พื้นฐานของความปลอดภัยของ WordPress: วิธีจัดการกับความพยายามในการเข้าสู่ระบบที่ล้มเหลวหลายครั้ง

เผยแพร่แล้ว: 2022-04-28

หากคุณกำลังใช้งานเว็บไซต์หรือเพียงแค่สร้างเว็บไซต์ คุณจะรู้ว่า WordPress เป็นหนึ่งในระบบ CMS ที่ดีที่สุดที่หลาย ๆ คนทั่วโลกใช้ ซึ่งเป็นเหตุผลว่าทำไมแฮ็กเกอร์จำนวนมากจึงกำหนดเป้าหมายไปที่เว็บไซต์นั้น

อย่าคิดว่ามีเพียงเว็บไซต์ขนาดใหญ่เท่านั้นที่ถูกแฮ็ก สิ่งเล็กๆ น้อยๆ ก็ดึงดูดแฮ็กเกอร์ได้ไม่แพ้กัน เพราะพวกเขาเก็บข้อมูลส่วนตัวของลูกค้าด้วย วิธีทั่วไปในการโจมตีไซต์ WordPress คือการพยายามเข้าสู่ระบบหลายครั้ง นั่นคือเหตุผลที่เราจะอธิบายว่าทำไมการจดจำและสังเกตการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งและวิธีการป้องกันจึงเป็นสิ่งสำคัญ

เราจะเข้าไปดูรายละเอียดเพิ่มเติมเกี่ยวกับการโฮสต์ก่อน แต่โดยพื้นฐานแล้ว โฮสติ้งที่ยอดเยี่ยมคือแนวป้องกันแรกของคุณเสมอ โฮสติ้ง WPMU DEV จะทำเครื่องหมายในช่องทั้งหมด ราคาไม่แพง รวดเร็ว ปลอดภัย ทุ่มเทอย่างเต็มที่ และโฮสต์ WordPress อันดับ #1 บน TrustPilot รับส่วนลด 20% สำหรับแผนใด ๆ ที่นี่

ล้มเหลวในการพยายามเข้าสู่ระบบ

จอคอมพิวเตอร์จอแบนสีดำ

ในการใช้ไซต์ WordPress คุณต้องมีชื่อผู้ใช้และรหัสผ่าน ซึ่งหมายความว่าคุณต้องเข้าสู่ระบบ มีเส้นแบ่งระหว่างการลืมรหัสผ่านและบอทที่พยายามจะเจาะเข้าไปในไซต์ของคุณ นี่คือจุดที่การตรวจสอบความพยายามในการเข้าสู่ระบบที่ล้มเหลวจึงเป็นมาตรการรักษาความปลอดภัย

เมื่อไซต์ของคุณแสดงข้อความแสดงข้อผิดพลาด "พยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งเกินไป" ให้ตรวจสอบว่าเกิดอะไรขึ้น อย่าเพิ่งปฏิเสธว่า “ตกลง มีคนลืมรหัสผ่าน” เนื่องจากการโจมตีด้วยกำลังเดรัจฉานแบบกำหนดเป้าหมายอาจนำไปสู่ ​​DDoS และเว็บไซต์ของคุณอาจพังได้

อุปสรรคแรกสำหรับการโจมตีครั้งนี้คือหลังจากที่ผู้ใช้บางรายพยายามเข้าสู่ระบบด้วยข้อมูลประจำตัวที่ไม่ถูกต้อง WordPress จะกำหนดเวลารอที่ต้องหมดอายุ แม้ว่าผู้ใช้รายเดิมจะพยายามเข้าสู่ระบบอีกครั้งด้วยชุดข้อมูลประจำตัวที่ถูกต้องก็ตาม

นี่คือที่ที่คุณลักษณะความปลอดภัยของ OWASP.org สามารถช่วยคุณได้ นี่เป็นซอฟต์แวร์โอเพ่นซอร์สที่ช่วยบล็อกการโจมตีแบบเดรัจฉาน

วิธีจัดการกับความพยายามในการเข้าสู่ระบบที่ล้มเหลวหลายครั้ง

เครื่องหมายคำถามวาดบนกระดาษ

อัปเดตไซต์ WordPress ของคุณอยู่เสมอ

WordPress เผยแพร่การอัปเดตซอฟต์แวร์ตามกำหนดเวลา ดังนั้นอย่าหลีกเลี่ยง การอัปเดตเหล่านี้จะดูแลประสิทธิภาพของไซต์ของคุณ และรวมถึงการตั้งค่าความปลอดภัยและความเป็นส่วนตัวที่ทันสมัย การอัปเดตอยู่เสมอทำให้ WordPress สามารถปกป้องไซต์ของคุณได้ และนี่คือขั้นตอนที่สองในการปกป้องไซต์ของคุณ

จำกัดความพยายามในการเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress อนุญาตให้พยายามเข้าสู่ระบบได้ไม่จำกัด แต่ไม่ได้หมายความว่าคุณควรปล่อยให้ดำเนินการในลักษณะนั้น จำกัดจำนวนครั้งในการเข้าสู่ระบบบนไซต์ของคุณเป็นสามครั้ง มีสองวิธีในการบรรลุเป้าหมายนั้นด้วยปลั๊กอินหรือผ่านโฮสต์ WordPress

ปลั๊กอินฟรีที่จะช่วยให้คุณจำกัดความพยายามในการเข้าสู่ระบบที่ล้มเหลว ได้แก่:

1. จำกัด การพยายามเข้าสู่ระบบ (หยุดการเข้าสู่ระบบปลอม)

จำกัดความพยายามในการเข้าสู่ระบบ (หยุดการเข้าสู่ระบบปลอม)

ปลั๊กอินนี้จะบล็อกที่อยู่ IP ที่เกินขีดจำกัดความพยายามที่ตั้งไว้โดยอัตโนมัติ ปลั๊กอินนี้ช่วยให้คุณเพิ่มที่อยู่ IP ด้วยตนเองในรายการบล็อก แจ้งให้ผู้ใช้ทราบเกี่ยวกับการลองใหม่ที่เหลืออยู่ และให้ความสามารถในการปลดล็อกผู้ใช้ที่ถูกล็อกทางอีเมลหรือแดชบอร์ด จะจำกัดการลองใหม่ต่อ IP และเข้ากันได้กับ Google CAPTCHA

2. จำกัดความพยายามในการเข้าสู่ระบบ

จำกัดความพยายามในการเข้าสู่ระบบ

นี่คือปลั๊กอินที่จะจำกัดความพยายามในการเข้าสู่ระบบ เพิ่มความปลอดภัยในการเข้าสู่ระบบ การป้องกันสแปม และให้ไซต์ของคุณมีการป้องกันการโจมตีด้วยกำลังดุร้าย บล็อกการลงทะเบียนจากผู้ใช้ปลอม และคุณจะสามารถรับรายงานและการตรวจสอบเกี่ยวกับกิจกรรมบนเว็บไซต์ของคุณ ( คุณสามารถส่งออกรายงานเหล่านี้ได้หากต้องการ) นี่เป็นซอฟต์แวร์โอเพ่นซอร์สฟรี

ความปลอดภัยของโฮสต์เว็บ

แม้ว่าคุณจะปกป้องไซต์ WordPress ของคุณจากรายการที่ไม่ได้รับอนุญาต อย่าลืมว่าความปลอดภัยของผู้ให้บริการโฮสติ้งของคุณมีความสำคัญพอๆ กับไซต์ WordPress ของคุณ ลองดูคุณสมบัติของผู้ให้บริการโฮสต์เว็บของคุณ

บางทีคุณอาจต้องอัปเกรดเป็นแผนบริการที่สูงขึ้นสำหรับผู้ให้บริการปัจจุบันของคุณ แต่ยังพิจารณาย้ายไซต์ของคุณไปยังผู้ให้บริการเว็บโฮสติ้งรายใหม่ที่เชื่อถือได้พร้อมการอัปเดตที่แข็งแกร่งและบ่อยครั้งในซอฟต์แวร์เซิร์ฟเวอร์และความปลอดภัยของฮาร์ดแวร์

มองหาทีมที่มีทีมสนับสนุนด้านเทคนิคทุกวันตลอด 24 ชั่วโมง ซึ่งสามารถแก้ไขปัญหาด้านความปลอดภัยของไซต์และปกป้องข้อมูลของคุณได้ โฮสต์ที่มีการสำรองข้อมูลอัตโนมัติของเว็บไซต์ทั้งหมดของคุณก็เป็นทางเลือกที่ดีเช่นกัน

ดังที่เราได้กล่าวไปแล้วว่าตัวเลือกอันดับต้น ๆ สำหรับสิ่งนี้คือ WPMU DEV สิ่งที่เราชื่นชอบเกี่ยวกับ WPMU DEV Hosting มากที่สุดคือมันเต็มไปด้วยคุณสมบัติการโฮสต์ที่ไม่ซ้ำใครและทรงพลังที่คุณจะไม่พบที่อื่น (เช่น ปลั๊กอิน pro-WP ในตัว 7 ตัว) ดูด้วยตัวคุณเองและรับส่วนลด 20% สำหรับแผนโฮสติ้งของพวกเขาที่นี่

เพิ่มความปลอดภัยในการเข้าสู่ระบบ

ใช้ปลั๊กอินความปลอดภัย WordPress ที่จะเปิดใช้งานกระบวนการตรวจสอบสิทธิ์แบบสองขั้นตอนเป็นชั้นความปลอดภัยเพิ่มเติม มีหลายวิธีในการทำเช่นนี้ รหัสจะถูกส่งไปยังโทรศัพท์ของผู้ใช้ การยืนยันอีเมล ฯลฯ สิ่งที่ดีที่สุดสำหรับทีมของคุณ

1. ความปลอดภัยของ iThemes

iThemes Security (เดิมชื่อ Better WP Security)

ปลั๊กอินนี้ รวมถึงคุณสมบัติอื่นๆ จะรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณด้วยคุณสมบัติเหล่านี้: การตรวจสอบสิทธิ์สองปัจจัย (2FA) ที่จะกำหนดให้ผู้ใช้ของคุณป้อนรหัสความปลอดภัย (พร้อมกับรหัสผ่าน) อีเมล รหัสสำรอง และ Google Authentication

2. ความปลอดภัยของไซต์กราวด์

ความปลอดภัยของไซต์กราวด์

ปลั๊กอินนี้จะกำหนดให้ผู้ใช้ที่เป็นผู้ดูแลระบบทุกคนต้องจัดเตรียมโทเค็นที่สร้างขึ้นจากแอป Google Authentication เมื่อเข้าสู่ระบบ

3. การรักษาความปลอดภัย WP ทั้งหมดในที่เดียว

การรักษาความปลอดภัยและไฟร์วอลล์ WP ทั้งหมดในที่เดียว

ปลั๊กอินนี้มีกฎความปลอดภัยที่แบ่งออกเป็น "กฎพื้นฐาน" "ระดับกลาง" และ "ขั้นสูง" ฟรี 100% และคุณสมบัติบางอย่างของมันคือความปลอดภัยของบัญชีผู้ใช้ การรักษาความปลอดภัยการเข้าสู่ระบบของผู้ใช้ที่จะปกป้องไซต์ของคุณจาก "การโจมตีด้วยการเข้าสู่ระบบอย่างดุเดือด" และความปลอดภัยในการลงทะเบียนผู้ใช้

ความปลอดภัยของเครือข่าย

เครือข่ายที่คุณใช้อาจเป็นภัยคุกคามด้านความปลอดภัยต่อไซต์ของคุณได้ เครือข่ายสาธารณะมักไม่ได้รับการปกป้องเป็นอย่างดี เรากำลังพูดถึงสถานที่ต่างๆ เช่น ร้านกาแฟ ห้องสมุด เครือข่ายสาธารณะในศูนย์การค้า ฯลฯ

กลยุทธ์ด้านความปลอดภัยที่สำคัญในการปกป้องคุณในเครือข่าย Wi-Fi สาธารณะคือการใช้เครือข่ายส่วนตัวเสมือน VPN นอกจากนี้ยังเป็นการป้องกันที่ดีเมื่อใช้ Wi-Fi ที่บ้านสำหรับธุรกิจหรืออย่างอื่น ดังนั้นให้พิจารณาตรวจสอบผู้ให้บริการบางราย

การรักษาความปลอดภัยนอกสถานที่

นี่เป็นคุณลักษณะด้านความปลอดภัยที่สำคัญมากที่ควรพิจารณาในการปกป้องไซต์ WordPress ของคุณ แอปพลิเคชันและฐานข้อมูลทั้งหมดที่ใช้ในโหมดออฟไลน์มีความเสี่ยงด้านความปลอดภัย ดังนั้นตรวจสอบให้แน่ใจว่าได้รวมเข้ากับไซต์ WordPress ของคุณอย่างปลอดภัย

บทสรุป

ในฐานะผู้สร้างเว็บไซต์ที่ใช้งานง่าย ผู้ใช้หลายล้านคนใช้ WordPress ในการมีไซต์ที่ปลอดภัย ขั้นตอนแรกคือการป้องกันการโจมตีแบบเดรัจฉานโดยการตรวจสอบและจัดการการพยายามเข้าสู่ระบบที่ล้มเหลวทั้งหมดอย่างถูกต้อง นี่เป็นวิธีการป้องกันที่ต้องมีสำหรับเว็บไซต์และประเภทของการโจมตีที่แฮ็กเกอร์ใช้บ่อยเกินไป

นอกจากนี้ การรักษาความปลอดภัยด้านอื่นๆ ทั้งหมดที่เรากล่าวถึงในบทความนี้จะปกป้องไซต์ของคุณ ดังนั้นอย่าประมาทพวกเขา