วิธีทำให้ยากขึ้นสำหรับคนที่จะแฮ็กเข้าไปในเว็บไซต์ WordPress ของคุณ


หากคุณมีเว็บไซต์ WordPress โอกาสที่ไซต์ของคุณจะถูกแฮกเกอร์โจมตีอยู่ตลอดเวลา

พวกเขากำลังมองหาความอ่อนแอที่จะทำให้พวกเขาอยู่ตลอดเวลาไม่ว่าจะเป็นปลั๊กอินหรือชุดรูปแบบที่ล้าสมัยหรือชุดรูปแบบเป็นรหัสผ่านที่เข้าใจง่าย เมื่อพวกเขาอยู่ในพวกเขาสามารถ wreakhavoc ได้ชัด

<รูป class = "lazy aligncenter">

เพียงเพื่อพิสูจน์สิ่งที่ฉันกำลังพูดถึงนี่คือสิ่งที่แผงควบคุม WordPress ของฉันบอกว่าตอนนี้

<รูป class = "lazy aligncenter">

นี่คือสาเหตุที่ WordPress ของคุณมีความจำเป็นในการป้องกันกระสุนปืนอย่างแน่นอน นี่คือวิธีที่ดีที่สุดในการพูดคุยกับที่ปรึกษาทางธุรกิจของฉันเกี่ยวกับธุรกิจ

รับชื่อผู้ใช้และรหัสผ่านที่ดีที่สุด

<รูป class =" lazy aligncenter ">

หากฉันเคยเห็นครั้งเดียวฉันเคยเห็นมาแล้วนับพันครั้ง ผู้คนตั้งค่าเว็บไซต์ WordPress ด้วยชื่อผู้ใช้และรหัสผ่านทั้งคู่ตั้งค่าที่ "admin" แล้วสงสัยว่าทำไมพวกเขาจึงถูกแฮ็ก

หน้าลงชื่อเข้าใช้ของคุณนั้นเป็นหน้าแรกของเว็บไซต์ของคุณ ดังนั้นจึงเหมาะสมที่จะทำให้ผู้บุกรุกเข้ามาได้ยาก คุณจะไม่เปิดประตูบ้านของคุณใช่ไหม

In_content_1 ทั้งหมด: [300x250] / dfp: [640x360]->

โฮสต์เว็บจำนวนมากจะทำการติดตั้ง WordPress ให้คุณโดยอัตโนมัติและเมื่อทำเช่นนั้นคุณควรระบุชื่อผู้ใช้ที่แตกต่างจาก "admin" หากคุณใช้ "ผู้ดูแลระบบ" แสดงว่าคุณกำลังทำให้แฮ็กเกอร์ง่ายเกินไปสำหรับพวกเขา

รับชื่อผู้ใช้ที่ไม่สามารถเดาได้จากบุคคลอื่น อย่าใช้ชื่อผู้ใช้ที่คุณใช้ที่อื่นบนอินเทอร์เน็ต บางคนต้องไปที่ Google เพื่อค้นหาชื่อผู้ใช้เหล่านั้น

ส่วนรหัสผ่านทำตัวเอง เป็นที่นิยมอย่างมากและรับรหัสผ่าน โอเพนซอร์สฟรีหนึ่งที่ฉันแนะนำเป็นอย่างยิ่งคือ KeyPass จากนั้นทำให้รหัสผ่าน WordPress ของคุณมีความยาวอย่างน้อย 30 ตัวอักษรโดยมีตัวละครพิเศษผสมเข้าด้วยกัน ถูกต้องเลย. 30 ตัวอักษร

ติดตั้งปลั๊กอิน AnAnti-Brute-Force

<รูป class = "lazy aligncenter">

การเสริมการอุปมาอุปไมยของประตูนั้นทำให้มีความเหมาะสมในการเพิ่มการล็อคเพื่อความปลอดภัย สำหรับ WordPress ในใจฉันมีสี่ตัวเลือก - Google Authenticator, Authy, ล็อคเข้าสู่ระบบ หรือ reCAPTCHA

เพื่อความชัดเจน Google Authenticator และ Authy ก็ทำสิ่งเดียวกัน คุณได้รับรหัสบนสมาร์ทโฟนของคุณและคุณป้อนในหน้าเข้าสู่ระบบ ไม่ว่าคุณจะถูกปฏิเสธเข้า

การล็อคเข้าสู่ระบบเป็นปลั๊กอินที่ จำกัด จำนวนครั้งในการเข้าสู่ระบบที่ผิดก่อนที่ที่อยู่ IP ของบุคคลจะถูกปิดกั้นในช่วงระยะเวลาหนึ่งที่คุณระบุ คุณยังสามารถติดตั้งนี้ควบคู่ไปกับ Authenticator เพื่อความปลอดภัยแบบ super-duper

reCAPTCHA ไม่ใช่ของโปรดของฉัน แต่ดีกว่าไม่มีอะไรเลย นอกจากนี้ยังไม่สามารถป้องกันความผิดพลาดได้เนื่องจากถูกถอดรหัสก่อนหน้านี้ แต่อย่างที่ฉันพูดดีกว่าไม่มีอะไร reCAPTCHA บังคับให้ผู้ใช้พิมพ์คำตามลำดับหรือคลิกที่รูปภาพบางรูป

ตรวจสอบให้แน่ใจว่าอัปเดตชุดรูปแบบและปลั๊กอินทั้งหมด

ขั้นตอนต่อไปคือการทำให้แน่ใจว่าธีมและปลั๊กอินทั้งหมดของคุณได้รับการอัปเดตเป็นประจำ รากฐาน อีกครั้งช่องโหว่ใด ๆ ทั้งที่รู้จักและไม่รู้จักสามารถใช้โดยแฮกเกอร์เพื่อเจาะช่องโหว่ในไซต์

คุณควรจับตาดูหน้า“ อัพเดต” ซึ่งมีการอัปเกรดทั้งหมดที่มีอยู่ ควรทำทุกวัน คุณสามารถค้นหาหน้าอัปเดตเป็นแท็บย่อยภายใต้แผงควบคุม

ปิดใช้งานชุดรูปแบบและปลั๊กอินที่ไม่ต้องการ

เช่นเดียวกับที่คุณควรเก็บธีมทั้งหมดและปลั๊กอินให้ทันสมัยดังนั้นคุณควรปิดการใช้งานใด ๆ ที่คุณสวม ไม่จำเป็น

ไม่มีเหตุผลที่จะทำให้ชุดรูปแบบและปลั๊กอินใช้งานไม่ได้และการเพิ่มความเสี่ยงต่อการถูกค้นพบมีขนาดใหญ่พอที่จะให้ผู้โจมตีเข้ามาได้ดังนั้นให้ลบชุดรูปแบบที่คุณไม่ได้ใช้ พวกเขาสามารถติดตั้งใหม่ได้ในภายหลัง

สำหรับปลั๊กอินลบ thement สิ้นเชิงหรืออย่างน้อยที่สุดปิดการใช้งาน

ไม่อนุญาตให้ทุกคนสร้างบัญชีผู้ใช้

<รูป class = "lazy aligncenter">

หากเว็บไซต์ WordPress กำลังถูกใช้งานโดย บริษัท หรือทีมงานบางประเภทจากนั้นบัญชีผู้ใช้จะมีความจำเป็นอย่างชัดเจน แต่ถ้าคุณเป็นผู้ใช้คนเดียวของเว็บไซต์ไม่อนุญาตให้ทุกคนบัญชีผู้ใช้ tomake โดยเฉพาะคนที่คุณไม่รู้จัก

คุณสามารถหยุดคนไม่ให้ทำสิ่งนี้โดยไปที่ การตั้งค่า ->ทั่วไปเลื่อนลงไปที่“ การเป็นสมาชิก” และการตรวจสอบ “ ทุกคนสามารถลงทะเบียน

ลดระดับผู้ใช้ที่ได้รับอนุญาตทั้งหมด

<ร่าง class = "lazy aligncenter">

หากคุณต้องการมอบชื่อบัญชีผู้ใช้ให้กับผู้อื่นตรวจสอบให้แน่ใจว่าพวกเขามีบทบาทการเข้าถึงที่เหมาะสม

