12 เคล็ดลับและเทคนิคที่ดีที่สุดในการรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบ WordPress

ในบล็อกนี้ เราจะพูดถึงเทคนิคที่ดีที่สุดในการรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบของเว็บไซต์ WordPress ของคุณอย่างมีประสิทธิภาพ

ผู้คนมักคิดว่าเว็บไซต์ของพวกเขาเล็กเกินไปที่แฮ็กเกอร์จะสนใจ แต่นั่นจะเป็นความผิดพลาดครั้งใหญ่ เว็บไซต์ใดก็ตามอาจเสี่ยงต่อภัยคุกคามทางไซเบอร์ เช่น สแปม มัลแวร์ การโจมตีแบบเดรัจฉาน การแทรก SQL เป็นต้น นอกจากนี้ แฮ็กเกอร์อาจใช้เว็บไซต์ของคุณเพื่อแพร่กระจายมัลแวร์ไปยังเว็บไซต์อื่นๆ

แน่นอนว่าวันหนึ่งคุณคงไม่อยากตื่นขึ้นมาแล้วพบว่าเว็บไซต์ของคุณถูกแฮ็กและข้อมูลสำคัญทั้งหมดของคุณรั่วไหล ดังนั้นจึงเป็นการดีที่สุดที่จะเสริมพื้นที่ผู้ดูแลระบบของเว็บไซต์ WordPress ของคุณด้วยเครื่องมือที่เชื่อถือได้

เคล็ดลับและเทคนิคที่ดีที่สุดในการรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบของเว็บไซต์ WordPress ของคุณ

เคล็ดลับความปลอดภัยเหล่านี้มีความสำคัญมากในการปกป้องเว็บไซต์จากช่องโหว่ เช่น:

• การโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย: DDoS ทำให้เว็บไซต์ของคุณหยุดทำงานโดยการทำให้เว็บไซต์ล้นด้วยการเชื่อมต่อที่ซ้ำซ้อน และทำให้เว็บไซต์ล่ม
• การฉีด SQL (SQLi): มันบังคับให้ดำเนินการค้นหา SQL ที่เป็นอันตรายบนระบบเพื่อจัดการข้อมูล
• การรวมไฟล์ในเครื่อง (LFI): LFI บังคับให้ไซต์ประมวลผลไฟล์ที่เป็นอันตรายที่วางอยู่บนเว็บเซิร์ฟเวอร์
• การปลอมแปลงคำขอข้ามไซต์ (CSRF): อาจบังคับให้ผู้ใช้เว็บดำเนินการที่ไม่ต้องการในเว็บแอปพลิเคชันที่เชื่อถือได้
• บายพาสการรับรองความถูกต้อง: ภัยคุกคามความปลอดภัยนี้ช่วยให้แฮ็กเกอร์เข้าถึงแหล่งข้อมูลที่ละเอียดอ่อนของเว็บไซต์ของคุณโดยไม่ต้องมีการตรวจสอบความถูกต้อง
• สคริปต์ข้ามไซต์ (XSS): XSS แทรกโค้ดที่เป็นอันตรายเพื่อส่งมัลแวร์ผ่านเว็บไซต์ของคุณ

เพื่อให้แน่ใจว่าเว็บไซต์ของคุณไม่เสี่ยงต่อภัยคุกคามความปลอดภัยเหล่านี้ ตรวจสอบให้แน่ใจว่าคุณใช้เคล็ดลับและเทคนิคที่กล่าวถึงด้านล่าง:

แนะนำสำหรับคุณ: 10 เหตุผลที่เว็บไซต์ WordPress ของคุณต้องการการบำรุงรักษา

1. อัปเดตเวอร์ชัน WordPress

วิธีง่ายๆ ในการเสริมความปลอดภัยให้กับเว็บไซต์ของคุณคือการอัปเดต WordPress และปลั๊กอินความปลอดภัยที่ติดตั้งทั้งหมดให้เป็นเวอร์ชันล่าสุด WordPress เป็นโอเพ่นซอร์ส ดังนั้นผู้ร่วมให้ข้อมูลจึงทำงานอย่างไม่รู้จักเหน็ดเหนื่อยเพื่อปรับปรุงคุณสมบัติและความปลอดภัยในเวอร์ชันใหม่ทุกเวอร์ชัน นั่นเป็นเหตุผลที่คุณควรอัปเดต CMS เป็นเวอร์ชันล่าสุดเพื่อปรับปรุงความปลอดภัยของเว็บไซต์

2. ปลั๊กอินความปลอดภัย

หนึ่งในสิ่งที่ดีที่สุดเกี่ยวกับ WordPress คือคุณสามารถค้นหาปลั๊กอินสำหรับคุณลักษณะและฟังก์ชันการทำงานเกือบทั้งหมดของเว็บไซต์ได้ อย่างไรก็ตาม ปลั๊กอินความปลอดภัยบางตัวอาจไม่เหมาะสมที่จะปกป้องหน้าเข้าสู่ระบบ ดังนั้นวิธีที่ดีที่สุดในการเสริมสร้างความปลอดภัยของพื้นที่ผู้ดูแลระบบของเว็บไซต์ของคุณคือการใช้ปลั๊กอิน WordPress เช่น Sucuri, MalCare, Wordfence เป็นต้น

ปลั๊กอินเหล่านี้ช่วยบล็อกทราฟฟิกที่เป็นอันตรายโดยไม่ส่งผลกระทบต่อประสิทธิภาพของเว็บไซต์

3. เปลี่ยนชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ

วิธีแรกในการรักษาความปลอดภัยเว็บไซต์คือการเปลี่ยนชื่อผู้ใช้และรหัสผ่านเริ่มต้น สำหรับการติดตั้ง WordPress ทุกครั้ง ชื่อผู้ใช้สำหรับเข้าสู่ระบบแรกตามค่าเริ่มต้นคือผู้ดูแลระบบ ชื่อผู้ใช้ประเภทนี้เป็นเพียงเหยื่อล่อสำหรับแฮ็กเกอร์ พวกเขาจะต้องคาดเดารหัสผ่านหลังจากนั้นเท่านั้น

ดังนั้น คุณควรเปลี่ยนชื่อผู้ใช้และรหัสผ่านเป็นสิ่งที่กำหนดเองมากขึ้น ขั้นแรก เปิดแดชบอร์ด WordPress เลือกผู้ใช้และคลิกที่ "ผู้ใช้ทั้งหมด"

แม้แต่การเปลี่ยนชื่อผู้ใช้จาก “admin” เป็น “mynameisadmin” ก็อาจช่วยปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ได้ เมื่อพูดถึงรหัสผ่าน จะมีหน้าจอเล็ก ๆ ที่แสดงว่ารหัสผ่านนั้นแข็งแกร่งเพียงใด ดังนั้น ลองใช้รหัสผ่านที่แตกต่างกันโดยใช้ตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก สัญลักษณ์ และตัวเลขผสมกันจนกว่าคุณจะพอใจ ตรวจสอบให้แน่ใจเสมอว่ารหัสผ่านนั้นแข็งแกร่งที่สุดเท่าที่จะเป็นไปได้เพื่อป้องกันเว็บไซต์จากแฮกเกอร์ ผู้เชี่ยวชาญแนะนำให้ใช้สัญลักษณ์และตัวเลขแทนตัวอักษรในรหัสผ่านเพื่อทำให้ไม่ชัดเจนยิ่งขึ้น ตัวอย่างเช่น หากคุณต้องการให้รหัสผ่านเป็น “California” ให้เลือกบางอย่างเช่น "[email protected][email protected]" แทน นั่นจะทำให้คาดเดาได้ยากขึ้น

