22 เคล็ดลับในการป้องกันไม่ให้บล็อก Wordpress ของคุณถูกแฮ็ก

เผยแพร่แล้ว: 2011-02-22

วิธีหลีกเลี่ยงเว็บไซต์ WordPress ของคุณที่ถูกแฮ็ก

ไม่ว่าคุณจะใช้มาตรการรักษาความปลอดภัยภายในเว็บไซต์หรือบล็อกของคุณตอนนี้หรือไม่ก็ตาม ความจริงก็คือ...

บล็อกเกอร์ที่ฉลาดใช้การรักษาความปลอดภัยเว็บไซต์อย่างจริงจังและทำทุกอย่างที่ทำได้เพื่อ ป้องกันไม่ให้บล็อก WordPress ของพวกเขาถูกแฮ็ก

ความปลอดภัยออนไลน์เป็นปัญหาที่แท้จริง

หลายคนลืมอัปเดตปลั๊กอินและไม่ได้ใช้ WordPress เวอร์ชันล่าสุด การไม่ทำเช่นนี้อาจหมายถึงหายนะหากคุณไม่ได้ดำเนินการตามขั้นตอนเพื่อป้องกันไม่ให้บล็อกของคุณถูกแฮ็ก

วิธีป้องกันไม่ให้ไซต์ WordPress ของคุณถูกแฮ็ก

การสูญเสียเนื้อหาในบล็อกหรือเว็บไซต์ของคุณอาจทำลายธุรกิจ ชื่อเสียง หรือเพียงแค่ตัวตนในโลกออนไลน์ที่คุณพยายามจะขยายให้ใหญ่ขึ้น ลองนึกภาพว่ามีบล็อกที่มีโพสต์ ความคิดเห็น และแม้แต่ลิงก์พันธมิตรนับร้อยเท่านั้นที่จะพบว่าบล็อกนั้นถูกทำลายในวันรุ่งขึ้น! ไม่ใช่ความรู้สึกที่ดี อย่างไรก็ตาม มีหลายวิธีในการทำให้ความปลอดภัยของเว็บไซต์ของคุณแข็งแกร่งกว่าที่ดี

คุณสามารถเพิ่มปลั๊กอิน อัปเดตเฟรมเวิร์กของบล็อกได้ โดยพื้นฐานแล้ว มีหลายวิธีที่จะทำให้บล็อกหรือเว็บไซต์ของคุณปลอดภัย เพื่อช่วยคุณฉันได้เขียนบทความสั้น ๆ แต่ให้ข้อมูลนี้ ฉันหวังว่ามันจะช่วยคุณบางคน

โพสต์นี้ถูกรวบรวมโดยตัวฉันเอง แต่เพื่อนบล็อกอัจฉริยะของฉัน Julius ที่ทำงาน And Break! ตรวจสอบบล็อกของเขาสำหรับคำแนะนำที่ดีของฉัน

วิธีป้องกันไม่ให้ไซต์ WordPress ของคุณถูกแฮ็ก

สำรองข้อมูลบล็อกของคุณ

ก่อนทำการเปลี่ยนแปลงใดๆ ในบล็อก โปรดสำรองข้อมูลบล็อกของคุณ ปัญหาของปลั๊กอินฟรีส่วนใหญ่คือไม่สำรองข้อมูลทั้งหมดของคุณ ตัวอย่างเช่น หากบล็อก WordPress ของคุณถูกลบและคุณกู้คืนข้อมูลสำรองจากปลั๊กอินฟรี คุณจะยังคงสูญเสียข้อมูลจำนวนมาก เช่น รูปภาพ เนื่องจากไม่ได้สำรองไว้ด้วยปลั๊กอินเหล่านี้ นั่นเป็นเหตุผลที่ฉันขอแนะนำให้ใช้ Backup Buddy ซึ่งสำรองข้อมูลบล็อก WordPress ทั้งหมดของคุณและช่วยให้คุณสามารถกู้คืนได้อย่างง่ายดายในภายหลัง