ตัวอย่างเช่นบุคคลที่เป็นเจ้าของเว็บไซต์ควรเป็นผู้ดูแลระบบ แต่ถ้ามีใครบางคนเป็นบล็อกของแขกที่มาเยี่ยมคุณพวกเขาจะต้องถูกระบุว่าเป็นผู้เขียน อย่าให้คนยกระดับสิทธิ์หากพวกเขาไม่ต้องการ

เพียงไปที่ ผู้ใช้ ->ผู้ใช้ทั้งหมดแล้วเลือกบุคคลที่คุณต้องการเปลี่ยน จากนั้นเลือกจากช่องดรอปดาวน์

หยุดการเข้าถึงไดเรกทอรีทั้งหมดด้วยไฟล์ดัชนีไฟล์ HTML

คุณอาจไม่ทราบเรื่องนี้ แต่ถ้าคุณสร้างไดเรกทอรีใหม่บน เว็บไซต์ของคุณเพิ่มไฟล์ลงไปและไม่เพิ่มไฟล์ index.htmlภายในเนื้อหาทั้งหมดของไดเรกทอรีนั้นสามารถดูได้แบบสาธารณะ

หากต้องการหยุดสิ่งนี้ไม่ให้เกิดขึ้น ไฟล์ข้อความเปล่าและเรียกว่า index.htmlจากนั้นอัปโหลดไปยังไดเรกทอรีใหม่ ความพยายามที่จะดูไดเรกทอรีจะส่งผลให้คนตีกลับไปที่หน้าดัชนีว่าง

รับใบรับรอง SSLC

หนึ่งในสิ่งที่ดีที่สุดที่คุณสามารถทำให้เว็บไซต์ของคุณได้รับคือใบรับรอง SSL ขณะนี้ Google ให้ความสำคัญกับไซต์ SSL ที่สูงกว่าในผลการค้นหาและแน่นอนว่าไซต์ของคุณจะได้รับการรักษาความปลอดภัยด้วย

SSL ค่อนข้างจะรักษาความปลอดภัยให้กับการเชื่อมต่อระหว่างเบราว์เซอร์ผู้ใช้และเว็บเซิร์ฟเวอร์ ดังนั้นจึงเป็นเรื่องยากมากที่แฮ็กเกอร์จะเจาะเข้ากับการเชื่อมต่อและขโมยข้อมูล

การรับใบรับรอง SSL มีสองวิธี คุณสามารถซื้อได้ แต่คุณสามารถซื้อได้ฟรีจาก มาเข้ารหัสกันเถอะ ขณะนี้โฮสต์เว็บจำนวนมากเสนอ Let's Encrypt เป็นบริการอัตโนมัติฟรี

สำรองเว็บไซต์ YourWordpress ทุกวัน

<รูป class = "lazy aligncenter">

ในที่สุดถ้าสิ่งที่เลวร้ายที่สุดเกิดขึ้นได้แย่ที่สุดและคุณถูกแฮ็คคุณต้องมีวิธีในการทำให้เว็บไซต์ของคุณ สำรองและเรียกใช้โดยเร็วที่สุด นั่นคือเหตุผลที่คุณต้องสำรองข้อมูลรายวันของไฟล์การติดตั้งทั้งหมด

ทางออกที่ง่ายที่สุดในตอนนี้คือ Jetpack ซึ่งดำเนินการโดยคนเดียวกับที่สร้าง WordPress เพียง $ 3.50 ต่อเดือนสำหรับหนึ่งเว็บไซต์แน่นอนว่าคุ้มค่าที่สุด

บทสรุป

มีวิธีอื่น ๆ อีกมากมายในการล็อคไซต์ของคุณ หลายคนเกี่ยวข้องกับการเข้ารหัสที่ซับซ้อนหรือติดตั้งปลั๊กอินด้วยตัวเลือกที่ซับซ้อน หากคุณเพิ่งเริ่มหัวข้อนี้จะเป็นการดีที่สุดที่จะครอบคลุมพื้นฐานก่อนซึ่งเป็นสิ่งที่ฉันได้พยายามครอบคลุมในวันนี้

ทดสอบแฮกเว็บง่าย ๆ ด้วย OWASP BWA #1

กระทู้ที่เกี่ยวข้อง:


7.02.2019