ปัญหาด้านความปลอดภัย 10 อันดับแรกของ WordPress และวิธีแก้ไข

เผยแพร่แล้ว: 2020-09-16
ปัญหาความปลอดภัยของเวิร์ดเพรส
ติดตาม @Cloudways

WordPress เป็นหนึ่งใน CMS โอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายมากที่สุดในโลก มันขับเคลื่อนเว็บไซต์หลายล้านแห่งและมีส่วนแบ่งตลาด 35% สิ่งนี้ทำให้ WordPress เป็น CMS ระดับอัลฟ่าในหมู่บล็อกเกอร์ นักออกแบบ เจ้าของร้านค้า WooCommerce และเจ้าของธุรกิจรายอื่นๆ

แม้จะได้รับความนิยมมาก แต่ผู้ใช้ WordPress หลายคนไม่รู้พื้นฐานในการรักษาความปลอดภัยให้กับไซต์ WordPress ของตน ที่แย่ไปกว่านั้น ผู้ใช้จำนวนมากเชื่อในความเข้าใจผิด (ที่อันตรายมาก) ว่าการติดตั้งใบรับรอง SSL นั้นเพียงพอที่จะรักษาความปลอดภัยให้กับไซต์ของพวกเขา ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องพูดถึงวิธีการต่างๆ ที่มีประสิทธิภาพในการรักษาความปลอดภัยให้กับไซต์ WordPress

Dre Armeda ผู้ร่วมก่อตั้ง Sucuri เชื่อว่า:

“ผู้คนและจะยังคงเป็นปัญหาด้านความปลอดภัยที่ใหญ่ที่สุดกับ WordPress”, Dre Armeda กล่าวถึงความปลอดภัยของ WordPress

ฉันยังเชื่อว่าช่องโหว่ด้านความปลอดภัยของ WordPress ครึ่งหนึ่งเกิดขึ้นจากความประมาทเลินเล่อ นี่เป็นเหตุผลสำคัญว่าทำไมเว็บไซต์ WordPress จึงเป็นเป้าหมายที่ง่ายสำหรับอาชญากรไซเบอร์ ผู้ใช้ที่ใช้งานครั้งแรกจำนวนมากเพียงแค่ติดตั้ง WordPress จากนั้นจึงเชื่อถือการรักษาความปลอดภัยเริ่มต้นของเว็บไซต์ WordPress

ในบทความนี้ ผมจะนำเสนอเคล็ดลับพื้นฐานและเคล็ดลับที่ไม่ธรรมดาบางประการเกี่ยวกับการจัดการกับปัญหาด้านความปลอดภัยของ WordPress

เอาล่ะ!

สารบัญ
  1. ลงทุนในเว็บโฮสติ้งที่เหมาะสม
  2. รับการสำรองข้อมูลตามกำหนดเวลา
  3. สร้างรหัสผ่านที่รัดกุม
  4. จำกัดความพยายามในการเข้าสู่ระบบ
  5. เปลี่ยน URL เข้าสู่ระบบ WordPress และชื่อผู้ใช้เริ่มต้น
  6. อัปเดตผู้ใช้ WordPress อยู่เสมอ
  7. ลบปลั๊กอินหรือธีมที่ไม่ได้ใช้
  8. ป้องกันการแทรก SQL และการแฮ็ก URL
  9. ปฏิเสธการเข้าถึงไฟล์ที่ละเอียดอ่อนใน WordPress
  10. ซ่อนเวอร์ชัน WordPress & เปลี่ยนคำนำหน้าเริ่มต้นสำหรับฐานข้อมูล
  11. เคล็ดลับโบนัส: Cloudways ช่วยในการรักษาความปลอดภัยไซต์ WordPress ได้อย่างไร

พื้นฐาน

ความปลอดภัยของ WordPress นั้นส่วนใหญ่เกี่ยวกับการแก้ไขและสามัญสำนึกทั่วไป แนวคิดคือการใช้การแก้ไขที่ลดปัญหาด้านความปลอดภัยของ WordPress ที่เป็นที่รู้จักโดยทั่วไป และเพิ่มความปลอดภัยให้กับเว็บไซต์

เคล็ดลับ #1: ลงทุนในเว็บโฮสติ้งที่เหมาะสม

ความปลอดภัยของเว็บไซต์เริ่มต้นด้วยผู้ให้บริการโฮสติ้ง WordPress ที่มีการจัดการที่ปลอดภัย สิ่งนี้ได้กลายเป็นส่วนสำคัญในการสร้างตัวตนออนไลน์ของคุณ เว็บโฮสต์ที่ปลอดภัยไม่เพียงแต่จะมีกระบวนการรักษาความปลอดภัยที่พิสูจน์แล้วในอุตสาหกรรมเท่านั้น แต่ยังพร้อมช่วยเหลือคุณในกรณีที่มีสิ่งผิดปกติเกิดขึ้นกับเว็บไซต์ของคุณ ผู้ให้บริการดังกล่าวเกือบทุกรายมีกลยุทธ์การกู้คืนข้อมูลหลังภัยพิบัติที่มีประสิทธิภาพซึ่งจะเริ่มดำเนินการในกรณีที่เว็บไซต์ของคุณประสบอุบัติการณ์

