10 Actionable WordPress เคล็ดลับความปลอดภัยสำหรับคนธรรมดา

บทความที่เขียนโดย:
  • WordPress
  • อัปเดต: มิ.ย. 06, 2018

ตั้งแต่เริ่มใช้งานมานานกว่าสองทศวรรษที่ผ่านมา WordPress ได้เติบโตขึ้น (และเติบโตขึ้น) ในขณะนี้ได้รับการยอมรับว่าเป็นระบบการจัดการเนื้อหายอดนิยมของโลก วันนี้ มากกว่าหนึ่งในสี่ ของเว็บไซต์ที่มีอยู่จะทำงานบน WordPress

อย่างไรก็ตามตั้งแต่ไหน แต่ไหน แต่ไรสิ่งที่นิยมมากขึ้นคือคนที่ต้องการใช้ประโยชน์จากมันมากขึ้น เพียงแค่ดูที่ Microsoft Windows และ มัลแวร์จำนวนมากไวรัสและการโจมตีอื่น ๆ ออกแบบมาเพื่อกำหนดเป้าหมายเฉพาะระบบปฏิบัติการนี้เท่านั้น

รุ่น 10 WordPress ที่มีช่องโหว่มากที่สุด ((ที่มา )) การวิจัยใน 2017 ระบุ 74 เวอร์ชันต่างๆของ WordPress ใน Alexa Top 1 ล้านเว็บไซต์; 11 ของเวอร์ชันเหล่านี้ไม่ถูกต้องเช่นรุ่น 6.6.6 ((ที่มา )).

ทำไมบล็อก WordPress ของคุณจึงเป็นเป้าหมายที่มีค่า

ในกรณีที่คุณสงสัยว่าทำไมในโลกแฮ็กเกอร์ต้องการควบคุมบล็อก WordPress ของคุณมีสาเหตุหลายประการ ได้แก่

  • ใช้เพื่อแอบส่งอีเมลขยะ
  • ขโมยข้อมูลของคุณเช่นรายชื่อที่ส่งทางไปรษณีย์หรือข้อมูลบัตรเครดิต
  • การเพิ่มเว็บไซต์ของคุณไปยัง botnet ที่สามารถใช้งานได้ในภายหลัง

โชคดีที่ WordPress เป็นแพลตฟอร์มที่ให้คุณได้มีโอกาสมากมายที่จะปกป้องตัวคุณเอง การช่วยตั้งค่าและจัดการเว็บไซต์และบล็อกหลายแห่งด้วยตัวเองฉันต้องการแชร์สิ่งพื้นฐานบางอย่างที่คุณสามารถทำได้เพื่อช่วยรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ

นี่คือ 10 เคล็ดลับความปลอดภัยที่สามารถดำเนินการได้คุณสามารถใช้ประโยชน์ได้

เคล็ดลับ #1 เลือกชื่อผู้ใช้ของผู้ดูแลระบบที่ดี

จากประสบการณ์ส่วนใหญ่เว็บไซต์พยายามสับพยายามเข้าสู่ระบบด้วยสามตัวเลือกหลักของชื่อผู้ใช้ สองคนแรกคือ 'admin' หรือ 'administrator' เสมอในขณะที่อันดับที่สามมักใช้ชื่อโดเมนของคุณ

ตัวอย่างเช่นหากไซต์ของคุณเป็น crazymonkey33.com แฮ็กเกอร์อาจพยายามเข้าสู่ระบบด้วย 'crazymonkey33'

ไม่ใช่ความคิดที่ดี

เคล็ดลับ #2 ตรวจสอบให้แน่ใจว่าได้ใช้รหัสผ่านที่รัดกุม

ตอนนี้คุณอาจจะคิดว่าผู้คนจะรู้จักใช้รหัสผ่านที่แข็งแรงและซับซ้อนเพื่อปกป้องบัญชีของตน แต่ยังมีอีกหลายคนที่คิดว่ารหัสผ่านคือรหัสผ่านที่ยอดเยี่ยม

รหัสผ่านที่แข็งแกร่งจะประกอบด้วยส่วนผสมของ:

  • อักขระตัวพิมพ์ใหญ่และต่ำกว่า
  • เป็นตัวอักษรและตัวเลข (AZ และ az)
  • รวมอักขระพิเศษ (!, @, #, $, etc)
  • มีความยาวอย่างน้อย 8 ตัว

