WordPress: 10 แนวทางปฏิบัติที่ดีที่สุดในเรื่องความปลอดภัย
WordPress (WP) เรียกว่าไฟล์ CMS ยอดนิยมในหลาย ๆ สิ่งได้รับการออกแบบโดยเน้นที่การเข้าถึงประสิทธิภาพและการใช้งานง่ายอยู่ในการพัฒนาอย่างต่อเนื่อง (เวอร์ชันปัจจุบัน 5.2)มีชุมชนผู้ใช้จำนวนมากในหลายภาษาและมีความสามารถในการปรับแต่งขนาดใหญ่ผ่านการใช้ธีมและส่วนเสริมของตัวเองหรือของบุคคลที่สาม
นอกจากนี้เพื่อความปลอดภัยมากแต่สำหรับสิ่งนั้นเช่นเดียวกับในแอปพลิเคชันหรือระบบใด ๆ ต้องปฏิบัติตามแนวทางปฏิบัติที่ดีเพื่อให้เกิดการใช้งานในระยะยาวอย่างปลอดภัย และในโพสต์นี้เราต้องการให้คำแนะนำเบื้องต้นเกี่ยวกับเรื่องนี้
การแนะนำ
WP เป็น CMS ยอดนิยมสำหรับการสร้างเว็บไซต์มันมักจะเป็นเป้าหมายของการโจมตีคอมพิวเตอร์ดังนั้นนอกเหนือจากการอัปเดตอย่างต่อเนื่อง ต้องมีการบำรุงรักษาอัปเดตและขั้นตอนการรักษาความปลอดภัยเป็นประจำ สำหรับ ดังนั้นหลีกเลี่ยงจุดอ่อนอันเนื่องมาจากช่องโหว่ในโปรแกรมเสริมรหัสผ่านที่อ่อนแอซอฟต์แวร์ที่ล้าสมัยและด้วยเหตุผลอื่น ๆ อีกมากมายนั่นคือ บรรลุ ลดช่องโหว่ของคุณอย่างมากจากการโจมตีที่ตั้งใจหรือไม่คาดคิด
นอกจากนี้ WP เช่นเดียวกับระบบการจัดการเนื้อหา (CMS) อื่น ๆ ช่วยให้คุณสร้างเว็บไซต์ได้อย่างรวดเร็วและมีประสิทธิภาพจากนั้นนำไปออนไลน์ ความสามารถสูงสำหรับการทำงานและการเติบโตผ่านโมดูลธีมเสริมทำให้งานนี้สำเร็จได้ง่ายกว่าที่เคย แต่ไม่จำเป็นต้องเรียนรู้เป็นเวลานานซึ่งมักจะต้องใช้สำหรับสิ่งนี้
อย่างไรก็ตาม ผลข้างเคียง ไม่มีอะไรน่ายินดีที่อาจเกิดขึ้นจากสิ่งนี้อาจเป็นไปได้ว่าผู้จัดการบางคนของเครื่องมือดังกล่าวมักจะ หลีกเลี่ยงมาตรการที่จำเป็นเพื่อให้แน่ใจว่าเว็บไซต์ที่สร้างหรือดูแลนั้นปลอดภัย. ด้วยเหตุนี้จึงเป็นสิ่งสำคัญที่จะต้องคำนึงถึงมาตรการทั่วไปและเฉพาะบางอย่าง (แนวปฏิบัติที่ดี) เกี่ยวกับ WP หรือ CMS และเว็บไซต์อื่น ๆ เพื่อให้ปลอดภัย
แนวทางปฏิบัติที่ดี
1.- เสริมสร้างความปลอดภัยของคุณโดยทั่วไป
WP สามารถเกิน 30% ของฐานเว็บไซต์ที่ใช้งานบนอินเทอร์เน็ตได้อย่างง่ายดายในปัจจุบันซึ่งทำให้เป็นเป้าหมายที่ชื่นชอบสำหรับผู้บุกรุกและ / หรือผู้โจมตี (แฮกเกอร์ / แคร็กเกอร์) ด้วยเจตนาดีหรือไม่ดี ดังนั้นช่องโหว่ที่ทราบและประสบความสำเร็จแล้วบนไซต์ที่คล้ายกันกับ WP จะถูกทดลองบนไซต์อื่นที่คล้ายคลึงกันกับ WP
