นอกจากอัปเดตเป็นประจำแล้ว WordPress ยังมีการตั้งค่าความปลอดภัย "ต้นทุนต่ำผลตอบแทนสูง" อีกสองอย่าง:ปิดการแก้ไขไฟล์ในแอดมิน和ซ่อนที่อยู่ล็อกอินแอดมินการดำเนินการทั้งสองนี้สามารถตัดเส้นทางที่แฮกเกอร์ใช้บุกเข้าระบบบ่อยที่สุดได้โดยตรง (เช่น การแก้ไขไฟล์หลักผ่านช่องโหว่ การถอดรหัสผ่านล็อกอินด้วยวิธี brute force) และตั้งค่าได้ง่าย แม้แต่ผู้เริ่มต้นก็ทำได้อย่างสบายๆ ส่วนนี้จะอธิบายขั้นตอนและหลักการโดยละเอียด
หนึ่ง. ทำไมต้องตั้งค่าสองอย่างนี้?
ในวิธีการโจมตีเว็บไซต์ WordPress ที่แฮกเกอร์นิยมใช้ มีสองวิธีที่พบได้บ่อยที่สุด:
- การฝังโค้ดมุ่งร้ายผ่านการแก้ไขไฟล์ในแอดมินWordPress อนุญาตให้ผู้ดูแลระบบแก้ไขโค้ดของธีมและปลั๊กอินโดยตรงในแอดมินเป็นค่าเริ่มต้น (「รูปลักษณ์→ตัวแก้ไขธีม」「ปลั๊กอิน→ตัวแก้ไขปลั๊กอิน」) เมื่อแฮกเกอร์ได้สิทธิ์ผู้ดูแลระบบผ่านช่องโหว่ พวกเขาสามารถใช้ฟังก์ชันนี้เพื่อแก้ไขไฟล์หลัก ฝังไวรัส ประตูหลัง หรือบิดเบือนเนื้อหาได้
- การแคร็กด้วยกำลังดุร้ายที่อยู่ในการเข้าสู่ระบบWordPress ที่อยู่การเข้าสู่ระบบเริ่มต้นคือ
域名/wp-admin或域名/wp-login.php(เหมือนกันทั่วทั้งเครือข่าย) แฮกเกอร์จะใช้โปรแกรมสแกนที่อยู่นี้เป็นชุด พยายามใช้ชื่อผู้ใช้ทั่วไป (เช่นadmin) และรหัสผ่านที่อ่อนแอเพื่อเข้าสู่ระบบ เมื่อสำเร็จก็สามารถควบคุมเว็บไซต์ได้
สอง、การตั้งค่า 1: ปิดการแก้ไขไฟล์ในแอดมิน (เสร็จใน 5 นาที)
หลังจากปิดการแก้ไขไฟล์แล้ว ทางเข้า "ตัวแก้ไขธีม" และ "ตัวแก้ไขปลั๊กอิน" ในแอดมินจะหายไป ป้องกันแฮกเกอร์ (หรือผู้ดูแลระบบที่ทำผิดพลาด) แก้ไขโค้ดจากต้นทาง
ขั้นตอนที่ 1: ค้นหาและแก้ไข wp-config.php ไฟล์
wp-config.php เป็นไฟล์การตั้งค่าหลักของ WordPress เก็บการตั้งค่าสำคัญเช่นข้อมูลฐานข้อมูล การแก้ไขต้องใช้เครื่องมือจัดการไฟล์เซิร์ฟเวอร์:
- เข้าสู่แผงควบคุมเซิร์ฟเวอร์ (เช่น แผงควบคุม Baota) และค้นหาไดเรกทอรีรูทของเว็บไซต์ของคุณ (โดยปกติคือ
wwwroot/你的域名/)。 - ในไดเรกทอรีรูท ให้ค้นหาไฟล์
wp-config.phpคลิกขวาและเลือก 'แก้ไข' (หากใช้เครื่องมือ FTP สามารถดาวน์โหลดไปยังเครื่องท้องถิ่น แก้ไขด้วย Notepad แล้วอัปโหลดกลับ)
ขั้นตอนที่ 2: เพิ่มโค้ดปิดใช้งาน
在 wp-config.php ในไฟล์ ให้ค้นหาบรรทัดโค้ดที่เขียนว่า "/* เอาล่ะ แค่นั้นแหละ หยุดแก้ไขได้แล้ว! ขอให้ใช้งานอย่างสนุก! */"ด้านบนวางโค้ดต่อไปนี้:
// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);ขั้นตอนที่ 3: บันทึกและตรวจสอบผลลัพธ์
- บันทึกไฟล์และปิดโปรแกรมแก้ไข
- กลับไปที่แผงควบคุม WordPress หลังจากรีเฟรชหน้า:
- เข้าไปที่เมนู "รูปลักษณ์" ตัวเลือก "ตัวแก้ไขธีม" จะหายไป
- เข้าไปที่เมนู "ปลั๊กอิน" ตัวเลือก "ตัวแก้ไขปลั๊กอิน" จะหายไป
สาม. การตั้งค่า 2: ซ่อนที่อยู่ล็อกอินแอดมิน (ใช้ง่ายกว่าด้วยปลั๊กอิน)
การซ่อนที่อยู่ล็อกอินไม่ใช่การลบที่เริ่มต้น แต่เป็นการเพิ่มทางเข้าล็อกอินที่กำหนดเอง (เช่น 域名/my-login), พร้อมทั้งบล็อกที่เริ่มต้น wp-admin หน้าเข้าสู่ระบบ (เมื่อเข้าถึงจะกระโดดไปที่ข้อผิดพลาด 404) ทำให้แฮกเกอร์ไม่พบช่องทางเข้าสู่ระบบ
แนะนำปลั๊กอิน: WPS Hide Login (ฟรี, น้ำหนักเบา)
- ติดตั้งปลั๊กอิน: เข้าสู่ระบบหลังบ้าน「ปลั๊กอิน→ติดตั้งปลั๊กอิน」, ค้นหา「WPS Hide Login」, คลิก「ติดตั้ง」และ「เปิดใช้งาน」
- ตั้งค่าที่อยู่ล็อกอินแบบกำหนดเองหลังจากเปิดใช้งานแล้ว ไปที่หน้า 'การตั้งค่า→WPS Hide Login' ในช่องกรอก 'ล็อกอิน URL' ให้กรอกเส้นทางแบบกำหนดเองที่คุณต้องการตั้งค่า (แนะนำให้ตั้งแบบง่ายและจำง่าย เช่น
myadmin'login2023')- ตัวอย่าง: ป้อน
dashboardจากนั้นที่อยู่เข้าสู่ระบบใหม่จะเป็น域名/dashboard。「URL การเปลี่ยนเส้นทาง」ให้คงค่าเริ่มต้นไว้ (เมื่อแฮกเกอร์เข้าถึงที่อยู่เก่าจะถูกเปลี่ยนเส้นทางไปยังหน้า 404)
- ตัวอย่าง: ป้อน
- บันทึกและจำที่อยู่ใหม่ให้ดี: คลิก 'บันทึกการเปลี่ยนแปลง' ระบบจะเริ่มทำงานโดยอัตโนมัติอย่าลืมจดที่อยู่ล็อกอินใหม่ทันที(แนะนำให้บันทึกไว้ใน Notepad หรือบันทึกในโทรศัพท์มือถือ) เพื่อป้องกันไม่ให้ลืมและไม่สามารถล็อกอินได้
ตรวจสอบผลลัพธ์การซ่อน
- ทดสอบการเข้าสู่ระบบด้วยที่อยู่ใหม่ (เช่น
域名/dashboard) เพื่อยืนยันว่าสามารถเข้าสู่ระบบหลังบ้านได้ตามปกติ - เข้าถึงที่อยู่เริ่มต้น
域名/wp-admin或域名/wp-login.phpควรแสดงข้อผิดพลาด 404 หรือเปลี่ยนเส้นทางไปยังหน้าแรก ซึ่งบ่งบอกว่าการซ่อนสำเร็จ
สี่ ข้อควรระวังสำคัญ (หลีกเลี่ยงการดำเนินการผิดพลาด)
เกี่ยวกับการปิดใช้งานการแก้ไขไฟล์:
- ไม่ส่งผลกระทบต่อการใช้งานปกติ: หลังปิดใช้งานยังสามารถแก้ไขไฟล์ผ่าน FTP หรือแผงควบคุมเซิร์ฟเวอร์ได้ (ปิดเฉพาะการแก้ไขแบบเห็นภาพในแอดมิน) ไม่มีผลต่อผู้ใช้ทั่วไป
- ต้องทำอย่างไรเมื่อต้องการแก้ไขโค้ด?: หากต้องการแก้ไขโค้ดธีม / ปลั๊กอินในภายหลัง สามารถลบโค้ดที่ปิดใช้งานใน
wp-config.phpชั่วคราวออกได้ หลังจากแก้ไขเสร็จแล้วให้เพิ่มกลับเข้าไปใหม่ - ผู้เริ่มต้นควรระมัดระวังในการแก้ไขโค้ดด้วยตนเอง:แม้ว่าจะไม่ได้ปิดการแก้ไข แต่ก็ไม่แนะนำให้ผู้เริ่มต้นแก้ไขโค้ดในแบคเอนด์ (อาจทำให้เว็บไซต์ล่มได้)
เกี่ยวกับการซ่อนที่อยู่ล็อกอิน:
- อย่าลืมที่อยู่ใหม่:นี่เป็นปัญหาที่พบบ่อยที่สุด! หากลืมที่อยู่ล็อกอินที่กำหนดเอง จำเป็นต้องลบผ่านเครื่องมือจัดการไฟล์เซิร์ฟเวอร์
wp-content/plugins/wps-hide-loginโฟลเดอร์ (หลังจากปลั๊กอินถูกลบ ที่อยู่ล็อกอินเริ่มต้นจะกลับมาใช้งานได้) - อย่าเปลี่ยนบ่อย: การเปลี่ยนที่อยู่ล็อกอินบ่อยเกินไปอาจทำให้จำสับสน แนะนำให้ตั้งค่าแล้วใช้ไปนานๆ
- ใช้ร่วมกับรหัสผ่านที่แข็งแกร่งจะปลอดภัยยิ่งขึ้น: การซ่อนที่อยู่เพียงเพิ่มความยากให้กับแฮกเกอร์ ยังคงต้องมั่นใจว่ารหัสผ่านของผู้ดูแลมีความซับซ้อนเพียงพอ (โปรดดูหัวข้อ 11.2)
ห้า: การแก้ไขปัญหาที่พบบ่อย
1. หากปิดการแก้ไขแล้วต้องการกู้คืนจะทำอย่างไร?
- แก้ไขใหม่อีกครั้ง
wp-config.phpไฟล์, ลบที่เพิ่มเข้าไปdefine('DISALLOW_FILE_EDIT', true);โค้ด, หลังจากบันทึกแล้ว ตัวแก้ไขแบ็กเอนด์จะกู้คืน
2. หากซ่อนที่อยู่ล็อกอินแล้ว โทรศัพท์หรือปลั๊กอินไม่สามารถล็อกอินได้?
- ปลั๊กอินจัดการบางตัวบนมือถือ (เช่น แอป WordPress ทางการ) อาจพึ่งพาที่อยู่ล็อกอินเริ่มต้น สามารถติ๊ก 'อนุญาตการเข้าถึง REST API' ในการตั้งค่า WPS Hide Login (มักอยู่ด้านล่างของการตั้งค่าปลั๊กอิน)
3. แฮ็กเกอร์ยังสามารถหาที่อยู่ล็อกอินใหม่ได้หรือไม่?
- หลีกเลี่ยงการเปิดเผยที่อยู่ล็อกอินในที่สาธารณะ (เช่น อย่าเอ่ยถึงในบทความ)
域名/dashboard)。 - สามารถเปลี่ยนเส้นทางที่กำหนดเองเป็นประจำ (แก้ไขได้ผ่านหน้าการตั้งค่าปลั๊กอิน) เพื่อลดโอกาสในการถูกค้นพบเพิ่มเติม
สรุป
การปิดใช้งานการแก้ไขไฟล์และการซ่อนที่อยู่ล็อกอินเป็นมาตรการความปลอดภัยที่ 'ได้ผลมากด้วยต้นทุนต่ำ' — แทบไม่ส่งผลกระทบต่อการใช้ปกติ แต่สามารถป้องกันการโจมตีจากแฮกเกอร์ระดับเริ่มต้นส่วนใหญ่ได้อย่างมีประสิทธิภาพ จำไว้ว่า: การปิดใช้งานการแก้ไขอาศัยการปรับเปลี่ยน wp-config.phpซ่อนที่อยู่ด้วยปลั๊กอิน WPS Hide Login หลังดำเนินการ ต้องตรวจสอบผลลัพธ์และบันทึกไว้ให้เรียบร้อย
การตั้งค่าทั้งสองนี้ร่วมกับการอัปเดตเป็นประจำและรหัสผ่านที่แข็งแกร่ง จะช่วยสร้างเครือข่ายความปลอดภัยพื้นฐานให้กับเว็บไซต์ของคุณ
ไทย