บ่อยครั้ง เมื่อผู้คนพยายามเข้าสู่ระบบในที่ที่ไม่ควร พวกเขาจะมุ่งความสนใจไปที่รหัสผ่านและเก็บชื่อผู้ใช้ไว้เหมือนเดิมตลอดความพยายามต่างๆ ดังนั้น การเปลี่ยนทั้งชื่อผู้ใช้และรหัสผ่านจะเป็นความคิดที่ดี

4. สร้าง URL เข้าสู่ระบบที่กำหนดเอง

คุณสามารถเข้าถึงหน้าเข้าสู่ระบบของเว็บไซต์ WordPress ได้โดยเขียน /wp-login.php หลัง URL ตัวอย่างเช่น หาก URL ของเว็บไซต์ WordPress ของคุณคือ www.mywebsitename.com คุณสามารถเข้าถึงหน้าเข้าสู่ระบบผ่าน www.mywebsitename.com/wp-login.php

การเข้าถึงหน้าเข้าสู่ระบบที่ง่ายดายเช่นนี้ทำให้เว็บไซต์ของคุณเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้น ดังนั้น เปลี่ยนกระสุน URL เข้าสู่ระบบเป็นสิ่งที่ปรับแต่งได้มากขึ้นผ่านปลั๊กอิน เช่น WPS ซ่อนการเข้าสู่ระบบ ปลั๊กอินนี้เปลี่ยน URL ของหน้าฟอร์มเข้าสู่ระบบเป็นสิ่งที่คุณต้องการ และทำให้ไดเรกทอรี wp-admin และหน้า wp-login.php ไม่สามารถเข้าถึงได้ ดังนั้นจึงเป็นการดีที่สุดที่จะบุ๊กมาร์กหน้าเหล่านี้เนื่องจากคุณอาจทำหาย

หลังจากติดตั้ง WPS Hide Login แล้ว ให้ไปที่การตั้งค่าและเลือก WPS Hide Login บนแดชบอร์ด WordPress ของคุณ จากนั้น ป้อน URL ใหม่ในฟิลด์ URL เข้าสู่ระบบ และบันทึกการเปลี่ยนแปลง หลังจากนั้น หน้าผู้ดูแลระบบของเว็บไซต์ของคุณจะสามารถเข้าถึงได้ผ่านหน้าเหล่านี้เท่านั้น

ดังนั้น แม้ว่าจะมีบางคนมีชื่อผู้ใช้และรหัสผ่านของคุณโดยที่คุณไม่รู้ พวกเขาก็ยังไม่สามารถเข้าถึงหน้าเข้าสู่ระบบของคุณได้ ซึ่งเป็นเรื่องที่น่าโล่งใจมาก นั่นเป็นเหตุผลว่าทำไม URL เข้าสู่ระบบส่วนบุคคลจึงรวมอยู่ในการพัฒนา WordPress แบบกำหนดเองเสมอ

5. จำกัดความพยายามในการเข้าสู่ระบบ

คุณทราบหรือไม่ว่าแม้ว่าแฮ็กเกอร์อาจไม่ทราบรหัสผ่านเว็บไซต์ของคุณ แต่พวกเขายังสามารถแฮ็กเว็บไซต์ของคุณได้ ด้วยสคริปต์อัตโนมัติ พวกเขาสามารถลองใช้รหัสผ่านที่เป็นไปได้หลายพันรายการในเวลาไม่นานเพื่อค้นหารหัสผ่านที่ถูกต้องและประสบความสำเร็จในที่สุด เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น คุณสามารถจำกัดความพยายามในการเข้าสู่ระบบบนเว็บไซต์ของคุณได้

เพื่อจุดประสงค์นี้ WordPress มีปลั๊กอินบางตัว เช่น Wordfence Security และ Login Lockdown ในไลบรารีที่เป็นทางการซึ่งอาจช่วยได้ หลังจากติดตั้งปลั๊กอินเหล่านี้แล้ว คุณสามารถกำหนดการตั้งค่าสำหรับจำนวนครั้งในการพยายามเข้าสู่ระบบที่ได้รับอนุญาต และระยะเวลาที่บุคคลนั้นจะถูกล็อกไม่ให้เข้าใช้หลังจากเกินขีดจำกัดการเข้าสู่ระบบ

ตัวอย่างเช่น คุณสามารถกำหนดขีดจำกัดของจำนวนครั้งในการพยายามเป็น 3 ครั้ง และเวลาล็อกเอาต์เป็น 24 ชั่วโมง ดังนั้น หากมีคนพยายามไม่สำเร็จมากกว่า 3 ครั้ง IP ของพวกเขาจะถูกล็อคไม่ให้ใช้งานเป็นเวลา 24 ชั่วโมงหลังจากนั้น พวกเขาสามารถลองอีกครั้งได้

6. รักษาความปลอดภัยหน้าเข้าสู่ระบบและพื้นที่ผู้ดูแลระบบด้วยใบรับรอง SSL

บางครั้ง คุณอาจต้องลงชื่อเข้าใช้เว็บไซต์ของคุณบนเครือข่ายสาธารณะ ปล่อยให้แฮ็กเกอร์เสี่ยงต่อสถานการณ์โจมตีโดยพลการ ในเครือข่ายสาธารณะ แฮ็กเกอร์สามารถเข้าถึงคำขอ HTTP ของคุณและดูข้อมูลรับรองการเข้าสู่ระบบของคุณในแต่ละวัน

เพื่อป้องกันการโจมตีตามอำเภอใจเหล่านี้ คุณสามารถใช้การเข้าสู่ระบบ SSL ซึ่งคุณสามารถเข้าถึงเว็บไซต์ของคุณผ่าน HTTPS โดยปกติแล้ว คุณสามารถมีใบรับรองการเข้าสู่ระบบ SSL จากผู้ให้บริการโฮสติ้งได้ แต่ถ้าไม่ คุณจะต้องซื้อและตั้งค่าบนเซิร์ฟเวอร์ของเว็บไซต์ของคุณ

หากคุณมีใบรับรอง SSL ในเว็บไซต์เพื่อเรียกใช้ HTTPS ให้เปิดไฟล์ wp-config.php และแก้ไขดังนี้:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

ด้วย FORCE_SSL_LOGIN หน้าเข้าสู่ระบบของคุณจะเปิดบน HTTPS เท่านั้น และการเชื่อมต่อที่ปลอดภัยจะยังคงอยู่ในพื้นที่ผู้ดูแลระบบของเว็บไซต์ของคุณ นั่นเป็นเหตุผลที่เมื่อคุณจ้างนักพัฒนา WordPress หนึ่งในการตั้งค่าความปลอดภัยแรก ๆ ที่พวกเขาดูแลคือการใช้ใบรับรอง SSL สำหรับหน้าเข้าสู่ระบบและพื้นที่ผู้ดูแลระบบ

คุณอาจชอบ: ต้องการสร้างเว็บไซต์ WordPress หรือไม่? ทำตาม 13 ขั้นตอนง่ายๆ เหล่านี้

7. รักษาความปลอดภัยไดเร็กทอรี wp-admin ด้วยรหัสผ่าน

การป้องกันด้วยรหัสผ่านไดเรกทอรี “wp-admin” เปรียบเสมือนการเพิ่มชั้นที่สองของการรักษาความปลอดภัยในเว็บไซต์ของคุณและพื้นที่ผู้ดูแลระบบ WordPress หนึ่งในวิธีที่ดีที่สุดในการเข้าถึงคือผ่านการตั้งค่า "ความเป็นส่วนตัวของไดเรกทอรี" ของโฮสติ้งของคุณ หากคุณใช้โฮสต์เว็บ cPanel เพื่อป้องกันไดเรกทอรี wp-admin ด้วยรหัสผ่าน คุณสามารถใช้การป้องกันด้วยรหัสผ่าน cPanel ในไดเรกทอรีได้เช่นกัน

8. ใส่ captcha ในหน้าเข้าสู่ระบบ

แคปต์ชาในพื้นที่ผู้ดูแลระบบสามารถช่วยป้องกันการโจมตีทางไซเบอร์ที่ดุร้ายซึ่งขับเคลื่อนโดยสคริปต์อัตโนมัติ คุณสามารถเพิ่ม captcha ในหน้าเข้าสู่ระบบของคุณผ่านปลั๊กอิน WordPress เช่น Google reCAPTCHA, reCaptcha โดย BestWebSoft, WPForms เป็นต้น

เทคนิคนี้ค่อนข้างมีประสิทธิภาพในการหยุดการพยายามแฮ็คผ่านสคริปต์อัตโนมัติ

9. ลบข้อความแสดงข้อผิดพลาดออกจากหน้าเข้าสู่ระบบ

รวม captcha มีสามสิ่งที่แฮ็กเกอร์ต้องการได้รับสิทธิ์ในการเข้าสู่เว็บไซต์ของคุณ โดยปกติแล้ว เมื่อพวกเขาพยายามเข้าสู่ระบบและล้มเหลว ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้นโดยแจ้งว่าข้อมูลรับรองอย่างน้อยหนึ่งรายการไม่ถูกต้อง

ดังนั้น สมมติว่าแฮ็กเกอร์ป้อนชื่อผู้ใช้ รหัสผ่าน และแคปต์ชา และข้อมูลรับรองตัวใดตัวหนึ่งผิด พวกเขาจะเห็นข้อความแสดงข้อผิดพลาด “ชื่อผู้ใช้ไม่ถูกต้อง” หรือ “รหัสผ่านไม่ถูกต้อง” ในกรณีนั้น พวกเขาจะรู้ว่าข้อมูลรับรองตัวใดตัวหนึ่งถูกต้อง และพวกเขาจำเป็นต้องดำเนินการกับอีกตัวเท่านั้น

แต่ถ้าคุณลบข้อความแสดงข้อผิดพลาด พวกเขาจะถูกเข้าใจผิดว่าพวกเขาใส่ผิดอย่างใดอย่างหนึ่งหรือทั้งสองอย่าง จากนั้นพวกเขาจะเริ่มทำงานทั้งสองอย่างอีกครั้ง ตอนนี้ หากคุณจำกัดจำนวนครั้งในการเข้าสู่ระบบนอกเหนือจากกลยุทธ์นี้ กลยุทธ์นี้จะช่วยให้คุณมีเวลาต่อสู้กับแฮ็กเกอร์มากขึ้น

ดังนั้น ลบข้อความแสดงข้อผิดพลาดออกจากหน้าเข้าสู่ระบบ

10. อนุญาตให้ IP ที่ระบุเข้าสู่ระบบ

คุณสามารถจำกัดการเข้าถึงเฉพาะ IP แบบคงที่เพื่อรักษาความปลอดภัยเว็บไซต์ หากคุณทราบที่อยู่ IP ของคุณเอง ให้อนุญาตการเข้าถึงผ่านไฟล์ .htaccess จากโฟลเดอร์ wp-admin

เพียงเปิดโฟลเดอร์ wp-admin แก้ไขไฟล์ชื่อ .htaccess และเพิ่มรหัสนี้:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

สิ่งที่คุณต้องทำคือแทนที่ 99.99.99.99 ด้วย IP ของคุณหรือที่คุณต้องการให้สิทธิ์การเข้าถึง

ตอนนี้ ถ้าคนที่ไม่มีสิทธิ์เข้าถึงพยายามเข้าสู่ระบบ พวกเขาจะเห็นข้อความนี้

11. เพิ่มเลเยอร์พิเศษด้วยการรับรองความถูกต้องด้วยสองปัจจัย

อีกวิธีหนึ่งที่คุณสามารถเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณได้คือการใช้ปลั๊กอิน WordPress เพื่อเพิ่มเลเยอร์อีกชั้นด้วยการรับรองความถูกต้องด้วยสองปัจจัย สิ่งที่คุณต้องทำคือติดตั้งและตั้งค่าปลั๊กอินเช่น WP 2FA และเว็บไซต์ของคุณจะปลอดภัยจากภัยคุกคามทางไซเบอร์ เช่น สคริปต์อัตโนมัติและการโจมตีแบบเดรัจฉาน