หากคุณมีข้อกังวลว่าบล็อกของคุณจะถูกแฮ็กหรือไม่ ให้ลองดูที่ Backup Buddy

ใช้รหัสผ่านที่รัดกุม

รหัสผ่านที่รัดกุมเป็นสิ่งจำเป็นสำหรับผู้ใช้ที่มีสิทธิพิเศษสูง เช่น ผู้ดูแลระบบ หากไม่มีพวกเขา บล็อกของคุณจะเสี่ยงต่อการถูกโจมตีด้วยกำลังเดรัจฉาน โดยพื้นฐานแล้วสิ่งเหล่านี้คือการโจมตีที่ผู้โจมตีพยายามเดารหัสผ่านโดยผ่านรหัสผ่านจำนวนมาก – ผู้ใช้รวมกัน หากคุณใช้รหัสผ่านที่ปลอดภัย โอกาสที่การโจมตีแบบเดรัจฉานจะประสบความสำเร็จก็ต่ำมาก

ต่อไปนี้คือเคล็ดลับบางประการเกี่ยวกับรหัสผ่านที่ปลอดภัยที่ควรรวมถึง:

  • ใช้ตัวเลขอย่างน้อย 1-2 ตัว ใช้อักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก
  • ใช้อักขระพิเศษ เช่น !@#…

คุณไม่ควรใช้รหัสผ่านเช่นวันเกิดหรืองานอดิเรกของคุณ รหัสผ่านประเภทนี้ไม่ปลอดภัยมากเนื่องจากแฮกเกอร์สามารถค้นหาข้อมูลส่วนบุคคลได้ง่าย

ขั้นตอนสำคัญอีกขั้นตอนหนึ่งที่คุณต้องทำคือการมีรหัสผ่านที่แตกต่างกันมากมาย เป็นเรื่องดีที่มีรหัสผ่านเพียงรหัสผ่านเดียวและเข้าถึงทุกอย่างผ่านรหัสผ่านได้ แต่ลองจินตนาการว่าจะเกิดอะไรขึ้นถ้ามีคนรู้รหัสผ่านนี้ โดยทั่วไปเขาสามารถเข้าถึงบัญชีทั้งหมดของคุณ

ด้วยเหตุผลดังกล่าว ให้ใช้รหัสผ่านที่แตกต่างกันมากมาย

ให้ทันกับแพทช์และการปรับปรุง

นี่เป็นอีกขั้นตอนสำคัญในการรักษาความปลอดภัยให้กับบล็อกของคุณ แพทช์และการอัปเดตถูกสร้างขึ้นเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยและเพื่อเพิ่มฟังก์ชันการทำงานของซอฟต์แวร์ ไม่มีเหตุผลใดที่จะไม่ติดตั้ง

โดยพื้นฐานแล้ว คุณควรแจ้งตัวเองเกี่ยวกับการเปลี่ยนแปลงใน WordPress และช่องโหว่โดยทั่วไป ฉันจึงแนะนำให้คุณทำตามสองฟีดนี้:

  • การพัฒนา WordPress
  • BlogSecurity.net

อันแรกคือฟีดการพัฒนา WordPress ที่มีการโพสต์รุ่นใหม่และอัปเดตล่าสุดสำหรับ WordPress อีกอันคือฟีดจาก BlogSecurity.net คนเหล่านี้มักโพสต์ช่องโหว่ที่มีอยู่ในปลั๊กอิน WordPress หรือใน WordPress เอง

ใช้ SSH แทน FTP

FTP โดยทั่วไปไม่ปลอดภัยอย่างที่คนคิด ข้อมูลประจำตัว FTP ของคุณมักจะไม่ได้รับการเข้ารหัสและง่ายต่อการจับภาพ

ทางเลือกที่ปลอดภัยมากสำหรับ FTP คือ SSH SSH ใช้อัลกอริธึมที่ตรงไปตรงมาเพื่อเข้ารหัสข้อมูลทั้งหมดที่ส่งผ่าน รวมถึงไฟล์ อ่านเรื่องนี้แล้วคุณอาจเปลี่ยนใจเกี่ยวกับการใช้ FTP เพื่ออัปโหลด!

