7 เคล็ดลับเพื่อความปลอดภัยของผู้ใช้ WordPress ในปี 2021

วิธีที่ดีที่สุดในการรักษาความปลอดภัยให้กับผู้ใช้ WordPress ของคุณในปี 2021 คือการใช้รหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบสองปัจจัย ดูเหมือนจะตรงไปตรงมาใช่มั้ย? ความจริงก็คือความปลอดภัยของผู้ใช้ WordPress นั้นเหมาะสมกว่าเล็กน้อย

เมื่อใดก็ตามที่เราพูดถึงความปลอดภัยของผู้ใช้ เรามักจะได้ยินคำถามเช่น ผู้ใช้ WordPress ทุกคนควรมีข้อกำหนดด้านความปลอดภัยเหมือนกันหรือไม่ และความปลอดภัยมีมากน้อยเพียงใด?

ไม่ต้องกังวล เราตอบคำถามเหล่านี้ทั้งหมด แต่ก่อนอื่น เรามาพูดถึงผู้ใช้ WordPress ประเภทต่างๆ กันก่อน

ผู้ใช้ WordPress ประเภทต่าง ๆ มีอะไรบ้าง?

มีผู้ใช้ WordPress เริ่มต้นที่แตกต่างกัน 5 คน

1. ผู้ดูแลระบบ
2. บรรณาธิการ
3. ผู้เขียน
4. ผู้ร่วมให้ข้อมูล
5. สมาชิก

ผู้ใช้แต่ละคนมีความสามารถที่แตกต่างกัน ความสามารถกำหนดสิ่งที่พวกเขาสามารถทำได้เมื่อเข้าถึงแดชบอร์ด อ่านเพิ่มเติมเกี่ยวกับบทบาทผู้ใช้ WordPress และการอนุญาต

ความเสียหายที่อาจเกิดขึ้นจากผู้ใช้ WP ที่ถูกแฮ็กต่างๆ

ก่อนที่เราจะสามารถเข้าใจวิธีการรักษาความปลอดภัยให้กับผู้ใช้ WordPress ของเรา เราต้องเข้าใจระดับภัยคุกคามของผู้ใช้ที่ถูกบุกรุกแต่ละประเภทเสียก่อน ประเภทและระดับของความเสียหายที่ผู้โจมตีสามารถสร้างได้นั้นแตกต่างกันไปตามบทบาทและความสามารถของผู้ใช้ที่แฮ็ค

ผู้ดูแลระบบ – ระดับภัยคุกคามสูง

ผู้ ใช้ผู้ ดูแลระบบ มีความสามารถในสิ่งที่พวกเขาต้องการ

• สร้าง ลบ และแก้ไขผู้ใช้
• ติดตั้ง ลบ และแก้ไขปลั๊กอินและธีม
• สร้าง ลบ และแก้ไขโพสต์และหน้าทั้งหมด
• เผยแพร่และยกเลิกการเผยแพร่โพสต์และเพจ
• เพิ่มและลบสื่อ

หากแฮ็กเกอร์สามารถจัดการกับหนึ่งในผู้ดูแลระบบของไซต์ของคุณ พวกเขาก็สามารถเรียกค่าไถ่เว็บไซต์ของคุณได้ แรนซัมแวร์ หมายถึงเวลาที่แฮ็กเกอร์เข้ายึดเว็บไซต์ของคุณและจะไม่ปล่อยมันคืนให้คุณเว้นแต่คุณจะจ่ายค่าธรรมเนียมจำนวนมากให้พวกเขา

เวลาหยุดทำงานโดยเฉลี่ยของการโจมตีด้วยแรนซัมแวร์คือ 9.5 วัน รายได้ 10 วันของการขาย NO มีค่าใช้จ่ายเท่าไร?

บรรณาธิการ – ระดับภัยคุกคามสูง

บรรณาธิการ จัดการเนื้อหาทั้งหมดของเว็บไซต์ ผู้ใช้เหล่านี้ยังคงมีพลังอยู่บ้าง

• สร้าง ลบ และแก้ไขโพสต์และหน้าทั้งหมด
• เผยแพร่และยกเลิกการเผยแพร่โพสต์และหน้าทั้งหมด
• อัปโหลดไฟล์มีเดีย
• จัดการลิงก์ทั้งหมด
• จัดการความคิดเห็น
• จัดการหมวดหมู่

หากผู้โจมตีเข้าควบคุมบัญชีของบรรณาธิการ พวกเขาสามารถแก้ไขหน้าใดหน้าหนึ่งของคุณเพื่อใช้ในการโจมตีแบบฟิชชิง ฟิชชิ่ง เป็นการโจมตีประเภทหนึ่งที่ใช้ในการขโมยข้อมูลผู้ใช้ รวมถึงข้อมูลรับรองการเข้าสู่ระบบและหมายเลขบัตรเครดิต

ฟิชชิงเป็นวิธีที่แน่นอนที่สุดวิธีหนึ่งในการทำให้เว็บไซต์ของคุณถูกขึ้นบัญชีดำโดย Google ในแต่ละวัน มีเว็บไซต์กว่า 10,000 แห่งเข้ามาอยู่ในรายการบล็อกของ Google ด้วยเหตุผลหลายประการ

ผู้เขียน – ระดับภัยคุกคามขนาดกลาง

ผู้เขียน ได้รับการออกแบบมาเพื่อสร้างและจัดการเนื้อหาของตนเอง

• สร้าง ลบ และแก้ไขโพสต์และเพจของตนเอง
• เผยแพร่และยกเลิกการเผยแพร่โพสต์ของตนเอง
• อัพโหลดไฟล์มีเดีย

หากผู้โจมตีต้องเข้าควบคุมบัญชีของผู้เขียน พวกเขาสามารถสร้างหน้าและโพสต์ที่ส่งผู้เยี่ยมชมเว็บไซต์ของคุณไปยังเว็บไซต์ที่เป็นอันตราย

Contributor & Subscriber – ระดับภัยคุกคามต่ำ

Contributor เป็นเวอร์ชัน Lite ของบทบาทผู้ใช้ของผู้เขียน พวกเขาไม่มีอำนาจเผยแพร่

• สร้างและแก้ไขโพสต์ของตนเอง
• ลบโพสต์ที่ไม่ได้เผยแพร่ของตนเอง

สมาชิก สามารถอ่านสิ่งที่ผู้ใช้รายอื่นเผยแพร่

แม้ว่าแฮ็กเกอร์ที่มีบทบาทเป็นผู้สนับสนุนหรือสมาชิกจะไม่สามารถทำการเปลี่ยนแปลงที่เป็นอันตรายได้ แต่ก็สามารถขโมยข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในบัญชีหรือหน้าโปรไฟล์ของผู้ใช้ได้

7 เคล็ดลับในการรักษาความปลอดภัยให้กับผู้ใช้ WordPress ของคุณ

โอเค นั่นเป็นสิ่งที่น่ารังเกียจทีเดียวที่แฮ็กเกอร์สามารถทำกับเว็บไซต์ของเราได้ ข่าวดีก็คือการโจมตีส่วนใหญ่ในบัญชีผู้ใช้ WordPress ของคุณสามารถป้องกันได้โดยใช้ความพยายามเพียงเล็กน้อยจากคุณ

มาดูสิ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับผู้ใช้ WordPress ของคุณ ความจริงก็คือวิธีการรักษาความปลอดภัยเหล่านี้จะช่วยปกป้องผู้ใช้ WordPress ทุกประเภท แต่ในขณะที่เราดำเนินการผ่านแต่ละวิธี เราจะแจ้งให้คุณทราบว่าผู้ใช้รายใดที่คุณควรกำหนดให้ใช้วิธีนี้

1. ให้ความสามารถที่จำเป็นแก่ผู้คนเท่านั้น

วิธีที่ง่ายที่สุดที่คุณสามารถปกป้องเว็บไซต์ของคุณได้คือการให้ความสามารถที่พวกเขาต้องการแก่ผู้ใช้เท่านั้น และไม่ทำอะไรมากไปกว่านี้ ถ้าสิ่งเดียวที่ใครบางคนจะทำบนเว็บไซต์ของคุณคือการสร้างและแก้ไขโพสต์ในบล็อกของตนเอง พวกเขาไม่จำเป็นต้องมีความสามารถในการแก้ไขโพสต์ของคนอื่น

2. จำกัดความพยายามในการเข้าสู่ระบบ

การโจมตีด้วยกำลังดุร้ายหมายถึงวิธีการทดลองและข้อผิดพลาดที่ใช้เพื่อค้นหาชื่อผู้ใช้และรหัสผ่านที่รวมกันเพื่อแฮ็คเข้าสู่เว็บไซต์ ตามค่าเริ่มต้น ไม่มีอะไรใน WordPress ที่จะจำกัดจำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลว

ผู้โจมตีสามารถทำได้โดยไม่จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลว พวกเขาสามารถลองชื่อผู้ใช้และรหัสผ่านได้ไม่รู้จบจนกว่าจะสำเร็จ

คุณลักษณะ การป้องกันการบังคับ Brute Force ในพื้นที่ของ iThemes Security Pro จะคอยติดตามการพยายามเข้าสู่ระบบที่ไม่ถูกต้องจากที่อยู่ IP และชื่อผู้ใช้ เมื่อ IP หรือชื่อผู้ใช้พยายามเข้าสู่ระบบที่ไม่ถูกต้องติดต่อกันหลายครั้งเกินไป พวกเขาจะถูกล็อคและจะป้องกันไม่ให้พยายามเข้าสู่ระบบอีก

3. รักษาความปลอดภัยผู้ใช้ WordPress ด้วยรหัสผ่านที่รัดกุม

ยิ่งรหัสผ่านบัญชีผู้ใช้ WordPress ของคุณแข็งแกร่งมากเท่าไร ก็ยิ่งเดาได้ยากขึ้นเท่านั้น ใช้เวลา 0.29 มิลลิวินาทีในการถอดรหัสรหัสผ่านเจ็ดอักขระ แต่แฮ็กเกอร์ต้องใช้เวลาสองศตวรรษในการถอดรหัสรหัสผ่านอักขระสิบสองตัว!

ตามหลักการแล้ว รหัสผ่านที่รัดกุมคือสตริงตัวอักษรและตัวเลขยาวสิบสองอักขระ รหัสผ่านควรประกอบด้วยตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก รวมทั้งอักขระ ASCII อื่นๆ

แม้ว่าทุกคนจะได้รับประโยชน์จากการใช้รหัสผ่านที่รัดกุม แต่คุณอาจต้องการบังคับเฉพาะผู้ที่มีความสามารถระดับผู้เขียนขึ้นไปเท่านั้นให้มีรหัสผ่านที่รัดกุม

คุณลักษณะ ข้อกำหนดรหัสผ่าน iThemes Security Pro ช่วยให้คุณสามารถบังคับให้ผู้ใช้บางรายใช้รหัสผ่านที่รัดกุม

4. ปฏิเสธรหัสผ่านที่ถูกบุกรุก

แม้ว่า 91% ของผู้คนจะรู้ว่าการใช้รหัสผ่านซ้ำเป็นแนวทางปฏิบัติที่ไม่ดี แต่ 59% ของผู้คนยังคงใช้รหัสผ่านซ้ำในทุกที่! หลายคนเหล่านี้ยังคงใช้รหัสผ่านที่พวกเขารู้ว่าปรากฏในการถ่ายโอนข้อมูลฐานข้อมูล

แฮกเกอร์ใช้รูปแบบของการโจมตีแบบดุร้ายที่เรียกว่าการโจมตีแบบพจนานุกรม การโจมตีด้วยพจนานุกรมเป็นวิธีการเจาะเข้าไปในเว็บไซต์ WordPress ด้วยรหัสผ่านที่ใช้กันทั่วไปซึ่งปรากฏในการถ่ายโอนข้อมูลของฐานข้อมูล “คอลเลกชั่น #1? การละเมิดข้อมูลที่โฮสต์บนโฮสต์ MEGA รวมที่อยู่อีเมลและรหัสผ่านที่ไม่ซ้ำกัน 1,160,253,228 ชุด นั่นคือพันล้านด้วย a b คะแนนประเภทนี้จะช่วยให้การโจมตีพจนานุกรมจำกัดรหัสผ่าน WordPress ที่ใช้บ่อยที่สุดได้จริง

เป็นสิ่งที่ต้องป้องกันไม่ให้ผู้ใช้ที่มีความสามารถระดับผู้เขียนขึ้นไปใช้รหัสผ่านที่ถูกบุกรุก คุณอาจคิดถึงการไม่ให้ผู้ใช้ระดับล่างของคุณใช้รหัสผ่านที่ถูกบุกรุก

เป็นที่เข้าใจได้อย่างสมบูรณ์และสนับสนุนให้สร้างบัญชีลูกค้าใหม่ให้ง่ายที่สุด อย่างไรก็ตาม ลูกค้าของคุณอาจไม่ทราบว่ามีการพบรหัสผ่านที่พวกเขาใช้ในการถ่ายโอนข้อมูล คุณจะให้บริการที่ยอดเยี่ยมแก่ลูกค้าของคุณโดยแจ้งเตือนพวกเขาว่ารหัสผ่านที่พวกเขาใช้นั้นถูกบุกรุก หากพวกเขาใช้รหัสผ่านนั้นในทุกๆ ที่ คุณก็สามารถช่วยพวกเขาให้พ้นจากปัญหาใหญ่ๆ ที่เกิดขึ้นระหว่างทางได้

คุณลักษณะ iThemes Security Pro ปฏิเสธรหัสผ่านที่ถูกบุกรุก บังคับให้ผู้ใช้ใช้รหัสผ่านที่ไม่ปรากฏในการละเมิดรหัสผ่านใด ๆ ที่ติดตามโดยฉันเคยถูก Pwned

5. รักษาความปลอดภัยผู้ใช้ WordPress ด้วยการตรวจสอบสิทธิ์สองปัจจัย

การรับรองความถูกต้องด้วยสองปัจจัยเป็นกระบวนการในการยืนยันตัวตนของบุคคลโดยกำหนดให้มีการตรวจสอบสองวิธีแยกกัน Google แบ่งปันในบล็อกว่าการใช้การรับรองความถูกต้องด้วยสองปัจจัยสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% ฉันชอบอัตราต่อรองเหล่านั้นจริงๆ

อย่างน้อยที่สุด คุณควรกำหนดให้ผู้ดูแลระบบและบรรณาธิการของคุณใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

คุณลักษณะการ ตรวจสอบสิทธิ์สองปัจจัยของ iThemes Security Pro มอบความยืดหยุ่นมากมายเมื่อใช้งาน 2fa บนเว็บไซต์ของคุณ คุณสามารถเปิดใช้งานสองปัจจัยสำหรับผู้ใช้ของคุณทั้งหมดหรือบางส่วน และคุณสามารถบังคับให้ผู้ใช้ระดับสูงของคุณใช้ 2fa ในการเข้าสู่ระบบแต่ละครั้ง

6. จำกัดการเข้าถึงอุปกรณ์ไปยังแดชบอร์ด WP

การจำกัดการเข้าถึงแดชบอร์ด WordPress ไปยังชุดอุปกรณ์สามารถเพิ่มระดับความปลอดภัยที่แข็งแกร่งให้กับเว็บไซต์ของคุณได้ หากแฮ็กเกอร์ไม่ได้อยู่ในอุปกรณ์ที่ถูกต้องสำหรับผู้ใช้ พวกเขาจะไม่สามารถใช้ผู้ใช้ที่ถูกบุกรุกเพื่อสร้างความเสียหายให้กับเว็บไซต์ของคุณ

