การป้องกันรหัสผ่าน WordPress – คู่มือฉบับสมบูรณ์

เผยแพร่แล้ว: 2022-08-02

นี่คือ 'สุดยอด' หรือคู่มือที่ครอบคลุมในการป้องกันรหัสผ่าน WordPress สำหรับผู้ดูแลระบบและเจ้าของเว็บไซต์ธุรกิจ มันเขียนขึ้นสำหรับผู้ที่จัดการหรือเป็นผู้ดูแลระบบของเว็บไซต์ WordPress

นอกเหนือจากบทบาท ความปลอดภัยของเว็บไซต์ WordPress ที่อ่อนแอและแข็งแกร่งที่สุดรองลงมาคือการใช้รหัสผ่านของคุณ ตามที่ WordPress และผู้จำหน่ายซอฟต์แวร์รักษาความปลอดภัยกล่าว ด้วยข้อมูลประจำตัวในการเข้าสู่ระบบ อาจมีบางคนเข้าถึงเว็บไซต์ของคุณ รวมถึงการกำหนดค่าและข้อมูลทั้งหมดที่มีจากแดชบอร์ด WordPress ผู้ใช้ที่เข้าสู่ระบบสามารถแอบอ้างเป็นคุณ เพิ่ม แก้ไขหรือลบรายการ ทำให้เว็บไซต์ของคุณเสียหาย และทำลายธุรกิจของคุณ

โพสต์บล็อกนี้มีชุดแนวทางปฏิบัติที่ดีที่สุดเพื่อช่วยคุณสร้างการป้องกันรหัสผ่าน WordPress ที่ปลอดภัยทั่วทั้งองค์กรของคุณและให้ความรู้แก่ผู้ใช้ของคุณเกี่ยวกับการใช้งาน

สารบัญ

  • กำหนดนโยบายความปลอดภัยรหัสผ่านที่รัดกุม
        • รหัสผ่านที่รัดกุมมีลักษณะอย่างไร
        • บทบาทผู้ใช้ WordPress และผลกระทบด้านความปลอดภัย
        • ติดตั้งเครื่องมือรักษาความปลอดภัยรหัสผ่าน WordPress และปลั๊กอินที่เหมาะสม
        • เป็นตัวอย่างที่ดีสำหรับการป้องกันรหัสผ่าน WordPress
  • จ้างผู้จัดการรหัสผ่าน
      • ประโยชน์ของการใช้ตัวจัดการรหัสผ่าน
  • เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยหรือหลายปัจจัย
  • ให้ความรู้แก่ผู้ใช้ของคุณในการป้องกันด้วยรหัสผ่าน WordPress
        • พูดคุยเกี่ยวกับการละเมิดข้อมูลที่เป็นข่าว
        • บังคับใช้นโยบายรหัสผ่านที่รัดกุมของคุณ
            • กิจกรรมของผู้ดูแลระบบสำหรับการรักษาความปลอดภัยรหัสผ่าน WordPress
        • เน้นย้ำถึงประโยชน์ในการขจัดความเครียดและประหยัดเวลาของการใช้ตัวจัดการรหัสผ่าน
        • เน้นการลงทุนที่คุ้มค่าในการรักษาความปลอดภัยรหัสผ่าน WordPress ที่แข็งแกร่ง
  • กำหนดมาตรการป้องกันอื่นๆ ที่เกี่ยวข้อง

กำหนดนโยบายความปลอดภัยรหัสผ่านที่รัดกุม

ในฐานะผู้ดูแลเว็บไซต์ WordPress คุณมีโอกาสและความรับผิดชอบในการบังคับใช้นโยบายรหัสผ่านที่รัดกุมกับผู้ใช้ของคุณ ในการดำเนินการดังกล่าว คุณจะปกป้ององค์กร เว็บไซต์ ข้อมูล พนักงาน และผู้ใช้รายอื่นๆ จากการโจมตีต่างๆ

