วิธีการ: ปกป้องการเข้าสู่ระบบ WordPress ของคุณจากแฮกเกอร์

เผยแพร่แล้ว: 2015-04-03

แฮกเกอร์ได้ยึดครองโลกแล้ว

มีข้อมูลทางสถิติเพียงพอเกี่ยวกับความปลอดภัยของข้อมูลที่ไม่มีระบบใดที่ปลอดภัย

แฮ็กเกอร์กำลังพัฒนาและมีเครื่องมือและเทคนิคเพียงพอทางออนไลน์ ซึ่งสามารถสอนให้ทุกคนกลายเป็นแฮ็กเกอร์ได้อย่างง่ายดาย

ไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ ทุกอย่างสามารถแฮ็กได้ เหตุผลนั้นง่าย ความคิดสร้างสรรค์ไม่มีขีดจำกัด และเป็นการยากที่จะทำให้ระบบใดๆ ยืนอยู่บนเส้นทางของจิตใจมนุษย์ แต่เราไม่สามารถออกจากเว็บไซต์ WordPress เพียงเพราะเชื่อว่าจะถูกแฮ็กไม่วันใดก็วันหนึ่ง

ส่วนที่อ่อนแอที่สุดของ WordPress คือหน้าเข้าสู่ระบบ ทุกคนรู้ดีถึงข้อจำกัดและแฮกเกอร์โดยเฉพาะอย่างยิ่งต้องการบังคับหน้าล็อกอินเพื่อเข้าถึงแดชบอร์ด WordPress เมื่อแฮกเกอร์เข้าถึงแดชบอร์ด พวกเขาจะมีพลังที่ไม่มีที่สิ้นสุดและสามารถสร้างความหายนะให้กับเว็บไซต์ได้อย่างง่ายดาย

การใช้ปลั๊กอินความปลอดภัย แนวทางปฏิบัติ และการเปลี่ยนแปลงเพียงครั้งเดียวในแพลตฟอร์ม WordPress อย่างถูกต้อง สามารถลดโอกาสที่แฮ็กเกอร์จะถูกแฮ็กได้ มีปลั๊กอิน บทช่วยสอน และสิ่งอื่น ๆ มากมายที่สามารถช่วยให้คุณบรรลุเป้าหมายนี้ และวันนี้เราจะพูดถึงวิธีการปกป้องการเข้าสู่ระบบ WordPress จากแฮกเกอร์

สารบัญ

1. ใช้การจำกัดความพยายามในการเข้าสู่ระบบ
2. จำกัดการเข้าสู่ระบบของผู้ดูแลระบบ WordPress ด้วยที่อยู่ IP
3. สำหรับการเข้าถึงที่อยู่ IP เดียว ใช้:
4. เปลี่ยนชื่อผู้ใช้เริ่มต้นจากผู้ดูแลระบบเป็นอย่างอื่น
5. ใช้รหัสผ่านแบบยาวที่สร้างสรรค์
6. ใช้ Google Captcha
7. เปลี่ยน URL เริ่มต้นของหน้าเข้าสู่ระบบ

1. ใช้การจำกัดความพยายามในการเข้าสู่ระบบ

การโจมตีของ BurteForce เป็นเรื่องปกติ — แฮกเกอร์จะลองทุกชุดค่าผสมที่เป็นไปได้ และสร้างชุดค่าผสมที่ใช้งานได้ แล้วคุณจะหยุดมันได้อย่างไร? จำกัดจำนวนครั้งในการเข้าสู่ระบบ? ใช่คุณพูดถูก

และเพื่อให้ได้ผลลัพธ์ตามที่ต้องการ เป็นการดีที่สุดที่จะใช้ปลั๊กอินจำกัดความพยายามในการเข้าสู่ระบบ ปลั๊กอินมีการติดตั้งมากกว่า 1 ล้านครั้ง และทำงานได้อย่างสมบูรณ์กับรุ่น 4.1.1 ล่าสุด

ปลั๊กอินสามารถใช้เพื่อจำกัดจำนวนครั้งที่ทุกคนต้องพยายามเข้าสู่ระบบพร้อมท์ ในกรณีที่มีการละเมิด มันจะบล็อก IP และขัดขวางความพยายามใด ๆ ที่จะบังคับให้หน้าเข้าสู่ระบบของ WordPress ดุร้าย