ใช้ธีม WordPress ที่รองรับ

คนส่วนใหญ่คิดว่าธีมของ WordPress เองไม่มีความเสี่ยงด้านความปลอดภัย แต่บางคนก็คิดเช่นนั้น ธีมสามารถก่อให้เกิดความเสี่ยงด้านความปลอดภัยได้ เนื่องจากไม่ใช่นักพัฒนาเว็บทุกคนที่รู้วิธีเขียนรหัสความปลอดภัย

ด้วยเหตุนี้ จึงเป็นการดีที่จะยึดติดกับธีมที่ได้รับการสนับสนุนและอัปเดตเป็นครั้งคราว โดยทั่วไปแล้วธีม WordPress ที่รองรับจะมีให้สำหรับเงินบางส่วน แต่ปลอดภัยไว้ก่อนดีกว่าเสียใจ ธีมแบบชำระเงินเหล่านี้เรียกว่าธีมพรีเมียม ธีมดังกล่าวนำเสนอโดยเว็บไซต์เช่น Woo Themes หรือ Thesis

ข้อดีอีกประการของเทมเพลตมืออาชีพคือ เมื่อคุณประสบปัญหา คุณจะมีที่ที่ให้คุณหันไปหา

สแกนปลั๊กอินสำหรับไวรัสหลังจากดาวน์โหลด

วันนี้ คุณสามารถดาวน์โหลดปลั๊กอินและติดตั้งปลั๊กอินได้อย่างง่ายดายในบล็อกของคุณภายในไม่กี่วินาที แต่คุณต้องระวังด้วยว่าคุณดาวน์โหลดส่วนขยายประเภทใด ปลั๊กอินอาจมีโค้ดที่เป็นอันตราย ด้วยเหตุนี้ จึงควรสแกนหามัลแวร์ทันทีหลังจากดาวน์โหลด

คุณต้องทำอย่างนั้นกับปลั๊กอินที่คุณดาวน์โหลดในที่อื่นนอกเหนือจากไดเร็กทอรีปลั๊กอินของ WordPress

สำหรับงานนี้ ทางที่ดีควรใช้ซอฟต์แวร์ป้องกันไวรัส ระบบปฏิบัติการที่ใหม่กว่าจะตรวจหาไวรัสโดยอัตโนมัติหลังจากดาวน์โหลดไฟล์ หากคุณใช้ระบบปฏิบัติการเก่า ฉันขอแนะนำให้สแกนไดเร็กทอรีดาวน์โหลดของคุณ บางทีสัปดาห์ละครั้งหรือทันทีหลังจากดาวน์โหลดไฟล์ใหม่

เปลี่ยนคำนำหน้าตารางฐานข้อมูล

เพื่อให้ฐานข้อมูลของคุณปลอดภัยยิ่งขึ้น คุณควรเปลี่ยนคำนำหน้าตารางฐานข้อมูลของคุณ คำนำหน้าเริ่มต้นคือ wp_ และควรเปลี่ยนเป็นอย่างอื่น สิ่งที่ซับซ้อนกว่าและคาดเดาได้ยากกว่า เช่น 5rt30k_

นั่นคือสิ่งที่ WP Security Scan มีประโยชน์เพราะจะทำสิ่งนี้ให้คุณ คุณควรติดตั้งปลั๊กอิน WP Security เนื่องจากจะแสดงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นในบล็อกของคุณ

จำกัดการเข้าถึง Wp-Content Directory

Wp-content เป็นไดเร็กทอรี Wordpress ที่สำคัญ ผู้ใช้ควรสามารถเข้าถึงไฟล์บางประเภทภายในไดเร็กทอรีนี้เท่านั้น ประเภทไฟล์เหล่านี้รวมถึงรูปภาพ ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) และ XML ( .xml )

ดังนั้นจึงควรที่จะห้ามการเข้าถึงข้อมูลประเภทอื่นๆ ทั้งหมด รหัสด้านล่างจะอนุญาตให้เข้าถึงไฟล์รูปภาพ, Javascript, CSS และ XML แต่จะไม่อนุญาตให้เข้าถึงข้อมูลอื่น ๆ รหัสด้านล่างควรอยู่ในไฟล์ . htaccess ภายในโฟลเดอร์ wp-content

คำสั่งปฏิเสธอนุญาต
 ปฏิเสธทั้งหมด
 <ไฟล์ ~ “.(xml|css|jpe?g|png|gif|js)$”>
 อนุญาตจากทุกคน
 </Files>

นั่นคือทั้งหมดที่คุณต้องทำ

ปลอดภัย wp-config.php

Wp-config.php เป็นไฟล์ที่สำคัญมาก เนื่องจากมีข้อมูลการเข้าถึงและคีย์ทั้งหมดที่มีความสำคัญต่อการรักษาความปลอดภัยให้กับบล็อกของคุณ เราสามารถรักษาความปลอดภัยไฟล์โดยเพิ่มบรรทัดเหล่านี้ลงในไฟล์ . htaccess ในไดเร็กทอรีรากของ WordPress (โดยที่ ไฟล์ wp-config คือ):

# ป้องกัน wp-config.php
 <ไฟล์ wp-config.php>
 คำสั่ง ปฏิเสธ อนุญาต
 ปฏิเสธทั้งหมด
 </files>

รหัสนี้ไม่อนุญาตให้ทุกคนเข้าถึง ไฟล์ wp-config.php

ไม่มีการเรียกดูไดเรกทอรี

การเปลี่ยนแปลงที่สำคัญอีกประการหนึ่งเกี่ยวกับความปลอดภัยของ WordPress คือการห้ามไม่ให้ผู้คนเรียกดูโครงสร้างไดเรกทอรีของเว็บไซต์ของคุณ หากคุณต้องการดูว่ามีลักษณะอย่างไร ให้ป้อน "ดัชนีของ" ลงใน Google แล้ว Google จะแสดงรายการเว็บไซต์ทั้งหมดที่อนุญาตให้เรียกดูไดเร็กทอรี

เพื่อหยุดพฤติกรรมนี้ สิ่งที่คุณต้องทำคือเพิ่มบรรทัดของโค้ดจากด้านล่างไปยังไฟล์ . htaccess ของคุณในไดเร็กทอรีรากของ WordPress

ตัวเลือก ทั้งหมด -ดัชนี

สิ่งนี้จะหยุดพฤติกรรมทันทีและตลอดไป

ป้องกันเครื่องมือค้นหาจากการจัดทำดัชนีส่วนผู้ดูแลระบบ

โปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหาจัดทำดัชนีเนื้อหาเกือบทุกอย่างตราบเท่าที่มีคำสั่งไม่ให้ทำเช่นนั้น ส่วนผู้ดูแลระบบของคุณที่จัดทำดัชนีในเครื่องมือค้นหาอาจเป็นภัยคุกคามด้านความปลอดภัยที่สำคัญ

ดังนั้นจึงเป็นการดีที่จะป้องกันไม่ให้โปรแกรมรวบรวมข้อมูลอยู่ห่างจากไดเรกทอรี WordPress ทั้งหมด วิธีที่ง่ายที่สุดคือสร้างไฟล์ robots.txt ในไดเรกทอรีรากของคุณ จากนั้นวางรหัสต่อไปนี้ในไฟล์:

ไม่อนุญาต: /wp-*

รักษาความปลอดภัยไดเรกทอรีปลั๊กอินของคุณ

ปลั๊กอินที่คุณใช้สามารถบอกผู้ใช้ที่เป็นอันตรายได้มากมายเกี่ยวกับเว็บไซต์ของคุณ ดังนั้นจึงควรซ่อนไว้

คุณสามารถซ่อนปลั๊กอินได้อย่างง่ายดาย ก่อนอื่น เปิดโปรแกรมแก้ไขข้อความ และสร้างไฟล์เปล่าชื่อ index.html จากนั้นอัปโหลดไฟล์นี้ไปยังไดเร็กทอรี wp-content/plugins/ ของคุณ

ลบบัญชีผู้ ดูแลระบบ เริ่มต้น

การลบบัญชี ผู้ดูแลระบบ ผู้ ใช้ที่เป็นอันตรายจะไม่รู้จักชื่อผู้ใช้ของคุณอย่างง่ายดาย เนื่องจากทุกการติดตั้ง WordPress มาพร้อมกับบัญชีผู้ดูแลระบบ แฮกเกอร์จะมีเวลาเจาะเข้าบัญชีของคุณได้ง่ายขึ้นเพราะพวกเขารู้ชื่อผู้ใช้แล้ว

คุณไม่สามารถลบบัญชีผู้ดูแลระบบของคุณได้ทันที หากคุณไม่มีบัญชีผู้ดูแลระบบใหม่ ดังนั้นให้ทำตามขั้นตอนเหล่านี้:

  1. สร้างบัญชีผู้ดูแลระบบใหม่ (ด้วยชื่อผู้ใช้ที่คาดเดายาก)
  2. ออกจากระบบ
  3. เข้าสู่ระบบโดยใช้บัญชีผู้ดูแลระบบและรหัสผ่านใหม่
  4. ลบบัญชีเก่า

