ความปลอดภัยเป็นปัญหาที่บล็อกเกอร์ทุกคนกังวล ในชีวิตจริงเราจำเป็นต้องปกป้องทรัพย์สินของเรามากดังนั้นในการเขียนบล็อกเราจำเป็นต้องรักษาแหล่งรายได้ของเรา โดยค่าเริ่มต้น WordPress มีระบบรักษาความปลอดภัยที่ยอมรับได้ แต่โดยทั่วไปแล้วระบบนี้จะถูกบุกรุกด้วยปลั๊กอินและธีมมากมายที่ติดตั้งไว้
เพื่อช่วยให้คุณปรับปรุงความปลอดภัยของคุณ บล็อก WordPressฉันขอเสนอ 8 กิจวัตรที่คุณสามารถนำไปใช้ได้ในบทช่วยสอนนี้ บล็อกของคุณเพื่อที่จะปรับปรุงความปลอดภัยในภายหลัง
1. ซ่อนข้อมูลที่ไม่จำเป็น
กังวล
เมื่อคุณไม่สามารถเชื่อมต่อกับ a บล็อก WordPressCMS จะแสดงข้อมูลบางอย่างเพื่อแจ้งให้คุณทราบว่าเกิดข้อผิดพลาดอะไรขึ้น สิ่งนี้มีประโยชน์หากคุณลืมรหัสผ่าน แต่ก็เป็นช่องโหว่เช่นกัน เหตุใดจึงไม่แสดงข้อความแสดงข้อผิดพลาดเพื่อระบุว่าการเชื่อมต่อล้มเหลว
การแก้ปัญหา
หากต้องการลบข้อความแสดงข้อผิดพลาดในการเชื่อมต่อเพียงเปิดไฟล์ "functions.php" ของธีมของคุณและเพิ่มรหัสต่อไปนี้:
add_filter ('login_errors', create_function ('', 'return null;'));
บันทึกไฟล์ และลองเชื่อมต่อ บล็อกของคุณให้จำลองข้อผิดพลาดในการเชื่อมต่อเพื่อดูว่าข้อผิดพลาดปรากฏขึ้นหรือไม่
2. บังคับให้ใช้โปรโตคอล SSL
มีปัญหา
หากคุณกังวลเกี่ยวกับการสกัดกั้นของคุณ donnéesคุณควรพิจารณาใช้ SSL หากคุณไม่รู้ว่ามันคืออะไร ฉันขอเชิญคุณอ่านบทช่วยสอนนี้ที่เราเขียนไว้ การรวมโปรโตคอล SSL.
คุณทราบหรือไม่ว่าการบังคับใช้โปรโตคอล SSL บน WordPress เป็นไปได้ อย่างไรก็ตามคุณต้องตรวจสอบให้แน่ใจว่าโฮสต์ของคุณยอมรับ SSL
การแก้ปัญหา
เมื่อคุณตรวจสอบแล้วว่าเซิร์ฟเวอร์ของคุณเข้ากันได้เพียงเปิดไฟล์ wp-config.php ของคุณ (อยู่ที่รูทของการติดตั้ง WordPress ของคุณ) และวางข้อมูลต่อไปนี้:
define ('FORCE_SSL_ADMIN', true);
บันทึกไฟล์ของคุณและส่งกลับไปที่เซิร์ฟเวอร์ของคุณ
3 ใช้ไฟล์. htaccess ของคุณเพื่อป้องกันไฟล์ wp-config.php ของคุณ
มีปัญหา
ในฐานะผู้ใช้ WordPress คุณคงรู้จักไฟล์ดีแค่ไหน WP-config.php เป็นสิ่งสำคัญ ไฟล์นี้มีข้อมูลทั้งหมดที่จำเป็นในการเข้าถึงฐานข้อมูลของคุณ données : ชื่อผู้ใช้ รหัสผ่าน ชื่อเซิร์ฟเวอร์ และอื่นๆ ไฟล์ WP-config.php มีความละเอียดอ่อนเราจึงต้องทำทุกอย่างเพื่อปกป้องไฟล์นี้
การแก้ปัญหา
ไฟล์ .htaccess ตั้งอยู่ที่รากของการติดตั้ง WordPress ของคุณ หลังจากสร้างข้อมูลสำรองของไฟล์นี้ (ภายใต้ชื่ออื่น) เพิ่มข้อความต่อไปนี้ลงในไฟล์ .htaccess.
คำสั่งอนุญาตปฏิเสธการปฏิเสธจากทั้งหมด
4 วิธีใช้บัญชีผู้ใช้และเครื่องมือค้นหาในบัญชีดำ
มีปัญหา
นี่เป็นเรื่องจริงบนโลกออนไลน์เช่นเดียวกับในชีวิตจริง คนที่คุกคามคุณในวันนี้อาจจะก่อกวนคุณอีกในวันพรุ่งนี้ คุณเคยสังเกตไหมว่าบอทอีเมลกลับมาได้อย่างไรบล็อกของคุณ ? บางครั้งอาจเข้าถึงได้ 10 ครั้งต่อวัน การมาเยือนครั้งนี้มักมาพร้อมกับความคิดเห็นที่ไม่พึงประสงค์
การแก้ปัญหา
เราจะบล็อกการเข้าถึงบล็อกของคุณโดยให้รหัสเพิ่มเติมเพื่อเพิ่มลงในไฟล์ .htaccess. นอกจากนี้อย่าลืมเปลี่ยนที่อยู่ IP 123.456.789 เป็นที่อยู่ที่คุณต้องการบล็อก
คำสั่งอนุญาตปฏิเสธอนุญาตจากการปฏิเสธทั้งหมดจาก 123.456.789
คุณสามารถระบุหุ่นยนต์ที่ใช้ Google Analytics. คุณสามารถเพิ่มที่อยู่ IP ได้มากดังต่อไปนี้:
คำสั่งอนุญาตปฏิเสธอนุญาตจากการปฏิเสธทั้งหมดจาก 123.456.789 ปฏิเสธจาก 93.121.788 ปฏิเสธจาก 223.956.789 ปฏิเสธจาก 128.456.780
5 วิธีป้องกันบล็อกของคุณจากการแทรกสคริปต์
มีปัญหา
การปกป้องบล็อกของคุณมีความสำคัญอย่างยิ่ง นักพัฒนาส่วนใหญ่ยังคงปกป้องคำขอ GET และ POST แต่บางครั้งก็ไม่เพียงพอ นอกจากนี้เรายังต้องปกป้องบล็อกของเราจากการแทรกสคริปต์และความพยายามใด ๆ ที่จะเปลี่ยนค่า PHP GLOBALS และ _REQUEST ของตัวแปร
การแก้ปัญหา
วิธีแก้ปัญหาในการบล็อกการแทรกสคริปต์และความพยายามใด ๆ ในการแก้ไขตัวแปร GLOBALS คุณเพียงแค่เพิ่มรหัสต่อไปนี้ แต่อย่าลืมสำรองไฟล์. htaccess ไว้เสมอ
ตัวเลือก + FollowSymLinks RewriteEngine บน RewriteCond% {QUERY_STRING} (<|% 3C) * สคริปต์ * (> |% 3E) [NC, OR] RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0 - 9A - Z] {0, 2}) [OR] RewriteCond% {QUERY_STRING} _REQUEST (= | [ |% [0 - 9A - Z] {0, 2}) RewriteRule ^ (. *) $ ดัชนี php [F, L]
7 วิธีสร้างปลั๊กอินเพื่อป้องกันบล็อกของคุณจากการค้นหาที่เป็นอันตราย
มีปัญหา
แฮกเกอร์มักใช้คำขอที่เป็นอันตรายเพื่อทำการโจมตีบล็อกในจุดที่ละเอียดอ่อน WordPress มีการป้องกันที่ดี แต่การปรับปรุงไม่ใช่เรื่องเลวร้าย
การแก้ปัญหา
คุณจะต้อง สร้างปลั๊กอิน เพื่อดำเนินการขั้นตอนนี้ จากนั้นคุณต้องเพิ่มรหัสต่อไปนี้ในไฟล์หลักของปลั๊กอินของคุณ เมื่อเสร็จแล้วให้ติดตั้งปลั๊กอินของคุณ
global $user_ID;
if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255 ||
strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
}
}
8 วิธีซ่อนเวอร์ชันของการติดตั้ง WordPress
มีปัญหา
ดังที่คุณทราบแล้ว WordPress จะแสดงเวอร์ชันที่ใช้งานบนส่วนหัวบล็อกของคุณโดยอัตโนมัติ ไม่เป็นอันตรายหากบล็อกของคุณอัปเดตตรงเวลาเสมอ (สิ่งที่ปกติควรเป็นทัศนคติเริ่มต้นของคุณ). แต่ถ้าเหตุผลใดเหตุผลหนึ่งมันไม่ทันสมัยเวอร์ชันปัจจุบันอาจมีช่องโหว่และการค้นพบเวอร์ชันของการติดตั้ง WordPress ของคุณแฮกเกอร์สามารถแฮ็กบัญชีของคุณได้
การแก้ปัญหา
สิ่งที่คุณต้องทำคือเพิ่มโค้ดต่อไปนี้ในไฟล์หลักของปลั๊กอินของคุณ
remove_action ('wp_head', 'wp_generator');
ในการดำเนินการบางอย่าง WordPress ใช้กลไกที่เรียกว่า“ Hooks” ซึ่งช่วยให้ WordPress ค่อนข้างยืดหยุ่น ฟังก์ชัน & quot; wp_generator »แสดงเวอร์ชันของ WordPress และการลบฟังก์ชันนี้ออกจากรายการฟังก์ชันที่บันทึกไว้ในคิวจะไม่ทำงานอีกต่อไป
เพียงเท่านี้สำหรับบทช่วยสอนนี้ ฉันหวังว่ามันจะช่วยให้คุณปลอดภัยมากขึ้น บล็อก WordPress. อย่าลังเลที่จะแบ่งปันกับเพื่อน ๆ ของคุณบนเครือข่ายโซเชียลที่คุณชื่นชอบ