เพื่อให้คุณมีแนวคิดเกี่ยวกับตัวเลือกเว็บโฮสติ้ง โซลูชันเว็บโฮสติ้งห้าประเภทที่คุณสามารถโฮสต์เว็บไซต์ WordPress ของคุณได้:

แชร์โฮสติ้ง: เครื่องเซิร์ฟเวอร์เครื่องเดียวใช้ร่วมกันระหว่างบัญชีผู้ใช้หลายบัญชี หากบัญชีเดียวถูกแฮ็ก เซิร์ฟเวอร์ทั้งหมดจะถูกบุกรุก ในหลายกรณี เซิร์ฟเวอร์ไม่ได้รับการปกป้องจริงๆ เพราะมีช่องโหว่มากเกินไป

โฮสติ้งเฉพาะ: คุณเป็นเจ้าของเซิร์ฟเวอร์จริง ๆ และมีเพียงเว็บไซต์ของคุณเท่านั้นที่โฮสต์บนเซิร์ฟเวอร์ เนื่องจากคุณเป็นเจ้าของเซิร์ฟเวอร์ ความปลอดภัยของเซิร์ฟเวอร์จึงจำกัดอยู่ที่ความเชี่ยวชาญของคุณในการรักษาความปลอดภัยทางไซเบอร์

โฮสติ้ง VPS: ในการโฮสต์ VPS คุณจะได้รับส่วนเฉพาะของเครื่องจริง เช่นเดียวกับโฮสติ้งเฉพาะ คุณเป็นผู้รับผิดชอบด้านความปลอดภัย หากคุณไม่เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ คุณอาจต้องเรียนรู้อย่างรวดเร็วหรือใช้เงินเป็นจำนวนมากในการเอาต์ซอร์ซด้านความปลอดภัยของเซิร์ฟเวอร์ของคุณ

คลาวด์โฮสติ้ง: ในโซลูชันคลาวด์โฮสติ้ง คุณเป็นเจ้าของส่วนหนึ่งของเครือข่ายของเครื่องเซิร์ฟเวอร์จริงที่เชื่อมต่ออยู่ โซลูชันคลาวด์โฮสติ้งมีความปลอดภัยตามคำจำกัดความ แต่ในฐานะเซิร์ฟเวอร์เฉพาะ คุณต้องทุ่มเทความพยายามและเวลาในการรักษาความปลอดภัยอย่างมาก

Managed Cloud Hosting: ตามชื่อของมัน โซลูชันโฮสติ้งบนคลาวด์ที่มีการจัดการจะจัดการทุกด้านของเซิร์ฟเวอร์คลาวด์ของคุณ ซึ่งรวมถึงความปลอดภัย ประสิทธิภาพ และการอัปเดตฝั่งเซิร์ฟเวอร์ นี่คือสิ่งที่ Cloudways ทำ – มีการรักษาความปลอดภัยหลายชั้น (ชั้นหนึ่งเป็นไฟร์วอลล์ระดับแพลตฟอร์ม) ส่งผลให้มีสภาพแวดล้อมการโฮสต์ที่ปลอดภัย คุณจึงไม่ต้องกังวลเกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์ของคุณ

ความปลอดภัยเมื่อยล้า รู้สึกท่วมท้น?

ลองใช้ Cloudways เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ

ปรับปรุงตอนนี้!

เคล็ดลับ #2: ใช้ประโยชน์จากการสำรองข้อมูลตามกำหนดเวลา

เมื่อมองแวบแรก การสำรองข้อมูลตามกำหนดเวลาอาจดูไม่เหมือนมาตรการรักษาความปลอดภัยของ WordPress อย่างไรก็ตาม ขั้นตอนสำคัญนี้สามารถพิสูจน์ได้ว่าเป็นผู้ช่วยชีวิตเมื่อเกิดภัยพิบัติ ในกรณีเช่นนี้ การสำรองข้อมูลเว็บไซต์เป็นวิธีที่ดีในการทำให้ไซต์กลับมาออนไลน์อีกครั้งภายในไม่กี่ชั่วโมงหลังเกิดภัยพิบัติ

การสำรองข้อมูล WordPress สามารถทำได้สองระดับ: การสำรองข้อมูลนอกสถานที่และ/หรือการสำรองข้อมูลผ่านผู้ให้บริการโฮสต์

1- การสำรองข้อมูล WordPress นอกสถานที่

การสำรองข้อมูลไซต์ WordPress ทำได้ง่ายมาก ต้องขอบคุณปลั๊กอิน UpdraftPlus ที่สำรองข้อมูลไซต์ WordPress ไปยังโซลูชันการจัดเก็บข้อมูลภายนอกไซต์ เช่น Dropbox, Google Drive และ Amazon S3

หากคุณต้องการสำรวจแนวคิดโดยละเอียด นี่คือคำแนะนำโดยละเอียดในการสำรองข้อมูลไซต์ WordPress

หมายเหตุ: 2- การสำรองข้อมูล WordPress ในพื้นที่

การสำรองข้อมูลไซต์ WordPress บนเซิร์ฟเวอร์ของผู้ให้บริการโฮสต์จะสร้างการสำรองข้อมูลในเครื่อง ผู้ให้บริการโฮสติ้งบนคลาวด์ของ WordPress หลายรายมีกระบวนการสำรองข้อมูลในเครื่อง ซึ่งเซิร์ฟเวอร์ทั้งหมดสามารถสำรองข้อมูลโดยอัตโนมัติหรือด้วยตนเองบนเซิร์ฟเวอร์เดียวกัน

หากคุณเป็นลูกค้า Cloudways คุณอยู่ในมือที่ดี คุณสามารถสำรองข้อมูลในเครื่องได้ (เซิร์ฟเวอร์เดียวกัน) และสามารถสำรองข้อมูลเซิร์ฟเวอร์ทั้งหมดบน Amazon S3 ได้ ดูคำแนะนำในการสำรองข้อมูลเซิร์ฟเวอร์ WordPress

เคล็ดลับ #3: มีรหัสผ่านที่รัดกุม

รหัสผ่านที่รัดกุมเป็นสิ่งที่ต้องทำเพื่อรักษาความปลอดภัย WordPress ขั้นพื้นฐานแต่มักถูกมองข้าม ซึ่งป้องกันช่องโหว่ต่างๆ ของ WordPress

ตามหลักการแล้ว รหัสผ่านควรคาดเดาได้ยากสำหรับผู้คน และต้องมีตัวอักษรตัวพิมพ์เล็ก เครื่องหมายวรรคตอน และตัวเลข ( เช่น #[email protected]$)

ผู้เชี่ยวชาญยังแนะนำให้ใช้รหัสผ่านที่แตกต่างกันสำหรับเว็บไซต์ต่างๆ เช่น บัญชีโซเชียลมีเดียและบัญชีอีเมล

ในการบังคับใช้รหัสผ่านที่คาดเดายากบนไซต์ของคุณ คุณควรใช้ปลั๊กอินเพื่อบังคับใช้นโยบายรหัสผ่าน WordPress ที่รัดกุม เพื่อให้แน่ใจว่าผู้ใช้ของคุณทุกคนใช้รหัสผ่านที่รัดกุม

การโจมตีด้วยกำลังดุร้าย: รหัสผ่านที่รัดกุมคือการป้องกันครั้งแรกของคุณจากการโจมตีด้วยกำลังเดรัจฉานที่พยายามใช้ชื่อผู้ใช้และรหัสผ่านต่างๆ ร่วมกันจนกว่าไซต์ของคุณจะถูกบุกรุก รหัสผ่านที่ไม่รัดกุมไม่สามารถใช้ได้กับการโจมตีแบบเดรัจฉาน

CAPTCHA ถือเป็นหนึ่งในการป้องกันการโจมตีแบบเดรัจฉานที่ดีที่สุด ก่อนหน้านี้ Google ได้เริ่มโครงการ “Google Invisible reCAPTCHA” ซึ่งผู้เยี่ยมชมไม่ต้องไปหาสัตวแพทย์ด้วยตนเอง โดยค่าเริ่มต้น จะมองไม่เห็นและเริ่มทำงานเมื่อ Google สงสัยว่าผู้เยี่ยมชมไม่ใช่มนุษย์เท่านั้น

อ่านเพิ่มเติมเกี่ยวกับการเพิ่ม reCAPTCHA ที่มองไม่เห็นของ Google ลงใน WordPress

เคล็ดลับ #4: จำกัดความพยายามในการเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress ไม่ได้จำกัดจำนวนครั้งที่ผู้เยี่ยมชมสามารถทดลองใช้ชื่อผู้ใช้และรหัสผ่านได้หลายครั้งเมื่อเข้าสู่ระบบ นี่คือเหตุผลเบื้องหลังปัญหาด้านความปลอดภัยของ WordPress ที่ผู้ใช้ไม่ได้ตั้งใจ

เพื่อป้องกันสิ่งนี้และเพิ่มระดับความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ WordPress ผู้ดูแลไซต์ควรติดตั้งปลั๊กอินจำกัดการพยายามเข้าสู่ระบบที่ป้องกันไม่ให้แฮกเกอร์ใช้ประโยชน์จากปัญหานี้ และติดตั้งการโจมตีแบบเดรัจฉานในเว็บไซต์ของคุณ

เครื่องมืออันชาญฉลาดนี้บล็อก IP ของแฮ็กเกอร์ที่เป็นไปได้ที่พยายามโจมตีบนแผงการดูแลไซต์ WordPress ของคุณ ปลั๊กอินทำได้โดยจำกัดจำนวนครั้งที่ล้มเหลวต่อผู้ใช้

Use Two-Factor Authentication : Two-Factor Authentication (2FA) เป็นวิธีปฏิบัติด้านความปลอดภัยมาตรฐานอุตสาหกรรมที่ใช้ข้อมูลรับรองสองชั้นเพื่อลดโอกาสในการเข้าสู่ระบบเว็บไซต์โดยไม่ได้รับอนุญาต หากคุณต้องการเพิ่ม 2FA ลงในเว็บไซต์ WordPress ของคุณ คุณสามารถเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยในไซต์ WordPress ได้

เคล็ดลับ #5: เปลี่ยน URL เข้าสู่ระบบ WordPress และชื่อผู้ใช้เริ่มต้น

หลังจากเปิดตัว WordPress คุณสามารถไปที่แผงการดูแลระบบและเปลี่ยนไซต์ของคุณตามความต้องการของคุณ เป็นไปไม่ได้หากคุณไม่มีสิทธิ์เข้าถึงแดชบอร์ดผู้ดูแลระบบ WordPress

เปลี่ยน URL การเข้าสู่ระบบ WordPress : การเปลี่ยน URL การเข้าสู่ระบบของผู้ดูแลระบบ WP เริ่มต้นทำให้แฮกเกอร์เปิดการโจมตีด้วยกำลังดุร้ายในเว็บไซต์ของคุณได้ยาก ขั้นตอนง่าย ๆ นี้ช่วยเสริมความปลอดภัยให้กับไซต์ WordPress ของคุณอย่างมาก

แม้ว่าจะมีปลั๊กอินมากมาย แต่ฉันขอแนะนำปลั๊กอิน WPS Hide Login เพื่อเปลี่ยน URL ผู้ดูแลระบบ WordPress เริ่มต้น ปลั๊กอินมีการติดตั้งมากกว่า 700,000+ รายการและมีบทวิจารณ์ระดับ 5 ดาว

เปลี่ยนชื่อผู้ใช้เริ่มต้นของ WordPress : ช่องโหว่ความปลอดภัยขั้นพื้นฐานที่สุดที่คุณมีบนเว็บไซต์คือชื่อผู้ใช้ของผู้ดูแลระบบ “admin” นั่นง่ายเกินไปที่จะคาดเดา แม้ว่าคุณจะสามารถใช้ปลั๊กอินเพื่อเปลี่ยนชื่อผู้ใช้นี้ได้ แต่ก็มีวิธีที่ง่ายกว่าสำหรับสิ่งนี้: ไปที่แดชบอร์ด สร้างผู้ใช้ใหม่และกำหนดบทบาทของ "ผู้ดูแลระบบ" ให้กับผู้ใช้

บทบาทผู้ใช้ WordPress ที่แตกต่างกัน : WordPress อนุญาตให้ผู้ใช้หลายคนมีส่วนร่วมในไซต์ WordPress โดยใช้บทบาทที่กำหนดไว้ล่วงหน้า ในฐานะผู้ดูแลเว็บไซต์ คุณสามารถแก้ไขหรือสร้างบทบาทของผู้ใช้แยกต่างหากได้โดยทำตามคำแนะนำเกี่ยวกับบทบาทผู้ใช้ WordPress ที่กำหนดเอง

เคล็ดลับ #6: อัปเดต WordPress อยู่เสมอ

ทีม WordPress เผยแพร่การอัปเดตไฟล์หลักเป็นประจำ แพตช์เหล่านี้มีให้ใช้งานในรูปแบบไฟล์การติดตั้งในตัวเอง ซึ่งจะแก้ไขปัญหาที่ทราบและโดยทั่วไปจะเสริมความปลอดภัยให้กับเว็บไซต์ WordPress

การดูแลรักษา CMS ของเว็บไซต์เป็นสิ่งสำคัญในการรันเว็บไซต์ เจ้าของไซต์ควรใช้โปรแกรมแก้ไขภายในไม่กี่ชั่วโมงหลังจากเผยแพร่ เนื่องจากมีโอกาสที่ผู้โจมตีจะเดินด้อม ๆ มองๆ สำหรับเว็บไซต์ที่มีช่องโหว่อยู่เสมอ

สิ่งนี้ใช้กับปลั๊กอินและธีมที่ติดตั้งไว้ด้วย นักพัฒนาปลั๊กอินติดตามวงจรการเปิดตัวของไฟล์หลักของ WordPress เพื่อให้แน่ใจว่าปลั๊กอินจะก้าวทันกับ WordPress เวอร์ชันที่ใหม่กว่า

หมายเหตุ: ทดสอบแพตช์ที่ สภาพแวดล้อม การแสดงละครของ WordPress เสมอ เพื่อให้แน่ใจว่าทุกอย่างยังคงทำงานตามที่ตั้งใจไว้ หากโฮสติ้งของคุณไม่มีสภาพแวดล้อมการจัดเตรียม ฉันขอแนะนำให้สำรองข้อมูลก่อนแล้วเริ่มอัปเดต

ในทางกลับกัน หากคุณใช้โฮสติ้ง WordPress ที่มีการจัดการ วิศวกรจะดูแลแก้ไขไฟล์หลักของ WordPress และทำให้แน่ใจว่าความปลอดภัยจะไม่ถูกบุกรุก ภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุดสำหรับตัวเอง

เคล็ดลับ #7: ลบปลั๊กอินหรือธีมที่ไม่ได้ใช้

การทดสอบธีมและปลั๊กอินใหม่เป็นวิธีที่ดีในการได้รับประสบการณ์ตรงจากรุ่นล่าสุด อย่างไรก็ตาม เมื่อการทดสอบสิ้นสุดลง ผู้ใช้ WordPress มักจะปิดใช้งานปลั๊กอินแทนการถอนการติดตั้งที่เหมาะสม

โปรดทราบว่าธีมและปลั๊กอินที่ไม่ได้ใช้หรือไม่ได้ใช้งานถือเป็นภัยคุกคามร้ายแรงต่อเว็บไซต์ WordPress ดังนั้นจึงมีความสำคัญอย่างยิ่งที่ปลั๊กอินและธีมทั้งหมดที่ไม่ได้ใช้งานควรถูกลบทันทีเพื่อให้แน่ใจว่าไม่มีข้อมูลเหลืออยู่ในฐานข้อมูล WordPress นี่คือคำแนะนำที่เหมาะสมเกี่ยวกับวิธีการถอนการติดตั้งปลั๊กอิน WordPress อย่างถูกต้อง

เพื่อเป็นการป้องกันไว้ก่อนโดยทั่วไป ให้ดาวน์โหลดธีมและปลั๊กอินเวอร์ชันล่าสุดจากแหล่งข้อมูลที่เชื่อถือได้เสมอ เพื่อให้แน่ใจว่าปลั๊กอินหรือธีมจะไม่เปิดช่องโหว่ด้านความปลอดภัยใหม่ในไซต์ของคุณ

พื้นฐานที่ไม่ธรรมดา

เมื่อคุณมีความเข้าใจพื้นฐานของความปลอดภัยของ WordPress แล้ว ก็ถึงเวลาตรวจสอบเคล็ดลับขั้นสูงต่อไปนี้เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณ

เคล็ดลับ #8: ป้องกันการแทรก SQL และการแฮ็ก URL

การฉีด SQL เป็นการโจมตีที่ผู้โจมตีฝังคำสั่ง SQL ในส่วนต่างๆ ของเว็บไซต์ (โดยเฉพาะช่องแสดงความคิดเห็นและพื้นที่ข้อความ) คำสั่งเหล่านี้สามารถประนีประนอมฐานข้อมูล SQL และอาจเปิดเผยข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในฐานข้อมูล

การปรับเปลี่ยน URL โดยการเพิ่มคำสั่ง PHP เป็นภัยคุกคามต่อความปลอดภัยของ WordPress อีกประการหนึ่ง ซึ่งผู้โจมตีสามารถเรียกการโจมตีฐานข้อมูลและส่วนประกอบอื่นๆ ของเว็บไซต์ได้

เว็บไซต์ WordPress ส่วนใหญ่โฮสต์บนเซิร์ฟเวอร์ Apache ที่มีเคล็ดลับอันชาญฉลาดในการตอบโต้การโจมตีเหล่านี้ เซิร์ฟเวอร์ Apache ทั้งหมดมีไฟล์ .htaccess ที่กำหนดกฎการเข้าถึงสำหรับเว็บไซต์

เพื่อลดอุบัติการณ์ของการฉีด SQL และการแฮ็ก URL ให้เพิ่มโค้ดต่อไปนี้ในไฟล์ .htaccess เพื่อวางกฎเกณฑ์ที่เข้มงวด

 <IfModule mod_rewrite.c>
RewriteEngine บน
รีไรท์เบส /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
แท็ก RewriteCond %{QUERY_STRING}\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|e|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(&#x22;|&#x27;|&#x3C;|&#x3E;|&#x5C;|&#x7B;|&#x7C;).* [NC,OR] ]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|เข้ารหัส|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(คำขอ|เลือก|แทรก|สหภาพ|ประกาศ).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

อย่างที่คุณเห็น รหัส "ฆ่าเชื้อ" ข้อมูลที่เข้าสู่ช่องป้อนข้อมูล นอกจากนี้ อินพุตดังกล่าวทั้งหมดจะถือเป็นสตริงแทนคำสั่งเคียวรี SQL

เคล็ดลับ #9: ปฏิเสธการเข้าถึงไฟล์ที่ละเอียดอ่อนใน WordPress

การติดตั้ง WordPress ประกอบด้วยไฟล์ที่มีความละเอียดอ่อนหลายไฟล์ เช่น ไฟล์ wp-config.php , install.php และ readme.html ไฟล์เหล่านี้ต้องถูกซ่อนจากการเข้าถึงภายนอกทั้งหมด

อีกครั้ง .htaccess เป็นเพื่อนที่ดีที่สุดของคุณ คุณสามารถเพิ่มบรรทัดต่อไปนี้ในไฟล์เพื่อป้องกันไม่ให้ไฟล์สำคัญเสียหาย ข้อมูลโค้ดต่อไปนี้ยังป้องกันการเข้าถึงรายการไดเร็กทอรีของผู้ใช้และซ่อนเซิร์ฟเวอร์ที่ละเอียดอ่อนและไฟล์ WordPress จากการเข้าถึงโดยไม่ได้รับอนุญาต

 ตัวเลือก ทั้งหมด -ดัชนี

<ไฟล์ .htaccess>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

<ไฟล์ readme.html>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

<ไฟล์ license.txt>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

<ไฟล์ install.php>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

<ไฟล์ wp-config.php>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

<files error_log>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

<files fantastico_fileslist.txt>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

<ไฟล์ fantversion.php>
อนุญาติให้ปฏิเสธ
ปฏิเสธทั้งหมด
</files>

หากคุณต้องการเจาะลึกเกี่ยวกับการใช้ไฟล์ .htaccess เพื่อเพิ่มประสิทธิภาพ WordPress ของคุณ นี่คือคำอธิบายโดยละเอียดของไฟล์ WordPress .htaccess

เคล็ดลับ #10: เปลี่ยนคำนำหน้าเริ่มต้นสำหรับฐานข้อมูล

ซ่อนเวอร์ชันของ WordPress : ตามค่าเริ่มต้น WordPress จะเพิ่มหมายเลขเวอร์ชันปัจจุบันไปที่ส่วนหัวของธีมโดยอัตโนมัติ เคล็ดลับด้านความปลอดภัยที่ยอดเยี่ยมคืออย่าแสดงเวอร์ชัน WordPress ต่อสาธารณะ เพียงเพราะว่าผู้โจมตีสามารถเปิดการโจมตีต่อช่องโหว่ที่รู้จักทั้งหมดของเวอร์ชันที่กล่าวถึงในส่วนหัว

ควรรวมบรรทัดโค้ดง่ายๆ ต่อไปนี้ไว้ในไฟล์ functions.php ของธีมของคุณเพื่อซ่อนเวอร์ชัน WordPress

 remove_action( 'wp_head', 'wp_generator' );

เปลี่ยนคำนำหน้า WordPress เริ่มต้นสำหรับฐานข้อมูล : ตารางทั้งหมดในฐานข้อมูล WordPress มีชื่อที่ขึ้นต้นด้วยคำนำหน้า แม้ว่าสิ่งนี้ดูเหมือนจะเป็นคุณสมบัติที่ยอดเยี่ยม แต่สำหรับแฮกเกอร์ WordPress สิ่งนี้ทำให้สิ่งต่าง ๆ ง่ายขึ้นอย่างมากโดยการลบการคาดเดาบางอย่าง

ผู้ใช้สามารถจำกัดการคาดการณ์นี้ได้โดยเปลี่ยนคำนำหน้า WordPress เริ่มต้นของตารางฐานข้อมูลผู้ใช้ขณะติดตั้ง WordPress สิ่งนี้สามารถทำได้สำหรับเว็บไซต์ที่เปิดใช้งานอยู่แล้วโดยจัดการฐานข้อมูลผู้ใช้ในหลาย ๆ ที่ ฉันแนะนำให้ใช้ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดตัวใดตัวหนึ่งที่ใช้การป้องกันที่หลากหลายสำหรับเว็บไซต์ WordPress

Cloudways ช่วยในการรักษาความปลอดภัยไซต์ WordPress

หลังจากคำแนะนำโดยละเอียดเกี่ยวกับการรักษาความปลอดภัยของเว็บไซต์ WordPress แล้ว คุณควรพูดถึงว่า WordPress ไม่สามารถแยกส่วนได้อย่างปลอดภัย ผู้ใช้ WordPress ควรเลือกใช้สภาพแวดล้อมการโฮสต์ที่ปลอดภัยซึ่งมีสภาพแวดล้อมที่ปลอดภัยสำหรับเว็บไซต์

นี่คือวิธีที่ Cloudways มอบสภาพแวดล้อมการโฮสต์ WordPress ที่ปลอดภัย

  • โครงสร้างพื้นฐานคลาวด์ระดับเฟิร์สคลาส : Cloudways ได้ร่วมมือกับผู้ให้บริการโครงสร้างพื้นฐานคลาวด์ระดับแนวหน้าที่มีความปลอดภัยเป็นข้อกังวลอันดับหนึ่งของพวกเขา การโฮสต์ไซต์ WordPress บนคลาวด์ช่วยให้มั่นใจได้ถึงความปลอดภัยในระดับสูง
  • ไฟร์วอลล์ : เซิร์ฟเวอร์ทั้งหมดที่เปิดตัวผ่าน Cloudways มาพร้อมกับไฟร์วอลล์ที่ติดตั้งไว้ล่วงหน้าซึ่งทำหน้าที่เป็นแนวป้องกันด่านแรกของเว็บไซต์
  • การตรวจสอบเซิร์ฟเวอร์ : การตรวจสอบเซิร์ฟเวอร์ช่วยในการระบุการเข้าชมสูงที่ไม่คาดคิดซึ่งอาจทำให้เว็บไซต์ล่มได้
  • การป้องกันบ็อต: การป้องกัน บอทมีจุดมุ่งหมายเพื่อระบุและบล็อกทราฟฟิกที่เป็นอันตราย ปกป้องจากการโจมตี เช่น การโจมตีด้วยพจนานุกรม, Web Scraping และการโจมตีแบบ Brute Force นอกจากนี้ยังช่วยลดการใช้ทรัพยากรเซิร์ฟเวอร์สำหรับแอปพลิเคชัน WordPress การโจมตีเหล่านี้มีเป้าหมายเพื่อเข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาตหรือครอบงำเว็บไซต์ แต่ Bot Protection จะตรวจสอบกิจกรรมทั้งหมดเหล่านี้และบล็อกในเชิงรุกเมื่อตรวจพบ
  • การเข้าถึง SSH & SFTP : ผู้ให้บริการโฮสต์หลายรายยังคงใช้ FTP เพื่อเข้าถึงไฟล์ อย่างไรก็ตาม ด้วย Cloudways SFTP (Secure File Transfer Protocol) การเชื่อมต่อของคุณจะถูกเข้ารหัสและปลอดภัย ถ้าหลายทีมกำลังทำงานในโครงการที่โฮสต์บนเซิร์ฟเวอร์ พวกเขาจะได้รับมอบหมายให้เข้าถึงแอปพลิเคชันเฉพาะแทนทั้งเซิร์ฟเวอร์
  • ระบบปฏิบัติการและแอปพลิเคชันที่อัปเดต : ผู้เชี่ยวชาญที่ Cloudways คอยจับตาดูรุ่นล่าสุดและรับรองความพร้อมใช้งานหลังจากการทดสอบความเสถียรและความเข้ากันได้
  • ข้อมูลรับรองที่สร้างแบบสุ่ม : แอปพลิเคชันทั้งหมดที่เปิดใช้ผ่าน Cloudways มีข้อมูลรับรองที่สร้างแบบสุ่มโดยค่าเริ่มต้นซึ่งยากต่อการคาดเดา
  • การสำรองข้อมูล : ในกรณีที่เกิดภัยพิบัติ การสำรองข้อมูลไซต์เป็นทางเลือกที่ดีที่สุดสำหรับการกู้คืนจากความเสียหายที่รวดเร็วยิ่งขึ้น คุณสามารถตั้งค่าความถี่ในการสำรองข้อมูลได้ต่ำถึงหนึ่งชั่วโมง
  • ใบรับรอง SSL ฟรี : Cloudways ให้การติดตั้งใบรับรอง SSL แบบคลิกเดียวพร้อมคุณสมบัติการต่ออายุอัตโนมัติ
  • สภาพแวดล้อมการจัดเตรียมฟรี: Cloudways เสนอสภาพแวดล้อมการจัดเตรียม WordPress ฟรีเพื่อให้แน่ใจว่าทุกอย่างยังคงทำงานตามที่ตั้งใจไว้
  • 24/7 Live Chat Support : ยังกังวลเกี่ยวกับความปลอดภัยและประสิทธิภาพของเซิร์ฟเวอร์ใช่หรือไม่ การสนับสนุน Cloudways พร้อมให้บริการตลอดเวลา
  • การสนับสนุนทางโทรศัพท์: นี่คือส่วนเสริมการสนับสนุนระดับพรีเมียมหากคุณต้องการความช่วยเหลือใด ๆ คุณสามารถติดต่อและวิศวกรอาวุโสของเราพร้อมตอบกลับโดยตรงได้ตลอดเวลา

คำถามที่พบบ่อย

ถาม: ฉันจะแก้ไข WordPress ไม่ปลอดภัยได้อย่างไร

ตอบ: ทำตามคำแนะนำนี้และดูทุกประเด็นที่ฉันได้กล่าวถึง ฉันหวังว่ามันจะช่วยคุณได้มาก

ถาม: ฉันควรใช้ใบรับรอง SSL เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของฉันหรือไม่

ตอบ: ใช่ คุณควรจะมี บริษัทโฮสติ้งส่วนใหญ่เสนอใบรับรอง SSL แบบคลิกเดียวฟรี

ถาม: WordPress มีปัญหาด้านความปลอดภัยหรือไม่?

ตอบ: WordPress เป็นระบบจัดการเนื้อหา (CMS) ที่ได้รับความนิยมมากที่สุดในปัจจุบัน ด้วยความช่วยเหลือของธีมและปลั๊กอินมากมาย เราสามารถปรับแต่งเว็บไซต์ตามรสนิยมและความชอบได้อย่างง่ายดาย อย่างไรก็ตาม WordPress Security เป็นหนึ่งในประเด็นสำคัญที่หลายคนกังวล

ด้านล่าง

เคล็ดลับความปลอดภัยของ WordPress ช่วยให้มั่นใจได้ถึงเว็บไซต์ที่มีประสิทธิภาพและปลอดภัย อย่างไรก็ตาม หลายคนลืมไปว่าการปกป้องเว็บไซต์ WordPress เป็นกระบวนการต่อเนื่องที่ต้องการความสนใจอย่างต่อเนื่องเมื่อเผชิญกับเครื่องมือและลูกเล่นใหม่ๆ ที่เกิดขึ้นในโลกไซเบอร์

ฉันขอแนะนำอย่างยิ่งให้ผู้ใช้ WordPress เก็บบันทึกสิ่งที่เกิดขึ้นบน WordPress โดยใช้ปลั๊กอินตรวจสอบความปลอดภัย และใช้ปลั๊กอินความปลอดภัย WordPress ที่ต้องการ ซึ่งช่วยเสริมความแข็งแกร่งให้กับสภาพแวดล้อมของ WordPress จากภัยคุกคามด้านความปลอดภัย

รู้สึกอิสระที่จะเพิ่มถ้าคุณคิดว่าฉันพลาดบางสิ่งบางอย่างไป ฉันจะเพิ่มลงในรายการโดยเร็วที่สุด หากคุณมีคำถามใด ๆ โปรดโพสต์ในความคิดเห็นด้านล่าง

คำถามที่พบบ่อย

ถาม WordPress มีปัญหาด้านความปลอดภัยหรือไม่?

เช่นเดียวกับทุกแพลตฟอร์ม WordPress มีปัญหาด้านความปลอดภัยร่วมกัน อย่างไรก็ตาม ปัญหาด้านความปลอดภัยของ WordPress สามารถหลีกเลี่ยงได้อย่างง่ายดาย หากคุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress

ถาม ทำไม WordPress จึงไม่ปลอดภัย?

ปัญหาด้านความปลอดภัยของ WordPress จำนวนมากเกิดขึ้นเนื่องจากผู้ดูแลเว็บไซต์เลือกที่จะเพิกเฉยต่อแนวทางปฏิบัติมาตรฐานเกี่ยวกับปลั๊กอินและธีม ในหลายกรณี สามารถหลีกเลี่ยงสิ่งนี้ได้โดยทำการตรวจสอบความปลอดภัยและดูแลช่องโหว่เพื่อให้เว็บไซต์มีความปลอดภัย

ถาม WordPress ถูกแฮ็กได้ง่ายหรือไม่

ไม่ WordPress เวอร์ชันล่าสุดนั้นค่อนข้างปลอดภัย การรักษาความปลอดภัยขั้นพื้นฐานนี้สามารถปรับปรุงเพิ่มเติมได้โดยการติดตั้งปลั๊กอินการรักษาความปลอดภัยของ WordPress เฉพาะการเลือกธีมและปลั๊กอินจากนักพัฒนาซอฟต์แวร์ที่น่าเชื่อถือ และปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของความปลอดภัยของ WordPress

ถาม ฉันจะปรับปรุงความปลอดภัยของ WordPress ได้อย่างไร

ความปลอดภัยของ WordPress สามารถปรับปรุงได้โดยทำตามคำแนะนำพื้นฐาน:
1. เลือกโซลูชันโฮสติ้งที่ปลอดภัย
2. ติดตั้งใบรับรอง SSL (ข้อกำหนดที่จำเป็นสำหรับเว็บไซต์ธุรกิจ)
3. ตั้งค่าปลั๊กอินความปลอดภัย WordPress ที่เชื่อถือได้
4. ติดตั้งการจำกัดอัตราการเข้าสู่ระบบผ่านปลั๊กอิน
5. ตรวจสอบให้แน่ใจว่า TFA เปิดใช้งานอยู่