คุณอาจทราบมาตรการรักษาความปลอดภัยที่ชัดเจนในการปกป้องเว็บไซต์ WordPress ของคุณแล้ว
อาจเป็นไปได้ว่าคุณรู้ว่าคุณต้องทำให้รหัสผ่านของไซต์ของคุณ "เข้มงวด" (ทั้งอักขระพิเศษ อักษรตัวพิมพ์ใหญ่ อักษรตัวพิมพ์เล็ก และตัวเลข) คุณไม่ควรใช้ “admin” เป็นชื่อผู้ใช้ และคุณควรเปลี่ยนรหัสผ่านบ่อยๆ คุณอาจใช้การรับรองความถูกต้องด้วยสองปัจจัยบนไซต์ WordPress ของคุณและสำรองข้อมูลไซต์ของคุณแล้ว และคุณไม่เคยดาวน์โหลดปลั๊กอินพรีเมียมฟรีหรือจากแหล่งที่ไม่รู้จัก แล้วมีอะไรอีกบ้าง?
เราจะพูดถึงเคล็ดลับการรักษาความปลอดภัยของ WordPress เพิ่มเติมโดยใช้วิธีการที่ไม่ค่อยมีใครรู้จัก แต่มีประสิทธิภาพอย่างยิ่งที่คุณสามารถใช้ได้และควรใช้เพื่อปกป้องไซต์ WordPress ของคุณ
1. เปลี่ยนชื่อหรือย้ายหน้าเข้าสู่ระบบของคุณ
หน้าเข้าสู่ระบบเริ่มต้นสำหรับเว็บไซต์ของคุณคือ “www.websitename.com/wp-login.php” (หรือ “www.websitename.com/wp-admin”) วิธีหนึ่งในการปกป้องไซต์ของคุณคือการซ่อนหรือปิดบังหน้าเข้าสู่ระบบ เพื่อไม่ให้แฮกเกอร์หาเจอได้ง่าย การควบคุมการเข้าถึงการเข้าสู่ระบบของคุณโดยการจำกัดจำนวนครั้งในการเข้าสู่ระบบแต่ละครั้งและช่วงเวลาระหว่างการทดลองเข้าสู่ระบบจะช่วยปรับปรุงความปลอดภัย
หากคุณได้ติดตั้ง Jetpack แล้ว คุณสามารถเปิดใช้งานโมดูล “การป้องกันกำลังดุร้าย” ได้ เมื่อเปิดใช้งานโมดูลนี้ Jetpack จะอัปเดตแดชบอร์ดด้วยจำนวนครั้งที่พยายามเข้าสู่ระบบที่เป็นอันตรายในเว็บไซต์ของคุณ คุณยังมีตัวเลือกในการอนุญาตที่อยู่ IP จำนวนหนึ่ง จาก Jetpack ไปที่ "การตั้งค่า" จากนั้นไปที่ "ป้องกัน" ตามด้วย "กำหนดค่า" และคุณจะเห็นสิ่งที่ดูเหมือนภาพด้านล่าง
Cerber Security และ Limit Login Attempt เป็นปลั๊กอินทางเลือกสำหรับ Jetpack หากคุณไม่ต้องการใช้ Jetpack การจำกัดการเข้าสู่ระบบเป็นตัวเลือก ณ วันที่เขียน ปลั๊กอินได้รับการติดตั้งมากกว่า 40,000 ครั้ง และรักษาชื่อเสียงที่แทบไม่มีมลทิน เนื่องจากผู้ใช้ 108 คนจาก 111 คนให้คะแนน 5 ดาว
การจำกัดการเข้าสู่ระบบนั้นค่อนข้างใช้งานง่าย แต่การกำหนดค่าส่วน "การแข็งตัว" จะช่วยปรับปรุงความปลอดภัยของเว็บไซต์ของคุณ การเข้าถึงเซิร์ฟเวอร์ XML-RPC ทั้งหมดซึ่งรวมถึง trackbacks และ pingbacks จะถูกบล็อกโดยค่าเริ่มต้น หากคุณต้องการเข้าถึง API ส่วนที่เหลือของ WordPress ด้วยเหตุผลใดก็ตาม (เช่น แอป Android หรือ iOS ของบล็อกของคุณจำเป็นต้องใช้) ให้เข้าถึง WP rest API และ XML-RPC
2. โฮสต์ในที่ที่ปลอดภัย
เนื่องจากการละเมิดความปลอดภัยของไซต์ WordPress มากถึงสี่สิบเอ็ดเปอร์เซ็นต์นั้นมาจากส่วนท้ายของโฮสต์และไม่ใช่ตัวไซต์เอง เป็นเรื่องปกติที่จะตรวจสอบให้แน่ใจว่าโฮสต์ของคุณปลอดภัย อันที่จริง โฮสติ้งนั้นมีน้ำหนักมากที่สุดในแง่ของความปลอดภัย มีการแฮ็กเพียงแปดเปอร์เซ็นต์เนื่องจากรหัสผ่านที่ไม่รัดกุม ร้อยละ 29 เนื่องจากธีม และร้อยละ 22 เนื่องจากปลั๊กอิน ความปลอดภัยของเว็บไซต์ของคุณประมาณครึ่งหนึ่งขึ้นอยู่กับการโฮสต์
ตรวจสอบให้แน่ใจว่าบัญชีของคุณมีการแยกบัญชีหากคุณใช้โฮสติ้งที่ใช้ร่วมกัน บัญชีของคุณจะได้รับการปกป้องจากสิ่งที่เกิดขึ้นบนเว็บไซต์ของผู้อื่น อย่างไรก็ตาม เป็นการดีที่สุดที่คุณจะใช้บริการที่ออกแบบโดยคำนึงถึงผู้ใช้ WordPress บริการดังกล่าวจะรวมถึงไฟร์วอลล์ WordPress, การป้องกันการโจมตีด้วยมัลแวร์ซีโร่เดย์, MySQL และ PHP ที่อัปเดต, เซิร์ฟเวอร์ WordPress เฉพาะ และบริการลูกค้าที่เชี่ยวชาญใน WordPress โฮสต์ เช่น WP Engine, Siteground และ Pagely มีประวัติด้านความปลอดภัยที่เข้มงวด
3. อัปเดตและใช้เฉพาะซอฟต์แวร์ที่อัปเดตเท่านั้น
คุณรู้ว่าคุณต้องใช้โปรแกรมป้องกันไวรัสที่อัปเดตและการป้องกันมัลแวร์ที่เกี่ยวข้องอื่นๆ สำหรับคอมพิวเตอร์ของคุณ ข้อควรระวังนี้รวมถึงปลั๊กอินและธีมด้วย อัปเดตให้ทันสมัยอยู่เสมอ และหากคุณมีธีมหรือปลั๊กอินในที่เก็บของคุณที่ไม่ได้ใช้งาน ให้ลบออก หากเหมาะกับไซต์ของคุณ ให้พิจารณาตั้งค่าปลั๊กอินและธีมให้อัปเดตโดยอัตโนมัติ ในการตั้งค่าการอัปเดตอัตโนมัติ ให้ใส่โค้ดลงใน wp-config.php ต่อไปนี้เป็นรหัสสำหรับปลั๊กอิน:
add_filter( 'auto_update_plugin', '__return_true' );
และสำหรับธีม ให้ใช้โค้ดนี้:
add_filter( 'auto_update_theme', '__return_true' );
หากคุณต้องการวิธีการดูแลเว็บไซต์แบบไม่ต้องลงมือเอง คุณอาจพิจารณาทำให้การอัปเดต WordPress เป็นแบบอัตโนมัติ อย่างไรก็ตาม โปรดทราบว่าการตั้งค่าการอัปเดตอัตโนมัติอาจทำให้ไซต์ของคุณเสียหาย โดยเฉพาะอย่างยิ่งหากปลั๊กอินที่เข้ากันไม่ได้กับการอัปเดตล่าสุดของ WordPress ทำงานบนไซต์ของคุณ ในการตั้งค่าการอัปเดตอัตโนมัติสำหรับไซต์ WordPress ของคุณ ให้ใส่โค้ดด้านล่างลงใน wp-config.php ของคุณ ไฟล์:
# เปิดใช้งานการอัปเดตหลักทั้งหมด รวมทั้ง minor และ major:define( 'WP_AUTO_UPDATE_CORE', true );
4. ลบตัวแก้ไขธีมปลั๊กอินและการรายงานข้อผิดพลาด PHP
ปิดการใช้งานตัวแก้ไขในตัวสำหรับปลั๊กอินและธีม หากคุณไม่ได้ปรับแต่งและเปลี่ยนการตั้งค่าเป็นประจำ (หรือทำการบำรุงรักษาอื่นๆ บนปลั๊กอินและธีมของคุณ) ทั้งนี้เพื่อความปลอดภัยของเว็บไซต์ของคุณ
ผู้ใช้ WordPress ที่ได้รับอนุญาตสามารถเข้าถึงตัวแก้ไขนี้ได้ ทำให้ไซต์ของคุณเสี่ยงต่อการละเมิดความปลอดภัยหากบัญชีของพวกเขาถูกแฮ็ก อันที่จริง แฮกเกอร์สามารถทำลายไซต์ของคุณได้โดยการแก้ไขโค้ดในตัวแก้ไขนั้น หากต้องการปิดใช้งานตัวแก้ไข ให้ใส่โค้ดด้านล่างลงใน wp-config.php . ของคุณ :
define( 'DISALLOW_FILE_EDIT', true );
การรายงานข้อผิดพลาดเป็นสิ่งที่ดี ช่วยคุณในการแก้ไขปัญหา ปัญหาเดียว (และเป็นปัญหาใหญ่) คือข้อความแสดงข้อผิดพลาดยังมีเส้นทางเซิร์ฟเวอร์ของคุณอีกด้วย แฮกเกอร์สามารถดูเส้นทางเซิร์ฟเวอร์ของคุณและทำความเข้าใจโครงสร้างเว็บไซต์ของคุณได้อย่างง่ายดาย แม้ว่าการรายงานข้อผิดพลาดของ PHP จะดี แต่ก็เป็นการปิดการใช้งานที่ดีที่สุด ใช้ข้อมูลโค้ดด้านล่างสำหรับ wp-config.php . ของคุณ ไฟล์:
error_reporting(0);@ini_set('display_errors', 0);
5. ใช้ .htaccess เพื่อปกป้องไฟล์วัตถุประสงค์พิเศษ
ไฟล์ .htaccess มีความสำคัญเนื่องจากเป็นหัวใจสำคัญของเว็บไซต์ WordPress ของคุณ ไฟล์นี้รับผิดชอบโครงสร้างลิงก์ถาวรและความปลอดภัยของไซต์ของคุณ ภายนอก #BEGIN WordPress
และ #END WordPress
ไม่จำกัดจำนวนข้อมูลโค้ดที่คุณสามารถเพิ่มลงในไฟล์ .htaccess ของคุณเพื่อเปลี่ยนการเปิดเผยไฟล์ภายในไดเร็กทอรีของเว็บไซต์ของคุณ
หากคุณยังไม่ได้ดำเนินการดังกล่าว ให้ซ่อนไฟล์ wp-config.php ของเว็บไซต์ของคุณ ไฟล์ดังกล่าวมีส่วนสำคัญต่อกิจกรรมในไซต์ของคุณและมีข้อมูลส่วนบุคคลของคุณ ตลอดจนรายละเอียดที่สำคัญอื่นๆ ที่เกี่ยวข้องกับไซต์ของคุณ คุณสามารถใช้ข้อมูลโค้ดด้านล่างเพื่อซ่อนได้
<พรี>อนุญาต,ปฏิเสธจากทั้งหมดในการจำกัดการเข้าถึงของผู้ดูแลระบบ เพียงแค่สร้างไฟล์ .htaccess ใหม่และอัปโหลดไปยังไดเร็กทอรี "wp-admin" ของคุณ หลังจากนั้น ให้ใส่โค้ดนี้:
ปฏิเสธคำสั่งซื้อ อนุญาตจาก 192.168.5.1 ปฏิเสธจากทั้งหมด
ป้อนที่อยู่ IP ของคุณในจุดที่ถูกต้อง ในการอนุญาตการเข้าถึง wp-admin ของคุณจากที่อยู่ IP หลายรายการ ให้ระบุที่อยู่ IP เหล่านั้น โดยแต่ละรายการในบรรทัดแยกกัน ตามที่ allow from IP Address
. คุณสามารถจำกัดการเข้าถึง wp-login.php ของคุณได้ในลักษณะเดียวกัน เพียงเพิ่มข้อมูลโค้ดนี้ลงใน .htaccess ของคุณ:
ปฏิเสธคำสั่งซื้อ อนุญาตปฏิเสธจากทั้งหมด # อนุญาตการเข้าถึงจากที่อยู่ IP ของฉัน อนุญาตจาก 192.168.5.1
หากคุณไม่ต้องการบล็อกที่อยู่ IP ทั้งหมด เพียงที่อยู่ IP เฉพาะที่ต้องการเข้าถึง wp-admin หรือ wp-login.php ของคุณ คุณอาจบล็อกที่อยู่ IP แต่ละรายการโดยใช้รหัสนี้:
order allow,denydeny from 456.123.8.9allow from all
คุณยังสามารถบล็อกไม่ให้ผู้อื่นดูไดเรกทอรีไซต์ของคุณด้วยการทำให้ไม่สามารถเรียกดูไดเร็กทอรีได้ คุณสามารถใช้ข้อมูลโค้ดนี้เพื่อทำสิ่งนั้น:
ตัวเลือกทั้งหมด -ดัชนี
บทสรุป
นี่เป็นคู่มือที่นำไปใช้ได้จริงเพื่อช่วยปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณ ตัวเลือกที่สำคัญที่สุดของตัวเลือกเหล่านี้คือตัวเลือกที่ใช้งานได้ง่ายในตอนนี้ ให้ค้นหาโฮสต์ที่มีชื่อเสียงด้านความปลอดภัย เนื่องจากความปลอดภัยของเว็บไซต์ครึ่งหนึ่งอยู่ที่โฮสต์ของคุณ
เคล็ดลับความปลอดภัยข้อใดเป็นประโยชน์กับคุณมากที่สุด และเพราะเหตุใด คุณมีเคล็ดลับความปลอดภัยอื่นๆ ที่ไม่ได้ระบุไว้ที่นี่หรือไม่ พูดถึงมัน (หรือพวกเขา) ในความคิดเห็น