ความปลอดภัยเป็นปัญหาที่บล็อกเกอร์ทุกคนกังวล ในชีวิตจริงเราจำเป็นต้องปกป้องทรัพย์สินของเรามากดังนั้นในการเขียนบล็อกเราจำเป็นต้องรักษาแหล่งรายได้ของเรา โดยค่าเริ่มต้น WordPress มีระบบรักษาความปลอดภัยที่ยอมรับได้ แต่โดยทั่วไปแล้วระบบนี้จะถูกบุกรุกด้วยปลั๊กอินและธีมมากมายที่ติดตั้งไว้

เพื่อช่วยให้คุณปรับปรุงความปลอดภัยของคุณ บล็อก WordPressฉันขอเสนอ 8 กิจวัตรที่คุณสามารถนำไปใช้ได้ในบทช่วยสอนนี้ บล็อกของคุณเพื่อที่จะปรับปรุงความปลอดภัยในภายหลัง

1. ซ่อนข้อมูลที่ไม่จำเป็น

กังวล

เมื่อคุณไม่สามารถเชื่อมต่อกับ a บล็อก WordPressCMS จะแสดงข้อมูลบางอย่างเพื่อแจ้งให้คุณทราบว่าเกิดข้อผิดพลาดอะไรขึ้น สิ่งนี้มีประโยชน์หากคุณลืมรหัสผ่าน แต่ก็เป็นช่องโหว่เช่นกัน เหตุใดจึงไม่แสดงข้อความแสดงข้อผิดพลาดเพื่อระบุว่าการเชื่อมต่อล้มเหลว

การแก้ปัญหา

หากต้องการลบข้อความแสดงข้อผิดพลาดในการเชื่อมต่อเพียงเปิดไฟล์ "functions.php" ของธีมของคุณและเพิ่มรหัสต่อไปนี้:

add_filter ('login_errors', create_function ('', 'return null;'));

บันทึกไฟล์ และลองเชื่อมต่อ บล็อกของคุณให้จำลองข้อผิดพลาดในการเชื่อมต่อเพื่อดูว่าข้อผิดพลาดปรากฏขึ้นหรือไม่

2. บังคับให้ใช้โปรโตคอล SSL

มีปัญหา

หากคุณกังวลเกี่ยวกับการสกัดกั้นของคุณ donnéesคุณควรพิจารณาใช้ SSL หากคุณไม่รู้ว่ามันคืออะไร ฉันขอเชิญคุณอ่านบทช่วยสอนนี้ที่เราเขียนไว้ การรวมโปรโตคอล SSL.

คุณทราบหรือไม่ว่าการบังคับใช้โปรโตคอล SSL บน WordPress เป็นไปได้ อย่างไรก็ตามคุณต้องตรวจสอบให้แน่ใจว่าโฮสต์ของคุณยอมรับ SSL

การแก้ปัญหา

เมื่อคุณตรวจสอบแล้วว่าเซิร์ฟเวอร์ของคุณเข้ากันได้เพียงเปิดไฟล์ wp-config.php ของคุณ (อยู่ที่รูทของการติดตั้ง WordPress ของคุณ) และวางข้อมูลต่อไปนี้:

define ('FORCE_SSL_ADMIN', true);

บันทึกไฟล์ของคุณและส่งกลับไปที่เซิร์ฟเวอร์ของคุณ

3 ใช้ไฟล์. htaccess ของคุณเพื่อป้องกันไฟล์ wp-config.php ของคุณ

มีปัญหา

ในฐานะผู้ใช้ WordPress คุณคงรู้จักไฟล์ดีแค่ไหน WP-config.php เป็นสิ่งสำคัญ ไฟล์นี้มีข้อมูลทั้งหมดที่จำเป็นในการเข้าถึงฐานข้อมูลของคุณ données : ชื่อผู้ใช้ รหัสผ่าน ชื่อเซิร์ฟเวอร์ และอื่นๆ ไฟล์ WP-config.php มีความละเอียดอ่อนเราจึงต้องทำทุกอย่างเพื่อปกป้องไฟล์นี้

การแก้ปัญหา

ไฟล์ .htaccess ตั้งอยู่ที่รากของการติดตั้ง WordPress ของคุณ หลังจากสร้างข้อมูลสำรองของไฟล์นี้ (ภายใต้ชื่ออื่น) เพิ่มข้อความต่อไปนี้ลงในไฟล์ .htaccess.

คำสั่งอนุญาตปฏิเสธการปฏิเสธจากทั้งหมด

4 วิธีใช้บัญชีผู้ใช้และเครื่องมือค้นหาในบัญชีดำ

มีปัญหา

นี่เป็นเรื่องจริงบนโลกออนไลน์เช่นเดียวกับในชีวิตจริง คนที่คุกคามคุณในวันนี้อาจจะก่อกวนคุณอีกในวันพรุ่งนี้ คุณเคยสังเกตไหมว่าบอทอีเมลกลับมาได้อย่างไรบล็อกของคุณ ? บางครั้งอาจเข้าถึงได้ 10 ครั้งต่อวัน การมาเยือนครั้งนี้มักมาพร้อมกับความคิดเห็นที่ไม่พึงประสงค์