ดาวน์โหลดการจำกัดความพยายามในการเข้าสู่ระบบที่นี่

2. จำกัดการเข้าสู่ระบบของผู้ดูแลระบบ WordPress ด้วยที่อยู่ IP

หากเป็นเพียงคุณที่ต้องการเข้าถึงพื้นที่ผู้ดูแลระบบของคุณ ให้เพิ่มรหัสนี้ในไฟล์ . htaccess ของคุณที่อยู่ในเอกสารรูทของโดเมนของคุณเพื่อให้แน่ใจว่าคุณได้ทำเครื่องหมายที่ "แสดงไฟล์ที่ซ่อนอยู่" cPanel ไฟล์ที่ซ่อนอยู่

3. สำหรับการเข้าถึงที่อยู่ IP เดียว ใช้:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

สำหรับการใช้การเข้าถึง IP หลายรายการ:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.121</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.122</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

โปรดทราบว่าคุณต้องแทนที่ 123\.123\.123\.121 ด้วยที่อยู่ IP ของคุณเอง หากคุณไม่ทราบว่าไปที่: whatismyipaddress.com

4. เปลี่ยนชื่อผู้ใช้เริ่มต้นจากผู้ดูแลระบบเป็นอย่างอื่น

ฉันใช้ WordPress มาเป็นเวลา 6 เดือนที่ผ่านมาและได้เจอลูกค้า WordPress หลายร้อยรายที่ฉันจัดการซึ่งมีสิ่งหนึ่งที่เหมือนกัน ชื่อผู้ใช้ของบล็อก ใช่ "ผู้ดูแลระบบ"

ด้วยเหตุผลที่ชัดเจน จึงเป็นแนวทางที่ดีในการสร้าง superuser อื่นและลบชื่อผู้ใช้ของผู้ดูแลระบบ ปฏิบัตินี้ต่อไปสำหรับเว็บไซต์ WordPress ทุกแห่งที่คุณเคยทำในชีวิต นี้สามารถบันทึกบล็อกอันมีค่าของคุณ

เหตุผลนั้นง่าย แฮกเกอร์ลองใช้การตั้งค่าเริ่มต้นที่มาพร้อมกับบล็อก WordPress จากโฮสติ้งของคุณ และฉันไม่สามารถกดเปลี่ยนรหัสผ่านได้เช่นกัน รหัสผ่านเริ่มต้นเป็นตัวฆ่าเช่นกันเพื่อความปลอดภัยของหน้าเข้าสู่ระบบของคุณ

มาพูดคุยกันในประเด็นต่อไป

5. ใช้รหัสผ่านแบบยาวที่สร้างสรรค์

รหัสผ่านเป็นสิ่งจำเป็นสำหรับการป้องกัน เราทุกคนชอบรหัสผ่านที่สั้นและน่าฟังเพราะจำและใช้งานง่าย แต่พวกเขามาพร้อมกับค่าใช้จ่าย รหัสผ่านที่ไม่รัดกุม เช่น 123456, name123, schooname123 เป็นต้น เป็นเรื่องปกติที่แฮ็กเกอร์ใช้เพื่อบังคับหน้าล็อกอิน พจนานุกรมกำลังเดรัจฉานมีรหัสผ่านทั้งหมดเหล่านี้โดยค่าเริ่มต้นและสามารถถอดรหัสหน้าเข้าสู่ระบบได้อย่างง่ายดายในไม่กี่นาที

ดังนั้นรหัสผ่านที่ดีควรเป็นอย่างไร?

รหัสผ่านตัวอักษรและตัวเลขใดๆ ที่มีตัวอักษร อักขระพิเศษ และตัวเลขเป็นรหัสผ่านที่ดีที่สุด แต่มีสิ่งที่จับได้ว่าผู้ใช้สามารถสร้างรหัสผ่านที่ง่ายมากได้ ตัวอย่างเช่น name123# ชุดค่าผสมนี้ง่ายต่อการถอดรหัสโดยใช้การโจมตีแบบเดรัจฉาน

จะเอาชนะความผิดพลาดของมนุษย์ในการสร้างรหัสผ่านได้อย่างไร?