  • ในกรณีของบริษัทและพนักงานภายใน พนักงานการตลาดจะต้องเข้าถึงเว็บไซต์ WordPress เพื่อสร้างและแก้ไขหน้าเว็บไซต์และบล็อกโพสต์ ในขณะที่คนอื่น ๆ จะต้องเข้าถึงเพื่อกลั่นกรองและตอบกลับความคิดเห็นเท่านั้น ในทางกลับกัน การจัดการบัญชีลูกค้าหรือพนักงานบริการลูกค้าจะต้องเข้าถึงบัญชีลูกค้าในระดับต่างๆ เพื่อตอบสนองต่อตั๋วสนับสนุน ในกรณีนี้ ผู้ใช้พนักงานภายในส่วนใหญ่จะไม่จำเป็นต้องเข้าถึงบัญชีลูกค้า แม้ว่าบางคนจะเข้าถึงก็ตาม ผู้ที่ทำงานในฝ่ายสนับสนุนด้านไอทีอาจต้องเข้าถึงบางแง่มุมของบัญชีลูกค้า แม้ว่าอาจไม่ใช่ทั้งหมด
  • ลองนึกถึงมุมมองอื่นๆ ของผู้ใช้ภายนอกบนเว็บไซต์ WordPress ของอีคอมเมิร์ซ พวกเขาอาจต้องเข้าสู่ระบบเพื่อจัดการบัญชี ซื้อสินค้า ติดตามสถานะการจัดส่งหรือการคืนสินค้า หรือติดต่อฝ่ายสนับสนุนลูกค้า ผู้ใช้เดียวกันเหล่านี้ไม่ควรได้รับสิทธิ์เข้าถึงเพื่อสร้างหรือลบหน้าเว็บ เป็นต้น หรือสามารถดูบัญชีและรายละเอียดทางการเงินของลูกค้ารายอื่นได้ ในบางกรณี เว็บไซต์อีคอมเมิร์ซไม่ต้องการให้ผู้ใช้ที่เป็นลูกค้าสร้างบัญชีและเข้าสู่ระบบเลย เนื่องจากบางครั้งอาจเป็นอุปสรรคต่อการขายได้

ทำไมการพิจารณาทั้งหมดนี้จึงจำเป็น? ผู้ใช้ไม่ทราบวิธีสร้างและใช้รหัสผ่านที่ปลอดภัยอยู่แล้วใช่หรือไม่

ผู้ใช้คอมพิวเตอร์โดยเฉลี่ยไม่ได้รับการศึกษาดีเกี่ยวกับการป้องกันรหัสผ่าน WordPress หรือการรักษาความปลอดภัยรหัสผ่าน WordPress โดยทั่วไป มีแนวโน้มว่าพวกเขาจะมีทัศนคติที่หละหลวมต่อข้อมูลออนไลน์ของตนเองและพบว่าการจัดการข้อมูลรับรองการเข้าสู่ระบบเป็นเรื่องที่เครียด (ซึ่งเราจะพูดถึงในภายหลัง) และพวกเขาจดบันทึกย่อและติดไว้บนจอภาพ!

นอกจากนี้:

  • บอทเดารหัสผ่านมีความซับซ้อนมากขึ้น
  • แฮกเกอร์ที่เป็นอันตรายยังคงใช้การโจมตีแบบเดรัจฉานและพจนานุกรม

กิจกรรมที่ชั่วร้ายจะง่ายขึ้นสำหรับแฮ็กเกอร์ที่ประสงค์ร้าย หากพวกเขามีข้อมูลส่วนบุคคลอยู่แล้ว เช่น ชื่อจริง ซึ่งมีแนวโน้มที่จะเป็นส่วนหนึ่งของรหัสผ่านที่ไม่รัดกุม