ดังนั้นหากคุณจัดการและ / หรือใช้เว็บไซต์อย่างน้อยหนึ่งเว็บไซต์กับ WP ตรวจสอบให้แน่ใจว่าคุณมีความรอบคอบถี่ถ้วนและตระหนักถึงความปลอดภัยทางออนไลน์มากขึ้น โปรดทราบว่าการวิเคราะห์และรายงานการละเมิดความปลอดภัยส่วนใหญ่บนเว็บไซต์ที่มี WP มีส่วนเกี่ยวข้องกับแกนหลักของแอปพลิเคชันเพียงเล็กน้อยหรือไม่มีอะไรเลย แต่เกี่ยวข้องกับทุกสิ่งที่เกี่ยวข้องกับการใช้งานการกำหนดค่าและการบำรุงรักษาทั่วไป นักพัฒนาหรือผู้ดูแลระบบดำเนินการอย่างไม่ถูกต้อง '
2.- รู้ช่องโหว่ของคุณ
WordPress มีช่องโหว่ด้านความปลอดภัยที่ทราบประมาณ 4.000 รายการโดยกระจายดังนี้: WP Core (37%), Plugins (52%) และ Themes (11%)ตามรายงานล่าสุดจากเว็บไซต์ WPScans ซึ่งตอนนี้เรียกว่า WPSec (ตั้งแต่ 01-05-2019). ตรวจสอบช่องโหว่ด้านความปลอดภัยที่เว็บไซต์ของคุณพบและหาวิธีแก้ไขเพื่อแก้ไขปัญหาเหล่านี้ หลีกเลี่ยงการใช้ WP Core เวอร์ชันที่ไม่ปลอดภัยหรือปลั๊กอินและธีม
เน้นหัวข้อความปลอดภัยต่อไปนี้บน WP หรือเว็บไซต์ของคุณนั่นคือบน ประเภทต่างๆของ การโจมตีจาก:
- กำลังดุร้าย: เสริมความปลอดภัยในหน้าเข้าสู่ระบบของคุณ
- การรวมไฟล์: การเสริมสร้างความปลอดภัยของไฟล์คอนฟิกูเรชัน wp-config.php ของคุณ
- การฉีด SQL: การเสริมสร้างความปลอดภัยของฐานข้อมูล MySQL ที่เชื่อมโยงกับ WP
- การเขียนสคริปต์ข้ามไซต์: การเสริมสร้างความปลอดภัยของปลั๊กอิน WP ที่ใช้
- การติดมัลแวร์: เสริมความปลอดภัยทั่วไปของเว็บไซต์ของคุณเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตการแทรกมัลแวร์และการรวบรวมข้อมูลที่เป็นความลับในภายหลังโดยรหัสที่เป็นอันตรายเหล่านี้ มัลแวร์หรือการโจมตีที่พบบ่อยที่สุดมักเป็นประเภท: Backdoor, Spam SEO, HackTool, Mailer, Defacement และ Phishing พยายามปกป้องไซต์ของคุณจากมัลแวร์หรือการโจมตีแต่ละประเภทเหล่านี้
โปรดจำไว้ว่าเมื่อเว็บไซต์ใด ๆ ถูกบุกรุกการจัดอันดับ SEO อาจได้รับผลกระทบ เนื่องจากเครื่องมือค้นหามักจะบันทึกเว็บไซต์ที่ถูกบุกรุกอย่างรวดเร็วเพื่อให้เบราว์เซอร์ส่งสัญญาณเตือนไปยังผู้เยี่ยมชมหรือปิดกั้นความสามารถในการนำทางเว็บไซต์เหล่านั้นโดยสิ้นเชิง
