วิธีการปกป้องไฟล์และไดเรกทอรี WordPress ของคุณโดยใช้ .htaccess?

ไฟล์ .htaccess เป็นไฟล์การกำหนดค่าเซิร์ฟเวอร์ที่สนับสนุนโดยเว็บเซิร์ฟเวอร์จำนวนมาก รวมถึงซอฟต์แวร์เว็บเซิร์ฟเวอร์ Apache ที่ได้รับความนิยมมากที่สุด ไฟล์ที่ดูธรรมดานี้เต็มไปด้วยฟังก์ชันและคุณสมบัติทุกประเภท ซึ่งหากใช้อย่างถูกต้องจะสามารถกำหนดวิธีที่เว็บเซิร์ฟเวอร์ของคุณดำเนินการตามคำขอได้อย่างมีประสิทธิภาพ เรียนรู้วิธีจำกัดการเข้าถึงไฟล์และไดเรกทอรีของ WordPress โดยใช้ไฟล์ .htaccess

นอกเหนือจากการกำหนดวิธีที่เว็บเซิร์ฟเวอร์ดำเนินการตามคำขอแล้ว ยังมีประโยชน์อย่างมากในการปกป้องไฟล์ WordPress ของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาตจากแฮกเกอร์ ในบทความนี้ เราจะสำรวจหลายวิธีที่คุณสามารถปกป้องไฟล์และไดเรกทอรี WordPress ของคุณโดยใช้ .htaccess

1. จะป้องกันไฟล์และไดเรกทอรี WordPress ของคุณโดยใช้ .htaccess ได้อย่างไร

ก่อนที่เราจะไปปกป้องไฟล์อื่นๆ ให้เราเริ่มต้นด้วยการป้องกัน .htaccess ก่อน อย่างไรก็ตาม อย่างที่เราพูดเสมอๆ ก่อนทำการเปลี่ยนแปลงใดๆ (ไม่ว่าจะเล็กหรือใหญ่ ) สำรองข้อมูลไซต์ของคุณเสมอ และในกรณีนี้ ให้บันทึกสำเนาของไฟล์ .htaccess ของคุณบนระบบภายในของคุณ เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้ไฟล์โดยไม่ได้ตั้งใจ

ม. การปกป้องไฟล์ .htaccess

ไฟล์ .htaccess สามารถพบได้ง่ายในโฟลเดอร์รูทของเว็บ public_html มีสองวิธีในการเข้าถึงไฟล์นี้ – โดยใช้ FTP เช่น FileZilla หรือใช้ ตัวจัดการไฟล์ ของบัญชีโฮสติ้ง WordPress ของคุณ ในบทความนี้ เรากำลังใช้ตัวจัดการไฟล์เพื่อเข้าถึงไฟล์และแสดงวิธีรักษาความปลอดภัยให้กับไฟล์

ขั้นตอนที่ 1: เข้าสู่ระบบบัญชีเว็บโฮสติ้งของคุณโดยใช้ชื่อผู้ใช้และรหัสผ่านของคุณ หากคุณไม่แน่ใจในข้อมูลรับรองบัญชีเว็บโฮสติ้งของคุณ โปรดอ่านคำแนะนำของเรา

ขั้นตอนที่ 2: คลิกที่ ตัวจัดการไฟล์ .

ขั้นตอนที่ 3: จากนั้น คลิกที่โฟลเดอร์ public_html

ขั้นตอนที่ 4: ภายในคุณจะเห็นไฟล์ .htaccess คลิกขวาที่มัน และเลือกตัวเลือกเพื่อแก้ไข .

เมื่อคุณเข้าถึงไฟล์แล้ว ให้วางโค้ดต่อไปนี้ลงไป

# Deny access to .htaccess

<Files .htaccess>

Order allow,deny

Deny from all

</Files>

การดำเนินการนี้จะจำกัดผู้ใช้ไม่ให้เข้าถึงไฟล์ .htaccess ของคุณ ง่ายใช่มั้ย

ตอนนี้เราได้รักษาความปลอดภัยให้กับไฟล์ .htaccess แล้ว ถึงเวลาที่เราจะย้ายไปที่ไฟล์อื่น ให้เราเริ่มต้นด้วยการรักษาความปลอดภัยโฟลเดอร์ wp-admin

ii. จำกัดการเข้าถึงโฟลเดอร์ wp-admin โดยใช้ .htaccess

โฟลเดอร์ wp-admin มีไฟล์ที่ร่วมกันขับเคลื่อนเครื่องมือผู้ดูแลระบบ ไฟล์ admin.php ภายใต้โฟลเดอร์นี้ทำหน้าที่ดังต่อไปนี้:

• เปิดใช้งานการเชื่อมต่อกับฐานข้อมูล
• แสดงแดชบอร์ด WordPress
• ควบคุมหน้าเข้าสู่ระบบของไซต์ของคุณ

อย่างที่คุณเห็น ไดเร็กทอรี wp-admin เป็นไดเร็กทอรี wp-admin ที่มีความสำคัญมาก และต้องใช้ความระมัดระวังในการป้องกันจากการเข้าถึงโดยไม่ได้รับอนุญาต นั่นเป็นเพราะการเข้าถึงแผงผู้ดูแลระบบจะทำให้แฮ็กเกอร์สามารถสร้างความเสียหายให้กับเว็บไซต์ของคุณได้ ในการดำเนินการดังกล่าว ให้จำกัดการเข้าถึงของผู้ใช้ในโฟลเดอร์ผู้ดูแลระบบ WordPress โดยใช้ไฟล์ .htaccess อนุญาตให้เข้าถึงที่อยู่ IP เฉพาะที่คุณเลือก ในการดำเนินการนี้ คุณจะต้องสร้างไฟล์ .htaccess แยกต่างหากด้วยรหัสเฉพาะ (ไฟล์ที่อยู่ในกล่องสีน้ำเงินด้านล่าง ) และอัปโหลดไปยังโฟลเดอร์ wp-admin ของคุณ

ในการสร้างไฟล์ .htaccess ใหม่ เพียงแค่เปิดไฟล์ใหม่ในโปรแกรมแก้ไขข้อความเริ่มต้นและตั้งชื่อเป็น .htaccess . ไม่ใช่ .htaccess.txt หรือ .htaccess.doc หรือนามสกุลไฟล์เพิ่มเติมอื่นๆ ธรรมดา .htaccess . เมื่อคุณทำเสร็จแล้ว ให้วางโค้ดต่อไปนี้ลงไป

# Limit logins and admin by IP

<Limit GET POST PUT>

order deny,allow

deny from all

allow from 12.34.56.78

</Limit>

ในการอัปโหลดไฟล์ .htaccess ที่สร้างขึ้นใหม่ไปยังโฟลเดอร์ wp-admin ให้ลงชื่อเข้าใช้บัญชีโฮสต์เว็บของคุณและเปิดตัวจัดการไฟล์ดังที่แสดงด้านล่าง

เมื่อคุณคลิกที่ File Manager คุณจะเห็นไฟล์และโฟลเดอร์ทั้งหมดในไซต์ของคุณดังที่แสดงด้านล่าง จากนั้นคลิกที่โฟลเดอร์ public_html

คลิกที่โฟลเดอร์ wp-admin

จากนั้นคลิกที่ปุ่มอัปโหลดตามที่แสดงก่อนหน้านี้

เลือก .htaccess ที่คุณเพิ่งสร้างบนระบบภายในของคุณแล้วอัปโหลดในหน้าต่างที่เปิดขึ้น

เมื่อคุณได้อัปโหลดไฟล์ .htaccess ใหม่ แสดงว่าคุณทำเสร็จแล้ว! มาตรการรักษาความปลอดภัยใหม่นี้จะจำกัดไม่ให้ผู้ใช้เข้าถึงแผงการดูแลระบบของคุณ ยกเว้นที่คุณให้อนุญาตไว้อย่างชัดเจน

โปรดทราบว่าการดำเนินการนี้จะจำกัดการเข้าถึง wp-admin เท่านั้น และจะไม่จำกัดการเข้าถึงไซต์ WordPress ทั้งหมด wp-admin ยังคงสามารถเข้าถึงได้โดยผู้ใช้ที่ลงทะเบียน แต่สามารถถูกจำกัดโดยบทบาทของผู้ใช้ หนึ่งสามารถจำกัดการอนุญาตสำหรับผู้ใช้เพื่อให้ผู้ใช้ที่ลงทะเบียนทุกคนไม่สามารถเข้าถึงโฟลเดอร์ได้

iii. ปิดกั้นการเข้าถึง wp-config.php . โดยไม่ได้รับอนุญาต

ไฟล์ wp-config จัดการการกำหนดค่าพื้นฐานของ WordPress และมีข้อมูลที่ละเอียดอ่อนเกี่ยวกับการติดตั้ง WordPress ของคุณ เช่น การตั้งค่า MySQL, คีย์ลับ, รายละเอียดการเชื่อมต่อฐานข้อมูล WordPress เป็นต้น เมื่อพิจารณาถึงลักษณะสำคัญของข้อมูลที่มีอยู่ ต้องใช้ความระมัดระวังสูงสุดเพื่อปกป้อง จากการสอดรู้สอดเห็น

ไฟล์ .htaccess มีประโยชน์อย่างมากในการปกป้องไฟล์สำคัญนี้ที่ผู้ใช้เว็บเข้าถึงได้ ในการทำเช่นนั้น สิ่งที่คุณต้องทำคือคัดลอกโค้ดที่ให้ไว้ด้านล่างลงในไฟล์ .htaccess ของคุณ

ตามที่อธิบายไว้ใน ‘การปกป้องไฟล์ .htaccess ’ เข้าถึงไฟล์ .htaccess ของคุณจาก ตัวจัดการไฟล์ และเพิ่มโค้ดต่อไปนี้เข้าไป

<files wp-config.php>

order allow,deny

deny from all

</files>

เมื่อคุณเพิ่มรหัสที่ให้ไว้ด้านบนแล้ว คุณจะบล็อกการเข้าถึง wp-config.php โดยไม่ได้รับอนุญาต

iv. จะบล็อกการเข้าถึง wp-content/uploads และปิดใช้งานการดำเนินการ pHp ได้อย่างไร

หลายครั้งที่แฮ็กเกอร์ออกจากแบ็คดอร์เพื่อเข้าถึงไฟล์ในไซต์ของคุณ แม้ว่าแฮ็กจะถูกค้นพบและจัดการกับแฮ็ก แต่ก็สามารถเข้าถึงไซต์ได้อย่างง่ายดายในอนาคต ไฟล์แบ็คดอร์เหล่านี้มักจะปลอมแปลงเป็นไฟล์ WordPress ในไดเร็กทอรี wp-includes หรือ wp-content/uploads/ และสิ่งเหล่านี้มักเป็นไฟล์ .php เพื่อให้ไฟล์และโฟลเดอร์ WordPress ของคุณปลอดภัยยิ่งขึ้น คุณต้องปิดการใช้งานไฟล์ประเภทนี้ไม่ให้ทำงาน สิ่งนี้สามารถช่วยให้ WordPress ของคุณจำกัดการเข้าถึง และสามารถทำได้โดยการปิดการใช้งาน PHP ในไดเร็กทอรีเหล่านี้

การปิดใช้งานการดำเนินการ PHP โดยใช้ .htaccess เป็นกระบวนการที่ง่ายมาก หากคุณทำตามคำแนะนำง่ายๆ ของเรากับ T.

ก่อนอื่น สร้างไฟล์ .htaccess ใหม่ในโปรแกรมแก้ไขข้อความของคุณ และเพิ่มโค้ดต่อไปนี้ลงไป

<Files *.php>

deny from all

</Files>

ในขั้นตอนต่อไป ให้ลงชื่อเข้าใช้บัญชีเว็บโฮสติ้งและเปิด ตัวจัดการไฟล์ . ในที่นี้ คุณจะเข้าถึงเนื้อหาและอัปโหลดโฟลเดอร์ได้ ค้นหา wp-content/upload/ โฟลเดอร์

คลิกที่ อัปโหลด และอัปโหลดไฟล์ .htaccess ที่สร้างขึ้นใหม่

เมื่อคลิกปุ่ม อัปโหลด ปุ่ม หน้าต่างใหม่จะเปิดขึ้นเพื่อให้คุณสามารถเลือกไฟล์ .htaccess จากระบบภายในของคุณได้

เมื่อคุณได้อัปโหลดไฟล์ .htaccess ลงใน wp-content/upload/ โฟลเดอร์ คุณต้องเพิ่มลงใน wp-includes โฟลเดอร์

คล้ายกับการเพิ่มลงใน wp-content/upload/ โฟลเดอร์ เปิดตัวจัดการไฟล์เพื่อเข้าถึง wp-includes โฟลเดอร์จากโฮมไดเร็กทอรีของไซต์ของคุณ

คลิกที่ wp-includes โฟลเดอร์แล้วคลิกที่ปุ่มอัปโหลด

เมื่อคุณคลิกที่ปุ่มอัปโหลด คุณจะสามารถเลือกไฟล์จากระบบในพื้นที่ของคุณได้ เลือกไฟล์ .htaccess ที่คุณเพิ่งสร้างและอัปโหลด

เมื่อคุณเพิ่ม .htaccess ลงในโฟลเดอร์ที่สำคัญทั้งสองนี้แล้ว คุณได้ปิดการทำงานของ PHP ในโฟลเดอร์เหล่านี้สำเร็จแล้ว

ว. ปิดใช้งานการเรียกดูไดเรกทอรีใน WordPress โดยใช้ htaccess

การเรียกดูไดเร็กทอรีเป็นคุณลักษณะที่คุณเห็นรายการไฟล์และโฟลเดอร์ แทนที่จะเป็นหน้าเว็บ เมื่อคุณพยายามเข้าถึงเว็บไซต์ ตัวอย่างเช่น คุณมีไดเร็กทอรีชื่อ private (ตัวอย่าง) ในเว็บไซต์ของคุณ พูด www.example.com . หากการเรียกดูไดเรกทอรีไม่ถูกปิดใช้งานในไดเรกทอรีนี้ แสดงว่ามีคนพิมพ์ www.example.com/private/ พวกเขาจะเห็นไฟล์และโฟลเดอร์ทั้งหมดภายใต้ไดเร็กทอรี private

นี่อาจเป็นหายนะสำหรับไซต์ของคุณ เนื่องจากข้อมูลนี้สามารถให้ข้อมูลมากมายแก่แฮ็กเกอร์จอมวางแผน ใครสามารถวางแผนโจมตีไซต์ของคุณโดยมีความรู้เกี่ยวกับลำดับชั้นของไฟล์ไซต์ของคุณได้บ้าง การปิดใช้งานการเรียกดูไดเรกทอรีใน WordPress โดยใช้ htaccess จะเป็นการจำกัดระดับการเข้าถึงเว็บไซต์ของคุณ

ในการปิดใช้งานการเรียกดูไดเร็กทอรีสำหรับไดเร็กทอรีเฉพาะ ให้สร้างไฟล์ .htaccess ในเท็กซ์เอดิเตอร์ของคุณและบันทึกเป็น .htaccess (โดยไม่ต้องมีนามสกุลไฟล์เพิ่มเติม) จากนั้นเพิ่มรหัสต่อไปนี้และจำกัดการเข้าถึงไฟล์ WordPress ของคุณ

# disable directory browsing

Options All -Indexes

เมื่อคุณเพิ่มโค้ดแล้ว ให้อัปโหลดไฟล์ .htaccess ที่สร้างขึ้นใหม่นี้ลงในไดเร็กทอรีที่คุณต้องการปิดใช้งานคุณลักษณะนี้ ตัวอย่างเช่น หากคุณต้องการปิดใช้งานการเรียกดูไดเร็กทอรีสำหรับโฟลเดอร์ wp-includes ให้อัปโหลดไฟล์ .htaccess นี้ลงในโฟลเดอร์ wp-includes เหมือนที่ทำก่อนหน้านี้ผ่านตัวจัดการไฟล์

vi. การบล็อกที่อยู่ IP เฉพาะไม่ให้เข้าถึงไซต์

คุณจะสังเกตเห็นว่าผู้ใช้บางรายจากที่อยู่ IP บางแห่งได้ส่งสแปมซ้ำๆ เริ่มการพยายามแฮ็ค หรือเพียงแค่พยายามเข้าถึงผู้ใช้โดยไม่ได้รับอนุญาตไปยังไซต์ WordPress ของคุณ คุณสามารถขัดขวางการเข้าถึงของผู้ใช้ WordPress โดยไม่ได้รับอนุญาตได้อย่างสมบูรณ์โดยบล็อกที่อยู่ IP ของเขาไม่ให้เข้าถึงไซต์ของคุณโดยใช้ไฟล์ .htaccess ในการทำเช่นนั้น ให้คัดลอกโค้ดที่ให้ไว้ด้านล่างลงในไฟล์ .htaccess ของคุณ

<Limit GET POST>

order allow,deny

deny from 123.456.78.9

allow from all

</Limit>

ที่อยู่ IP ที่อยู่ในโค้ดด้านบนเป็นเพียงหุ่นจำลอง คุณสามารถแทนที่ค่าเหล่านี้ด้วยที่อยู่ IP ที่คุณต้องการบล็อก หากคุณมีหลายอัน ให้เพิ่มทีละรายการแยกกันในบรรทัดที่มีลักษณะดังนี้:

deny from 213.546.87.9

หากแทนที่จะเป็นที่อยู่ IP แบบเต็ม คุณต้องการปฏิเสธการเข้าถึงบล็อกของที่อยู่ IP เพียงข้าม octet สุดท้ายตามที่แสดงด้านล่าง

deny from 213.546.87.9

ซึ่งจะบล็อกที่อยู่ IP ทั้งหมดจาก 213.546.87.0 ถึง 213.546.87.255

หากคุณบล็อกที่อยู่ IP ของผู้ดูแลเว็บไซต์หรือสมาชิกในทีมโดยไม่ได้ตั้งใจ โปรดดูคำแนะนำเกี่ยวกับวิธีอนุญาตที่อยู่ IP ของเรา

vii. การบล็อกบางโดเมนไม่ให้เข้าถึงเว็บไซต์ของคุณ

คุณอาจไม่สามารถทราบที่อยู่ IP เฉพาะที่ส่งสแปมถึงคุณได้ตลอดเวลา อย่างไรก็ตาม คุณอาจรู้ว่าการโจมตีเหล่านี้มาจากลิงก์ที่โพสต์ในโดเมนที่เป็นอันตรายบางโดเมน .htaccess ช่วยให้คุณสามารถบล็อกผู้เยี่ยมชมที่เข้าถึงไซต์ของคุณจากลิงก์จากเว็บไซต์ที่เป็นอันตรายดังกล่าวได้

หากต้องการบล็อกชื่อโดเมน ให้เพิ่มรหัสต่อไปนี้ในไฟล์ .htaccess ของคุณ

SetEnvIfNoCase Referer "badsite.com" bad_referer

Order Allow,Deny

Allow from ALL

Deny from env=bad_referer

ในโค้ดด้านบน ให้แทนที่ 'badsite' ด้วยโดเมนที่คุณต้องการบล็อก ในการทำเช่นนั้น เมื่อใดก็ตามที่ผู้ใช้พยายามเข้าถึงเว็บไซต์ของคุณจากโดเมนที่คุณบล็อก เขาจะได้รับข้อความแสดงข้อผิดพลาดและจะไม่สามารถเข้าถึงเว็บไซต์ของคุณได้

2. ทางเลือกอื่น

แม้ว่าโซลูชันทั้งหมดข้างต้นจะมีประสิทธิภาพในการจำกัดการเข้าถึงไฟล์และไดเร็กทอรีใน WordPress แต่ก็ปฏิเสธไม่ได้ว่ามีความเสี่ยงสูงต่อเว็บไซต์ของคุณ ทำไม เพราะคุณกำลังเล่นซอกับไฟล์การกำหนดค่าที่สำคัญมาก แม้แต่จุดที่วางผิดที่ก็สามารถขัดขวางการทำงานของไซต์ของคุณได้! น่ากลัวใช่มั้ย

ดังนั้น หากคุณไม่ใช่ผู้เชี่ยวชาญ ควรใช้ปลั๊กอินความปลอดภัยสำหรับเว็บไซต์ WordPress เพราะจะช่วยให้เว็บไซต์ของคุณแข็งแกร่งขึ้น ปลั๊กอิน WordPress ชื่อ MalCare สามารถดูแลด้านความปลอดภัยของไซต์ของคุณได้ ไม่ว่าจะเป็นการขึ้นบัญชีดำที่อยู่ IP เฉพาะ ใช้มาตรการเสริมความแข็งแกร่งของเว็บไซต์ ปกป้องหน้าเข้าสู่ระบบของคุณ สแกนหามัลแวร์ หรือมาตรการรักษาความปลอดภัยที่สำคัญมากมาย MalCare ทำทุกอย่าง!

สำหรับโซลูชันการรักษาความปลอดภัยเว็บไซต์ที่สมบูรณ์

ลอง มาลแคร์ ฟรี!