รหัสผ่านที่รัดกุมมีลักษณะอย่างไร

  • รหัสผ่านที่ยาวขึ้น – ตามกฎทั่วไป ยิ่งรหัสผ่านสั้น ยิ่งอ่อนไหวต่อการโจมตีแบบดุร้ายหรือพจนานุกรม คำแนะนำที่ดีที่สุดในปัจจุบันคือกำหนดความยาวขั้นต่ำ 16 อักขระสำหรับรหัสผ่านของคุณและเว้นวรรค ตัวสร้างรหัสผ่านบางตัวอนุญาตให้ผู้ใช้กำหนดความยาวของรหัสผ่านแบบสุ่มที่ปลอดภัยที่พวกเขาสร้างขึ้น
  • รหัสผ่านแบบผสม – ใช้อักขระผสมกันแบบสุ่ม (ทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก) ตัวเลข และอักขระพิเศษ วิธีนี้จะปกป้องรหัสผ่านของคุณจากการโจมตีจากพจนานุกรม หลีกเลี่ยงคำในพจนานุกรมและรูปแบบของตัวอักษรหรือตัวเลข โดยแทนที่ตัวอักษรด้วยตัวเลข ('@' แทนที่จะเป็น 'a', '0' แทนที่จะเป็น 'O' รวมถึงลำดับของแป้นพิมพ์ (qwerty)
  • รหัสผ่านแบบสุ่ม – เก็บรหัสผ่านของคุณที่ไม่เกี่ยวข้องกับคุณ อย่าใช้ส่วนใดส่วนหนึ่งของชื่อของคุณ หรือของสัตว์เลี้ยง เด็ก หรือชื่อญาติคนอื่นๆ อย่าใช้ DOB ที่อยู่ทางไปรษณีย์ หรือข้อมูลสาธารณะอื่นๆ ที่แฮ็กเกอร์ที่เป็นอันตรายสามารถเชื่อมต่อกับคุณได้ นอกจากนี้ หลีกเลี่ยงการใช้ข้อมูลที่เพื่อนร่วมงานหรือคนรู้จักสามารถคาดเดาได้ เช่น ชื่อเล่น
  • การเปลี่ยนรหัสผ่าน – รีเซ็ตรหัสผ่านของคุณเป็นประจำ (แนะนำทุก ๆ สามเดือน) การดำเนินการนี้จะเริ่มต้นนาฬิกาใหม่ทุกครั้งที่มีการพยายามใช้กำลังเดรัจฉานและช่วยให้คุณก้าวล้ำหน้าในเทคโนโลยีการแฮ็กที่ผิดจรรยาบรรณ
  • รหัสผ่านที่ แตกต่างกัน – มีรหัสผ่านที่แตกต่างกันสำหรับแต่ละเว็บไซต์ ด้วยวิธีนี้ หากสิ่งใดถูกละเมิด ผู้อื่นก็ยังปลอดภัย ใช้ตัวจัดการรหัสผ่านทุกวันเพื่อจัดเก็บ อัปเดต และใช้งาน
  • รหัสผ่านที่บันทึกไว้ – อย่าใช้การกำหนดค่าเบราว์เซอร์ แล็ปท็อป หรือโฟลเดอร์ที่ใช้ร่วมกันเพื่อบันทึกรหัสผ่านของคุณในกรณีที่คอมพิวเตอร์ของคุณถูกแฮ็กหรือถูกขโมย นั่นคือสิ่งที่ผู้จัดการรหัสผ่านมีไว้สำหรับ!

บทบาทผู้ใช้ WordPress และผลกระทบด้านความปลอดภัย

การกำหนดค่าบทบาทมีผลอย่างมากต่อความปลอดภัยของเว็บไซต์ WordPress ตามกฎทั่วไป ความปลอดภัยของ WordPress ควรเพิ่มขึ้นในสัดส่วนโดยตรงกับระดับของข้อมูลที่ละเอียดอ่อนซึ่งมีอยู่หรือแลกเปลี่ยนบนเว็บไซต์

ขั้นแรก มาดูบทบาทผู้ดูแลระบบ:

  • ผู้ดูแลระบบ ขั้นสูง – กำหนดให้กับเจ้าของหลายไซต์โดยใช้เครือข่าย WordPress Multisite ให้คุณมีสิทธิ์เดียวกันกับบทบาทผู้ดูแลระบบ
  • ผู้ดูแลระบบ – กำหนดโดยอัตโนมัติให้กับเจ้าของเว็บไซต์/ผู้สร้างในการติดตั้ง ช่วยให้คุณควบคุมเว็บไซต์ได้อย่างเต็มที่ รวมถึงการลบ พวกเขาสามารถ: ติดตั้ง แก้ไข และลบธีมและปลั๊กอิน เรียกใช้การอัปเกรดและอัปเดต สร้าง แก้ไข และลบหน้าและโพสต์บล็อก เพิ่ม แก้ไข และลบผู้ใช้ รวมถึงผู้ดูแลระบบรายอื่น และเพิ่ม แก้ไข และลบสื่อ

บทบาทผู้ใช้อื่นๆ ทั้งหมด เรียงตามลำดับช่วงอำนาจที่ลดลง ได้แก่:

  • บรรณาธิการ – สามารถเพิ่ม แก้ไข และลบหน้าใหม่ บล็อกโพสต์ สื่อ; สร้างหมวดหมู่และแท็ก เผยแพร่เนื้อหาที่เขียนโดยตนเองและผู้อื่น และกลั่นกรองความคิดเห็น
  • ผู้แต่ง – สามารถเพิ่ม แก้ไข และเผยแพร่เฉพาะเนื้อหาของตนเองเท่านั้น อัปโหลดสื่อ และกำหนดหมวดหมู่และแท็กที่มีอยู่ให้กับโพสต์ในบล็อก
  • Contributor – สามารถเพิ่มและแก้ไขเฉพาะเนื้อหาของตนเองเท่านั้น และกำหนดหมวดหมู่และแท็กที่มีอยู่ให้กับโพสต์บล็อกของตนเอง
  • สมาชิก – สามารถอัปเดตโปรไฟล์ผู้ใช้ของตนเองเท่านั้น อ่านเนื้อหาของผู้อื่น และเพิ่มความคิดเห็น

ตามหลักการของสิทธิพิเศษน้อยที่สุด เมื่อคุณกำหนดบทบาทเพื่อมอบหมายงานภายใน WordPress ให้หลีกเลี่ยงการให้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบ (Super) แก่ผู้อื่น เว้นแต่ว่าพวกเขาจำเป็นต้องมีการควบคุมระดับนี้ในเว็บไซต์ คุณลักษณะ และผู้ใช้ของเว็บไซต์ เนื่องจากผู้อ่านสามารถเห็น 'โพสต์โดย' (ชื่อผู้ใช้) ทั่วทั้งเว็บไซต์ของคุณ ผู้ดูแลระบบ - เพื่อเป็นการป้องกันไว้ก่อน - ควรตั้งค่าผู้ใช้ Editor เพิ่มเติมสำหรับตนเอง และเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบ (Super) เฉพาะเมื่อจำเป็นต้องดำเนินการเท่านั้น งานระดับสูงเหล่านี้ ซึ่งหมายความว่าแฮ็กเกอร์ที่ประสงค์ร้ายจะมีข้อมูลน้อยกว่าที่ต้องพึ่งพาหากพวกเขากำลังพิจารณาการโจมตีแบบเดรัจฉาน

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ วิธีใช้บทบาทของผู้ใช้ WordPress เพื่อปรับปรุงความปลอดภัยของ WordPress

ติดตั้งเครื่องมือรักษาความปลอดภัยรหัสผ่าน WordPress และปลั๊กอินที่เหมาะสม

วิธีหนึ่งที่คุณสามารถบังคับใช้รหัสผ่าน WordPress ที่รัดกุมกับผู้ใช้ของคุณคือการใช้ปลั๊กอิน WPassword เพื่อ:

  • บังคับใช้รหัสผ่านที่รัดกุมบนเว็บไซต์ WordPress ของคุณในไม่กี่วินาที
  • ให้คำแนะนำเพื่อช่วยให้ผู้ใช้สร้างรหัสผ่านที่คาดเดายาก (แทนที่จะต้องเดา)
  • กำหนดค่านโยบายรหัสผ่านในส่วนสำคัญของการป้องกันรหัสผ่าน เช่น ความซับซ้อนของรหัสผ่าน ประวัติและอายุ
  • กำหนดค่านโยบายรหัสผ่านตามบทบาทของผู้ใช้เพื่อรองรับบทบาทที่กำหนดเอง บทบาทผู้เชี่ยวชาญ หรือแยกผู้ใช้บางรายออกจากนโยบายเฉพาะ
  • รีเซ็ตรหัสผ่านทั้งหมดทันทีหากตรวจพบการโจมตี
  • ใช้นโยบายผู้ใช้ที่อยู่เฉยๆ เพื่อลบภัยคุกคามที่โพสต์โดยบัญชีผู้ใช้ที่ไม่ได้ใช้งานซึ่งได้รับการตั้งค่าก่อนที่จะมีการประกาศใช้นโยบาย

เป็นตัวอย่างที่ดีสำหรับการป้องกันรหัสผ่าน WordPress

เราขอแนะนำให้คุณใช้ข้อมูลประจำตัวที่ปลอดภัยและสนับสนุนให้ผู้ใช้ของคุณทำเช่นนั้นด้วย

  • รวมรหัสผ่านที่รัดกุมของคุณ (ดูรหัสผ่านที่รัดกุมมีลักษณะอย่างไร) กับชื่อผู้ใช้ที่คาดเดายาก
  • ในฐานะผู้ดูแลระบบ ให้หลีกเลี่ยงชื่อผู้ใช้เริ่มต้นที่ชัดเจนและไม่ชัดเจน เช่น ผู้ดูแลระบบ ค่าเริ่มต้น รหัสผ่าน หรือแขก
  • อย่าทำให้มันง่ายสำหรับผู้แสดงที่ไม่ดีที่พวกเขาเหลือเพียงหนังสือรับรองเดียวเท่านั้นที่จะค้นพบ

โปรดจำไว้ว่าหากคุณใช้มาตรการรักษาความปลอดภัยรหัสผ่าน WordPress คุณต้องบังคับใช้รหัสผ่านที่คาดเดายากโดยใช้ปลั๊กอินด้วย WordPress ไม่มีการบังคับใช้รหัสผ่านที่แข็งแกร่งในตัวหรือเป็นค่าเริ่มต้น

จ้างผู้จัดการรหัสผ่าน

ตัวจัดการรหัสผ่านคือบริการออนไลน์หรือไคลเอนต์ซอฟต์แวร์ที่จัดเก็บและจัดการข้อมูลรับรองผู้ใช้ในเว็บไซต์และบริการต่างๆ ข้อมูลนี้เข้าถึงได้ด้วยรหัสผ่านหลักเดียวและตัวเลือกสำหรับการตรวจสอบสิทธิ์แบบหลายปัจจัย ตัวอย่างยอดนิยม ได้แก่ 1Password และ KeePass แต่ถึงแม้ว่าจะมีผู้จัดการรหัสผ่านออนไลน์อยู่มากมาย แต่ก็ไม่สามารถทดแทนการสำรองข้อมูลที่มั่นคงและเชื่อถือได้

ประโยชน์ของการใช้ตัวจัดการรหัสผ่าน

  • พวกเขาจะไม่ต้องจำรหัสผ่านของตัวเองว่าแต่ละเว็บไซต์มีอะไรบ้าง ซึ่งเป็นปัญหาใหญ่ที่สุดในที่ทำงานพร้อมๆ กัน ซึ่ง 'แก้ไข' ได้ด้วยการใช้ข้อมูลประจำตัวเดียวกันในบริการออนไลน์ต่างๆ มากมาย
  • พวกเขาจะไม่ถูกล่อลวงให้จัดเก็บข้อมูลรับรองการเข้าสู่ระบบในรูปแบบลายลักษณ์อักษรที่ละเมิดข้อบังคับการปกป้องข้อมูลหรือในไฟล์ออนไลน์ที่อาจถูกบุกรุก
  • จะทำให้ผู้ใช้ใช้รหัสผ่านที่ซับซ้อนและแตกต่างกันได้ ผู้จัดการรหัสผ่านจำนวนมากมีโปรแกรมสร้างรหัสผ่านในตัวพร้อมคำแนะนำป๊อปอัปของเบราว์เซอร์ที่สะดวกและรวดเร็ว ซึ่งจะบันทึกระเบียนใหม่ทันที
  • พวกเขาจะไม่ปล่อยให้บัญชีหรือเว็บไซต์ของตนเปิดกว้างต่อแฮกเกอร์ที่เป็นอันตรายและบอทอัตโนมัติ
  • ผู้จัดการรหัสผ่านมักจะตรวจสอบที่อยู่อีเมลและเตือนผู้ใช้ตามที่ปรากฏบนเว็บมืด และพวกเขายังอาจแนะนำให้เปลี่ยนรหัสผ่านที่ใช้ซ้ำหรือรหัสผ่านที่ไม่รัดกุม

เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยหรือหลายปัจจัย”

การตรวจสอบสิทธิ์แบบสองปัจจัยหรือหลายปัจจัยเป็นชั้นข้อมูลรับรองเพิ่มเติมที่ต้องป้อนก่อนที่ผู้ใช้จะได้รับอนุญาตให้เข้าถึงเว็บไซต์หรือแอป นอกเหนือจากชื่อผู้ใช้และรหัสผ่านแบบเดิม มันถูกใช้เมื่อมีคนใช้รหัสผ่านที่คาดเดายากอยู่แล้ว เนื่องจากวิธีการแบบหลายปัจจัยนั้นดีที่สุดสำหรับการรักษาความปลอดภัย WordPress รหัสผ่านและชื่อผู้ใช้ที่คาดเดายากสามารถถูกขโมยได้ แอปสร้างรหัสแบบใช้ครั้งเดียวและรับทางอีเมลหรือ SMS ที่ส่งไปยังอุปกรณ์ส่วนตัว บัญชีอีเมล หรือโทรศัพท์มือถือของผู้ใช้ ซึ่งยากกว่าที่แฮ็กเกอร์ที่ประสงค์ร้ายจะหลบเลี่ยง

มีหลายทางเลือกที่อ้างว่าเป็นปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัยที่ดีที่สุดสำหรับ WordPress ตรวจสอบสิ่งเหล่านี้ แต่เราขอแนะนำผลิตภัณฑ์ของเราเอง – ปลั๊กอิน WP 2FA ไม่เพียงแต่จะปรับปรุงการรับรองความถูกต้องของเว็บไซต์ WordPress ของคุณเท่านั้น แต่ยังได้รับการออกแบบโดยคำนึงถึงความสะดวกในการใช้งานและการตั้งค่าที่ง่าย นอกจากนี้ยังช่วยให้คุณสามารถบังคับใช้ 2FA ด้วยนโยบาย 2FA ที่กำหนดค่าได้อย่างเต็มที่สำหรับบทบาทของผู้ใช้ที่แตกต่างกัน การผสมผสานระหว่างปลั๊กอิน WPassword และ WP 2FA ทำให้เว็บไซต์ WordPress ของคุณมีความปลอดภัยสูงสุด

ให้ความรู้แก่ผู้ใช้ของคุณในการป้องกันด้วยรหัสผ่าน WordPress

ผู้ใช้เว็บไซต์ของคุณทราบอยู่แล้วในแง่ที่คลุมเครือว่าจำเป็นต้องมีการรักษาความปลอดภัยรหัสผ่านที่รัดกุม แต่พวกเขามักจะล้มเหลวที่จะทำอะไรกับมัน

คุณจำเป็นต้องให้ความรู้พวกเขาเกี่ยวกับอะไรโดยเฉพาะ?

พูดคุยเกี่ยวกับการละเมิดข้อมูลที่เป็นข่าว

รหัสผ่านที่ไม่รัดกุมเป็นหนึ่งในภัยคุกคามที่ใหญ่ที่สุดต่อความปลอดภัยของเว็บไซต์ WordPress ทำไม เนื่องจากข้อมูลประจำตัวที่อ่อนแอ - ถูกหลบเลี่ยงได้อย่างง่ายดายด้วยการโจมตีแบบเดรัจฉานหรือพจนานุกรม - เป็นสาเหตุหลักของการละเมิดข้อมูลที่เราทุกคนอ่านเกี่ยวกับในข่าว นอกจากนี้ การสูญเสียข้อมูลที่อำนวยความสะดวกโดยรหัสผ่านเริ่มต้นหรือรหัสผ่านที่ถูกขโมย หรือรหัสผ่านที่นำมาจากอุปกรณ์ที่สูญหายหรือถูกขโมย และปัญหาก็ทวีคูณขึ้น

แฮกเกอร์ที่ประสงค์ร้ายและผู้ใช้ที่ไม่ได้รับอนุญาตจะทำอะไรได้บ้างเมื่อพวกเขาเข้าถึงเว็บไซต์ของคุณ

  • ในระดับพื้นฐาน พวกเขาสามารถเปลี่ยนแปลงการกำหนดค่าของคุณหรือแทรกมัลแวร์
  • พวกเขายังสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลออกจากเว็บไซต์ของคุณหรือใช้เพื่อแจกจ่ายซอฟต์แวร์ละเมิดลิขสิทธิ์
  • ในการโจมตีที่ร้ายแรงที่สุด พวกเขาสามารถขโมยและใช้ข้อมูลที่ละเอียดอ่อนในทางที่ผิด สร้างค่าธรรมเนียมธนาคารปลอม หรือรวบรวมข้อมูลทางการเงินและข้อมูลอื่นๆ เพื่อขายต่อในเว็บมืด
  • นอกเหนือจากกิจกรรมเชิงพาณิชย์เหล่านี้ นักแฮ็กข้อมูลสามารถทำให้การเมืองหรือทำให้เว็บไซต์ของคุณเสียหายด้วยวาจาสร้างความเกลียดชัง

ตรวจสอบให้แน่ใจว่าผู้ใช้พนักงานภายในของคุณรับทราบถึงผลกระทบที่สำคัญทั้งองค์กรต่อข้อมูลภายในของบริษัทและข้อมูลลูกค้าภายนอก ตลอดจนค่าปรับหรือการหยุดงานของบริษัท และย้ำข้อความเดิมถึงลูกค้าเว็บไซต์ของคุณเพื่อให้แน่ใจว่าพวกเขาจัดลำดับความสำคัญความปลอดภัยของข้อมูลส่วนบุคคล การเงิน สุขภาพ และข้อมูลที่ละเอียดอ่อนอื่นๆ ของพวกเขา

ผลกระทบด้านลบที่การละเมิดข้อมูลดังกล่าวอาจมีต่อองค์กรและเว็บไซต์ของคุณมีมหาศาล:

  • เสียชื่อเสียงและความมั่นใจในองค์กรและเว็บไซต์ของคุณ
  • ค่าปรับจำนวนมากจากหน่วยงานกำกับดูแล เช่นเดียวกับบทลงโทษอื่นๆ หรือการแยกตัวจากหุ้นส่วนและลูกค้า

บังคับใช้นโยบายรหัสผ่านที่รัดกุมของคุณ

  1. ขั้นแรก ให้ความรู้แก่ผู้ใช้ของคุณเกี่ยวกับองค์ประกอบทั้งหมดในรหัสผ่านที่รัดกุมมีลักษณะอย่างไร และประโยชน์ของการใช้ Password Manager? ตัวอย่างเช่น ตรวจสอบให้แน่ใจว่าพวกเขารู้จักสูตรรหัสผ่านที่ไม่มั่นคงและไม่ปลอดภัยอย่างร้ายแรง เช่น thisismypassword, 123456789, [mykidsname] หรือ [mypetsname] และแทนที่จะสนับสนุนให้ใช้สูตรรหัสผ่านที่รัดกุม (เช่น vqO&V13@H%fF หรือ @iGOuqk%W0xY ) ห้ามแชร์หรือใช้ตัวอย่างเฉพาะเหล่านี้กับบริการหรือผู้ใช้ใดๆ ของคุณ พวกเขาเป็นเพียงตัวอย่าง
  2. เตือนพนักงานภายในอย่างสม่ำเสมอเกี่ยวกับ นโยบายการจ้างงานและ/หรือการปกป้องข้อมูลที่พวกเขาลงนาม และความรับผิดชอบทางกฎหมายส่วนบุคคลที่พวกเขามีต่อนายจ้าง
  3. เตือนพนักงานภายในอย่างสม่ำเสมอว่า นโยบายการปกป้องข้อมูลและคำแถลงของบริษัทที่มีต่อลูกค้าและลูกค้า นั้นขึ้นอยู่กับนโยบายของบริษัท และพวกเขามีผลทางกฎหมาย การเงิน การจ้างงาน และการบังคับใช้กฎหมายที่ร้ายแรงและถาวร
  4. ส่งเสริมให้ผู้ใช้สร้างรหัสผ่านที่ปลอดภัยของตนเองโดยใช้ตัวจัดการรหัสผ่านที่มีเครื่องมือสร้างรหัสผ่านด้วย ซอฟต์แวร์จัดการรหัสผ่านส่วนใหญ่จะมีซอฟต์แวร์ของตัวเองด้วย ซึ่งมีประโยชน์เมื่อคุณสร้างบัญชีใหม่สำหรับบริการออนไลน์และบริการอื่นๆ

กิจกรรมของผู้ดูแลระบบสำหรับการรักษาความปลอดภัยรหัสผ่าน WordPress

  1. ตรวจสอบความเข้มงวดของรหัสผ่านของรหัสผ่านของผู้ใช้ WordPress ด้วยเครื่องสแกน เช่น WPScan
  2. ใช้เครื่องมือที่แฮ็กเกอร์ที่เป็นอันตรายใช้เพื่อพยายาม 'เดา' รหัสผ่านของผู้ใช้ของคุณ กำหนดการเดรัจฉานและพจนานุกรมโจมตีตัวเอง!
  3. ล็อกเอาต์สำหรับผู้ใช้ที่มีรหัสผ่านที่ไม่รัดกุมและส่งข้อความแจ้งให้รีเซ็ต
  4. ดำเนินการเวิร์กช็อปเกี่ยวกับวิธีใช้ตัวจัดการรหัสผ่านที่เลือก

เน้นย้ำถึงประโยชน์ในการขจัดความเครียดและประหยัดเวลาของการใช้ตัวจัดการรหัสผ่าน

ผู้ใช้หลายคนของคุณอาจเห็นความจำเป็นในการตั้งรหัสผ่านที่รัดกุมแต่ไม่ต้องการใช้เนื่องจากความไม่คุ้นเคยและความยากลำบากหรือค่าใช้จ่ายในทางปฏิบัติ ที่ซึ่งคุณสามารถเสริมความสะดวกและประโยชน์ของการใช้ Password Manager พร้อมกับต้นทุนที่ต่ำ ความน่าเชื่อถือ และความสะดวกในการสำรองข้อมูลประจำตัว

เป็นข้อได้เปรียบที่ยิ่งใหญ่เพียงต้องจำรหัสผ่านเดียวแทนที่จะจำรหัสผ่านหลายรหัสผ่าน

จากมุมมองของผู้ใช้ ไฮไลท์คือ:

  • พวกเขาต้องจำรหัสผ่านเดียวเท่านั้น – บลิส!
  • ตัวจัดการรหัสผ่านจะทำหน้าที่เป็นตัวสร้างรหัสผ่านใหม่ เครื่องมือจัดการรหัสผ่าน และแจ้งให้ป้อนข้อมูลประจำตัวที่ปลอดภัยสำหรับพวกเขา

เน้นการลงทุนที่คุ้มค่าในการรักษาความปลอดภัยรหัสผ่าน WordPress ที่แข็งแกร่ง

เราต้องเผชิญกับข้อเท็จจริง ผู้ใช้ที่มีศักยภาพบางคนจะถูกเลื่อนออกจากการลงชื่อสมัครใช้เว็บไซต์ของคุณหากพวกเขาถูกบังคับให้ใช้รหัสผ่านที่คาดเดายากและเปลี่ยนบ่อยๆ ขั้นตอนเหล่านี้ใช้เวลาและความพยายามเพียงเล็กน้อยในการตั้งค่าเบื้องต้น บางคนจะมองว่าเป็นเรื่องยุ่งยากที่พวกเขาไม่ต้องการ ในขณะที่คนอื่นๆ จะบ่นว่าประสบการณ์การใช้งานเว็บไซต์ของคุณเสียไป

การสร้างและบังคับใช้นโยบายความปลอดภัยรหัสผ่าน WordPress ที่รัดกุม ซึ่งอาจใช้ปลั๊กอินที่แยกความแตกต่างของนโยบายรหัสผ่านและระดับความปลอดภัยตามบทบาทของผู้ใช้ จะช่วยลดการรบกวนของผู้ใช้ให้เหลือน้อยที่สุด

กำหนดมาตรการป้องกันอื่นๆ ที่เกี่ยวข้อง

ในฐานะเจ้าของเว็บไซต์หรือผู้ดูแลระบบ WordPress ต่อไปนี้คือข้อเสนอแนะบางส่วนเกี่ยวกับปัญหาที่ใหญ่กว่าที่คุณต้องพิจารณาเพื่อความปลอดภัยของรหัสผ่าน WordPress:

  • ทำความคุ้นเคยกับโปรโตคอลการรักษาความปลอดภัยและการป้องกัน WordPress ทั่วไปสำหรับ WordPress มีเหตุผลเฉพาะที่ทำให้เว็บไซต์ WordPress ถูกแฮ็ก เพื่อประโยชน์ของคุณในฐานะผู้ดูแลระบบหรือเจ้าของที่จะรู้ว่าสิ่งเหล่านี้คืออะไรและจะจัดการอย่างไร ใช่ รหัสผ่านที่ไม่รัดกุมเป็นปัญหาใหญ่ เช่นเดียวกับการขาด 2FA และบันทึกกิจกรรม แต่คุณรู้หรือไม่ว่าการใช้คอร์ ปลั๊กอิน และซอฟต์แวร์อื่น ๆ ของ WordPress ที่ล้าสมัยก็เป็นปัญหาร้ายแรงเช่นกัน?
  • ใช้ปลั๊กอินบันทึกกิจกรรมของ WordPress ที่จะแจ้งให้คุณทราบว่าผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงบัญชีของคุณได้หรือไม่ และหากเป็นเช่นนั้น ความเสียหายที่พวกเขาได้ทำลงไป บันทึกกิจกรรม WP ของเราช่วยให้คุณระบุพฤติกรรมที่น่าสงสัยในระยะแรกสุด และป้องกันการโจมตีแฮ็คที่เป็นอันตรายบนเว็บไซต์ของคุณ
  • ตั้งค่านโยบายผู้ใช้ที่อยู่เฉยๆหรือไม่ได้ใช้งานสำหรับเว็บไซต์ WordPress ของคุณ บัญชีผู้ใช้ที่ถูกละเลยเป็นจุดเริ่มต้นที่ง่ายสำหรับแฮกเกอร์ที่ประสงค์ร้าย
  • เว็บไซต์ของคุณสามารถถูกแฮ็กได้แม้ว่าคุณจะใช้รหัสผ่านที่คาดเดายากและบังคับใช้นโยบายรหัสผ่านที่รัดกุมกับผู้ใช้ของคุณ เป็นการดีที่จะทราบทันทีว่าเว็บไซต์ของคุณถูกละเมิดหรือไม่ นี่เป็นบริการแจ้งเตือนการละเมิดข้อมูลฟรี เราขอแนะนำให้คุณตรวจสอบ

คุณมีคำถามใด ๆ เกี่ยวกับการป้องกันด้วยรหัสผ่าน WordPress หรือผลิตภัณฑ์ใด ๆ ที่เราได้กล่าวถึงในโพสต์บล็อกนี้หรือไม่? แจ้งให้เราทราบด้านล่าง! และจำคำพูดของ Chris Pirillo:

“รหัสผ่านก็เหมือนกางเกงใน คุณอย่าให้คนอื่นเห็น คุณควรเปลี่ยนบ่อยมาก และไม่ควรแชร์กับคนแปลกหน้า”

ทดลองใช้ WPassword 7 วันเพื่อสัมผัสประสบการณ์จริงและช่วยให้ผู้ใช้เว็บไซต์ของคุณใช้รหัสผ่าน WordPress ที่รัดกุม