ปลั๊กอินความปลอดภัย WordPress – คุณต้องการหรือไม่

ด้วย Google นำเสนอผลลัพธ์มากกว่า 22 ล้านรายการสำหรับ “ปลั๊กอินความปลอดภัย WordPress” และปลั๊กอินความปลอดภัยมากกว่า 1,000 รายการในหน้าปลั๊กอิน WordPress อย่างเป็นทางการ จึงไม่ปฏิเสธความนิยมของพวกเขา แต่คำถามที่แท้จริงคือ –คุณต้องการไซต์ของคุณจริง ๆ เพื่อเริ่มต้นหรือไม่?

โดยอาศัยการตั้งชื่อเพียงอย่างเดียวและสิ่งที่พวกเขาโฆษณาว่าสามารถทำได้สำหรับไซต์ของคุณ โซลูชันบางอย่างในพื้นที่นี้กำลังวางตำแหน่งตัวเองเป็น ปลั๊กอิน ที่ต้องมี เพื่อให้แน่ใจว่า WordPress ทำงานอย่างปลอดภัยน่าจะทำให้คุณเลิกกังวลเรื่องความปลอดภัยไปได้เลย

สิ่งนี้ยังห่างไกลจากความเป็นจริง

ในความเป็นจริง การใช้ปลั๊กอินความปลอดภัย WordPress ที่สร้างขึ้นมาไม่ดีอาจทำให้ไซต์ของคุณช้าลงได้ การเพิ่มฟังก์ชันการทำงานที่ควรจะเกิดขึ้นจริงในระดับเครือข่าย ก่อนที่คำขอจะต้องได้รับการประมวลผลโดยเซิร์ฟเวอร์ของคุณด้วยซ้ำ

ดังนั้นโดยไม่ต้องกังวลใจไปดำน้ำกันเลย

คุณต้องการปลั๊กอินความปลอดภัย WordPress หรือไม่?

ทุกเว็บไซต์เป็นเป้าหมายที่เป็นไปได้สำหรับแฮ็กเกอร์ที่ประสงค์ร้าย ซึ่งบางเว็บไซต์ก็เป็นเป้าหมายที่ใหญ่กว่าเว็บไซต์อื่นๆ นี่ไม่ใช่ความลับ

Fast Company สิ่งพิมพ์ยอดนิยม เมื่อเร็ว ๆ นี้ (ในขณะที่เขียน)ได้ละเมิดระบบของพวกเขา โดยผู้ที่ดำเนินการส่งการแจ้งเตือน Apple News ที่ไม่เหมาะสม

ผู้ที่พยายามเข้าถึงไซต์ด้วยเจตนาร้ายไม่จำเป็นต้องกำหนดเป้าหมายไปที่ธุรกิจขนาดใหญ่ ธุรกิจขนาดเล็กและขนาดกลางอาจเป็นตัวแทนของเป้าหมายที่ง่ายกว่าหากพวกเขาคิดเช่นนี้ ซึ่งอาจเป็นผลจากการใช้มาตรการป้องกันน้อยลง

นอกเหนือจากความยุ่งยากในการจัดการกับสถานการณ์ การเสียเวลา และการสูญเสียรายได้ที่ไซต์ของคุณอาจสร้างขึ้นในขณะที่ยังไม่สามารถเข้าถึงได้ บริษัทต่างๆ มีภาระผูกพันทางกฎหมายในการปกป้องข้อมูลลูกค้า ข้อผูกพันนี้มาพร้อมกับความเสี่ยงของการดำเนินการด้านกฎระเบียบ

มันไปโดยไม่ได้บอกว่าไม่มีใครอยากเป็นเหยื่อของการโจมตี แต่เนื่องจากระบบนิเวศทั่วโลกของเว็บไซต์ WordPress นั้นมีมูลค่าประมาณ 635.5 พันล้านเหรียญสหรัฐ (USD) จึงไม่น่าแปลกใจที่การขายคำมั่นสัญญาด้านความปลอดภัยได้พิสูจน์แล้วว่าเป็นโอกาสทางธุรกิจที่ดี

แฮกเกอร์โจมตีเว็บไซต์ WordPress อย่างไร

WordPress เป็นโอเพ่นซอร์ส ดังนั้นช่องโหว่ที่พบในคอร์ WordPress และธีมหรือปลั๊กอินใด ๆ จึงกลายเป็นความรู้สาธารณะในที่สุด น่าเสียดายที่สิ่งนี้สามารถเกิดขึ้นได้ก่อนที่ WordPress จะสามารถออกแพตช์สำหรับช่องโหว่ได้ ซึ่งสร้างหน้าต่างแห่งโอกาสสำหรับผู้ที่มีเจตนาร้าย ผู้ไม่หวังดีทราบดีถึงโอกาสนี้ ทำให้พวกเขาเริ่มกำหนดเป้าหมายไซต์ที่อาจใช้ธีมหรือปลั๊กอินที่มีช่องโหว่โดยอัตโนมัติ เพื่อดูว่าอะไรเป็นไปได้

แม้จะไม่มีช่องโหว่เหล่านี้ เป็นเรื่องปกติที่ทั้งคนและบอทจะใช้การโจมตีด้วยกำลังดุร้ายเพื่อพยายามเข้าถึงไซต์ ซึ่งเกี่ยวข้องกับการส่งคำขอเข้าสู่ระบบหลายรายการซ้ำๆ เพื่อพยายามระบุบัญชีผู้ใช้ที่ใช้ชุดค่าผสมชื่อผู้ใช้และรหัสผ่านเริ่มต้นหรือทั่วไป

มีหลายวิธีที่เป็นไปได้ที่ไซต์ WordPress สามารถถูกแฮ็กได้ ซึ่งเป็นเหตุผลว่าทำไม แนวทาง กว้างๆ ในระดับเซิร์ฟเวอร์จึงสำคัญมากความเสี่ยงในการแฮ็คที่เป็นไปได้มากที่สุด ได้แก่:

การโจมตีด้วยกำลังดุร้าย : การโจมตีประเภทนี้เกี่ยวข้องกับการพยายามใช้ชื่อผู้ใช้และรหัสผ่านที่แตกต่างกันซ้ำๆ เพื่อพยายามเข้าถึงแผงการดูแลระบบของไซต์

การแทรก SQL : การโจมตีประเภทนี้เกี่ยวข้องกับการแทรกโค้ดที่เป็นอันตรายลงในฐานข้อมูลของเว็บไซต์ ซึ่งสามารถใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนหรือรบกวนการทำงานของไซต์ได้

Cross-Site Scripting (XSS) : การโจมตีประเภทนี้เกี่ยวข้องกับการแทรกโค้ดที่เป็นอันตรายลงในเว็บไซต์ จากนั้นเบราว์เซอร์ของผู้ใช้จะดำเนินการสามารถใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบ หรือเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย

การแทรกไฟล์ : การโจมตีประเภทนี้เกี่ยวข้องกับการอัปโหลดไฟล์ที่เป็นอันตรายไปยังเว็บไซต์ เช่น แบ็คดอร์หรือมัลแวร์ไฟล์เหล่านี้สามารถใช้เพื่อเข้าถึงไซต์โดยไม่ได้รับอนุญาต

ซอฟต์แวร์ล้าสมัย : หากเว็บไซต์ไม่ได้รับการอัปเดตอย่างสม่ำเสมอ อาจมีช่องโหว่ที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้

ฟิชชิง : การโจมตีประเภทนี้หลอกล่อให้ผู้ใช้ให้ข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบ หมายเลขบัตรเครดิต และข้อมูลส่วนตัวอื่นๆ โดยการสร้างหน้าเข้าสู่ระบบปลอม

เหตุใดปลั๊กอินความปลอดภัยจึงไม่ใช่ตัวเลือกที่ชาญฉลาด

ตามวิธีการทำงานของปลั๊กอิน ปลั๊กอินจะทำงานเมื่อคำขอส่งถึงเซิร์ฟเวอร์เท่านั้น ซึ่งหมายความว่าเป็นไปได้ที่ปลั๊กอินความปลอดภัยจะท้าทายสิ่งต่าง ๆ ในระดับ PHP เท่านั้น ตัวอย่างเช่น อาจรวมถึงการเข้าสู่ระบบด้วยกลไกบางอย่างเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตเมื่อเซิร์ฟเวอร์ได้รับคำขอ

ผลลัพธ์ของสิ่งนี้คือการใช้ทรัพยากรเซิร์ฟเวอร์เพิ่มเติมในทุกคำขอที่ส่งไปยังเซิร์ฟเวอร์ เนื่องจากมันอยู่ระหว่างคำขอและจุดเริ่มต้นของการประมวลผลเอาต์พุต เห็นได้ชัดว่านี่ไม่สามารถป้องกันได้: pluginvulnerabilities.com ทดสอบปลั๊กอินความปลอดภัย 31 รายการกับช่องโหว่ซีโร่เดย์ และมีเพียง 6 รายการเท่านั้นที่สามารถป้องกันการโจมตีได้

ต้องโหลดปลั๊กอินความปลอดภัย WordPress ให้สมบูรณ์ก่อนที่จะเริ่มประมวลผลทราฟฟิกได้ ซึ่งหมายความว่า ปลั๊กอินเหล่านี้จะกินทรัพยากรแม้ว่าเว็บไซต์ของคุณจะไม่ได้ถูกโจมตี ก็ตาม

นอกจากนี้ยังไม่เคยได้ยินมาก่อนว่าปลั๊กอินความปลอดภัยของ WordPress เองจะมี ช่องโหว่ และสิ่งเหล่านี้สามารถถูกแฮ็กเกอร์ใช้ประโยชน์ได้

ตัวอย่างเช่น Wordfence ปลั๊กอินความปลอดภัยยอดนิยมที่มีผู้ใช้มากกว่า 4 ล้านคน ได้รายงานช่องโหว่หลายรายการ เช่น Cross Site Scripting และ Broken Access Control ในช่วงหลายปีที่ผ่านมา ช่องโหว่เหล่านี้ได้รับการแก้ไขอย่างรวดเร็ว แต่สิ่งนี้ไม่ได้เปลี่ยนข้อเท็จจริงที่ว่าระบบถูกเปิดเผย แม้ว่าจะเป็นเวลาสั้นๆ

นอกจากนี้ยังมีอันตรายที่ปลั๊กอินความปลอดภัยสามารถสร้าง ความปลอดภัยที่ผิดพลาด ได้ก่อนหน้านี้มีกรณีเกิดขึ้นที่ผู้ดูแลไซต์ได้ติดตั้งปลั๊กอินความปลอดภัยยอดนิยม โดยเชื่อว่าจะปกป้องไซต์ของตนจากการโจมตีทุกประเภท โดยละเลยมาตรการรักษาความปลอดภัยที่สำคัญอื่นๆ เช่น การอัปเดตซอฟต์แวร์เป็นประจำ รหัสผ่านที่รัดกุม การยืนยันตัวตนแบบสองปัจจัย และการสำรองข้อมูล

ปัญหาอื่นที่เราพบคือปลั๊กอินความปลอดภัยทำให้เกิดปัญหาความเข้ากันได้ กับธีมที่มีอยู่หรือปลั๊กอินอื่นๆในบางกรณี ความขัดแย้งนี้อาจส่งผลให้ไซต์ของคุณเสี่ยงต่อการถูกโจมตี

และเป็นเรื่องปกติที่จะพบผลบวกลวง โดยใช้ปลั๊กอินความปลอดภัยปลั๊กอิน Overeager สามารถตั้งค่าสถานะการกระทำที่ถูกต้องตามกฎหมายว่าเป็นอันตราย ซึ่งอาจนำไปสู่การเตือนที่ผิดพลาดและความไม่สะดวกแก่ผู้ดูแลระบบและผู้ใช้

สิ่งสำคัญที่สุดคือ เมื่อพูดถึงเรื่องความปลอดภัยของเว็บไซต์ WordPress ของคุณไม่มีโซลูชันปลั๊กอินใดที่คุณสามารถใช้เพื่อตั้งค่าและลืมมัน ได้ความปลอดภัยเป็นสัตว์ร้ายที่มีวิวัฒนาการและต้องการการเฝ้าระวังอย่างต่อเนื่อง

มีปลั๊กอินความปลอดภัยใดบ้างที่ควรใช้?

คุณจะปกป้องเว็บไซต์ WordPress ได้อย่างไร?

เริ่มต้นด้วยการทำงานร่วมกับผู้ให้บริการโฮสติ้ง WordPress ที่นำความสามารถในการรักษาความปลอดภัย การปรับขนาด และประสิทธิภาพ – วิธีที่เราทำที่ Servebolt เราทำการยกน้ำหนักที่เกี่ยวข้องกับการรักษาโครงสร้างพื้นฐานพื้นฐานสำหรับไซต์ของคุณให้ปลอดภัยอย่างเต็มที่

นอกเหนือจากนี้ คุณต้องการให้คำขอที่เป็นอันตรายทั้งหมด (และอาจเป็นอันตราย) ถูกปิดกั้น ก่อนที่จะเข้าถึงเซิร์ฟเวอร์ของคุณ ก่อนที่พวกเขาจะมีโอกาสใช้ทรัพยากร เพื่อให้คุณสามารถมอบประสบการณ์ที่ดีที่สุดเท่าที่จะเป็นไปได้ให้กับผู้เยี่ยมชมเว็บไซต์จริง

ตัวอย่างหนึ่งของโซลูชันประเภทนี้คือ Cloudflare Cloudflare เป็นบริษัทที่ให้บริการรักษาความปลอดภัยทางอินเทอร์เน็ตที่หลากหลาย รวมถึง Content Delivery Network (CDN), Domain Name System (DNS) และ Web Application Firewall (WAF) บริการเหล่านี้ทำงานร่วมกันเพื่อปกป้องเว็บไซต์จากการโจมตีทางไซเบอร์หลายรูปแบบ เช่น การโจมตี DDoS, การแทรก SQL และการเขียนสคริปต์ข้ามไซต์ (XSS) Cloudflare ยังเสนอคุณสมบัติเพิ่มเติม เช่น การเข้ารหัส SSL/TLS รวมถึงระบบการจัดการบอทเพื่อเพิ่มความปลอดภัยของเว็บไซต์ให้ดียิ่งขึ้น

ที่ Servebolt นอกจากแนวทางนี้แล้ว เราเสนอบริการเชิงรุกที่มีการจัดการสองบริการ ได้แก่ Accelerated DomainsและServebolt CDNซึ่งสามารถเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณได้พวกเขาสร้างขึ้นจากข้อเสนอระดับองค์กรของ Cloudflare และเรามอบโดเมนฟรีสองโดเมนให้กับลูกค้าทุกคนที่ลงทะเบียน

เราใช้ทั้งผลิตภัณฑ์รักษาความปลอดภัยบนเซิร์ฟเวอร์ เช่นเดียวกับการสร้างบน WAF จาก Cloudflare เมื่อดำเนินการผ่านเรา เราเพิ่มมาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อลดความพยายามในการแฮ็ก รวมถึงป้องกันการเข้าถึงเซิร์ฟเวอร์โดยตรงเมื่อใช้ Cloudflare เพื่อลดความพยายามในการแฮ็คแบบเดรัจฉาน มาตรการเหล่านี้ได้รับการกำหนดค่าให้บล็อกคำขอที่อาจเป็นอันตรายโดยอัตโนมัติ และ ไม่ ต้องการการกำหนดค่าหรือการบำรุงรักษาใดๆ

นอกเหนือจากนั้น ปลั๊กอินบางตัวสามารถปรับปรุงความปลอดภัยของไซต์ของคุณได้ แม้ว่าสิ่งเหล่านี้จะไม่ใช่วิธีแก้ปัญหาแบบครบวงจร:

• สองปัจจัย :ปลั๊กอินนี้พัฒนาโดยทีม WordPress และเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยโดยใช้รหัสผ่านแบบใช้ครั้งเดียวตามเวลา (OTP, Google Authenticator), Universal 2nd Factor (FIDO U2F, YubiKey), อีเมล และการตรวจสอบสำรอง รหัส

หากข้อมูลประจำตัวของคุณรั่วไหลบนอินเทอร์เน็ต เซิร์ฟเวอร์ของคุณอาจถูกเจาะได้แม้ว่าทราฟฟิกที่เป็นอันตรายส่วนใหญ่จะถูกบล็อกโดยไฟร์วอลล์ก็ตามเราขอแนะนำอย่างยิ่งให้ใช้การรับรองความถูกต้องด้วยสองปัจจัยเพื่อป้องกันผู้ไม่หวังดี

อีกทางเลือกหนึ่งที่เราใช้ที่ Servebolt คือ Cloudflare Access

• Patchstack &WPScan:โปรแกรมสแกนช่องโหว่ เช่น Patchstack หรือ WPScan จะมีประโยชน์ในการติดตามช่องโหว่ ตัวอย่างเช่น WP Scan ตรวจสอบภัยคุกคามต่อเซิร์ฟเวอร์ของคุณอย่างต่อเนื่องกับ ฐานข้อมูลที่รู้จักซึ่งมีช่องโหว่มากกว่า 37,000 รายการ ที่ดูแลโดยผู้เชี่ยวชาญด้านความปลอดภัยของ WordPress หากตรวจพบภัยคุกคาม มันสามารถเรียกใช้การแจ้งเตือน ทางอีเมลหรือใช้เว็บฮุคแบบกำหนดเองพร้อมข้อมูลและคำแนะนำที่จำเป็นทั้งหมดสำหรับการแก้ไขปัญหา

เคล็ดลับสำหรับการทำให้เว็บไซต์ WordPress ของคุณแข็งแกร่งขึ้น

การใช้ Accelerated Domains หรือ Servebolt CDN ทำให้ไซต์ของคุณปลอดภัยจากการโจมตีที่เป็นที่รู้จักมากมาย พวกเขาใช้การจำกัดอัตราการเข้าสู่ระบบและ XML-RPC โดยอัตโนมัติเพื่อป้องกันการโจมตีด้วยกำลังดุร้ายที่เป็นอันตรายในหน้าเข้าสู่ระบบของไซต์ของคุณ แต่คุณสามารถปรับปรุงความปลอดภัยของคุณเพิ่มเติมได้โดยใช้แนวทางปฏิบัติด้านความปลอดภัยเพิ่มเติมต่อไปนี้บนเว็บไซต์ของคุณ

การจำกัดการเข้าถึงไฟล์

แต่ละไฟล์และโฟลเดอร์บนเซิร์ฟเวอร์ของคุณมีสิทธิ์การเข้าถึงซึ่งระบุว่าใครสามารถอ่าน เขียน และเรียกใช้ไฟล์หรือไดเร็กทอรีที่กำหนด แม้ว่าการมีสิทธิ์แบบเปิดในทรัพย์สินสาธารณะของไซต์ของคุณอาจดูเหมือนไม่ใช่เรื่องใหญ่ แต่ก็เป็นการปฏิบัติที่ไม่ดีอย่างแน่นอน นอกจากนี้ ไฟล์ที่ละเอียดอ่อนบางไฟล์ เช่น .htaccessและwp-config.phpควรล็อกไว้อย่างปลอดภัย

เราขอแนะนำให้คุณล็อกไฟล์ที่ละเอียดอ่อนทั้งหมดเท่าที่จะเป็นไปได้ และคลายการอนุญาตเหล่านี้ในเวลาสั้นๆ เมื่อคุณต้องการจริงๆ เท่านั้น

สำหรับ.htaccessคุณควรเปลี่ยนระดับการอนุญาตเป็น 644 ซึ่งจะให้สิทธิ์การเข้าถึงแบบ อ่าน-เขียนแก่เจ้าของไฟล์ โดยผู้ใช้รายอื่นทั้งหมดจะสามารถอ่านไฟล์ ได้เท่านั้น

คุณสามารถจำกัดการอนุญาตเหล่านี้เพิ่มเติมสำหรับ ไฟล์wp-config.phpโดยการตั้งค่าโหมดการอนุญาตเป็น400 หรือ 440ซึ่งหมายความว่าเฉพาะเจ้าของ (หรือสมาชิกคนอื่นๆ ของกลุ่มที่เลือกด้วย) เท่านั้นที่สามารถอ่านไฟล์ได้ ในขณะที่การแก้ไข สามารถทำได้โดยผู้ใช้รูทเท่านั้น

เรามาดูรายละเอียดเกี่ยวกับข้อกำหนดการอนุญาตสำหรับไดเร็กทอรี WordPress เฉพาะ:

• ไดเร็กทอรีรูท WordPress (/):

ไฟล์ทั้งหมด ยกเว้น.htaccessควรเขียนได้ด้วย บัญชี ของคุณเท่านั้น – ตั้งค่าโหมดการอนุญาตเป็น 644 สำหรับไฟล์ทั้งหมดยกเว้น.htaccess

• พื้นที่การดูแล WordPress (/wp-admin/):

ไฟล์ทั้งหมดควรเขียนได้ด้วยบัญชีของคุณเท่านั้น – ตั้งค่าโหมดการอนุญาตเป็น 644 สำหรับไฟล์ทั้งหมด

• ตรรกะของแอปพลิเคชัน WordPress (/wp-includes/):

ไฟล์ทั้งหมดควรเขียนได้ด้วยบัญชีของคุณเท่านั้น – ตั้งค่าโหมดการอนุญาตเป็น 644 สำหรับไฟล์ทั้งหมด

• เนื้อหาที่ผู้ใช้ระบุ (/wp-content/):

ไดเร็กทอรีนี้ตั้งใจให้ทั้งคุณและเว็บเซิร์ฟเวอร์สามารถเขียนได้ – ตั้งค่าโหมดการอนุญาตเป็น 664 สำหรับไฟล์ทั้งหมด

อย่างไรก็ตาม ภายในไดเร็กทอรี /wp-content/ คุณอาจพบ:

• ไฟล์ธีม (/wp-content/themes/):

หากคุณต้องการใช้ตัวแก้ไขธีมในตัว ไฟล์ทั้งหมดจะต้องเขียนได้ด้วยกระบวนการเว็บเซิร์ฟเวอร์ หากคุณไม่ต้องการใช้ตัวแก้ไข ไฟล์ทั้งหมดสามารถเขียนได้ด้วยบัญชีผู้ใช้ของคุณเท่านั้น

• ไฟล์ปลั๊กอิน (/wp-content/plugins/):

ไฟล์ทั้งหมดควรเขียนได้ด้วยบัญชีผู้ใช้ของคุณเท่านั้น อย่างไรก็ตาม ปลั๊กอินของบุคคลที่สามบางตัวอาจต้องการสิทธิ์ในการเขียน เราขอแนะนำให้คุณลบสิทธิ์ในการเขียนและให้สิทธิ์เฉพาะกับปลั๊กอินเฉพาะเป็นกรณีไป

ปิดใช้งานการเรียกใช้ไฟล์ PHP ในไดเร็กทอรีที่เลือก

คุณสามารถปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณเพิ่มเติมได้โดยการจำกัดการทำงานของไฟล์ PHP ในไดเร็กทอรีที่ไม่จำเป็น

ตำแหน่งแรกที่คุณควรปิดใช้งานคือ โฟลเดอร์ /wp-content/เนื่องจากผู้ใช้อาจอัปโหลดสคริปต์ PHP ที่เป็นอันตรายและพยายามเรียกใช้

คุณสามารถปิดการทำงานของ PHP ได้โดยสร้างไฟล์ชื่อ.htaccessในโฟลเดอร์ที่ต้องการและวางโค้ดต่อไปนี้ลงไป:

 <ไฟล์ *.php>

ปฏิเสธจากทั้งหมด

</ไฟล์>

โค้ดข้างต้นสร้างกฎที่ห้ามการเรียกใช้งานไฟล์ PHP ใดๆ ในไดเร็กทอรีที่ระบุ ซึ่งหมายความว่าแม้ว่าแฮ็กเกอร์จะใส่โค้ด PHP ที่เป็นอันตรายลงในไฟล์ แต่ก็ไม่สามารถดำเนินการบนเซิร์ฟเวอร์ได้ ซึ่งเป็นการป้องกันความเสียหายใดๆ ต่อเว็บไซต์ของคุณ

ปิดใช้งานการทำดัชนีไดเร็กทอรีและการเรียกดู

การเรียกดูไดเร็กทอรีเป็นคุณลักษณะของเว็บเซิร์ฟเวอร์ที่แสดงไฟล์และไดเร็กทอรีที่มีอยู่ทั้งหมดในไดเร็กทอรีที่กำหนดของเว็บไซต์ เมื่อเปิดใช้งาน ทุกคนบนอินเทอร์เน็ตสามารถเห็นเนื้อหาทั้งหมดในทุกเส้นทางของเว็บไซต์ นี่เป็นความเสี่ยงด้านความปลอดภัยที่สำคัญเนื่องจากสามารถเปิดเผยข้อมูลที่เป็นความลับและการกำหนดค่าเซิร์ฟเวอร์ได้

ตัวอย่างเช่น หากมีคนไปที่ https://www.example.com/static พวกเขาจะสามารถดู (และดาวน์โหลด) ไฟล์ทั้งหมดที่อยู่ในเส้นทางนี้ได้ ขอแนะนำให้ปิดคุณสมบัตินี้ คุณสามารถทำได้โดยต่อท้ายบรรทัดต่อไปนี้ต่อท้าย ไฟล์ .htaccess

 ตัวเลือก -ดัชนี

ใช้ Fail2ban เพื่อหยุดการโจมตีแบบ Brute Force

Fail2ban เป็นยูทิลิตี้สำหรับเซิร์ฟเวอร์ที่สามารถสร้างกฎไฟร์วอลล์แบบไดนามิกสำหรับการบล็อกที่อยู่ IP ตามเงื่อนไขที่กำหนดไว้ล่วงหน้า คุณสามารถใช้กับ WordPress เพื่อบล็อกผู้ใช้ชั่วคราวหากพวกเขาไม่สามารถเข้าสู่ระบบได้ 3 ครั้งติดต่อกัน

อย่าใช้ชื่อผู้ใช้ "admin"

สำหรับแฮ็กเกอร์ บัญชีที่มีสิทธิ์ของผู้ดูแลระบบเทียบเท่ากับมงกุฎเพชร บัญชีผู้ดูแลระบบสามารถปลดล็อกประตูทั้งหมดบนเซิร์ฟเวอร์ได้ ไม่น่าแปลกใจเลยที่บัญชีนี้เป็นบัญชีแรกที่แฮ็กเกอร์กำหนดเป้าหมาย เป็นความคิดที่ดีที่จะใช้ชื่ออื่นสำหรับบัญชีผู้ดูแลระบบนี้ เพื่อทำให้กระบวนการนี้ยากขึ้นสำหรับพวกเขาและป้องกันการโจมตีแบบเดรัจฉาน

หากคุณยังคงใช้ชื่อผู้ใช้ "ผู้ดูแลระบบ" คุณควรสร้างบัญชีที่สองด้วยชื่ออื่นและให้สิทธิ์การเข้าถึงแก่ผู้ดูแลระบบลงชื่อเข้าใช้บัญชีที่สองของคุณ – และลบบัญชีผู้ดูแลระบบเก่า

การจำกัดสิทธิ์ของผู้ใช้ฐานข้อมูล

ความปลอดภัยของฐานข้อมูลมีความสำคัญยิ่งสำหรับเว็บไซต์ใดๆ เมื่อติดตั้งหลายไซต์บนเซิร์ฟเวอร์ของคุณ ให้สร้างฐานข้อมูลและผู้ใช้แยกกันสำหรับแต่ละไซต์ สิ่งนี้ทำให้ผู้บุกรุกเข้าถึงระบบที่สมบูรณ์และขโมยข้อมูลส่วนบุคคลได้ยากขึ้น

นอกจากนี้ คุณควรกำหนดค่าสิทธิ์ของบัญชี MySQL อย่างเหมาะสม และปิดใช้งานคุณสมบัติที่ไม่จำเป็น เช่น การเชื่อมต่อ TCP ระยะไกล คุณยังสามารถจำกัดความพยายามในการเข้าสู่ระบบได้หากผู้ใช้ฐานข้อมูลไม่ได้อยู่ในตำแหน่งที่อนุญาตพิเศษ ตัวอย่างเช่น คุณสามารถบล็อกการเข้าถึงการเชื่อมต่อรูทได้หากการเชื่อมต่อไม่ได้เริ่มต้นบนโลคอลโฮสต์

นอกจากนี้ WordPress ต้องการเพียงสิทธิ์ในการอ่านและเขียนไปยังฐานข้อมูล MySQL สำหรับการทำงานปกติ หากคุณให้เฉพาะ SELECT, INSERT, UPDATE และ DELETE แก่ผู้ใช้ฐานข้อมูลของคุณ ทุกอย่างจะยังคงทำงานได้ดี อย่างไรก็ตาม บางครั้งปลั๊กอินของบุคคลที่สามและการอัปเดต WordPress อาจทำให้เกิดข้อผิดพลาดเมื่อพยายามแก้ไขสคีมาของฐานข้อมูลหรือสร้างตารางใหม่ อ่านบันทึกประจำรุ่นและเอกสารประกอบของปลั๊กอินแต่ละตัวอย่างละเอียด หากคุณใช้มาตรการรักษาความปลอดภัยนี้

เปลี่ยน URL ผู้ดูแลระบบ wp

เพื่อให้แฮ็กเกอร์เปิดการโจมตีแบบเดรัจฉานบนไซต์ WordPress ของคุณได้ยากขึ้น ให้ลองเปลี่ยน URL เริ่มต้นของแดชบอร์ดผู้ดูแลระบบเป็นบางสิ่งที่ไม่ชัดเจน ในการทำเช่นนี้ คุณสามารถใช้ปลั๊กอิน เช่น ซ่อนการเข้าสู่ระบบ WPS หรือ เปลี่ยนการเข้าสู่ระบบ wp-admin ซึ่งช่วยให้คุณปรับแต่ง URL การเข้าสู่ระบบของคุณได้อย่างง่ายดาย

ปิดใช้งานการแก้ไขไฟล์

คุณลักษณะการแก้ไขไฟล์ใน WordPress ช่วยให้ผู้ดูแลระบบสามารถแก้ไขไฟล์ธีมและปลั๊กอินจากแดชบอร์ดได้โดยตรง แม้ว่าจะมีประโยชน์ในขณะตั้งค่าไซต์ แต่สิ่งนี้อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยหากบัญชีผู้ดูแลระบบถูกบุกรุก การปิดใช้งานฟังก์ชันการแก้ไขไฟล์จะช่วยลดความเสี่ยงนี้ได้

วิธีนี้จะ ลดการแก้ไขโดยไม่ตั้งใจ และ บังคับใช้เอกสารการเปลี่ยนแปลงที่ดีขึ้น เนื่องจากการแก้ไขใหม่ทั้งหมดจะถูกติดตามในการควบคุมเวอร์ชันและจะต้องผ่านการทดสอบก่อนที่จะเผยแพร่บนเว็บไซต์

หากต้องการปิดใช้งานการแก้ไขไฟล์ใน WordPress คุณสามารถเพิ่มบรรทัดโค้ดต่อไปนี้ในไฟล์ wp-config.php ของไซต์ของคุณ:

 กำหนด ('DISALLOW_FILE_EDIT', จริง );

การเปลี่ยนคำนำหน้าฐานข้อมูล

WordPress ใช้สตริงข้อความทั่วไปในชื่อตารางทั้งหมดเพื่อให้ระบุได้ง่ายขึ้น การเปลี่ยนคำนำหน้านี้ทำให้ผู้ไม่ประสงค์ดีคาดเดาชื่อตารางของคุณได้ยากเมื่อทำการโจมตีด้วยการฉีด SQL และการใช้ประโยชน์จากฐานข้อมูลในรูปแบบอื่นๆ

แม้ว่ามันอาจดูเหมือนเป็นการปรับปรุงเล็กน้อยและไม่มีนัยสำคัญ แต่การโจมตีส่วนใหญ่บนอินเทอร์เน็ตนั้นดำเนินการโดยบอทอัตโนมัติซึ่งมุ่งเป้าไปที่ผลไม้แขวนลอยเท่านั้น ด้วยการเปลี่ยนค่าเริ่มต้น คุณสามารถ ป้องกันการโจมตีอัตโนมัติส่วนใหญ่ ได้

คำนำหน้าฐานข้อมูลปัจจุบันของคุณถูกจัดเก็บไว้ในไฟล์ wp-config.php ในไดเร็กทอรีรากของ WordPress ค่าเริ่มต้นมีลักษณะดังนี้

 $table_prefix = 'wp_';

คุณสามารถแทนที่คำนำหน้า "wp_" ด้วยคำนำหน้าใหม่ที่ไม่ซ้ำใครได้ตามต้องการ โปรดทราบว่าคุณได้รับอนุญาตให้ใช้ตัวอักษร ตัวเลข และขีดล่างเท่านั้น ตัวอย่างเช่น:

 $table_prefix = 'my_custom_prefix_123_';

หลังจากที่คุณบันทึกการเปลี่ยนแปลงไปยังไฟล์ wp-config.php แล้ว คุณจะต้องอัปเดตตาราง SQL ที่มีอยู่ด้วยชื่อใหม่ด้วยตนเอง หากคุณไม่แน่ใจ ว่า ต้องทำอย่างไร คุณสามารถใช้ปลั๊กอิน เช่น Brozzme DB Prefix

ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ

การใช้คุณลักษณะการออกจากระบบอัตโนมัติใน WordPress สามารถช่วยปรับปรุงความปลอดภัยของไซต์ของคุณโดยยุติเซสชันของผู้ใช้โดยอัตโนมัติหลังจากไม่มีการใช้งานตามระยะเวลาที่กำหนด คุณลักษณะนี้สามารถช่วยป้องกันการเข้าถึงไซต์ของคุณโดยไม่ได้รับอนุญาตในกรณีที่ผู้ใช้ลืมออกจากระบบหรือหากปล่อยอุปกรณ์ทิ้งไว้โดยไม่มีใครดูแล

หากต้องการใช้คุณลักษณะการออก จาก ระบบอัตโนมัติใน WordPress คุณสามารถใช้ปลั๊กอิน เช่น การออกจากระบบแบบไม่ใช้งาน การทำเช่นนี้จะช่วยปกป้องความเป็นส่วนตัวของผู้ใช้โดยทำให้มั่นใจว่าบุคคลที่ไม่ได้รับอนุญาตไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้

หลังจากรายงานการดำเนินการ – ดำเนินการตั้งแต่วันนี้เพื่อปกป้องไซต์และชื่อเสียงของคุณ

30,000 เว็บไซต์ถูกแฮ็กทุกวัน และด้วย WordPress ที่ขับเคลื่อน 43% ของเว็บ นั่นหมายถึงเว็บไซต์ WordPress 12,900 แห่งที่อาจถูกบุกรุกอย่างจริงจังทุกวัน

ขออภัย คำแนะนำที่มีให้ทางออนไลน์โดยระบุรายละเอียดวิธีรักษาความปลอดภัยของเว็บไซต์ WordPress นั้นคลุมเครือ ล้าสมัย หรือผิดธรรมดา นี่เป็นคำแนะนำที่ไม่ดี การพึ่งพาปลั๊กอินของบุคคลที่สามเพียงอย่างเดียว และข้อสันนิษฐานที่ว่าเมื่อตั้งค่าความปลอดภัยแล้ว คุณจะลืมมันไปได้ ซึ่งส่งผลให้เกิดการละเมิดจำนวนมาก

แม้ว่าการรักษาความปลอดภัยจะไม่มีวัน 'เสร็จสิ้น' แต่ก็ไม่จำเป็นต้องปวดหัว และคำแนะนำส่วนใหญ่ในบทความนี้ค่อนข้างตรงไปตรงมาสำหรับคนส่วนใหญ่ แน่นอนว่าการมีบริษัทเว็บโฮสติ้งที่แข็งแกร่งซึ่งให้ความสำคัญกับความปลอดภัยอย่างจริงจังเท่าที่ควรเป็นขั้นตอนแรกที่สำคัญสำหรับคนส่วนใหญ่

คำถามใด ๆ เกี่ยวกับการรักษาไซต์ WordPress ของคุณให้ปลอดภัย?อย่าลังเลที่จะติดต่อกับเรา และเรายินดีที่จะแนะนำคุณว่า Servebolt Cloud สามารถช่วยให้คุณมอบประสบการณ์ที่ดีที่สุดเท่าที่จะเป็นไปได้ให้กับผู้เยี่ยมชมของคุณได้อย่างไร หรือหากคำแนะนำนี้ได้ตอบคำถามของคุณทั้งหมดแล้ว และคุณพร้อมที่จะลองใช้แนวทางของ Servebolt...

สนใจโฮสติ้งที่ได้รับการจัดการซึ่งเร็วกว่าอย่างเห็นได้ชัดหรือไม่? ลองใช้วิธี การโฮสติ้ง WordPress ของเรา :

• ความสามารถในการปรับขนาด: ในการทดสอบเวิร์กโหลดของผู้ใช้จริง Servebolt ให้เวลาตอบสนองเฉลี่ยที่ 65 มิลลิวินาที ซึ่งเร็วกว่าเวลาตอบสนองอันดับสองถึง 4.9 เท่า
• เวลาในการโหลดทั่วโลกเร็วที่สุด: เวลาในการโหลดหน้าเว็บเฉลี่ย 1.26 วินาที ทำให้เราอยู่ในอันดับต้น ๆ ของรายการผลการทดสอบ WebPageTest ทั่วโลก
• ความเร็วในการประมวลผลที่เร็วที่สุด: เซิร์ฟเวอร์ Servebolt ให้ความเร็วของฐานข้อมูลที่ไม่เคยได้ยินมาก่อน ประมวลผลการสืบค้นต่อวินาทีมากกว่าค่าเฉลี่ย 2.44 เท่า และรัน PHP เร็วกว่าความเร็วอันดับสองถึง 2.6 เท่า!
• ความปลอดภัยและเวลาทำงานที่สมบูรณ์แบบ: ด้วยเวลาทำงาน 100% บนจอภาพทั้งหมดและคะแนน A+ จากการใช้งาน SSL ของเรา คุณจึงมั่นใจได้ว่าไซต์ของคุณออนไลน์และปลอดภัย