ความปลอดภัยของ WordPress: ปรับปรุงความปลอดภัยของเว็บไซต์ของคุณด้วยขั้นตอนเหล่านี้

เผยแพร่แล้ว: 2018-05-23

บนเว็บ มีเว็บไซต์จำนวนมากที่สุดที่ทำงานบนแพลตฟอร์ม WordPress หมายความว่า WordPress ปกครองผ่านเว็บ มันดึงดูดความสนใจขององค์ประกอบที่เป็นอันตรายบนเว็บ ดังนั้น Google จึงห้ามเว็บไซต์เกือบ 20,000 เว็บไซต์สำหรับมัลแวร์และ 50,000 เว็บไซต์สำหรับฟิชชิงในแต่ละปี

ในสถานการณ์เลวร้ายเช่นนี้ ความปลอดภัยของเว็บไซต์ จึงมีความสำคัญ อุบัติการณ์ของการโจมตีที่บันทึกไว้นั้นสูงที่สุดบนแพลตฟอร์ม WordPress เนื่องจากมีเว็บไซต์จำนวนมากขึ้นที่ทำงานด้วยโค้ด WordPress ดังนั้น วันนี้ฉันอยากจะเน้นย้ำถึงขั้นตอนที่สามารถดำเนินการได้ซึ่งจะช่วยให้คุณรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณได้

การรักษาความปลอดภัยการเข้าใช้งานของผู้ใช้เว็บไซต์ WordPress ของคุณ

ในชีวิตจริง เมื่อเราต้องการรักษาความปลอดภัยให้กับสถานที่ เช่น บ้าน ที่ทำงาน หรือโรงงาน ก่อนอื่นเราจะดูที่จุดเชื่อมต่อที่องค์ประกอบที่ซุกซนหรือเป็นอันตรายสามารถพยายามเข้าถึงได้ ต้องใช้กลยุทธ์เดียวกันในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

ตอนนี้ มาประเมินจุดเริ่มต้นที่เป็นไปได้ผ่านแฮกเกอร์ หรือผู้ใช้ที่มีเจตนาไม่ดีสามารถเข้าถึงแบ็กเอนด์ของคุณหรือซอร์สโค้ดได้ โดยค่าเริ่มต้น URL การเข้าถึงแบ็กเอนด์ของ WordPress จะลงท้ายด้วย:

/wp-login.php หรือ /wp-admin/

ดังนั้น คุณต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อบล็อกการเข้าสู่หน้าแบ็คเอนด์ของ WordPress ของผู้ใช้ที่ไม่ต้องการ

เปลี่ยน URL เข้าสู่ระบบ

หากคุณเป็นนักพัฒนา WordPress คุณรู้อยู่แล้วว่าจะเปลี่ยน URL เริ่มต้นของส่วนหลังของไซต์ได้อย่างไร แต่สำหรับผู้ใช้ระดับสูงหรือผู้ใช้ประเภท DIY ปลั๊กอินหรือส่วนขยายความปลอดภัย ขั้นสูงสามารถช่วยให้คุณทำเช่นนั้นได้ จึงเปลี่ยนได้

  • /wp-login.php ถึง /Your-Domain-Name-login.php
  • /wp-admin/หรือ /Your-Domain-Name-admin/
  • /wp-login.php?action=register หรือ /Your-Domain-Name-registration

ดังนั้น URL ที่กำหนดเองประเภทนี้สามารถช่วยให้คุณป้องกันการโจมตีแบบเดรัจฉานได้อย่างมาก

เปลี่ยนชื่อผู้ใช้

โดยค่าเริ่มต้น นักพัฒนา WordPress ส่วนใหญ่ตั้งค่าคำหลัก 'ผู้ดูแลระบบ/ผู้ดูแลระบบ' เป็นชื่อผู้ใช้ ทำให้งานของแฮกเกอร์และผู้ใช้ที่ไม่ต้องการเข้าถึงแบ็กเอนด์ของไซต์ WordPress ได้ง่าย และพวกเขาต้องใช้ Guess Work Database (GWDb) เพื่อคาดเดารหัสผ่านเท่านั้น

หากคุณเปลี่ยนชื่อผู้ใช้เริ่มต้นเป็นสิ่งที่คาดเดาไม่ได้เช่นที่อยู่อีเมลของคุณ คุณสามารถลดการคุกคามของผู้โจมตีและซอฟต์แวร์ของผู้โจมตีได้

เปลี่ยนรหัสผ่าน

There are many ways to protect the password.