รหัสผ่านของคุณแบบสุ่มมีความปลอดภัยมากขึ้น ลองใช้โปรแกรมสร้างรหัสผ่านแบบสุ่มนี้หากคุณมีปัญหาในการเข้าร่วมด้วย https://passwordsgenerator.net/

เคล็ดลับ #3 ใช้ reCaptcha

บล็อกกำแพงออกจากบล็อก WP ของคุณ

reCaptcha ได้รับการออกแบบมาเพื่อหยุดเครื่องมืออัตโนมัติจากการทำงานในไซต์ แน่นอนว่าความซับซ้อนของเครื่องมือแฮ็กวันนี้อาจทำได้ง่ายกว่า แต่อย่างน้อยก็มีชั้นความปลอดภัยเพิ่มขึ้น

มี ปลั๊กอิน reCaptcha จำนวนมาก คุณสามารถใช้กับการติดตั้งของคุณซึ่งจะทำงานได้ดีมากจากกล่อง

เคล็ดลับ #4 ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA)

2FA เป็นวิธีการรับรองความถูกต้องที่ต้องมีการยืนยันในการเข้าสู่ระบบของคุณ ตัวอย่างเช่นเมื่อคุณลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่านระบบอาจส่ง SMS ไปที่โทรศัพท์มือถือของคุณหรือส่งอีเมลถึงคุณด้วยรหัสที่คุณต้องป้อนเพื่อยืนยันตัวตนของคุณ

วิธีการพิสูจน์ตัวตนนี้มีการป้องกันที่ดีและมีการใช้โดยธนาคารและสถาบันการเงินหลายแห่งในปัจจุบัน อีกครั้งความต้องการนี้สามารถพบกับ a ปลั๊กอิน 2FA.

ดูว่า miniOrange (ปลั๊กอิน 2FA) ทำงานร่วมกับ WordPress เข้าสู่ระบบในวิดีโอต่อไปนี้ได้อย่างไร

T

เคล็ดลับ #5 เปลี่ยนชื่อ URL การเข้าสู่ระบบของคุณ

แฮกเกอร์ส่วนใหญ่จะพยายามเข้าสู่ระบบผ่านทางหน้าเข้าสู่ระบบ wordpress เริ่มต้นซึ่งโดยปกติแล้วจะเป็นตัวอย่าง example.com/wp-admin

หากต้องการเพิ่มชั้นการป้องกันอื่นให้เปลี่ยน URL ของหน้าเข้าสู่ระบบอย่างรวดเร็วและง่ายดายด้วยเครื่องมืออย่างเช่น WPS ซ่อนการเข้าสู่ระบบ.

เคล็ดลับ #6 ป้องกันไดเรกทอรี wp-admin ของคุณ

เพิ่มความปลอดภัยชั้นพิเศษลงในไดเร็กทอรีโฮสต์ของคุณ

ไดเร็กทอรี wp-admin เป็นหัวใจของการติดตั้ง WordPress ของคุณ ในฐานะที่เป็นตัวป้องกันเพิ่มเติมรหัสผ่านจะป้องกันไดเร็กทอรีนี้

ในการดำเนินการนี้คุณจะต้องลงชื่อเข้าใช้แผงควบคุมบัญชี hosting ของคุณ ไม่ว่าคุณจะใช้ cPanel or Pleskตัวเลือกที่คุณต้องการคือ 'ไดเรกทอรีป้องกันด้วยรหัสผ่าน'

เคล็ดลับ #7 ใช้ SSL เพื่อเข้ารหัสข้อมูล

การเชื่อมต่อ HTTP และ HTTPS (ที่มา: Sucuri)

นอกเหนือจากไซต์นี้แล้วคุณยังต้องการปกป้องการเชื่อมต่อระหว่างคุณกับเซิร์ฟเวอร์และนี่คือที่ที่ SSL จะเข้ามาเพื่อเข้ารหัสการติดต่อสื่อสารของคุณ แฮกเกอร์จะไม่สามารถดักข้อมูล (เช่นรหัสผ่านของคุณ) เมื่อสื่อสารกับเซิร์ฟเวอร์ของคุณโดยมีการเชื่อมต่อที่เข้ารหัสลับ

นอกเหนือจากนี้แล้วยังเป็นแนวทางที่ดีที่จะใช้ SSL ในปัจจุบันเนื่องจากเครื่องมือค้นหามีการลงโทษไซต์ที่พวกเขาคิดว่าไม่ปลอดภัยมากขึ้น

เรียนรู้เพิ่มเติมเกี่ยวกับ SSL ในส่วนที่ครอบคลุมของเรา AZ คู่มือ SSL.

