Directory Traversal คืออะไร?

เผยแพร่แล้ว: 2023-05-09

โดยการหลอกลวงเว็บเซิร์ฟเวอร์ให้เปิดเผยข้อมูลที่ถูกจำกัด ผู้โจมตีจะได้รับเครื่องมือที่ทรงพลังเพื่อบุกรุกระบบและสร้างความเสียหายอย่างมาก การข้ามผ่านไดเร็กทอรีเป็นวิธีการทั่วไปที่ใช้ในการบรรลุสิ่งนี้ ความพยายามที่จะนำทางออกนอกพื้นที่ของระบบไฟล์ที่สงวนไว้สำหรับเว็บไซต์ใดเว็บไซต์หนึ่งอาจนำไปสู่การขโมยข้อมูลและการใช้รหัสโดยอำเภอใจ

โดยทั่วไปแล้ว เว็บเซิร์ฟเวอร์จะจำกัดการเข้าถึงระบบไฟล์โดยจำกัดไฟล์ของเว็บไซต์ไว้ในไดเร็กทอรีราก หรือที่เรียกว่าโฟลเดอร์รูทของเอกสาร อย่างไรก็ตาม อาชญากรไซเบอร์สามารถหลีกเลี่ยงการควบคุมความปลอดภัยเหล่านี้และใช้ประโยชน์จากการอนุญาตไฟล์ที่ไม่ปลอดภัย ด้วยวิธีนี้ พวกเขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บไว้ที่อื่นบนเซิร์ฟเวอร์ของเหยื่อโดยไม่ได้รับอนุญาต

ช่องโหว่ในการรวมไฟล์ซึ่งพบเป็นประจำในปลั๊กอินและธีม ทำให้เว็บไซต์ WordPress เป็นเป้าหมายลำดับความสำคัญสูงสำหรับการโจมตีที่เกี่ยวข้องกับการข้ามผ่านไดเรกทอรี และแม้ว่าการใช้แนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัยจะเป็นงานสำหรับนักพัฒนาปลั๊กอินและธีม แต่การใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีถือเป็นความรับผิดชอบของเจ้าของเว็บไซต์

ในคำแนะนำเกี่ยวกับการสำรวจไดเรกทอรีนี้ เราจะสำรวจวิธีการทั่วไปที่แฮ็กเกอร์ใช้เพื่อแยกออกจากไดเรกทอรีรากของเว็บไซต์เพื่อเข้าถึงข้อมูลที่ถูกจำกัด คุณจะได้เรียนรู้ว่า Path Traversal ช่วยให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ Local File Inclusion (LFI) เพื่อสร้างความเสียหายได้อย่างไร และวิธีปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตีประเภทเหล่านี้โดยใช้แนวปฏิบัติด้านความปลอดภัยที่แข็งแกร่ง

อันดับแรก มาดูแนวคิดของการทำงานของเซิร์ฟเวอร์ที่ปลอดภัยให้ละเอียดยิ่งขึ้น โดยเฉพาะอย่างยิ่ง ข้อมูลประเภทต่างๆ ถูกแยกออกจากกันอย่างไรในสภาพแวดล้อมของเซิร์ฟเวอร์ และตำแหน่งข้อมูลเว็บไซต์ที่มีอยู่ในระบบนิเวศนี้

การข้ามผ่านไดเร็กทอรี

การแบ่งพาร์ติชันข้อมูลช่วยให้การทำงานของเซิร์ฟเวอร์ปลอดภัยได้อย่างไร

เว็บไซต์และเว็บแอปพลิเคชันอาศัยเซิร์ฟเวอร์ในการจัดเก็บข้อมูล ข้อมูลนี้จะถูกประมวลผลโดยเซิร์ฟเวอร์เว็บและฐานข้อมูลและแอปพลิเคชันเฉพาะอื่น ๆ ก่อนที่จะส่งไปยังเบราว์เซอร์ของผู้เยี่ยมชมทางอินเทอร์เน็ตตามหน้าเว็บที่ร้องขอ ส่วนประกอบฮาร์ดแวร์และซอฟต์แวร์พื้นฐานทำงานร่วมกันเพื่อสร้างโครงสร้างพื้นฐานที่แข็งแกร่งซึ่งขับเคลื่อนการทำงานนี้

อย่างไรก็ตาม สถาปัตยกรรมแบบไคลเอนต์-เซิร์ฟเวอร์นี้ยังต้องการแนวทางที่คำนึงถึงความปลอดภัยของเซิร์ฟเวอร์ด้วย บริการที่สำคัญและส่วนประกอบอื่น ๆ ของระบบปฏิบัติการของเซิร์ฟเวอร์จะต้องแยกออกจากไฟล์ผู้ใช้และข้อมูลเว็บไซต์อย่างสมบูรณ์ การแยกข้อมูลในระบบไฟล์นี้เรียกว่าการแบ่งพาร์ติชันข้อมูล

การแบ่งพาร์ติชันข้อมูลช่วยรักษาความปลอดภัยในแง่มุมที่เปราะบางที่สุดของการทำงานของเซิร์ฟเวอร์โดยแยกข้อมูลประเภทต่างๆ ออกเป็นพาร์ติชันที่แยกจากกัน การใช้การแบ่งพาร์ติชันระบบไฟล์และกลไกความปลอดภัยอื่นๆ ช่วยปกป้องเซิร์ฟเวอร์จากการเข้าถึงข้อมูลที่ละเอียดอ่อนและการบุกรุกระดับระบบโดยไม่ได้รับอนุญาต นอกจากนี้ การแบ่งพาร์ติชันข้อมูลยังช่วยให้สามารถจัดการทรัพยากรได้อย่างมีประสิทธิภาพและเพิ่มประสิทธิภาพของเซิร์ฟเวอร์โดยแยกข้อมูลที่แก้ไขบ่อยออกจากไฟล์ส่วนใหญ่แบบอ่านอย่างเดียว และแยกข้อมูลระบบและข้อมูลผู้ใช้

การควบคุมการเข้าถึงเว็บเซิร์ฟเวอร์: การจำกัดข้อมูลเว็บไซต์ด้วยรูทเอกสาร

ในการแยกข้อมูลเว็บไซต์ออกจากข้อมูลระบบ เว็บเซิร์ฟเวอร์ใช้แนวคิดของรากเอกสาร สิ่งนี้เกี่ยวข้องกับการจำกัดไฟล์เว็บไซต์ไปยังไดเร็กทอรีที่กำหนดบนระบบไฟล์ ซึ่งเรียกว่าไดเร็กทอรีรากของเว็บไซต์ ด้วยการกำหนดรูทเอกสาร เว็บเซิร์ฟเวอร์สามารถสั่งการและตอบสนองต่อคำขอที่เข้ามาสำหรับเนื้อหาของเว็บไซต์นั้นได้อย่างถูกต้อง ไดเร็กทอรีรากนี้เป็นจุดเริ่มต้นสำหรับจัดการคำขอเว็บสำหรับเว็บไซต์นั้น

การจำกัดนี้ช่วยป้องกันการเข้าถึงข้อมูลเซิร์ฟเวอร์ที่สำคัญโดยไม่ได้รับอนุญาต เช่น ข้อมูลระบบปฏิบัติการและไฟล์การกำหนดค่าคีย์ ซึ่งจัดเก็บไว้นอกไดเร็กทอรีหลักที่กำหนด ซึ่งหมายความว่าสคริปต์หรือเนื้อหาและฟังก์ชันอื่นๆ ที่เกี่ยวข้องกับเว็บไซต์ใดเว็บไซต์หนึ่งจะสามารถเข้าถึงและแก้ไขข้อมูลภายในไดเร็กทอรีหลักและไดเร็กทอรีย่อยเท่านั้น ซึ่งจะปกป้องส่วนที่เหลือของเซิร์ฟเวอร์ในกรณีที่เกิดการละเมิดความปลอดภัย

นอกจากรากของเอกสารแล้ว เว็บเซิร์ฟเวอร์ยังใช้กลไกควบคุมการเข้าถึงอื่นๆ เพื่อจำกัดการเข้าถึงข้อมูลเว็บไซต์เพิ่มเติม หนึ่งในกลไกที่โดดเด่นที่สุดคือการอนุญาตไฟล์ สิทธิ์ในไฟล์ช่วยบังคับใช้หลักการสิทธิ์ขั้นต่ำ ซึ่งหมายความว่าผู้ใช้ระบบหรือกระบวนการจะได้รับสิทธิ์การเข้าถึงขั้นต่ำที่จำเป็นเท่านั้นเพื่อดำเนินการตามหน้าที่ที่ตั้งใจไว้

แม้จะมีการรักษาความปลอดภัยที่แข็งแกร่งของวิธีการนี้ แต่แฮ็กเกอร์ก็สามารถใช้เทคนิคที่เป็นอันตรายจำนวนมากเพื่อเลี่ยงผ่านได้ วิธีหนึ่งคือการข้ามผ่านไดเร็กทอรี การโจมตีผ่านไดเรกทอรีใช้ประโยชน์จากจุดอ่อนในโค้ดของเว็บไซต์และการใช้สิทธิ์ที่ปลอดภัยเพื่อหลอกลวงเว็บเซิร์ฟเวอร์ให้เปิดเผยข้อมูลที่ถูกจำกัด ซึ่งมิฉะนั้นจะไม่สามารถเข้าถึงได้จากเบราว์เซอร์

Directory Traversal คืออะไร?

Directory Traversal หรือที่เรียกว่า Path Traversal เป็นเทคนิคอันตรายที่มุ่งให้สิทธิ์เข้าถึงไฟล์และไดเร็กทอรีที่ถูกจำกัดภายนอกรูทเอกสารของเว็บไซต์เป้าหมายหรือเว็บแอปพลิเคชัน การข้ามเส้นทางช่วยให้ผู้โจมตีสามารถนำทางผ่านระบบไฟล์ของเซิร์ฟเวอร์ไปจนถึงไดเร็กทอรีรากและโฟลเดอร์ที่ถูกจำกัดอื่นๆ ผ่านเบราว์เซอร์ ซึ่งเป็นลักษณะการทำงานที่ไม่ควรทำในสถานการณ์ปกติ

การดำเนินการผ่านไดเรกทอรีดำเนินการโดยการจัดการตัวแปรที่อ้างอิงไฟล์โดยใช้อักขระพิเศษ ที่เรียกว่าลำดับการผ่านเส้นทาง ลำดับเช่น dot-dot-slash '../' ถูกตีความโดยเว็บเซิร์ฟเวอร์ บังคับให้ย้ายไดเร็กทอรีขึ้นหนึ่งไดเร็กทอรีในลำดับชั้นของระบบไฟล์ โดยย้ายออกจากรูทเอกสารของเว็บไซต์

หากเว็บไซต์ถูกจัดเก็บไว้ใน /home/user/public_html การให้ลำดับการข้ามผ่านไดเร็กทอรีเป็น '../../../etc' จะทำให้ผู้โจมตีสามารถนำทางไปยังไดเร็กทอรี /etc ซึ่งจัดเก็บการกำหนดค่าระบบที่สำคัญบน Linux เซิร์ฟเวอร์

หากรายชื่อไดเร็กทอรีถูกปิดใช้งานในการกำหนดค่าเว็บเซิร์ฟเวอร์ อาชญากรไซเบอร์จะไม่สามารถดูเนื้อหาของไดเร็กทอรีที่ร้องขอได้ สิ่งนี้สามารถเพิ่มความปลอดภัยให้กับระบบได้บางส่วนและจำกัดความเสียหายที่อาจเกิดขึ้นจากการโจมตีผ่านไดเร็กทอรี เนื่องจากผู้โจมตีจะต้องระบุไฟล์ที่ต้องการแสดงในเบราว์เซอร์ แต่โดยส่วนใหญ่แล้ว แฮ็กเกอร์ทราบแน่ชัดว่าข้อมูลใดที่พวกเขากำลังมองหา การปิดใช้งานรายชื่อไดเร็กทอรีไม่ได้ป้องกันพวกเขาจากการเข้าถึง

ไฟล์ /etc/passwd เป็นหนึ่งในเป้าหมายทั่วไปของการโจมตีผ่านไดเร็กทอรี บนเซิร์ฟเวอร์ Linux ไฟล์ /etc/passwd มีรายชื่อผู้ใช้ที่สร้างบนเซิร์ฟเวอร์ สิ่งนี้สามารถให้แฮ็กเกอร์เป็นจุดเริ่มต้นที่ดีสำหรับการโจมตีข้อมูลประจำตัวของผู้ใช้อย่างดุร้าย เนื่องจาก /etc/passwd มีสิทธิ์ของไฟล์เป็น 644 ซึ่งหมายความว่าผู้ใช้ทั้งหมดในระบบสามารถอ่านได้ รวมถึงผู้ใช้ที่เว็บเซิร์ฟเวอร์เรียกใช้ด้วย ด้วยวิธีนี้ เว็บเซิร์ฟเวอร์สามารถแสดงเนื้อหาของไฟล์ผ่านเบราว์เซอร์

Directory Traversal ทำงานอย่างไร

ในฐานะที่เป็นเทคนิคที่เป็นอันตราย การแวะผ่านไดเร็กทอรีมักไม่ค่อยถูกใช้เป็นวิธีเดียวในการเข้าถึงข้อมูลที่ละเอียดอ่อนบนเซิร์ฟเวอร์ของเหยื่อ ขั้นแรก ผู้โจมตีต้องหาวิธีใช้ประโยชน์จากช่องโหว่ในเว็บไซต์เป้าหมายเพื่อหาวิธีแสดงข้อมูลที่ร้องขอในเบราว์เซอร์ จากนั้นจะใช้การแวะผ่านไดเร็กทอรีเพื่อนำทางผ่านระบบไฟล์ของเซิร์ฟเวอร์ของเหยื่อเพื่อไปยังไดเร็กทอรีที่ถูกจำกัด

ช่องโหว่ในการรวมไฟล์คือสิ่งที่ทำให้สามารถใช้การข้ามผ่านไดเร็กทอรีได้ ช่องโหว่การข้ามผ่านไดเรกทอรีเกิดขึ้นเมื่อเว็บไซต์ไม่ได้ล้างข้อมูลอินพุตของผู้ใช้อย่างเหมาะสม เช่น เส้นทางไฟล์ที่ให้มาโดยใช้การรวมไฟล์แบบไดนามิก การรวมกันของการรวมไฟล์ในเครื่อง (LFI) และช่องโหว่การข้ามผ่านไดเรกทอรีที่มีอยู่ทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลภายนอกรูทเอกสารของเว็บไซต์เป้าหมาย ซึ่งเปิดเผยข้อมูลเซิร์ฟเวอร์ที่ละเอียดอ่อน

ตัวอย่างของ Directory Traversal

เพื่อความเข้าใจที่ดีขึ้นเกี่ยวกับวิธีการใช้ประโยชน์จากช่องโหว่การรวมไฟล์ในเครื่องและไดเรกทอรีผ่านช่องโหว่ ลองมาดูตัวอย่างต่อไปนี้ ตัวอย่างนี้เป็นการนำเสนออย่างง่ายของวิธีการใช้การข้ามผ่านไดเรกทอรีผ่านข้อบกพร่องในการรวมไฟล์

นักพัฒนาเว็บเพิ่มหน้า content.php ที่จะใช้เพื่อให้เว็บไซต์โหลดหน้าหรือคอมโพเนนต์ต่างๆ แบบไดนามิกตามคำขอของผู้ใช้ ตัวอย่างเช่น หากผู้เยี่ยมชมเว็บไซต์ต้องการดูหน้า “ติดต่อเรา” คำขอของพวกเขาอาจแสดงอยู่ในแถบที่อยู่ของเบราว์เซอร์เป็น “https://website.com/content.php?page=contact_us“

หน้า content.php จะใช้เทคนิคการรวมไฟล์ในเครื่องเพื่ออ้างอิงไฟล์ที่สอดคล้องกับพารามิเตอร์ “contact_us” ซึ่งอาจมีโค้ด PHP และ HTML สำหรับหน้า “ติดต่อเรา” ที่ร้องขอ ในตัวอย่างนี้ หน้าเว็บ content.php ทำหน้าที่เป็นตัวควบคุม ซึ่งจะโหลดไฟล์ที่เหมาะสมซึ่งสร้างเนื้อหาแบบไดนามิกตามอินพุตของผู้ใช้

อย่างไรก็ตาม หากอินพุตของผู้ใช้ไม่ได้รับการตรวจสอบความถูกต้องหรือฆ่าเชื้ออย่างเหมาะสม ผู้โจมตีอาจใช้ช่องโหว่ในการรวมไฟล์และการเข้าถึงไดเร็กทอรีเพื่อรวมไฟล์โดยอำเภอใจ ซึ่งจะแสดงในเบราว์เซอร์

ตัวอย่างเช่น แฮ็กเกอร์สามารถส่ง “../../../../../var/log/apache2/access.log” เป็นค่าของพารามิเตอร์การสืบค้นเพจ – ชุดของลำดับการผ่านไดเรกทอรีตามด้วย ที่อยู่ของบันทึกการเข้าถึงหลักของเว็บเซิร์ฟเวอร์ Apache ในระบบไฟล์ ด้วยวิธีนี้ ผู้โจมตีสามารถดูเนื้อหาของไฟล์บันทึก ซึ่งมีข้อมูลที่ละเอียดอ่อน เช่น ที่อยู่ IP สตริงตัวแทนผู้ใช้ และ URL ที่ผู้เข้าชมเว็บไซต์ร้องขอ

สิทธิ์ของไฟล์สามารถอำนวยความสะดวกหรือลดการเข้าถึงไดเรกทอรีได้อย่างไร

การอนุญาตไฟล์มีบทบาทอย่างมากในการรับรองความปลอดภัยของเซิร์ฟเวอร์และเว็บไซต์ โดยการจำกัดการเข้าถึงไฟล์เฉพาะผู้ใช้และกลุ่มระบบเฉพาะ การอนุญาตสามารถช่วยอำนวยความสะดวกหรือลดการข้ามผ่านไดเร็กทอรี

ในการโจมตีแบบรวมไฟล์โดยใช้การข้ามผ่านไดเร็กทอรี เนื้อหาของไฟล์ที่ผู้โจมตีร้องขอจะแสดงในเบราว์เซอร์ก็ต่อเมื่อการอนุญาตไฟล์อนุญาตให้ระบบที่ใช้เว็บเซิร์ฟเวอร์เรียกใช้เมื่ออ่านได้ ในขณะที่ไฟล์จำกัดบางไฟล์ เช่น /etc/password มีสิทธิ์ 644 ซึ่งทำให้ผู้ใช้ระบบทุกคนสามารถอ่านไฟล์เหล่านี้ได้ แต่ไฟล์อื่นๆ จะยังคงเข้าถึงได้เฉพาะผู้ใช้รูทเท่านั้น

ไฟล์ /etc/shadow ซึ่งมีรหัสผ่านที่เข้ารหัสสำหรับผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ Linux มีสิทธิ์อนุญาตไฟล์ที่ 640 ซึ่งทำให้ผู้ใช้อื่นที่ไม่ใช่รูทไม่สามารถเข้าถึงได้ ทำให้แฮ็กเกอร์ไม่สามารถเข้าถึงไฟล์ผ่านเบราว์เซอร์ผ่านการท่องผ่านไดเร็กทอรี

วิธีตรวจหาช่องโหว่ของ Directory Traversal บนเว็บไซต์ WordPress ของคุณ

คอร์ WordPress รักษาความปลอดภัยระดับสูงและได้รับการปกป้องอย่างเต็มที่จากช่องโหว่การรวมไฟล์และการข้ามไดเรกทอรี อย่างไรก็ตาม ตัวเลือกการปรับแต่งสูงที่แพลตฟอร์มเสนอนั้นเพิ่มความเป็นไปได้ที่ช่องโหว่เหล่านั้นจะปรากฏบนไซต์ WordPress แม้แต่ปลั๊กอินและธีม WordPress ที่มีชื่อเสียงที่สุดก็สามารถมีข้อบกพร่องด้านความปลอดภัยที่ค้นพบเป็นประจำ

รายงานช่องโหว่ WordPress รายสัปดาห์ของ iThemes ช่วยให้คุณระบุและแก้ไขช่องโหว่ที่เพิ่งเปิดเผยในปลั๊กอินและธีมของ WordPress ได้อย่างรวดเร็ว รวมถึงการข้ามผ่านไดเรกทอรี เพียงตรวจสอบรายงานช่องโหว่เพื่อดูว่าเมื่อเร็วๆ นี้พบจุดอ่อนด้านความปลอดภัยในปลั๊กอินที่คุณใช้บนไซต์ WordPress ของคุณหรือไม่ รวมถึงธีมที่ใช้งานอยู่ และดูว่ามีการปล่อยแพตช์หรือไม่

iThemes Security Pro สามารถทำให้กระบวนการสแกนเว็บไซต์ WordPress ของคุณเป็นไปโดยอัตโนมัติเพื่อหาช่องโหว่และแก้ไขข้อบกพร่องที่ระบุในนามของคุณได้อย่างรวดเร็ว iThemes Security Pro จะทำการสแกนช่องโหว่ขั้นสูงวันละสองครั้ง ส่งอีเมลถึงคุณหากตรวจพบช่องโหว่ และติดตั้งการอัปเดตโดยอัตโนมัติหากมีการแก้ไขด้านความปลอดภัย

จะป้องกันการข้ามผ่านไดเรกทอรีได้อย่างไร

การใช้ประโยชน์จากช่องโหว่ที่พบในปลั๊กอินและธีมเป็นหนึ่งในเวกเตอร์การโจมตีที่ใหญ่ที่สุดที่แฮ็กเกอร์ใช้เพื่อเข้าถึงโดยไม่ได้รับอนุญาต ขโมยข้อมูลที่ละเอียดอ่อน และอัปโหลดมัลแวร์ รวมถึงแบ็คดอร์เชลล์ไปยังเว็บไซต์ WordPress และในขณะที่ปฏิบัติตามแนวทางการเขียนโค้ดที่ปลอดภัยนั้นอยู่ในขอบเขตความรับผิดชอบของนักพัฒนาปลั๊กอินและธีม เจ้าของเว็บไซต์ WordPress มีหน้าที่รับผิดชอบในการใช้มาตรการป้องกันในพื้นที่ วิธีการรักษาความปลอดภัย WordPress แบบหลายแง่มุมเท่านั้นที่สามารถช่วยลดความเสี่ยงของการตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่ทันสมัย

อัปเดตซอฟต์แวร์ทั้งหมดอยู่เสมอ

การรักษาคอร์ WordPress, ปลั๊กอินที่ใช้งานอยู่ และธีมที่เลือกให้อัปเดตเป็นเวอร์ชันล่าสุดที่มีอยู่เป็นขั้นตอนแรกในการกำจัดการข้ามผ่านไดเรกทอรีและช่องโหว่ระดับแอปพลิเคชันที่รุนแรงอื่นๆ เมื่อมีการระบุข้อบกพร่องด้านความปลอดภัยใหม่ในซอฟต์แวร์ที่ขับเคลื่อนเว็บไซต์ WordPress ของคุณ การติดตั้งแพตช์ความปลอดภัยทันทีที่พร้อมใช้งานจึงมีความสำคัญสูงสุด ก่อนที่ช่องโหว่ที่ค้นพบจะถูกแก้ไขโดยผู้พัฒนาปลั๊กอินหรือธีม ซอฟต์แวร์ที่ได้รับผลกระทบสามารถปิดใช้งานได้เพื่อลดพื้นที่การโจมตี

การติดตามการอัปเดตปลั๊กอินและธีมอาจเป็นงานที่ท้าทาย แต่ด้วย iThemes Security Pro เจ้าของเว็บไซต์สามารถเข้าถึงโซลูชันที่ครอบคลุมซึ่งช่วยลดความซับซ้อนของกระบวนการและช่วยให้แน่ใจว่าเว็บไซต์ยังคงทันสมัยอยู่เสมอและได้รับการป้องกันจากช่องโหว่ด้านความปลอดภัย คุณลักษณะการจัดการเวอร์ชันนำเสนอการอัปเดตซอฟต์แวร์อัตโนมัติเพื่อปกป้องไซต์ WordPress ของคุณ

กำหนดค่าการอนุญาตไฟล์ที่ปลอดภัย

การอนุญาตไฟล์ WordPress ที่ปลอดภัยช่วยเพิ่มชั้นการป้องกันการโจมตีที่มีเป้าหมายเพื่อเข้าถึงข้อมูลเว็บไซต์และเซิร์ฟเวอร์ที่ละเอียดอ่อน และแม้ว่าคุณจะแทบไม่ต้องเปลี่ยนการอนุญาตไฟล์ของไฟล์การกำหนดค่าระบบที่สำคัญและข้อมูลเซิร์ฟเวอร์ที่ถูกจำกัดอื่นๆ แต่ความรับผิดชอบในการตั้งค่าการอนุญาตที่ปลอดภัยสำหรับไฟล์เว็บไซต์มักจะตกอยู่กับเจ้าของเว็บไซต์

การเก็บข้อมูล WordPress ที่สำคัญ เช่น ไฟล์ wp-config.php สามารถช่วยป้องกันการบุกรุกข้ามบัญชีได้อย่างมีประสิทธิภาพผ่านลิงก์สัญลักษณ์ของการโจมตีการรวมไฟล์โดยใช้ประโยชน์จากช่องโหว่การข้ามผ่านไดเรกทอรี การตรวจสอบสิทธิ์ของไฟล์ใน iThemes Security Pro ช่วยให้เจ้าของเว็บไซต์มั่นใจได้ว่ากลไกการรักษาความปลอดภัยที่สำคัญนี้ได้รับการปรับใช้อย่างถูกต้องบนไซต์ WordPress ของตน

ติดตั้ง Web Application Firewall

ไฟร์วอลล์ทำงานโดยการกรองคำขอเว็บที่เป็นอันตรายซึ่งตรงกับรูปแบบที่รู้จักหรือแสดงรูปแบบที่ผิดปกติก่อนที่จะส่งไปยังเว็บเซิร์ฟเวอร์ เป็นแนวป้องกันแรกที่แข็งแกร่งต่อการโจมตีทางไซเบอร์ที่ขับเคลื่อนโดยบ็อต เช่น การปฏิเสธบริการ (Dos) และการปฏิเสธการให้บริการแบบกระจาย (DDoS) และการโจมตีแบบฉีดข้อมูล เช่น การเขียนสคริปต์ข้ามไซต์ (XSS) และ SQL การฉีด (SQLi)

การใช้ไฟร์วอลล์เว็บแอปพลิเคชัน (WAF) หรือการผสมผสานระหว่างโซลูชันการป้องกันการบุกรุกบนโฮสต์และบนคลาวด์ สามารถลดความเป็นไปได้อย่างมากในการพยายามเจาะระบบให้สำเร็จ ไฟร์วอลล์เว็บแอปพลิเคชันทำหน้าที่เป็นชั้นที่สองของการป้องกันจากการรวมไฟล์และช่องโหว่ในไดเรกทอรี ทำให้มั่นใจได้ว่าแฮ็กเกอร์สามารถใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยที่พบในปลั๊กอินและธีมเวอร์ชันที่ไม่ได้แพตช์

ด้วย IThemes Security Pro การป้องกันเดรัจฉานและโซลูชันการจัดการบอทในตัวจะช่วยหยุดบอทที่ไม่ดีและกรองคำขอเว็บที่เป็นอันตรายไม่ให้เข้าถึงเว็บไซต์ของคุณ ด้วยการเพิ่มการยืนยันตัวตนแบบหลายปัจจัยที่ขับเคลื่อนโดยรหัสผ่านที่มีการเข้าสู่ระบบด้วยไบโอเมตริกซ์ ชุดความปลอดภัยที่ครอบคลุมนี้นำเสนอวิธีการหลายแง่มุมในการปกป้องเว็บไซต์ของคุณจากภัยคุกคามความปลอดภัยประเภทต่างๆ

รักษาความปลอดภัยเว็บไซต์ WordPress ของคุณด้วย iThemes Security Pro

ช่องโหว่การรวมไฟล์และการข้ามผ่านไดเร็กทอรีเป็นภัยคุกคามที่สำคัญต่อความปลอดภัยของเว็บไซต์ เนื่องจากมักถูกโจมตีโดยแฮ็กเกอร์ที่ต้องการเข้าถึงข้อมูลที่ละเอียดอ่อนหรือเรียกใช้รหัสที่เป็นอันตรายบนเซิร์ฟเวอร์ของเหยื่อโดยไม่ได้รับอนุญาต การใช้ลำดับการข้ามผ่านไดเรกทอรีและการจัดหาเส้นทางไปยังเว็บไซต์ที่มีช่องโหว่ไปยังข้อมูลบางอย่าง ผู้โจมตีสามารถหลอกล่อให้เว็บเซิร์ฟเวอร์เปิดเผยข้อมูลเซิร์ฟเวอร์และเว็บไซต์ที่ถูกจำกัด

แม้ว่าจะมีการศึกษาและยอมรับกันอย่างกว้างขวาง แต่การแวะผ่านไดเร็กทอรียังคงเป็นข้อกังวลหลักสำหรับเว็บไซต์ WordPress ที่ใช้ซอฟต์แวร์ที่ล้าสมัยและขาดมาตรการรักษาความปลอดภัยที่เหมาะสม ดำเนินการอัปเดตคอร์ ธีม และปลั๊กอินของ WordPress ให้ทันเวลา กำหนดค่าการอนุญาตไฟล์ที่ปลอดภัย และการใช้ไฟร์วอลล์ของเว็บแอปพลิเคชันสามารถลดความเสี่ยงที่เว็บไซต์ของคุณจะถูกโจมตีด้วยการรวมไฟล์โดยใช้ประโยชน์จากการข้ามผ่านไดเร็กทอรีได้อย่างมาก

iThemes Security Pro สามารถช่วยคุณปกป้องเว็บไซต์ WordPress ของคุณจากภัยคุกคามทางไซเบอร์มากมายโดยนำเสนอวิธีการที่ครอบคลุมและหลากหลายแง่มุมในการรักษาความปลอดภัยเว็บไซต์ ด้วยการสแกนช่องโหว่ขั้นสูง การอัปเดตซอฟต์แวร์อัตโนมัติ และโซลูชันการจัดการบอทที่ทรงพลังในตัว iThemes Security Pro ทำหน้าที่เป็นที่ปรึกษาด้านความปลอดภัยส่วนบุคคลของคุณ ทำให้เว็บไซต์ WordPress ของคุณปลอดภัยตลอดเวลา