Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> HTML

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

ไฟล์และไดเร็กทอรีของ WordPress มีบทบาทสำคัญในการรักษาความปลอดภัยของเว็บไซต์ของคุณ การตั้งค่าอย่างถูกต้องควรเป็นหนึ่งในความสำคัญสูงสุดของคุณหลังจากติดตั้ง WordPress การตั้งค่าการอนุญาตที่เหมาะสมว่าใครสามารถเห็นไฟล์ใดและการดำเนินการใดที่ผู้ใช้สามารถทำได้ จะช่วยปรับปรุงระดับความปลอดภัยของไซต์ของคุณได้อย่างมาก ในบทความนี้ เราจะพูดถึงว่าการปิดใช้งานทั้งการเรียกใช้ PHP และการเรียกดูไดเรกทอรีสามารถปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้อย่างไร

ปิดใช้งานการดำเนินการ PHP:ทำไมและอย่างไร

โฟลเดอร์ WordPress บางโฟลเดอร์ เช่น การอัปโหลด ธีม หรือปลั๊กอิน สามารถเขียนได้ตามค่าเริ่มต้น การอนุญาตประเภทนี้ทำให้ผู้ใช้สามารถอัปโหลดรูปภาพและวิดีโอบนเว็บไซต์ได้ หรือติดตั้งธีมและปลั๊กอินบนเว็บไซต์ ทุกครั้งที่เราติดตั้งปลั๊กอินหรือธีม ไฟล์ใหม่จะถูกเก็บไว้ในโฟลเดอร์ที่เกี่ยวข้อง สิ่งนี้จะเกิดขึ้นไม่ได้หากโฟลเดอร์ Theme และ Plugins ไม่สามารถเขียนได้

สาเหตุหนึ่งที่หลายคนชอบใช้ WordPress เพื่อสร้างเว็บไซต์คือความสามารถในการปรับแต่งเว็บไซต์ได้อย่างง่ายดายด้วยความช่วยเหลือของธีมและปลั๊กอิน ทุกคนสามารถติดตั้งธีมหรือปลั๊กอินบนเว็บไซต์ของตนได้ ซึ่งเป็นไปได้เนื่องจากโฟลเดอร์ Themes และ Plugin สามารถเขียนได้ตามค่าเริ่มต้น แต่น่าเสียดายที่การอนุญาตประเภทนี้ยังเปิดโอกาสให้มีการแฮ็กการโจมตี เช่น การโจมตีแบบฟิชชิ่ง สแปม SEO การโจมตีแบบเดรัจฉาน เป็นต้น แฮกเกอร์สามารถใช้ประโยชน์และอัปโหลดสคริปต์ที่เป็นอันตรายซึ่งสามารถดำเนินการได้จากระยะไกล วิธีนี้จะช่วยให้พวกเขาเข้าถึงไซต์ของคุณได้อย่างเต็มที่ หรือแม้แต่ทำลายเว็บไซต์ของคุณ

สามารถเรียกคืน Mailpoet Hack ที่อนุญาตให้แฮ็กเกอร์อัปโหลดโค้ด PHP ที่เป็นอันตรายไปยังโฟลเดอร์อัปโหลดซึ่งพวกเขาดำเนินการเพื่อควบคุมไซต์

ไม่สะดวกที่จะลบการอนุญาตในการเขียน เพราะคุณจะไม่สามารถอัปโหลดรูปภาพ หรือแม้แต่ติดตั้งปลั๊กอินและธีมลงในไซต์ของคุณได้ แต่สิ่งที่คุณทำได้คือลดขอบเขตของการโจมตีให้สำเร็จโดยปิดการทำงานของ PHP มันจะลบการอนุญาตให้ดำเนินการในบางโฟลเดอร์

วิธีง่ายๆ ในการปิดการทำงานของ PHP คือการวางโค้ดพิเศษในไฟล์ .htacess ของโฟลเดอร์เฉพาะที่คุณต้องการปิดใช้งานการเรียกใช้ PHP

หมายเหตุ: สำรองข้อมูลเว็บไซต์ของคุณก่อนแก้ไขไฟล์ ข้อผิดพลาดเพียงครั้งเดียวในขั้นตอนที่เราจะปฏิบัติตามอาจทำให้ไซต์ของคุณเสียหายหรือทำให้เกิดปัญหาอื่นๆ ข้อมูลสำรองช่วยให้มั่นใจได้ว่าคุณสามารถเปลี่ยนกลับเป็นสำเนาที่ทำงานของเว็บไซต์ได้อย่างรวดเร็วเมื่อเกิดปัญหา

ขั้นตอนที่ 1: หากต้องการปิดการทำงานของ PHP ในโฟลเดอร์อัปโหลด เพียงแค่สร้างไฟล์ .htaccess ในโฟลเดอร์อัปโหลด คุณสามารถค้นหาโฟลเดอร์ใน wp-content ภายใต้ public_html

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

ขั้นตอนที่ 2: ตอนนี้เปิดแผ่นจดบันทึก (สำหรับ Windows) หรือ TextEdit (สำหรับ Mac) เพื่อสร้างไฟล์ รวมรหัสต่อไปนี้และบันทึกไฟล์นี้เป็น .htaccess (ไม่ใช่ .htaccess.txt):

# BEGIN WordPress
 
 <IfModule mod_rewrite.c>
 
 RewriteEngine On
 
 RewriteBase /
 
 RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
 
 RewriteCond %{REQUEST_FILENAME} !-d
 
 RewriteRule . /index.php [L] </IfModule>
 
 # END WordPress

ขั้นตอนที่ 3: บันทึกรหัสและอัปโหลดไฟล์ในโฟลเดอร์อัปโหลด

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

ขั้นตอนที่ 4: ตอนนี้คุณมีไฟล์ .htaccess ใหม่ในโฟลเดอร์อัปโหลด คลิกขวาและเลือกแก้ไข วางโค้ดต่อไปนี้ในไฟล์ .htaccess ใหม่ของคุณ

<FilesMatch “\.(php|php\.)$”> 

Order Allow,Deny 

Deny from all 

</FilesMatch>

ในภาพด้านล่าง เราวางโค้ดไว้ในไฟล์ .htaccess ของเรา

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

เพื่อให้แน่ใจว่าไฟล์ใดๆ ที่มี “PHP” จะถูกดักจับและป้องกันไม่ให้ดำเนินการ หากแฮ็กเกอร์จัดการอัปโหลดไฟล์ เช่น “mailciousPHPFileDisguisedAsJPEFfile.php.jpg” ไฟล์นั้นจะถูกบล็อกไม่ให้ดำเนินการ

เพื่อความปลอดภัยสูงสุด คุณสามารถเพิ่มรหัสลงในไฟล์ .htaccess ของโฟลเดอร์ปลั๊กอินและธีมได้เช่นกัน

การปิดใช้งานการดำเนินการ PHP ด้วยตนเองนั้นมีความเสี่ยงเล็กน้อย หนึ่งต้องเหยียบอย่างระมัดระวังในตัวจัดการไฟล์ ความผิดพลาดเพียงครั้งเดียวอาจทำให้เกิดความเสียหายร้ายแรงต่อไซต์ของคุณได้ การปิดการทำงานของ PHP โดยใช้ปลั๊กอินทำได้ง่ายกว่าและมีความเสี่ยงน้อยกว่า MalCare Security Service มาพร้อมกับฟีเจอร์ Site Hardening ที่อนุญาตให้ผู้ใช้บล็อกการดำเนินการ PHP

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

คุณจะต้องใช้รายละเอียด FTP เพื่อเปิดใช้งานคุณลักษณะนี้

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

การปิดใช้งานการดำเนินการ PHP นั้นทำให้ไซต์ของคุณมีความปลอดภัย แต่เราสามารถดำเนินการต่อไปอีกขั้นเพื่อปิดการใช้งานการเรียกดูไดเรกทอรี

หยุดการเรียกดูไดเรกทอรี:ทำไม และอย่างไร

บางครั้งผู้เยี่ยมชมสามารถดูไดเร็กทอรีที่แสดงรายการไซต์ WordPress ได้อย่างง่ายดาย ตัวอย่างเช่น ผู้เยี่ยมชมเว็บไซต์ของเรา Westworld Fansite สามารถดูไฟล์ที่อยู่ในโฟลเดอร์ wp-includes โดยเพียงแค่เปิด “https://westworldfansite.com/wp-includes/” ในเบราว์เซอร์

อาจดูเหมือนไม่เป็นอันตราย แต่รายการไดเรกทอรีสามารถเปิดเผยข้อมูลที่ละเอียดอ่อนที่แฮ็กเกอร์สามารถใช้ประโยชน์เพื่อเข้าถึงเว็บไซต์ของคุณได้ เราจึงต้องซ่อนรายการ แม้ว่าโดยทั่วไปแล้วการรักษาความปลอดภัยจากความสับสนมักจะไม่ใส่ใจ แต่วิธีที่ดีที่สุดคือซ่อนข้อมูลให้มากที่สุด ยิ่งแฮกเกอร์รู้จักคุณน้อยเท่าไร โอกาสที่พวกเขาจะโจมตีคุณก็ยิ่งน้อยลง

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

เพื่อเพิ่มความปลอดภัยให้กับไซต์ของเรา เราจึงตัดสินใจปิดใช้งานการเรียกดูไดเร็กทอรีโดยวางโค้ดต่อไปนี้ในไฟล์ .htaccess

อย่าลืมสำรองข้อมูลไซต์ของคุณก่อนที่จะแก้ไขไฟล์ .htaccess ความผิดพลาดเพียงครั้งเดียวอาจทำให้เกิดปัญหาใหญ่ในเว็บไซต์ของคุณ การสำรองข้อมูลจะช่วยให้มั่นใจได้ว่าคุณสามารถเปลี่ยนกลับเป็นสำเนาที่ทำงานของไซต์ของคุณได้อย่างรวดเร็วเมื่อเกิดปัญหา

อย่าลืมแก้ไขไฟล์ .htaccess ของไดเร็กทอรีที่คุณต้องการให้ผู้ใช้ป้องกันการเรียกดู ตัวอย่างเช่น คุณต้องการปกป้องโฟลเดอร์ wp-include ให้วางบรรทัดต่อไปนี้ในไฟล์ .htaccess ของโฟลเดอร์ wp-include:

Options All –Indexes

หลังจากบันทึกรหัสแล้ว เราพยายามดูรายการไดเรกทอรีและหน้าข้อผิดพลาด 403 ปรากฏขึ้น

ปิดการใช้งาน PHP Execution &Directory Browsing for Better WordPress Security

เหนือกว่าคุณ

การปิดการใช้งาน PHP และการเรียกดูไดเร็กทอรีสามารถปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้อย่างแน่นอน แต่นี่เป็นเพียงหนึ่งในหลาย ๆ วิธีในการรักษาความปลอดภัยไซต์ WordPress จากการพยายามแฮ็ค มาตรการรักษาความปลอดภัยอื่นๆ ที่คุณสามารถทำได้ ได้แก่ การใช้ปลั๊กอินความปลอดภัย การใช้ใบรับรอง SSL การใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุมและไม่ซ้ำใคร ใช้การตรวจสอบสิทธิ์ HTTP และการตรวจสอบสิทธิ์แบบสองปัจจัย เป็นต้น