เคล็ดลับ #8 ตรวจสอบว่าซอฟต์แวร์ของคุณทันสมัยอยู่เสมอ

ไม่ว่าซอฟต์แวร์ที่ดีหรือแพงจะมีจุดอ่อนใหม่ที่พบในพวกเขาที่อาจทำให้พวกเขาเปิดกว้างเพื่อใช้ประโยชน์ WordPress ไม่มีข้อยกเว้นใด ๆ และทีมงานได้ปล่อยเวอร์ชันใหม่ ๆ อย่างต่อเนื่องโดยมีการแก้ไขและอัปเดต

แฮกเกอร์เกือบตลอดเวลาพยายามที่จะใช้ประโยชน์จากความอ่อนแอและการใช้ประโยชน์ที่เป็นที่รู้จักซึ่งไม่ได้รับการแก้ไขคือการถามปัญหา นี่เป็นเรื่องใหญ่สำหรับปลั๊กอินที่สร้างขึ้นโดย บริษัท ที่มีขนาดเล็กมากซึ่งมีทรัพยากรน้อยกว่าสองเท่า

หากคุณใช้ปลั๊กอินตรวจสอบให้แน่ใจว่าการอัปเดตได้รับการเผยแพร่อย่างสม่ำเสมอหรือพิจารณาการอัปเดตที่มีการทำงานที่คล้ายคลึงกันซึ่งจะมีการอัปเดตอยู่เสมอ

มีกล่าวนี้ฉันไม่แนะนำให้คุณใช้ การปรับปรุง WordPress และ Plugin อัตโนมัติโดยเฉพาะอย่างยิ่งหากคุณใช้งานเว็บไซต์ออนไลน์อยู่ การอัปเดตบางอย่างอาจทำให้เกิดปัญหาไม่ว่าจะเป็นการภายในหรือผ่านทางขัดแย้งกับปลั๊กอินและการตั้งค่าอื่น ๆ

สร้างสภาพแวดล้อมการทดสอบที่สะท้อนไซต์สดของคุณและทดสอบการอัปเดตที่นั่น เมื่อคุณแน่ใจว่าทุกอย่างทำงานได้ดีแล้วคุณสามารถใช้การอัปเดตกับไซต์แบบสดได้

แผงควบคุมเช่น Plesk ให้ตัวเลือกในการสร้างไซต์โคลนเพื่อการนี้

เคล็ดลับ #9 ใช้ประโยชน์จากเครือข่ายการกระจายเนื้อหา (CDN)

แม้ว่าการทำเช่นนี้อาจไม่เป็นการบันทึกไซต์ของคุณจากการถูกแฮ็กก็ตาม แต่ก็ช่วยลดการโจมตีที่เป็นอันตรายได้ แฮกเกอร์บางคนมีจุดมุ่งหมายเพื่อนำมาลงเว็บไซต์ทำให้พวกเขาไม่สามารถเข้าถึงได้ต่อสาธารณชน CDN จะช่วยลดการโจมตีแบบ Distributed Denial of Service ในเว็บไซต์ของคุณ

นอกจากนั้นยังช่วยเพิ่มความเร็วไซต์ของคุณด้วยการแคชเนื้อหาบางอย่าง ในการสำรวจตัวเลือกนี้มองไปที่ CloudFlare เป็นตัวอย่าง CloudFlare เสนอบริการ CDN ในระดับราคาหลายระดับเพื่อให้คุณสามารถใช้คุณลักษณะพื้นฐานได้ฟรี https://www.cloudflare.com

เคล็ดลับ #10 สำรองข้อมูลสำรองข้อมูลและสำรองข้อมูล!

ไม่ว่ามาตรการรักษาความปลอดภัยจะเป็นอย่างไรหรือความระมัดระวังคุณเป็นอย่างไรอุบัติเหตุก็เกิดขึ้น ช่วยตัวคุณเองให้รอดพ้นจากความเสียใจจากการเสียชีวิตและการทำงานเป็นเวลาหลายร้อยชั่วโมงโดยเพียงแค่ทำให้แน่ใจว่าคุณมีบริการสำรองข้อมูลอย่างเพียงพอในสถานที่

โดยปกติพื้นที่เว็บของคุณจะมาพร้อมกับคุณสมบัติการสำรองข้อมูลเบื้องต้นอย่างน้อย แต่ถ้าคุณหวาดระแวงเช่นฉันเสมอให้แน่ใจว่าคุณดำเนินการสำรองข้อมูลที่เป็นอิสระของคุณเอง การสำรองข้อมูลไม่ใช่เรื่องง่ายเพียงคัดลอกไฟล์บางไฟล์ แต่ยังคำนึงถึงข้อมูลในฐานข้อมูลของคุณ

ค้นหาโซลูชันสำรองที่ได้รับการทดสอบและพิสูจน์แล้ว แม้แต่การลงทุนขนาดเล็กก็คุ้มค่าที่จะช่วยประหยัดน้ำตาในกรณีฉุกเฉิน สิ่งที่ต้องการ BackupBuddy สามารถช่วยคุณประหยัดทุกอย่างรวมถึงฐานข้อมูลของคุณในครั้งเดียว

เคล็ดลับโบนัส: นับจำนวนโฮสต์เว็บของคุณ!

แม้ว่าตามเนื้อผ้าเว็บโฮสติ้ง บริษัท เพียงเสนอพื้นที่สำหรับเราเพื่อโฮสต์เว็บไซต์ของเราครั้งมีการเปลี่ยนแปลง ผู้ให้บริการเว็บโฮสติ้งตระหนักถึงความจำเป็นเร่งด่วนสำหรับการรักษาความปลอดภัยที่เพิ่มขึ้นได้ก้าวขึ้นด้วยการเสนอขายบริการเสริมจำนวนมากเพื่อเสริมเว็บโฮสติ้งของพวกเขา

ตัวอย่างเช่น HostGatorซึ่งเป็นหนึ่งในชื่อที่ได้รับการยอมรับมากขึ้นในเกม นอกเหนือจากคุณสมบัติ Cloudflare พื้นฐานแล้ว HostGator (ที่ราคา $ 10 + / mo) ยังมาพร้อมกับการป้องกันสแปมฟรีการกำจัดมัลแวร์อัตโนมัติการสำรองข้อมูลอัตโนมัติความเป็นส่วนตัวของโดเมนและอื่น ๆ

ผู้ให้บริการโฮสติ้ง WordPress ที่มีการจัดการ, Kinstaสร้างไฟร์วอลล์ฮาร์ดแวร์และตรวจสอบเซิร์ฟเวอร์เพื่อหามัลแวร์และการโจมตี DDoS อย่างแข็งขันด้วยระบบที่สร้างขึ้นเอง

หากนี่เป็นสิ่งที่ยังไม่เกิดขึ้นกับคุณเราขอแนะนำให้คุณพิจารณาถึงคุณลักษณะด้านความปลอดภัยที่โฮสต์ของคุณให้และเปรียบเทียบกับสิ่งที่มีอยู่ในปัจจุบัน

สำหรับรายการที่ครอบคลุมคุณสามารถเช็คเอาท์ได้ การรวบรวมเว็บโฮสต์ของ WHSR ที่นี่.

ตอนนี้อะไรล่ะ?

ก่อนที่คุณจะเรียกใช้ป่าและเริ่มต้นทำความสะอาดอินเทอร์เน็ตด้วยความตื่นตระหนกในการค้นหาโซลูชันด้านความปลอดภัยนับล้านรายการและใช้ความลึกลับในการหายใจ เช่นเดียวกับทุกสิ่งทุกอย่างใครบางคนจะช่วยให้คุณตื่นตระหนกและมองหาแนวทางแก้ไข

แม้ว่าคุณจะใช้โซลูชันความปลอดภัยเท่าที่คุณจะพบได้ก็ตาม แน่ใจ คุณปลอดภัยหรือไม่?

นี่คือสิ่งที่ชอบ นินจาการรักษาความปลอดภัย เข้ามาซึ่งจะช่วยให้คุณสำรวจเว็บไซต์ของคุณด้วยจุดอ่อน

การสาธิตด่วน: วิธีการทำงานของ Security Ninja

มีเหตุผลสองประการที่น่าสนใจที่จะใช้สิ่งที่ต้องการเช่น Security Ninja แต่ให้ฉันบอกว่านี่เป็นเครื่องมือที่ฉันต้องการแนะนำให้ใช้ในหลายขั้นตอนในการเดินทางเพื่อรักษาความปลอดภัยให้กับไซต์ของคุณ

ขั้นแรกให้เรียกใช้งานบนเว็บไซต์ของคุณ 'ตามสภาพ' ก่อนที่จะทำการเปลี่ยนแปลงใด ๆ ให้ปลั๊กอินโผล่และแย่งเว็บไซต์ของคุณก่อนที่จะให้ผลลัพธ์

จากนั้นก็ขึ้นอยู่กับผลการค้นหาเหล่านี้ทำงานเพื่อรักษาความปลอดภัยในไซต์ของคุณ นินจาการรักษาความปลอดภัยทำการทดสอบมากกว่า 50 เพื่อตรวจสอบการป้องกันของคุณ แม้หลังจากที่คุณทำการเปลี่ยนแปลงแล้วให้เรียกใช้อีกครั้ง (และทุกครั้งที่มีการเปลี่ยนแปลงไซต์หรือการอัปเดตปลั๊กอิน) เพื่อทดสอบไซต์ของคุณ

ถ้านี่ดูเหมือนจะเป็นงานที่นิดหน่อยสำหรับคุณนินจารักษาความปลอดภัยยังมาพร้อมกับโฮสต์ของโมดูลเพิ่มเติม (รุ่น Pro, ไซต์เดี่ยว $ 29) ที่สามารถช่วยคุณแก้ไขปัญหาที่พบได้

คุณลักษณะที่สำคัญอื่น ๆ ในโมดูลเหล่านี้ ได้แก่ :

  • สแกนไฟล์หลัก WP เพื่อระบุไฟล์ที่มีปัญหา
  • คืนค่าไฟล์ที่แก้ไขโดยคลิกเพียงครั้งเดียว
  • แก้ไขการอัปเดตอัตโนมัติ WP เสีย
  • แบน 600 ล้าน IP ที่ไม่ดีที่รวบรวมจากไซต์ที่ถูกโจมตีจำนวนหลายล้านราย
  • อัปเดตรายชื่ออัตโนมัติไม่จำเป็นต้องมีการบำรุงรักษาหรือทำงานด้วยตนเอง
  • ป้องกันฟอร์มการเข้าสู่ระบบจากการโจมตีแบบ brute-force

คิด Final

แม้ว่าสิ่งเหล่านี้อาจเป็นเพียงเล็กน้อยสำหรับผู้ใช้เวิร์ดเพรสทั่วไป แต่ฉันขอยืนยันว่าจำเป็นต้องมีข้อมูลทั้งหมด (และอื่น ๆ ) การละเว้นสถิติการแฮ็กทั่วโลกและสิ่งใดบ้างในชั่วระยะเวลาหนึ่งให้ฉันแบ่งปันข้อมูลส่วนบุคคลบางส่วนของคุณในไซต์ที่มีความคลุมเครือที่สุดแห่งหนึ่งที่ฉันช่วยจัดการ

เริ่มต้นเป็นเว็บไซต์ชีวประวัติง่ายๆฉันสร้างขึ้น www.timothyshim.com. แน่นอนมันเป็นเพียงบางสิ่งบางอย่างที่ฉันตั้งค่าและส่วนมากของเวลาออกเพียงอย่างเดียวเป็นจุดอ้างอิง ในแต่ละเดือนระยะเวลานานเว็บไซต์นี้ซึ่ง โดยทั่วไปไม่ทำอะไรเลยและเก็บรวบรวมข้อมูลใด ๆ, ใบหน้ามากกว่าการโจมตี 30 - การรวมกันของแรงเดรัจฉานและคนที่ซับซ้อน

ทั้งหมดที่เราต้องการก็คือหนึ่งในนั้นจะประสบความสำเร็จและฉันก็จะมี จริงๆ วันร้าย ๆ.

เกี่ยวกับทิโมธีชิม

ทิโมธีชิมเป็นนักเขียนบรรณาธิการและผู้เชี่ยวชาญด้านเทคโนโลยี เขาเริ่มต้นอย่างรวดเร็วในด้านเทคโนโลยีสารสนเทศเขาได้ค้นพบวิธีการพิมพ์และได้ทำงานร่วมกับสื่อต่างประเทศระดับภูมิภาคและระดับประเทศเช่น ComputerWorld, PC.com, Business Today และ Asian Banker ความเชี่ยวชาญของเขาอยู่ในด้านเทคโนโลยีจากทั้งผู้บริโภคและมุมมองขององค์กร

เชื่อมต่อ: