กระบวนการรักษาความปลอดภัย WordPress; ทดสอบ แข็งตัว ตรวจสอบ ปรับปรุง

เผยแพร่แล้ว: 2020-06-11

ความปลอดภัยของ WordPress นั้นไม่เหมือนกับส่วนอื่นๆ ของการรักษาความปลอดภัยด้านไอที ไม่ใช่การแก้ไขเพียงครั้งเดียว เป็นสิ่งที่ไม่เคยสิ้นสุดจริงๆ แม้ว่าจะมีหลายขั้นตอนที่คุณสามารถทำได้เพื่อปรับปรุงความปลอดภัยของ WordPress แต่ข้อกำหนดของเว็บไซต์และธุรกิจของคุณจะเปลี่ยนไป ดังนั้นการนำการประเมินความปลอดภัยแบบ point-in-time มาใช้จะทำให้คุณเข้าใจผิดด้านความปลอดภัยเท่านั้น กลยุทธ์ที่ชนะคือการปฏิบัติตามกระบวนการ ต่อเนื่อง กระบวนการของการทดสอบการป้องกันของคุณอย่างต่อเนื่องและทำซ้ำเพื่อปรับปรุงท่าทางความปลอดภัยของเว็บไซต์ของคุณ

บทความนี้มีจุดมุ่งหมายเพื่อให้ง่ายต่อการปฏิบัติตามกระบวนการ ทำซ้ำ ในระยะยาว ซึ่งคุณสามารถนำไปใช้เพื่อให้แน่ใจว่าความพยายามในการรักษาความปลอดภัย WordPress ของคุณเป็นไปอย่างต่อเนื่องและยังคงเกี่ยวข้องกับแนวภัยคุกคามที่คุณและธุรกิจของคุณดำเนินการอยู่

1. ทดสอบความปลอดภัยของ WordPress

เส้นทางการรักษาความปลอดภัยของ WordPress ส่วนใหญ่เริ่มต้นที่นี่ คุณสังเกตเห็นบางสิ่งที่กำหนดค่าผิดพลาดเกี่ยวกับการติดตั้ง WordPress ของคุณ หรือคุณอ่านเกี่ยวกับการใช้เครื่องมือเช่น WPScan หรือ nmap เพื่อประเมินความปลอดภัยของเว็บไซต์ WordPress ของคุณ บางทีคุณอาจตกเป็นเหยื่อของเหตุการณ์ด้านความปลอดภัยและต้องการอ่านวิธีทดสอบความปลอดภัย WordPress ของคุณ

การทดสอบความปลอดภัยเป็นขั้นตอนที่สำคัญในกลยุทธ์การรักษาความปลอดภัยของ WordPress อย่างต่อเนื่อง การดูเว็บไซต์ของคุณผ่านเลนส์เดียวกับผู้โจมตี คุณจะเข้าใจท่าทีรักษาความปลอดภัยของเว็บไซต์ได้ดียิ่งขึ้น ซึ่งหมายความว่าคุณจะได้รู้ว่าสามารถทำอะไรได้บ้างเพื่อเสริมความ แข็งแกร่งให้ กับการป้องกันของคุณจากจุดอ่อนที่คุณระบุ ดูขั้นตอนที่ #2 สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้

หากคุณไม่แน่ใจว่าจะเริ่มต้นด้วยการทดสอบความปลอดภัย WordPress ของคุณที่ใด ให้จ้างผู้เชี่ยวชาญจากภายนอก แน่นอน ไม่มีอะไรหยุดคุณไม่ให้ค่อยๆ สร้างความรู้เพื่อทดสอบเว็บไซต์ WordPress ของคุณเอง

2. การชุบแข็ง WordPress

เมื่อคุณมีความเข้าใจในสิ่งที่การทดสอบความปลอดภัยของคุณค้นพบ ก็ถึงเวลาที่จะต้อง ทำให้ การติดตั้ง WordPress ของคุณแข็งแกร่งขึ้น ตามค่าเริ่มต้น WordPress มีความปลอดภัยพอสมควร อย่างไรก็ตาม มีตัวเลือกมากมาย การเพิ่มประสิทธิภาพ และการเปลี่ยนแปลงที่คุณสามารถทำได้ในการตั้งค่า WordPress และโครงสร้างพื้นฐานของเซิร์ฟเวอร์เพื่อทำให้ชีวิตของผู้โจมตียากขึ้น การปรับให้ เหมาะสม หลายอย่างเหล่านี้ ซึ่งอาจขึ้นอยู่กับกรณีการใช้งานของคุณ กระบวนการนี้มักเรียกว่า "การชุบแข็งความปลอดภัย" หรือเพียงแค่ "การชุบแข็ง"

การทำให้การติดตั้ง WordPress ของคุณแข็งแกร่งขึ้นนั้นไม่ใช่เรื่องที่เกิดขึ้นเพียงครั้งเดียว คุณจะต้องติดตั้งปลั๊กอินใหม่และขยายฟังก์ชันการทำงานของไซต์ WordPress เพื่อรองรับความต้องการทางธุรกิจที่เปลี่ยนแปลงไป แน่นอนว่าไม่มีปัญหาการขาดแคลนทรัพยากรในการเริ่มต้นเพิ่มความปลอดภัยให้กับ WordPress ต่อไปนี้คือหลักการสำคัญสองประการที่คุณควรยึดถือเมื่อตั้งค่า WordPress ของคุณให้แข็งแกร่ง

รันซอฟต์แวร์น้อยลง

เริ่มแรก “เรียกใช้ซอฟต์แวร์น้อยลง” ฟังดูไม่ค่อยมีประโยชน์ อย่างไรก็ตาม เป็นไปได้มากว่าคุณกำลังใช้งานซอฟต์แวร์มากกว่าที่จำเป็น นอกจากนี้ยังหมายถึงพื้นที่มากขึ้นสำหรับผู้โจมตีเพื่อใช้ประโยชน์จากจุดอ่อนที่อาจเกิดขึ้นภายในซอฟต์แวร์ พิเศษ นั้น

หากคุณไม่แน่ใจว่าจะเริ่มต้นจากตรงไหน ให้เริ่มต้นด้วยการดูปลั๊กอิน WordPress ของคุณ ถามตัวเองว่าคุณสามารถทำอะไรได้บ้างโดยไม่ต้องถอดออก ใช้หลักการเดียวกันกับส่วนขยาย PHP การกำหนดค่าเว็บเซิร์ฟเวอร์ เครื่องมือระบบปฏิบัติการ และบริการเครือข่าย

การถอดซอฟต์แวร์ออกโดยทั่วไปไม่ใช่กระบวนการที่ง่ายในการเริ่มต้น อย่างไรก็ตาม ทุกครั้งที่คุณทำแบบฝึกหัดนี้จะยากขึ้น แม้ว่าผลลัพธ์ของการใช้ระบบที่เพรียวบางจะคุ้มค่ากับความพยายาม

นอกเหนือจากการตรวจสอบให้แน่ใจว่าได้ทดสอบการเปลี่ยนแปลงใดๆ ในสภาพแวดล้อมการทดสอบหรือการทดสอบ อยู่เสมอ คุณ ต้องไม่ ลบซอฟต์แวร์ เช่น ไฟร์วอลล์ WordPress บันทึกกิจกรรมของ WordPress หรือปลั๊กอินตรวจสอบความสมบูรณ์ของไฟล์ WordPress ซึ่งมีไว้เพื่อ ปรับปรุงความปลอดภัย WordPress ของคุณ

สิ่งนี้ใช้กับปลั๊กอินและธีมที่ปิดใช้งานด้วย ปลั๊กอินที่ปิดใช้งานควรถูกลบทิ้งทันที เพราะในบางกรณี โค้ดของพวกมันยังคงถูกโจมตีได้หากมีช่องโหว่ สำหรับธีม เว็บไซต์ของคุณใช้ธีมเดียวเท่านั้น อาจจะสองถ้าคุณมีการตั้งค่าธีมลูก ลบธีมเพิ่มเติมทั้งหมดบนเว็บไซต์ของคุณ รวมถึงธีมเริ่มต้นที่มาพร้อมกับ WordPress

