วิธีปกป้องไซต์ของคุณด้วยปลั๊กอิน iThemes Security

เอ็มโพเรีย. เมืองดอดจ์. การ์เด้นซิตี้. คุณคงไม่เคยได้ยินชื่อเมืองเล็ก ๆ ทั้งสามแห่งในแคนซัสนี้

พวกเขามีอะไรที่เหมือนกันนอกเหนือจากการตั้งอยู่ในรัฐทานตะวัน? พวกเขาทั้งหมดมีประชากรประมาณ 30,000 คน ลองนึกภาพว่าชาวเมืองเหล่านี้ทุกคนมีเว็บไซต์ WordPress … และถูกแฮ็กทุกวัน

เสียงบ้า? มันคือ. 30,000 ไซต์ถูกแฮ็กในแต่ละวัน ตามสถิติที่จัดทำโดย iThemes Security

นอกเหนือจากการวิเคราะห์ทางสถิติที่มีให้เป็นครั้งคราว ปลั๊กอิน WordPress นี้ยังเสนอตัวเลือกที่มีประโยชน์เพื่อเสริมความปลอดภัยให้กับไซต์ของคุณ

เข้าร่วมฉันเพื่อดูภาพรวมที่สมบูรณ์ของคุณสมบัติต่างๆ ในตอนท้ายของบทความนี้ คุณจะทราบวิธีติดตั้งและกำหนดค่าปลั๊กอินนี้ และควรเปิดใช้งานบนไซต์ของคุณหรือไม่

โครงการ WordPress ที่ดีที่สุดของคุณต้องการโฮสต์ที่ดีที่สุด!

WPMarmite ขอแนะนำ Bluehost: ประสิทธิภาพที่ยอดเยี่ยม การสนับสนุนที่ยอดเยี่ยม ทั้งหมดที่คุณต้องการสำหรับการเริ่มต้นที่ดี

ลอง Bluehost

ความปลอดภัยของ iThemes คืออะไร?

iThemes Security เป็นปลั๊กอินสำหรับป้องกันและรักษาความปลอดภัยไซต์ WordPress ของคุณ มันมีคุณสมบัติที่หลากหลายสำหรับจุดประสงค์นี้ รวมถึงการรับรองความถูกต้องด้วยสองปัจจัย การป้องกันการโจมตีด้วยกำลังดุร้าย การบังคับใช้รหัสผ่าน การบล็อกที่อยู่ IP เป็นต้น

ด้วยการติดตั้งที่ใช้งานอยู่ 1 ล้าน ครั้ง iThemes Security เป็นหนึ่งในปลั๊กอินความปลอดภัยที่ได้รับความนิยมมากที่สุดในไดเร็กทอรี WordPress อย่างเป็นทางการ มันแข่งขันกับปลั๊กอินเช่น:

• Wordfence Security (การติดตั้งที่ใช้งานอยู่ 4M+ )
• All in One Security (การติดตั้งที่ใช้งานอยู่ 1M+ )
• Sucuri (การติดตั้งที่ใช้งานอยู่ 800K+ )
• Jetpack (การติดตั้งที่ใช้งานอยู่ 5M+ )
• SecuPress ( การติดตั้งที่ใช้งานอยู่ 30K+ )

iThemes Security ปลั๊กอินที่รวมเข้ากับกาแลคซีผลิตภัณฑ์ขนาดใหญ่

เปิดตัวครั้งแรกในชื่อ Better WP Security โดยนักพัฒนา Chris Wiegman ปลั๊กอินเปลี่ยนชื่อหลังจากที่ iThemes ซื้อกิจการในเดือนธันวาคม 2013

นอกจากนั้น แบรนด์ iThemes ยังมีผลิตภัณฑ์อีกสองรายการ:

• BackupBuddy เพื่อสำรองข้อมูล ย้าย และกู้คืนไซต์ WordPress
• iThemes Sync เพื่อดูแลเว็บไซต์ WordPress หลายแห่งจากแดชบอร์ดเดียว

ซื้อกิจการในปี 2561 โดยบริษัทโฮสติ้ง Liquid Web iThemes เป็นส่วนหนึ่งของกาแลคซีของผลิตภัณฑ์ WordPress ภายใต้แบรนด์ StellarWP ซึ่งรวมถึงตัวอย่างเช่น:

• ธีมคาเดนซ์
• LearnDash LMS (ระบบบริหารจัดการการเรียนรู้)
• ปฏิทินกิจกรรม จำกัด Content Pro และปลั๊กอิน GiveWP

เพียงเท่านี้สำหรับภาพรวมทั่วไปแรกนี้ ซึ่งมีประโยชน์สำหรับการทำความเข้าใจระบบนิเวศที่ฝัง iThemes Security ไว้ ทีนี้มาดูกันว่า iThemes สามารถช่วยรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณได้อย่างไร

คุณสมบัติหลักของปลั๊กอินความปลอดภัยนี้คืออะไร?

เพื่อปกป้องการติดตั้งของคุณให้มากที่สุด iThemes เวอร์ชันฟรีสามารถ:

• ห้ามที่อยู่ IP ของแฮ็กเกอร์หรือ บอท ที่เป็นอันตรายที่ต้องการเข้าถึงเว็บไซต์ของคุณ
• บันทึก ฐานข้อมูล การติดตั้ง WordPress ของคุณ
• ตรวจหาการเปลี่ยนแปลงไฟล์ของคุณโดยไม่ได้รับอนุญาต
• บล็อก การโจมตีกำลังเดรัจฉาน ในกรณีนี้ โรบ็อตจะพยายามค้นหาข้อมูลเข้าสู่ระบบและรหัสผ่านของบัญชีผู้ดูแลระบบของไซต์ของคุณโดยการทดสอบชุดค่าผสมต่างๆ เพื่อเข้าควบคุม
• ช่วยคุณตั้งค่าการรับรองความถูกต้องด้วย สองปัจจัย เพื่อเข้าสู่ระบบไซต์ของคุณ
• คุณต้องตั้ง รหัสผ่านที่รัดกุม สำหรับทุกบัญชี
• บังคับให้เชื่อมต่อกับไซต์ของคุณผ่าน SSL ซึ่งจำเป็นสำหรับการติดตั้ง HTTPS บนไซต์ของคุณ
• ส่ง การ แจ้งเตือนทางอีเมลเกี่ยว กับกิจกรรมที่น่าสงสัยใดๆ บนไซต์ของคุณ
• เปลี่ยนคำนำหน้า ฐานข้อมูลของเว็บไซต์ของคุณ
• เปลี่ยน URL ของหน้าเข้าสู่ระบบของคุณ