เช่นเดียวกับชื่อผู้ใช้ รหัสผ่านอยู่ภายใต้การคุกคามเสมอ มีหลายวิธีในการป้องกันกิจกรรมการเดารหัสผ่าน ตัวอย่างเช่น การใช้รหัสผ่านที่มีความซับซ้อนสูงร่วมกับตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์

อย่างไรก็ตาม แนวโน้มล่าสุดของ การรับรองความถูกต้องด้วยสองปัจจัย เป็นวิธีที่ยอดเยี่ยมและมั่นคงในการรักษาความปลอดภัยการเข้าถึงแบ็กเอนด์ของคุณสำหรับผู้ใช้ทุกระดับ โทรศัพท์มือถือ/สมาร์ทโฟนเป็นอุปกรณ์ที่สะดวกในการเข้าถึง OTP (รหัสผ่านครั้งเดียว) เพื่อรับรองความถูกต้องของระบบ 2FA

ตั้งค่า Lockdown และ Ban

เพื่อป้องกันการใช้กำลังเดรัจฉานและใช้การล็อกหรือแบนที่อยู่ IP นั้น มีปลั๊กอินและซอฟต์แวร์จำนวนมากที่พร้อมใช้งานเพื่อจดจำการพยายามเข้าสู่ระบบหรือลงทะเบียนซ้ำๆ ปลั๊กอินช่วยให้คุณตั้งค่าความพยายามที่ล้มเหลวจำนวนหนึ่งและจัดเตรียมคุณลักษณะอื่นๆ เพื่อป้องกันไม่ให้แบ็กเอนด์เว็บไซต์ของคุณเข้าถึงโดยไม่ได้รับอนุญาต

การรักษาความปลอดภัยแดชบอร์ดผู้ดูแลระบบของเว็บไซต์ WordPress ของคุณ

For WordPress backend users, the dashboard is the most engaging and highly used part of the backend.

สำหรับผู้ใช้แบ็กเอนด์ WordPress แดชบอร์ดเป็นส่วนที่มีส่วนร่วมและใช้มากที่สุดของแบ็กเอนด์ มีเครื่องมือและตัวเลือกทั้งหมดในการจัดการเว็บไซต์ทั้งหมดตั้งแต่การใช้งานเริ่มต้นไปจนถึงการปรับแต่ง หากใครแฮ็คแดชบอร์ดได้สำเร็จ มันจะพิสูจน์ชัยชนะที่ยิ่งใหญ่ที่สุดสำหรับแฮกเกอร์และความเสียหายสูงสุดสำหรับเจ้าของเว็บไซต์

ดังนั้นเราจึงควรใช้มาตรการพิเศษสำหรับ แดชบอร์ดผู้ดูแลระบบ WordPress ต่อไปนี้เป็นมาตรการที่เป็นไปได้ที่เราสามารถนำมาพิจารณาต่อจากนี้ไป

ดูแลไดเร็กทอรี 'wp-admin'

ทุกอย่างถูกวางไว้ในไดเร็กทอรี wp-admin ที่ให้คุณจัดการเว็บไซต์ทั้งหมดรวมถึงทรัพยากรและไฟล์ ดังนั้น การป้องกันการเข้าถึงไดเร็กทอรีโดยไม่ได้รับอนุญาตหมายถึงการกำจัดสิ่งที่แย่ที่สุดล่วงหน้า

มีปลั๊กอินบางตัวที่พัฒนาโดยชุมชน WordPress เพื่อป้องกันรหัสผ่านไดเรกทอรี ดังนั้น ผู้ดูแลระบบ WordPress จึงต้องใช้รหัสผ่านที่แตกต่างกันสองรหัสเพื่อเข้าถึงแดชบอร์ด อันหนึ่งสำหรับหน้าล็อกอิน อีกอันสำหรับแดชบอร์ด ปลั๊กอินดังกล่าวจะสร้างไฟล์ [.htpasswd] โดยอัตโนมัติ จากนั้นเข้ารหัสรหัสผ่าน และกำหนดค่าการอนุญาตไฟล์

