ปกป้องเว็บไซต์ WordPress ของคุณด้วยไฟร์วอลล์เว็บไซต์

ความนิยมอย่างมากของ WordPress ทำให้เป็นเป้าหมายมหาศาลสำหรับอาชญากรและแฮกเกอร์ที่พยายามใช้ประโยชน์จากไซต์ WordPress ของคุณเพื่อสร้างรายได้อย่างรวดเร็ว อาจเป็นแค่เด็กเล่นสคริปต์ที่ต้องการให้คะแนนเครดิตทางอินเทอร์เน็ตกับเพื่อน ๆ โดยทำให้ไซต์ของคุณเสียหาย ไม่สำคัญว่าจะเกิดอะไรขึ้น การประนีประนอมเว็บไซต์ทุกรูปแบบจะทำให้ลูกค้าของคุณสูญเสียความไว้วางใจอย่างร้ายแรง และอาจสะกดจุดจบของแบรนด์ของคุณได้อย่างง่ายดาย

การปกป้องเว็บไซต์ของคุณ ลูกค้า และแบรนด์ของคุณจึงเป็นสิ่งสำคัญอันดับแรกเมื่อใดก็ตามที่คุณปรับใช้อินสแตนซ์ WordPress น่าเสียดายที่แฮกเกอร์ได้พัฒนาเครื่องมือและเทคนิคที่ซับซ้อนเพื่อใช้ประโยชน์จาก WordPress และทำลายสิ่งที่คุณสร้างขึ้น วิธีเดียวที่จะก้าวไปข้างหน้าคือการทำความเข้าใจว่าไซต์ WordPress ของคุณสามารถกำหนดเป้าหมายได้อย่างไรและจะป้องกันภัยคุกคามเหล่านั้นได้อย่างไร

ในบทความนี้ เราจะพิจารณาทุกวิถีทางที่แฮ็กเกอร์สามารถใช้ประโยชน์จากวิธีที่ไซต์ WordPress ของคุณสื่อสารกับอินเทอร์เน็ตและการป้องกันที่คุณสามารถสร้างขึ้นมาเพื่อหยุดพวกเขาก่อนที่จะสร้างความเสียหายใดๆ

การกรองบิตและไบต์ – ไฟร์วอลล์เครือข่าย

การส่งข้อมูลผ่านอินเทอร์เน็ตเป็นกระบวนการที่ซับซ้อนอย่างน่าประหลาดใจ มี "เลเยอร์" มากมายจากเลเยอร์ฮาร์ดแวร์ที่ด้านล่างซึ่งกำหนดโครงสร้างพื้นฐานทางกายภาพเป็นเลเยอร์ซอฟต์แวร์หลายชั้นด้านบน ซึ่งแต่ละเลเยอร์จะขึ้นอยู่กับเลเยอร์ด้านล่าง เลเยอร์ที่เราสนใจในส่วนนี้คือเลเยอร์จากโฮสต์ถึงโฮสต์ ในเลเยอร์เหล่านี้ ข้อมูล เช่น รูปภาพที่คุณส่งให้เพื่อน จะถูกแบ่งออกเป็นส่วนเล็กๆ ที่เรียกว่าแพ็กเก็ต สิ่งเหล่านี้ถูกส่งผ่านอินเทอร์เน็ตจากคุณ (ต้นทาง) ถึงเพื่อนของคุณ (ปลายทาง) โดยที่สิ่งเหล่านี้จะถูกประกอบกลับเป็นภาพต้นฉบับที่คุณส่ง

แพ็กเก็ตข้อมูลเหล่านี้ทั้งหมดมีลักษณะหลายประการซึ่งรวมถึง:

• โปรโตคอล – เช่น TCP, UDP, ICMP และอื่นๆ
• พอร์ต – เช่น เว็บ 80/443 อีเมล 110/25
• ที่อยู่ IP – IP ต้นทางและปลายทางของคอมพิวเตอร์ที่ส่งและรับแพ็กเก็ต

ไฟร์วอลล์เครือข่ายตั้งอยู่ระหว่างอินเทอร์เฟซเครือข่ายและระบบปฏิบัติการ และตรวจสอบแต่ละแพ็กเก็ตเมื่อมาถึงเซิร์ฟเวอร์ จะอนุญาตหรือปฏิเสธแพ็กเก็ตเพื่อดำเนินการกับระบบปฏิบัติการตามชุดกฎการอนุญาตและบล็อก แพ็กเก็ตจะถูกยกเลิกหากละเมิดกฎไฟร์วอลล์

ไฟร์วอลล์เครือข่ายเป็นส่วนสำคัญของเซิร์ฟเวอร์และการติดตั้ง WordPress เนื่องจากบล็อกการสื่อสารที่ไม่ได้รับอนุญาตกับกระบวนการที่ตั้งใจฟังการรับส่งข้อมูลที่เป็นอันตราย ทราฟฟิกเฉพาะที่อนุญาตผ่านไปยังระบบปฏิบัติการและมากกว่านั้นไปยัง WordPress จะต้องเป็นไปตามกฎที่เข้มงวดซึ่งไฟร์วอลล์กำหนด

ไฟร์วอลล์เครือข่ายที่กำหนดค่าอย่างเหมาะสมเป็นส่วนมาตรฐานของเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตทุกเครื่อง น่าเสียดายที่ไม่ได้หมายความว่าจะติดตั้งและจัดการได้ง่าย ในความเป็นจริง หากคุณมีสิทธิ์เข้าถึงเฉพาะอินสแตนซ์ WordPress ของคุณ การจัดการไฟร์วอลล์นั้นเป็นไปไม่ได้ เนื่องจากไฟร์วอลล์ที่มีประสิทธิภาพจะไม่สามารถเข้าถึงได้จากภายใน WordPress

การกรองคำขอเว็บ – ไฟร์วอลล์แอปพลิเคชันเว็บ

แฮกเกอร์ได้ขยายคลังอาวุธของตนด้วยวิธีการโจมตีเครือข่ายที่ซับซ้อน ซึ่งพวกเขาสร้างคำขอเว็บที่เป็นอันตรายเพื่อโจมตีไซต์ WordPress ของคุณ คำขอเว็บเหล่านี้จะไม่ละเมิดกฎของไฟร์วอลล์เครือข่ายใด ๆ ดังนั้นพวกเขาจะได้รับอนุญาตให้โต้ตอบกับไซต์ WordPress ของคุณซึ่งอาจทำให้เกิดอันตรายร้ายแรงได้

เพื่อให้เข้าใจว่าคำขอเว็บที่เป็นอันตรายทำงานอย่างไร อันดับแรก ให้พิจารณาว่าคำขอของเว็บมีความซับซ้อนเพิ่มขึ้นอย่างไรในช่วงหลายปีที่ผ่านมา ก่อนที่เทคโนโลยีเว็บที่ใช้งานอยู่เช่น PHP คำขอเว็บนั้นง่ายมากและมีลักษณะดังนี้:

 http://www.example.com/index.php

คำขอนี้แบ่งออกเป็นส่วนๆ ดังนี้

• http:// – คำขอกำลังใช้โปรโตคอล HTTP
• www.example.com – ชื่อโฮสต์ที่แก้ไขเป็นที่อยู่ IP ของเว็บเซิร์ฟเวอร์
• index.php – ไฟล์ที่ถูกร้องขอ

อย่างที่คุณเห็น คำขอนี้ตรงไปตรงมามาก เมื่อคุณต้องการรักษาความปลอดภัยให้กับเว็บไซต์ คุณเพียงแค่สร้างรายการบล็อกของไฟล์ที่เป็นส่วนตัวเพื่อให้เว็บเซิร์ฟเวอร์ปฏิเสธที่จะให้บริการ ไม่มีอะไรมากไปกว่านั้น

เนื่องจากเทคโนโลยีเว็บไซต์มีความซับซ้อนมากขึ้น โอกาสในการใช้ประโยชน์จากความซับซ้อนเหล่านี้ก็เพิ่มขึ้นเช่นกัน

ตัวอย่างหนึ่งของคำขอที่เป็นอันตรายดังกล่าวเรียกว่าการโจมตีด้วยการฉีด SQL การโจมตีประเภทนี้พยายามอ่านข้อมูลที่ละเอียดอ่อนจากหรือแก้ไขฐานข้อมูล WordPress ทำได้โดยการสร้างคำขอทางเว็บว่าสคริปต์ PHP จะทำงาน และหากไม่ได้เขียนสคริปต์เพื่อตรวจสอบอินพุต จะอนุญาตให้ผู้โจมตีอ่านหรือเขียนไปยังฐานข้อมูล WordPress