อย่างไรก็ตาม อย่าถือว่า iThemes Security เป็นโซลูชันมหัศจรรย์ที่จะปกป้องคุณได้ 100% ไม่มีปลั๊กอินความปลอดภัยใดที่สามารถรับประกันได้

ตามที่ระบุไว้ในหน้าคำอธิบายในไดเร็กทอรีอย่างเป็นทางการ “iThemes Security ได้รับการออกแบบมาเพื่อช่วยปรับปรุงความปลอดภัยของการติดตั้ง WordPress ของคุณจากวิธีการโจมตีทั่วไปมากมาย แต่ไม่สามารถป้องกันการโจมตีที่เป็นไปได้ทั้งหมด “

สมมติว่าปลั๊กอินจะทำให้ชีวิตของคุณง่ายขึ้นเมื่อพูดถึงเรื่องความปลอดภัย เพราะคุณต้องจัดการเรื่องนั้นบ้าง เพื่อโน้มน้าวใจตัวเองให้พยายาม อ่านส่วนต่อไปนี้

ความปลอดภัยสำหรับเว็บไซต์ WordPress มีความสำคัญเพียงใด?

ฉันกำลังระบุอย่างชัดเจนที่นี่ แต่ขอพูดต่อไปว่า: ความปลอดภัยของไซต์ของคุณเป็นสิ่งสำคัญยิ่ง ในกรณีของการแฮ็ก ผลที่ตามมาอาจเป็นเรื่องเลวร้ายและนำไปสู่:

• การสูญหายและการโจรกรรมข้อมูลจำนวนมาก มีความสำคัญมากหรือน้อย โดยเฉพาะอย่างยิ่งข้อมูลของลูกค้าของคุณ
• เสียเวลา เพราะคุณจะต้องล้างไซต์ที่ถูกแฮ็กและอัปเดตทุกอย่าง
• ค่าใช้จ่ายทางการเงิน ที่ไม่ได้วางแผน โดยเฉพาะอย่างยิ่งหากคุณโทรหาผู้เชี่ยวชาญด้านความปลอดภัย
• สร้างความเสียหายต่อภาพลักษณ์ของแบรนด์ และอาจสูญเสียความไว้วางใจจากผู้ใช้ปัจจุบันและ/หรือลูกค้าในอนาคต

ไม่ใช่เรื่องที่ฉันจะทำให้คุณกลัว แต่โปรดจำไว้ว่าเหตุร้ายแบบนี้ไม่ได้เกิดขึ้นกับคนอื่นเท่านั้น

การดูอย่างรวดเร็วที่หน้าการนำเสนอของ iThemes Security Pro อาจเพียงพอที่จะโน้มน้าวใจคุณ (หากคุณเป็นประเภทที่ต้องการการโน้มน้าวใจ) ตามข้อมูลที่ บริษัท แบ่งปัน:

• 50% ของการโจมตีทางไซเบอร์มีเป้าหมายที่ธุรกิจขนาดเล็กมาก
• 45% ของเจ้าของเว็บไซต์ไม่ได้เตรียมพร้อมเพียงพอที่จะถูกแฮ็ก ซึ่งหมายความว่าพวกเขาไม่ได้วางมาตรการป้องกันที่เพียงพอ

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัย Patchstack รายงานในปี 2021 ช่องโหว่ที่ตรวจพบเกือบทั้งหมดมาจากธีม WordPress และโดยเฉพาะอย่างยิ่งปลั๊กอิน (99.42% ของช่องโหว่ทั้งหมด) การโจมตีสามารถทำได้หลายอย่างและหลากหลาย คุณสามารถกำหนดเป้าหมายโดย:

• การเขียนสคริปต์ไซต์ต่อไซต์ (การเขียนสคริปต์ข้ามไซต์หรือที่เรียกว่า XSS)
• การปลอมแปลงคำขอข้ามไซต์ (CSRF หรือ XSRF)
• การฉีด SQL (โจมตีฐานข้อมูลของคุณ)
• ช่องโหว่ของ PHP ซึ่งเป็นภาษาที่ WordPress ทำงาน
• ดาวน์โหลดไฟล์ที่เป็นอันตราย
• เป็นต้น

ในฐานะผู้ดูแลเว็บ คุณมีบทบาทในการรักษาความปลอดภัยให้กับไซต์ของคุณ จำเป็นที่คุณจะต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเป็นประจำทุกวัน เช่น การสำรองไฟล์และฐานข้อมูลของคุณ และดำเนินการอัปเดตเป็นประจำ

และอย่าลืมใช้ปลั๊กอินความปลอดภัยเช่น iThemes Security ค้นหาเพิ่มเติมในส่วนต่อไปนี้ ซึ่งจะแสดงวิธีเปิดใช้งานบนอินเทอร์เฟซการดูแลระบบของคุณ (แบ็คออฟฟิศ)

วิธีติดตั้งและกำหนดค่า iThemes ในหกขั้นตอน

ขั้นตอนที่ 1: สำรองไซต์ของคุณ

ก่อนอื่น ก่อนเปิดใช้งาน iThemes Security ให้ สำรองไซต์ของคุณด้วยปลั๊กอินเฉพาะ

เราไปดูปลั๊กอินสำรองบางตัวในการเปรียบเทียบนี้ รวมถึง UpdraftPlus ทำไมต้องใช้ความระมัดระวังนี้? ประการแรกเพราะเป็นการฝึกฝนที่ดี

และประการที่สอง เนื่องจาก iThemes Security แนะนำไว้ในคำถามที่พบบ่อยในไดเร็กทอรีอย่างเป็นทางการ

นี่คือสิ่งที่กล่าวว่า: “ iThemes Security ทำการเปลี่ยนแปลงที่สำคัญกับฐานข้อมูลของคุณและไฟล์ไซต์อื่น ๆ ซึ่งอาจเป็นปัญหาสำหรับไซต์ WordPress ที่มีอยู่ อีกครั้ง เราขอแนะนำอย่างยิ่งให้สำรองข้อมูลไซต์ของคุณทั้งหมดก่อนที่จะใช้ปลั๊กอินนี้ แม้ว่าปัญหาจะเกิดขึ้นไม่บ่อย แต่คำร้องขอการสนับสนุนส่วนใหญ่เกี่ยวข้องกับความล้มเหลวในการสำรองข้อมูลที่เหมาะสมก่อนการติดตั้ง”

บันทึกรับรองสำเนาถูกต้อง. ไปที่ขั้นตอนที่สองกันเถอะ

ขั้นตอนที่ 2: เปิดใช้งานปลั๊กอินบนแดชบอร์ดของคุณ

ตอนนี้ดำเนินการติดตั้ง iThemes Security ในการทำเช่นนั้น ให้ไปที่ Plugins > Add New และพิมพ์ “iThemes Security” ในแถบค้นหา:

คลิกที่ปุ่ม "ติดตั้งทันที" ในกระบวนการ เปิดใช้งานปลั๊กอิน ยินดีด้วย! ปลั๊กอินกำลังทำงานบนไซต์ของคุณ

คุณสามารถดูประเภทโพสต์ที่กำหนดเองใหม่ในแถบด้านข้างซ้ายของคุณ ประกอบด้วยสองเมนูหลัก:

1. ติดตั้ง
2. ได้รับความปลอดภัยมากขึ้น

มาดูอันแรกกันเลยดีกว่า ไปที่ iThemes Security > เมนูตั้งค่า

ขั้นตอนที่ 3: เลือกประเภทเว็บไซต์

เพื่อทำให้ชีวิตของคุณง่ายขึ้นตั้งแต่เริ่มต้น iThemes Security ขอเสนอคำแนะนำ "ตลอดขั้นตอนการตั้งค่า เพื่อให้ฟีเจอร์ความปลอดภัยที่สำคัญที่สุดเปิดใช้งานสำหรับไซต์ของคุณ"

ก่อนอื่น คุณสามารถเลือกจากหกประเภทไซต์ที่ตรงกับตัวคุณมากที่สุด:

• “อีคอมเมิร์ซ”
• “เครือข่าย” (สำหรับฟอรั่มและเว็บไซต์สมาชิก)
• “ไม่แสวงหาผลกำไร” (สำหรับไซต์ที่สนับสนุนกิจกรรมและรวบรวมเงินบริจาค)
• “บล็อก”
• “ผลงาน”
• “โบรชัวร์” (สำหรับเว็บไซต์แสดงผลงาน)

โดยส่วนตัวแล้ว ฉันเลือกเทมเพลต "บล็อก" ซึ่งเหมาะกับไซต์ทดสอบของฉันมากที่สุด

iThemes ขอให้คุณป้อนข้อมูลต่อไปนี้:

• คุณกำลังกำหนดค่าปลั๊กอินสำหรับใคร ไซต์ส่วนตัวของคุณหรือไซต์ของลูกค้า
• คุณต้องการ รักษาความปลอดภัยบัญชีผู้ใช้ของคุณด้วยนโยบายรหัสผ่านหรือไม่? สิ่งนี้ต้องการให้ผู้ใช้ไซต์ของคุณใช้รหัสผ่านที่รัดกุม การทำเครื่องหมายว่า "ใช่" เป็นแนวทางปฏิบัติที่ดี

ขั้นตอนที่ 4: เปิดใช้งานคุณสมบัติความปลอดภัย

ในขั้นตอนถัดไป iThemes ให้ตัวเลือกแก่คุณในการเปิด/ปิดคุณสมบัติที่คุณเลือก โดยแบ่งออกเป็นสี่ส่วน:

1. “เข้าสู่ระบบความปลอดภัย”
2. “ล็อคเอาต์”
3. “ตรวจสอบสถานที่”
4. “สาธารณูปโภค”

ใน iThemes Security เวอร์ชันฟรี มีห้าคุณสมบัติ:

• สองปัจจัย เพื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) เมื่อเข้าสู่ระบบอินเทอร์เฟซการดูแลระบบ
• กำลังดุร้ายในพื้นที่ เพื่อปกป้องไซต์ของคุณจากการโจมตีด้วยกำลังดุร้าย (ตัวเลือกนี้เปิดใช้งานตามค่าเริ่มต้น)
• กำลังดุร้ายเครือข่าย เพื่อบล็อกผู้ใช้ที่พยายามเจาะเข้าไปในไซต์อื่นก่อนที่จะโจมตีคุณ (ตัวเลือกนี้เปิดใช้งานตามค่าเริ่มต้น)
• Site Scan Scheduling เพื่อตรวจสอบไซต์ของคุณวันละสองครั้งเพื่อหาไฟล์ที่เป็นอันตราย
• Security Check Pro เพื่อระบุที่อยู่ IP ตามการกำหนดค่าเซิร์ฟเวอร์ของคุณโดยการส่งคำขอ API ไปยังเซิร์ฟเวอร์ iThemes.com (เปิดใช้งานตามค่าเริ่มต้น)

นอกเหนือจากคุณสมบัติที่เปิดใช้งานโดยค่าเริ่มต้นแล้ว การเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยและการสแกนไซต์อาจมีประโยชน์ ฉันจะกลับมาที่รายละเอียดของการตั้งค่าในภายหลัง

ขั้นตอนที่ 5: ตั้งค่ากลุ่มบัญชี

หลังจากนี้ iThemes จะแนะนำให้คุณตั้งค่า “กลุ่มบัญชี”

ตามที่ระบุไว้ “กลุ่มบัญชีผู้ใช้อนุญาตให้คุณเปิดใช้งานฟีเจอร์ความปลอดภัยสำหรับผู้ใช้บางกลุ่มเท่านั้น”

คุณมีสองตัวเลือกให้เลือก:

• เริ่มต้น . ในกรณีนี้ บัญชีผู้ใช้ของคุณจะถูกจัดหมวดหมู่โดยอัตโนมัติตามการอนุญาตใน WordPress และปลั๊กอินจะเปิดใช้งานการตั้งค่าความปลอดภัยที่แนะนำสำหรับแต่ละกลุ่ม ฉันขอแนะนำให้คุณใช้ตัวเลือกนี้
• กำหนดเอง ที่นี่คุณเริ่มต้นจากศูนย์ด้วยกลุ่มที่กำหนดเองและจัดหมวดหมู่บัญชีผู้ใช้ของคุณตามที่คุณต้องการ

จากนั้น คุณจะสามารถเข้าถึงการตั้งค่าต่างๆ ตามบทบาทของผู้ใช้ (ผู้ดูแลระบบ ผู้แก้ไข ผู้แต่ง ผู้มีส่วนร่วม หรือผู้สมัครสมาชิก):

ขั้นตอนที่ 6: ตั้งค่าทั่วไปและการแจ้งเตือน

เพื่อให้การกำหนดค่าไซต์ของคุณเสร็จสมบูรณ์ iThemes Security จะขอให้คุณดำเนินการดังต่อไปนี้:

• เพิ่มที่อยู่ IP ของคุณในรายการบัญชีที่อนุญาต
• เลือกวิธีที่ปลั๊กอินจะระบุที่อยู่ IP ของผู้เยี่ยมชมของคุณ
• เข้าร่วมหรือไม่เข้าร่วมเครือข่ายเดรัจฉาน (เพียงป้อนที่อยู่อีเมลของคุณหากคุณต้องการ)
• ป้อนที่อยู่อีเมลเพื่อรับการแจ้งเตือน

เพียงเท่านี้สำหรับมาตรการป้องกันลูกแรก iThemes ชี้ให้เห็นว่าไซต์ของคุณได้รับการปรับปรุงที่โดดเด่นบางอย่างแล้ว:

• ความปลอดภัยของบัญชีของคุณได้รับการเสริม
• การโจมตีแบบเดรัจฉานจะถูกบล็อก เช่นเดียวกับบอทและตัวแทนผู้ใช้ที่เป็นอันตราย
• การตรวจจับมัลแวร์ และการตรวจจับธีมและปลั๊กอินที่มีช่องโหว่ทำงานอยู่

นี่เป็นขั้นตอนแรกที่ดี แต่ยังมีที่ว่างสำหรับการปรับแต่งเพิ่มเติม ในส่วนถัดไป ฉันจะแสดงให้คุณเห็นถึงวิธีการปรับแต่งคุณสมบัติหลักของปลั๊กอินในเชิงลึกมากขึ้น

เข้าร่วมสมาชิก WPMarmite

รับโพสต์ WPMarmite ล่าสุด (และแหล่งข้อมูลพิเศษ)

สมัครสมาชิกตอนนี้

iThemes Security มีการตั้งค่าอะไรบ้าง

เมื่อคุณใช้วิซาร์ดการกำหนดค่าเสร็จแล้ว iThemes Security จะเสนอเมนูใหม่ชื่อ “การตั้งค่า” ให้คุณ

เมนูนี้ประกอบด้วยคุณลักษณะของปลั๊กอิน ซึ่งบางส่วนถูกกล่าวถึงในระหว่างขั้นตอนการกำหนดค่า

iThemes Security ใช้วิธีการแบบแยกส่วน: คุณสามารถเปิดใช้งานคุณสมบัติที่คุณต้องการและปิดใช้งานคุณสมบัติที่ไม่มีประโยชน์

เมื่อปุ่มเป็นสีน้ำเงิน แสดงว่าคุณสมบัตินี้ทำงานอยู่ หากต้องการปิดใช้งาน เพียงคลิก คุณสามารถเข้าถึงการตั้งค่าได้โดยคลิกที่ฟันเฟือง:

โดยไม่ต้องกังวลใจอีกต่อไป มาแยกย่อยแต่ละตัวเลือกที่มีให้กัน

เปลี่ยนไฟล์

ต้องขอบคุณโมดูล “File Change” ทำให้ iThemes Security สามารถแจ้งให้คุณทราบทันทีที่ไฟล์ถูกแก้ไข ซึ่งอาจบ่งบอกถึงการแฮ็ก

ตามค่าเริ่มต้น ไฟล์ทั้งหมดที่รวมอยู่ในการติดตั้ง WordPress ใหม่แต่ละครั้งจะถูกนำมาพิจารณาด้วย

อย่างไรก็ตาม การตั้งค่าของโมดูลนี้อนุญาตให้คุณแยกไฟล์และโฟลเดอร์ที่คุณเลือก ถ้าคุณต้องการ

หากคุณไม่แน่ใจว่ากำลังทำอะไรอยู่ ให้ปล่อยมันไป ข้อดีของการยกเว้นไฟล์และโฟลเดอร์บางอย่างคือใช้ทรัพยากรเซิร์ฟเวอร์น้อยลง เวลาในการโหลดหน้าเว็บของคุณจึงได้รับผลกระทบน้อยลง

หากคุณใช้โฮสต์ที่ดีเช่น bluehost (ลิงค์พันธมิตร) สิ่งนี้ไม่ควรเป็นปัญหา

การปิดกั้นบัญชี

โมดูล "แบนผู้ใช้" ป้องกันการเข้าถึงไซต์ของคุณโดยที่อยู่ IP และตัวแทนผู้ใช้เฉพาะ (เช่น เว็บเบราว์เซอร์หรือโรบ็อตเครื่องมือค้นหา)

ตามค่าเริ่มต้น iThemes แนะนำให้เปิดใช้งานรายการที่สร้างโดยเว็บไซต์ HackRepair.com เนื่องจากรายการนี้บล็อกบ็อตบางตัวที่ถือว่าเป็นอันตราย จึงเหมาะสมที่จะเปิดใช้งาน

ในส่วนที่เกี่ยวข้องกับการแบนแบบกำหนดเอง คุณสามารถ:

• จำกัดจำนวน IP ที่ถูกบล็อกในไฟล์คอนฟิกูเรชันของเซิร์ฟเวอร์ iThemes สังเกตว่าสิ่งนี้ช่วยลดความเสี่ยงของเซิร์ฟเวอร์ล่มเมื่ออัปเดตไฟล์
• แบนผู้ใช้ด้วยตนเอง ตัวแทน

การรับรองความถูกต้องด้วยสองปัจจัย

ไปที่โมดูลสำหรับการรับรองความถูกต้องด้วยสองปัจจัยโดยเฉพาะ นี่เป็นการเพิ่มมาตรการรักษาความปลอดภัยเพิ่มเติมในการเข้าสู่ไซต์ WordPress ของคุณ

หลังจากป้อนชื่อผู้ใช้และรหัสผ่านแล้ว คุณจะถูกขอให้ใช้อุปกรณ์ ซึ่งมักจะเป็นสมาร์ทโฟนหรือแท็บเล็ตเพื่อตรวจสอบกระบวนการเชื่อมต่อ

นี่เป็นวิธีการที่ธนาคารใช้อยู่แล้วเมื่อคุณชำระเงินออนไลน์ มันมีประสิทธิภาพมากในการปกป้องคุณจากการโจมตีด้วยกำลังดุร้าย

ในการตั้งค่า ก่อนอื่นคุณต้องเลือกวิธีการตรวจสอบสิทธิ์แบบสองปัจจัย iThemes Security รองรับหลายตัวเลือก:

• แอปพลิเคชั่นมือถือ
• อีเมล
• รหัสสำรอง

iThemes แนะนำให้เลือกการตั้งค่า “วิธีการทั้งหมด” ซึ่งช่วยให้แต่ละบัญชีสามารถเลือกวิธีการที่ต้องการได้

คุณยังสามารถเลือกที่จะปิดใช้งานการยืนยันตัวตนแบบคู่ในการเข้าสู่ระบบครั้งแรก และสามารถแก้ไขข้อความที่จะแสดงต่อผู้ใช้เมื่อตั้งค่าการยืนยันตัวตนแบบสองปัจจัย

เมื่อโมดูลนี้เปิดใช้งาน คุณจะถูกถามให้เลือกวิธีการรับรองความถูกต้องหลังจากป้อนชื่อผู้ใช้และรหัสผ่านของคุณ

ตัวอย่างเช่น คุณสามารถใช้แอปพลิเคชันมือถือ เช่น Google Authenticator, Authy, FreeOTP หรือ Toopher

ครั้งต่อไปที่คุณเข้าสู่ระบบอินเทอร์เฟซการดูแลระบบ ระบบจะขอให้คุณใช้วิธีนี้ในการรับรองความถูกต้องด้วยตัวคุณเอง

การป้องกันกำลังดุร้าย

แม้ว่าการรับรองความถูกต้องด้วยสองปัจจัยจะเป็นเกราะป้องกันที่ดีในการปกป้องคุณจากการโจมตีด้วยกำลังดุร้าย แต่นั่นไม่ใช่เพียงสิ่งเดียว

iThemes ยังมีสองโมดูลเฉพาะสำหรับสิ่งนี้ ด้วยอันแรกที่เรียกว่า “กำลังดุร้ายในท้องถิ่น” คุณสามารถ:

• บล็อกที่อยู่ IP ที่พยายามเชื่อมต่อกับการเข้าสู่ระบบ "ผู้ดูแลระบบ" โดยอัตโนมัติ ฉันแนะนำให้คุณตรวจสอบตัวเลือกนี้
• จำกัดจำนวนครั้งสูงสุดของการพยายามเข้าสู่ระบบต่อที่อยู่ IP ก่อนบล็อก
• จำกัดจำนวนครั้งสูงสุดของการพยายามเข้าสู่ระบบต่อชื่อผู้ใช้ก่อนที่จะบล็อก
• กำหนดจำนวนนาทีที่ใช้พิจารณาเพื่อนับการเชื่อมต่อที่ไม่สำเร็จ

การตั้งค่าเริ่มต้นมีผลอยู่แล้ว แต่คุณสามารถแก้ไขได้ตามต้องการ

ตัวอย่างเช่น หากคุณตระหนักว่าการโจมตีแบบเดรัจฉานกำลังเพิ่มขึ้น ให้ลดจำนวนความพยายามเข้าสู่ระบบสูงสุดต่อผู้ใช้จาก 10 เป็น 5 ครั้ง

ในขณะเดียวกัน คุณยังสามารถใช้ประโยชน์จากโมดูล “Network Brute Force” คำอธิบายค่อนข้างคลุมเครือ iThemes กล่าวว่านี่คือ "เครือข่ายของไซต์ที่ป้องกันผู้ไม่ประสงค์ดีบนอินเทอร์เน็ต"

แม้ว่าโมดูล "Local Brute Force" จะจัดการกับความพยายามในการเข้าถึงไซต์ของคุณเท่านั้น แต่ "Network Brute Force" จะบล็อกผู้ใช้ที่พยายามเจาะเข้าไปในไซต์อื่นก่อนที่จะโจมตีไซต์ ของ คุณ

เปิดใช้งานตัวเลือกนี้โดยป้อนที่อยู่อีเมลของคุณ และทำเครื่องหมายในช่องเพื่อรับการอัปเดตทางอีเมล

สำรองฐานข้อมูล

ในกรณีที่ถูกแฮ็ก (หวังว่าคุณจะไม่ต้องใช้ข้อมูลนี้) คุณจะต้องกู้คืนไซต์ของคุณ ในการดำเนินการดังกล่าว จำเป็นต้องมีการสำรองข้อมูลล่าสุด

ด้วยโมดูล "การสำรองข้อมูลฐานข้อมูล" คุณสามารถสร้างหรือกำหนดเวลาการสำรองข้อมูลอัตโนมัติของฐานข้อมูลของคุณได้ด้วยตนเอง

อย่างไรก็ตาม โปรดใช้ความระมัดระวัง: โมดูลจะสำรองข้อมูลเฉพาะฐานข้อมูลของคุณเท่านั้น ไม่ใช่ไฟล์ของไซต์ของคุณ (ไฟล์ที่คุณพบในโฟลเดอร์ "wordpress" หลังจากดาวน์โหลดมา)

นี่คือการตั้งค่าที่มีให้:

• กำหนดการสำรองฐานข้อมูล เลือกช่องนี้หากคุณต้องการสร้างการสำรองข้อมูลอัตโนมัติ หากคุณไม่ได้ใช้ปลั๊กอินสำรองแบบขนาน ให้เปิดใช้งานตัวเลือกนี้ คุณสามารถเลือกจำนวนวันระหว่างการสำรองข้อมูลสองครั้ง ตามค่าเริ่มต้น การตั้งค่าคือสามวัน หากเนื้อหาในไซต์ของคุณไม่เปลี่ยนแปลง คุณสามารถลดความถี่นี้ได้ หากคุณทำการเปลี่ยนแปลงในไซต์ของคุณทุกวัน ให้กำหนดเวลาสำรองข้อมูลรายวัน
• การกำหนดค่าการสำรองข้อมูลของคุณ คุณสามารถเลือกวิธีการสำรองข้อมูลได้สามวิธี: ทางอีเมล การสำรองข้อมูลภายในเครื่อง หรือทั้งสองอย่าง ข้อมูลสำรองในเครื่องจะใช้พื้นที่ในที่เก็บข้อมูลของคุณ ดังนั้นควรส่งทางอีเมลจะดีกว่า
  คุณยังสามารถบีบอัดไฟล์สำรองของคุณเพื่อลดขนาด (ไม่ต้องทำเครื่องหมายในช่องนี้)
• ตารางที่จะสำรอง iThemes ช่วยให้คุณสามารถแยกบางตารางในฐานข้อมูลของคุณออกจากข้อมูลสำรองได้ ตามค่าเริ่มต้น ตารางทั้งหมดของ WordPress Core จะรวมอยู่ด้วย สำหรับส่วนที่เหลือ อย่าแตะต้องสิ่งใด เว้นแต่คุณจะแน่ใจว่าคุณเข้าใจว่าตารางที่คุณต้องการยกเว้นมีไว้เพื่ออะไร

สิ่งเดียวที่มีประโยชน์เกี่ยวกับโมดูลนี้คือการสำรองข้อมูลฐานข้อมูลของคุณ

เพื่อให้ดีขึ้น ฉันแนะนำให้คุณใช้ปลั๊กอินเฉพาะเพื่อสำรองข้อมูลทั้งไซต์ของคุณ (ไฟล์ + ฐานข้อมูล )

เลือกปลั๊กอิน (เช่น UpdraftPlus) ที่ช่วยให้คุณส่งข้อมูลสำรองไปยังพื้นที่เก็บข้อมูลระยะไกล (Dropbox, Google Drive, Amazon S3 เป็นต้น)

ศูนย์การแจ้งเตือน

หลังจากกำหนดค่าตัวเลือกทั้งหมด (คุณจะถูกขอให้บังคับ SSL หากไซต์ของคุณอยู่ใน HTTPS) iThemes Security จะให้เมนูแก่ผู้ใช้เพื่อจัดการการแจ้งเตือนที่ส่ง:

ก่อนอื่น iThemes จะให้คุณเปิด/ปิดการแจ้งเตือนโดยเลือก/ไม่เลือกช่องที่เกี่ยวข้องในแต่ละเมนูย่อย:

สำหรับตัวเลือกส่วนใหญ่ คุณสามารถตั้งค่า:

• หัวข้ออีเมลที่ส่งไป
• ความถี่ของอีเมล
• ผู้รับ: ผู้ดูแลระบบ บทบาทของผู้ใช้อื่น หรือที่อยู่อีเมลที่กำหนดเอง

เครื่องมือและตัวเลือกขั้นสูงของ iThemes Security

สุดท้าย iThemes มีการตั้งค่าความปลอดภัยที่มีประโยชน์อื่นๆ ในเมนู "ขั้นสูง" และ "เครื่องมือ" (คุณต้องจับตาดูการตั้งค่าเหล่านี้ให้ดีเพราะซ่อนไว้อย่างดี ^^)

เมนูขั้นสูง

คุณจะมีสามแท็บในเมนู "ขั้นสูง" ซึ่งช่วยให้คุณสามารถเปลี่ยนแปลงการกำหนดค่าเซิร์ฟเวอร์ของไซต์ของคุณได้

ปล่อยให้การตั้งค่าเริ่มต้นสำหรับสองรายการแรกคือ "การปรับแต่งระบบ" และ "การปรับแต่ง WordPress"

แท็บที่สาม "ซ่อนแบ็กเอนด์" ให้คุณเปลี่ยนหน้าเข้าสู่ระบบของการดูแลไซต์ของคุณได้ ตามค่าเริ่มต้น สามารถเข้าถึงได้ง่ายโดยป้อนหนึ่งในสอง URL ด้านล่างในเว็บเบราว์เซอร์:

• yoursite.com/wp-admin
• yoursite.com/wp-login.php

การแก้ไขจะทำให้บอทเชื่อมต่อกับไซต์ของคุณได้ยากขึ้น การตั้งค่าช่วยให้คุณ:

• เปลี่ยนการเชื่อมต่อ slug เช่นส่วนสุดท้ายของ URL ป้อนค่าที่คุณเลือก (เช่น: xc78ygvk)
  เป็นการดีกว่าที่จะเลือกชุดค่าผสมที่คาดเดาได้ยาก อย่าลืมจด URL ใหม่ของคุณไว้ในหลายๆ ที่ (ในแอปพลิเคชันโน้ตของคุณ ในรายการโปรดของเบราว์เซอร์ ฯลฯ)
• ระบุ URL การเปลี่ยนเส้นทาง (เช่น https://yoursite.com/404) ซึ่งจะถูกส่งกลับไปยังบอทหรือแฮ็กเกอร์ที่ไม่ได้เชื่อมต่อซึ่งต้องการเข้าถึงหน้าเข้าสู่ระบบของคุณ ทำเครื่องหมายในช่องที่เกี่ยวข้องหากคุณต้องการตัวเลือกนี้

เมนูเครื่องมือ

มาจบการตรวจสอบการตั้งค่าด้วยเมนู "เครื่องมือ" ซึ่งแสดงรายการตัวเลือกการกำหนดค่าเพิ่มเติมสิบรายการ

ในการเริ่มต้น เราขอแนะนำให้คุณใช้เครื่องมือต่อไปนี้ก่อน:

• “ Change admin user” เพื่อเปลี่ยนชื่อผู้ใช้ที่ขึ้นต้นด้วย “admin”
• “ เปลี่ยนคำนำหน้าตารางฐานข้อมูล” การเปลี่ยนคำนำหน้า wp_ ซึ่งถูกกำหนดโดยค่าเริ่มต้นให้กับการติดตั้ง WordPress ใหม่ทั้งหมด คุณจะทำให้เครื่องมือที่พยายามใช้ประโยชน์จากช่องโหว่ในการเข้าถึงฐานข้อมูลของไซต์ของคุณทำได้ยากขึ้น
• “ตรวจสอบสิทธิ์ของไฟล์” เพื่อตรวจสอบสิทธิ์ หากมีคำเตือน คุณสามารถเปลี่ยนคำเตือนบนไคลเอนต์ FTP ของคุณได้