คำตอบคือการใช้ตัวสร้างรหัสผ่านอัตโนมัติ ที่มีชื่อเสียงที่สุดคือตัวสร้างรหัสผ่าน Random.org ตัวสร้างรหัสผ่านสร้างรหัสผ่านที่มีความแข็งแรงสูง

6. ใช้ Google Captcha

ฉันชอบ Google Captcha ให้การป้องกันการเข้าสู่ระบบขั้นพื้นฐานสำหรับหน้า WordPress ฉันใช้ทั้งการจำกัดการเข้าสู่ระบบและ Google Captcha บนบล็อก WordPress ของฉัน แม้ว่าจะทำงานได้ดี แต่ฉันขอโต้แย้งเพราะมันให้การป้องกันการโจมตีแบบเดรัจฉานแบบอัตโนมัติ ดีกว่าปลั๊กอินจำกัดการเข้าสู่ระบบมาก

คุณจะพบปลั๊กอิน Google Captcha มากมายบน WordPress แต่ Google Captcha โดย BestWebSoft Plugin เป็นตัวเลือกที่ดีที่สุด การใช้งาน Google Captcha อย่างหมดจดในหน้าเข้าสู่ระบบ นอกจากนี้ คุณสามารถใช้ปลั๊กอินกับรูปแบบอื่น ๆ ในบล็อก WordPress ของคุณได้ ซึ่งจะช่วยเพิ่มขอบเขตการใช้งาน Google Captcha ในบล็อก WordPress

7. เปลี่ยน URL เริ่มต้นของหน้าเข้าสู่ระบบ

ฉันได้กล่าวไปแล้วว่าแฮกเกอร์ใช้ประโยชน์จากการตั้งค่าเริ่มต้นที่ตั้งค่าไว้ระหว่างการติดตั้งเว็บไซต์ WordPress ได้อย่างไร อีกประการหนึ่งที่มีความเสี่ยงสูงคือ URL ของหน้าเข้าสู่ระบบ

หน้า URL เริ่มต้นของการเข้าสู่ระบบ WordPress คือ www.websitename.com/wp-admin

ดังนั้นสิ่งที่จับที่นี่? วิธีที่ดีที่สุดคือเปลี่ยนหน้าเข้าสู่ระบบของเว็บไซต์ WordPress ให้สมบูรณ์ ด้วยวิธีนี้ แฮกเกอร์ส่วนใหญ่จะออกจากอินสแตนซ์แรกที่ไม่พบหน้าเข้าสู่ระบบ

หน้าเข้าสู่ระบบการเปลี่ยนแปลงนั้นยอดเยี่ยมสำหรับองค์กรที่ทำงานบนเว็บไซต์ WordPress และมีผู้ใช้จำนวนมากที่เข้าสู่ระบบและออกจากระบบอย่างต่อเนื่อง

มีบทความดีๆ เกี่ยวกับการเปลี่ยน URL เริ่มต้นของหน้าเข้าสู่ระบบในการจัดการ wp ฉันแนะนำให้คุณไปที่ลิงก์และเปลี่ยน URL การเข้าสู่ระบบเริ่มต้นเป็นอย่างอื่น

สรุป

หน้าเข้าสู่ระบบเป็นจุดเริ่มต้นของตำแหน่งที่ทรงพลังที่สุดในเว็บไซต์ใด ๆ เช่นแดชบอร์ด WordPress จากแดชบอร์ด (ด้วยสิทธิ์พิเศษ) สามารถเปลี่ยนแง่มุมต่าง ๆ ของเว็บไซต์ได้อย่างง่ายดาย แดชบอร์ดยังสามารถใช้เพื่อพิชิตทั้งเว็บไซต์และขโมยข้อมูลสำคัญเกี่ยวกับปลั๊กอิน การตั้งค่า และเนื้อหา

เพื่อป้องกันเว็บไซต์ของคุณจากแฮกเกอร์ การสำรองข้อมูลเว็บไซต์ของคุณเป็นประจำถือเป็นวิธีปฏิบัติที่ดี โดยทั่วไป ผู้ให้บริการเว็บโฮสติ้งจะสำรองข้อมูลเว็บไซต์ของคุณ แต่มีกฎทั่วไปในการสร้างการสำรองข้อมูลด้วยตัวคุณเอง

WordPress เป็นแพลตฟอร์มที่น่าทึ่ง แต่การไม่ดูแลการตั้งค่าความปลอดภัยพื้นฐานสามารถกระตุ้นให้แฮกเกอร์เจาะระบบได้อย่างง่ายดาย ฉันได้ผ่านปัญหาในการไม่รักษาความปลอดภัยหน้าเข้าสู่ระบบและประวัติการเข้าสู่ระบบของฉันจะแสดงให้ผู้อื่นเห็นว่ากำลังพยายามเข้าสู่ระบบอยู่เสมอ ด้วยการใช้ความพยายามจำกัดการเข้าสู่ระบบและ Google Captcha การพยายามเข้าสู่ระบบที่ผิดพลาดได้ลดลงอย่างสมบูรณ์

มีอะไรจะเพิ่มให้กับเรื่องราวหรือไม่? แสดงความคิดเห็นด้านล่างและแจ้งให้เราทราบ