แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress – รายการสิ่งที่ต้องทำ – วิธีรักษาความปลอดภัยบล็อก WordPress ของคุณ
เผยแพร่แล้ว: 2015-05-25
WordPress เป็นหนึ่งในแพลตฟอร์มยอดนิยมสำหรับบล็อกและเว็บไซต์ที่โฮสต์ด้วยตนเอง ในขณะที่ WordPress นั้นค่อนข้างปลอดภัยจากกล่อง แต่ก็ยังมีบุคคลที่ต้องการสร้างปัญหาด้วยการค้นหาวิธีที่จะเจาะเข้าไปในบัญชีหรือเว็บไซต์เพื่อสร้างความเสียหายหรือแทรกลิงก์สแปมที่ซ่อนอยู่ นั่นเป็นเหตุผลสำคัญที่ต้องตรวจสอบให้แน่ใจว่าการติดตั้ง WordPress ของคุณปลอดภัยที่สุด เคล็ดลับความปลอดภัยของ WordPress
TechCrunch บล็อกที่ใหญ่ที่สุดในโลก ถูกแฮ็กสองครั้งในระยะเวลาอันสั้นเพียงแปดชั่วโมง (ในปี 2555) Mark Jaquith หัวหน้าโปรแกรมเมอร์ของ WordPress กล่าวว่า การแฮ็กอาจเป็นเพราะปลั๊กอิน WordPress ที่ไม่ปลอดภัย ซึ่งทำให้แฮ็กเกอร์ใช้วิธีการฉีด php เพื่อแฮ็กปัญหาด้านเทคโนโลยีได้ ไม่ใช่การแฮ็กฝั่งเซิร์ฟเวอร์ ฉันหวังว่าข้อมูลโดยละเอียดทั้งหมดนี้จะช่วยคุณในการปกป้องบล็อก WordPress ของคุณ
มีคำถามด้านล่างคำถามด้านล่าง?
- บทวิจารณ์ปลั๊กอินความปลอดภัย wordpress
- ช่องโหว่ด้านความปลอดภัยของเวิร์ดเพรส
- แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ wordpress
- ปัญหาความปลอดภัยของเวิร์ดเพรส
- เคล็ดลับความปลอดภัยของเวิร์ดเพรส
- ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด
- สแกนความปลอดภัยของเวิร์ดเพรส
- ตรวจสอบความปลอดภัยของเวิร์ดเพรส
ถ้าอย่างนั้นคุณก็มาถูกที่แล้ว รีวิวปลั๊กอินความปลอดภัยโดย Crunchify
ต่อไปนี้คือเคล็ดลับบางประการในการทำให้เว็บไซต์ WordPress หรือบล็อกของคุณปลอดภัยยิ่งขึ้นและไม่ไวต่อการโจมตีที่เป็นอันตราย ขั้นตอนเหล่านี้ช่วยให้บล็อกของเราปลอดภัยโดยป้องกันคนร้าย
1) อัปเกรดเป็น WordPress เวอร์ชันล่าสุด
ไม่มีระบบซอฟต์แวร์ใดที่สามารถป้องกันจุดบกพร่องและจุดอ่อนได้ ช่องโหว่ด้านความปลอดภัยจะถูกค้นพบและผู้ร้ายจะพยายามอย่างเต็มที่เพื่อใช้ประโยชน์จากช่องโหว่เหล่านี้ การทำให้ซอฟต์แวร์ของคุณทันสมัยอยู่เสมอเป็นวิธีที่ดีในการป้องกันการโจมตี เนื่องจากผู้จำหน่ายซอฟต์แวร์ที่เชื่อถือได้จะแก้ไขผลิตภัณฑ์ของตนเมื่อพบช่องโหว่ด้านความปลอดภัย
