เปิดเผยไฟล์สำรองและไฟล์ที่ไม่อ้างอิงและวิธีการค้นหาไฟล์เหล่านั้น
เผยแพร่แล้ว: 2021-08-24การรักษา WordPress ของคุณให้ปลอดภัยนั้นเกี่ยวข้องกับกระบวนการทดสอบ เสริมความแข็งแกร่ง ตรวจสอบ และปรับปรุงอย่างต่อเนื่อง มีหลายสิ่งที่ผู้ดูแลระบบ WordPress สามารถดูแลเพื่อช่วยให้มั่นใจว่าเว็บไซต์ของตนปลอดภัย ตั้งแต่การตรวจสอบรหัสผ่านที่ตรงตามเกณฑ์เฉพาะไปจนถึงการทำให้ PHP แข็งแกร่งขึ้น กระบวนการเหล่านี้สามารถช่วยให้คุณมั่นใจได้ว่าคุณใช้ระบบที่แน่นหนาและสะอาด สิ่งหนึ่งที่มักจะถูกมองข้ามคือไฟล์สำรองและไฟล์ที่ไม่ได้อ้างอิง ไฟล์เหล่านี้อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยที่สามารถจัดการได้ง่ายโดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด
WordPress ใช้ไดเร็กทอรีเพื่อจัดระเบียบข้อมูล เพจและสื่อทั้งหมดอยู่ภายในโครงสร้างนี้ ในการติดตั้งทั่วไป โครงสร้างนี้จะดูเหมือน var/www/html/wordpress/wp-content
เว็บเซิร์ฟเวอร์ รวมถึงเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ WordPress มักจะได้รับการกำหนดค่าให้ให้บริการไฟล์ทั้งหมดที่อยู่ในไดเร็กทอรีเฉพาะแก่ลูกค้า มีข้อยกเว้นบางประการ เช่น ไฟล์ PHP; อย่างไรก็ตาม เว้นเสียแต่ว่าผู้ดูแลระบบได้บล็อกการเข้าถึงไว้อย่างชัดเจน มีโอกาสที่หากลูกค้าร้องขอ เว็บเซิร์ฟเวอร์จะเป็นผู้บังคับ
โดยทั่วไป นี่เป็นสิ่งที่ดี และเป็นสิ่งที่คุณต้องการให้เกิดขึ้น เนื่องจากนี่เป็นวิธีการส่งไฟล์ที่เกี่ยวข้องกับหน้าเว็บของคุณ เช่น ไฟล์ CSS ไฟล์ JS และรูปภาพให้กับผู้เยี่ยมชม อย่างไรก็ตาม ลักษณะการทำงานนี้ยังหมายความว่าคุณสามารถให้บริการไฟล์ที่คุณไม่เคยตั้งใจให้สาธารณะดูได้โดยไม่ได้ตั้งใจ เช่น ไฟล์สำรองและไฟล์ที่ไม่ได้อ้างอิง
ไฟล์สำรองและไฟล์ที่ไม่อ้างอิงคืออะไร
ตามชื่อที่แนะนำ ไฟล์สำรองและไฟล์ที่ไม่ได้อ้างอิงเป็นข้อมูลสำรองจริงที่สามารถสำรองข้อมูลของไฟล์บางไฟล์ โดยปกติแล้วจะสร้างขึ้นเมื่อแก้ไขไฟล์ เช่น ไฟล์การกำหนดค่า หรือแม้แต่การสำรองข้อมูลทั้งหมด การทำความเข้าใจว่าไฟล์สำรองเหล่านี้คืออะไรและสร้างขึ้นอย่างไรเป็นขั้นตอนแรกที่เราต้องทำเพื่อแก้ไขปัญหา
มีสาเหตุหลายประการที่คุณอาจต้องแก้ไขไฟล์ WordPress อย่างไรก็ตาม การแก้ไขไฟล์ในไซต์ WordPress ของคุณโดยไม่ได้สำรองข้อมูลไว้ก่อนเป็นเรื่องที่ต้องกังวล — อัฒภาคที่หายไปเพียงตัวเดียวอาจทำให้เว็บไซต์ของคุณล่มได้!
แน่นอน เนื่องจากข้อผิดพลาดดังกล่าวเกิดขึ้นได้ง่าย จึงไม่แนะนำให้แก้ไขไฟล์โดยตรงบนเว็บเซิร์ฟเวอร์ที่ใช้งานจริง แนวทางปฏิบัติที่ดีที่สุดบอกให้เราทดสอบการเปลี่ยนแปลงใดๆ ในเซิร์ฟเวอร์การทดสอบหรือการทดสอบก่อน หลังจากการทดสอบอย่างละเอียดและสำเร็จแล้วเท่านั้นที่จะสามารถเปลี่ยนแปลงการเปลี่ยนแปลงไปยังเซิร์ฟเวอร์ที่ใช้งานจริง/การผลิตได้
อย่างไรก็ตาม ในชีวิตจริงไม่ได้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเสมอไป สิ่งนี้สามารถเกิดขึ้นได้จริงโดยเฉพาะเมื่อมีการเปลี่ยนแปลงเล็กน้อย กระบวนการดาวน์โหลดไฟล์ การเปลี่ยนแปลง การทดสอบ และการอัปโหลดซ้ำอาจใช้เวลานานกว่าการแก้ไขไฟล์บนเซิร์ฟเวอร์ที่ใช้งานจริง เราทุกคนเคยไปที่นั่น
การแก้ไขบนเซิร์ฟเวอร์จริงทำได้ง่ายมาก ด้วยไคลเอ็นต์ SSH และ Vi (หรือ Vim หากคุณต้องการเวอร์ชันที่ปรับปรุง) คุณสามารถทำสิ่งมหัศจรรย์ได้ เมื่อคุณเชื่อมต่อกับเซิร์ฟเวอร์และไปยังไดเร็กทอรีแล้ว คุณอาจจะต้องสำรองข้อมูลของไฟล์ก่อน (เช่น wp-config.php.bak) แก้ไขไฟล์ที่ใช้งานอยู่ ตรวจสอบให้แน่ใจว่าทุกอย่างเป็นไปตามลำดับ และมันทั้งหมด hunky-dory อย่างไรก็ตาม ไฟล์สำรองที่เหลืออยู่ในโฟลเดอร์ (ในกรณีที่คุณรู้) อาจเป็นสาเหตุของอาการปวดเมื่อยมากมาย โอกาสที่ทุกคนสามารถดาวน์โหลดได้และด้วยการกำหนดค่าทั้งหมดในรูปแบบข้อความธรรมดาไม่น้อย
นอกจากนี้ ผู้ดูแลระบบ WordPress หลายคนอาจไม่ทราบว่าการแก้ไขไฟล์โดยใช้โปรแกรมแก้ไขไฟล์ เช่น Vim อาจสร้างไฟล์สำรอง กู้คืน และล็อกโดยอัตโนมัติ Vim สร้างไฟล์เหล่านี้เพื่อให้คุณสามารถกู้คืนงานของคุณได้หาก Vim ขัดข้องหรือหยุดทำงานโดยไม่คาดคิด แม้ว่าคุณลักษณะนี้จะเป็นคุณสมบัติที่มีคุณค่าอย่างไม่ต้องสงสัย แต่ก็หมายความว่าคุณอาจลงเอยด้วยไฟล์สำรองที่คุณไม่ได้ตั้งใจสร้างไว้รอบๆ เว็บไซต์ของคุณโดยไม่ได้ตั้งใจ และรอให้ใครก็ตามเข้าถึงได้
การสำรองข้อมูลของไดเร็กทอรีทั้งหมดที่เหลืออยู่ในโฟลเดอร์สาธารณะก็สามารถสร้างความเสียหายได้เช่นกัน ในขณะที่การสำรองข้อมูลเว็บไซต์ WordPress ของคุณเป็นสิ่งสำคัญ แต่สิ่งนี้จำเป็นต้องทำอย่างปลอดภัยโดยไม่ทำให้เกิดความเสี่ยงด้านความปลอดภัยใหม่ เราจะพูดถึงรายละเอียดเพิ่มเติมในบทความนี้
ตัวอย่างทั่วไปของไฟล์สำรองข้อมูล ได้แก่ ไฟล์คอนฟิกูเรชันที่แก้ไขเวอร์ชันเก่าที่เปลี่ยนชื่อ ไฟล์ PHP หรือซอร์สโค้ดอื่นๆ และการสำรองข้อมูลอัตโนมัติหรือด้วยตนเองในรูปแบบของไฟล์บีบอัดที่เก็บถาวร (เช่น .zip, .gz หรือ .tar.gz archives)
ในทางกลับกัน ไฟล์ที่ไม่ได้อ้างอิงคือไฟล์ที่วางผิดที่ เนื่องจากการกำหนดค่าหรือการตัดสินใจในการออกแบบ จึงไปสิ้นสุดที่ใดที่หนึ่งซึ่งไม่เกี่ยวข้อง
ความเสี่ยงคืออะไร?
ไฟล์สำรองและไฟล์ที่ไม่ได้อ้างอิงถูกปล่อยให้เข้าถึงได้โดยไม่ได้ตั้งใจ อาจทำให้ข้อมูลที่สำคัญรั่วไหล ข้อมูลที่ละเอียดอ่อนอาจรวมถึงพารามิเตอร์การกำหนดค่าหรือซอร์สโค้ดที่ช่วยให้ผู้ใช้ที่ประสงค์ร้ายเข้าใจวิธีทำงานของเว็บไซต์ของคุณได้ดีขึ้น ทั้งนี้ขึ้นอยู่กับไฟล์ ซึ่งทำให้ง่ายต่อการสร้างการโจมตีเว็บไซต์ของคุณ ในบางกรณี รหัสผ่านที่อาจให้ผู้โจมตีควบคุมการติดตั้ง WordPress ทั้งหมดก็อาจรั่วไหลได้เช่นกัน
มีหลายวิธีที่สามารถค้นหาไฟล์ที่เหลือบนเว็บเซิร์ฟเวอร์ของคุณ แม้ว่าวิธีการบางอย่างจะต้องการความเชี่ยวชาญด้านเทคนิค แต่วิธีอื่นๆ ก็ทำได้ง่ายเหมือนกับการค้นหาของ Google ซึ่งเพิ่มความเสี่ยงที่จะถูกเปิดเผย หากคุณไม่แน่ใจว่าคุณมีไฟล์เหลืออยู่บนเซิร์ฟเวอร์หรือไม่ ให้อ่านต่อเพื่อเรียนรู้วิธีที่คุณสามารถค้นหาและค้นหาไฟล์เหล่านั้นได้ก่อนที่คนอื่นจะค้นเจอ
วิธีค้นหาไฟล์สำรองและไฟล์ที่ไม่อ้างอิงบนเว็บไซต์ WordPress ของคุณ
มีวิธีการที่แตกต่างกันสองสามวิธีที่ผู้ใช้สามารถใช้เพื่อค้นหาไฟล์สำรองและไฟล์ที่ไม่อ้างอิงได้ ในฐานะเจ้าของเซิร์ฟเวอร์ คุณมีความได้เปรียบเนื่องจากคุณสามารถดำเนินการได้โดยตรงมากขึ้น ส่วนนี้จะสำรวจเครื่องมือต่างๆ เหล่านี้ โดยเริ่มจากเครื่องมือที่คุณสามารถใช้เพื่อตามล่าและลบไฟล์เหล่านี้ จากนั้นเราจะดูว่าแมวขี้สงสัยสามารถค้นหาไฟล์สำรองและไฟล์ที่ไม่อ้างอิงบนเซิร์ฟเวอร์ของคุณได้อย่างไร
เมื่อค้นหาไฟล์สำรองที่คุณอาจทิ้งไว้บนเว็บเซิร์ฟเวอร์ คุณสามารถใช้วิธีหนึ่ง (หรือมากกว่า) ในสามวิธี วิธีที่ง่ายที่สุดคือการติดตั้งปลั๊กอินที่ตรวจสอบไฟล์สำหรับการเปลี่ยนแปลง อีกวิธีหนึ่ง คุณสามารถลองค้นหาไฟล์สำรองที่เหลืออยู่บนระบบไฟล์โดยใช้เครื่องมือบรรทัดคำสั่ง เช่น find หรืออาจลองค้นหาไฟล์สำรองโดยใช้เทคนิคที่เรียกว่า fuzzing
ปลั๊กอินตรวจสอบความสมบูรณ์ของไฟล์
โซลูชันการตรวจสอบความสมบูรณ์ของไฟล์สำหรับ WordPress สามารถช่วยตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บเซิร์ฟเวอร์ของคุณได้อย่างง่ายดาย และแจ้งเตือนคุณหากตรวจพบว่ามีการเพิ่ม ลบ หรือเปลี่ยนแปลงอะไร
สามารถทำได้ด้วยปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์ ปลั๊กอินใช้ลายนิ้วมือของไดเร็กทอรีของคุณแล้วเปรียบเทียบกับลายนิ้วมือที่ตามมา โดยพื้นฐานแล้ว มันทำงานบนหลักการเดียวกันกับเช็คซัม ทำให้มีความปลอดภัยและเชื่อถือได้สูง
การตรวจสอบความสมบูรณ์ของไฟล์อาจมีประสิทธิภาพเป็นพิเศษหากคุณไม่ได้เข้าถึงไดเรกทอรีทั้งหมดที่ WordPress ใช้ ข้อดีที่สำคัญอีกประการหนึ่งของปลั๊กอินนี้คือการตรวจสอบอัตโนมัติ ดังนั้นคุณจึงไม่ต้องจำเพื่อตรวจสอบไฟล์ – ปลั๊กอินจะทำงานโดยอัตโนมัติ
หา
ตอนนี้เรามาดูกันว่าเราสามารถค้นหาไฟล์สำรองโดยใช้คำสั่ง find ได้อย่างไร คำสั่งต่อไปนี้จะค้นหานามสกุลไฟล์ที่ใช้กันทั่วไปหลายนามสกุลซึ่งใช้ในการสร้างไฟล์สำรอง
ค้นหา /var/www -type f \( -name '*.bak' -o -name '*.backup' -o -name '*.bac' -o -name '*.zip' -o -name '* .tar' -o -name '*.jar' -o -name '*.log' -o -name '*.swp' -o -name '*~' -o -name '*.old' -o - ชื่อ '*.~bk' -o -name '*.orig' -o -name '*.tmp' -o -name '*.exe' -o -name '*.0' -o -name '*. 1' -o -name '*.2' -o -name '*.3' -o -name '*.gz' -o -name '*.bz2' -o -name '*.7z' -o - ชื่อ '*.s7z' -o -name '*.lz' -o -name '*.z' -o -name '*.lzma' -o -name '*.lzo' -o -name '*.apk ' -o -name '*.cab' -o -name '*.rar' -o -name '*.war' -o -name '*.ear' -o -name '*.tar.gz' -o -name '*.tgz' -o -name '*.tar.z' -o -name '*.tar.bz2' -o -name '*.tbz2' -o -name '*.tar.lzma' - o -name '*.tlz' -o -name '*.zipx' -o -name '*.iso' -o -name '*.src' -o -name '*.dev' -o -name '* .a' -o -name '*.ar' -o -name '*.cbz' -o -name '*.cpio' -o -name '*.shar' -o -name '*.lbr' -o -name '*.mar' -o -name '*.f' -o -name '*.rz' -o -name '*.sfark' -o -name '*.xz' -o -name '*. ace' -o -name '*.afa' -o -name '*.alz' -o -name '*.arc' -o -nam e '*.arj' -o -name '*.ba' -o -name '*.bh' -o -name '*.cfs' -o -name '*.cpt' -o -name '*.dar ' -o -name '*.dd' -o -name '*.dgc' -o -name '*.dmg' -o -name '*.gca' -o -name '*.ha' -o -name '*.hki' -o -name '*.ice' -o -name '*.inc' -o -name '*.j' -o -name '*.kgb' -o -name '*.lhz' -o -name '*.lha' -o -name '*.lzk' -o -name '*.pak' -o -name '*.partimg.' -o -name '*.paq6' -o -name '*.paq7' -o -name '*.paq8' -o -name '*.pea' -o -name '*.pim' -o -name '*.pit' -o -name '*.qda' -o -name '*.rk' -o -name '*.sda' -o -name '*.sea' -o -name '*.sen' -o -name '*.sfx' -o -name ' *.sit' -o -name '*.sitx' -o -name '*.sqx' -o -name '*s.xz' -o -name '*.tar.7z' -o -name '*. tar.xz' -o -name '*.uc' -o -name '*.uc0' -o -name '*.uc2' -o -name '*.ucn' -o -name '*.ur2' - o -name '*.ue2' -o -name '*.uca' -o -name '*.uha' -o -name '*.wim' -o -name '*.xar' -o -name '* .xp3' -o -name '*.yz1' -o -name '*.zoo' -o -name '*.zpaq' -o -name '*.zz' -o -name '*.include' -o -name '*_1' -o -name '*_2' -o -name '*_x' -o -name '*bak' -o -name '*_bak' -o -name '*old' -o -name '*_old' -o -name '*_a' -o -o -name '*_b' -o -name '*_c' -o -name '*_d' -o -name '*_e' -o -name '*_f' -o -name '*inc' -o -name '*_inc' -o -name '*_backup' -o -name '* - คัดลอก' -o -name '* - คัดลอก (2)' -o -name '* - คัดลอก (3)' -o -name '*backup' -o -name '*-backup' -o -name '*-bak' -o -name '*-old' -o -name '*-1' -o -name '*-2' -o -name '* – Copy – Copy' -o -name '*( สำเนา)' -o -ชื่อ '*(สำเนาอื่น)' -o -ชื่อ '*(สำเนาที่สอง)' -o -ชื่อ '*(สำเนาที่สาม)' -o -ชื่อ '*(สำเนาที่สี่)' -o - ชื่อ '*(สำเนาที่ 2)' -o -ชื่อ '*(สำเนาที่ 3)' -o -ชื่อ '*(สำเนาที่ 4)' -o -ชื่อ '* (สำเนา)' -o -ชื่อ '* (สำเนาอื่น) ' -o -name '* (สำเนาที่สอง)' -o -name '* (สำเนาที่สาม)' -o -name '* (สำเนาที่สี่)' -o -name '* (สำเนาที่ 2)' -o -name ' * (สำเนาที่ 3)' -o -name '* (สำเนาที่ 4)' -o -name 'สำเนาของ *' -o -name 'สำเนา (2) ของ *' -o -name 'สำเนา (3) ของ *' -o -name 'สำเนาสำเนาของ *' -o -name 'backup*' -o -name 'backup_*' -o -name 'backup-*' -o -name 'bak*' -o -name 'bak_ *' -o -ชื่อ 'bak-*' -o -name'old*' -o -name 'old_*' -o -name 'old-*' -o -name '1*' -o -name '1_*' -o -name '1-*' -o -name '2*' -o -ชื่อ '2_*' -o -ชื่อ '2-*' \)
ฟัซซิ่ง
วิธีการต่อไปนี้ใช้เครื่องมือที่ใช้บรรทัดคำสั่งที่เรียกว่า ffuf พร้อมรายการคำ (รายการชื่อไฟล์และเส้นทางของไฟล์ที่รวบรวมเป็นข้อความธรรมดา) ที่เน้นที่ไฟล์ WordPress ffuf สามารถกำหนดค่าให้ส่งคำขอโดยใช้รายการนามสกุลไฟล์สำรองทั่วไปที่คั่นด้วยเครื่องหมายจุลภาค (ตัวอย่างนี้ใช้เฉพาะรายการแบบย่อที่รวมเฉพาะ .bak และ .backup เท่านั้น แต่ในความเป็นจริง อาจนานกว่านั้นมาก)
ffuf -u http://example.com/FUZZ -w wordlist.txt -e '.bak,.backup'
ค้นหาเครื่องมือค้นหา
เสิร์ชเอ็นจิ้นนั้นดีมากในการค้นหาและจัดทำรายการข้อมูลบนเว็บเซิร์ฟเวอร์ บางคนสามารถทำได้โดยใช้ตัวดำเนินการขั้นสูง เช่น เจาะลึกแบบสอบถามเพื่อค้นหาประเภทไฟล์เฉพาะบนเซิร์ฟเวอร์ที่กำหนด
การค้นหาประเภทนี้เรียกอีกอย่างว่า Google Dorking และสามารถใช้ตัวกรองและการอนุมานขั้นสูงร่วมกันได้ การอนุมานเป็นวิธีที่คนที่ไม่มีความรู้เกี่ยวกับสิ่งที่อยู่บนเซิร์ฟเวอร์ใช้ข้อมูลทั่วไปเพื่ออนุมานว่าไฟล์และโครงสร้างประเภทใดที่อาจอยู่บนเซิร์ฟเวอร์ จากนั้นจึงค้นหาสิ่งที่เฉพาะเจาะจงเหล่านั้น
เครื่องสแกนความปลอดภัย
มีเครื่องสแกนหลายประเภทที่สามารถสแกนไดเร็กทอรีของเว็บไซต์ได้ สแกนเนอร์ประเภทแรกเรียกว่าโปรแกรมรวบรวมข้อมูลเว็บไซต์ ซึ่งเป็นเทคโนโลยีพื้นฐานเดียวกับที่เสิร์ชเอ็นจิ้นใช้ในการอ่านเว็บไซต์ อย่างไรก็ตาม เครื่องสแกนประเภทนี้ไม่ได้มีไว้สำหรับเครื่องมือค้นหาเท่านั้น และสามารถดาวน์โหลดได้ฟรี
การสแกนเว็บไซต์เป้าหมายในประเทศส่วนใหญ่ถือเป็นสิ่งผิดกฎหมาย แม้ว่าคุณจะมีเจตนาดีก็ตาม คุณสามารถและควรใช้เครื่องสแกนกับเว็บไซต์ที่คุณเป็นเจ้าของเท่านั้น หากคุณกำลังสแกนเว็บไซต์บุคคลที่สาม ตรวจสอบให้แน่ใจว่าคุณได้รับความยินยอม อย่างไรก็ตาม ผู้ที่มีเจตนาร้ายสามารถใช้เครื่องสแกนความปลอดภัยเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับเว็บไซต์ของคุณและทำความเข้าใจว่าไฟล์ประเภทใดอยู่ในนั้น
เครื่องสแกนอีกประเภทหนึ่งคือเครื่องสแกนทดสอบการเจาะระบบ ซึ่งสามารถสแกนเว็บไซต์เพื่อหาช่องโหว่ รวมถึงไฟล์ที่เหลือ
พบไฟล์สำรองหรือไม่อ้างอิง? นี่คือสิ่งที่ต้องทำ
การจัดเก็บไฟล์สำรองบนเว็บไซต์ไม่ใช่เรื่องดี ขออภัย เจ้าของและผู้ดูแลระบบเว็บไซต์ WordPress ไม่ใช่เรื่องแปลกที่จะกำหนดค่างาน cron (งานตามกำหนดเวลา) เพื่อสำรองข้อมูลฐานข้อมูล เพื่อจัดเก็บข้อมูลสำรองเหล่านี้บนเซิร์ฟเวอร์เดียวกันเท่านั้น แม้ว่าคุณ ควร สำรองข้อมูลเว็บไซต์ของคุณอย่างแน่นอน แต่คุณควรดูแลว่าไฟล์สำรองจะไม่ถูกจัดเก็บไว้ที่ใดในระบบที่คุณสำรองข้อมูลไว้
การมีกลยุทธ์การสำรองข้อมูล WordPress ที่รอบคอบและปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเป็นสิ่งสำคัญ ไม่เพียงแต่จากมุมมองด้านความปลอดภัยเท่านั้น แต่ยังรวมถึงจุดยืนของความต่อเนื่องทางธุรกิจอีกด้วย ท้ายที่สุดแล้ว การสำรองข้อมูลจะไม่คุ้มค่ามากนักหากคุณไม่สามารถใช้ข้อมูลสำรองเพื่อกู้คืนข้อมูลได้
วิธีป้องกันการแจงนับไฟล์สำรอง
ดังที่เราได้เห็นในบทความนี้แล้ว การเก็บไฟล์สำรองไว้บนเว็บไซต์ WordPress ของคุณนั้นค่อนข้างเสี่ยง ดังนั้น คุณจึงควรใช้สภาพแวดล้อมการทดสอบหรือการทดสอบเสมอเพื่อดำเนินการเปลี่ยนแปลงก่อนที่จะส่งไปยังเซิร์ฟเวอร์ที่ใช้งานจริง/การใช้งานจริง บัญชีโฮสติ้ง WordPress ที่มีการจัดการส่วนใหญ่มาพร้อมกับสภาพแวดล้อมการจัดเตรียมทันที คุณยังสามารถใช้ซอฟต์แวร์เช่น Local ซึ่งช่วยให้คุณสร้างอินสแตนซ์ WordPress บนพีซีของคุณได้
อย่างไรก็ตาม หากคุณเลือกที่จะเก็บไฟล์สำรองไว้บนเว็บเซิร์ฟเวอร์ของคุณ ทางที่ดี ให้เก็บไฟล์เหล่านั้นออกจากไดเร็กทอรีที่คุณได้กำหนดค่าเว็บเซิร์ฟเวอร์ของคุณเพื่อให้บริการ
นอกจากนี้ กำหนดค่าการอนุญาตไฟล์ WordPress ของคุณเพื่อห้ามการเข้าถึงผู้ใช้ของเว็บเซิร์ฟเวอร์ - เพื่อให้แน่ใจว่าแม้ในกรณีที่กำหนดค่าผิดพลาด เว็บเซิร์ฟเวอร์จะไม่ได้รับอนุญาตให้ให้บริการไฟล์ไปยังไคลเอนต์ที่ร้องขอ มาตรการเพิ่มเติมเป็นความคิดที่ดีที่จะเข้ารหัสการสำรองฐานข้อมูล และตรวจสอบให้แน่ใจว่าผู้ใช้เว็บเซิร์ฟเวอร์ไม่สามารถเข้าถึงคีย์การเข้ารหัสได้