Blogs

WordPress เพิ่มความปลอดภัยในหน้า Admin Dashboard

วิธีการเพิ่มความปลอดภัยในหน้า Admin Dashboard

สำหรับผู้โจมตีระบบหรือ Hacker ส่วนที่น่าสนใจที่สุดคือ ส่วนหน้า Dashboard ของผู้ดูแลระบบซึ่งเป็นส่วนที่ที่รับความคุ้มครองมากที่สุดของทั้งหมด ดังนั้นการโจมดีส่วนที่แข็งแกร่งที่สุดคือ ท้าทายความแข็งแกร่ง หากสำเร็จ Hacker จะทำการประกาศหรือทำลายความเสียหายจำนวนมาก ต่อไปนี้จะเป็นการรักษาความปลอดภัยในส่วนของหน้า Dashboard   ผู้ดูแลระบบของ WordPress ในเว็บไซต์ของคุณ

1. ป้องกันไดเร็กทอรี wp-admin

ไดเรกทอรี wp-admin เป็นหัวใจของเว็บไซต์ WordPress ดังนั้นหากส่วนหนึ่งส่วนใดของไซต์ของคุณถูกละเมิดแล้วเว็บไซต์ทั้งหมดอาจได้รับความเสียหายไปด้วย

วิธีที่เป็นไปได้ที่จะป้องกัน คือต้องมีดารตั้งรหัสผ่านป้องกัน ไดเร็กทอรี wp-admin ด้วยมาตรการรักษาความปลอดภัยดังกล่าว เจ้าของเว็บไซต์จพต้องเข้าถึง Dashbaordโดยการส่งรหัสผ่านสองชุด ชุดที่หนึ่งเป็นการเข้าสู่ระบบและอื่น แต่ถ้าต้องการจะเข้าไปทำการแก้ไข  wp-admin เราจะสามารถที่จะป้องกัน ไม่ให้สามารถเข้าถึงได้

สามารถใช้ปลั๊กอิน AskApache Password Protect เพื่อป้องกันการเข้าถึง และ รักษาพื้นที่ดูแลของผู้ดูแลระบบ  โดยจะทำการสร้างไฟล์ .htpasswd โดยอัตโนมัติ เข้ารหัสผ่านและตั้งค่าสิทธิ์ของความปลอดภัย

2.ใช้ SSL เพื่อเข้ารหัสข้อมูล

การใช้ใบรับรอง SSL (Secure Socket Layer) เป็นขั้นตอนหนึ่งในการรักษาความปลอดภัยสำหรับผู้ดูแลระบบ SSL ช่วยให้มั่นใจได้ว่าการถ่ายโอนข้อมูลระหว่างเบราว์เซอร์ของผู้ใช้งาน และทางเซิร์ฟเวอร์ทำได้อย่างปลอดภัยทำให้ Hacker สามารถฝ่าฝืนการเชื่อมต่อหรือหลอกข้อมูลของคุณได้ยากขึ้น ในปัจจุบันมีการเข้ารหัสในรูปแบบของ HSTS  เป็นการเพิ่มมาตรฐานในการส่งข้อมูลมากขึ้นโดยจะให้มีการระบุให้ส่งข้อมูลผ่าน HTTPS เท่านั้นและ ระบุเวลา cached in the browser ไปด้วย และเมื่อหมดเวลาก็จะมีการส่งคำสั่งไปใหม่

3.บังคับให้ใช้รหัสผ่านที่คาดเดาได้ยาก

สำหรับเว็บไซต์ที่ต้องใช้ในการจัดการผู้ใช้งานหลายคนที่ทำการสมัครสมาชิกเข้ามา เราต้องจัดการกับสมาชิกเหล่านี้ ให้ ใช้รหัสผ่านที่คาดเดาได้ยาก เพื่อลดความเสี่ยงต่อภัยคุกคามด้านความปลอดภัยมากขึ้น

คุณสามารถใช้ปลั๊กอิน Force Strong Passwords ได้หากต้องการตรวจสอบให้แน่ใจว่าผู้ใช้งานใช้รหัสผ่านที่ปลอดภัยหรือไม แต่นี้เป็นเพียงวิธรการที่ป้องกัน แต่ดีกว่าการที่มีผู้ใช้ที่มีมีรหัสผ่านที่คาดเดาง่ายได้ทั้งระบบ

4.ไม่เลือกใช้ชื่อว่า Admin

ในขั้นตอนการติดตั้ง WordPress ไม่ควรเลือกผู้ใช้งานชื่อว่า “Admin”  เป็นชื่อผู้ใช้งานหลักของระบบ เพราะชื่อนี้เป็นชื่อที่คาดเดาได้ง่ายจาก Hacker  ปลั๊กอิน iThemes Security  สามารถตั้งค่าให้บล็อกชื่อผู้ใช้ “Admin” ได้ โดยไม่อนุญาติให้ผู้ใช้งานที่ ชื่อดังกล่าวเข้าสู่ระบบได้

5.ตรวจสอบการเปลี่ยนแปลงของไฟล์

ถ้าต้องการเพิ่มความปลอดภัยให้ตรวจสอบการเปลี่ยนแปลงของไฟล์ในเว็บไซต์สามารถทำได้ผ่านปลั๊กอิน Wordfence หรือ iThemes Security