อีกครั้ง อย่าลืมสำรองไซต์ของคุณก่อนที่จะเปิดใช้งานเครื่องมือที่มีให้โดยปลั๊กอินความปลอดภัย

ตอนนี้คุณมีภาพรวมโดยละเอียดของเมนู "การตั้งค่า" ความปลอดภัยของ iThemes ได้เวลาดูว่าเมนู "แดชบอร์ด" มีอะไรให้คุณบ้าง

วิธีตรวจสอบสถานะไซต์ของคุณด้วย iThemes Security

เมื่อไปที่ iThemes Security > Dashboard คุณจะได้รับภาพสรุปสถานะของไซต์ของคุณ

ปลั๊กอินแสดงข้อมูลต่อไปนี้:

• การล็อกที่จัดหมวดหมู่ตามที่อยู่ IP ผู้ใช้ และตัวระบุ
• จำนวนการสำรองฐานข้อมูลของคุณ พร้อมปุ่มเพื่อเปิดใช้งานการสำรองข้อมูลด้วยตนเองทันที
• จำนวนของการโจมตีด้วยกำลังดุร้าย ในช่วงเวลาที่กำหนด ตามค่าเริ่มต้น ช่วงวันที่จะตั้งเป็น 30 วัน แต่คุณสามารถป้อนค่าที่กำหนดเองได้
• ตรวจพบข้อผิดพลาดในการสแกน
• บัญชีที่ถูกแบน
• ภาพรวมของการแบน : การพยายามเข้าสู่ระบบ การเข้าสู่ระบบด้วย “admin” และ reCAPTCHA

ตัวเลือกพรีเมี่ยมของปลั๊กอินคืออะไร?

ด้วย iThemes Security Pro ซึ่งเป็นปลั๊กอินรุ่นพรีเมียม คุณจะได้รับ “ชั้นการป้องกันเพิ่มเติมสำหรับเว็บไซต์ WordPress ของคุณโดยคำนึงถึงประสิทธิภาพเป็นหลัก” iThemes อธิบาย

สงสัยว่าจะเปิดใช้งาน iThemes Security รุ่น Pro ได้อย่างไร? มันง่ายมาก หลังจากซื้อหนึ่งในใบอนุญาตแบบชำระเงินของปลั๊กอินแล้ว ให้ดาวน์โหลดไฟล์ zip ที่เชื่อมโยงกับปลั๊กอินในพื้นที่ลูกค้าของคุณ จากนั้นอัปโหลดในปลั๊กอิน > เพิ่มใหม่ โดยคลิกที่ "อัปโหลดปลั๊กอิน"

ต่อไปนี้คือตัวเลือกหลักส่วนใหญ่ที่มีให้ในแพ็คเกจพรีเมียมของปลั๊กอิน:

• อัปเดตปลั๊กอิน ธีม และไฟล์หลักของ WordPress โดยอัตโนมัติ ในกรณีที่ตรวจพบช่องโหว่
• ตัวเลือกในการเปิดใช้งาน reCAPTCHA เมื่อลงทะเบียนผู้ใช้ใหม่ รีเซ็ตรหัสผ่าน เข้าสู่ระบบ และโพสต์ความคิดเห็น นี่เป็นตัวเลือกที่มีประสิทธิภาพในการต่อสู้กับสแปม รองรับ Google reCAPTCHA V3 โดยเฉพาะ
• ความสามารถสำหรับผู้ใช้ของคุณในการลงชื่อเข้าใช้ไซต์ WordPress ของคุณโดยใช้ลิงก์ที่ส่งไปยังอีเมลอย่างปลอดภัย (“ตัวเลือกการเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน”)
• ความสามารถสำหรับผู้ใช้ที่ถูกบล็อกโดยเครือข่ายเดรัจฉานเพื่อ เข้าสู่ระบบโดยใช้เมจิกลิงก์ (“ตัวเลือกเมจิกลิงก์”)
• ส่งออกการตั้งค่าปลั๊กอิน นี่เป็นตัวเลือกที่มีประโยชน์หากคุณต้องการเปิดใช้งานปลั๊กอินในหลาย ๆ ไซต์โดยไม่ต้องตั้งค่าในแต่ละครั้ง
• แก้ไขห้าองค์ประกอบที่สำคัญที่สุดอย่างรวดเร็วเพื่อความปลอดภัยของผู้ใช้ของคุณ : การยืนยันตัวตนแบบสองปัจจัย อายุและความปลอดภัยของรหัสผ่าน เวลากิจกรรมล่าสุด เซสชัน WordPress ที่ใช้งานอยู่ และบทบาทของผู้ใช้ (“ตัวเลือกการตรวจสอบความปลอดภัยของผู้ใช้”)
• การอัปเดตคอร์ ปลั๊กอิน และธีมโดยอัตโนมัติ (“ตัวเลือกการจัดการเวอร์ชัน”)
• การเข้าถึงผู้ดูแลระบบชั่วคราวสำหรับผู้ใช้ชั่วคราว (เช่น ช่างเทคนิคการบำรุงรักษา) โดยไม่ต้องสร้างผู้ใช้ใหม่ (ตัวเลือกการเลื่อนระดับสิทธิ์ชั่วคราว)

สนใจอัปเกรดเป็น iThemes Security Pro หรือไม่ พูดคุยเกี่ยวกับราคาตอนนี้

ความปลอดภัยของ iThemes มีค่าใช้จ่ายเท่าไร?

iThemes Security เป็นปลั๊กอินฟรีเมียม คุณสามารถใช้งานได้ฟรีก่อนโดยเปิดใช้งานจากส่วนต่อประสานการดูแลระบบของคุณ แต่ผู้สร้างยังเสนอสิทธิ์ใช้งานแบบพรีเมียมสามสิทธิ์เพื่อใช้ประโยชน์จากคุณสมบัติทั้งหมดที่มีให้โดยปลั๊กอิน

1. พื้นฐาน : $99/ปี สำหรับการใช้งานบนเว็บไซต์เดียว
2. บวก : $199/ปี สำหรับการใช้งานสูงสุด 5 ไซต์
3. เอเจนซี่ : $299/ปี สำหรับการใช้งานสูงสุด 10 ไซต์

ใบอนุญาตแต่ละใบมีตัวเลือก การอัปเดตปลั๊กอิน และการสนับสนุนทางอีเมลที่เหมือนกันทุกประการ

ใบอนุญาตที่คุณเลือกขึ้นอยู่กับจำนวนไซต์ที่คุณวางแผนจะเปิดใช้งาน iThemes Security Pro

หมายเหตุ: iThemes ยังมีแพ็คเกจราคา $749/ปี ซึ่งรวมเครื่องมือมากมายที่วางตลาดภายใต้แบรนด์ StellarWP: iThemes Security, Backup Buddy, Kadence, Restrict Content Pro เป็นต้น

iThemes Security ฟรี vs Pro: คุณควรเลือกเวอร์ชันใด

มูลค่าเพิ่มหลักของ iThemes Security Pro ในแง่ของความปลอดภัย เมื่อเทียบกับเวอร์ชันฟรี คือการใช้แพตช์โดยอัตโนมัติกับซอฟต์แวร์ที่มีช่องโหว่ที่ตรวจพบโดยการวิเคราะห์ไซต์ เมื่อพร้อมใช้งาน

สิ่งนี้มีประโยชน์อย่างเห็นได้ชัดในการปกป้องไซต์ของคุณมากขึ้น แต่คุณยังต้องจ่ายอย่างน้อย $99/ปี เพื่อใช้ประโยชน์จากสิ่งนี้

ตัวเลือกที่เหลือส่วนใหญ่มีวัตถุประสงค์เพื่ออำนวยความสะดวกในการดำเนินการบางอย่าง (การเชื่อมต่อผ่านเมจิกลิงก์ การส่งออกตัวเลือกอย่างรวดเร็ว ฯลฯ) ไม่ใช่เพื่อเพิ่มการป้องกันไซต์ของคุณ

สรุปแล้ว ปลั๊กอินเวอร์ชันฟรีสำหรับฉันดูเหมือนว่าจะเพียงพอแล้วที่จะเสริมความปลอดภัยให้กับไซต์ของคุณ ต้องขอบคุณการป้องกันการโจมตีแบบดุร้ายและการยืนยันตัวตนสองครั้ง

แต่ก็ยังมีข้อจำกัดบางประการดังที่คุณจะเห็นในบทสรุปด้านล่าง

ความคิดเห็นสุดท้ายของเราเกี่ยวกับความปลอดภัยของ iThemes

ข้อดีของ iThemes Security

• การตั้งค่าความปลอดภัยล่วงหน้าจะเพิ่มโดยอัตโนมัติเมื่อคุณเปิดใช้งานปลั๊กอิน
• อินเทอร์เฟซซึ่งค่อนข้างใช้งานง่ายและชัดเจน สิ่งนี้ทำให้ง่ายต่อการเรียนรู้ปลั๊กอิน
• วิธีการแบบแยกส่วนซึ่งช่วยให้คุณสามารถเปิดใช้งานเฉพาะตัวเลือกที่คุณต้องการ สิ่งนี้ใช้ทรัพยากรเซิร์ฟเวอร์น้อยลง ซึ่งดีกว่าเสมอสำหรับความเร็วในการโหลดหน้าเว็บของคุณ
• ความจริงที่ว่าปลั๊กอินใช้ศัพท์แสงทางเทคนิคน้อยมาก ตัวเลือกเหล่านี้สามารถเข้าใจได้มากกว่าคู่แข่งเช่น Wordfence Security หรือ Sucuri
• รุ่นฟรีมีคุณสมบัติมากมาย

ข้อ จำกัด ของปลั๊กอิน

• ข้อเสียเปรียบหลักของปลั๊กอินคือไม่มีไฟร์วอลล์ ซึ่งยังคงเป็นมาตรการป้องกันที่จำเป็นสำหรับปลั๊กอินความปลอดภัย
• ไม่มีเครื่องสแกนความปลอดภัยเช่นนี้
• ทราฟฟิกแบบเรียลไทม์ไม่ได้รับการวิเคราะห์ในเวอร์ชันฟรี
• ปลั๊กอินไม่ได้แก้ไขช่องโหว่ที่ตรวจพบในเวอร์ชันฟรี
• iThemes ตั้งข้อสังเกตว่าปลั๊กอินของมันอาจทำให้ไซต์ของคุณเสียหายได้เนื่องจากทำการเปลี่ยนแปลงที่สำคัญกับไฟล์และฐานข้อมูลของคุณ

คุณควรใช้หรือไม่

สุดท้าย มีคำถามสุดท้าย: คุณควรเปิดใช้งานปลั๊กอินบนไซต์ WordPress ของคุณหรือไม่

ในการตอบคำถามนี้มีประเด็นสำคัญบางประการที่ควรทราบ:

• ใช่ iThemes ไม่มีตัวเลือกที่สำคัญบางอย่าง เช่น ไฟร์วอลล์หรือการสแกน...
• …แต่ปลั๊กอินสามารถทำงานได้ หากคุณใช้มาตรการรักษาความปลอดภัยอื่นๆ ควบคู่กัน ไป ตัวอย่างเช่น คุณอาจใช้ปลั๊กอินอื่นที่มีไฟร์วอลล์
  อย่าลืมสำรองไซต์ของคุณเป็นประจำและอัปเดตทุกครั้งที่มีการอัปเดต
  

ท้ายที่สุด หากคุณปฏิบัติตามคำแนะนำเหล่านี้ (การใช้ iThemes ร่วมกับมาตรการรักษาความปลอดภัยอื่น ๆ ร่วมกัน) ฉันคิดว่า iThemes เหมาะสำหรับผู้ใช้ระดับเริ่มต้นที่ต้องการเพิ่มความปลอดภัยให้กับไซต์ของตนฟรีโดยไม่ทำให้เครียดเกินไป

แม้ว่าจะมีฟีเจอร์ความปลอดภัยพื้นฐานน้อยกว่า แต่ iThemes Security ก็ยังตั้งค่าได้ง่ายกว่า Wordfence Security ซึ่งใช้ศัพท์แสงมากกว่า (และมีชื่อเสียงว่าโลภมากในการแย่งชิงทรัพยากรเซิร์ฟเวอร์)

ดาวน์โหลด iThemes Security :

คุณมีความคิดเห็นอย่างไรเกี่ยวกับ iThemes Security? บอกเราเกี่ยวกับเรื่องนี้ในความคิดเห็น