ทำไมจึงต้องมีการรักษาความปลอดภัยเว็บไซต์ ?
เว็บบล็อกวันนี้กลายเป็นงานอดิเรกของผู้คนจำนวนมากและ WordPress เป็นแพลตฟอร์มที่เลือกใช้มากที่สุดสำหรับสิ่งเดียวกัน โดยค่าเริ่มต้น บล็อก wordpress ใช้ระดับความปลอดภัยขั้นต่ำ และไฟล์และ/หรือปลั๊กอินมักจะล้าสมัย ไฟล์เหล่านี้สามารถตรวจสอบย้อนกลับได้และเสี่ยงต่อการถูกแฮ็กได้ง่าย อินเทอร์เน็ตไม่ใช่สถานที่ทำงานที่ปลอดภัย และเราต้องระวังเพียงพอเกี่ยวกับความปลอดภัย
บทความนี้กล่าวถึงเคล็ดลับและเทคนิคง่ายๆ ที่มือใหม่สามารถนำไปใช้ได้ เพื่อความปลอดภัยของบล็อกและข้อมูลที่จัดเก็บไว้ใน WordPress
เคล็ดลับ #1 ใช้ชื่อผู้ใช้และรหัสผ่านที่ปลอดภัยและไม่ซ้ำใคร
- หลีกเลี่ยงการใช้ User : admin สำหรับการเริ่มต้น
- ผู้ใช้ยังสามารถสร้างผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบและลบชื่อผู้ใช้ ‘admin’ เก่าได้
- ปลั๊กอิน WordPress เช่นUsername Changerยังสามารถใช้เพื่อเปลี่ยนชื่อผู้ใช้เป็นสิ่งที่ปลอดภัยยิ่งขึ้น พยายามหลีกเลี่ยงการใช้ชื่อผู้ใช้ทั่วไป เช่น ชื่อของคุณหรือ ‘ผู้ดูแลระบบ’ ซึ่งสามารถเดาได้ง่าย
- เลือกรหัสผ่านที่ซับซ้อนซึ่งประกอบด้วยตัวอักษร ตัวเลข และอักขระ อย่าเลือกรหัสผ่านที่คล้ายกับชื่อผู้ใช้ ชื่อเว็บไซต์ หรือคำง่ายๆ ที่มีการเปลี่ยนแปลงเล็กน้อย
- ขอแนะนำให้ใช้สตริงอักขระแบบสุ่ม
เคล็ดลับ #2 การเปิดใช้งานการตรวจสอบสิทธิ์สองขั้นตอน
- ผู้ใช้จำเป็นต้องมีบัญชี WordPress ซึ่งสามารถสร้างขึ้นได้โดยการคลิกที่นี่ หากผู้ใช้มีบัญชี WordPress อยู่แล้ว ให้ข้ามขั้นตอนนี้
- คลิกที่นี่เพื่อเปิดใช้งานการตรวจสอบสองขั้นตอน ผู้ใช้ถูกเปลี่ยนเส้นทางไปยังหน้าต่อไปนี้
- หลังจากคลิก Get Started หน้าจอต่อไปนี้จะปรากฏขึ้น
- เลือกตัวเลือกยืนยันผ่าน SMS
- WordPress จะส่งรหัสยืนยันทาง SMS ซึ่งผู้ใช้จะต้องป้อนเพื่อยืนยันหมายเลข
- ป้อนรหัสที่ส่งไปยังมือถือของคุณอย่างถูกต้อง จากนั้นจะมีรหัสสำรองจำนวนมากซึ่งสามารถใช้เป็นทางเลือกในการเข้าถึงไซต์ได้หากมือถือถูกขโมยหรือสูญหายหรือสถานการณ์ที่โทรศัพท์ไม่สามารถเข้าถึงได้เพื่อรับรหัส บันทึกรหัสเหล่านี้ในไฟล์ข้อความ
- คุณได้เปิดใช้งานการยืนยันแบบสองขั้นตอนแล้ว
เคล็ดลับ #2 การใช้ปลั๊กอิน
เพื่อป้องกันการโจมตี Brute Force มีปลั๊กอินที่ยอดเยี่ยมสองตัว
- ปลั๊กอิน All in One WP Security & Firewall มีตัวเลือกที่เพียงแค่เปลี่ยน URL เริ่มต้น (/wp-admin/) สำหรับแบบฟอร์มการเข้าสู่ระบบนั้น ปลั๊กอินนี้ยังช่วยในการจำกัดจำนวนครั้งในการเข้าสู่ระบบจากที่อยู่ IP ที่แน่นอน
- อีกคนหนึ่งคือBruteProtect ปลั๊กอินนั้นเพิ่งได้รับมาโดยAutomatticผู้สร้าง WordPress ปลั๊กอินจะดูแลปกป้องแบบฟอร์มการเข้าสู่ระบบของผู้ใช้โดยอัตโนมัติจากที่อยู่ IP ที่มีแนวโน้มที่จะพยายามเข้าสู่ระบบหลายครั้ง
เคล็ดลับ #3 ย้าย wp-config ขึ้นหนึ่งไดเร็กทอรีแล้วล็อกไว้
- ผู้ใช้สามารถย้ายไฟล์ wp-config.php ไปยังไดเร็กทอรีเหนือการติดตั้ง WordPress ของคุณ ซึ่งหมายความว่าสำหรับไซต์ที่ติดตั้งในรูทไดเร็กทอรีของเว็บสเปซของคุณ คุณสามารถจัดเก็บ wp-config.php นอกโฟลเดอร์รูทของเว็บไซต์ได้
- นี่คือลักษณะของ wp-config:
หากเซิร์ฟเวอร์ที่ใช้มาพร้อมกับ .htaccess ให้เพิ่มโค้ดนี้ที่ด้านบนสุดของไฟล์ซึ่งจะปฏิเสธการเข้าถึงไม่ให้ใครก็ตามที่ท่องเว็บ :
<files wp-config.php>
order allow,deny
deny from all
</files>เคล็ดลับ #4 อัปเดต WordPress อยู่เสมอ
สมมติว่าผู้ใช้ติดตั้งเซิร์ฟเวอร์ Wamp :
- เริ่มเซิร์ฟเวอร์ wamp
- เปิดไซต์ WordPress โดยใช้ localhost
- ใต้ส่วนแดชบอร์ดให้คลิกที่อัปเดต
- ในกรณีของฉัน ฉันได้อัปเดต WordPress ของฉันแล้ว สำหรับฉัน มันแสดงให้เห็นว่า ‘คุณมีเวอร์ชันล่าสุดแล้ว’
- สำหรับผู้ที่มีเวอร์ชั่นล่าสุดจะมีตัวเลือกให้อัพเดท คลิกที่มัน เสร็จแล้ว!!
เคล็ดลับ #5 การเปลี่ยนการอนุญาตไฟล์
ผู้ใช้ที่มีสิทธิ์เข้าถึงเชลล์ในเซิร์ฟเวอร์ สิทธิ์ของไฟล์สามารถเปลี่ยนแปลงซ้ำได้โดยใช้คำสั่งต่อไปนี้:
สำหรับไดเรกทอรี:
ค้นหา /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
สำหรับไฟล์:
ค้นหา /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
เคล็ดลับ #6 กำหนดเวลาการสำรองข้อมูลปกติ
- สำรองข้อมูลอย่างสม่ำเสมอ รวมถึงMySQL .ของคุณ
- ความสมบูรณ์ของข้อมูลเป็นสิ่งสำคัญมากสำหรับการสำรองข้อมูลที่เชื่อถือได้
- แผนสำรองข้อมูลที่ดีอาจเกี่ยวข้องกับการเก็บชุดสแน็ปช็อตตามกำหนดเวลาของการติดตั้ง WordPress ทั้งหมดของคุณ (รวมถึงไฟล์หลักของ WordPress และฐานข้อมูลของคุณ) ในตำแหน่งที่เชื่อถือได้
เคล็ดลับ # 7 ลบ readme และไฟล์ที่ไม่จำเป็น
- WordPress มี readme.html เริ่มต้น และปลั๊กอินและธีมมากมายที่มาพร้อมกับมัน
- ควรลบออกเนื่องจากสามารถใช้สำหรับลายนิ้วมือหรือการสอดแนมทั่วไปและมักมีข้อมูลเวอร์ชัน
- ลบไฟล์ขยะออกจากโฟลเดอร์
เคล็ดลับ #8 การเปิดใช้งานการเข้าสู่ระบบ SSL
· หากไซต์มีใบรับรองSSLสามารถเปิดใช้งานการเข้าสู่ระบบSSLได้
· ในการเปิดใช้งาน SSL Certificate เว็บไซต์ของคุณต้องสามารถเข้าถึงได้โดยใช้ https
- เพิ่มชิ้นต่อไปนี้รหัสไปไฟล์ WP-config
| define(‘FORCE_SSL_LOGIN’, true);// สำหรับการเข้าสู่ระบบเท่านั้น define(‘FORCE_SSL_ADMIN’, true);// สำหรับผู้ดูแลระบบทั้งหมด |
เคล็ดลับ #9: ถาม Apache Password Protect
- ปลั๊กอินนี้ช่วยให้ผู้ใช้ควบคุมบล็อกได้มากขึ้นในแง่ของความปลอดภัย
- ผู้ใช้สามารถปกป้องไซต์ของคุณด้วยการอนุญาต 401 ในขั้นตอนง่ายๆ
ปลั๊กอินสามารถดาวน์โหลดได้จาก ที่นี่
ข้อมูลอ้างอิง:
http://wpsecure.net/secure-wordpress/
http://www.sitepoint.com/tips-to-secure-wordpress/
http://code.tutsplus.com/articles/11-quick-tips-securing-your-wordpress-site–wp-22446
https://www.geeksforgeeks.org/making-wordpress-website-secure/
