4 วิธีในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

แฮกเกอร์ไม่จำเป็นต้องลับๆล่อๆหรือซับซ้อนเพื่อให้ได้สิ่งที่ต้องการ บ่อยครั้งที่พวกเขาบุกเข้ามาทางประตูหน้า การใช้เครื่องมือที่เหมาะสมสามารถช่วยได้ แต่ยังมีอีกหลายสิ่งที่คุณทำได้เพื่อ ปกป้องเว็บไซต์ของคุณและรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress

ในรายงานนี้ โดย Nathan Finch แห่ง Aussie Hosting พวกเขาได้ตรวจสอบและเปรียบเทียบบริษัทโฮสติ้งต่างๆ ตามประสิทธิภาพของพวกเขา พวกเขาพบว่าบริษัทที่มีเวลาหยุดทำงานมากขึ้นก็มีเซิร์ฟเวอร์ที่บำรุงรักษาไม่ดีซึ่งเพิ่มความเสี่ยงต่อข้อกังวลด้านความปลอดภัย

มีรายงานว่า Google ขึ้นบัญชีดำเว็บไซต์ประมาณ 70,000 เว็บไซต์ต่อสัปดาห์สำหรับปัญหาด้านความปลอดภัยในการเข้าสู่ระบบ WordPress เช่น มัลแวร์และฟิชชิ่ง แนวป้องกันแรกของคุณจากการบุกรุกคือการปกป้องการเข้าสู่ระบบ WordPress ของคุณ การควบคุมการเข้าใช้รูปแบบนี้ดูเหมือนเป็นเรื่องง่าย แต่คุณจะต้องแปลกใจที่มักมองข้ามมาตรการรักษาความปลอดภัยที่ง่ายที่สุดหรือถูกมองข้ามไป

โดยไม่คำนึงถึง คุณลักษณะด้านความปลอดภัยที่ นำเสนอโดยบริการโฮสติ้งของคุณที่ส่วนหลัง ในฐานะเจ้าของเว็บไซต์ เงินจะหยุดอยู่กับคุณ

– ที่มา: Wordfence

อะไรทำให้การเข้าสู่ระบบ WordPress มีช่องโหว่?

ความนิยมของ WordPress คือสิ่งที่ทำให้มันเป็นเป้าหมายที่ง่ายและน่าดึงดูด แต่อะไรทำให้แพลตฟอร์มเสี่ยงต่อการถูกโจมตีและหาประโยชน์

ประการหนึ่ง แฮกเกอร์ทำการสอดแนมมากก่อนที่จะถอดรหัสระบบ พวกเขารู้ว่า WP บางรุ่นมีช่องโหว่มากกว่ารุ่นอื่น และแพลตฟอร์มนี้อยู่มานานพอที่ผู้เชี่ยวชาญจะรู้ว่ามันคืออะไร หมายเลขเวอร์ชันจะอยู่บนหน้าเว็บและใน URL ของคุณ เว้นแต่คุณจะลบออก

การดูไดเร็กทอรีของคุณยังให้ข้อมูลที่เป็นประโยชน์มากมาย เช่น ประเภทของปลั๊กอินและธีมที่คุณติดตั้ง เนื่องจากทำงานบนการเข้ารหัสแบบโอเพนซอร์ส การทิ้งปลั๊กอินที่ไม่ได้ใช้หรือไม่ได้รับการสนับสนุนไว้ในไดเรกทอรีของคุณ แม้ว่าจะปิดใช้งานอยู่ก็ตาม เป็นวิธีง่ายๆ สำหรับแฮกเกอร์ในการเข้าถึงโค้ดของคุณ เมื่อเข้าไปข้างในแล้ว พวกเขาสามารถเปิดช่องโหว่ เปลี่ยนการเข้ารหัส จี้เซสชัน หรือล็อคคุณออกจากเว็บไซต์ของคุณเอง

แฮกเกอร์สามารถตรวจสอบการจัดทำดัชนีไดเร็กทอรีของคุณโดยเรียกดูตำแหน่งโฟลเดอร์และตรวจสอบการตอบสนอง "Index Of" ดังนี้:

/wp-เนื้อหา/

/wp-content/ปลั๊กอิน/

/wp-เนื้อหา/ธีม/

/อัพโหลด/

/ภาพ/

พวกเขาสามารถค้นหาปลั๊กอินที่มีช่องโหว่ในไดเร็กทอรีของคุณผ่านการ ค้นหาที่ใช้งานอยู่โดย ใช้เครื่องมือสร้างสคริปต์หรือการ ค้นหาแบบพาสซีฟ ด้วยคำขอ HTML ปกติ ซึ่งทำได้โดยการตรวจสอบซอร์สโค้ด HTML และค้นหาปลั๊กอินที่ติดตั้งผ่านสไตล์ชีต CSS ความคิดเห็นและลิงก์ JS

อีกวิธีหนึ่งที่แฮกเกอร์เข้าถึงเว็บไซต์ WordPress คือการ นับผู้ใช้ นี่เป็นโหมโรงง่ายๆ ของการ โจมตีแบบเดรัจฉาน ที่เกี่ยวข้องกับการเปิดเผยชื่อผู้ใช้และคาดเดารหัสผ่านของพวกเขาผ่านการโจมตีด้วยพจนานุกรมหรือพยายามป้อนผ่านกลไกเริ่มต้น ตัวอย่างเช่น ผู้ใช้สามารถค้นพบได้โดยการวนซ้ำ Ids ของตนและเพิ่มลงใน URL ดังนี้:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

หากใช้งานได้ ID ล็อกอินจะถูกเปิดเผยผ่านการเปลี่ยนเส้นทาง 303

เครื่องมือที่เรียกว่า WPScan ซึ่งใช้สำหรับการทดสอบช่องโหว่สามารถกรองรหัสผ่านที่เป็นไปได้หลายร้อยรายการภายในเวลาไม่ถึงนาที มันสามารถส่งคืนผลลัพธ์ต่อไปนี้จากธีมราคาถูกภายในไม่กี่วินาที:

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt -- ชื่อผู้ใช้ testadmin

********* สแนป ******************

[+] การเริ่มใช้รหัสผ่านเดรัจฉาน

เดรัจฉานบังคับผู้ใช้ 'testadmin' ด้วยรหัสผ่าน 500... เสร็จสมบูรณ์ 100%
[+] สิ้นสุดเมื่อ พฤ ก.ค. 18 03:39:02 2013
[+] เวลาที่ผ่านไป: 00:01:16

4 วิธีในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

โชคดีที่นักพัฒนา WP และชุมชนผู้ใช้มีความขยันหมั่นเพียรในการให้การสนับสนุน ด้วยเหตุนี้ มีเครื่องมือที่ใช้งานได้ฟรีและแนวปฏิบัติที่ดีที่สุดที่คุณสามารถเรียนรู้และปรับใช้เพื่อให้เว็บไซต์ของคุณปลอดภัย

ต่อไปนี้คือสี่เทคนิคที่คุณสามารถนำไปใช้เพื่อปรับปรุงความปลอดภัยในการเข้าสู่ระบบ WordPress ของคุณ

1. ลบหมายเลขเวอร์ชัน WP

เนื่องจากแฮ็กเกอร์มักจะมองหาหมายเลขเวอร์ชันก่อนเมื่อตรวจหาช่องโหว่ นี่คือสิ่งแรกที่คุณควรเปลี่ยนเมื่อตั้งค่าเว็บไซต์ของคุณ ควรทำในลักษณะที่จะถูกลบออกจากหน้า URL และเมตาแท็กโดยไม่ต้องลบ header hook หรือวิธีการที่ไม่ดีอื่น ๆ ที่มีการโน้มน้าวใจในอินเทอร์เน็ต

วิธีที่ดีที่สุดในการลบหมายเลขเวอร์ชัน WP ของคุณคือการเพิ่มโค้ดนี้ลงใน ไฟล์ functions.php :

วิธีลบออกจากส่วนหัว:

 remove_action('wp_head', 'wp_generator');

ในการลบออกจากฟีด RSS:

 ฟังก์ชั่น remove_version_info () {
กลับ '';
}
add_filter('the_generator', 'remove_version_info');

ในการลบหมายเลขเวอร์ชันออกจากสคริปต์และรูปแบบ:

 ฟังก์ชั่น remove_version_from_style_js ($src) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'รุ่น' ) ) )
$src = remove_query_arg( 'ver', $src );
ส่งคืน $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

ไม่ว่าคุณจะติดตั้ง WP เมื่อใด คุณควรอัปเดต WordPress เป็นเวอร์ชันล่าสุดเสมอทันทีที่เปิดตัว เช่นเดียวกับปลั๊กอินและธีม

อ่านเพิ่มเติม: การอัปเดตมีความสำคัญต่อความปลอดภัยของ WordPress !

