5 ขั้นตอนสู่หน้าเข้าสู่ระบบที่ปลอดภัยของ WordPress

บทความที่เขียนโดย:
  • WordPress
  • อัปเดต: มิ.ย. 19, 2019

การปกป้องหน้าเข้าสู่ระบบของคุณไม่สามารถทำได้โดยเทคนิคเฉพาะอย่างใดอย่างหนึ่ง แต่มีขั้นตอนและแน่นอน ปลั๊กอินความปลอดภัยฟรี คุณสามารถทำการโจมตีใด ๆ ที่มีโอกาสน้อยที่จะประสบความสำเร็จ

หน้าเข้าสู่ระบบของเว็บไซต์ของคุณเป็นหนึ่งในหน้าเว็บที่มีช่องโหว่มากขึ้นในเว็บไซต์ของคุณดังนั้นมาเริ่มต้นกันด้วยการทำให้หน้าเข้าสู่ระบบเว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้น

1 ใช้รหัสผ่านที่คาดเดายากและชื่อผู้ใช้ที่แปลก

Brute บังคับให้หน้าเข้าสู่ระบบเป็นหนึ่งในรูปแบบทั่วไปของการโจมตีเว็บที่เว็บไซต์ของคุณมีแนวโน้มที่จะเผชิญ หากคุณมีรหัสผ่านหรือชื่อผู้ใช้ที่จะคาดเดาได้ง่ายเว็บไซต์ของคุณเกือบจะไม่ใช่เป้าหมายเพียงอย่างเดียว แต่ในที่สุดก็เป็นเหยื่อ

Splash Data รวบรวมรายชื่อรหัสผ่านที่ใช้บ่อยสำหรับ 2014

รหัสผ่านตามลำดับในแง่ของการใช้งาน

  1. 123456
  2. รหัสผ่าน
  3. 12345
  4. 12345678
  5. QWERTY
  6. 123456789
  7. 1234
  8. กีฬาเบสบอล
  9. มังกร
  10. ฟุตบอล

หากคุณใช้รหัสผ่านเหล่านี้และเว็บไซต์ของคุณได้รับการเข้าชมใด ๆ เว็บไซต์ของคุณจะถูกนำมาใช้ไม่ช้าก็เร็ว

ใช้รหัสผ่านที่รัดกุมและชื่อผู้ใช้ผิดปกติ ก่อนหน้านี้กับ WordPress คุณต้องเริ่มต้นด้วยชื่อผู้ใช้ผู้ดูแลระบบดีฟอลต์ แต่จะใช้ไม่ได้อีกต่อไป อย่างไรก็ตามผู้ดูแลระบบเว็บใหม่ส่วนใหญ่จะใช้ชื่อผู้ใช้เริ่มต้นและจำเป็นต้องเปลี่ยนชื่อผู้ใช้ของตน คุณสามารถใช้ได้ เปลี่ยนชื่อผู้ดูแลระบบใหม่ เปลี่ยนชื่อผู้ดูแลระบบของคุณ

ด้วยปลั๊กอินความปลอดภัยคุณสามารถบังคับใช้รหัสผ่านที่คาดเดายากสำหรับผู้ใช้ทั้งหมดของคุณ คุณไม่ต้องการให้ใครบางคนที่มีสิทธิ์เข้าถึงระดับเครื่องมือแก้ไขใช้รหัสผ่านที่ไม่ดีได้ในตอนนี้ มันลดความปลอดภัยของคุณอย่างมาก

ใช้เครื่องมือสร้างรหัสผ่านแบบสุ่มที่มีอยู่ในระบบออนไลน์เช่น สร้างรหัสผ่านที่ปลอดภัย or เครื่องมือสร้างรหัสผ่านของ Norton or LastPass. ทุกคนมีอิสระที่จะใช้

หากคุณมีปัญหาในการจดจำรหัสผ่านของคุณคุณสามารถใช้ รหัสผ่าน KeePass ปลอดภัย or เครื่องมือจัดการรหัสผ่านของ Dashlane.

2 ซ่อนหน้าเข้าสู่ระบบและหน้า Wp-Admin

แฮกเกอร์ต้องการค้นหาหน้าเข้าสู่ระบบของคุณหากเขาหรือเธอตั้งใจจะ กำลังดุร้าย หน้าเข้าสู่ระบบเพื่อเข้าถึง คุณสามารถป้องกันสิ่งนี้ได้โดยใช้การรักษาความปลอดภัยการโทรผ่านความสับสนความคิดที่ซ่อนหน้าเข้าสู่ระบบของคุณจะปกป้องคุณเนื่องจากผู้โจมตีไม่สามารถระบุจุดเข้าได้ เว็บไซต์ของคุณจะเทียบเท่ากับธนาคารที่ไม่มีประตูหรือจุดเชื่อมต่อสาธารณะอื่น ๆ

เว็บไซต์ WordPress ส่วนใหญ่มีจุดเข้าสู่ระบบที่ yourwebsite.com/login.php

ลองพิมพ์ webhostingsecretrevealed.net/login.php ในแถบที่อยู่ของเบราว์เซอร์ ใช้งานไม่ได้ใช่ไหม เพราะมันไม่มีอยู่จริง รายการเข้าสู่ระบบสำหรับ WHSR ตั้งอยู่บน URL อื่น

ในทำนองเดียวกันคุณสามารถเปลี่ยนจุดเชื่อมต่อบนเว็บไซต์ของคุณเป็นอย่างอื่นได้ โดยพื้นฐานแล้วเรา เปลี่ยน URL ของหน้าเข้าสู่ระบบ.

ProtectYourAdmin

คล้ายกับหน้า login.php มีไดเร็กทอรี wp-admin ซึ่งจำเป็นต้องได้รับการป้องกัน มันค่อนข้างง่ายที่จะทำกับทั้งสองปลั๊กอิน - WPS ซ่อนการเข้าสู่ระบบ และ ปกป้องผู้ดูแลระบบของคุณ.

3 SSL

SSL หรือ Secure Socket Layer เป็นชั้นความปลอดภัยเพิ่มเติมซึ่งทำให้ข้อมูลใด ๆ ที่คุณส่งและรับระหว่างเบราว์เซอร์และเซิร์ฟเวอร์อ่านไม่ได้ หากมีคนดักจับข้อมูลพวกเขาจะไม่สามารถอ่านได้และจะไม่มีเหตุผลใด ๆ

SSL ใช้สำหรับพอร์ทัลธุรกรรมทางการเงินและเมื่อใดก็ตามที่มีการใช้ข้อมูลที่ละเอียดอ่อน เว็บไซต์จัดเก็บข้อมูลเกี่ยวกับผู้ใช้ไว้มากมายและ SSL จะช่วยเก็บข้อมูลนั้นให้ปลอดภัย

ในทำนองเดียวกัน SSL ทำงานบนหน้าการเข้าสู่ระบบโดยการทำให้เบราเซอร์ไปใช้กับเซิร์ฟเวอร์สื่อสารมีความปลอดภัยมากขึ้น

SimpleSSl

สำหรับบล็อกเกอร์แต่ละคนและธุรกิจขนาดเล็ก SSL แบบแชร์ฟรีซึ่งคุณสามารถรับได้จากผู้ให้บริการโฮสติ้งของคุณ มาเข้ารหัส,หรือ CloudFlare - มักจะดีเกินพอ

สำหรับธุรกิจที่ดำเนินการชำระเงินของลูกค้า - ดีที่สุดสำหรับคุณ ซื้อใบรับรอง SSL เฉพาะ จากโฮสต์เว็บของคุณหรือผู้ออกใบรับรอง (CA) Simple Simple จริงๆ และ WP Force SSL ทั้งช่วยให้คุณติดตั้ง SSL บนเว็บไซต์ของคุณเมื่อคุณซื้อใบรับรอง SSL แล้ว

4 จำกัด จำนวนครั้งในการเข้าสู่ระบบ

นี่เป็นเทคนิคที่ง่ายอย่างเหลือเชื่อเพื่อหยุดการโจมตีด้วยกำลังเดรัจฉานในหน้าการเข้าสู่ระบบของคุณในแทร็กของพวกเขา การโจมตีด้วยความโหดร้ายทำงานโดยพยายามที่จะได้รับชื่อผู้ใช้และรหัสผ่านของคุณโดยลองใช้ชุดค่าผสมหลาย ๆ ตัวซ้ำแล้วซ้ำอีก

หากมีการติดตาม IP เฉพาะที่กำลังกระทำการโจมตีอยู่คุณสามารถปิดกั้นการบังคับให้เดรัจฉานซ้ำ ๆ และทำให้เว็บไซต์ของคุณปลอดภัย นี่คือเหตุผลที่การโจมตี DDoS ทั่วโลกเกิดขึ้นกับที่อยู่ IP หลายแห่งที่มีต้นกำเนิดแตกต่างกันไปเพื่อให้บริการโฮสติ้งและการรักษาความปลอดภัยของเว็บไซต์ไม่สามารถป้องกันได้

LoginLockdown

เข้าสู่ระบบ LockDown และ โซลูชั่นเข้าสู่ระบบการรักษาความปลอดภัย ทั้งสองมีโซลูชันที่ยอดเยี่ยมในการปกป้องหน้าเข้าสู่เว็บไซต์ พวกเขาติดตามที่อยู่ IP และ จำกัด จำนวนครั้งที่พยายามเข้าสู่ระบบเพื่อปกป้องเว็บไซต์ของคุณ

5 การรับรองความถูกต้องของสองปัจจัย

Google Authenticator ให้ เป็นปลั๊กอิน WordPress ที่ทำงานผ่านแอปที่ติดตั้งบน Android / iPhone / Blackberry ของคุณ ปลั๊กอินสร้างโค้ด QR ซึ่งคุณสามารถสแกนด้วยโทรศัพท์มือถือของคุณหรือคุณสามารถป้อนรหัสลับด้วยตนเอง

AuthCode

การเข้าสู่ระบบของคุณจะต้องมีรหัสการรับรองความถูกต้องซึ่งสร้างขึ้นบนอุปกรณ์มือถือของคุณเพื่อเข้าสู่ระบบ ปลั๊กอินสามารถใช้กับผู้ใช้ตามพื้นฐานของผู้ใช้และไม่แนะนำสำหรับผู้ใช้จะได้รับสิทธิพิเศษน้อยลง เนื่องจากมีความเป็นไปได้สูงมากที่แฮ็กเกอร์จะสามารถเข้าถึงอุปกรณ์มือถือของคุณทางกายภาพหน้าล็อกอินของเว็บไซต์ของคุณจะปลอดภัยอย่างแน่นอน (สมมติว่าไม่มีช่องโหว่อื่น ๆ )

การรักษาความปลอดภัยเพิ่มเติม

เราได้พูดคุยเกี่ยวกับการซ่อน / เปลี่ยนชื่อหน้าเข้าสู่ระบบและไดเรกทอรี wp-admin การเปิดใช้งาน SSL ในหน้าเข้าสู่ระบบโดยใช้การตรวจสอบสองปัจจัย จำกัด การพยายามเข้าสู่ระบบและใช้รหัสผ่านที่แข็งแกร่งและชื่อผู้ใช้ที่ผิดปกติ คุณควรทราบด้วยว่าเว็บโฮสต์บางแห่งมีข้อกำหนดด้านความปลอดภัยเหล่านี้กับผู้ใช้

หากคุณต้องการคุณยังสามารถใช้ปลั๊กอินความปลอดภัยที่สมบูรณ์แบบได้เช่นกัน iThemes การรักษาความปลอดภัย or Wordfence ซึ่งมีคุณลักษณะการป้องกันการเข้าสู่ระบบจำนวนมากนอกเหนือจากมาตรการรักษาความปลอดภัยเว็บไซต์ WordPress โดยรวม

ไม่มีบทความเกี่ยวกับความปลอดภัยของ WordPress ที่สมบูรณ์โดยไม่กล่าวถึงความปลอดภัยว่าสามารถถูกบุกรุกได้เสมอ วางแผนล่วงหน้าและสำรองเว็บไซต์ของคุณด้วยเครื่องมือฟรีเช่น Updraft Plus หรือผู้ให้บริการโซลูชันระดับพรีเมียมเช่น VaultPress or BackUp Buddy.

ฉันหวังว่าบทความนี้จะเป็นประโยชน์และทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้น

เกี่ยวกับพระวิษณุ

พระวิษณุเป็นนักเขียนอิสระในเวลากลางคืนทำงานเป็นนักวิเคราะห์ข้อมูลตามวัน