เนื่องจากระบบ WordPress อาจจะมีผู้ไม่หวังดีพยายาม Login เข้าสู่ระบบของเราด้วยวิธีการต่างๆ ทำให้เราควรหาวิธีป้องกัน ซึ่งในบทความนี้เราจะมาแนะนำปลั๊กอิน Limit Login Attempts Reloaded ที่ใช้ป้องกันผู้ไม่ประสงค์ดีเหล่านี้กัน
แนะนำ Limit Login Attempts Reloaded
ปลั๊กอิน Limit Login Attempts Reloaded เป็นปลั๊กอินประเภทรักษาความปลอดภัยมียอดติดตั้งกว่า 2.5 ล้านครั้ง และมีการโหวตระดับ 5 ดาว เรียกว่าไม่ธรรมดาครับ ปลั๊กอินจะมีฟังก์ชั่นยับยั้งการโจมตีแบบ Brute Force เสริมมาตรการรักษาความปลอดภัยของเว็บไซต์ของคุณและเพิ่มประสิทธิภาพการทำงาน โดยการจำกัดจำนวนครั้งในการพยายามล็อคอินเข้าสู่ระบบ สิ่งนี้ไม่เพียงแต่ใช้กับวิธีการล็อคอินเข้าสู่ระบบแบบมาตรฐานเท่านั้น แต่ยังรวมถึง XMLRPC, Woocommerce และหน้าล็อคอินแบบกำหนดเองด้วย ซึ่งปลั๊กอินนี้จะตอบสนองความต้องการด้านความปลอดภัยในการเข้าสู่ระบบทั้งหมดของเว็บ
การทำงานของปลั๊กอินจะป้องกันความพยายามจากที่อยู่อินเทอร์เน็ตโปรโตคอล (IP) และ/หรือป้องกันจากชื่อ Username โดยอัตโนมัติเมื่อมีการล็อคอินเกินขีดจำกัดที่เรากำหนดไว้ล่วงหน้า สิ่งนี้ทำให้ประสิทธิภาพของการโจมตีแบบ bruteforce บนเว็บไซต์จะอ่อนแอลงในทันตาครับ
ปกติค่าเริ่มต้นของระบบ WordPress จะอนุญาตให้พยายามเข้าสู่ระบบได้ไม่จำกัดจำนวน ทำให้เกิดช่องโหว่ที่รหัสผ่านสามารถถอดรหัสได้อย่างง่ายดายด้วยวิธี Brute force
วิธีการติดตั้งปลั๊กอิน
ไปที่เมนู Plugins ค้นหาคำว่า “Limit Login Attempts Reloaded” กดปุ่ม Install และ Actiavte ได้เลยครับ
พอเรา Activate เรียบร้อยแล้ว ปลั๊กอินจะอยู่ซ้ายมือ ต่อท้ายเมนู Users ครับ
ฟีเจอร์เวอร์ชั่นฟรี
– Limit Logins จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ (ต่อ IP แต่ละรายการ)
– การกำหนดเวลาการล็อกที่กำหนดค่าได้ แก้ไขระยะเวลาที่ผู้ใช้หรือ IP ต้องรอหลังจากการล็อกอินเข้าระบบ
– แจ้งให้ผู้ใช้ทราบเกี่ยวกับการลองล็อคอินใหม่หรือเวลาล็อคที่เหลืออยู่บนหน้าเข้าสู่ระบบ
– แจ้งผู้ดูแลระบบผ่านทางอีเมลเกี่ยวกับการ Lockout
– Denied Attempt Logs เก็บ Logsความพยายามในการล็อคอินเข้าระบบ
– สามารถดูรายการ Safelist และ Denylist ที่แสดงเป็น IP หรือ Username
– เข้ากันได้กับปลั๊กอิน Sucuri, Wordfence และ Ultimate Member
– ป้องกัน XMLRPC gateway
– ป้องกันหน้าล็อคอินเข้าสู่ระบบ Woocommerce
– รองรับระบบ Multi-site
– สอดคล้องกับ GDPR
ฟีเจอร์เวอร์ชั่น Premium
– Performance Optimizer แบ่งเบาภาระการเข้าสู่ระบบที่ล้มเหลวมากเกินไปจากเซิร์ฟเวอร์ของเรา เพื่อปกป้องทรัพยากรเซิร์ฟเวอร์ ส่งผลให้ความเร็วและประสิทธิภาพของเว็บไซต์ดีขึ้น