12. รหัสผ่านแบบใช้ครั้งเดียว (OTP)

ตามชื่อที่แนะนำ รหัสผ่านแบบใช้ครั้งเดียวทำให้คุณสามารถเข้าสู่ระบบเว็บไซต์ได้โดยใช้รหัสผ่านที่ใช้ได้เพียงครั้งเดียว คุณได้รับรหัสผ่านเหล่านี้ทางไปรษณีย์หรือหมายเลขโทรศัพท์มือถือของคุณ เนื่องจาก OTP จะถูกส่งผ่านทางอีเมลและหมายเลขโทรศัพท์มือถือ และใช้งานได้เพียงครั้งเดียว คุณจึงไม่ต้องกังวลว่ารหัสผ่านหลักของคุณจะถูกขโมยระหว่างการเข้าสู่ระบบจากสถานที่ต่างๆ เช่น ไซเบอร์คาเฟ่ ไม่จำเป็นต้องพูด ปลั๊กอิน WordPress บางตัวอาจช่วยเพิ่มฟังก์ชัน OTP ในหน้าเข้าสู่ระบบของคุณ

เทคนิคเหล่านี้จะช่วยป้องกันพื้นที่ผู้ดูแลระบบของเว็บไซต์ WordPress จากภัยคุกคามทางไซเบอร์ เช่น การโจมตีแบบเดรัจฉาน สแปม บอทที่ไม่ดี การฉีด SQL และที่สำคัญที่สุดคือสคริปต์อัตโนมัติ (สำหรับสร้างรหัสผ่าน)

คุณอาจชอบ: Schema คืออะไร? จะเพิ่ม Schema Markup ให้กับเว็บไซต์ WordPress ของคุณได้อย่างไร?

ในที่สุด!

เมื่อคุณออกแบบเว็บไซต์ WordPress ใหม่ ความคิดที่ว่าจะถูกแฮ็กนั้นยังห่างไกล แต่ก็ยังมีความเป็นไปได้ ดังนั้น คุณต้องทำให้การรักษาความปลอดภัยเป็นส่วนที่แตกต่างของการพัฒนา WordPress แบบกำหนดเอง เพื่อปกป้องและรักษาความปลอดภัยของพื้นที่ผู้ดูแลระบบ เพื่อที่แฮ็กเกอร์จะไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของเว็บไซต์ของคุณได้

นั่นเป็นเหตุผลที่เราได้แสดงรายการเคล็ดลับและเทคนิคเหล่านี้ เช่น การอัปเดต WordPress, ปลั๊กอินความปลอดภัย, OTP, รหัสผ่านที่เข้ารหัส, การยืนยันตัวตนแบบสองปัจจัย, แคปต์ชา เป็นต้น เพื่อให้แน่ใจว่าเว็บไซต์ของคุณปลอดภัยจากแฮกเกอร์ อย่าลืมพูดถึงเทคนิคเหล่านี้เมื่อคุณจ้างนักพัฒนา WordPress เพื่อสร้างเว็บไซต์ใหม่หรืออัปเดตเว็บไซต์เก่าของคุณ

ผู้เขียน: ปาลัค ชาห์

บทความนี้เขียนโดย Palak Shah Palak เป็นนักเขียนเนื้อหาที่มีคุณภาพสำหรับ WPWeb Infotech และเธอชอบเขียนเกี่ยวกับ WordPress เทคโนโลยี และธุรกิจขนาดเล็ก เธอเป็นผู้เล่นในทีมที่น่าทึ่งและทำงานอย่างใกล้ชิดกับทีมเพื่อให้ได้ผลลัพธ์ที่ยอดเยี่ยม เธอดู Netflix และอ่านสารคดี การช่วยตัวเอง และอัตชีวประวัติของบุคคลที่มีชื่อเสียง