5 เคล็ดลับในการปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์

01.06.2020
Լավագույն հոստինգ '5 เคล็ดลับในการปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์
0 25 мин.

วิธีป้องกันเว็บไซต์ WordPress ของคุณจากแฮกเกอร์


มีเคล็ดลับและเทคนิคหลายประการในการปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์ แต่เคล็ดลับที่สำคัญและใช้แล้ว 5 ประการต่อไปนี้ ได้แก่ :

เปลี่ยนทุกอย่างจากเริ่มต้น

ในตอนแรกแฮกเกอร์มักโจมตีเว็บไซต์ที่คิดว่ามีตัวเลือกเริ่มต้นอยู่ดังนั้นคุณต้องเปลี่ยนทุกอย่างเช่น

  • ชื่อผู้ใช้เริ่มต้นที่เป็นผู้ดูแลระบบและชื่อที่ดีกว่าควรเป็นชื่อเล่นส่วนตัวและส่วนตัว.
  • โฟลเดอร์การติดตั้งที่มักจะอยู่ในรูทควรเป็นโฟลเดอร์แบบสุ่มและคุณสามารถใช้รหัส PHP ขนาดเล็กที่ทำให้เว็บไซต์ของคุณสามารถเข้าถึงได้ตามปกติแม้ว่าโฟลเดอร์การติดตั้งจะไม่ใช่โฟลเดอร์ปกติก็ตาม คุณสามารถแก้ไขรหัส php จาก index.php จากรูตของคุณซึ่งคุณใส่ดัชนี WordPress แต่คุณเปลี่ยนโฟลเดอร์การติดตั้งจากบรรทัดที่ขึ้นต้นด้วย:

ต้องการ (dirname (__FILE__). ‘/ wp-blog-header.php’);

ถึง

ต้องการ (dirname (__FILE__). ‘/ random_folder_name / wp-blog-header.php’);

  • WordPress Keys จากไฟล์กำหนดค่า wp-config.php ใช้สำหรับการเข้ารหัสที่ดีขึ้นของข้อมูลผู้ใช้เช่น:

define (‘AUTH_KEY’, ‘ใส่วลีเฉพาะของคุณที่นี่’);
define (‘SECURE_AUTH_KEY’, ‘ใส่วลีเฉพาะของคุณที่นี่’);
define (‘LOGGED_IN_KEY’, ‘ใส่วลีเฉพาะของคุณที่นี่’);
define (‘NONCE_KEY’, ‘ใส่วลีเฉพาะของคุณที่นี่’);

  • คำนำหน้าตารางจากค่าเริ่มต้นชื่อ _wp เมื่อคุณสร้างฐานข้อมูลสำหรับ WordPress.
  • คุณต้องลบแบบฟอร์มการกรอกอัตโนมัติดังนั้นแบบฟอร์มจะไม่ถูกกรอกข้อมูลส่วนตัวโดยอัตโนมัติและทันที.
  • ปิดการใช้งานการคลิกขวาเพื่อให้แฮ็กเกอร์ไม่สามารถมองเห็นซอร์สโค้ดของคุณได้ง่ายและไม่สามารถค้นหาข้อมูลส่วนตัวเช่นชื่อเทมเพลตรุ่น WordPress และปลั๊กอิน.
  • บล็อกสไปเดอร์ของเครื่องมือค้นหาจากการจัดทำดัชนีส่วนของผู้ดูแลระบบเช่น wp-admin, wp-include, wp-content / plugins /, wp-content / cache /, wp-content / ธีมและไม่อนุญาตให้เข้าถึงฟีดแทร็กและหน้าหมวดหมู่โดยใช้หุ่นยนต์ ไฟล์. txt อยู่ในไดเรกทอรีรากของคุณเช่นในตัวอย่างด้านล่าง:

#
ตัวแทนผู้ใช้: *
ไม่อนุญาต: / cgi-bin
ไม่อนุญาต: / wp-admin
ไม่อนุญาต: / wp- รวม
ไม่อนุญาต: / wp-content / plugins /
ไม่อนุญาต: / wp-content / cache /
ไม่อนุญาต: / wp-content / themes /
ไม่อนุญาต: * / trackback /
ไม่อนุญาต: * / feed /
ไม่อนุญาต: / * / feed / rss / $
ไม่อนุญาต: / หมวดหมู่ / *

  • แก้ไขและป้องกันไฟล์. htaccess เพื่อป้องกันการแฮ็ค WordPress โดยการปรับแต่งโดยใช้รหัสที่ดีในไฟล์. htaccess รากของคุณเช่น:

# การป้องกัน HTACCESS ที่แข็งแกร่ง

คำสั่งอนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด
พึงพอใจทุกคน

  • Secure wp-config.php โดยใช้รหัสเพิ่มเติมที่เขียนใน. htaccess:

# ป้องกัน wp-config.php

คำสั่งปฏิเสธอนุญาต
ปฏิเสธจากทั้งหมด

  • จำกัด การเข้าถึงไดเรกทอรี wp-content โดยเพิ่มรหัสเพิ่มเติม. htaccess:

คำสั่งปฏิเสธอนุญาต
ปฏิเสธจากทั้งหมด

อนุญาตจากทั้งหมด

  • ปิดใช้งานการค้นหาไดเรกทอรีโดยใช้รหัสที่เขียนด้วย. htaccess:

ตัวเลือกทั้งหมด – ดัชนี

  • ป้องกันการฉีดสคริปต์ด้วยรหัส. htaccess อื่น:

# ป้องกันจากการฉีด sql
ตัวเลือก + FollowSymLinks
RewriteEngine On
RewriteCond% {QUERY_STRING} (\<|% 3C) * * * * * * * * สคริปต์ (\..>|% 3E) [NC, OR]
เขียนซ้ำ% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0,2}) [หรือ]
เขียนซ้ำ% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0,2})
RewriteRule ^ (. *) $ index.php [F, L]

อัปเดตทุกอย่าง

อีกวิธีหนึ่งในการปกป้องไซต์ WordPress ของคุณคือการใช้ปลั๊กอิน WP Updates Notifier ที่แจ้งให้คุณทราบเกี่ยวกับการอัปเดตใหม่จากนั้นคุณสามารถวิจัยแต่ละปลั๊กอินธีมหรือแม้กระทั่งแกน WordPress เพื่อดูว่ามันปลอดภัยหรือไม่.

ในกรณีที่ทุกอย่างเรียบร้อยคุณควรอัปเดตให้เร็วที่สุดในเวอร์ชันล่าสุดมิฉะนั้นเว็บไซต์ของคุณอาจล้าสมัยและการหาช่องโหว่อาจปรากฏขึ้น หากไม่ปลอดภัยคุณไม่ควรอัปเดตและควรปิดและลบปลั๊กอินหรือธีมและใช้แทนรุ่นที่ใหม่กว่าและดีกว่า.

การใช้เทคนิคความปลอดภัยที่ได้รับการปรับปรุง

หากคุณใช้เทคนิคการรักษาความปลอดภัยที่ได้รับการปรับปรุงเช่นใบรับรอง SSL ที่เข้ารหัสซึ่งป้องกันข้อมูลส่วนบุคคลเช่นหมายเลขบัตรเครดิตที่จะถ่ายโอนไปยังแฮ็กเกอร์หรือ บริษัท โฮสต์เว็บที่ดีที่ให้บริการ IP เฉพาะแก่คุณ แต่ยังปกป้อง DDoS และสแปมด้วย ปลอดภัยกว่า.

การใช้ซอฟต์แวร์ความปลอดภัยขั้นสูง

คุณสามารถติดตั้งปลั๊กอินความปลอดภัยต่าง ๆ เช่น WP Security Scan ซึ่งทำหน้าที่เหมือนกับการสแกนไวรัสหลังจากช่องโหว่และแจ้งให้คุณทราบหากพบรหัสที่ไม่ดี ปลั๊กอินนี้ดีมากสำหรับช่องโหว่ XSS, การบุกรุก, ล็อคและเข้าสู่ระบบพยายามเข้าสู่ระบบที่ไม่ถูกต้อง แต่คุณสามารถใช้โปรแกรมป้องกันไวรัสปกติเช่น BitDefender Antivirus หรือ ESET Nod32 Antivirus เพื่อสแกนไฟล์ที่คุณอัพโหลดบน FTP หรือผ่าน WordPress Media Library.

นอกจากนี้คุณสามารถติดตั้งไฟร์วอลล์เว็บแอปพลิเคชัน (WAF) ซึ่งเป็นบริการบนอินเทอร์เน็ตแบบพลักแอนด์เพลย์ที่ทำหน้าที่เป็นเกตเวย์สำหรับทราฟฟิกขาเข้าทั้งหมดหรือแอปพลิเคชันความปลอดภัยอื่น ๆ เช่น Acunetlx WP Security ซึ่งซ่อนข้อมูลประจำตัวของเว็บไซต์ CMS ของคุณ.

สำรองเว็บไซต์ของคุณเป็นประจำ

คุณต้องสำรองข้อมูลเป็นประจำในแต่ละวันหรืออย่างน้อยก็ด้วยตนเองในแต่ละสัปดาห์หรือหากคุณสามารถทำได้โดยอัตโนมัติโดยใช้ ปลั๊กอิน WordPress หรือซอฟต์แวร์เช่น R1-Soft ซึ่ง บริษัท โฮสติ้งของคุณมอบให้คุณ.

คุณจำเป็นต้องสำรองข้อมูลอีเมลไฟล์ ftp ของคุณ แต่ยังรวมถึงฐานข้อมูลของคุณโดยเฉพาะอย่างยิ่งเนื่องจาก WordPress ใช้ฐานข้อมูลสำหรับการทำงานเนื้อหาและการออกแบบ.

เพื่อให้แน่ใจว่าคุณสามารถอัปโหลดทุกข้อมูลสำรองได้ Dropbox, OneDrive หรือ MediaFire ขึ้นอยู่กับพื้นที่ที่คุณมี.

ในท้ายที่สุดแม้ว่าคุณจะใช้มาตรการป้องกันที่จำเป็นทั้งหมดแล้วคุณสามารถถูกแฮ็กหรือหลอกได้หากคุณไม่ใส่ใจและปฏิบัติตามกฎสามัญสำนึกบางประการเช่น:

  • อย่าลงชื่อเข้าใช้แดชบอร์ด WordPress ของคุณหรือแดชบอร์ดอื่น ๆ ที่เกี่ยวข้องกับเว็บไซต์ของคุณจากคอมพิวเตอร์ต่างประเทศหรือที่ทำงาน / โรงเรียนเพราะบางทีคุณลืมว่าคุณเข้าสู่ระบบและบางคนสามารถเข้าถึงได้ในภายหลังเว็บไซต์ของคุณ.
  • อย่าให้ cPanel, FTP, ฐานข้อมูล, WordPress หรือโฮสติ้งของคุณเพราะบางครั้งโดยไม่ได้ตั้งใจหรือไม่ผู้คนสามารถทำสิ่งที่ไม่ดีได้.
  • ใช้ลิงค์เว็บไซต์ของคุณทุกครั้งเพื่อเข้าสู่ระบบและไม่ใช้เว็บไซต์อื่นแม้ว่าเว็บไซต์เหล่านั้นจะคล้ายกันคุณสามารถถูกหลอกลวงได้อย่างง่ายดายจากนั้นข้อมูลประจำตัวจะถูกเก็บไว้ในเซิร์ฟเวอร์ส่วนตัวหรือส่งทางอีเมลถึงบุคคล.
  • ใช้บทบาทที่กำหนดไว้อย่างดีและการอนุญาตผู้ใช้เสมอหากคุณต้องการเพิ่มผู้ใช้ในเว็บไซต์ของคุณด้วยเหตุผลบางประการ.
  • ใช้ที่อยู่อีเมลส่วนตัวชื่อผู้ใช้และรหัสผ่านเสมอสำหรับการเข้าสู่ระบบเว็บไซต์ของคุณไม่ใช่ที่อยู่ทั่วไป.
  • หากคุณให้ใครบางคนเช่นนักออกแบบเว็บไซต์หรือผู้เขียนโปรแกรมเว็บของคุณ FTP หรือข้อมูลประจำตัวอื่น ๆ ที่คุณจำเป็นต้องเปลี่ยนพวกเขาหลังจากที่เขาเสร็จงานและคุณควรตรวจสอบเพื่อดูว่าเขาไม่ได้ใช้สคริปต์การใช้ประโยชน์ใด ๆ เช่น สิทธิ์พิเศษบนเว็บไซต์ WordPress ของคุณด้วยการคลิกเมาส์เพียงครั้งเดียว.

เว็บไซต์ของคุณได้รับการคุ้มครองหรือไม่? คุณใช้มาตรการอะไรเพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณและป้องกันแฮกเกอร์? แจ้งให้เราทราบในความคิดเห็น!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector