iThemes Security Pro ฟีเจอร์สปอตไลท์ – WordPress Tweaks

เผยแพร่แล้ว: 2021-06-23

ในโพสต์คุณสมบัติเด่น เราจะเน้นคุณลักษณะในปลั๊กอิน iThemes Security Pro และแชร์เล็กน้อยเกี่ยวกับสาเหตุที่เราพัฒนาคุณลักษณะนี้ คุณลักษณะนี้มีไว้เพื่อใคร และวิธีใช้คุณลักษณะนี้

วันนี้เราจะมาพูดถึง WordPress Tweaks ซึ่งเป็นชุดเครื่องมือในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

ทำไมคุณควรใช้ WordPress Tweaks

ข้อดีอย่างหนึ่งของ WordPress คือความเข้ากันได้กับเครื่องมือและบริการของบุคคลที่สาม อย่างไรก็ตาม หากคุณไม่ได้ใช้ประโยชน์จากบริการเหล่านี้ แสดงว่าคุณมีจุดเริ่มต้นที่ไม่จำเป็นในเว็บไซต์ของคุณซึ่งแฮ็กเกอร์อาจใช้ประโยชน์ได้

WordPress ยังมอบความสะดวกสบายอื่นๆ ที่จะช่วยให้ผู้โจมตีสามารถขยายการโจมตีด้วยกำลังเดรัจฉาน หรือแม้แต่ทำการเปลี่ยนแปลงที่เป็นอันตรายกับไฟล์ที่จัดเก็บไว้ในเซิร์ฟเวอร์ของคุณ

คุณควรใช้การตั้งค่า iThemes Security Pro WordPress Tweaks เนื่องจากเป็นชุดเครื่องมือที่ออกแบบมาโดยเฉพาะเพื่อเสริมความแข็งแกร่งให้กับจุดอ่อนที่เป็นไปได้ของ WordPress

วิธีใช้ WordPress Tweaks ใน iThemes Security Pro

ในการเริ่มต้นใช้งาน WordPress Tweaks ให้คลิกที่ลิงก์ ขั้นสูง ในเมนูความปลอดภัย

เมื่อคุณอยู่ในเมนูขั้นสูง คลิกแท็บ WordPress Tweaks

การตั้งค่า WordPress Tweaks

WordPress Tweaks แบ่งออกเป็น 2 ส่วนคือ API Access และ Users มาดูการตั้งค่าเหล่านี้กันดีกว่า

การเข้าถึง API

1. XML-RPC

การตั้งค่าปิดการใช้งาน ตัวแก้ไขไฟล์ปิด การ ใช้งานตัวแก้ไข ไฟล์ WordPress สำหรับปลั๊กอินและธีม การปิดใช้งานโปรแกรมแก้ไขไฟล์ WordPress จะเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณเป็นจำนวนมาก

หากแฮ็กเกอร์สามารถเจาะเข้าไปในเว็บไซต์ของคุณได้สำเร็จ โปรแกรมแก้ไขไฟล์ WP จะอนุญาตให้พวกเขาทำการเปลี่ยนแปลงที่เป็นอันตรายกับไฟล์ที่จัดเก็บไว้ในเซิร์ฟเวอร์ของคุณ อย่างไรก็ตาม หากคุณปิดใช้งานโปรแกรมแก้ไขไฟล์ WP แฮ็กเกอร์จะยังคงต้องการข้อมูลประจำตัวของเซิร์ฟเวอร์เพื่อทำการเปลี่ยนแปลงที่เป็นอันตรายกับปลั๊กอินและธีมของคุณ

คุณลักษณะ XML-RPC ของ WordPress ช่วยให้บริการภายนอกสามารถเข้าถึงและแก้ไขเนื้อหาบนไซต์ได้ ตัวอย่างเช่น Jetpack ต้องการ XML-RPC เพื่อเชื่อมต่อกับเว็บไซต์ WordPress และแก้ไขเนื้อหา

การตั้งค่า XML-RPC ใน iThemes Security Pro มี 3 ตัวเลือก:

ปิดใช้งาน XML-RPC – XML-RPC ถูกปิดใช้งานบนไซต์ ขอแนะนำให้ใช้การตั้งค่านี้หากไม่ได้ใช้ Jetpack, แอพมือถือ WordPress, pingbacks และบริการอื่นๆ ที่ใช้ XML-RPC
ปิดการใช้งาน Pingbacks – ปิดการใช้งาน Pingbacks เท่านั้น ฟีเจอร์ XML-RPC อื่นๆ จะทำงานตามปกติ เลือกการตั้งค่านี้หากคุณต้องการคุณสมบัติ เช่น Jetpack หรือแอพ WordPress Mobile
เปิดใช้งาน XML-RPC – XML-RPC ถูกเปิดใช้งานอย่างสมบูรณ์และจะทำงานตามปกติ ใช้การตั้งค่านี้เฉพาะเมื่อไซต์ต้องใช้ XML-RPC อย่างไม่จำกัด

เราขอแนะนำให้ใช้ตัวเลือก ปิดใช้งาน XML-RPC หากคุณไม่ได้ใช้บริการใดๆ ที่ใช้ XML-RPC

2. ความพยายามรับรองความถูกต้องหลายครั้งต่อคำขอ XML-RPC

มีวิธีอื่นในการเข้าสู่ระบบ WordPress นอกเหนือจากการใช้แบบฟอร์มการเข้าสู่ระบบ การใช้ XML-RPC ผู้โจมตีสามารถสร้างชื่อผู้ใช้และรหัสผ่านได้หลายร้อยครั้งในคำขอ HTTP เดียว

วิธีการขยายกำลังเดรัจฉานช่วยให้ผู้โจมตีสามารถพยายามชื่อผู้ใช้และรหัสผ่านได้หลายพันครั้งโดยใช้ XML-RPC ในคำขอ HTTP เพียงไม่กี่ครั้ง

การตั้งค่า ความพยายามรับรองความถูกต้องหลายครั้งต่อคำขอ XML-RPC ใน iThemes Security Pro มีสองตัวเลือก:

บล็อก – บล็อกคำขอ XML-RPC ที่มีการพยายามเข้าสู่ระบบหลายครั้ง ขอแนะนำให้ใช้การตั้งค่านี้
อนุญาต – อนุญาตคำขอ XML-RPC ที่มีการพยายามเข้าสู่ระบบหลายครั้ง ใช้การตั้งค่านี้เฉพาะเมื่อต้องการใช้บริการ

การใช้ตัวเลือกการพยายามตรวจสอบความถูกต้องหลายครั้งต่อ บล็อก คำขอ XML-RPC จะป้องกันการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC การจำกัดจำนวนชื่อผู้ใช้และรหัสผ่านสำหรับคำขอแต่ละครั้งจะช่วยรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณได้อย่างมาก

3. REST API

WordPress REST API เป็นส่วนหนึ่งของ WordPress และมอบวิธีใหม่ๆ ให้กับนักพัฒนาในการจัดการ WordPress

โดยค่าเริ่มต้น REST API สามารถใช้เพื่อเข้าถึงข้อมูลที่คุณอาจเชื่อว่าเป็นข้อมูลส่วนตัวบนไซต์ของคุณ ซึ่งรวมถึง:

โพสต์ที่เผยแพร่ ของโพสต์ทุกประเภท รวมถึงโพสต์ที่ไม่เหมือนโพสต์ เช่น ผลิตภัณฑ์หรือโปรแกรมสมาชิก
รายละเอียดผู้ใช้ ที่อาจรวมถึงผู้ใช้ที่ไม่มีโพสต์หรือเพจที่เผยแพร่
รายการไลบรารีสื่อ ที่อาจเปิดเผยลิงก์ไปยังสื่อดาวน์โหลดที่ไม่ได้เชื่อมโยงแบบสาธารณะทุกที่ ซึ่งอาจรวมถึงลิงก์เพื่อดาวน์โหลดเนื้อหาสำหรับสมาชิกเท่านั้น ข้อมูลสำรองที่สร้างโดยปลั๊กอินบางตัว หรือไฟล์ประเภทอื่นๆ ที่เพิ่มลงในไลบรารีสื่อ (โปรดทราบว่าการสำรองข้อมูลของ BackupBuddy จะไม่ถูกเก็บไว้ในไลบรารีสื่อและไม่สามารถเข้าถึงได้ผ่าน REST API)

การตั้งค่า REST API ใน iThemes Security Pro มีสองตัวเลือก:

การเข้าถึงที่จำกัด – จำกัดการเข้าถึงข้อมูล REST API ส่วนใหญ่ ซึ่งหมายความว่าคำขอส่วนใหญ่จะต้องการผู้ใช้ที่เข้าสู่ระบบหรือผู้ใช้ที่มีสิทธิ์เฉพาะ ซึ่งจะบล็อกคำขอสาธารณะสำหรับข้อมูลที่อาจเป็นส่วนตัว เราแนะนำให้เลือกตัวเลือกนี้
การเข้าถึงเริ่มต้น – การเข้าถึงข้อมูล REST API ถูกปล่อยให้เป็นค่าเริ่มต้น ข้อมูลต่างๆ ซึ่งรวมถึงโพสต์ที่เผยแพร่ รายละเอียดผู้ใช้ และรายการไลบรารีสื่อมีให้สำหรับการเข้าถึงแบบสาธารณะ

เราขอแนะนำให้ใช้ตัวเลือกการเข้าถึงที่จำกัดเพื่อจำกัดการเข้าถึงข้อมูลส่วนตัว

ผู้ใช้

1. ปิดการใช้งานตัวแก้ไขไฟล์

2. บังคับชื่อเล่นเฉพาะ

การตั้งค่า Force Unique Nickname บังคับให้ผู้ใช้เลือกชื่อเล่นที่ไม่ซ้ำกันเมื่ออัปเดตโปรไฟล์หรือสร้างบัญชีใหม่ การใช้ชื่อเล่นที่ไม่ซ้ำกันจะป้องกันบอทและผู้โจมตีไม่ให้รวบรวมชื่อผู้ใช้สำหรับเข้าสู่ระบบของผู้ใช้จากโค้ดบนหน้าผู้เขียนได้อย่างง่ายดาย โปรดทราบว่าการดำเนินการนี้จะไม่อัปเดตผู้ใช้ที่มีอยู่โดยอัตโนมัติ เนื่องจากจะส่งผลต่อ URL ของฟีดผู้เขียนหากใช้

การบังคับให้ผู้ใช้ใช้ชื่อเล่นที่ไม่ซ้ำกันเป็นอีกตัวอย่างหนึ่งของความปลอดภัยผ่านความมืดมน คุณควรเปิดใช้งานข้อกำหนดรหัสผ่าน iThemes Security Pro และคุณสมบัติการตรวจสอบสิทธิ์สองปัจจัยเพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

3. ปิดการใช้งานคลังเก็บผู้ใช้พิเศษ

การตั้งค่าปิดใช้งานการเก็บถาวรผู้ใช้พิเศษใน iThemes Security Pro ทำให้บอทระบุชื่อผู้ใช้ได้ยากขึ้นโดยการปิดใช้งานที่เก็บโพสต์สำหรับผู้ใช้ที่ไม่ได้โพสต์ในไซต์ของคุณ

การปิดใช้งานหน้าผู้เขียนของผู้ใช้หากจำนวนโพสต์เป็น 0 เป็นอีกตัวอย่างหนึ่งของความปลอดภัยผ่านความสับสน คุณควรเปิดใช้งานข้อกำหนดรหัสผ่าน iThemes Security Pro และคุณสมบัติการตรวจสอบสิทธิ์สองปัจจัยเพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

4. เข้าสู่ระบบด้วยที่อยู่อีเมลหรือชื่อผู้ใช้

ตามค่าเริ่มต้น WordPress อนุญาตให้ผู้ใช้เข้าสู่ระบบโดยใช้ที่อยู่อีเมลหรือชื่อผู้ใช้ การตั้งค่า เข้าสู่ระบบด้วยที่อยู่อีเมลหรือชื่อผู้ใช้ ทำให้คุณสามารถจำกัดการเข้าสู่ระบบให้ยอมรับเฉพาะที่อยู่อีเมลหรือชื่อผู้ใช้เท่านั้น

การตั้งค่าเข้าสู่ระบบด้วยที่อยู่อีเมลหรือชื่อผู้ใช้ใน iThemes Security Pro มีสามตัวเลือก:

ที่อยู่อีเมลและชื่อผู้ใช้ (ค่าเริ่มต้น) – อนุญาตให้ผู้ใช้เข้าสู่ระบบโดยใช้ที่อยู่อีเมลหรือชื่อผู้ใช้ของผู้ใช้ นี่เป็นพฤติกรรมเริ่มต้นของ WordPress
ที่อยู่อีเมลเท่านั้น – ผู้ใช้สามารถเข้าสู่ระบบโดยใช้ที่อยู่อีเมลของผู้ใช้เท่านั้น สิ่งนี้ปิดใช้งานการเข้าสู่ระบบโดยใช้ชื่อผู้ใช้
ชื่อผู้ใช้เท่านั้น – ผู้ใช้สามารถเข้าสู่ระบบโดยใช้ชื่อผู้ใช้ของผู้ใช้เท่านั้น การดำเนินการนี้จะปิดใช้งานการเข้าสู่ระบบโดยใช้ที่อยู่อีเมล

การจำกัดการเข้าสู่ระบบไปยังที่อยู่อีเมลอาจเพิ่มการป้องกันการโจมตีแบบเดรัจฉานเล็กน้อย แม้ว่าบ็อตจะขูดชื่อผู้ใช้บนหน้าของผู้เขียนได้ แต่ก็มีโอกาสน้อยที่จะขูดเว็บไซต์สำหรับที่อยู่อีเมลของผู้ใช้

แต่อีกครั้ง คุณควรเปิดใช้งานข้อกำหนดรหัสผ่าน iThemes Security Pro และคุณสมบัติการตรวจสอบสิทธิ์สองปัจจัยเพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

บทสรุป: WordPress Tweaks เพื่อเพิ่มความแข็งแกร่งให้ WordPress Security

WordPress Tweaks ใน iThemes Security Pro ได้รับการออกแบบมาโดยเฉพาะเพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ ด้วยปลั๊กอิน iThemes Security Pro คุณสามารถเพิ่มชั้นความปลอดภัยพิเศษเหล่านี้ให้กับเว็บไซต์ของคุณได้ ซึ่งรวมถึง:

การรับรองความถูกต้องด้วยสองปัจจัย
เข้าสู่ระบบแบบไม่มีรหัสผ่าน
การตรวจจับการเปลี่ยนแปลงไฟล์
การป้องกันกำลังเดรัจฉานในท้องถิ่น

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน