ไฟล์และไดเร็กทอรีของ WordPress มีบทบาทสำคัญในการรักษาความปลอดภัยของเว็บไซต์ของคุณ การตั้งค่าอย่างถูกต้องควรเป็นหนึ่งในความสำคัญสูงสุดของคุณหลังจากติดตั้ง WordPress การตั้งค่าการอนุญาตที่เหมาะสมว่าใครสามารถเห็นไฟล์ใดและการดำเนินการใดที่ผู้ใช้สามารถทำได้ จะช่วยปรับปรุงระดับความปลอดภัยของไซต์ของคุณได้อย่างมาก ในบทความนี้ เราจะพูดถึงว่าการปิดใช้งานทั้งการเรียกใช้ PHP และการเรียกดูไดเรกทอรีสามารถปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้อย่างไร
ปิดใช้งานการดำเนินการ PHP:ทำไมและอย่างไร
โฟลเดอร์ WordPress บางโฟลเดอร์ เช่น การอัปโหลด ธีม หรือปลั๊กอิน สามารถเขียนได้ตามค่าเริ่มต้น การอนุญาตประเภทนี้ทำให้ผู้ใช้สามารถอัปโหลดรูปภาพและวิดีโอบนเว็บไซต์ได้ หรือติดตั้งธีมและปลั๊กอินบนเว็บไซต์ ทุกครั้งที่เราติดตั้งปลั๊กอินหรือธีม ไฟล์ใหม่จะถูกเก็บไว้ในโฟลเดอร์ที่เกี่ยวข้อง สิ่งนี้จะเกิดขึ้นไม่ได้หากโฟลเดอร์ Theme และ Plugins ไม่สามารถเขียนได้
สาเหตุหนึ่งที่หลายคนชอบใช้ WordPress เพื่อสร้างเว็บไซต์คือความสามารถในการปรับแต่งเว็บไซต์ได้อย่างง่ายดายด้วยความช่วยเหลือของธีมและปลั๊กอิน ทุกคนสามารถติดตั้งธีมหรือปลั๊กอินบนเว็บไซต์ของตนได้ ซึ่งเป็นไปได้เนื่องจากโฟลเดอร์ Themes และ Plugin สามารถเขียนได้ตามค่าเริ่มต้น แต่น่าเสียดายที่การอนุญาตประเภทนี้ยังเปิดโอกาสให้มีการแฮ็กการโจมตี เช่น การโจมตีแบบฟิชชิ่ง สแปม SEO การโจมตีแบบเดรัจฉาน เป็นต้น แฮกเกอร์สามารถใช้ประโยชน์และอัปโหลดสคริปต์ที่เป็นอันตรายซึ่งสามารถดำเนินการได้จากระยะไกล วิธีนี้จะช่วยให้พวกเขาเข้าถึงไซต์ของคุณได้อย่างเต็มที่ หรือแม้แต่ทำลายเว็บไซต์ของคุณ
สามารถเรียกคืน Mailpoet Hack ที่อนุญาตให้แฮ็กเกอร์อัปโหลดโค้ด PHP ที่เป็นอันตรายไปยังโฟลเดอร์อัปโหลดซึ่งพวกเขาดำเนินการเพื่อควบคุมไซต์
ไม่สะดวกที่จะลบการอนุญาตในการเขียน เพราะคุณจะไม่สามารถอัปโหลดรูปภาพ หรือแม้แต่ติดตั้งปลั๊กอินและธีมลงในไซต์ของคุณได้ แต่สิ่งที่คุณทำได้คือลดขอบเขตของการโจมตีให้สำเร็จโดยปิดการทำงานของ PHP มันจะลบการอนุญาตให้ดำเนินการในบางโฟลเดอร์
วิธีง่ายๆ ในการปิดการทำงานของ PHP คือการวางโค้ดพิเศษในไฟล์ .htacess ของโฟลเดอร์เฉพาะที่คุณต้องการปิดใช้งานการเรียกใช้ PHP
หมายเหตุ: สำรองข้อมูลเว็บไซต์ของคุณก่อนแก้ไขไฟล์ ข้อผิดพลาดเพียงครั้งเดียวในขั้นตอนที่เราจะปฏิบัติตามอาจทำให้ไซต์ของคุณเสียหายหรือทำให้เกิดปัญหาอื่นๆ ข้อมูลสำรองช่วยให้มั่นใจได้ว่าคุณสามารถเปลี่ยนกลับเป็นสำเนาที่ทำงานของเว็บไซต์ได้อย่างรวดเร็วเมื่อเกิดปัญหา
ขั้นตอนที่ 1: หากต้องการปิดการทำงานของ PHP ในโฟลเดอร์อัปโหลด เพียงแค่สร้างไฟล์ .htaccess ในโฟลเดอร์อัปโหลด คุณสามารถค้นหาโฟลเดอร์ใน wp-content ภายใต้ public_html
ขั้นตอนที่ 2: ตอนนี้เปิดแผ่นจดบันทึก (สำหรับ Windows) หรือ TextEdit (สำหรับ Mac) เพื่อสร้างไฟล์ รวมรหัสต่อไปนี้และบันทึกไฟล์นี้เป็น .htaccess (ไม่ใช่ .htaccess.txt):
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule>
# END WordPress ขั้นตอนที่ 3: บันทึกรหัสและอัปโหลดไฟล์ในโฟลเดอร์อัปโหลด
ขั้นตอนที่ 4: ตอนนี้คุณมีไฟล์ .htaccess ใหม่ในโฟลเดอร์อัปโหลด คลิกขวาและเลือกแก้ไข วางโค้ดต่อไปนี้ในไฟล์ .htaccess ใหม่ของคุณ
<FilesMatch “\.(php|php\.)$”> Order Allow,Deny Deny from all </FilesMatch>
ในภาพด้านล่าง เราวางโค้ดไว้ในไฟล์ .htaccess ของเรา
เพื่อให้แน่ใจว่าไฟล์ใดๆ ที่มี “PHP” จะถูกดักจับและป้องกันไม่ให้ดำเนินการ หากแฮ็กเกอร์จัดการอัปโหลดไฟล์ เช่น “mailciousPHPFileDisguisedAsJPEFfile.php.jpg” ไฟล์นั้นจะถูกบล็อกไม่ให้ดำเนินการ
เพื่อความปลอดภัยสูงสุด คุณสามารถเพิ่มรหัสลงในไฟล์ .htaccess ของโฟลเดอร์ปลั๊กอินและธีมได้เช่นกัน
การปิดใช้งานการดำเนินการ PHP ด้วยตนเองนั้นมีความเสี่ยงเล็กน้อย หนึ่งต้องเหยียบอย่างระมัดระวังในตัวจัดการไฟล์ ความผิดพลาดเพียงครั้งเดียวอาจทำให้เกิดความเสียหายร้ายแรงต่อไซต์ของคุณได้ การปิดการทำงานของ PHP โดยใช้ปลั๊กอินทำได้ง่ายกว่าและมีความเสี่ยงน้อยกว่า MalCare Security Service มาพร้อมกับฟีเจอร์ Site Hardening ที่อนุญาตให้ผู้ใช้บล็อกการดำเนินการ PHP
คุณจะต้องใช้รายละเอียด FTP เพื่อเปิดใช้งานคุณลักษณะนี้
การปิดใช้งานการดำเนินการ PHP นั้นทำให้ไซต์ของคุณมีความปลอดภัย แต่เราสามารถดำเนินการต่อไปอีกขั้นเพื่อปิดการใช้งานการเรียกดูไดเรกทอรี
หยุดการเรียกดูไดเรกทอรี:ทำไม และอย่างไร
บางครั้งผู้เยี่ยมชมสามารถดูไดเร็กทอรีที่แสดงรายการไซต์ WordPress ได้อย่างง่ายดาย ตัวอย่างเช่น ผู้เยี่ยมชมเว็บไซต์ของเรา Westworld Fansite สามารถดูไฟล์ที่อยู่ในโฟลเดอร์ wp-includes โดยเพียงแค่เปิด “https://westworldfansite.com/wp-includes/” ในเบราว์เซอร์
อาจดูเหมือนไม่เป็นอันตราย แต่รายการไดเรกทอรีสามารถเปิดเผยข้อมูลที่ละเอียดอ่อนที่แฮ็กเกอร์สามารถใช้ประโยชน์เพื่อเข้าถึงเว็บไซต์ของคุณได้ เราจึงต้องซ่อนรายการ แม้ว่าโดยทั่วไปแล้วการรักษาความปลอดภัยจากความสับสนมักจะไม่ใส่ใจ แต่วิธีที่ดีที่สุดคือซ่อนข้อมูลให้มากที่สุด ยิ่งแฮกเกอร์รู้จักคุณน้อยเท่าไร โอกาสที่พวกเขาจะโจมตีคุณก็ยิ่งน้อยลง
เพื่อเพิ่มความปลอดภัยให้กับไซต์ของเรา เราจึงตัดสินใจปิดใช้งานการเรียกดูไดเร็กทอรีโดยวางโค้ดต่อไปนี้ในไฟล์ .htaccess
อย่าลืมสำรองข้อมูลไซต์ของคุณก่อนที่จะแก้ไขไฟล์ .htaccess ความผิดพลาดเพียงครั้งเดียวอาจทำให้เกิดปัญหาใหญ่ในเว็บไซต์ของคุณ การสำรองข้อมูลจะช่วยให้มั่นใจได้ว่าคุณสามารถเปลี่ยนกลับเป็นสำเนาที่ทำงานของไซต์ของคุณได้อย่างรวดเร็วเมื่อเกิดปัญหา
อย่าลืมแก้ไขไฟล์ .htaccess ของไดเร็กทอรีที่คุณต้องการให้ผู้ใช้ป้องกันการเรียกดู ตัวอย่างเช่น คุณต้องการปกป้องโฟลเดอร์ wp-include ให้วางบรรทัดต่อไปนี้ในไฟล์ .htaccess ของโฟลเดอร์ wp-include:
Options All –Indexes
หลังจากบันทึกรหัสแล้ว เราพยายามดูรายการไดเรกทอรีและหน้าข้อผิดพลาด 403 ปรากฏขึ้น
เหนือกว่าคุณ
การปิดการใช้งาน PHP และการเรียกดูไดเร็กทอรีสามารถปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้อย่างแน่นอน แต่นี่เป็นเพียงหนึ่งในหลาย ๆ วิธีในการรักษาความปลอดภัยไซต์ WordPress จากการพยายามแฮ็ค มาตรการรักษาความปลอดภัยอื่นๆ ที่คุณสามารถทำได้ ได้แก่ การใช้ปลั๊กอินความปลอดภัย การใช้ใบรับรอง SSL การใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุมและไม่ซ้ำใคร ใช้การตรวจสอบสิทธิ์ HTTP และการตรวจสอบสิทธิ์แบบสองปัจจัย เป็นต้น