การแก้ปัญหา

เราจะบล็อกการเข้าถึงบล็อกของคุณโดยให้รหัสเพิ่มเติมเพื่อเพิ่มลงในไฟล์ .htaccess. นอกจากนี้อย่าลืมเปลี่ยนที่อยู่ IP 123.456.789 เป็นที่อยู่ที่คุณต้องการบล็อก

คำสั่งอนุญาตปฏิเสธอนุญาตจากการปฏิเสธทั้งหมดจาก 123.456.789

คุณสามารถระบุหุ่นยนต์ที่ใช้ Google Analyticsคุณสามารถเพิ่มที่อยู่ IP ได้มากดังต่อไปนี้:

คำสั่งอนุญาตปฏิเสธอนุญาตจากการปฏิเสธทั้งหมดจาก 123.456.789 ปฏิเสธจาก 93.121.788 ปฏิเสธจาก 223.956.789 ปฏิเสธจาก 128.456.780

5 วิธีป้องกันบล็อกของคุณจากการแทรกสคริปต์

มีปัญหา

การปกป้องบล็อกของคุณมีความสำคัญอย่างยิ่ง นักพัฒนาส่วนใหญ่ยังคงปกป้องคำขอ GET และ POST แต่บางครั้งก็ไม่เพียงพอ นอกจากนี้เรายังต้องปกป้องบล็อกของเราจากการแทรกสคริปต์และความพยายามใด ๆ ที่จะเปลี่ยนค่า PHP GLOBALS และ _REQUEST ของตัวแปร

การแก้ปัญหา

วิธีแก้ปัญหาในการบล็อกการแทรกสคริปต์และความพยายามใด ๆ ในการแก้ไขตัวแปร GLOBALS คุณเพียงแค่เพิ่มรหัสต่อไปนี้ แต่อย่าลืมสำรองไฟล์. htaccess ไว้เสมอ

ตัวเลือก + FollowSymLinks RewriteEngine บน RewriteCond% {QUERY_STRING} (<|% 3C) * สคริปต์ * (> |% 3E) [NC, OR] RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0 - 9A - Z] {0, 2}) [OR] RewriteCond% {QUERY_STRING} _REQUEST (= | [ |% [0 - 9A - Z] {0, 2}) RewriteRule ^ (. *) $ ดัชนี php [F, L]

7 วิธีสร้างปลั๊กอินเพื่อป้องกันบล็อกของคุณจากการค้นหาที่เป็นอันตราย

มีปัญหา

แฮกเกอร์มักใช้คำขอที่เป็นอันตรายเพื่อทำการโจมตีบล็อกในจุดที่ละเอียดอ่อน WordPress มีการป้องกันที่ดี แต่การปรับปรุงไม่ใช่เรื่องเลวร้าย

การแก้ปัญหา

คุณจะต้อง สร้างปลั๊กอิน เพื่อดำเนินการขั้นตอนนี้ จากนั้นคุณต้องเพิ่มรหัสต่อไปนี้ในไฟล์หลักของปลั๊กอินของคุณ เมื่อเสร็จแล้วให้ติดตั้งปลั๊กอินของคุณ

global $user_ID;

if($user_ID) {
  if(!current_user_can('level_10')) {
    if (strlen($_SERVER['REQUEST_URI']) > 255 ||
      strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
        @header("HTTP/1.1 414 Request-URI Too Long");
  @header("Status: 414 Request-URI Too Long");
  @header("Connection: Close");
  @exit;
    }
  }
}

8 วิธีซ่อนเวอร์ชันของการติดตั้ง WordPress

มีปัญหา

ดังที่คุณทราบแล้ว WordPress จะแสดงเวอร์ชันที่ใช้งานบนส่วนหัวบล็อกของคุณโดยอัตโนมัติ ไม่เป็นอันตรายหากบล็อกของคุณอัปเดตตรงเวลาเสมอ (สิ่งที่ปกติควรเป็นทัศนคติเริ่มต้นของคุณ). แต่ถ้าเหตุผลใดเหตุผลหนึ่งมันไม่ทันสมัยเวอร์ชันปัจจุบันอาจมีช่องโหว่และการค้นพบเวอร์ชันของการติดตั้ง WordPress ของคุณแฮกเกอร์สามารถแฮ็กบัญชีของคุณได้

การแก้ปัญหา

สิ่งที่คุณต้องทำคือเพิ่มโค้ดต่อไปนี้ในไฟล์หลักของปลั๊กอินของคุณ

remove_action ('wp_head', 'wp_generator');

ในการดำเนินการบางอย่าง WordPress ใช้กลไกที่เรียกว่า“ Hooks” ซึ่งช่วยให้ WordPress ค่อนข้างยืดหยุ่น ฟังก์ชัน & quot; wp_generator »แสดงเวอร์ชันของ WordPress และการลบฟังก์ชันนี้ออกจากรายการฟังก์ชันที่บันทึกไว้ในคิวจะไม่ทำงานอีกต่อไป

เพียงเท่านี้สำหรับบทช่วยสอนนี้ ฉันหวังว่ามันจะช่วยให้คุณปลอดภัยมากขึ้น บล็อก WordPress. อย่าลังเลที่จะแบ่งปันกับเพื่อน ๆ ของคุณบนเครือข่ายโซเชียลที่คุณชื่นชอบ