โชคดีที่การทำให้ไซต์ WordPress ของคุณทันสมัยอยู่เสมอเป็นหนึ่งในวิธีที่ง่ายที่สุดที่คุณสามารถทำได้ สำหรับสองสามเวอร์ชันล่าสุด WordPress ได้รวมความสามารถในการติดตั้งการอัปเดตอัตโนมัติ ไม่เพียงเท่านั้น แต่ไซต์จะได้รับแจ้งทุกครั้งที่มีการอัปเกรดใหม่
หากคุณไม่ได้ใช้งาน WordPress เวอร์ชันล่าสุด ให้อัปเกรดทันที การออกจากไซต์ของคุณในเวอร์ชันเก่าเปรียบเสมือนการปลดล็อกประตูเมื่อคุณออกไปเที่ยวพักผ่อน
2) ใส่ไฟล์ index.php เปล่า
ถ้าคุณคิดว่าเพียงแค่ตั้งค่าการอนุญาตไดเรกทอรีก็เกินพอแล้ว ฉันจะบอกว่ามันไม่ได้เป็นแค่เพื่อนที่เรียบง่าย! ฉันขอแนะนำว่าควรวางไฟล์ html หรือ php เปล่า ( ensure that the name should be index.php ) ในโฟลเดอร์ wp-content/themes/ & wp-content/plugins/ วิธีนี้เมื่อใดก็ตามที่มีคนพยายามจะดูเนื้อหาของโฟลเดอร์เหล่านั้น พวกเขาจะถูกนำเสนอด้วยหน้าว่างและไม่มีอะไรอื่น นั่นไม่ใช่การเคลื่อนไหวที่ชาญฉลาดหรือ?
เนื้อหาไฟล์:
|
1 2 3 |
<?php // Silence is golden. ?> |
3) ใช้รหัสลับในไฟล์กำหนดค่า WP ของคุณ
ใน WordPress wp-config.php คือไฟล์ที่เก็บข้อมูลฐานข้อมูลที่ WordPress ต้องใช้เพื่อเชื่อมต่อวงจรของมัน ไฟล์นี้มีชื่อ ที่อยู่ และรหัสผ่านของฐานข้อมูล MySQL ที่เก็บข้อมูลผู้ใช้ บล็อกโพสต์ และเนื้อหาสำคัญอื่นๆ ทั้งหมดของคุณ
การใช้รหัสลับจะทำให้ผู้อื่นเข้าถึงบัญชีของคุณได้ยากขึ้น
ไปที่ https://api.wordpress.org/secret-key/1.1/ และ copy the results into this section of your wp-config.php หากคุณยังไม่ได้ตั้งค่าคีย์ลับ
4) เก็บไฟล์. htaccess ของคุณไว้ในเช็ค
เมื่อใช้ไฟล์ . .htaccess คุณสามารถกำหนดขีดจำกัดการเข้าถึงบางไดเร็กทอรีได้ คุณสามารถผูกขีดจำกัดเหล่านั้นกับที่อยู่ IP เฉพาะ ซึ่งหมายความว่าเฉพาะผู้ที่มาจากสถานที่นั้นเท่านั้นที่สามารถเข้าถึงข้อมูลของคุณได้
ขอแนะนำเสมอว่าในขณะที่เลือกโฮสต์เว็บของคุณ คุณควรยืนยันจากพวกเขาว่าพวกเขากำลังใช้ MySQL, Apache และ PHP เวอร์ชันใดอยู่”
ตัวอย่าง:
|
1 2 3 4 5 6 7 8 |
order deny , allow deny from 32.177.15. * deny from 53.177.14. * deny from 64.255.113. * deny from 11.255.114. * deny from 115.225.176.86 deny from 535.255.117.250 allow from all |
5) ใช้รหัสผ่านบัญชี WordPress ที่รัดกุม
นอกเหนือจากการเพิ่มรหัสลับใน wp-config.php ของคุณแล้ว ให้พิจารณาเปลี่ยนรหัสผ่านผู้ใช้ของคุณเป็นสิ่งที่แข็งแกร่งและไม่เหมือนใคร WordPress จะบอกระดับความปลอดภัยของรหัสผ่านให้คุณทราบ แต่เคล็ดลับที่ดีคือหลีกเลี่ยงวลีทั่วไป ใช้อักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก และใส่ตัวเลข ยังเป็นความคิดที่ดีที่จะเปลี่ยนรหัสผ่านของคุณเป็นประจำ — พูดทุกๆ สองเดือน
6) อัปเดตสภาพแวดล้อมเซิร์ฟเวอร์และปลั๊กอิน
การอัปเดตปลั๊กอินและธีมทันทีที่ปล่อยออกมาถือเป็นความรับผิดชอบของคุณ ฉันขอแนะนำให้อัปเดตปลั๊กอินของคุณเป็นประจำ ดูบทความ CSRF ที่ฉันเผยแพร่เมื่อสักครู่นี้
เกี่ยวกับสภาพแวดล้อมเซิร์ฟเวอร์นั้นไม่ได้อยู่ในมือคุณ แต่อยู่ในมือของโฮสต์เว็บ ขอแนะนำเสมอว่าในขณะที่เลือกโฮสต์เว็บของคุณ คุณควรยืนยันจากพวกเขาว่าพวกเขาใช้ MySQL, Apache & PHP เวอร์ชันใด จับคู่กับเวอร์ชันล่าสุดที่กล่าวถึงในเว็บไซต์ที่เกี่ยวข้อง และหากพวกเขาล้าสมัย คุณควรขอให้พวกเขาอัปเดต (ไม่น่าเป็นไปได้มาก) หรือเปลี่ยนโฮสต์เว็บโดยเร็วที่สุด
7) อย่าใช้ “admin” เป็นชื่อผู้ใช้ของคุณ
หลังจากติดตั้ง WordPress คุณควรเปลี่ยนชื่อผู้ใช้ของผู้ดูแลระบบ
8) เปลี่ยน WP prefix ของตารางฐานข้อมูล
จะช่วยให้คุณประหยัดจากการแฮ็ค sql injection
9) อย่าติดตั้ง WordPress ในไดเรกทอรีราก
ติดตั้งในบางโฟลเดอร์ที่มีชื่อแปลก ๆ ซึ่งไม่ง่ายที่จะรู้ บางอย่างเช่น 442testXYZ การดำเนินการนี้จะบันทึกการติดตั้ง WordPress ของคุณจากบอทและแฮกเกอร์
10) บล็อกบอทที่ไม่ดี
คุณไม่มีทางรู้ว่าไซต์ของคุณถูกรวบรวมข้อมูลโดยบอทที่ไม่ดีเมื่อใด การแก้ปัญหาเป็นเรื่องง่าย ลองใส่ไฟล์ . .htaccess ด้านล่างเพื่อบล็อกบอทที่ไม่ดี
|
1 2 3 |
RewriteEngine On RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ] RewriteRule . * - [ F , L ] |
สรุป
เราทุกคนต่างเห็นพ้องกันว่าการมีบล็อก WordPress ที่ปลอดภัยควรเป็นสิ่งที่เราให้ความสำคัญเป็นอันดับแรกเมื่อทำบล็อกให้ประสบความสำเร็จ WordPress เป็นซอฟต์แวร์เผยแพร่ที่ยอดเยี่ยม และ Automattic (บริษัทที่อยู่เบื้องหลัง WordPress) พยายามอย่างหนักที่จะรักษาความปลอดภัยอยู่เสมอ เพื่อให้บล็อกนับล้านสามารถปลอดภัยจากภัยคุกคามจากแฮ็กเกอร์
มีหลายวิธีที่เราสามารถปรับปรุงความปลอดภัยของ WordPress ได้ การเปลี่ยนแปลงเหล่านี้มีขนาดเล็ก และคำแนะนำเหล่านี้จำนวนมากสามารถนำไปใช้ได้ภายในไม่กี่นาที คุณสบายใจได้เมื่อรู้ว่าไซต์ WordPress ของคุณปลอดภัยจากผู้บุกรุกและแฮกเกอร์มากขึ้นเล็กน้อย