2. เปลี่ยน URL เข้าสู่ระบบของคุณ

ที่อยู่เข้าสู่ระบบเริ่มต้นสำหรับผู้ดูแลระบบ WP คือ yourwebsite.com/wp-admin และนั่นคือสิ่งที่เกือบทุกคนคุ้นเคยกับแพลตฟอร์มรู้ สิ่งที่คุณต้องทำคือเพิ่ม /wp-login.php หลังชื่อโดเมนและเข้าสู่ระบบ การปรับเปลี่ยน URL อย่างง่ายเป็นสิ่งที่จำเป็นเพื่อป้องกันไม่ให้แฮกเกอร์คาดเดาหน้าเข้าสู่ระบบของคุณ

คุณสามารถใช้ปลั๊กอินเช่น iThemes Security เพื่อทำสิ่งนี้ให้สำเร็จได้อย่างมีประสิทธิภาพ

3. ลดจำนวนครั้งในการพยายามเข้าสู่ระบบ

คุณสมบัติเริ่มต้นของ WP ที่มีข้อบกพร่องอีกประการหนึ่งคืออนุญาตให้พยายามเข้าสู่ระบบได้ไม่จำกัด วิธีนี้ทำให้สามารถโจมตีด้วยพจนานุกรมและเทคนิคการเดารหัสผ่านอื่นๆ ปลั๊กอิน iThemes Security มีคุณสมบัติที่จะล็อคเว็บไซต์ของคุณหลังจากพยายามเข้าสู่ระบบที่ล้มเหลวตามจำนวนที่กำหนดไว้ และส่งการแจ้งเตือนถึงคุณ

หากคุณต้องการเพียงฟังก์ชันล็อกเอาต์เข้าสู่ระบบ คุณสามารถติดตั้งปลั๊กอินที่ชื่อ Limit Login Attempts Reloaded และเข้าไปที่การตั้งค่าเพื่อกำหนดจำนวนการเข้าสู่ระบบที่อนุญาต

4. จำกัดการเข้าถึงและใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

ถึงตอนนี้ คุณควรรู้ว่าต้องเลือกรหัสผ่านที่ปลอดภัยโดยใช้ปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัย ขั้นตอนต่อไปในการจำกัดการเข้าถึงคือการจำกัดจำนวนผู้ที่สามารถเข้าถึงงานภายในของเว็บไซต์ของคุณ ประการที่สาม ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยที่ใช้รหัสผ่านและคีย์ที่เข้ารหัสร่วมกันเพื่อเข้าสู่ระบบ

ความคิดสุดท้าย!

แม้ว่ามาตรการรักษาความปลอดภัยและมาตรการป้องกันที่อธิบายไว้ในโพสต์นี้จะไม่สามารถปกป้องไซต์ของคุณได้ 100% แต่จะมีมาตรการรักษาความปลอดภัยจำนวนมาก

สิ่งสำคัญคือต้องจำไว้ว่าแฮกเกอร์และบุคคลที่สามที่ประสงค์ร้ายกำลังมองหาแบ็คดอร์ที่ง่ายที่สุดในเว็บไซต์ของคุณ ส่วนใหญ่จะใช้โซลูชันอัตโนมัติเพื่อค้นหาแบ็คดอร์เหล่านี้

การรักษาความปลอดภัยการเข้าสู่ระบบ WP ของคุณทำให้ประตูเหล่านั้นปิดลง และทำให้แน่ใจว่าบุคคลเพียงคนเดียวที่สามารถเข้าถึงไซต์ของคุณได้คือตัวคุณเอง

ข้อจำกัดความรับผิดชอบ: นี่เป็นโพสต์ของแขกที่สนับสนุนโดย Nathan Goldfinch จาก AussieHosting