เพิ่มผู้ใช้ผู้ดูแลระบบด้วยความระมัดระวังเพียงพอ

นอกจากผู้ดูแลระบบขั้นสูงที่มีสิทธิ์ทั้งหมดของแบ็กเอนด์แล้ว ผู้ใช้รายอื่นยังสามารถเข้าถึงแบ็กเอนด์ด้วยระดับการเข้าถึงฟีเจอร์และฟังก์ชันแบ็กเอนด์ที่แตกต่างกัน การเข้าถึงแบ็กเอนด์ตามบทบาทเป็นไปได้ และคุณสามารถให้ชื่อผู้ใช้ที่แตกต่างกันตลอดจนรหัสผ่านที่คุณคิดว่าปลอดภัยที่สุด

ตรวจสอบไฟล์สำคัญในไดเรกทอรีผู้ดูแลระบบ

คุณสามารถใช้ปลั๊กอินบางตัวเพื่อ ตรวจสอบ กิจกรรมที่น่าสงสัยสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบทุกคนเพื่อใช้มาตรการแบบเรียลไทม์ทุกครั้งที่ตรวจพบภัยคุกคามด้านความปลอดภัย

เข้ารหัสข้อมูล

Security Socket Certificate (SSL)

หากคุณใช้ Security Socket Certificate (SSL) ที่ใช้เทคโนโลยีการเข้ารหัสล่าสุดเพื่อปกป้องข้อมูลที่จัดเก็บและแลกเปลี่ยน คุณสามารถป้องกันสิ่งผิดปกติระหว่างนั้นและรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบ WP ทั้งหมดรวมถึงเว็บไซต์

การรักษาความปลอดภัยฐานข้อมูลของไซต์ WordPress ของคุณ

แพลตฟอร์ม WordPress อาศัยฐานข้อมูลเป็นอย่างมาก เนื่องจากทรัพย์สินของเว็บไซต์ทั้งหมดถูกจัดเก็บไว้ในฐานข้อมูลในรูปแบบตารางส่วนใหญ่ในฐานข้อมูลประเภท SQL ไม่ว่าจะเป็นข้อความ รูปภาพ โค้ดเลย์เอาต์ เนื้อหามัลติมีเดีย และอะไรก็ตามในไซต์ WordPress มีที่ในฐานข้อมูล

เพื่อปกป้องฐานข้อมูลจาก SQL Injections และการโจมตีทางไซเบอร์อื่นๆ คุณสามารถปกป้องฐานข้อมูลของคุณด้วยมาตรการต่อไปนี้

ตั้งรหัสผ่านสำหรับฐานข้อมูล

คุณสามารถตั้งรหัสผ่านที่รัดกุมสำหรับฐานข้อมูลของคุณและจำกัดการเข้าถึงฐานข้อมูลได้ถึงบทบาทผู้ดูแลระบบระดับสูง เพื่อลดการปลอมแปลงฐานข้อมูลหรือความเป็นไปได้ของข้อผิดพลาดต่างๆ

เปลี่ยนคำนำหน้า WP

หากคุณกำลังจะติดตั้งเว็บไซต์ WordPress คุณอาจพบการตั้งค่าสำหรับตารางฐานข้อมูล และเป็นคำนำหน้าตาราง WP โดยค่าเริ่มต้นจะเป็น wp- และคุณต้องเปลี่ยนเพื่อป้องกันการฉีด SQL เช่นการโจมตีฐานข้อมูล คุณสามารถเปลี่ยนจาก wp- เป็น Your-Domain-Name ได้เหมือนกับคำนำหน้าแบบกำหนดเอง

ทำการสำรองข้อมูลฐานข้อมูลเป็นประจำ

คุณอาจมีการสำรองข้อมูลปกติของเว็บไซต์ทั้งหมดหรือไม่ แต่การจัดเตรียมการสำรองฐานข้อมูลสามารถช่วยให้คุณประหยัดจากการสูญหายของข้อมูลอันเนื่องมาจากสาเหตุต่างๆ ที่ทราบและไม่ทราบสาเหตุ วันนี้เรามี ปลั๊กอินสำรอง ที่มีสิทธิพิเศษในการ สำรองฐานข้อมูลด้วยความถี่ที่แตกต่างกัน

การรักษาความปลอดภัยการโฮสต์เว็บไซต์ WordPress ของคุณ

วันนี้การโฮสต์เว็บไซต์มีความสำคัญต่อความสำเร็จเนื่องจากเครื่องมือค้นหาต้องการโฮสติ้งที่เหมาะกับ SEO ในอุดมคติเพื่อให้ตรงตามข้อกำหนดด้านการจัดอันดับ ในทำนองเดียวกัน ผู้ใช้เว็บไซต์รวมถึงผู้ใช้แบ็กเอนด์และผู้ใช้ส่วนหน้า การเพิ่มประสิทธิภาพการ ทำงาน การเพิ่มประสิทธิภาพการแปลง และประสบการณ์ของผู้ใช้ขึ้นอยู่กับสภาพแวดล้อมการโฮสต์และคุณภาพของโฮสติ้งโดยรวมอย่างมาก

วันนี้เรามีตัวเลือกโฮสติ้งหลายตัวนอกเหนือจากบริการโฮสติ้งชุมชน WordPress เริ่มต้น เช่น โฮสติ้งที่ใช้ร่วมกัน โฮสติ้ง VPS โฮสติ้งเฉพาะ และบริการโฮสติ้งบนคลาวด์ที่สำคัญที่สุด เช่น Kinsta สำหรับขนาดและขนาดเว็บไซต์ที่แตกต่างกัน

ไฟล์ wp-config.php ที่ปลอดภัย

Secure wp-config.php File.

การเข้าถึงไฟล์ WordPress wp-config.php เป็นความสำเร็จที่สำคัญสำหรับแฮกเกอร์ในการบรรลุเจตนาไม่ดีของพวกเขาได้อย่างง่ายดาย เนื่องจากมีข้อมูลที่สำคัญอย่างยิ่งเกี่ยวกับการติดตั้ง WordPress ทั้งหมดของคุณ

วิธีที่ดีที่สุดคือการย้ายไฟล์ไปยังระดับที่สูงกว่าไดเร็กทอรีราก คุณสามารถทำได้ง่ายๆ เพราะ WordPress สามารถมองเห็นได้แม้ว่าจะอยู่นอกไดเรกทอรีรากของ WordPress ก็ตาม ดังนั้นเซิร์ฟเวอร์จึงสามารถค้นหาได้ง่ายในระดับที่สูงขึ้น

แบนไฟล์แก้ไข

ในเซิร์ฟเวอร์โฮสต์ แหล่งที่มาของเว็บไซต์ของคุณมีไฟล์หลายไฟล์พร้อมข้อมูลสำคัญและการอนุญาตเพื่อให้ไซต์ของคุณทำงานได้อย่างราบรื่น หากแฮกเกอร์หรือองค์ประกอบที่เป็นอันตรายเจาะเซิร์ฟเวอร์และเข้าถึงไฟล์เหล่านั้น พวกเขาสามารถทำอันตรายในระดับที่แตกต่างกันได้

หากคุณไม่อนุญาตการแก้ไขไฟล์ให้กับใครก็ตาม ยกเว้นผู้ดูแลระบบระดับสูง คุณจะสามารถบันทึกจากการสูญเสียเหล่านั้นได้อย่างง่ายดาย คุณสามารถทำได้โดยเพียงแค่เพิ่มบรรทัดโค้ดที่ส่วนท้ายของไฟล์ wp-config

ระวังในขณะที่ตั้งค่าการอนุญาตไดเรกทอรี

ไดเร็กทอรี ไดเร็กทอรีย่อย และไฟล์บนเซิร์ฟเวอร์โฮสติ้งของคุณเป็นประเด็นด้านความปลอดภัยที่สำคัญของ WordPress หากคุณตั้งค่าการอนุญาตไม่ถูกต้องสำหรับส่วนประกอบเหล่านี้ในเว็บไซต์ของคุณ คุณอาจเพิ่มโอกาสในการโจมตีเมื่อเซิร์ฟเวอร์ประนีประนอม

ดังนั้น คุณต้องตั้งค่าการอนุญาต 755 สำหรับไดเร็กทอรี/ไดเร็กทอรีย่อย และ 644 สิทธิ์สำหรับไฟล์ ด้วยการใช้เครื่องมือจัดการไฟล์ที่มีอยู่ในโฮสติ้ง/c-Panel คุณสามารถตั้งค่าหรือเปลี่ยนการอนุญาตได้อย่างง่ายดาย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการอนุญาตไฟล์ – การทำความเข้าใจสิทธิ์ของไฟล์และการใช้สิทธิ์เหล่านี้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ

การเชื่อมต่อเซิร์ฟเวอร์ที่ถูกต้อง

ตามเนื้อผ้า เราใช้โปรโตคอล FTP สำหรับการเชื่อมต่อเซิร์ฟเวอร์ แต่ SFTP หรือ SSH เป็นวิธีการเชื่อมต่อเซิร์ฟเวอร์ที่ปลอดภัยและเชื่อถือได้มากกว่าในปัจจุบัน

การรักษาความปลอดภัยธีมและปลั๊กอินของไซต์ WordPress ของคุณ

WordPress Security - Securing Themes of Your WordPress Site.

ธีมและปลั๊กอินของ WordPress ส่วนใหญ่ได้รับการพัฒนาโดยนักพัฒนาบุคคลที่สาม สิ่งเหล่านี้ไม่น่าเชื่อถืออย่างสมบูรณ์จากมุมมองด้านความปลอดภัย ดังนั้น คุณต้องใช้มาตรการบางอย่างเพื่อแสดงผลอย่างปลอดภัย ตัวอย่างเช่น:

อัพเดทเป็นประจำ

เช่นเดียวกับเว็บไซต์ WordPress ของคุณ ผู้พัฒนาปลั๊กอินและธีม/บริษัทยังออกการอัปเดตเพื่อให้ทันกับเวอร์ชันของ WordPress และแก้ไขข้อบกพร่องและปัญหาที่ผู้ใช้ทราบจากความคิดเห็นของผู้ใช้ ดังนั้น พยายามติดตั้งการอัปเดตเป็นประจำผ่านแดชบอร์ดโดยใช้ปลั๊กอินที่เหมาะสม

ซ่อนข้อมูลเวอร์ชัน WordPress

สำหรับผู้โจมตี การรู้ข้อมูลเวอร์ชัน WordPress ของคุณ เช่น หมายเลข สามารถช่วยพัฒนาการโจมตีที่ปรับแต่งได้ และข้อมูลเวอร์ชันจะพร้อมใช้งานในแหล่งที่มาของ WordPress อย่างง่ายดาย หากคุณสามารถลบข้อมูลเวอร์ชัน DIY เหล่านั้น หรือด้วยความช่วยเหลือจาก นักพัฒนา WordPress โดยเฉพาะ คุณก็สามารถทำให้ชีวิตของผู้โจมตียากขึ้นได้

บทสรุป

ฉันได้เขียนโพสต์ข้างต้นโดยคำนึงถึงผู้เริ่มต้นและนักพัฒนา WordPress ระดับกลางรวมถึงนักพัฒนาปลั๊กอิน WordPress โดยเฉพาะ ดังนั้นการใช้คำแนะนำที่อธิบายไว้เพื่อความปลอดภัยของไซต์ WordPress ของคุณจะพิสูจน์ได้ยากหากไม่มีปลั๊กอินความปลอดภัย WordPress ที่เหมาะสมและล่าสุด ฉันแนะนำให้ติดตั้งปลั๊กอินต่อไปนี้สำหรับไซต์ของคุณและทำให้ปลอดภัยยิ่งขึ้นกว่าเดิม :

  • การรักษาความปลอดภัยและไฟร์วอลล์ WP ทั้งหมดในที่เดียว
  • การป้องกันการเข้าสู่ระบบ Brute Force
  • การรักษาความปลอดภัยกันกระสุน
  • Google Authenticator
  • iThemes Security เดิมชื่อ Better WP Security
  • ปลั๊กอิน WordPress ความปลอดภัย Sucuri
  • WordFence
  • การป้องกันไซต์ WP Antivirus

หากคุณยังมีความสับสนและต้องการความช่วยเหลือจากผู้เชี่ยวชาญ Perception System ให้บริการพัฒนา WordPress และสิ่งอำนวยความสะดวกในการจ้างนักพัฒนา WordPress เพื่อช่วยลูกค้าที่ขัดสนในการทำให้ไซต์ของพวกเขาปลอดภัยอย่างสมบูรณ์