ลองคิดจากความคิดของแฮ็กเกอร์ คุณไม่ต้องการที่จะบุกเข้าไปในแพลตฟอร์มที่ใช้โดยเว็บไซต์หลายพันแห่งหรือลองบังคับแพลตฟอร์มด้วยหลายเว็บไซต์หรือไม่? ด้วยเครื่องมือเช่น WP-Scanner โอเพ่นซอร์สที่พร้อมใช้งาน แม้แต่สคริปต์มือสมัครเล่นตัวเล็กก็สามารถบุกเข้าไปในเว็บไซต์ WordPress ระดับมืออาชีพของคุณและสร้างประสบการณ์ที่น่าหวาดเสียวให้กับคุณได้ นอกจากนี้ wp-config.php เป็นไฟล์ครบวงจรที่สามารถสร้างหรือทำลายเว็บไซต์ของคุณได้ คุณจะปล่อยให้มันประนีประนอม? เรียนรู้ขั้นตอนในการรักษาความปลอดภัยไฟล์กำหนดค่า wp ในบทความนี้
WordPress มีหลายวิธีที่จะทำให้ตัวเองแข็งแกร่งขึ้นจากการละเมิดความปลอดภัยมากมายที่ต้องเผชิญ ในบทความนี้ เราจะเน้นไปที่ การรักษาความปลอดภัย wp-config.php . เป็นหลัก ไฟล์ซึ่งเป็นหนึ่งในไฟล์หลักที่อาจทำให้เกิดข้อผิดพลาดได้หากถูกแฮ็ก
บทความที่เกี่ยวข้อง – วิธีแก้ไขการแฮ็กแบ็คดอร์ของมัลแวร์ wp-vcd ใน WordPress functions.php
เกี่ยวกับไฟล์ wp-config.php
เมื่อสร้างเว็บไซต์ WordPress จะมีไฟล์ชื่อ ‘wp-config.php ’ ไฟล์กำหนดค่า WordPress พิเศษนี้เป็นหนึ่งในไฟล์ WordPress ที่สำคัญที่สุด ไฟล์นี้มีพารามิเตอร์การกำหนดค่ามากมายที่ต้องแก้ไขเพื่อความปลอดภัยของเว็บไซต์ WordPress ของคุณ เมื่อคุณเปิดไฟล์นี้ คุณจะพบข้อมูลทั้งหมดที่คุณป้อนขณะตั้งค่าฐานข้อมูลสำหรับเว็บไซต์ WordPress ของคุณ
เก็บข้อมูลเช่นชื่อผู้ใช้ รหัสผ่าน – ข้อมูลที่จำเป็นทั้งหมดที่จำเป็นในการเข้าถึงฐานข้อมูล ยิ่งไปกว่านั้น ยังมีชุดคีย์ลับที่ช่วยรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณได้หลายวิธี ด้านล่างนั้น คุณจะได้รับตัวแปรชื่อ 'table_prefix' ซึ่งมีความสำคัญอย่างยิ่งในเรื่องความปลอดภัยของข้อมูล ด้วยข้อมูลสำคัญทั้งหมดที่เขียนลงในไฟล์นี้ การรักษาความปลอดภัยไฟล์ wp-config.php มีความสำคัญอย่างยิ่ง หากใครสามารถจับข้อมูลที่เขียนไว้ในไฟล์นี้ได้ ลองนึกภาพภัยพิบัติที่จะเกิดขึ้นบนเว็บไซต์ของคุณ
วิธีการรักษาความปลอดภัยไฟล์ wp-config.php
ตอนนี้ให้เราพูดถึงขั้นตอนที่เป็นไปได้ซึ่งสามารถใช้สำหรับ การรักษาความปลอดภัย wp-config.php ไฟล์เว็บไซต์ WordPress ของคุณ:
1. การป้องกันผ่านไฟล์ .htaccess
- เชื่อมต่อเว็บไซต์ WordPress ของคุณโดยใช้ไคลเอนต์ FTP (ใช้ SFTP ของ FTPES เพื่อเข้ารหัสการสื่อสารระหว่างคอมพิวเตอร์และเซิร์ฟเวอร์) และดาวน์โหลดไฟล์ .htaccess ซึ่งสามารถพบได้ในไดเรกทอรีรากของเว็บไซต์ WordPress ของคุณ
- เปิดไฟล์ .htaccess โดยใช้โปรแกรมแก้ไขข้อความใดๆ
- รวมบรรทัดของรหัสต่อไปนี้ที่ส่วนท้ายของไฟล์ .htaccess:
#secure wp-config.php
<files wp-config.php>
order allow, deny
deny from all
</files>
บรรทัดเหล่านี้โดยทั่วไปจะบล็อกการเข้าถึง wp-config.php ของคุณจากการแฮ็กภายในและการแก้ไขโค้ด ดังนั้น การรักษาความปลอดภัยไฟล์ wp-config.php .
เมื่อคุณแก้ไขเสร็จแล้ว ให้บันทึกไฟล์โดยใช้ "บันทึกเป็นประเภท" และเลือก "ไฟล์ทั้งหมด" เพื่อไม่ให้โปรแกรมแก้ไขข้อความเปลี่ยนประเภทไฟล์เป็นอย่างอื่น เมื่อบันทึกแล้ว ให้อัปโหลดกลับโดยใช้ขั้นตอนการเชื่อมต่อเดิมไปยังโฟลเดอร์รูทของเว็บไซต์ WordPress และเขียนทับไฟล์เก่า
2. การย้าย wp-config.php
โดยปกติ ไฟล์ wp-config.php จะอยู่ในไดเร็กทอรีราก ตอนนี้การปล่อยให้แฮ็กเกอร์แอบเข้าไปในไดเร็กทอรีรากเป็นสิ่งที่คุณไม่เคยต้องการ ดังนั้นแนวปฏิบัติที่ดีที่สุดคือการย้ายไฟล์ wp-config.php ไปยังตำแหน่งที่คาดเดาไม่ได้เพื่อรักษาความปลอดภัยข้อมูลสำคัญที่จัดเก็บไว้ในไฟล์ แม้ว่าจะเป็นงานที่ยากและใช้เวลานาน แต่ในท้ายที่สุด เป็นส่วนสำคัญในการตัดสินชะตากรรมของการรักษาความปลอดภัยของเว็บไซต์ WordPress ของคุณ นอกจากนี้ ทุกครั้งที่อัปเกรด คุณจะต้องทำการเปลี่ยนแปลงซอร์สโค้ด WordPress และรักษาไว้
โดยปกติ ไฟล์ wp-config.php จะได้รับการรักษาความปลอดภัยโดยการย้ายขึ้นหนึ่งระดับ ดังนั้นจึงวางไว้นอกโฟลเดอร์สาธารณะของเว็บไซต์ของคุณ ดังนั้นตัวเลือกที่ดีที่สุดคือการเลื่อนขึ้นและในตำแหน่งที่ไม่เปิดเผยในไดเรกทอรีเว็บไซต์ของคุณ ขณะทำงานแบบออฟไลน์ คุณสามารถทำได้โดยใช้คุณลักษณะการลากแล้ววางอย่างง่าย อย่างไรก็ตาม ในขณะที่ทำงานออนไลน์ คุณต้องทำตามขั้นตอนต่อไปนี้:
- ใช้เครื่องมือย้ายในตัวจัดการไฟล์
- เลือกไฟล์ wp-config.php
- เครื่องมือกดย้าย
- เปลี่ยนไดเร็กทอรีที่คุณต้องการใส่ไฟล์
กระบวนการนี้อาจทำได้ไม่ง่ายและอาจต้องพูดคุยกับโฮสต์ WordPress เพื่อให้แน่ใจว่าเซิร์ฟเวอร์เว็บไซต์ของคุณได้รับการตั้งค่าในลักษณะที่อนุญาต แต่การย้ายที่ตั้งของ wp-config.php ไม่ได้รับประกันความปลอดภัยอย่างสมบูรณ์ วิธีการเปลี่ยนเนื้อหาเพื่อให้ ปลอดภัย wp-config.php ไฟล์?
3. แก้ไขไฟล์ wp-config.php
คุณยังสามารถสร้างไฟล์การกำหนดค่าใหม่ได้ ไฟล์นี้ต้องสร้างในไดเร็กทอรีที่ไม่สามารถเข้าถึงได้ของ WWW เพื่อป้องกันการเข้าถึงจากภายนอกหรือผู้โจมตีจากภายนอก ต้องไม่ปรากฏในไฟล์ public_html ของเว็บไซต์ของคุณ ดังนั้นจึงไม่สามารถเข้าถึงได้จากผู้เยี่ยมชมเว็บไซต์ WordPress ของคุณ
ตอนนี้เปิดไฟล์ wp-config.php ปัจจุบันและย้ายบรรทัดที่มีรายละเอียดการเชื่อมต่อฐานข้อมูล คำนำหน้าฐานข้อมูล และคีย์ความปลอดภัย WordPress ต่อท้าย ที่จุดเริ่มต้นของไฟล์การกำหนดค่าใหม่และ ?> ที่ท้ายไฟล์
หลังจากย้ายข้อมูลที่ละเอียดอ่อนทั้งหมดจากไฟล์ wp-config.php แล้ว ให้เพิ่มบรรทัดต่อไปนี้เหมือนกับ คำในไฟล์ wp-config.php:
<?php
include(‘/home/yourusername/config.php’);
ดังนั้นเมื่อเปิด wp-config.php ข้อมูลที่ละเอียดอ่อนจะถูกรวมจากไฟล์แยกต่างหากซึ่งถูกจัดเก็บไว้ในตำแหน่งอื่นบนเว็บเซิร์ฟเวอร์ของคุณ ไม่มีข้อมูลที่ละเอียดอ่อนในไฟล์ wp-config.php หลักของคุณ ซึ่งทำให้มีความปลอดภัย อย่างไรก็ตาม เส้นทางการรวม (เช่น /home/yourusername/) แตกต่างจากเว็บเซิร์ฟเวอร์ไปยังเว็บเซิร์ฟเวอร์ ดังนั้น คุณจะต้องมีความรู้เพียงพอเกี่ยวกับเส้นทางที่แน่นอนของเว็บไซต์ของคุณ จากนั้นขั้นตอนนี้จะทำงานอย่างถูกต้องเท่านั้น
4. การตั้งค่าการอนุญาตไฟล์ที่ถูกต้องสำหรับ wp-config.php
wp-config เป็นหนึ่งในไฟล์ที่ละเอียดอ่อนที่สุดในไดเร็กทอรีทั้งหมด เนื่องจากมีข้อมูลทั้งหมดเกี่ยวกับคอนฟิกูเรชันพื้นฐานและข้อมูลการเชื่อมต่อฐานข้อมูล การอนุญาตไฟล์ .ที่เหมาะสม สำหรับไฟล์นี้จะเป็น 400 ซึ่งหมายความว่าผู้ใช้และกลุ่มมีสิทธิ์อ่านเท่านั้นและคนอื่น ๆ จะไม่สามารถเข้าถึงไฟล์ได้
บทสรุป – ไฟล์กำหนดค่า WP ที่ปลอดภัย
ดังนั้น นี่เป็นวิธีการบางอย่างในการ รักษาความปลอดภัย wp-config.php ไฟล์ซึ่งจะทำให้เว็บไซต์ WordPress ของคุณปลอดภัย ในฐานะผู้ดูแลระบบ WordPress คุณต้องตรวจสอบให้แน่ใจว่า wp-config.php ของคุณได้รับการกำหนดค่าตามขั้นตอนที่กล่าวถึงข้างต้น และให้ผู้ใช้ของคุณทราบถึงแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับเว็บไซต์ขององค์กร
ปลั๊กอินใหม่ต้องได้รับการตรวจสอบอย่างละเอียดเพื่อให้แน่ใจว่าช่องโหว่ที่ทราบได้รับการแก้ไขอย่างถูกต้อง ในฐานะผู้ดูแลระบบ คุณต้องสร้างสมดุลระหว่างความปลอดภัยกับการใช้ประโยชน์ – แทบไม่น่าเป็นไปได้ที่รหัสทั้งหมดของคุณจะมีความปลอดภัยร้อยละ และยิ่งคุณใช้ปลั๊กอินที่ได้รับความนิยมมากเท่าไร แฮ็กเกอร์ก็จะได้รับความสนใจมากขึ้นเท่านั้น เนื่องจากมีคนพยายามค้นหาช่องโหว่มากขึ้น ดังนั้น ด้วยแนวทางปฏิบัติด้านความปลอดภัยบางประการและการรับความช่วยเหลือจากบริษัทที่น่าเชื่อถือ เช่น Astra คุณสามารถรักษาความปลอดภัยไฟล์ wp-config.php และทำให้เว็บไซต์ WordPress ของคุณปลอดภัยได้ทั้งหมด