ทุกไซต์ WordPress มีไฟล์ชื่อ 'wp-config.php' ไฟล์กำหนดค่า WordPress นี้เป็นหนึ่งในไฟล์ WordPress ที่สำคัญที่สุด ไฟล์นี้มีพารามิเตอร์การกำหนดค่ามากมายซึ่งสามารถแก้ไขได้เพื่อความปลอดภัยของไซต์ที่ดีขึ้น ในบทความนี้ เราจะแสดงวิธีรักษาความปลอดภัยให้กับไซต์ WordPress โดยใช้ไฟล์กำหนดค่า WordPress
จะรักษาความปลอดภัยไซต์ WordPress ของคุณโดยใช้ไฟล์ wp-config ได้อย่างไร
1. เปลี่ยนคำนำหน้าฐานข้อมูล
คุณเคยเห็นตารางฐานข้อมูล WordPress ของคุณหรือไม่? (คุณสามารถเข้าถึงได้ผ่านบัญชีโฮสต์เว็บของคุณ) โดยค่าเริ่มต้น ฐานข้อมูลมีสิบเอ็ดตาราง แต่ละตารางมีฟังก์ชันเฉพาะ ตัวอย่างเช่น wp_posts เก็บข้อมูลจากโพสต์ เพจ และเมนูการนำทาง เนื่องจากการทำงานของแต่ละตารางถูกกำหนดไว้ล่วงหน้า แฮ็กเกอร์จึงรู้ว่ารายละเอียดไซต์ของคุณถูกจัดเก็บไว้ที่ใด ตัวอย่างเช่น หากพวกเขาต้องการใช้ประโยชน์จากผู้ใช้ไซต์ของคุณ พวกเขาสามารถมุ่งเป้าไปที่ตาราง 'wp_users'
WordPress ใช้คำนำหน้า 'wp_' สำหรับตารางทั้งหมดโดยค่าเริ่มต้น การเปลี่ยนค่านี้เป็นคำนำหน้าเฉพาะจะมีประโยชน์ในการซ่อนชื่อตารางและจะช่วยรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ ในการดำเนินการนี้ ให้เปิดไฟล์ 'wp-config' ของคุณ
ขั้นตอนที่ 1: ในการเข้าถึง wp-config.php ให้เปิด บัญชีโฮสต์เว็บ และไปที่ cPanel . เลือก ตัวจัดการไฟล์ และจะพาคุณไปยังหน้าที่มีลักษณะดังนี้:
ขั้นตอนที่ 2: ทางด้านซ้ายมือ มี โฟลเดอร์ public_html . ในโฟลเดอร์นี้ คุณจะพบ wp-config ไฟล์.
ในไฟล์ 'wp-config' ให้วางบรรทัดต่อไปนี้:
[code]$table_prefix = ‘wp_’;[/code] You need to change it to something random like: [code]$table_prefix = ‘agora_’;[/code]
สิ่งนี้จะเปลี่ยนชื่อของตารางในฐานข้อมูลจาก 'wp_users' เป็น 'wp_agora', 'wp_posts' เป็น 'wp_agora' เป็นต้น
2. ปิดใช้งานการแก้ไขไฟล์ธีม/ปลั๊กอิน
ในแดชบอร์ด WordPress มีตัวเลือกในการแก้ไขไฟล์ปลั๊กอิน/ธีม ซึ่งหมายความว่าด้วยการเข้าถึงแดชบอร์ดและการอนุญาตที่เพียงพอ ทุกคนสามารถแก้ไขธีมหรือปลั๊กอินของคุณได้