3.- รู้จักโครงสร้างพื้นฐานของผู้ให้บริการโฮสติ้งของคุณ
หากเว็บไซต์ของคุณใช้โฮสติ้งภายนอกนั่นคือจ้างนอกโครงสร้างพื้นฐานของคุณ อย่าเสียค่าใช้จ่ายเพื่อรับประกันคุณภาพการบริการจากผู้ให้บริการโฮสติ้งของคุณ เหนือสิ่งอื่นใดหากเขาโฮสต์ไซต์ของเขาภายใต้โครงการ "โฮสติ้งที่ใช้ร่วมกัน"
ในขณะที่ 'โฮสติ้งที่ใช้ร่วมกัน' ที่มีคุณภาพต่ำอาจทำให้ไซต์ของคุณเสี่ยงมากขึ้น เมื่อเว็บไซต์ใดเว็บไซต์หนึ่งที่เก็บไว้บนเซิร์ฟเวอร์เดียวกันถูกบุกรุก นั่นคือหากเว็บไซต์ถูกแฮ็กบนเซิร์ฟเวอร์ที่มี "โฮสติ้งที่ใช้ร่วมกัน" ผู้โจมตียังสามารถเข้าถึงเว็บไซต์อื่น ๆ และข้อมูลของพวกเขาได้
4.- รู้จัก eข้อกำหนดทางเทคนิคของเว็บ จากผู้ให้บริการโฮสติ้งของคุณ
เมื่อพูดถึงการประเมินผู้ให้บริการโฮสติ้งโครงสร้างพื้นฐานไม่ใช่ทุกอย่าง ข้อกำหนดทางเทคนิคของเว็บที่ผู้ให้บริการโฮสติ้งของคุณใช้เพื่อให้เกิดความปลอดภัยที่ดีขึ้นของเว็บไซต์ที่โฮสต์ก็มีความสำคัญเช่นกัน ตรวจสอบให้แน่ใจว่าเป็นไปตามคำแนะนำด้านความปลอดภัยที่แนะนำต่อไปนี้สำหรับการโฮสต์เว็บไซต์ของคุณ:
- ติดตั้งใบรับรอง SSL ได้ง่าย
- การจัดการเวอร์ชันซอฟต์แวร์เว็บเซิร์ฟเวอร์ที่ใช้งานอยู่
- การป้องกันไฟร์วอลล์
- บันทึกการเข้าถึงเว็บไซต์
- การตรวจสอบความปลอดภัยตามปกติ
- การตรวจจับกิจกรรมที่เป็นอันตราย
- รองรับ SFTP (ไม่ใช่แค่ FTP), TLS 1.2 และ 1.3 และสำหรับ PHP 5.6 เป็นอย่างต่ำแม้ว่าจะแนะนำ 7.0 เป็นต้นไป
ทั้งหมดนี้จำเป็นอย่างน้อยที่สุดเพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณโดยมีหรือไม่มี WP เป็น CMS ที่ใช้
5.- ระวังธีมและส่วนเสริมที่ใช้
ปลั๊กอินและธีมที่ติดตั้งมีความสำคัญมากในระดับความปลอดภัย ตั้งเป้าที่จะใช้เฉพาะธีมและปลั๊กอินที่ได้รับการรับรองจาก WP หรือ Community เท่านั้นที่เก็บข้อมูลเชิงพาณิชย์ที่รู้จักกันดีหรือโดยตรงจากนักพัฒนาที่มีชื่อเสียง เนื่องจากจำนวนมาก (ไม่ได้รับการรับรอง) อาจมีโค้ดที่เป็นอันตราย
ไม่สำคัญว่าคุณจะปกป้องเว็บไซต์ของคุณจาก WP มากแค่ไหนหากคุณติดตั้งมัลแวร์ หาข้อมูลก่อนที่จะดาวน์โหลดและติดตั้งธีมและปลั๊กอินหรือเว็บไซต์ของผู้พัฒนาหรือผู้โปรโมตและทำการจองของคุณด้วยธีมฟรีหรือส่วนลด
6.- พยายามอัปเดต CMS ของคุณบ่อยๆ
การอัปเดตแพลตฟอร์มเว็บของคุณมีความสำคัญต่อความปลอดภัยของคุณมาก ทั้ง WP CMS ของคุณหรือไม่ Core, Theme หรือปลั๊กอินเวอร์ชันที่ล้าสมัยอาจนำคุณไปสู่การอุดช่องโหว่ที่ทราบบนเว็บไซต์ของคุณ ในกรณีของ WP ซึ่งเป็นโอเพ่นซอร์สมีทีมที่ทุ่มเทให้กับปัญหานี้โดยเฉพาะภายใน Core ของแอปพลิเคชัน
ทุกช่องโหว่ด้านความปลอดภัยที่ค้นพบใน WP จะได้รับการแก้ไขและกำจัดทันที เพื่อแก้ไขปัญหาด้านความปลอดภัยใหม่ที่ค้นพบใน WP เพราะการอัพเดทนั้น WP และธีมและปลั๊กอินทั้งหมดของเวอร์ชันล่าสุดเป็นองค์ประกอบสำคัญของกลยุทธ์การรักษาความปลอดภัยที่ประสบความสำเร็จ
7.- ฉันพบรหัสผ่านที่เหมาะสม
คุณภาพหรือความแข็งแกร่งของรหัสผ่านของเราบนเว็บไซต์มีความสำคัญมาก การลงชื่อเข้าใช้เว็บไซต์ของเราถือเป็นเป้าหมายหลักในการใช้ช่องโหว่เนื่องจากช่วยให้เข้าถึงหน้าการดูแลระบบเว็บไซต์ของคุณได้ง่ายที่สุด
การโจมตีด้วยกำลังดุร้ายเป็นวิธีที่ใช้บ่อยที่สุดในการใช้ประโยชน์จากการเข้าสู่ระบบของคุณค้นหาชุดชื่อผู้ใช้และรหัสผ่านเพื่อเข้าถึงเว็บไซต์ ในกรณีเฉพาะของ WP โดยค่าเริ่มต้นจะไม่ จำกัด จำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวซึ่งใครบางคนสามารถทำได้ดังนั้นสิ่งที่แนะนำมากที่สุดคือการใช้รหัสผ่านที่ซับซ้อนสำหรับการเข้าสู่ระบบของผู้ดูแลระบบ WP ของคุณ
เมื่อเลือกรหัสผ่านให้คำนึงถึงข้อกำหนดพื้นฐาน 3 ประการนี้ตามรูปแบบ CLU (ซับซ้อนยาวไม่ซ้ำกัน):
- ซับซ้อน: รหัสผ่านควรสุ่มให้มากที่สุดและเกี่ยวข้องน้อยที่สุดกับผู้ดูแลเว็บหรือเว็บไซต์
- ยาว: รหัสผ่านต้องมีความยาวอักขระตั้งแต่ 12 ตัวขึ้นไป และเสริมด้วยข้อ จำกัด หรือข้อ จำกัด เกี่ยวกับจำนวนครั้งในการเชื่อมต่อที่ล้มเหลว
- เฉพาะ: อย่าใช้รหัสผ่านซ้ำ รหัสผ่านแต่ละครั้งต้องไม่ซ้ำกัน กฎง่ายๆนี้ จำกัด ผลกระทบของรหัสผ่านที่ถูกบุกรุกอย่างมาก
คำแนะนำ: ใช้ตัวจัดการรหัสผ่านเช่น“ LastPass” (ออนไลน์) และ“ KeePass 2” (ออฟไลน์) เพื่อสร้างและจัดเก็บรหัสผ่านทั้งหมดของคุณในรูปแบบที่เข้ารหัส
8.- เตรียมแผนต่อต้านภัยพิบัติไว้เสมอ
หากคุณใช้ WP โปรดจำไว้ว่าไม่มีระบบสำรองข้อมูลในตัว รวมไว้เป็นลำดับความสำคัญดังนั้นคุณจึงมีข้อมูลสำรองที่เป็นปัจจุบันของเว็บไซต์อยู่เสมอ การสำรองข้อมูลมีความสำคัญและเป็นกลยุทธ์ด้านความปลอดภัยทั่วไปที่ต้องนำไปใช้
