10 วิธีหลักในการรักษาความปลอดภัยการติดตั้ง WordPress ทั่วไป

กว่าทศวรรษที่ผ่านมา WordPress ได้พัฒนาจากระบบจัดการเนื้อหาที่มีประสบการณ์มาสู่โซลูชันออนไลน์ที่มีผู้ใช้มากที่สุด ความอื้อฉาวโดยทั่วไปนี้เป็นสิ่งที่ดีสำหรับทั้งชุมชนและนำไปสู่กลุ่มนักพัฒนาที่ใหญ่ที่สุดสำหรับระบบการจัดการเนื้อหาที่มีอยู่ในปัจจุบัน CMS เปลี่ยนแปลง พัฒนา และก้าวหน้าขึ้น ส่วนใหญ่เนื่องมาจากขนาด ขอบเขต และอิทธิพลในการเผยแพร่ออนไลน์

แต่สิ่งเหล่านี้เองที่ทำให้ WordPress ตกเป็นเป้าหมายของความพยายามในการแฮ็กข้อมูลที่เป็นอันตรายและการบุกรุกความเป็นส่วนตัว แฮกเกอร์ได้รับทราบถึงการแพร่กระจายของ CMS ในเว็บไซต์อิสระและสื่อหลัก ๆ เหมือนกัน และพวกเขาใช้ประโยชน์จากช่องโหว่จำนวนหนึ่งที่ทำให้พวกเขาเข้าถึงแดชบอร์ดและแม้แต่ฐานข้อมูลของ WordPress เอง

โชคดีที่ผู้ใช้ WordPress ไม่ได้เป็นเพียง “คนขี้ขลาด” ในสภาพแวดล้อมออนไลน์ที่เป็นอันตรายมากขึ้น มีหลายสิ่งที่สามารถทำได้เพื่อปรับปรุงความปลอดภัยของการติดตั้ง WordPress และขัดขวางความพยายามของแฮกเกอร์ในการควบคุมเนื้อหา ฐานข้อมูล และความน่าเชื่อถือโดยรวมของเว็บไซต์

1. เปลี่ยนคำนำหน้าฐานข้อมูล WordPress

ตามค่าเริ่มต้น การติดตั้ง WordPress ทุกครั้งจะวางตารางลงในฐานข้อมูล MySQL ด้วยคำนำหน้า "wp_" โดยทั่วไปจะทำเพื่อให้ใช้งานได้ง่ายยิ่งขึ้น เนื่องจาก WordPress มักใช้ตัวย่อว่า “WP” และไม่มีความสับสนว่าตารางเหล่านั้นเป็นของ CMS ใด

อย่างไรก็ตาม ผู้ใช้อินเทอร์เน็ตที่เลวทรามกว่ารู้ดีว่า WordPress จะวางเนื้อหาลงในตารางด้วยคำนำหน้าตามค่าเริ่มต้น และนี่เป็นหนึ่งในวิธีแรก ๆ ที่พวกเขาเจาะเข้าไปในการติดตั้งหรือทำให้เกิดปัญหากับฐานข้อมูลของซอฟต์แวร์จากภายนอก

คำนำหน้านั้นถูกตั้งค่าไว้ใน wp-config.php ก่อนที่กระบวนการติดตั้งจะเกิดขึ้น ในเวลานั้น เจ้าของเว็บไซต์ WordPress ควรเลื่อนดูไฟล์กำหนดค่าและค้นหาบรรทัดต่อไปนี้:

 $table_prefix = 'wp_';

บรรทัดนี้ควรเปลี่ยนเป็นแทบทุกอย่างยกเว้นคำนำหน้าเริ่มต้น การเลือกชื่อเว็บไซต์หรือชื่อผู้ดูแลระบบหลักอาจเป็นขั้นตอนแรกที่ดีในการรักษาความปลอดภัยให้กับการติดตั้งและป้องกันแฮกเกอร์ที่เป็นอันตรายจากอินเทอร์เน็ต

2. ซ่อนหมายเลขเวอร์ชันของการติดตั้ง WordPress จากสาธารณะ

เทมเพลต WordPress ทุกอันมาพร้อมกับตัวแปรที่แสดงข้อมูลพื้นฐานของ WordPress และช่วยให้แก้ไขส่วนหัวผ่านปลั๊กอินได้อย่างต่อเนื่อง ตัวแปรนั้นคือ <?php wp_head() ?> และวางไว้ระหว่างแท็กเปิดและปิด <HEAD> ของ header.php อย่างสม่ำเสมอ สิ่งสำคัญอย่างหนึ่งที่ดำเนินการโดยตัวแปรนี้คือการแสดงหมายเลขเวอร์ชันของการติดตั้ง WordPress ปัจจุบันต่อสาธารณะ

ทีมพัฒนา Automattic ใช้สิ่งนี้จริง ๆ เพื่อวัตถุประสงค์ในการวิเคราะห์ เนื่องจากช่วยให้พวกเขาเห็นว่าหมายเลขเวอร์ชันใดถูกใช้มากที่สุด และมีผู้ใช้ที่ไม่ปัจจุบันจำนวนมากหรือไม่

นอกจากนี้ยังช่วยให้แฮกเกอร์สามารถดูหมายเลขเวอร์ชันของการติดตั้ง WordPress และวางแผนการโจมตีได้ตามนั้น เนื่องจากช่องโหว่ด้านความปลอดภัยของ WordPress โดยทั่วไปมักเป็นเวอร์ชันเฉพาะ และได้รับการแก้ไขในเวอร์ชันถัดๆ ไป และการติดตั้งที่ล้าสมัยซึ่งแสดงหมายเลขเวอร์ชันนั้นพร้อมสำหรับการโจมตีโดยผู้ที่ต้องการเข้าถึงแดชบอร์ดหรือฐานข้อมูลโดยไม่ได้รับอนุญาต

ข้อมูลนี้สามารถและควรลบออกจากตัวแปร "wp_head"; สามารถทำได้โดยการเพิ่มบรรทัดโค้ดต่อไปนี้ในไฟล์ functions.php ของธีมปัจจุบัน:

 remove_action('wp_header', 'wp_generator');

บันทึกไฟล์นั้นและอัปโหลดไปยังเซิร์ฟเวอร์ และจะไม่มีใครรู้ว่าการติดตั้ง WordPress เป็นปัจจุบัน ล้าสมัย หรือแม้แต่ในรุ่นเบต้า ไม่มีอะไรจะโฆษณาต่อสาธารณะ

3. จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลว

โดยทั่วไปแล้ว ผู้ใช้อินเทอร์เน็ตที่ประสงค์ร้ายจะเข้าถึงแดชบอร์ดของ WordPress ผ่านการโจมตีแบบ “เดรัจฉาน” ที่ป้อนรหัสผ่านนับหมื่นอย่างรวดเร็ว การโจมตีนี้ใช้คำในพจนานุกรมและตัวเลขทั่วไปในการค้นหาข้อมูลรับรองความปลอดภัยของผู้ใช้ หากไม่มีการปิดกั้นอย่างเหมาะสมสำหรับความพยายามซ้ำๆ เหล่านี้ ไม่มีอะไรจะหยุดพวกเขาได้จริงๆ

นั่นคือที่มาของปลั๊กอิน LockDown สำหรับการเข้าสู่ระบบ การใช้ปลั๊กอินนี้ ผู้ใช้ WordPress สามารถกำหนดขีดจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวก่อนที่จะถูกล็อกออกจากแดชบอร์ดเป็นเวลาหนึ่งชั่วโมง ความพยายามที่ล้มเหลวเหล่านี้เชื่อมโยงกับที่อยู่ IP ทำให้ปลั๊กอินนี้มีประสิทธิภาพมากขึ้น

4. ผู้ดูแลระบบไม่ควรตั้งชื่อตัวเองว่า “ผู้ดูแลระบบ”

เมื่อทำการติดตั้ง WordPress จากตัวติดตั้งในตัว ผู้ดูแลระบบโดยทั่วไปจะตั้งชื่อว่า “ admin ” ตามค่าเริ่มต้น ผู้ใช้อินเทอร์เน็ตที่เป็นอันตรายรู้เรื่องนี้ดี และนั่นคือชื่อแรกที่พวกเขาจะพยายามเดาเมื่อเข้าถึงแดชบอร์ดของ WordPress ด้วยกำลังดุร้าย

เมื่อติดตั้ง WordPress เป็นครั้งแรก อย่าลืมตั้งชื่อผู้ใช้ที่เป็นผู้ดูแลระบบซึ่งคาดเดาได้ยาก (อาจเป็นชื่อเล่นหรืออย่างอื่น) การโจมตีด้วยรหัสผ่านแบบเดรัจฉานจะมีผลก็ต่อเมื่อทราบชื่อผู้ใช้ของผู้ดูแลระบบ หากไม่เป็นเช่นนั้น จะเข้าถึงไม่ได้สองเท่า

5. อัปเดต WordPress ตลอดเวลาและแจ้งเตือนเกี่ยวกับมัน

โดยทั่วไปแล้ว WordPress เวอร์ชันใหม่จะออกทุกๆ สองสามสัปดาห์หรือประมาณนั้น โดยมีการอัปเดตเล็กน้อยและแพตช์ความปลอดภัยที่ให้บริการเพื่อให้ผู้ใช้ปลอดภัยจากแฮกเกอร์ที่มุ่งเป้าไปที่แดชบอร์ดและฐานข้อมูลทางอินเทอร์เน็ตมากขึ้น

ความล้มเหลวในการอัปเดต WordPress นั้นโดยพื้นฐานแล้วเหมือนกับการเชิญแฮกเกอร์ให้เข้ามา ลบบางโพสต์ และทำให้ความปลอดภัยของเว็บไซต์ลดลง การอัปเดตเหล่านี้เป็นเรื่องที่แย่มาก โดยเฉพาะอย่างยิ่งเนื่องจากธีมที่ไม่เปลี่ยนแปลงจะแสดงหมายเลขเวอร์ชันเพื่อให้ผู้สนใจดูได้

ตั้งแต่เวอร์ชัน 3.0 WordPress ได้เปิดใช้งานการอัปเดตแดชบอร์ดอัตโนมัติด้วยการคลิกเพียงครั้งเดียว อันที่จริง แดชบอร์ดยังแจ้งเตือนผู้ใช้เกี่ยวกับการอัปเดตโดยอัตโนมัติ และจะกระตุ้นให้พวกเขาอัปเกรดด้วยข้อความที่ค่อนข้างโดดเด่นและโดดเด่น ควรทำทันทีที่มีการอัปเกรด จะไม่ส่งผลให้ไฟล์ ปลั๊กอิน ธีม หรือการตั้งค่าสูญหาย

การอัปเดต WordPress จะใช้ได้เฉพาะเพื่อเปิดใช้งานคุณลักษณะใหม่ ๆ และช่องโหว่ด้านความปลอดภัยของแพตช์ที่ค้นพบตั้งแต่เวอร์ชันล่าสุดถูกส่งไปยังผู้ใช้ซอฟต์แวร์ 60 ล้านคน เป็นปัจจุบันอยู่เสมอเพื่อพยายามป้องกันแฮกเกอร์

6. ซ่อนไฟล์ WP-Config.PHP จากผู้ใช้อินเทอร์เน็ตเกือบทั้งหมด

ผู้ใช้ WordPress ไม่ควรลืมพลังของไฟล์ . .htaccess เมื่อพยายามซ่อนไฟล์และปกป้องความสมบูรณ์ของ WordPress Dashboard และฐานข้อมูล อันที่จริง ไฟล์นี้มีความสำคัญต่อการรักษาความปลอดภัยในระยะยาวของ WordPress ในหลายวิธี ไฟล์ ".htaccess" สามารถซ่อนไฟล์จากผู้ใช้อินเทอร์เน็ตสาธารณะได้โดยใช้โค้ดเพียงไม่กี่บรรทัด แม้ว่าจะไม่ได้ตั้งค่าการอนุญาตไฟล์ที่เหมาะสมในไฟล์นั้นก็ตาม

นี่เป็นวิธีแก้ปัญหาสำหรับการแสดงไฟล์ "wp-config.php" ต่อสาธารณะ ซึ่งประกอบด้วยสิ่งต่างๆ เช่น คีย์ API และคำนำหน้าฐานข้อมูลที่จำเป็นต่อการประนีประนอมกับการติดตั้ง

ในการรักษาความปลอดภัยให้กับไฟล์นี้จากผู้ใช้อินเทอร์เน็ตที่เป็นอันตราย เพียงเพิ่มโค้ดต่อไปนี้ลงในไฟล์ ".htaccess" ที่อยู่ในโฟลเดอร์รากของการติดตั้ง WordPress หากไม่มีไฟล์ดังกล่าว ให้สร้างขึ้นใหม่:

 <ไฟล์ wp-config.php>
คำสั่งอนุญาต ปฏิเสธ
ปฏิเสธจากทั้งหมด
</Files>

เมื่อวางโค้ดบรรทัดนี้ลงในไฟล์แล้ว ให้บันทึกและอัปโหลดไปยังเซิร์ฟเวอร์ผ่านไคลเอ็นต์ FTP ไฟล์การกำหนดค่าสำหรับการติดตั้ง WordPress ที่เกี่ยวข้องจะหายไปจากมุมมองสาธารณะ และนั่นอาจหมายถึงสิ่งที่ดีสำหรับการรักษาความปลอดภัยและความอุ่นใจเท่านั้น

7. และเมื่อพูดถึงสิทธิ์ของไฟล์ ให้ตรวจสอบเพื่อความปลอดภัย

WordPress ไม่ต้องการกฎที่อนุญาตสำหรับการเข้าถึงและแก้ไขไฟล์เพื่อให้ทำงานได้อย่างถูกต้อง อันที่จริง การตั้งค่าและข้อมูลเนื้อหาทั้งหมดของไซต์ถูกเขียนลงในฐานข้อมูล แทนที่จะเก็บไว้ในไฟล์ PHP ฝั่งเซิร์ฟเวอร์ ด้วยเหตุผลนี้ ไม่มีเหตุผลใดๆ เลยสำหรับการใช้ค่า 777 CHMOD กับไฟล์ WordPress ใดๆ นี่เป็นเพียงวิธีที่จะทำให้มั่นใจได้ว่าแฮกเกอร์สามารถเข้าถึงการตั้งค่าการกำหนดค่าหรือไฟล์อื่นๆ ที่อาจส่งผลต่อการติดตั้งได้อย่างง่ายดาย

ในการตรวจสอบสิทธิ์และอาจแก้ไขเพื่อให้การติดตั้งปลอดภัยยิ่งขึ้น ให้เปิดไคลเอนต์ FTP และไปที่ไดเรกทอรีรากของ WordPress คลิกขวาที่ไฟล์ PHP และมองหาตัวเลือกเมนูที่เกี่ยวข้องกับการอนุญาต ในหน้าต่างผลลัพธ์ ให้มองหาตัวเลขที่ระบุความพร้อมใช้งานของไฟล์ ไม่ควรเป็น 777 อย่างแน่นอน ในหลายกรณี ขอแนะนำให้ใช้ค่า 744 CHMOD ที่จำกัดการเข้าถึงและแก้ไขไฟล์เฉพาะผู้ใช้ root FTP ของเซิร์ฟเวอร์เท่านั้น เปลี่ยนการตั้งค่านี้หากจำเป็น แล้วบันทึก เซิร์ฟเวอร์จะอัปเดตตามนั้น

8. ใช้ไฟล์ .htaccess เพื่อซ่อนไฟล์ .htaccess

คนส่วนใหญ่ไม่คิดว่าสิ่งนี้เป็นไปได้ แต่จริง ๆ แล้วไฟล์ . .htaccess สามารถใช้เพื่อซ่อนตัวจากสาธารณะได้ มันทำได้สำเร็จโดยส่วนใหญ่แล้วโดยใช้ชื่อไฟล์ที่ขึ้นต้นด้วยจุด แต่จะใช้กับคอมพิวเตอร์ที่ใช้ Windows ไม่ได้ เครื่องเหล่านั้นต้องค้นหาไฟล์ที่ไม่สามารถเข้าถึงได้โดยใช้คำแนะนำที่มีอยู่ใน ".htaccess" การอนุญาตนั้นค่อนข้างคล้ายกับวิธีการซ่อนไฟล์การกำหนดค่า PHP ของ WordPress ดังที่แสดงไว้ที่นี่:

 <ไฟล์ .htaccess>
คำสั่งอนุญาต ปฏิเสธ
ปฏิเสธจากทั้งหมด
</Files>

อีกครั้ง เมื่อวางบรรทัดนั้นลงในไฟล์แล้ว จะสามารถบันทึกและอัปโหลดไปยังเซิร์ฟเวอร์ได้ ตอนนี้แทบทุกคนที่เข้าชมไซต์จะมองไม่เห็น ยกเว้นผู้ใช้ผู้ดูแลระบบรูท

9. ทำความเข้าใจและใช้พลังของเอกสาร HTML เปล่า

ทุกคนที่ต้องการเข้าถึงการติดตั้ง WordPress ที่ถูกบุกรุกรู้ว่าซอฟต์แวร์จะวางปลั๊กอินและธีมไว้ในไดเร็กทอรีเฉพาะ พวกเขาจะตรวจสอบไดเร็กทอรีเหล่านี้เพื่อค้นหาว่าไม่มีปลั๊กอินความปลอดภัยหรือช่องโหว่บน XHTML และ CSS จำนวนหนึ่ง จากนั้นพวกเขาจะใช้ประโยชน์จากสิ่งเหล่านั้นเพื่อเข้าถึง นี้เป็นจริงสวยง่ายที่จะป้องกัน

เพื่อให้แน่ใจว่ารายชื่อไฟล์ในไดเร็กทอรีเหล่านี้จะไม่แสดงต่อผู้ใช้อินเทอร์เน็ต ให้ สร้างเอกสาร HTML เปล่า แล้ววางลงในโฟลเดอร์ เอกสารควรเป็นอะไรที่ค่อนข้างธรรมดา โดยมีแท็กส่วนหัวและชื่อที่เขียนว่า " จำกัดการเข้าถึง " ชื่อนี้อาจทำให้ผู้ดูแลไซต์รู้สิ่งหนึ่งหรือสองเรื่องเกี่ยวกับความปลอดภัย และจะส่งผู้ใช้ที่ประสงค์ร้ายไปยังเว็บไซต์อื่น

10. มีการสำรองข้อมูลล่าสุดอยู่เสมอ

วิธีที่ถูกต้องในการรักษาความปลอดภัยของการติดตั้ง WordPress ก็คือการเตรียมส่วนหนึ่งส่วนและการป้องกันส่วนหนึ่ง

ด้าน “การเตรียมการ” ของกระบวนการนี้มาในรูปแบบของการสำรองข้อมูล ทั้งไฟล์ WordPress จริงและฐานข้อมูลที่ใช้เก็บข้อมูลควรได้รับการสำรองข้อมูลเป็นประจำ ซึ่งสามารถทำได้หลายวิธี รวมถึงปลั๊กอิน WordPress หลายตัวสำหรับแดชบอร์ด

หากจำเป็นต้องใช้วิธีการสำรองไฟล์ขั้นสูง ผู้ใช้สามารถใช้เครื่องมือสำรองข้อมูลในพื้นที่การดูแลระบบแบ็กเอนด์ของ cPanel หรือ Plesk นอกจากนี้ ผู้ดูแลระบบสามารถทำให้กระบวนการเป็นอัตโนมัติและสร้างงาน Cron เพื่อให้ข้อมูลสำรองล่าสุดพร้อมใช้งานเสมอ

สิ่งสำคัญเกี่ยวกับความปลอดภัยของ WordPress คือการเตรียมพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุดเสมอ เมื่อพูดถึงการตรวจสอบเวลาทำงานและความน่าเชื่อถือ แม้ว่าจะถูกโจมตีโดยแฮ็กเกอร์ที่ประสงค์ร้าย การสำรองข้อมูลไซต์เป็นวิธีที่ง่ายที่สุดในการกลับมาออนไลน์หลังจากปิดช่องโหว่ด้านความปลอดภัยแล้ว

ความระมัดระวังและการใช้งานอย่างชาญฉลาดคือกุญแจสู่การติดตั้ง WordPress ที่ปลอดภัย

โดยทั่วไป WordPress มีความปลอดภัยเพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา ในช่วงเวลาสั้นๆ ดูเหมือนว่ามีช่องโหว่ด้านความปลอดภัยใหม่ทุกสัปดาห์ รูปแบบนี้สร้างปัญหาให้กับผู้ใช้ในองค์กรขนาดใหญ่โดยเฉพาะ และทีมงานของ Automattic ต้องรีบดำเนินการในการรีบูตโดยสมบูรณ์

การรีบูตนั้นส่วนใหญ่เป็นรุ่น 3.0 โดยมีสถาปัตยกรรมที่ปลอดภัยกว่าและเครื่องมืออัปเดตอัตโนมัติที่ไม่ต้องทำงานหนักเพื่อให้เป็นปัจจุบันด้วยแพตช์และการแก้ไขความปลอดภัยล่าสุด

เมื่อเป็นเรื่องของการรักษาความปลอดภัย การเผยแพร่เหล่านี้ควรเป็นปัจจุบันโดยเด็ดขาด และผู้ใช้ควรใช้การอนุญาต ข้อจำกัด และกลอุบายด้านความปลอดภัยที่เข้มงวด เพื่อความปลอดภัยจากผู้ใช้อินเทอร์เน็ตที่เป็นอันตราย