หากคุณใช้ WordPress เป็นแพลตฟอร์มที่อยู่เบื้องหลังบล็อกหรือเว็บไซต์ของคุณคุณอาจรู้ว่ามีช่องโหว่ด้านความปลอดภัยจำนวนมากไม่เพียง แต่ในตัวซอฟต์แวร์เอง แต่ยังอยู่ในปลั๊กอินด้วยเช่นกัน เนื่องจากปัญหาเหล่านี้เราจะดูวิธีป้องกันการแฮ็คโดยการล็อคโฟลเดอร์การดูแลระบบของคุณ
Apache เว็บเซิร์ฟเวอร์มีกลไกในตัวที่อนุญาตให้คุณกำหนดรหัสผ่านที่จำเป็นสำหรับโฟลเดอร์ซึ่งแยกจากรหัสผ่าน WordPress ของคุณ
เคล็ดลับความปลอดภัยของบล็อกด่วน
การรักษาความปลอดภัยมีความสำคัญพอที่ฉันรู้สึกว่าจำเป็นต้องมีเคล็ดลับพิเศษบางอย่างที่นี่ นี่ไม่ใช่รายการที่สมบูรณ์ แต่คุณควรตรวจสอบดู
- ตรวจสอบให้แน่ใจว่าคุณใช้งานเวิร์ดเพรสเวอร์ชันล่าสุดและปลั๊กอินทั้งหมดของคุณ
- คุณควรพิจารณาสมัครเป็นสมาชิก BlogSecurity.net บล็อกที่พยายามที่จะครอบคลุมข่าวความปลอดภัยเกี่ยวกับแพลตฟอร์มบล็อก
- ตรวจสอบให้แน่ใจว่าการตั้งค่าการอนุญาตไฟล์ของคุณถูกต้องตามแนวทางของ WordPress
- ตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่ยากสำหรับทุกบัญชี
- ตรวจสอบให้แน่ใจว่าคุณทำการสำรองข้อมูลการติดตั้ง WordPress และฐานข้อมูลทั้งหมดของคุณ
- ล็อคโฟลเดอร์การจัดการของคุณด้วยกฎ. htaccess (ที่นี่)
การกำหนดรหัสผ่านให้กับ wp-admin Directory ด้วยตนเอง
สร้างไฟล์ชื่อ. htaccess ในไดเรกทอรี wp-admin ของคุณและเพิ่มเนื้อหาต่อไปนี้:
AuthName“ พื้นที่ จำกัด ”
AuthType พื้นฐาน
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
ต้องการผู้ใช้ที่ถูกต้อง
คุณจะต้องปรับบรรทัด AuthUserFile เพื่อใช้เส้นทางแบบเต็มไปยังไฟล์. htpasswd ที่เราจะสร้างในขั้นตอนถัดไป คุณสามารถค้นหาเส้นทางแบบเต็มโดยใช้การ รหัสผ่าน คำสั่งจากพรอมต์เชลล์
ถัดไปคุณจะต้องใช้บรรทัดคำสั่ง htpasswdยูทิลิตี้เพื่อสร้างไฟล์รหัสผ่าน ฉันจะแนะนำให้คุณใช้บัญชีผู้ใช้และรหัสผ่านที่แตกต่างจากที่คุณใช้สำหรับการติดตั้ง WordPress ของคุณ
$ htpasswd -c .htpasswd myusername
รหัสผ่านใหม่:
พิมพ์รหัสผ่านใหม่อีกครั้ง:
การเพิ่มรหัสผ่านสำหรับชื่อผู้ใช้ของผู้ใช้
คุณจะต้องแน่ใจว่าคุณอยู่ในไดเรกทอรีที่ระบุโดย AuthUserFile และเปลี่ยน“ myusername” เป็นสิ่งที่ไม่ซ้ำกันสำหรับเว็บไซต์ของคุณ สิ่งนี้จะสร้างไฟล์ที่มีเนื้อหาคล้ายกับที่แสดงต่อไปนี้:
MyUserName: aJztXHCknKJ3
ณ จุดนี้คุณควรได้รับพร้อมท์สำหรับรหัสผ่านเมื่อคุณนำทางไปยังแผงควบคุม WordPress ของคุณ คุณจะสังเกตเห็นว่า "พื้นที่ จำกัด " เป็นข้อความจากไฟล์. htaccess ซึ่งสามารถเปลี่ยนเป็นสิ่งอื่นได้
หากคุณได้รับข้อผิดพลาดเซิร์ฟเวอร์แทนคุณควรลบไฟล์. htaccess และเริ่มต้นใหม่
สุดท้ายคุณควรตรวจสอบให้แน่ใจว่าคุณลบสิทธิ์การเขียนไปยังไฟล์ทั้งสองด้วยคำสั่ง chmod เพื่อเพิ่มความปลอดภัยอีกชั้นหนึ่ง
chmod 444 .htaccess
chmod 444 .htpasswd
สร้างไฟล์รหัสผ่าน. htaccess
มีเครื่องมือที่ยอดเยี่ยมจาก Dynamicdriveทำงานอย่างหนักทั้งหมดในการสร้างไฟล์ให้คุณ สิ่งนี้มีประโยชน์อย่างยิ่งหากคุณไม่มีสิทธิ์เข้าถึงเชลล์ไปยังเซิร์ฟเวอร์ของคุณเพราะคุณสามารถอัปโหลดไฟล์ผ่านไคลเอนต์ FTP / SFTP ของคุณ
http://tools.dynamicdrive.com/password/
คุณควรตรวจสอบให้แน่ใจว่าคุณได้ลบการเข้าถึงการเขียนเมื่อไฟล์ถูกอัพโหลด