เปลี่ยนสิทธิ์การเข้าถึงเริ่มต้นสำหรับผู้ใช้

สิทธิ์ในการเข้าถึงเริ่มต้นนั้นค่อนข้างปลอดภัย แต่ถ้าคุณต้องการอยู่อย่างปลอดภัยและควบคุมสิทธิ์ที่ผู้ใช้ทุกคนในบล็อกของคุณมีได้มากขึ้น นี่เป็นสิ่งสำคัญ

มันค่อนข้างง่ายในการตั้งค่า สิ่งที่คุณต้องทำคือ:

  1. ดาวน์โหลดปลั๊กอินตัวจัดการบทบาท
  2. อัปโหลดไปยังบล็อก WordPress ของคุณ
  3. เปิดใช้งานมัน

จากนั้นไปที่ส่วน ผู้ใช้ ในบล็อกของคุณ คุณสามารถตั้งค่าปลั๊กอินตัวจัดการบทบาทได้ที่นั่นเพื่อให้เหมาะกับความต้องการของคุณ

ลบบัญชีผู้ใช้ที่ไม่ใช้งาน

บัญชีผู้ใช้ที่ไม่ใช้งานนั้นน่ารำคาญและยังมีความเสี่ยงด้านความปลอดภัยอีกด้วย บางคนเลือกรหัสผ่านที่ไม่รัดกุมเมื่อลงชื่อสมัครใช้บล็อกของคุณ หากบัญชีนั้นไม่ได้ใช้งานแต่ยังคงอยู่ในบล็อกของคุณ ผู้ใช้ที่ประสงค์ร้ายอาจใช้บัญชีนี้เพื่อเข้าถึงบล็อกของคุณ

ดังนั้น สิ่งที่ดีที่สุดที่ควรทำคือเพียงแค่ลบบัญชีผู้ใช้ที่ไม่ใช้งานใน WordPress (แม้ว่าคุณจะต้องแน่ใจว่าจะไม่ทำลายอะไรก็ตาม) ไปที่แดชบอร์ด WordPress ของคุณและคลิกที่ ผู้ใช้ ซึ่งจะนำคุณไปยังหน้าที่จะแสดงรายชื่อผู้ใช้ทุกคน

จากนั้นไปข้างหน้าและลบสิ่งที่คุณรู้ว่าไม่ได้ใช้งาน

เพิ่มรหัสรับรองความถูกต้องของ WordPress ไปที่ wp-config.php

การเพิ่มคีย์เวิร์ดเพรสเป็นอีกหนึ่งมาตรการรักษาความปลอดภัยที่สำคัญ คีย์เหล่านี้ควรสุ่มและทำงานเป็นเกลือสำหรับคุกกี้ WordPress ดังนั้นจึงรับประกันการเข้ารหัสข้อมูลผู้ใช้ได้ดีขึ้น

ใช้โปรแกรมสร้างคีย์เวิร์ดเพรสเพื่อสร้างคีย์เหล่านี้และเพียงแค่แทนที่ใน ไฟล์ wp-config.php บรรทัดด้านล่างด้วยคีย์ที่สร้างขึ้น:

define('AUTH_KEY', 'ใส่วลีเฉพาะของคุณที่นี่');
 define('SECURE_AUTH_KEY', 'ใส่วลีเฉพาะของคุณที่นี่');
 define('LOGGED_IN_KEY', 'ใส่วลีเฉพาะของคุณที่นี่');
 define('NONCE_KEY', 'ใส่วลีเฉพาะของคุณที่นี่');

นั่นคือทั้งหมดที่คุณต้องทำ

ป้องกันไม่ให้บล็อก WordPress ถูกแฮ็ ก – ติดตั้ง WordPress Firewall

มีปลั๊กอินที่เรียกว่า WordPress Firewall 2 ซึ่งปกป้องบล็อกของคุณจากแฮกเกอร์ที่เป็นอันตราย การแจ้งเตือนนี้จะแจ้งเตือนคุณทุกครั้งที่มีคนพยายามแฮ็คบล็อกของคุณ แน่นอนมันจะบล็อกความพยายามของแฮ็กเกอร์

ปัญหาของปลั๊กอินนี้คือมันทำงานได้ดีเกินไป ซึ่งหมายความว่ามักจะบล็อกไม่ให้คุณทำการเปลี่ยนแปลงใดๆ ในบล็อกของคุณ หากคุณแก้ไขไฟล์ธีม WordPress แล้วคลิกบันทึก ปลั๊กอินไฟร์วอลล์จะบล็อกไฟล์ดังกล่าว สิ่งนี้เกิดขึ้นกับฉันด้วยเมื่อใช้ปลั๊กอิน Smush.it ด้วยตนเอง

สิ่งนี้น่ารำคาญอย่างยิ่ง แต่อย่างน้อยก็แสดงให้คุณเห็นว่าปลั๊กอินใช้งานได้จริง สิ่งเดียวที่คุณทำได้หากต้องการแก้ไขไฟล์เช่นนี้คือปิดใช้งานปลั๊กอินและเปิดใช้งานอีกครั้งในภายหลัง

วางสตริงเวอร์ชัน Wordpress

<meta content=”Wordpress 2.5″ />

สตริงเวอร์ชันที่ WordPress เพิ่มลงในธีมของคุณโดยอัตโนมัติมีความสำคัญ เนื่องจากให้ข้อมูลผู้ใช้ที่เป็นอันตรายว่าบล็อกได้รับการแก้ไขหรือไม่ หากเป็นเวอร์ชันที่ล้าสมัย ผู้โจมตีจะเริ่มค้นหาช่องโหว่ด้านความปลอดภัยที่เปิดเผยต่อสาธารณะเกี่ยวกับเวอร์ชันนั้นของ WordPress นั้นทันที

WordPress มักจะเพิ่มสตริงเวอร์ชันนี้ในธีมของคุณโดยอัตโนมัติ บรรทัดของโค้ดด้านล่างจะบอก WordPress ว่าไม่ต้องเพิ่มสตริงเวอร์ชันในส่วนหัวของคุณ สิ่งที่คุณต้องทำคือเพิ่มโค้ดลงในไฟล์ functions.php ของคุณ

<?php remove_action('wp_head', 'wp_generator'); ?>

ตอนนี้ให้ดูที่ซอร์สโค้ดของเว็บไซต์ของคุณ หากเมตาแท็กของตัวสร้างยังคงอยู่ในนั้น คุณควรตรวจสอบว่า header.php ของคุณมีบรรทัดดังกล่าวหรือไม่:

<ชื่อเมตา=”ตัวสร้าง” เนื้อหา=”เวิร์ดเพรส <?php bloginfo('รุ่น'); ?>” />

หากเป็นกรณีนี้ไปข้างหน้าและลบออก

ป้องกันไม่ให้บล็อก WordPress ถูกแฮ็ก – ใช้ HTTPS เสมอเมื่อลงชื่อเข้าใช้แดชบอร์ด

HTTPS คือ HTTP เวอร์ชันที่ปลอดภัย เมื่อใช้ HTTPS ข้อมูลของคุณ เช่น รหัสผ่านและชื่อผู้ใช้ อย่าส่งข้อความที่ชัดเจน แต่จะถูกเข้ารหัสแทน ทำให้ยากขึ้นสำหรับคนที่จะสกัดกั้นและถอดรหัสรหัสผ่านและชื่อผู้ใช้ของคุณอย่างถูกต้อง

หากคุณต้องการใช้ HTTPS เมื่อลงชื่อเข้าใช้แดชบอร์ด WordPress คุณสามารถใช้หนึ่งในรหัสด้านล่างและเพิ่มลงใน wp-config.php

กำหนด ('FORCE_SSL_LOGIN' จริง);

โค้ดด้านบนบังคับให้ WordPress ใช้ SSL เมื่อเข้าสู่ระบบแผงควบคุม แต่เฉพาะเมื่อเข้าสู่ระบบ ไม่ได้บังคับใช้การใช้ SSL ขณะใช้แดชบอร์ดของคุณ

แทนที่จะทำด้วยตนเอง คุณสามารถเพิ่มปลั๊กอินเช่น WordPress HTTPS (SSL)

เพื่อป้องกันไม่ให้บล็อก WordPress ถูกแฮ็ก – บล็อกความพยายามในการเข้าถึง wp-admin Directory

โฟลเดอร์ wp-admin เป็นหนึ่งในไดเร็กทอรีที่สำคัญที่สุดในบล็อกของคุณ คุณสามารถเข้าถึงแดชบอร์ดของคุณได้ การบล็อกไม่ให้ผู้อื่นเข้าถึงไดเร็กทอรีนี้เป็นขั้นตอนสำคัญในการรักษาความปลอดภัยให้กับบล็อกของคุณ

คุณสามารถทำได้โดยสร้างไฟล์ . htaccess ในไดเร็กทอรี wp-admin เพิ่มรหัสด้านล่างเข้าไป แต่เปลี่ยนที่อยู่ IP เป็นของคุณเอง หากคุณไม่ทราบว่าที่อยู่ IP ของคุณคืออะไร ให้ไปที่ WhatIsMyIP

AuthUserFile /dev/null
 AuthGroupFile /dev/null
 AuthName “การควบคุมการเข้าถึง”
 AuthType Basic
 คำสั่งปฏิเสธอนุญาต
 ปฏิเสธจากทั้งหมด
 # รายการที่อนุญาติที่อยู่ IP ที่บ้าน
 อนุญาตจาก 64.23.169.99
 # รายการที่อยู่ IP ที่อนุญาตพิเศษ
 อนุญาตจาก 69.147.114.210
 อนุญาตตั้งแต่ 199.239.136.200

ไม่ควรใช้รหัสนี้หากคุณมีคนเขียนบล็อกเป็นจำนวนมาก โดยเฉพาะอย่างยิ่งหากมีการเปลี่ยนแปลงตลอดเวลา ปัญหาคือคุณต้องเพิ่ม/ลบที่อยู่ IP เสมอ โดยขึ้นอยู่กับว่าใครต้องการเข้าถึงบล็อกของคุณในขณะนี้

ข้อเสียอีกประการหนึ่งคือเมื่อผู้ให้บริการอินเทอร์เน็ตของคุณกำหนดที่อยู่ IP แบบไดนามิกให้กับคุณ หมายความว่าที่อยู่ IP ของคุณมีการเปลี่ยนแปลงอยู่ตลอดเวลา หากเป็นกรณีนี้ อย่าเพิ่มรหัสลงในไฟล์ . htaccess

เพื่อป้องกันไม่ให้บล็อก WordPress ถูกแฮ็ก – จำกัดจำนวนความพยายามในการเข้าสู่ระบบ WordPress ที่ล้มเหลว

การจำกัดจำนวนครั้งที่ล้มเหลวจะป้องกันไม่ให้ผู้ใช้ใช้เทคนิคเดรัจฉานในบัญชี WordPress ของคุณ การโจมตีด้วยกำลังเดรัจฉานคือความพยายามที่จะค้นหารหัสผ่านของผู้ใช้โดยลองใช้รหัสผ่านที่เป็นไปได้ทุก ๆ อัน

เพื่อเป็นการตอบโต้ มีปลั๊กอินที่แบนผู้ใช้โดยอัตโนมัติเป็นเวลาหนึ่งชั่วโมงหากเขาได้รับรหัสผ่านผิดสามครั้งติดต่อกัน Lockdown เข้าสู่ระบบเป็นหนึ่งในปลั๊กอิน WordPress เหล่านี้

ซ่อนข้อผิดพลาดในการเข้าสู่ระบบแดชบอร์ด

คุณเคยสังเกตไหมว่าเมื่อคุณพยายามเข้าสู่ระบบด้วยชื่อผู้ใช้ที่มีอยู่และรหัสผ่านที่ไม่ถูกต้อง คุณจะได้รับข้อความแจ้งว่า Error: Incorrect Password หากคุณเข้าสู่ระบบด้วยชื่อผู้ใช้ที่ไม่มีอยู่จริงและรหัสผ่านบางส่วน ข้อความอื่นจะแสดงขึ้น Error: Invalid Username

ซึ่งจะช่วยให้ผู้ใช้ที่ประสงค์ร้ายสามารถระบุชื่อผู้ใช้ที่มีอยู่ได้

ดังนั้นฉันแนะนำให้คุณเพิ่มบรรทัดต่อไปนี้ในไฟล์ functions.php ของคุณ:

add_filter('login_errors',create_function('$a', “คืนค่า null;”));

ทุกครั้งที่เกิดข้อผิดพลาดขึ้นบรรทัดว่างจะปรากฏขึ้น ลองดูสิ

บทความที่แนะนำ: 10 วิธีในการปรับปรุงความปลอดภัยของบล็อก