แม้ว่าจะเป็นเครื่องมือที่มีประโยชน์หากคุณต้องการกำหนดค่าปลั๊กอินใหม่ แฮ็กเกอร์จะกลายเป็นอันตรายได้ ตัวอย่างเช่น สมมติว่าแฮ็กเกอร์สามารถเจาะเข้าไปในไซต์ของคุณได้โดยใช้ช่องโหว่ ง่ายสำหรับพวกเขาในการเพิ่มมัลแวร์ลงในปลั๊กอินหรือธีมที่มีอยู่ พวกเขาสามารถซ่อนแบ็คดอร์ซึ่งพวกเขาจะใช้ประโยชน์ในภายหลังเพื่อเข้าถึงไซต์ของคุณได้ทุกเมื่อที่ต้องการ คุณสามารถป้องกันสิ่งนี้ไม่ให้เกิดขึ้นและรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณโดยปิดใช้งานตัวเลือกในการแก้ไขไฟล์เหล่านี้ เพียงวางโค้ดต่อไปนี้ในไฟล์กำหนดค่า WordPress ของคุณ:
[code]define(‘DISALLOW_FILE_EDIT’,true);[/code]
3. ป้องกันไม่ให้ผู้ใช้ติดตั้งหรืออัปเดตปลั๊กอินและธีม
การปิดใช้งานผู้ใช้จากการแก้ไขไฟล์เหล่านี้มีความปลอดภัยเพียงระดับเดียวเท่านั้น ไม่ได้ป้องกันแฮ็กเกอร์จากการติดตั้งปลั๊กอินที่เป็นอันตรายซึ่งพวกเขาสามารถใช้เพื่อใช้ประโยชน์จากไซต์ของคุณได้ เมื่อพวกเขาสามารถเข้าถึงแผงการดูแลระบบพร้อมกับสิทธิ์ผู้ใช้ที่ถูกต้อง พวกเขาสามารถติดตั้งธีมหรือปลั๊กอินหลอกลวงได้ หากคุณไม่ได้ติดตั้งปลั๊กอินบ่อยๆ คุณสามารถปิดการใช้งานตัวเลือกได้โดยการเพิ่มโค้ดต่อไปนี้ในไฟล์กำหนดค่า WordPress:
[code]define(‘DISALLOW_FILE_MODS’,true);[/code]
4. บังคับใช้ 'FTP'
การป้องกันไม่ให้ผู้ใช้ติดตั้งและอัปเดตปลั๊กอินและธีมอาจเป็นการจำกัดและไม่สามารถทำได้สำหรับไซต์ที่ติดตั้งปลั๊กอินบ่อยครั้ง นอกจากนี้ การอัปเดตธีมและปลั๊กอินมีความสำคัญมากสำหรับความปลอดภัยของไซต์ วิธีอื่นเพื่อให้แน่ใจว่าผู้ใช้ที่ถูกต้องติดตั้งปลั๊กอินคือการบังคับให้ผู้ใช้ระบุรายละเอียด 'FTP' แม้ว่าแผงการดูแลระบบของคุณจะถูกบุกรุก แฮกเกอร์ก็ไม่สามารถติดตั้งปลั๊กอินปลอมได้ เว้นแต่จะมีข้อมูลประจำตัว FTP ของคุณ
เพียงเพิ่มบรรทัดต่อไปนี้ใน 'wp-config.php' ของคุณ:
[code]define(‘FS_METHOD’, ‘ftpext’);[/code]
หากโฮสต์เว็บหรือเซิร์ฟเวอร์ของคุณรองรับ 'FTPS' ให้เพิ่มบรรทัดต่อไปนี้ในไฟล์ปรับแต่ง:
[code]define(‘FTP_SSL’, true);[/code]
หากโฮสต์เว็บหรือเซิร์ฟเวอร์ของคุณรองรับ 'SFTP' ให้เพิ่มบรรทัดต่อไปนี้:
[code]define(‘FS_METHOD’, ‘ssh2’);[/code]
5. เปลี่ยนคีย์ความปลอดภัย
คุณไม่จำเป็นต้องป้อนข้อมูลรับรองการเข้าสู่ระบบทุกครั้งที่คุณจำเป็นต้องลงชื่อเข้าใช้ไซต์ของคุณ เคยสงสัยหรือไม่ว่าเบราว์เซอร์ของคุณเก็บข้อมูลรับรองเหล่านี้ไว้อย่างไร หลังจากลงชื่อเข้าใช้บัญชีของคุณ ข้อมูลการเข้าสู่ระบบของคุณจะถูกจัดเก็บในลักษณะที่เข้ารหัสไว้ในคุกกี้ของเบราว์เซอร์ คีย์ความปลอดภัยเป็นตัวแปรสุ่มที่ช่วยปรับปรุงการเข้ารหัสนี้ หากไซต์ของคุณถูกแฮ็ก การเปลี่ยนรหัสลับจะทำให้คุกกี้ใช้งานไม่ได้และบังคับให้ผู้ใช้ที่ใช้งานอยู่ทุกคนออกจากระบบโดยอัตโนมัติ เมื่อทิ้งแฮ็กเกอร์จะสูญเสียการเข้าถึงผู้ดูแลระบบ WordPress ของคุณ
คุณสามารถสร้างคีย์ความปลอดภัยชุดใหม่และวางไว้ในไฟล์ 'wp-config' มันจะช่วยรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ
6. ซ่อน 'wp-config.php'
ในไซต์ WordPress ไฟล์ wp-config มีตำแหน่งเริ่มต้น ดังนั้นการเปลี่ยนตำแหน่งไฟล์จึงสามารถป้องกันไม่ให้ตกไปอยู่ในมือของแฮกเกอร์ได้ โชคดีที่ WordPress อนุญาตให้โฟลเดอร์ "wp-config" อยู่นอกการติดตั้ง WordPress ของคุณ ตัวอย่างเช่น หาก WordPress ของคุณได้รับการติดตั้งในโฟลเดอร์ public_html ไฟล์ปรับแต่งจะปรากฏในโฟลเดอร์ public_html โดยค่าเริ่มต้น แต่คุณสามารถย้าย wp-config ออกนอกโฟลเดอร์ public_html และยังคงใช้งานได้
7. รักษาความปลอดภัยไฟล์ wp-config.php
การกำหนดค่ามีความเสี่ยงที่จะถูกโจมตีทำให้จำเป็นต้องรักษาความปลอดภัย วิธีหนึ่งในการทำคือเปลี่ยนตำแหน่งเพื่อไม่ให้แฮกเกอร์หาเจอในตำแหน่งเริ่มต้น แม้ว่านักพัฒนาซอฟต์แวร์บางรายอาจคัดค้าน แต่ก็มีหลายคนที่คิดว่าเป็นความคิดที่ดี ลองดูที่การสนทนานี้
มาตรการรักษาความปลอดภัยอื่นที่คุณสามารถทำได้คือการจำกัดสิทธิ์ของไฟล์ ตั้งค่าการอนุญาตไฟล์เป็น 600 เพื่อให้เฉพาะเจ้าของที่แท้จริงเท่านั้นที่สามารถแก้ไขไฟล์ wp-config หากต้องการเปลี่ยนการอนุญาตไฟล์ของ wp-config ให้เลือกไฟล์แล้วเลือกตัวเลือก 'สิทธิ์'
จากนั้นคุณต้องรวมบรรทัดต่อไปนี้ในไฟล์ .htaccess เพื่อป้องกันไม่ให้แฮกเกอร์โหลดไฟล์ wp-config โดยตรงจากเบราว์เซอร์
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
เหนือกว่าคุณ
ด้วยเหตุนี้ เราได้กล่าวถึงวิธีการรักษาความปลอดภัยไซต์ WordPress ของคุณด้วยไฟล์ wp-config แต่นี่เป็นเพียงหนึ่งในหลายๆ วิธีในการปรับปรุงความปลอดภัยของไซต์ของคุณ มาตรการรักษาความปลอดภัยอื่นๆ ที่คุณสามารถทำได้ ได้แก่ การใช้ปลั๊กอินความปลอดภัย การใช้ใบรับรอง SSL การใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุมและไม่ซ้ำใคร การใช้งานการตรวจสอบสิทธิ์ HTTP และการตรวจสอบสิทธิ์แบบสองปัจจัย แต่ก่อนที่จะใช้วิธีการเหล่านี้ คุณต้องสำรองข้อมูลไซต์ของคุณเสียก่อน หากมีข้อผิดพลาด คุณก็สามารถกู้คืนข้อมูลสำรองและทำให้ไซต์ของเราทำงานได้ในเวลาไม่นาน
