ผมได้ยินเจ้าของเว็บไซต์หลายๆเว็บไซต์มาบ่น เกี่ยวกับความปลอดภัยของ WordPress สิ่งที่ได้ยินบ่อยคือ WordPress เป็น Open Source เลยมีความเสี่ยงต่อการโจมตีทุกรูปแบบ แต่มันเป็นความจริงหรือไม่? และถ้าเป็นเช่นนั้นเราจะป้องกันความปลอดภัยให้กับ WordPress ได้อย่างไรแต่โชคดีที่เรื่องนี้เป็นเรื่องไม่จริงไปทั้งหมด ก็อาจะมีบางส่วน แต่มันไม่ควรตกอยู่ในความผิดของ WordPress ทำไม? เนื่องจากเป็นความผิดพลาดของผู้ใช้เว็บไซต์ที่ถูกโจมตีจาก Hacker ในฐานะที่เป็นเจ้าของเว็บไซต์ คำถามที่สำคัญที่สุดคือ คุณจะทำอะไรเพื่อช่วยไม่ให้เว็บไซต์ของคุณถูกโจมตีจาก Hacker
วันนี้ผมจะมาวางแผนและพูดถึงเคล็ดลับง่ายๆ ที่สามารถช่วยเพิ่มความปลอดภัยของเว็บไซต์ WordPress ของคุณ หลังจากที่คุณเข้าใจในสิ่งที่ผมจะนำเสนอต่อไปนี้ได้ และดำเนินการปรับแก้ไข จะเป็นการเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress เป็นอย่างดี
วิธีการเพิ่มความปลอดภัยโดยป้องกันการโจมตีจาก brute force attacks
ทุกคนรูกจัก URL การเข้าสู่ระบบของ WordPress ทั่วๆไป เพื่อเข้าสู่ Dashboard นี้จึงเป็นช่องทางที่ให้ทุกคนพยายามที่จะโจมตีเข้าระบบ เพราะว่าเพียงแต่เพิ่ม /wp-login.php หรือ wp-admin ต่อท้ายที่ชื่อโดเมนระบบก็จะพาเข้าสู่หน้า Login ของ WordPress ต่อไปจะเป็นการแนะนำสำหรับการเพิ่มความปลอดภัย
1.ตั้งค่าเว็บไซต์และห้ามผู้ใช้ที่สุ่มเสี่ยงเข้าใช้งาน
สำหรับคุณลักษณะการพยายามเข้าสู่ระบบ ที่ผิดหลายๆครั้งๆและพยายามเข้าใช้งานอย่างต่อเนื่อง เราต้องกำหนดว่าเมื่อใดก็ตามที่มีการกระทำแบบนี้เกิดขึ้น เราจะต้องทำการล็อก ผู้ใช้งานคนนนี้ และไม่อนุญาติให้เข้าใช้งานอีก เพราะถ้าเรามีระบบที่ค่อยตรวจสอบ ก็จะมี Hacker ที่จะพยายามสุ่มรหัสไปเรื่อยๆ จนสามารถเข้าใช้งานได้
และปัญหาที่เกิดขึ้นนี้สามารถป้องกันได้จากปลั๊กอิน iThemes Security เป็นปลั๊กอินที่ดีมากจากที่ผมใช้งานมาหลายตัว แต่ถ้าใช้ต้องการจะเสียเงินใช้ตัว Pro ก็จะมีความสามารถเพิ่มขึ้นอีกเยอะมาก เพราะปลั๊กอินตัวนี้สามารตั้งค่า เข้าสู่ระบบผิดกี่ครั้งให้ทำการปิดกั้นการโจมตีจาก IP ของผู้ที่โจมตี และความสามารถอื่นๆอีกเยอะ ถ้าซื้อตัว Pro ถือว่าคุ้มค่ามาก
2.ใช้การยืนยันตัวตน 2-factor ก่อนการเข้าใช้งาน
สำหรับการตรวจสอบยืนยันตัวตนก่อนเข้าใช้งานแบบ 2-factor (2FA) ในหน้าการเข้าสู่ระบบสำหรับผู้ดูแลระบบ เป็นมาตรฐานความปลอดภัยที่ดี เพื่อยื่นยันว่าคนที่เข้าใช้งานเป็นคนที่ถูกต้องจริงๆ เราสามารถใช้ Google Authenticator app ช่วยในการส่งรหัสยืนยันไปยังโทรศัพท์ และนำรหัสยืนยันที่ได้ มากรอกใส่ กรอกใส่เป็นการยื่นยันว่าคนที่จะเข้าสู่ระบบได้ต้องเป็นคนที่ใช้มือถือเครื่องนั้น ได้เท่านั้น
การเพิ่มฟังก์ชั่นนี้ใน WordPress ถ้าใครใช้ iThemes Security Pro ก็จะมีระบบมีมาให้เลย แต่ถ้าใช้ใช้ตัว iThemes Security ก็ยังไม่มี ให้ทำการติดตั้ง Plugin เพิ่มชื่อว่า Google Authenticator plugin ก็จะเป็นตัวฟรีใช้งานได้เช่นกัน
3.ใช้ Email เพื่อเข้าสู่ระบบ
โดยค่าเริ่มต้นของ WordPress สามมารถป้อนชื่อบัญชีผู้ใช้งานเพื่อเข้าสู่ระบบได้ แต่ถ้าเราบังคับให้ใช่ Email ในการเข้าสู่ระบบเพียงอย่างเดียวจะเป็นการเพิ่มความปลอดภัยให้มากขึ้น สำหรับเหตุผลค่อยค้าชัดเจนคือ ถ้าเป็นการยอนรับให้เขาใช้งานจาก ชื่อบัญชี ผู้ใช้สามารถคลาดเดาได้ง่าย แต่ Email จะมีความปลอดภัยสูงกว่าที่ถูกสร้างขึ้นมาด้วย Email ที่ไม่ซ้ำกันและคาดดาได้ยาก
สำหรับปลั๊กอินความปลอดภัยจะมีหลายตัวที่ให้เราสามารถตั้งค่าหน้าเข้าสู่ระบบให้ใช้ เฉพาะ Email Login Auth เท่านั้น
4.เปลี่ยน Login URL ของ WordPress
การเปลี่ยน URL Login เข้าสู่ระบบเพราะว่าเป็นสิ่งที่คาดเดาง่ายมาก เพราะWordpress เข้าสู่ระบบ โดยผ่าน wp-login.php หรือ wp-admin เพิ่มลงใน URL หลักของเว็บไซต์
เมื่อ Hacker รู้ URL Login ของเว็บไซต์ก็จะทำการพยายามใช้การโจมตีแบบสุ่มรหัส GWDb (Guess Work Database, i.e. a database of guessed usernames and passwords; e.g. username: admin and password: p@ssword … with millions of such combinations)
ณ จุดนี้เราได้จำกัดการเข้าสู่ระบบของผู้ใช้ และ เปลี่ยนการเข้าใช้งานโดยใช้ Email แล้ว ตอนนี้เราสามารถป้องกันการโจมและกำกัดการโจมตีแบบสุ่มรหัสออกไปได้ 99%
เราสามารถกำหนดการเข้าสู่ระบบโดยให้เข้าสู้ระบบเฉพาะคนที่มี URL เท่านั้นได้ โดนใช้ปลั๊กอิน iThemes Security ในการเปลี่ยน URL Login เช่นเปลี่ยน
- เปลี่ยน wp-login.php เป็นบางอย่างที่ไม่เหมือนใคร เช่น. my_new_login
- เปลี่ยน / wp-admin / เพื่อสิ่งที่ไม่ซ้ำกัน; เช่น. my_new_admin
- เปลี่ยน /wp-login.php?action=register ไปยังบางอย่างที่ไม่เหมือนใคร เช่น. my_new_registeration
5.ปรับเปลี่ยนการใช้รหัสผ่านที่คลาดเดายาก
ควรเปลี่ยนรหัสผ่านเป็นประจำเพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ ควรมีตัวหนังสือ ตัวเล็กตัวใหญ่ ตัวเลข และ อักขระพิเศษ เพื่อให้ Hacker คาดเดาได้ยาก
LastPass เป็นวิธีที่ง่ายที่สุดสำหรับการสร้างรหัสผ่าน ไม่เพียงสร้างรหัสผ่ารที่ปลอดภัยแล้วแต่จะเก็บรหัสผ่านในส่วนเสริมของเว็บบราว์เซอร์ ซึ่งจะช่วนให้ประหยัดเวลาในการจดจำ
6.ออกจากระบบอัตโนมัติหลังจากไมได้ใช้งานเว็บไซต์เกินเวลาที่กำหนด
สำหรับผู้ใช้งานที่เปิดหน้าจอ Login ทิ้งไว้อาจะเป็นช่องทางให้กับคนที่ ผ่านมาเห็นและทำการเข้าสู้ระบบไปเปลี่ยนข้อมูลในเว็บไซต์ได้ หรืออาจะพยายามทำลายเว็บไซต์ก็ได้เช่นกัน ดังนั้น ควรกำหนดเวลาว่าให้ทำการออกจากระบบ ถ้าไม่ได้ใช้งานเป็นระยะเวลาหนึ่ง
สามารถใช้ปลั๊กอิน BulletProof security ในการกำหนดช่วงเวลาสำหรับผู้ใช้ที่ไม่ได้ใช้งานในช่วงเวลาที่เรากำหนดก็จะทำการออกจากระบบให้ อัตโนมัติ