– IP Intelligence ระบุความพยายามเข้าสู่ระบบซ้ำๆ และน่าสงสัย เพื่อตรวจจับการโจมตีแบบ Brute Force ที่อาจเกิดขึ้น เช็ค IP ที่มีกิจกรรมที่เป็นอันตรายจะถูกจัดเก็บและใช้เพื่อช่วยป้องกันและตอบโต้การโจมตีในอนาคต
– ช่วงเวลาการ Lockoutนานขึ้นในแต่ละครั้งที่ IP หรือชื่อผู้ใช้ที่เป็นอันตรายพยายามเข้าสู่ระบบไม่สำเร็จ
– สามารถบล็อคประเทศได้
– Auto IP Denylist เพิ่มที่อยู่ IP ซึ่งล้มเหลวในการพยายามเข้าสู่ระบบซ้ำแล้วซ้ำเล่าลงในรายการที่ถูกปฏิเสธบนระบบคลาวด์โดยอัตโนมัติ
– Global Denylist Protection ใช้ข้อมูล IP บนคลาวด์ของปลั๊กอินที่มาจากเว็บไซต์หลายพันแห่งในเครือข่าย LLAR
– Synchronized Lockouts ข้อมูล IP การ Lockoutสามารถแชร์ระหว่างหลายโดเมนเพื่อเพิ่มการป้องกันในเครือข่ายได้ด้วย
– Synchronized Safelist/Denylist รายการ Safelist/Denylist IP และ username สามารถแชร์ไปโดเมนอื่นๆ ได้
– มีการสนับสนุนการใช้งานปลั๊กอินแบบ Premium
– มีระบบ Backup ข้อมูล IP ทั้งหมดแบบอัตโนมัติ
– สนับสนุน IPV6 Ranges สำหรับรายการ Safelist และ Denylist
– สามารถปลดล็อค Admin ที่ถูกล็อคการใช้งานผ่านระบบ Cloud
ราคา
ปลั๊กอิน Limit Login Attempts Reloaded มีเวอร์ชั่นฟรีและเวอร์ชั่น Premium สามารถลองใช้ฟรีได้ 7 วัน
เวอร์ชั่น Premium จะขยายการป้องกันแบบบน Cloud ไปยังปลั๊กอิน ซึ่งจะเป็นการเพิ่มความปลอดภัยในการเข้าสู่ระบบของเว็บ มีฟีเจอร์ที่เป็นประโยชน์มากมาย รวมถึง IP Intelligence เพื่อตรวจจับ ตอบโต้ และปฏิเสธความพยายามเข้าสู่ระบบที่เป็นอันตราย พวกที่พยายามเข้าสู่ระบบแล้วล้มเหลวจะถูกเก็บในระบบคลาวด์ เพื่อให้เว็บไซต์ของคุณสามารถทำงานได้อย่างเต็มประสิทธิภาพระหว่างการโจมตี
ราคาเริ่มต้นของเวอร์ชั่น Premium แบบ Lifetime License จะอยู่ที่ 299.99 USD ต่อ 1 เว็บ (ประมาณ 10,xxx บาท) ซึ่งฟีเจอร์ต่างๆ จะขยับเพิ่มขึ้นตามราคาที่สูงขึ้น โดยแพลนที่สูงสุดราคาอยู่ที่ 599.99 USD ต่อ 1 เว็บเท่านั้น (ประมาณ 21,xxx บาท) และจะไม่มีขายแบบแพลน Agency
โดยทางผู้พัฒนาปลั๊กอินเลือกขายแบบนี้ครับ มีแบบจ่ายรายเดือนหรือรายปี โดยขายตามจำนวนโดเมนที่เราเลือก
สรุป
สำหรับเวอร์ชั่นฟรีถือว่าใช้ดีในระดับหนึ่ง ถ้าหากเราต้องการฟีเจอร์ที่สูงขึ้นอาจจะต้องยอมเสียค่าใช้จ่ายเพิ่มความสามารถในการป้องกันเว็บของเราให้ปลอดภัย แต่ทั้งนี้ราคาสูงเอาเรื่องเลยครับ แนะนำให้ลองใช้เวอร์ชั่นฟรีไปก่อน ถ้าเพียงพอต่อความต้องการเราอาจจะไม่จำเป็นต้องใช้เวอร์ชั่นแบบ Premium ก็ได้ครับ
Related Posts