มาดูคำขอเว็บโจมตีการฉีด SQL อย่างง่าย ตัวอย่างเช่น สมมติว่าคุณมีแบบฟอร์มการเข้าสู่ระบบถูกส่งไปยังเบราว์เซอร์ไคลเอ็นต์ เมื่อพวกเขากรอกแบบฟอร์ม จะส่งคำขอเว็บกลับไปที่เซิร์ฟเวอร์ที่มีชื่อผู้ใช้บัญชีที่พวกเขาป้อน ในคำขอตัวอย่างนี้ ID ชื่อผู้ใช้คือ JohnSmith ซึ่งให้คำขอทางเว็บแก่เราที่มีลักษณะดังนี้:

 http://www.example.com/accountView?id=JohnSmith

หากสคริปต์ PHP บนเซิร์ฟเวอร์รับอินพุตนี้และไม่ตรวจสอบความถูกต้อง อาจทำให้เกิดปัญหาร้ายแรงได้ ตัวอย่างเช่น แฮ็กเกอร์อาจพยายามส่ง URL ที่มีรูปแบบไม่ถูกต้องซึ่งไม่มี ID เลย เช่น:

 http://www.example.com/app/accountView? มีความสำคัญเป็นพิเศษใน SQL ซึ่งเป็นภาษาของฐานข้อมูล อาจทำให้สคริปต์ที่เขียนไม่ดีส่งกลับรายการฐานข้อมูลลูกค้าทั้งหมด ซึ่งอาจรวมถึงรหัสผ่านและข้อมูลที่ละเอียดอ่อนอื่นๆ เห็นได้ชัดว่านี่เป็นหายนะ

คุณจะป้องกันตัวเองจากการโจมตีรูปแบบเหล่านี้ได้อย่างไร?
นี่คือที่มาของ Web Application Firewall (WAF) WAF ถูกวางไว้ระหว่างอินเทอร์เน็ตและ WordPress และตรวจสอบทุกคำขอของเว็บเมื่อมาถึงเซิร์ฟเวอร์ หากพบคำขอใดๆ ที่มีรูปแบบไม่ถูกต้อง เช่นเดียวกับที่กล่าวข้างต้น หรือละเมิดรายการกฎ คำขอนั้นจะบล็อกไม่ให้ส่งคำขอนั้นไปยัง WordPress ของคุณ WAF สามารถเอาชนะข้อผิดพลาดในการเขียนโปรแกรมทั่วไปทั้งคลาสได้อย่างมีประสิทธิภาพ ซึ่งสามารถประนีประนอมกับไซต์ WordPress ได้อย่างง่ายดาย ซึ่งอาจต้องตรวจสอบไฟล์ PHP ทุกไฟล์ในไซต์ของคุณ
		


เห็นได้ชัดว่านั่นเป็นเพียงตัวอย่างเดียวของคำขอที่เป็นอันตรายจากความเป็นไปได้ที่ใหญ่โตและมีการพัฒนาอย่างรวดเร็ว สิ่งนี้ทำให้ WAF มีประสิทธิภาพอย่างแท้จริงเป็นความท้าทายอย่างต่อเนื่องในการเพิ่มกฎที่ทันกับแฮกเกอร์ เช่นเดียวกับไฟร์วอลล์เครือข่าย WAF เป็นข้อเสนอที่ท้าทายทางเทคนิคในการตั้งค่าและบำรุงรักษาที่สำคัญกว่านั้น
การหยุดบอท – Bruteforce Protection และ reCAPTCHA
เลเยอร์สุดท้ายของการป้องกันเครือข่ายที่มีประสิทธิภาพคือการหยุดการโจมตีอัตโนมัติกับหน้าเข้าสู่ระบบของแผงการดูแลระบบ WordPress ของคุณ การโจมตีเหล่านี้เริ่มต้นโดยโปรแกรมที่เรียกกันทั่วไปว่า "บอท" ซึ่งมาจากคำว่าหุ่นยนต์ แฮ็กเกอร์ใช้บอทเนื่องจากทำงานอย่างไม่รู้จักเหน็ดเหนื่อยและจำนวนมากเพื่อเริ่มการโจมตีแบบประสานกัน
วิธีการโจมตีที่พบบ่อยที่สุดคือการกำหนดเป้าหมายหน้าเข้าสู่ระบบโดยใช้การโจมตีแบบเดรัจฉาน การดำเนินการนี้จะพยายามคาดเดาชื่อผู้ใช้และรหัสผ่านเพื่อให้สามารถเข้าสู่ไซต์ WordPress ของคุณได้
การโจมตีแบบเดรัจฉานทำงานโดยลองใช้ชื่อผู้ใช้และรหัสผ่านหลายแบบรวมกัน โดยปกติ ชื่อผู้ใช้เหล่านี้จะเป็นการผสมผสานระหว่างชื่อผู้ใช้ที่ได้รับความนิยมสูงสุด เช่น admin หรือ root ท ร่วมกับรหัสผ่านทั่วไป เช่น “123456” การโจมตีแบบ bruteforce จะเริ่มต้นด้วยการส่งชื่อผู้ใช้และรหัสผ่านต่อไปนี้รวมกัน:

admin : 123456
admin : passw0rd
ผู้ดูแลระบบ : letmein
admin : qwerty
ราก : 123456
รูท : passw0rd
ราก : letmein
ราก : qwerty

และดำเนินการต่อจากที่นั่นโดยลองใช้ชุดค่าผสมทั่วไปน้อยลง
บอทจะลองสักสองสามร้อยถึงหลายพันและขึ้นอยู่กับวิธีการกำหนดค่า การป้องกัน bruteforce จะสังเกตเห็นการเข้าสู่ระบบที่ล้มเหลวทั้งหมดแล้วบล็อกคำขอเพิ่มเติมที่มาจากที่อยู่ IP ที่ส่งคำขอเข้าสู่ระบบปลอม นี่เป็นการป้องกันที่จำเป็นจากผู้ใช้ WordPress มักจะเลือกรหัสผ่านที่อ่อนแอกว่าเมื่อได้รับอนุญาตให้เลือกรหัสผ่านของตนเอง
การโจมตี Bruteforce ไม่ได้เป็นเพียงการใช้บอทเท่านั้น นอกจากนี้ยังใช้เพื่อตรวจสอบไซต์ของคุณเพื่อหาจุดอ่อน เปิดเผยไฟล์ที่ละเอียดอ่อน หรือปลั๊กอินและธีมที่อาจถูกบุกรุก
บอทเหล่านี้สามารถหยุดได้โดยใช้เครื่องมือต่อต้านการฉ้อโกงโฆษณาระดับมาตรฐานอุตสาหกรรมของ Google ที่เรียกว่า reCAPTCHA reCAPTCHA จะแยกมนุษย์ออกจากบอทที่เป็นอันตรายโดยอัตโนมัติ ซึ่งอนุญาตให้มนุษย์เข้าชมไซต์ของคุณและเปลี่ยนบอทออกไป สิ่งนี้มักจะเกิดขึ้นอย่างมองไม่เห็นและต่อเนื่องกับผู้ใช้ที่เป็นมนุษย์ในขณะที่บอทไม่สามารถผ่านไปยังเว็บไซต์ของคุณได้ซึ่งจะพยายามอย่างดีที่สุดที่จะเจาะเข้าไป
แต่ฉันจะทำทั้งหมดนี้ได้อย่างไร
หากคุณไม่มีเวลา ความรู้ด้านเทคนิคจากผู้เชี่ยวชาญ หรืองบประมาณในการกำหนดค่าและบำรุงรักษาไฟร์วอลล์เครือข่าย, WAF, bruteforce detector และ reCAPTCHA คุณควรปล่อยให้ผู้เชี่ยวชาญเช่น Rocket Rocket เป็นผู้ให้บริการโฮสติ้งที่ได้รับการจัดการซึ่งได้รับการรักษาความปลอดภัย WordPress รวมเครื่องมือรักษาความปลอดภัยที่จำเป็นทั้งหมดเหล่านี้เป็นมาตรฐานในการติดตั้ง WordPress ทุกครั้ง
สิ่งที่คุณต้องทำคือสมัครใช้งาน เปิดไซต์ WordPress และเริ่มต้นสร้างในไม่กี่วินาทีต่อมา
หรือชำระเงิน วิธีตั้งค่าการพิสูจน์ตัวตนแบบไร้รหัสผ่านใน WordPress