพยายามในการเข้าสู่ระบบสูงสุดต่อโฮสต์ – จำนวนการพยายามเข้าสู่ระบบที่ไม่ถูกต้องซึ่ง IP ได้รับอนุญาตก่อนที่จะถูกล็อค
    • ความพยายามในการเข้าสู่ระบบสูงสุดต่อผู้ใช้ - นี่คือจำนวนครั้งของการพยายามเข้าสู่ระบบที่ไม่ถูกต้องซึ่งชื่อผู้ใช้ได้รับอนุญาตก่อนที่จะถูกล็อค
    • นาทีที่ต้องจำการเข้าสู่ระบบ ที่ไม่ถูกต้อง – นี่คือระยะเวลาที่ความพยายามเข้าสู่ระบบที่ไม่ถูกต้องควรนับรวมกับ IP หรือชื่อผู้ใช้สำหรับการล็อก
    • แบนผู้ใช้ "ผู้ดูแลระบบ" โดยอัตโนมัติ - เมื่อเปิดใช้งาน ทุกคนที่ใช้ชื่อผู้ใช้ของผู้ดูแลระบบเมื่อเข้าสู่ระบบจะได้รับการล็อกอัตโนมัติ

    มีสองสิ่งที่คุณต้องจำไว้เมื่อคุณกำหนดการตั้งค่าการล็อก คุณต้องการให้ผู้ใช้พยายามเข้าสู่ระบบที่ไม่ถูกต้องมากกว่าที่คุณให้ IP สมมติว่าเว็บไซต์ของคุณอยู่ภายใต้การโจมตีแบบเดรัจฉานและผู้โจมตีโดยใช้ชื่อผู้ใช้ของคุณ เป้าหมายคือการล็อค IP ของผู้โจมตี ไม่ใช่ชื่อผู้ใช้ของคุณ ดังนั้นคุณจึงยังสามารถเข้าสู่ระบบและทำงานให้เสร็จได้ แม้ว่าเว็บไซต์ของคุณจะถูกโจมตี

    นอกจากนี้ คุณไม่ต้องการให้การตั้งค่าเหล่านี้เข้มงวดเกินไปโดยการตั้งค่าจำนวนครั้งในการพยายามเข้าสู่ระบบที่ไม่ถูกต้องให้ต่ำเกินไป และให้เวลาในการจดจำความพยายามที่ไม่ถูกต้องนานเกินไป หากคุณลดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ไม่ถูกต้องสำหรับโฮสต์/IP เหลือ 1 ครั้ง และตั้งค่านาทีให้จดจำการพยายามเข้าสู่ระบบที่ไม่ถูกต้องเป็นเดือน แสดงว่าคุณกำลังเพิ่มโอกาสอย่างมากที่จะล็อกผู้ใช้ที่ถูกกฎหมายโดยไม่ได้ตั้งใจ

    2. จำกัด การพยายามตรวจสอบสิทธิ์ภายนอกต่อคำขอ

    มีวิธีอื่นในการเข้าสู่ระบบ WordPress นอกเหนือจากการใช้แบบฟอร์มการเข้าสู่ระบบ การใช้ XML-RPC ผู้โจมตีสามารถสร้างชื่อผู้ใช้และรหัสผ่านได้หลายร้อยครั้งในคำขอ HTTP เดียว วิธีการขยายกำลังเดรัจฉานช่วยให้ผู้โจมตีสามารถพยายามชื่อผู้ใช้และรหัสผ่านได้หลายพันครั้งโดยใช้ XML-RPC ในคำขอ HTTP เพียงไม่กี่ครั้ง

    เมื่อใช้การตั้งค่า WordPress Tweaks ของ iThemes Security Pro คุณสามารถบล็อกการพยายามตรวจสอบสิทธิ์ได้หลายครั้งต่อคำขอ XML-RPC การจำกัดจำนวนชื่อผู้ใช้และรหัสผ่านสำหรับคำขอแต่ละครั้งจะช่วยรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณได้อย่างมาก

    3. การป้องกันเครือข่ายเดรัจฉาน

    การจำกัดความพยายามในการเข้าสู่ระบบนั้นเกี่ยวกับการป้องกันกำลังเดรัจฉานในท้องถิ่น การป้องกันกำลังเดรัจฉานในพื้นที่จะพิจารณาเฉพาะความพยายามในการเข้าถึงไซต์ของคุณและแบนผู้ใช้ตามกฎการล็อกที่ระบุไว้ในการตั้งค่าความปลอดภัยของคุณ

    การป้องกัน Network Brute Force ก้าวไปอีกขั้น เครือข่าย เป็นชุมชน iThemes Security และมีเว็บไซต์กว่าล้านแห่งที่แข็งแกร่ง หากมีการระบุ IP ว่าพยายามเจาะเข้าไปในเว็บไซต์ในชุมชน iThemes Security IP นั้นจะถูกเพิ่มในรายการที่ถูกแบนของ Network Brute Force

    เมื่อ IP อยู่ในรายการต้องห้ามของ Network Brute Force แล้ว IP จะถูกบล็อกในทุกเว็บไซต์ในเครือข่าย ดังนั้น หาก IP โจมตีเว็บไซต์ของฉันและถูกแบน มันจะถูกรายงานไปยัง iThemes Security Brute Force Network รายงานของฉันสามารถช่วยให้ IP ถูกแบนในเครือข่ายทั้งหมดได้ ฉันชอบที่สามารถช่วยรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress ของผู้อื่นได้ เพียงแค่เปิดใช้งาน iThemes Security Network Protection

    หากต้องการเริ่มใช้ Network Force Protection ให้เปิดใช้งานในหน้าหลักของการตั้งค่าความปลอดภัย

    จากนั้นป้อนที่อยู่อีเมลของคุณ เลือกว่าคุณต้องการรับการอัปเดตทางอีเมลหรือไม่ จากนั้นคลิกปุ่ม บันทึก

    4. บังคับรหัสผ่านที่รัดกุม

    ในรายการที่รวบรวมโดย Splash Data รหัสผ่านที่พบบ่อยที่สุดที่รวมอยู่ในการถ่ายโอนข้อมูลทั้งหมดคือ 123456 การถ่ายโอนข้อมูลคือฐานข้อมูลที่ถูกแฮ็กซึ่งเต็มไปด้วยรหัสผ่านของผู้ใช้ที่ ถูกทิ้งที่ ใดที่หนึ่งบนอินเทอร์เน็ต คุณลองนึกดูว่ามีคนกี่คนในเว็บไซต์ของคุณที่ใช้รหัสผ่านที่ไม่รัดกุม ถ้ารหัสผ่าน 123456 เป็นรหัสผ่านที่พบบ่อยที่สุดในการถ่ายโอนข้อมูล

    การใช้รหัสผ่านที่ไม่รัดกุมก็เหมือนกับการพยายามล็อกประตูหน้าด้วยเทปพันแผ่น ไม่เคยใช้เวลานานนักที่แฮ็กเกอร์จะใช้กำลังเดรัจฉานผ่านรหัสผ่านที่ไม่รัดกุมไปยังเว็บไซต์ ขณะนี้แฮกเกอร์ใช้ประโยชน์จากการ์ดกราฟิกของคอมพิวเตอร์ในการโจมตี เวลาในการถอดรหัสรหัสผ่านก็ไม่เคยลดลง

    ตัวอย่างเช่น มาดูแผนภูมิที่สร้างโดย Terahash บริษัทถอดรหัสรหัสผ่านที่มีประสิทธิภาพสูง แผนภูมิแสดงเวลาที่ใช้ในการถอดรหัสรหัสผ่านโดยใช้คลัสเตอร์แฮชสแต็ก 448x RTX 2080

    ตามค่าเริ่มต้น WordPress ใช้ MD5 เพื่อแฮชรหัสผ่านของผู้ใช้ที่จัดเก็บไว้ในฐานข้อมูล WP ตามแผนภูมินี้ Terahash สามารถถอดรหัสรหัสผ่าน 8 ตัว … เกือบจะในทันที นั่นไม่เพียงแต่น่าประทับใจอย่างยิ่ง แต่ยังน่ากลัวจริงๆ ด้วย ข่าวดีก็คือเราสามารถรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress ของเราโดยกำหนดให้ผู้ใช้ระดับสูงของเราใช้รหัสผ่านที่รัดกุม

    คุณลักษณะ ข้อกำหนดรหัสผ่าน iThemes Security Pro ช่วยให้คุณสามารถบังคับให้ผู้ใช้บางรายใช้รหัสผ่านที่รัดกุม เปิดใช้งานคุณสมบัติ ข้อกำหนดรหัสผ่าน ในหน้าหลักของการตั้งค่าความปลอดภัย จากนั้นเลือกผู้ใช้ที่คุณต้องการกำหนดให้ใช้รหัสผ่านที่รัดกุม

    5. ปฏิเสธรหัสผ่านที่ถูกบุกรุก

    ตามรายงานการตรวจสอบการละเมิดข้อมูลของ Verizon พนักงานกว่า 70% ใช้รหัสผ่านซ้ำในที่ทำงาน แต่สถิติที่สำคัญที่สุดจากรายงานคือ 81% ของการละเมิดที่เกี่ยวข้องกับการแฮ็กใช้ประโยชน์จากรหัสผ่านที่ขโมยมาหรือรหัสผ่านที่ไม่รัดกุม

    แฮกเกอร์ใช้รูปแบบของการโจมตีแบบดุร้ายที่เรียกว่าการโจมตีแบบพจนานุกรม การโจมตีด้วยพจนานุกรมเป็นวิธีการเจาะเข้าไปในเว็บไซต์ WordPress ด้วยรหัสผ่านที่ใช้กันทั่วไปซึ่งปรากฏในการถ่ายโอนข้อมูลของฐานข้อมูล “คอลเลกชั่น #1? การละเมิดข้อมูลที่โฮสต์บน MEGA รวมที่อยู่อีเมลและรหัสผ่านที่ไม่ซ้ำกัน 1,160,253,228 ชุด นั่นคือพันล้านด้วย a คะแนนประเภทนี้จะช่วยให้การโจมตีพจนานุกรมจำกัดรหัสผ่าน WordPress ที่ใช้บ่อยที่สุดได้จริง

    จำเป็นต้องป้องกันไม่ให้ผู้ใช้ที่มีความสามารถระดับผู้เขียนขึ้นไปใช้รหัสผ่านที่ถูกบุกรุกเพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ คุณอาจคิดถึงการไม่ให้ผู้ใช้ระดับล่างของคุณใช้รหัสผ่านที่ถูกบุกรุก

    เป็นที่เข้าใจได้อย่างสมบูรณ์และสนับสนุนให้สร้างบัญชีลูกค้าใหม่ให้ง่ายที่สุด อย่างไรก็ตาม ลูกค้าของคุณอาจไม่ทราบว่ามีการพบรหัสผ่านที่พวกเขาใช้ในการถ่ายโอนข้อมูล คุณจะให้บริการที่ยอดเยี่ยมแก่ลูกค้าของคุณโดยแจ้งเตือนพวกเขาว่ารหัสผ่านที่พวกเขาใช้นั้นถูกบุกรุก หากพวกเขาใช้รหัสผ่านนั้นในทุกๆ ที่ คุณก็สามารถช่วยพวกเขาให้พ้นจากปัญหาใหญ่ๆ ที่เกิดขึ้นระหว่างทางได้

    คุณลักษณะ iThemes Security Pro ปฏิเสธรหัสผ่านที่ถูกบุกรุก บังคับให้ผู้ใช้ใช้รหัสผ่านที่ไม่ปรากฏในการละเมิดรหัสผ่านใด ๆ ที่ติดตามโดยฉันเคยถูก Pwned เปิดใช้งานคุณสมบัติ ข้อกำหนดของรหัสผ่าน ในหน้าหลักของการตั้งค่าความปลอดภัย จากนั้นเลือกผู้ใช้ที่คุณต้องการป้องกันการใช้รหัสผ่านที่ถูกบุกรุก

    6. ใช้การรับรองความถูกต้องด้วยสองปัจจัย

    การใช้การรับรองความถูกต้องด้วยสองปัจจัยเป็นสิ่งที่ดีที่สุดที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ การรับรองความถูกต้องด้วยสองปัจจัยเป็นกระบวนการในการยืนยันตัวตนของบุคคลโดยกำหนดให้มีการตรวจสอบสองวิธีแยกกัน Google แบ่งปันในบล็อกว่าการใช้การรับรองความถูกต้องด้วยสองปัจจัยสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% ฉันชอบอัตราต่อรองเหล่านั้นจริงๆ

    การใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100%

    คุณลักษณะการ ตรวจสอบสิทธิ์สองปัจจัยของ iThemes Security Pro มอบความยืดหยุ่นมากมายเมื่อใช้งาน 2fa บนเว็บไซต์ของคุณ คุณสามารถเปิดใช้งานสองปัจจัยสำหรับผู้ใช้ของคุณทั้งหมดหรือบางส่วน และคุณสามารถบังคับให้ผู้ใช้ระดับสูงของคุณใช้ 2fa ในการเข้าสู่ระบบแต่ละครั้ง

    เพื่อความสะดวกของคุณ iThemes Security Pro เสนอวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยที่แตกต่างกัน 2 วิธี

    1. แอพมือถือ - วิธีแอพมือถือเป็นวิธีที่ปลอดภัยที่สุดของการรับรองความถูกต้องด้วยสองปัจจัยที่จัดทำโดย iThemes Security Pro วิธีนี้กำหนดให้คุณต้องใช้แอปมือถือสองปัจจัยฟรี เช่น Authy
    2. อีเมล – วิธีการอีเมลแบบสองปัจจัยจะส่งรหัสที่คำนึงถึงเวลาไปยังที่อยู่อีเมลของผู้ใช้ของคุณ
    3. รหัสสำรอง – ชุดรหัสแบบใช้ครั้งเดียวที่สามารถใช้เพื่อเข้าสู่ระบบในกรณีที่วิธีการหลักสองปัจจัยหายไป

    7. บล็อก Bad Bots ด้วย Google reCAPTCHA v3

    คุณลักษณะ iThemes Security Pro Google reCAPTCHA ใน iThemes Security Pro ปกป้องไซต์ของคุณจากบอทที่ไม่ดี บอทเหล่านี้พยายามเจาะเข้าไปในเว็บไซต์ของคุณโดยใช้รหัสผ่านที่ถูกบุกรุก โพสต์สแปม หรือแม้แต่คัดลอกเนื้อหาของคุณ reCAPTCHA ใช้เทคนิคการวิเคราะห์ความเสี่ยงขั้นสูงเพื่อแยกมนุษย์และบอทออกจากกัน

    สิ่งที่ยอดเยี่ยมเกี่ยวกับ reCAPTCHA เวอร์ชัน 3 คือช่วยให้คุณตรวจจับการเข้าชมบอทที่ไม่เหมาะสมบนเว็บไซต์ของคุณโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ แทนที่จะแสดงความท้าทายของ CAPTCHA reCAPTCHA v3 จะตรวจสอบคำขอต่างๆ ที่สร้างบนไซต์ของคุณและส่งคืนคะแนนสำหรับแต่ละคำขอ คะแนนมีตั้งแต่ 0.0 ถึง 1 ยิ่งคะแนนที่ส่งคืนโดย reCAPTCHA สูง ก็ยิ่งมีความมั่นใจมากขึ้นเท่านั้นที่มนุษย์เป็นผู้ส่งคำขอ ยิ่งคะแนนนี้ส่งคืนโดย reCAPTCHA ต่ำ ก็ยิ่งมั่นใจมากขึ้นว่าบอทส่งคำขอ

    ในการเริ่มต้นใช้งาน Google reCAPTCHA v3 ให้เปิดใช้งานตัวเลือกในหน้าหลักของการตั้งค่าความปลอดภัย

    reCAPTCHA การตั้งค่าความปลอดภัย

    ถัดไป คุณจะต้องเลือก reCAPTCHA v3 เป็นประเภท reCAPTCHA และสร้างคีย์จากผู้ดูแลระบบ Google

    iThemes Security Pro ให้คุณตั้งค่า เกณฑ์การบล็อก โดยใช้คะแนน reCAPTCHA Google แนะนำให้ใช้ 0.5 เป็นค่าเริ่มต้นของคุณ โปรดทราบว่าคุณสามารถล็อกผู้ใช้ที่ถูกกฎหมายโดยไม่ได้ตั้งใจ หากคุณตั้งเกณฑ์ไว้สูงเกินไป

    คุณสามารถเปิดใช้งาน reCAPTCHA ในการลงทะเบียนผู้ใช้ WordPress ของคุณ รีเซ็ตรหัสผ่าน เข้าสู่ระบบ และแสดงความคิดเห็น iThemes Security Pro อนุญาตให้คุณเรียกใช้สคริปต์ Google reCAPTCHA ในทุกหน้าเพื่อเพิ่มความแม่นยำของบอทเทียบกับคะแนนของมนุษย์ การเปิดใช้งาน reCAPTCHA v3 เป็นวิธีที่ยอดเยี่ยมในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

    8. จำกัด การเข้าถึงอุปกรณ์ไปยังแดชบอร์ด WP

    ขั้นตอนสุดท้ายในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณคือการจำกัดการเข้าถึงแดชบอร์ด WordPress ของคุณไว้ที่ชุดอุปกรณ์ ฟีเจอร์ iThemes Security Pro Trusted Devices ระบุอุปกรณ์ที่คุณและผู้ใช้รายอื่นใช้เพื่อลงชื่อเข้าใช้ไซต์ WordPress ของคุณ เมื่อผู้ใช้เข้าสู่ระบบในอุปกรณ์ที่ไม่รู้จัก อุปกรณ์ที่เชื่อถือได้สามารถจำกัดความสามารถระดับผู้ดูแลระบบได้ ซึ่งหมายความว่าแฮ็กเกอร์สามารถเลี่ยงวิธีการรักษาความปลอดภัยการเข้าสู่ระบบอื่นๆ ของคุณได้ ซึ่งไม่น่าจะเป็นไปได้มากนัก พวกเขาจะไม่สามารถทำการเปลี่ยนแปลงที่เป็นอันตรายใดๆ กับเว็บไซต์ของคุณได้

    หากต้องการเริ่มใช้ อุปกรณ์ที่เชื่อถือได้ ให้เปิดใช้งานบนหน้าหลักของการตั้งค่าความปลอดภัย จากนั้นคลิกปุ่ม กำหนดค่าการตั้งค่า

    ในการตั้งค่าอุปกรณ์ที่เชื่อถือได้ ให้ตัดสินใจว่าผู้ใช้รายใดที่คุณต้องการใช้คุณลักษณะนี้ จากนั้นเปิดใช้งานคุณลักษณะ จำกัดความสามารถ และ การป้องกันการลักลอบใช้เซสชัน

    หลังจากเปิดใช้งานการตั้งค่าอุปกรณ์ที่เชื่อถือได้ใหม่ ผู้ใช้จะได้รับการแจ้งเตือนในแถบผู้ดูแลระบบ WordPress เกี่ยวกับอุปกรณ์ที่ไม่รู้จักที่รอดำเนินการ หากอุปกรณ์ปัจจุบันของคุณไม่ได้ถูกเพิ่มลงในรายการอุปกรณ์ที่เชื่อถือได้ ให้คลิกที่ลิงก์ ยืนยันอุปกรณ์นี้ เพื่อส่งอีเมลการให้สิทธิ์

    คลิกปุ่ม ยืนยันอุปกรณ์ ในอีเมลเข้าสู่ระบบที่ไม่รู้จักเพื่อเพิ่มอุปกรณ์ปัจจุบันของคุณในรายการอุปกรณ์ที่เชื่อถือได้

    ห่อ

    ความสามารถในการเข้าถึงของหน้าเข้าสู่ระบบ WordPress ทำให้เป็นส่วนที่ถูกโจมตีและมีโอกาสเสี่ยงมากที่สุดของไซต์ WordPress ใดๆ อย่างไรก็ตาม หากคุณใช้ iThemes Security Pro คุณสามารถพักผ่อนได้อย่างสบายใจ

    ตรวจสอบให้แน่ใจว่าคุณใช้เครื่องมือ 8 iThemes Security Pro เพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณที่แชร์ในโพสต์นี้

    • 1. จำกัดความพยายามในการเข้าสู่ระบบ
    • 2. จำกัด การพยายามตรวจสอบสิทธิ์ภายนอกต่อคำขอ
    • 3. การป้องกันเครือข่ายเดรัจฉาน
    • 4. บังคับรหัสผ่านที่รัดกุม
    • 5. ปฏิเสธรหัสผ่านที่ถูกบุกรุก
    • 6. ใช้การรับรองความถูกต้องด้วยสองปัจจัย
    • 7. บล็อก Bad Bots ด้วย Google reCAPTCHA v3
    • 8. จำกัด การเข้าถึงอุปกรณ์ไปยังแดชบอร์ด WP