10 เคล็ดลับเล็ก ๆ ที่เป็นที่รู้จักและมีประสิทธิภาพสูงเพื่อรักษาความปลอดภัยบล็อก WordPress ของคุณ
การบล็อกแฮ็กและการสูญเสียบล็อกเป็นเวลาหลายปีหลายปีในการทำงานในชั่วข้ามคืนเป็นความจริงที่น่าเศร้าที่ผู้คนเคยผ่านมา ในความเป็นจริงการวิจัยแสดงให้เห็นว่ามีเว็บไซต์ที่ถูกแฮ็ก 37,000 เว็บไซต์ทุกวันและด้วย WordPress ที่มีกำลังประมาณ 25.4% ของเว็บไซต์ทั้งหมดคุณสามารถมั่นใจได้ว่าบล็อก WordPress มีการแฮ็กข้อมูลทุกวัน.
ความปลอดภัยของ WordPress เป็น ballgame ที่แตกต่างอย่างสิ้นเชิง เมื่อคุณเป็นเจ้าของบล็อก WordPress เคล็ดลับเช่นการมีชื่อผู้ใช้ที่คาดเดาได้ยากและรหัสผ่านที่ยากพอ ๆ กับหินก็ไม่เพียงพออีกต่อไป ชุดรูปแบบ buggy เดียวปลั๊กอินที่ไม่ถูกต้องหรือไฟล์ที่ป้องกันไม่ถูกต้อง อาจส่งผลให้บล็อกของคุณถูกแฮ็คในชั่วข้ามคืน.
ไม่ว่าคุณจะไม่มีประสบการณ์กับ WordPress หรือคุณใช้แพลตฟอร์มตั้งแต่มีอยู่บทความนี้มี 10 วิธีปฏิบัติและอาหารมื้อเย็นที่มีประสิทธิภาพในการรักษาความปลอดภัยบล็อก WordPress ของคุณ ที่ทุกคนสามารถนำไปใช้ได้ คุณจะไม่พบเคล็ดลับส่วนใหญ่ในบทความ "วิธีรักษาความปลอดภัยบล็อกของคุณ" ที่ได้รับความนิยม แต่พวกเขาสามารถบันทึกบล็อกของคุณได้ดีในหนึ่งวัน!
1. ปิดการใช้งาน WordPress Theme & Plugin Editor
WordPress มีคุณสมบัติที่ใช้งานง่ายที่ช่วยให้เจ้าของเว็บไซต์มีความยืดหยุ่นมากขึ้นโดยอนุญาตให้พวกเขาปรับแต่งและแก้ไขธีมและปลั๊กอินได้จากแดชบอร์ดของ WordPress แต่คุณลักษณะนี้เป็นการยกเลิกบล็อกส่วนใหญ่.
ด้วยคุณสมบัตินี้ ข้อผิดพลาดเล็กน้อยอาจทำให้เว็บไซต์ของคุณเสียหายและทำให้คุณออกจากเว็บไซต์ของคุณเอง. แฮกเกอร์สามารถแทรกโค้ดที่เป็นอันตรายลงในชุดรูปแบบของคุณเพื่อให้พวกเขาเข้าถึงเว็บไซต์ของคุณได้อย่างลับๆหรือแม้แต่เข้ายึดไซต์ของคุณอย่างสมบูรณ์โดยการควบคุมบัญชีที่มีสิทธิ์เพียงพอที่จะใช้ตัวแก้ไขธีมและปลั๊กอิน.
คุณสามารถป้องกันตนเองได้โดยปิดใช้งานปลั๊กอินและตัวแก้ไขธีม, ทำให้ไม่สามารถแก้ไขธีมและปลั๊กอินของคุณโดยไม่ต้องเข้าถึง FTP.
ทำสิ่งนี้โดยการเพิ่มรหัสต่อไปนี้ไปยังไฟล์ wp-config.php ของคุณ:
define ('DISALLOW_FILE_EDIT', จริง);
2. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย
การพิสูจน์ตัวตนแบบสองปัจจัยกำลังกลายเป็นหนึ่งในวิธีที่เชื่อถือได้มากที่สุดในการปกป้องบัญชีออนไลน์ของคุณและเว็บไซต์ที่น่าเชื่อถือที่สุดจะยืนยันว่าผู้ใช้เปิดใช้งาน.