หลักการสิทธิพิเศษน้อยที่สุด

WordPress ไม่ต้องการให้ผู้ใช้ root MySQL ทำงาน ในทำนองเดียวกัน ไม่ควรเรียกใช้ซอฟต์แวร์ส่วนใหญ่ในฐานะรูทบนเซิร์ฟเวอร์ Linux (เทียบเท่ากับผู้ดูแลระบบใน Microsoft Windows) ใช้บัญชีผู้ดูแลระบบ / รูทเฉพาะในกรณีที่มีเหตุผลที่เหมาะสมในการดำเนินการดังกล่าว

ในขอบเขตดังกล่าว ตามกฎทั่วไปพยายามอย่างเต็มที่เพื่อให้แอปพลิเคชันหรือผู้ใช้มีสิทธิ์ น้อย ที่สุดเท่าที่จะเป็นไปได้เพื่อให้งานสำเร็จลุล่วง แน่นอนว่าการรันทุกอย่างในฐานะรูทหรือผู้ดูแลระบบหมายความว่าทุกอย่างจะทำงานโดยไม่ต้องกังวลเรื่องสิทธิ์ อย่างไรก็ตาม มันอาจจะอันตรายมาก แอปพลิเคชันที่ใช้งาน (รวมถึงงานเช่นงาน cron) ที่มีสิทธิ์ระดับผู้ดูแลระบบอาจทำให้ผู้โจมตีหรือปลั๊กอินที่เป็นอันตรายสร้างความเสียหายได้มากขึ้นในกรณีที่มีการละเมิดความปลอดภัย

หากคุณไม่แน่ใจว่าจะเริ่มต้นจากที่ใด ให้เริ่มต้นด้วยการพิจารณาว่าใครเป็น ผู้ดูแลระบบ ใน WordPress และตัดสินใจว่าคุณจำเป็นต้องจำกัดสิ่งนั้นในทางใดทางหนึ่ง ในขณะที่คุณดำเนินการอยู่ คุณอาจต้องการตรวจสอบให้แน่ใจว่าคุณ การเข้าถึงผู้ดูแลระบบ WordPress ผ่าน HTTPS (SSL) และคุณได้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) (หรืออย่างน้อยคุณได้ใช้การรับรองความถูกต้อง HTTP สำหรับผู้ดูแลระบบ WordPress ของคุณ)

แน่นอนว่ายังมีเคล็ดลับการรักษาความปลอดภัย WordPress อื่น ๆ อีกหลายข้อที่คุณสามารถนำไปใช้เพื่อปรับปรุงท่าทางความปลอดภัยของเว็บไซต์ WordPress ของคุณ อ้างถึงบทแนะนำและเคล็ดลับความปลอดภัย WordPress ของเราเพื่อเรียนรู้เพิ่มเติม

3. ตรวจสอบ WordPress

บันทึกมีความสำคัญอย่างยิ่งต่อการรักษาความปลอดภัยของระบบ พวกเขาเป็นสิ่งที่ใกล้เคียงที่สุดที่เรามีกับเครื่องย้อนเวลา ความสามารถในการตอบคำถาม ว่าเกิดอะไร ขึ้นและ เมื่อใด เป็นเครื่องมือที่ขาดไม่ได้ในการตรวจสอบเหตุการณ์ด้านความปลอดภัย การเข้าถึงบันทึกที่ถูกต้องอาจสะกดความแตกต่างระหว่างการสังเกตว่าผู้โจมตีได้ตั้งหลักในเว็บไซต์ของคุณ และปล่อยให้การโจรกรรมถูกมองข้ามไปจนกว่าจะสายเกินไป

ส่วนเสริมในการบันทึกคือการตรวจสอบ ที่รูปแบบพื้นฐานที่สุด การตรวจสอบติดตามรอให้เหตุการณ์บางอย่างเกิดขึ้น (โดยปกติโดยการดูบันทึกบางส่วนเป็นระยะ) บันทึกและมักจะได้รับการกำหนดค่าด้วยระบบแจ้งเตือนบางประเภทเพื่อแจ้งเตือนผู้ดูแลระบบว่ามีบางอย่างเกิดขึ้น (เช่น ระบบตรวจจับการบุกรุกของ WordPress ). ในขณะที่ผู้ดูแลระบบจำนวนมากมักจะตรวจสอบการใช้งาน CPU และหน่วยความจำ แต่พวกเขาอาจไม่มีการตรวจสอบการเข้าถึง WordPress

บันทึกกิจกรรม WordPress

ความสามารถในการมองย้อนกลับไปที่บันทึกกิจกรรมของ WordPress เพื่อดูว่าผู้ใช้ทำอะไรภายในกรอบเวลาหนึ่งๆ เป็นเครื่องมือวิเคราะห์ที่สำคัญในการตรวจสอบ นอกจากนี้ คุณต้องการเชื่อมโยงข้อมูลนี้กับเว็บเซิร์ฟเวอร์ ข้อผิดพลาด PHP และบันทึกฐานข้อมูล ต่อไปนี้คือเคล็ดลับบางประการเพื่อให้แน่ใจว่าคุณครอบคลุมการจัดการบันทึกขั้นพื้นฐานอย่างน้อยที่สุดอย่างถูกต้อง

  • ตรวจสอบให้แน่ใจว่าคุณได้หมุนบันทึกของคุณอย่างถูกต้อง เพื่อให้แน่ใจว่าคุณจะไม่ใช้เนื้อที่ดิสก์หมด
  • สำรองข้อมูลบันทึกของคุณเป็นระยะเพื่อสำรองข้อมูลนอกสถานที่ (เช่น Amazon S3 หรือ Digital Ocean Spaces)
  • พิจารณาว่าคุณต้องการเก็บบันทึกนานแค่ไหนและกำหนดค่านโยบายการเก็บรักษาบันทึกกิจกรรม แนะนำให้เก็บไว้อย่างน้อย 1 ปี
  • ตรวจสอบให้แน่ใจว่าคุณมีวิธีที่รวดเร็วในการเข้าถึงข้อมูลสำคัญในบันทึกของคุณในระหว่างเหตุการณ์

บันทึกอื่นๆ

นอกเหนือจากบันทึกกิจกรรมของ WordPress แล้ว ในฐานะผู้ดูแลไซต์ คุณสามารถเข้าถึงบันทึกอื่นๆ ได้มากมาย เช่น บันทึกของเว็บเซิร์ฟเวอร์ บันทึก PHP และอื่นๆ อีกมากมาย อ้างถึงรายการไฟล์บันทึกสำหรับผู้ดูแลระบบ WordPress เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับไฟล์บันทึกต่างๆ ทั้งหมดที่คุณสามารถเข้าถึงได้ โพสต์ยังเน้นให้เห็นถึงวิธีที่คุณสามารถใช้ข้อมูลจากบันทึกทั้งหมดเพื่อติดตามเหตุการณ์หรือการโจมตี

4. ปรับปรุงความปลอดภัย WordPress ของคุณ

เมื่อคุณทำวงจรดังที่กล่าวไว้ข้างต้นเสร็จแล้ว ขั้นตอนต่อไปคือพยายามวิเคราะห์ว่าคุณจะทำอะไรได้ดีขึ้นในครั้งต่อไป ตามที่กล่าวไว้ในตอนต้นของบทความ โปรดจำไว้ว่าการรักษาความปลอดภัยเป็นกระบวนการที่ต่อเนื่อง — พยายามและติดตามข่าวสารด้านความปลอดภัยของ WordPress และในขั้นวิกฤต ตรวจสอบให้แน่ใจว่าคุณได้รับการอัปเดตด้านความปลอดภัยของ WordPress อยู่เสมอ

เมื่อคุณทำตามขั้นตอนนี้สองสามครั้งแล้ว ให้ลองจัดทำเอกสารเฉพาะเกี่ยวกับกระบวนการ ของคุณเอง ทำให้เป็นกิจวัตรที่คุณติดตามบ่อยๆ นอกจากนี้ เมื่อใดก็ตามที่คุณทำการเปลี่ยนแปลงในเว็บไซต์ WordPress โปรดคำนึงถึงความปลอดภัยด้วย ปฏิบัติตามกระบวนการความปลอดภัยของ WordPress แบบวนซ้ำ การทดสอบ การ ทำให้ แข็ง การ ตรวจสอบ และ ปรับปรุง ความปลอดภัยของเว็บไซต์ของคุณทุกครั้งที่คุณทำการเปลี่ยนแปลงบนเว็บไซต์ของคุณ