คุณควรจำกัดการเข้าถึงอุปกรณ์สำหรับผู้ดูแลระบบและบรรณาธิการเท่านั้น

ฟีเจอร์ iThemes Security Pro Trusted Devices ระบุอุปกรณ์ที่คุณและผู้ใช้รายอื่นใช้เพื่อลงชื่อเข้าใช้ไซต์ WordPress ของคุณ เมื่อผู้ใช้เข้าสู่ระบบในอุปกรณ์ที่ไม่รู้จัก อุปกรณ์ที่เชื่อถือได้สามารถจำกัดความสามารถระดับผู้ดูแลระบบได้ ซึ่งหมายความว่าหากผู้โจมตีสามารถเจาะเข้าไปในส่วนแบ็คเอนด์ของไซต์ WordPress ของคุณได้ พวกเขาจะไม่สามารถทำการเปลี่ยนแปลงที่เป็นอันตรายใดๆ กับเว็บไซต์ของคุณได้

7. รักษาความปลอดภัยผู้ใช้ WordPress จากการจี้เซสชัน

WordPress สร้างคุกกี้เซสชั่นทุกครั้งที่คุณเข้าสู่เว็บไซต์ของคุณ และสมมติว่าคุณมีส่วนขยายเบราว์เซอร์ที่นักพัฒนาละทิ้งและไม่ได้เผยแพร่การอัปเดตความปลอดภัยอีกต่อไป น่าเสียดายสำหรับคุณ ส่วนขยายเบราว์เซอร์ที่ถูกละเลยมีช่องโหว่ ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถจี้คุกกี้เบราว์เซอร์ของคุณ รวมถึงคุกกี้เซสชัน WordPress ที่กล่าวถึงก่อนหน้านี้ การแฮ็กประเภทนี้เรียกว่า Session Hijacking ดังนั้น ผู้โจมตีสามารถใช้ช่องโหว่ของส่วนขยายเพื่อดึงข้อมูลการเข้าสู่ระบบของคุณออกและเริ่มทำการเปลี่ยนแปลงที่เป็นอันตรายกับผู้ใช้ WordPress ของคุณ

คุณควรมีระบบป้องกันการไฮแจ็กเซสชันสำหรับผู้ดูแลระบบและบรรณาธิการของคุณ

ฟีเจอร์ iThemes Security Pro Trusted Devices ทำให้ Session Hijacking กลายเป็นอดีตไปแล้ว หากอุปกรณ์ของผู้ใช้เปลี่ยนแปลงระหว่างเซสชัน iThemes Security จะล็อกผู้ใช้ออกโดยอัตโนมัติ เพื่อป้องกันกิจกรรมที่ไม่ได้รับอนุญาตในบัญชีของผู้ใช้ เช่น การเปลี่ยนที่อยู่อีเมลของผู้ใช้หรือการอัปโหลดปลั๊กอินที่เป็นอันตราย

ห่อ

ความนิยมของ WordPress ทำให้เป็นเป้าหมายของแฮกเกอร์ทั่วโลก ดังที่เราได้กล่าวไปแล้ว ผู้โจมตีสามารถสร้างความเสียหายได้โดยการแฮ็คแม้แต่ผู้ใช้ WordPress ระดับต่ำสุด ข่าวดีก็คือ แม้ว่าจะไม่มีวิธีใดที่จะป้องกันการโจมตีผู้ใช้ WordPress ของคุณได้ แต่ด้วยความพยายามเพียงเล็กน้อยในส่วนของเรา เราสามารถป้องกันการโจมตีไม่ให้ประสบความสำเร็จได้

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน