5 ภัยคุกคามความปลอดภัยเริ่มต้นใน WordPress และวิธีแก้ไขพวกเขา

ความปลอดภัยของ WordPress

WordPress เป็นซอฟต์แวร์โอเพ่นซอร์สที่ได้รับความนิยมอย่างมาก สิ่งที่ยอดเยี่ยมเกี่ยวกับการรักษาความปลอดภัยนั้นคือมีชุมชนขนาดใหญ่ที่ทำงานร่วมกับผู้ที่สามารถค้นพบข้อบกพร่องรวมถึงความเสี่ยงด้านความปลอดภัยได้เร็วกว่าหนึ่งด้วยโซลูชัน CMS ภายในองค์กร (มันยากที่จะทราบถึงจุดอ่อนเมื่อวิธีหนึ่งที่จะค้นพบคือการใช้ประโยชน์จากจุดอ่อนและการมีฐานผู้ใช้จำนวนมากทำให้มีโอกาสมากขึ้นที่จะค้นพบ)


ข้อเสียคือแฮ็กเกอร์ที่มีเจตนาไม่ดีรู้ว่าเว็บไซต์ของคุณสร้างขึ้นอย่างไร พวกเขามี “พิมพ์เขียว” ในไซต์ของคุณแล้ว และหากมีจุดอ่อนใด ๆ ในแกนกลางธีมหรือปลั๊กอินที่คุณใช้นั่นเป็นสิ่งที่พวกเขาจะสามารถรู้ได้โดยไม่ต้องเข้าถึงแบ็กเอนด์ของไซต์ของคุณ.

ดังนั้นในโพสต์นี้ฉันจะแสดงวิธีแก้ไขภัยคุกคามความปลอดภัย 5 ประการที่มีอยู่ในการติดตั้งเริ่มต้นของ WordPress อย่างสมบูรณ์ (หากคุณได้ดำเนินการตามข้อควรระวังแล้วคุณอาจพบว่าคุณได้แก้ไขหนึ่งหรือสองแล้ว แต่สิ่งสำคัญคือการแก้ไขทั้งห้าเพื่อลดความเสี่ยงของการถูกแฮ็ก)

ไซต์ของคุณแสดงว่าคุณกำลังใช้งาน WordPress รวมทั้งเวอร์ชันด้วย

เวอร์ชั่น WordPress

เวอร์ชันเริ่มต้นของ WordPress จะมีบรรทัดของรหัสที่ให้เว็บไซต์ของคุณสร้างขึ้นโดยใช้เวิร์ดเพรสแม้กระทั่งเวอร์ชันที่คนที่รู้จักจะมองหา ขึ้นอยู่กับธีมนั้นอาจปรากฏให้เห็นในทุกหน้าของเว็บไซต์ของคุณ.

เหตุผลนี้อาจมีความเสี่ยงด้านความปลอดภัยเนื่องจากผู้คนอาจกำหนดเป้าหมายเว็บไซต์ของคุณด้วยเหตุผลอื่นนอกจากสร้างบน WordPress หากมีคนพบจุดอ่อนด้านความปลอดภัยในแกน WordPress ธีมหรือปลั๊กอินพวกเขาอาจหาทางไปยังไซต์ของคุณเพื่อใช้ประโยชน์จากสิ่งนั้น ในขณะที่ถ้าคุณประสบความสำเร็จในการซ่อนเว็บไซต์ของคุณสร้างด้วย WordPress ผู้ที่ค้นหาไซต์ WordPress โดยใช้บอทหรือซอฟต์แวร์รวบรวมข้อมูลจะถูกหลอกให้คิดว่าเว็บไซต์ของคุณไม่ได้เป็นเป้าหมาย.

วิธีแก้ไข:
ในการแก้ไขปัญหานี้คุณสามารถใช้ปลั๊กอิน Hide My WP ด้วยปลั๊กอินเล็ก ๆ ที่มีประโยชน์นี้คุณสามารถหลีกเลี่ยงทราฟฟิกที่ไม่จำเป็นบนเซิร์ฟเวอร์ของคุณและในเวลาเดียวกันก็ยังปลอดภัยจากการโจมตีที่เจาะจงเว็บไซต์ WordPress เป็นพิเศษ.

ทุกคนรู้ว่าหน้าล็อกอิน / พื้นที่ผู้ดูแลของคุณตั้งอยู่ที่ไหน

เข้าสู่ระบบ WordPress

หากคุณยังคงแสดงให้เห็นว่าคุณใช้ WordPress (เช่นไม่ซ่อนตัวโดยใช้ปลั๊กอินเช่น Hide My WP) คนที่มีเจตนาไม่ดีจะทราบว่าจะพยายามโจมตีแบบโหดร้ายในเว็บไซต์ของคุณที่ไหน.

วิธีแก้ไข:
ในการแก้ไขปัญหานี้และลดโอกาสในการถูกแฮ็กและลดความเครียดของเซิร์ฟเวอร์เราต้องหยุดผู้คนและบอทที่เป็นอันตรายจากการเข้าสู่หน้าเข้าสู่ระบบของเรา.

มีสองวิธีหลักในการทำเช่นนี้ คุณสามารถเปลี่ยนตำแหน่งทางกายภาพของหน้าเข้าสู่ระบบเป็นอย่างอื่นโดยใช้ปลั๊กอิน (หรือโค้ดไม่กี่บรรทัด) หรือคุณสามารถ จำกัด การเข้าถึงหน้าเข้าสู่ระบบและพื้นที่ผู้ดูแลระบบของคุณโดยใช้ที่อยู่ IP คุณสามารถทำสิ่งนี้ได้ด้วยปลั๊กอินเฉพาะสำหรับสิ่งนี้หรือด้วยปลั๊กอินความปลอดภัยเช่นซูกุริ, Wordfence, iThemes Security Pro หรือ All In One WP ความปลอดภัยและไฟร์วอลล์.

WordPress มีคำนำหน้าตารางเริ่มต้นที่ทุกคนใช้

คำนำหน้าตาราง WordPress

คำนำหน้าตารางคือสิ่งที่มาก่อนชื่อของตารางในฐานข้อมูลของคุณ แทนที่จะเป็นผู้ใช้ด้วยคำนำหน้า WordPress มาตรฐานมันจะเป็น wp_users หากคุณใช้คำนำหน้าตารางเริ่มต้นจะช่วยให้ผู้ใช้เข้าถึงเว็บไซต์ของคุณได้ง่ายขึ้นโดยการใช้จุดอ่อนในการฉีด sql ที่เป็นไปได้ เพราะพวกเขารู้ว่าจะฉีดข้อมูลลงในฐานข้อมูลของคุณที่ไหนเพื่อเข้าถึงเว็บไซต์ของคุณ.

จริง ๆ แล้วฉันมีหนึ่งในเว็บไซต์ของฉันที่ถูกแฮ็กเนื่องจากการฉีด sql ดังนั้นนี่จึงเป็นภัยคุกคามที่แท้จริงที่คุณต้องรับมือกับ.

วิธีแก้ไข:
โชคดีที่การลบภัยคุกคามนี้ทำได้ง่ายมาก หากคุณได้ติดตั้ง WordPress โดยใช้คำนำหน้า wp_ เริ่มต้นคุณสามารถเปลี่ยนได้อย่างง่ายดายโดยใช้ปลั๊กอินเช่น Sucuri ก่อนอื่นคุณต้องสำรองฐานข้อมูลก่อนที่จะใช้ตัวเลือกนั้นเนื่องจากมีโอกาสเล็กน้อยที่จะมีบางอย่างผิดปกติ คุณสามารถทำได้ด้วยการคลิกปุ่ม จากนั้นคุณสามารถเลือกคำนำหน้าใหม่หรือเพียงแค่ให้ Sucuri สร้างคำนำหน้าใหม่แบบสุ่มให้คุณ.

หมายเหตุ: หากคุณเพิ่งติดตั้ง WordPress เป็นครั้งแรกคุณสามารถเปลี่ยนแปลงได้ในส่วนต่อประสานการติดตั้ง.

ไฟล์ WordPress Theme & Plugin สามารถแก้ไขได้ผ่านทางแดชบอร์ด

แก้ไขปลั๊กอิน WordPress

ปัญหาที่เกิดขึ้นคือถ้าแฮกเกอร์เข้าถึงเว็บไซต์ของคุณพวกเขาสามารถทำความเสียหายได้มากมาย พวกเขาสามารถทำให้เว็บไซต์ของคุณรบกวนผู้อื่นด้วยมัลแวร์ (ซึ่งอาจจบลงที่ไซต์ของคุณถูกขึ้นบัญชีดำของ Google และปิดท้ายจากเครื่องมือค้นหา) กำหนดไซต์ของคุณหรือเปิดนอกได้อย่างง่ายดาย.

วิธีแก้ไข:
คุณสามารถเพิ่มรหัสบรรทัดนี้ลงในไฟล์ wp-config.php ของคุณ:

define ('DISALLOW_FILE_EDIT', จริง);

หรือใช้ปลั๊กอินความปลอดภัยเพื่อทำเพื่อคุณ (ซึ่งโดยทั่วไปจะแทรกบรรทัดของรหัสนั้นให้คุณเท่านั้น) ปัญหาเดียวคือมีปลั๊กอินที่อนุญาตให้ผู้ใช้เปิดและปิดความสามารถนี้ดังนั้นแฮกเกอร์ที่ทุ่มเทมากอาจสามารถติดตั้งปลั๊กอินเปิดใช้ปลั๊กอินและเข้าถึงการแก้ไขโค้ดโดยไม่ต้องเข้าถึง FTP.

หากคุณต้องการอย่างละเอียดและป้องกันสิ่งนี้คุณสามารถปิดการใช้งานปลั๊กอินและการปรับปรุง / ติดตั้งธีมทั้งหมดโดยเพิ่มรหัสบรรทัดนี้ลงใน wp-config.php:

define ('DISALLOW_FILE_MODS', จริง);

แต่แน่นอนว่านี่หมายความว่าคุณจะต้องเปลี่ยนค่าเป็นเท็จทุกครั้งที่คุณต้องการอัปเดตหรือติดตั้งปลั๊กอินหรือธีม (เราไม่แนะนำตัวเลือกนี้จริง ๆ เนื่องจากการรักษาธีมและปลั๊กอินให้ทันสมัยเป็นหนึ่งในวิธีที่ดีที่สุด เพื่อให้แน่ใจว่าไซต์ของคุณมีความเสี่ยงน้อยลง).

WordPress มีการตั้งค่าไฟร์วอลล์ที่เปิดมากซึ่งสามารถอนุญาตให้บอทที่เป็นอันตรายแม้กระทั่งพยายามโจมตี

บริการไฟร์วอลล์ WordPress

การตั้งค่าไฟร์วอลล์เริ่มต้นของ WordPress นั้นอยู่ด้านเสรีนิยม ซึ่งหมายความว่าบอทที่ไม่ปลอดภัยและผู้เยี่ยมชมที่ไม่ต้องการอื่น ๆ จะได้รับแสงสีเขียว.

วิธีแก้ไข:
คุณสามารถทำให้ดีขึ้นได้โดยการติดตั้งกฎไฟร์วอลล์ blacklist 5G พื้นฐานโดยการคัดลอกมันลงในไฟล์. htaccess ด้วยตนเอง (คุณสามารถหาได้ที่นี่) หรือโดยการติดตั้ง ปลั๊กอินนี้, หรือใช้ปลั๊กอินความปลอดภัยเพื่อปรับกฎให้เหมาะสมใน. htaccess ของคุณ.

ความพยายามในการเข้าสู่ระบบ WordPress ไม่ จำกัด

ในขณะที่การตั้งค่าเริ่มต้นเป็นความพยายามในการเข้าสู่ระบบที่ไม่ จำกัด แน่นอนคุณอาจเลือก จำกัด การเข้าสู่ระบบเมื่อคุณติดตั้ง WordPress บนเว็บไซต์ของคุณ อย่างไรก็ตามหากคุณทำไม่ได้นั่นเป็นการแก้ไขที่ง่ายอย่างเหลือเชื่อ.

วิธีแก้ไข:
เพียงติดตั้ง ปลั๊กอินพยายาม จำกัด การเข้าสู่ระบบ. หรือถ้าคุณใช้โฮสติ้ง WPE เป็นคุณสมบัติที่พวกเขาได้ติดตั้งไว้แล้วในตัว – ไม่ต้องใช้ปลั๊กอิน! หากคุณได้ป้องกันพื้นที่เข้าสู่ระบบของคุณโดยอนุญาตให้ที่อยู่ IP ของคุณเท่านั้นเข้าถึง dasbhboard คุณไม่จำเป็นต้องทำเช่นนี้ แต่ถ้าคุณเพียงซ่อนที่อยู่ของหน้าเข้าสู่ระบบการป้องกันแบบสองทางที่ดีจากการโจมตีแบบเดรัจฉาน.

ข้อสรุป

อาชญากรรมไซเบอร์เติบโตอย่างรวดเร็วและอินเทอร์เน็ตกำลังกลายเป็นที่อยู่อาศัยของอาชญากรมากกว่า “โลกแห่งความจริง” ในบางประเทศเหตุการณ์เช่นนี้เกิดขึ้นแล้ว และในขณะที่ส่วนใหญ่เป็นบัตรเครดิตและการฉ้อโกงธนาคารมีแฮ็กเกอร์จำนวนมากขึ้นเรื่อย ๆ และในฐานะเจ้าของเว็บไซต์เราต้องปกป้องตนเองและเว็บไซต์ของเราอย่างดีที่สุดเท่าที่จะทำได้.

ในขณะที่การติดตั้งเริ่มต้นของ WordPress มีจุดอ่อนอยู่บ้างความสวยงามของ WordPress นั้นง่ายมากที่คุณสามารถแก้ไขปัญหาใด ๆ ในเว็บไซต์ของคุณได้รวมถึงภัยคุกคามความปลอดภัยที่กล่าวถึงในบทความนี้ นอกเหนือจากการมีชื่อผู้ใช้และรหัสผ่านที่คาดเดายากโดยการติดตั้งปลั๊กอินความปลอดภัยแก้ไขการตั้งค่าบางอย่างและอาจแทรกรหัสหนึ่งหรือสองบรรทัดคุณสามารถลดความเสี่ยงที่ไซต์ของคุณถูกแฮ็กหรือติดมัลแวร์.

คุณใช้มาตรการเพื่อปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณหรือไม่? ชนิดไหน? เราชอบที่จะได้ยินเคล็ดลับและกลเม็ดของคุณ! โปรดแจ้งให้เราทราบในความคิดเห็น.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map