วิธีปรับปรุงความปลอดภัยของบล็อก WordPress ของคุณ

เผยแพร่แล้ว: 2022-02-26

WordPress เป็นระบบจัดการเนื้อหาที่โฮสต์ด้วยตนเอง (CMS) ที่ได้รับความนิยมมากที่สุดบนอินเทอร์เน็ต ดังนั้น เช่นเดียวกับ Microsoft Windows จึงเป็นเป้าหมายของการโจมตีที่ได้รับความนิยมมากที่สุด ซอฟต์แวร์นี้เป็นโอเพ่นซอร์สซึ่งโฮสต์บน Github และแฮกเกอร์มักจะมองหาจุดบกพร่องและช่องโหว่ที่สามารถใช้ประโยชน์เพื่อเข้าถึงไซต์ WordPress อื่น ๆ

WordPress อย่างน้อยที่สุดที่คุณสามารถทำได้เพื่อให้การติดตั้ง WordPress ของคุณปลอดภัยคือต้องแน่ใจว่าได้ใช้งานซอฟต์แวร์ WordPress.org เวอร์ชันล่าสุดอยู่เสมอ และยังมีการอัปเดตธีมและปลั๊กอินต่างๆ ต่อไปนี้คือบางสิ่งที่คุณสามารถทำได้เพื่อปรับปรุงความปลอดภัยของบล็อก WordPress ของคุณ:

#1. เข้าสู่ระบบด้วยบัญชี WordPress ของคุณ

เมื่อคุณติดตั้งบล็อก WordPress ผู้ใช้คนแรกจะเรียกว่า "ผู้ดูแลระบบ" ตามค่าเริ่มต้น คุณควรสร้างผู้ใช้รายอื่นเพื่อจัดการบล็อก WordPress ของคุณและลบผู้ใช้ "ผู้ดูแลระบบ" หรือเปลี่ยนบทบาทจาก "ผู้ดูแลระบบ" เป็น "สมาชิก"

คุณสามารถสร้างชื่อผู้ใช้แบบสุ่มได้ทั้งหมด (เดายาก) หรือทางเลือกที่ดีกว่าคือคุณเปิดใช้งานการลงชื่อเพียงครั้งเดียวด้วย Jetpack และใช้บัญชี WordPress.com ของคุณเพื่อเข้าสู่บล็อก WordPress ที่โฮสต์เอง

#2. อย่าโฆษณาเวอร์ชัน WordPress ของคุณไปทั่วโลก

ไซต์ WordPress เผยแพร่หมายเลขเวอร์ชันเสมอ ทำให้ผู้คนสามารถระบุได้ง่ายขึ้นว่าคุณกำลังใช้งาน WordPress เวอร์ชันที่ไม่อัปเดตที่ไม่อัปเดตหรือไม่

การลบเวอร์ชัน WordPress ออกจากหน้าทำได้ง่าย แต่คุณต้องทำการเปลี่ยนแปลงอีกครั้ง ลบไฟล์ readme.html ออกจากไดเร็กทอรีการติดตั้ง WordPress ของคุณ เนื่องจากไฟล์ดังกล่าวจะโฆษณาเวอร์ชัน WordPress ของคุณไปทั่วโลก

#3. อย่าให้คนอื่น “เขียน” ในไดเร็กทอรี WordPress ของคุณ

ล็อกอินเข้าสู่ WordPress Linux shell ของคุณและรันคำสั่งต่อไปนี้เพื่อรับรายการไดเร็กทอรี "เปิด" ทั้งหมดที่ผู้ใช้รายอื่นสามารถเขียนไฟล์ได้

หา . -type d -perm -o=w

คุณอาจต้องการรันคำสั่งสองคำสั่งต่อไปนี้ในเชลล์ของคุณเพื่อตั้งค่าการอนุญาตที่เหมาะสมสำหรับไฟล์และโฟลเดอร์ WordPress ทั้งหมดของคุณ (ข้อมูลอ้างอิง)

ค้นหา /your/wordpress/folder/ -type d -exec chmod 755 {} \; ค้นหา /your/wordpress/folder/ -type f -exec chmod 644 {} \;

สำหรับไดเร็กทอรี 755 (rwxr-xr-x) หมายความว่ามีเพียงเจ้าของเท่านั้นที่มีสิทธิ์ในการเขียนในขณะที่คนอื่นๆ มีสิทธิ์อ่านและดำเนินการ สำหรับไฟล์ 644 (rw-r—r—) หมายความว่าเจ้าของไฟล์มีสิทธิ์อ่านและเขียนในขณะที่คนอื่นอ่านได้เฉพาะไฟล์เท่านั้น

#4. เปลี่ยนชื่อคำนำหน้าตาราง WordPress ของคุณ

หากคุณได้ติดตั้ง WordPress โดยใช้ตัวเลือกเริ่มต้น ตาราง WordPress ของคุณจะมีชื่ออย่าง wp posts หรือ wp_users ดังนั้นจึงควรเปลี่ยนคำนำหน้าของตาราง (wp ) เป็นค่าสุ่มบางค่า ปลั๊กอิน Change DB Prefix ช่วยให้คุณสามารถเปลี่ยนชื่อคำนำหน้าตารางเป็นสตริงอื่นได้ด้วยการคลิก

#5. ป้องกันผู้ใช้จากการเรียกดูไดเร็กทอรี WordPress ของคุณ

นี้เป็นสิ่งสำคัญ. เปิดไฟล์ .htaccess ในไดเร็กทอรีรากของ WordPress และเพิ่มบรรทัดต่อไปนี้ที่ด้านบน

ตัวเลือก -ดัชนี

มันจะป้องกันไม่ให้โลกภายนอกเห็นรายการไฟล์ที่มีอยู่ในไดเร็กทอรีของคุณในกรณีที่ไฟล์ index.html หรือ index.php เริ่มต้นหายไปจากไดเร็กทอรีเหล่านั้น

#6. อัปเดตคีย์ความปลอดภัย WordPress

ไปที่นี่เพื่อสร้างคีย์ความปลอดภัยหกคีย์สำหรับบล็อก WordPress ของคุณ เปิดไฟล์ wp-config.php ภายในไดเร็กทอรี WordPress และเขียนทับคีย์เริ่มต้นด้วยคีย์ใหม่

เกลือแบบสุ่มเหล่านี้ทำให้รหัสผ่าน WordPress ที่เก็บไว้ของคุณปลอดภัยยิ่งขึ้น และข้อดีอื่น ๆ ก็คือถ้ามีคนลงชื่อเข้าใช้ WordPress โดยที่คุณไม่รู้ พวกเขาจะถูกออกจากระบบทันทีเนื่องจากคุกกี้ของพวกเขาจะใช้งานไม่ได้ในขณะนี้

#7. เก็บบันทึกข้อผิดพลาด WordPress PHP และฐานข้อมูล

บันทึกข้อผิดพลาดบางครั้งสามารถให้คำแนะนำที่ชัดเจนเกี่ยวกับแบบสอบถามฐานข้อมูลที่ไม่ถูกต้องและคำขอไฟล์ที่กระทบการติดตั้ง WordPress ของคุณ ฉันชอบ Error Log Monitor มากกว่า เพราะมันจะส่งบันทึกข้อผิดพลาดทางอีเมลเป็นระยะ และยังแสดงเป็นวิดเจ็ตภายในแดชบอร์ด WordPress ของคุณอีกด้วย

หากต้องการเปิดใช้งานการบันทึกข้อผิดพลาดใน WordPress ให้เพิ่มรหัสต่อไปนี้ในไฟล์ wp-config.php ของคุณและอย่าลืมแทนที่ /path/to/error.log ด้วยเส้นทางจริงของไฟล์บันทึกของคุณ ไฟล์ error.log ควรอยู่ในโฟลเดอร์ที่ไม่สามารถเข้าถึงได้จากเบราว์เซอร์ (ข้อมูลอ้างอิง)

กำหนด ('WP_DEBUG' จริง); ถ้า (WP_DEBUG) { กำหนด ('WP_DEBUG_DISPLAY', เท็จ); @ini_set('log_errors', 'On'); @ini_set('display_errors', 'ปิด'); @ini_set('error_log', '/path/to/error.log'); }

#9. รหัสผ่านป้องกันแดชบอร์ดผู้ดูแลระบบ

ควรใช้รหัสผ่านเพื่อป้องกันโฟลเดอร์ wp-admin ของ WordPress เนื่องจากไม่มีไฟล์ใดในบริเวณนี้เหมาะสำหรับผู้ที่เข้าชมเว็บไซต์ WordPress สาธารณะของคุณ เมื่อได้รับการปกป้องแล้ว แม้แต่ผู้ใช้ที่ได้รับอนุญาตก็ยังต้องป้อนรหัสผ่านสองรหัสผ่านเพื่อเข้าสู่ระบบแดชบอร์ดผู้ดูแลระบบ WordPress

10. ติดตามกิจกรรมการเข้าสู่ระบบบนเซิร์ฟเวอร์ WordPress ของคุณ

คุณสามารถใช้คำสั่ง “last -i” ใน Linux เพื่อรับรายชื่อผู้ใช้ทั้งหมดที่ลงชื่อเข้าใช้เซิร์ฟเวอร์ WordPress ของคุณพร้อมกับที่อยู่ IP ของพวกเขา หากคุณพบที่อยู่ IP ที่ไม่รู้จักในรายการนี้ ถึงเวลาต้องเปลี่ยนรหัสผ่านของคุณแล้ว

นอกจากนี้ คำสั่งต่อไปนี้จะแสดงกิจกรรมการเข้าสู่ระบบของผู้ใช้เป็นระยะเวลานานขึ้น โดยจัดกลุ่มตามที่อยู่ IP (แทนที่ USERNAME ด้วยชื่อผู้ใช้เชลล์ของคุณ)

สุดท้าย -if /var/log/wtmp.1 | grep USERNAME | awk '{พิมพ์ $3}' | เรียงลำดับ | uniq -c

ตรวจสอบ WordPress ของคุณด้วย Plugins

ที่เก็บ WordPress.org มีปลั๊กอินที่เกี่ยวข้องกับความปลอดภัยค่อนข้างดีซึ่งจะตรวจสอบไซต์ WordPress ของคุณอย่างต่อเนื่องสำหรับการบุกรุกและกิจกรรมที่น่าสงสัยอื่นๆ นี่คือสิ่งสำคัญที่ฉันอยากจะแนะนำ

  1. Exploit Scanner - มันจะสแกนไฟล์ WordPress และบล็อกโพสต์ทั้งหมดของคุณอย่างรวดเร็ว และแสดงรายการไฟล์ที่อาจมีโค้ดที่เป็นอันตราย ลิงก์สแปมอาจถูกซ่อนอยู่ในโพสต์บล็อก WordPress ของคุณโดยใช้ CSS หรือ IFRAMES และปลั๊กอินจะตรวจจับลิงก์เหล่านั้นด้วยเช่นกัน
  2. WordFence Security - นี่คือปลั๊กอินความปลอดภัยที่ทรงพลังอย่างยิ่งที่คุณควรมี มันจะเปรียบเทียบไฟล์หลักของ WordPress กับไฟล์ดั้งเดิมในที่เก็บเพื่อให้ตรวจพบการแก้ไขทันที นอกจากนี้ ปลั๊กอินจะล็อกผู้ใช้หลังจากพยายามเข้าสู่ระบบไม่สำเร็จ 'n' ครั้ง
  3. WP Notifier - หากคุณไม่ลงชื่อเข้าใช้แดชบอร์ดผู้ดูแลระบบ WordPress บ่อยเกินไป ปลั๊กอินนี้เหมาะสำหรับคุณ มันจะส่งการแจ้งเตือนทางอีเมลถึงคุณทุกครั้งที่มีการอัปเดตใหม่สำหรับธีมที่ติดตั้ง ปลั๊กอิน และ WordPress หลัก
  4. เครื่องสแกนวีไอพี - ปลั๊กอินความปลอดภัย "อย่างเป็นทางการ" จะสแกนธีม WordPress ของคุณสำหรับปัญหาใด ๆ นอกจากนี้ยังจะตรวจจับโค้ดโฆษณาที่อาจแทรกลงในเทมเพลต WordPress ของคุณ
  5. Sucuri Security - มันตรวจสอบ WordPress ของคุณสำหรับการเปลี่ยนแปลงใด ๆ ในไฟล์หลัก ส่งการแจ้งเตือนทางอีเมลเมื่อมีการอัปเดตไฟล์หรือโพสต์ใด ๆ และยังเก็บบันทึกกิจกรรมการเข้าสู่ระบบของผู้ใช้รวมถึงการเข้าสู่ระบบที่ล้มเหลว

เคล็ดลับ: คุณสามารถใช้คำสั่ง Linux ต่อไปนี้เพื่อดูรายการไฟล์ทั้งหมดที่ได้รับการแก้ไขในช่วง 3 วันที่ผ่านมา เปลี่ยน mtime เป็น mmin เพื่อดูไฟล์ที่แก้ไข “n” นาทีที่แล้ว

หา . -type f -mtime -3 | grep -v “/Maildir/” | grep -v “/logs/”

รักษาความปลอดภัยหน้าเข้าสู่ระบบ WordPress ของคุณ

หน้าเข้าสู่ระบบ WordPress ของคุณสามารถเข้าถึงได้ทั่วโลก แต่ถ้าคุณต้องการป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าสู่ระบบ WordPress คุณมีสามทางเลือก

  1. ป้องกันด้วยรหัสผ่านด้วย .htaccess - สิ่งนี้เกี่ยวข้องกับการปกป้องโฟลเดอร์ wp-admin ของ WordPress ด้วยชื่อผู้ใช้และรหัสผ่านนอกเหนือจากข้อมูลประจำตัว WordPress ปกติของคุณ
  2. Google Authenticator - ปลั๊กอินที่ยอดเยี่ยมนี้เพิ่มการยืนยันสองขั้นตอนให้กับบล็อก WordPress ของคุณเหมือนกับบัญชี Google ของคุณ คุณจะต้องป้อนรหัสผ่านและรหัสตามเวลาที่สร้างบนโทรศัพท์มือถือของคุณ
  3. การเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน - ใช้ปลั๊กอิน Clef เพื่อเข้าสู่เว็บไซต์ WordPress ของคุณโดยการสแกนโค้ด QR และคุณสามารถสิ้นสุดเซสชันจากระยะไกลด้วยโทรศัพท์มือถือของคุณเองได้

ดูเพิ่มเติมที่: ปลั๊กอิน WordPress ที่ต้องมี