แม้ว่า WordPress ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์แบบสองปัจจัย แต่คุณสามารถเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยในบล็อกของคุณได้โดยติดตั้งปลั๊กอินต่อไปนี้:
- Google Authenticator
- Authy
- กุญแจเสียง
- Rublon
3. จำกัด การเข้าสู่ระบบตามจำนวนความพยายามที่ล้มเหลว
มีหลายวิธีที่แฮ็กเกอร์พยายามเข้าถึงบล็อกของคุณและหนึ่งในเทคนิคที่ใช้บ่อยที่สุดคือการโจมตีที่ดุร้ายแฮ็กเกอร์พยายามรวมชื่อผู้ใช้และรหัสผ่านซ้ำแล้วซ้ำอีกจนกว่าเขาจะสามารถเข้าถึงได้สำเร็จ บล็อกของคุณ.
ตามค่าเริ่มต้น WordPress ไม่ได้รับการปกป้องจากการโจมตีนี้ ด้วยการติดตั้งปลั๊กอินที่ จำกัด การเข้าสู่ระบบหลังจากความพยายามที่ล้มเหลวจำนวนหนึ่งจาก IP เฉพาะคุณสามารถทำให้แฮกเกอร์เข้าถึงบล็อกของคุณได้ยากขึ้น.
ปลั๊กอิน Jetpack Protect Module ยังสามารถป้องกันคุณจากการโจมตีแบบไม่เจาะจง.
4. สแกนบล็อกของคุณเป็นประจำ
สามารถใช้ไฟล์ธีมปลั๊กอินลิงก์และองค์ประกอบที่ไม่เป็นอันตรายอื่น ๆ เพื่อเข้าถึงบล็อกของคุณ อย่ารอจนกว่าเว็บไซต์ของคุณจะติดไวรัสอย่างสมบูรณ์ก่อนที่คุณจะดำเนินการ แต่ให้ติดตั้งปลั๊กอินตรวจสอบความปลอดภัยเพื่อสแกนเว็บไซต์ของคุณเป็นประจำและแจ้งให้คุณทราบหากไฟล์ของคุณเปลี่ยนแปลง.
ตัวอย่างที่ดีของปลั๊กอินการสแกนความปลอดภัยคือ Wordfence นอกจากให้ตัวเลือกในการสแกนบล็อก WordPress ของคุณด้วยตนเองโดยอัตโนมัติแล้วยังแจ้งให้คุณทราบทันทีเมื่อมีกิจกรรมที่น่าสงสัยเกิดขึ้นในบล็อกของคุณ.
นอกจากนี้ยังส่งข้อมูลเกี่ยวกับความคิดเห็นที่อาจเป็นอันตรายและมัน เปรียบเทียบธีมและไฟล์ปลั๊กอินของคุณ ด้วยที่เก็บ WordPress ไปที่ แจ้งให้คุณทราบว่าปลั๊กอินหรือชุดรูปแบบของคุณได้รับการแก้ไขหรือไม่ และอาจทำหน้าที่เป็นแบ็คดอร์สำหรับแฮกเกอร์ในเว็บไซต์ของคุณ.
ปลั๊กอินความปลอดภัยอื่น ๆ ที่สามารถช่วยคุณสแกนหามัลแวร์และการหาช่องโหว่คือ:
- Sucuri Security Scanner
- Acunetix WP Security
- iThemes Security (เดิมชื่อ "Better WP Security")
5. เปลี่ยนโฮสต์ของคุณ
ในขณะที่ฟังดูเหมือนคำแนะนำง่ายๆ แต่จริงๆแล้วมันมีน้ำหนักมาก การวิจัยแสดงให้เห็นว่า 41% ของเว็บไซต์ WordPress ถูกแฮ็ก แฮ็คผ่านช่องโหว่ความปลอดภัยบนแพลตฟอร์มโฮสติ้งของพวกเขา. นี่เป็นมากกว่าแหล่งที่มาอื่นรวมถึงการมีรหัสผ่านที่อ่อนแอ.
โฮสต์ของคุณสามารถมีบทบาทสำคัญไม่ว่าคุณจะถูกแฮ็กหรือไม่ก็ตาม ทำให้แน่ใจว่าคุณเท่านั้น ไปสำหรับโฮสต์เว็บที่เชื่อถือได้ซึ่งพิสูจน์การเวลา และนั่น ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม.
6. ซ่อนหมายเลขเวอร์ชั่น WordPress ของคุณ
ตามค่าเริ่มต้น WordPress จะแสดงหมายเลขรุ่นของคุณ สิ่งนี้ทำให้ง่ายสำหรับ WordPress ในการติดตามจำนวนบล็อก WordPress ที่มีอยู่ทั่วโลก อย่างไรก็ตามนี่อาจเป็นสาเหตุของปัญหาใหญ่ แฮกเกอร์และบอทสามารถ สแกนเว็บเพื่อหาบล็อก การใช้ หมายเลขรุ่น WordPress ที่มีช่องโหว่ที่ทราบ, ทำให้คุณเป็นเป้าหมายที่ง่าย.
คุณสามารถแก้ปัญหานี้ได้โดยง่าย ซ่อนหมายเลขรุ่น WordPress ของคุณ. หากต้องการซ่อนหมายเลขรุ่น WordPress ของคุณเพียงเพิ่มรหัสต่อไปนี้ไปยังไฟล์ functions.php ของคุณ:
add_filter ('the_generator', '__return_null');
7. ปิดการใช้งานรายงานข้อผิดพลาดของ PHP
เมื่อปลั๊กอินหรือชุดรูปแบบทำงานได้ไม่ดีในบล็อก WordPress ของคุณรายงานข้อผิดพลาดของ PHP สามารถช่วยได้ด้วยการแสดงข้อความที่แสดงสาเหตุของข้อผิดพลาด อย่างไรก็ตามในข้อได้เปรียบนี้มีข้อเสีย: เมื่อมีการรายงานข้อผิดพลาดของ PHP อยู่ รวมถึงเส้นทางเซิร์ฟเวอร์เต็มของข้อผิดพลาดเปิดเผยข้อมูล แฮกเกอร์ที่สามารถใช้กับคุณ.
คุณสามารถป้องกันตัวเองด้วย ปิดใช้งานการรายงานข้อผิดพลาด PHP. เพียงเพิ่มรหัสต่อไปนี้ไปยังไฟล์ wp-config.php ของคุณ:
(0) error_reporting; @ini_set ('display_errors', 0);
8. ทำงานกับการอนุญาตไฟล์ WordPress ของคุณ
เมื่อกล่าวถึงการป้องกันไม่ให้ไซต์ WordPress ของคุณปลอดภัยจากการถูกโจมตี ตรวจสอบให้แน่ใจว่าคุณมีสิทธิ์ของไฟล์ที่ถูกต้อง. สิ่งนี้ทำให้เป็นเรื่องยากสำหรับแฮกเกอร์ที่จะจัดการกับปลั๊กอินธีมหรือไฟล์บนเซิร์ฟเวอร์ของคุณเพื่อครอบครองเว็บไซต์ของคุณ.
ตรวจสอบให้แน่ใจว่า WordPress โฟลเดอร์ การอนุญาตถูกตั้งค่าเป็น 755 หรือ 750; ไฟล์ การอนุญาตถูกตั้งไว้ที่ 640 หรือ 644; และสิทธิ์ wp-config.php นั้นตั้งไว้ที่ 600.
9. ยืนยันการสำรองข้อมูลปกติ
แม้แต่เว็บไซต์ขนาดใหญ่ที่มีทีมผู้เชี่ยวชาญด้านความปลอดภัยและที่ปรึกษาได้รับการแฮ็กและในขณะที่การปฏิบัติที่ดีที่สุดสามารถทำให้เว็บไซต์ของคุณแข็งแกร่งกว่า 99.9% ของเว็บไซต์ แต่สิ่งต่างๆ.
ความปลอดภัยที่ดีที่สุดที่คุณมีต่อการโจมตีของแฮ็ค WordPress คือการสำรองข้อมูลที่ดี ตรวจสอบให้แน่ใจว่าคุณทำการสำรองข้อมูลไซต์ของคุณเป็นประจำ - ถ้าเป็นไปได้ทุกวัน วิธีนี้หากเว็บไซต์ของคุณถูกแฮ็กคุณจะมีไฟล์อยู่ในนั้นและ สามารถเรียกคืนสิ่งต่าง ๆ ได้ทันที.
นี่คือปลั๊กอินการสำรองข้อมูล WordPress ที่ดีที่สุดบางส่วน:
- BackUpWordPress
- พร้อม! การสำรองข้อมูล
- VaultPress
- BackupBuddy
10. จำกัด การเข้าถึงหน้าเข้าสู่ระบบของคุณ
เมื่อมีแรงผลักดันเข้ามาคุณอาจต้องทำอะไรที่รุนแรง วิธีที่เชื่อถือได้มากในการป้องกันบล็อกของคุณจากการพยายามแฮก ปิดกั้นการเข้าถึงหน้า wp-admin และ wp-login.php ของคุณทั้งหมด.
ขอแนะนำเฉพาะถ้าคุณ ใช้ที่อยู่ IP หนึ่งที่ไม่เปลี่ยนแปลง (คุณไม่ต้องการล็อคตัวเองออกจากบล็อกของคุณ!) คุณยังสามารถใช้ตัวเลือกนี้หากคุณใช้มากกว่าหนึ่งที่อยู่ IP แต่ติดตามที่อยู่เหล่านั้น.
เพื่อ จำกัด การเข้าถึงหน้าเข้าสู่ระบบของคุณเพิ่มรหัสต่อไปนี้ไปยังไฟล์. htaccess ของคุณ:
RewriteEngine บน RewriteCond% REQUEST_URI ^ (. *)? wp-login \ .php (. *) $ [หรือ] RewriteCond% REQUEST_URI ^ (. *)? wp-admin $ RewriteCond% REMOTE_ADDR! ^ ที่อยู่ IP 1 $ RewriteCond% REMOTE_ADDR! ^ ที่อยู่ IP ของคุณ 2 $ RewriteCond% REMOTE_ADDR! ^ ที่อยู่ IP ของคุณ 3 $ RewriteCond% REMOTE_ADDR! ^ ที่อยู่ IP ของคุณ 4 $ RewriteCond% 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
ให้แน่ใจว่าได้แก้ไข ที่อยู่ IP ของคุณ 1 ผ่านไป ที่อยู่ IP ของคุณ 5 ด้วยที่อยู่ IP ที่แตกต่างกันที่คุณต้องการให้เข้าถึง; คุณสามารถเพิ่มหรือลบบรรทัดเพื่ออนุญาตหรือป้องกัน IP เพิ่มเติมจากการเข้าถึงเว็บไซต์ของคุณ.
ข้อสรุป
แน่นอนว่าคุณไม่ควรละเลยเคล็ดลับความปลอดภัยขั้นพื้นฐานเช่นไม่ใช้ชื่อผู้ใช้ที่คาดเดาได้มีรหัสผ่านที่รัดกุมอัปเดตการติดตั้ง WordPress ของคุณเป็นประจำ ฯลฯ อย่างไรก็ตามสิ่งที่กล่าวมาข้างต้นนี้เป็นเคล็ดลับความปลอดภัยที่ไม่ค่อยมีใครรู้จัก บล็อก WordPress ปลอดภัยขึ้นอีกเล็กน้อย.
หมายเหตุบรรณาธิการ: โพสต์ของผู้เยี่ยมชมนี้เขียนขึ้นสำหรับ Hongkiat.com โดย John Stevens. จอห์นคือ ผู้เชี่ยวชาญ WordPress และโฮสติ้ง เขาเป็นผู้ก่อตั้งและซีอีโอของ HostingFacts.com, พอร์ทัลที่เขาตรวจสอบและให้คะแนนเว็บโฮสต์ตามประสิทธิภาพ.