อย่าลืมว่าคุณไม่ควรเพียง สำรองข้อมูลเว็บไซต์และฐานข้อมูลที่คุณใช้แต่ทั้งหมด การตั้งค่า ของเซิร์ฟเวอร์ทั้งหมด ผ่านงานอัตโนมัติที่มีสคริปต์หรือระบบอิมเมจที่โคลนเพื่ออำนวยความสะดวกในการบูรณะและติดตั้งใหม่ที่จำเป็นในเวลาที่สั้นที่สุด
9.- เพิ่มความปลอดภัยของคุณโดยใช้ 2FA
เพิ่มความแข็งแกร่งให้กับการเข้าสู่ระบบผู้ดูแลระบบ WP หรือเว็บไซต์ของคุณโดยใช้กลไกการตรวจสอบสิทธิ์สองปัจจัย (2FA)ซึ่งเป็นหนึ่งในวิธีที่ดีที่สุดในการรักษาความปลอดภัยเว็บไซต์ของคุณในปัจจุบัน การรับรองความถูกต้องด้วยสองปัจจัยจะเพิ่มชั้นการป้องกันพิเศษให้กับการเข้าสู่ระบบเว็บไซต์ของคุณโดยกำหนดให้การใช้รหัสผ่านของคุณต้องใช้รหัสที่ไวต่อเวลาเพิ่มเติมจากอุปกรณ์อื่นเช่นสมาร์ทโฟนของคุณเพื่อเข้าสู่ระบบได้สำเร็จ
ในกรณีของ WP ที่ไม่มีฟังก์ชันนี้โดยค่าเริ่มต้น ฝังเหมือนกันโดยใช้ปลั๊กอินเช่น iThemes Security เพื่อเพิ่มสิ่งเดียวกัน
10.- ใช้อุปกรณ์เสริมความปลอดภัยที่จำเป็น
CMS ส่วนใหญ่เช่น WP ใช้ประโยชน์จากปลั๊กอินเพื่อเพิ่มศักยภาพด้านความปลอดภัยของตัวเอง ในกรณีเฉพาะของ WP แนะนำให้ใช้ปลั๊กอินความปลอดภัยที่เรียกว่า iThemes Security เพื่อเพิ่มการป้องกันให้กับเว็บไซต์ของคุณมากยิ่งขึ้น ปลั๊กอินนี้บล็อก WP แก้ไขช่องโหว่ที่รู้จักหยุดการโจมตีอัตโนมัติและเสริมสร้างข้อมูลรับรองผู้ใช้
มีเวอร์ชันฟรี (iThemes Security) และเวอร์ชันชำระเงิน (iThemes Security Pro) ซึ่งเห็นได้ชัดว่ามีคุณสมบัติด้านความปลอดภัยมากขึ้นเช่น 2FA การสแกนมัลแวร์ตามกำหนดเวลาการลงทะเบียนผู้ใช้และอื่น ๆ
ข้อสรุป
ไม่ว่าจะผ่าน WP หรือ CMS อื่นคุณสามารถหลีกเลี่ยงปัญหาด้านความปลอดภัยของเว็บไซต์ส่วนใหญ่ได้ง่ายๆเพียงทำตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเหล่านี้ เว็บไซต์ของคุณสมควรได้รับและต้องมีมาตรการรักษาความปลอดภัยที่จำเป็นเพื่อรับประกันหรือลดความสามารถในการละเมิดลิขสิทธิ์ในช่วงเวลานี้ซึ่งเป็นปัญหามากจากกิจกรรมของแฮกเกอร์และแคร็กเกอร์
สุดท้ายและนอกจากนี้ เราขอแนะนำให้คุณอ่านบทความอื่นนี้ในบล็อกของเรา ในหัวข้อเพื่อเสริมสร้างความปลอดภัยให้กับเว็บไซต์ของคุณเรียกว่า: สิทธิ์ของ Linux สำหรับผู้ดูแลระบบและนักพัฒนา.