ផ្លាស់ប្តូរ WP-Admin URL៖ របៀបធានាបន្ទះគ្រប់គ្រង WordPress របស់អ្នក។

WordPress ផ្តល់ថាមពលប្រហែល 43.4% នៃគេហទំព័រទាំងអស់។ ប្រជាប្រិយភាព​នេះ​ធ្វើ​ឱ្យ​វា​ក្លាយជា​គោលដៅ​ចម្បង​សម្រាប់​ពួក Hacker ។ តាមលំនាំដើម ទំព័រគ្រប់គ្រងគេហទំព័រ WordPress គឺនៅ /wp-admin ។ អ្នកវាយប្រហារ និង bots ដឹងពីផ្លូវនេះហើយព្យាយាមបំបែកនៅទីនោះ។ ជាឧទាហរណ៍ របាយការណ៍សុវត្ថិភាពមួយកត់សម្គាល់ថា WordPress ប្រឈមមុខនឹងការប៉ុនប៉ងវាយប្រហារប្រហែល 90,000 ដងក្នុងមួយនាទី។ ភាគច្រើននៃទាំងនេះគឺជាការចូល brute-force សាមញ្ញនៅលើទំព័រលំនាំដើម / wp-admin ។ ដើម្បីបន្ថយល្បឿន ម្ចាស់គេហទំព័រជារឿយៗផ្លាស់ប្តូរ wp-admin URL ទៅអាសយដ្ឋានផ្ទាល់ខ្លួន។ ការលាក់ទំព័រចូលបន្ថែមឧបសគ្គបន្ថែមដែលរារាំងការវាយប្រហារដែលមិនស្មុគ្រស្មាញ។ តាមពិត មគ្គុទ្ទេសក៍សុវត្ថិភាព WordPress ព្រមានថាឧក្រិដ្ឋជន "ពិនិត្យមើលថាតើអ្នកនៅតែប្រើ URL លំនាំដើមធម្មតា" ហើយបន្ទាប់មកចាប់ផ្តើមការបង្ខំពាក្យសម្ងាត់។ ការផ្លាស់ប្តូរ URL ធ្វើឱ្យទំព័រអ្នកគ្រប់គ្រងពិបាកស្វែងរក ដូច្នេះ bots ជាច្រើនគ្រាន់តែរំលងគេហទំព័រ។

ទោះជាយ៉ាងណាក៏ដោយ ការផ្លាស់ប្តូរផ្លូវរបស់ Admin មិនមែនជាការយល់ច្រឡំដោយខ្លួនឯងនោះទេ។ អ្នកជំនាញផ្នែកសុវត្ថិភាព Wordfence ហៅវាថា "សុវត្ថិភាពតាមរយៈការមិនច្បាស់លាស់"។ វាអាចបញ្ឈប់ការស្កេនធម្មតា ប៉ុន្តែអ្នកវាយប្រហារធ្ងន់ធ្ងរនឹងប្រើផ្លូវផ្សេងទៀត (ដូចជា XML‑RPC) ឬគ្រាន់តែទាយ URL ថ្មី។ លើសពីនេះទៅទៀត ឧបករណ៍ដែលពឹងផ្អែកលើផ្លូវគ្រប់គ្រង (ដូចជាកម្មវិធីជំនួយមួយចំនួន ឬការហៅ AJAX) អាចនឹងខូច ប្រសិនបើផ្លូវត្រូវបានផ្លាស់ប្តូរ។ ទោះយ៉ាងណាក៏ដោយ ភាពឯកជនបន្ថែមអាចរារាំងការប៉ុនប៉ងចូលដោយស្វ័យប្រវត្តិជាច្រើន និងកាត់បន្ថយសំលេងរំខាននៅក្នុងកំណត់ហេតុរបស់អ្នក។ នៅក្នុងការអនុវត្ត ការលាក់ URL ចូលគឺត្រូវបានប្រើប្រាស់យ៉ាងល្អបំផុតជាស្រទាប់ការពារមួយ រួមជាមួយនឹងពាក្យសម្ងាត់ខ្លាំង ការអាប់ដេត និងវិធានការសុវត្ថិភាពផ្សេងទៀត។ អានអត្ថបទនេះពី 1Byte ដើម្បីស្វែងយល់បន្ថែម។

ហេតុអ្វីត្រូវលាក់ ឬផ្លាស់ប្តូរ WP-Admin URL

តាមលំនាំដើម រាល់ការចូល WordPress គឺនៅរបស់អ្នក។domain.com/wp-login.php ឬរបស់អ្នក។domain.com/wp-admin ។ អ្នកទស្សនា ឬម៉ាស៊ីនស្កេនអាចបន្ថែម /wp-admin ទៅកាន់គេហទំព័ររបស់អ្នក ហើយចុះចតនៅលើទម្រង់ចូល។ វាធ្វើឱ្យទំព័រគ្រប់គ្រងជា "គោលដៅងាយស្រួល" សម្រាប់អ្នកវាយប្រហារ។ ជាការពិត កម្មវិធីជំនួយសុវត្ថិភាព និងការណែនាំព្រមានយ៉ាងច្បាស់ថា URL លំនាំដើម ទាក់ទាញឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត. ការផ្លាស់ប្តូរ ឬលាក់ផ្លូវនេះមានអត្ថប្រយោជន៍សំខាន់ពីរ៖

• រារាំងការវាយប្រហារដោយស្វ័យប្រវត្តិ៖ bots ជាច្រើនគ្រាន់តែព្យាយាម /wp-admin តាមលំនាំដើម។ ប្រសិនបើអ្នកផ្លាស់ប្តូរវា bots ទាំងនោះនឹងមិនស្វែងរកទំព័រចូលដើម្បីវាយប្រហារទេ។ ឧទាហរណ៍ កម្មវិធីជំនួយ All In One Login សម្គាល់ផ្លូវអ្នកគ្រប់គ្រងលំនាំដើម "ជាគោលដៅងាយស្រួលសម្រាប់អ្នកលួចចូល" ហើយការផ្លាស់ប្តូរវា "ធ្វើឱ្យអ្នកវាយប្រហារពិបាកកំណត់ទីតាំងទំព័រចូលរបស់អ្នក"។
  
• កាត់បន្ថយការចូល spam៖ WordPress អនុញ្ញាត ពាក្យសម្ងាត់គ្មានដែនកំណត់ព្យាយាមតាមលំនាំដើម. ការកំណត់ការចូលប្រើ URL ដែលលាក់ កាត់បន្ថយការប៉ុនប៉ង brute-force ។ មគ្គុទ្ទេសក៍ខ្លះនិយាយថាការរក្សាការប៉ុនប៉ងចូលមានកំណត់គឺជា "ដំណោះស្រាយដ៏ល្អបំផុតមួយដែលអាចធ្វើទៅបាន" ប្រឆាំងនឹងការវាយប្រហារដោយកម្លាំងសាហាវ។ ការលាក់ទំព័រចូលបម្រើគោលបំណងស្រដៀងគ្នាដោយការពារការប៉ុនប៉ងជាច្រើនភ្លាមៗ។
  

លើសពីនេះទៅទៀត ការផ្លាស់ប្តូរ URL អាចបន្ថែមភាពឯកជន។ ពួក Hacker នឹងមិនឃើញការប៉ុនប៉ងចូលណាមួយនៅលើ /wp-admin នៅក្នុងកំណត់ហេតុរបស់អ្នកទេ ប្រសិនបើទំព័រនោះត្រូវបានបិទ។ ផ្ទុយទៅវិញ ការប៉ុនប៉ងរបស់ពួកគេមិនទៅណាទេ។ នេះធ្វើឱ្យពួកគេកាន់តែពិបាកដឹងថាតើពួកគេកំពុងវាយលុកគេហទំព័រ WordPress ដែរឬទេ។ (ទោះជាយ៉ាងនេះក្តី សូមចំណាំថា អ្នកវាយប្រហារកម្រិតខ្ពស់នៅតែអាចស៊ើបអង្កេត WordPress តាមវិធីផ្សេងទៀត ដូចជាការពិនិត្យមើលឯកសារ ឬកូដជាក់លាក់របស់ WordPress ។ )

និន្នាការសុវត្ថិភាព WordPress ចុងក្រោយបង្អស់

ការបន្តជូនដំណឹងអំពីការគំរាមកំហែងជួយឱ្យយល់ពីមូលហេតុដែលការលាក់ URL អ្នកគ្រប់គ្រងអាចជួយបាន។ របាយការណ៍សុវត្ថិភាពថ្មីៗបង្ហាញពីភាពងាយរងគ្រោះរបស់ WordPress គឺជារឿងធម្មតា ប៉ុន្តែភាគច្រើនគឺនៅខាងក្រៅទំព័រចូលស្នូល។ ឧទាហរណ៍ របាយការណ៍ Patchstack ឆ្នាំ 2024 បានរកឃើញ 7,966 បញ្ហាសុវត្ថិភាព WordPress ថ្មី។ហើយ 96% នៃអ្នកទាំងនោះស្ថិតនៅក្នុងកម្មវិធីជំនួយ។ ភាពងាយរងគ្រោះមានតែ 7 ប៉ុណ្ណោះដែលប៉ះពាល់ដល់ស្នូល WordPress ក្នុងឆ្នាំនោះ ហើយកំហុសកម្មវិធីជំនួយភាគច្រើនមិនត្រូវបានគេកេងប្រវ័ញ្ច ឬងាយស្រួលក្នុងការជួសជុលនោះទេ។ នេះមានន័យថា អ្នកវាយប្រហារជារឿយៗពឹងផ្អែកលើកំហុសរបស់កម្មវិធីជំនួយ និងប្រធានបទ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកវាយប្រហារសាកល្បងទំព័រចូលជាមុន (និយាយដោយបង្ខំ ឬបញ្ជីពាក្យសម្ងាត់អាក្រក់) ការលាក់ទំព័រនោះយ៉ាងហោចណាស់អាចបញ្ឈប់ការផ្លាស់ទីដំបូងរបស់ពួកគេ។

ការស្រាវជ្រាវរបស់ Wordfence ក៏បង្ហាញថាអ្នកវាយប្រហារគឺមិនចេះអត់ធ្មត់។ កាលពីឆ្នាំមុន ពួកគេបានរារាំងសំណើព្យាបាទជាង 54 ពាន់លាន និង 55 ពាន់លានការវាយប្រហារពាក្យសម្ងាត់នៅលើគេហទំព័រ WordPress (ជាច្រើនតាមរយៈ /wp-login.php និង XML‑RPC) 【12†】។ Mark ពី Wordfence កត់សម្គាល់ថាពាក់កណ្តាលនៃការប៉ុនប៉ងចូលទាំងអស់កើតឡើងតាមរយៈ xmlrpc.php ដែលការផ្លាស់ប្តូរ /wp-admin តែម្នាក់ឯងនឹងមិនបញ្ឈប់ទេ។ នេះជាមូលហេតុដែលអ្នកជំនាញនិយាយថាការលាក់ URL គឺគ្រាន់តែជាយុទ្ធសាស្ត្រមួយប៉ុណ្ណោះ។ វាអាចកាត់បន្ថយហានិភ័យមួយចំនួន ប៉ុន្តែតែងតែរួមបញ្ចូលវាជាមួយនឹងជំហានរឹងផ្សេងទៀត (ដូចជាការបិទ XML‑RPC បន្ថែម 2FA ឬទប់ស្កាត់ IPs បំពាន)។

របៀបផ្លាស់ប្តូរ WP-Admin URL

ដើម្បីផ្លាស់ប្តូរផ្លូវគ្រប់គ្រង WordPress ម្ចាស់គេហទំព័រជាធម្មតាប្រើកម្មវិធីជំនួយ ឬកូដដោយដៃ។ វិធីសាស្រ្តនីមួយៗបង្កើតជា slug ចូលថ្មី និងការពារការចូលដោយផ្ទាល់ទៅកាន់លេខចាស់។ នេះគឺជាវិធីសាស្រ្តសំខាន់ៗ៖

• ប្រើកម្មវិធីជំនួយ (វិធីសាស្ត្រងាយស្រួល)៖ កម្មវិធីជំនួយជាច្រើនធ្វើឱ្យវាសាមញ្ញ។ ឧ ប្តូរឈ្មោះ wp-login.php កម្មវិធីជំនួយដោយ Ella van Durpe គឺជាឧបករណ៍ឥតគិតថ្លៃទម្ងន់ស្រាល ដែលអនុញ្ញាតឱ្យអ្នកជ្រើសរើស slug ចូលថ្មី។ ដំឡើងវាហើយបញ្ចូលខ្សែអក្សរចៃដន្យ (ដូចជា newadmin ឬអក្សរចម្រុះ)។ កម្មវិធីជំនួយសរសេរ URL ឡើងវិញ ដូច្នេះមានតែរបស់អ្នកប៉ុណ្ណោះ។domain.com/newadmin ធ្វើការ; ការព្យាយាមចូលទៅកាន់ /wp-admin ឬ /wp-login.php នឹងបរាជ័យ ឬប្តូរទិស។
  
• កម្មវិធីជំនួយ WPS លាក់ការចូល៖ កម្មវិធីជំនួយដ៏ពេញនិយមនេះផ្លាស់ប្តូរ ទាំងពីរ wp-login.php និងផ្លូវ /wp-admin ។ មគ្គុទ្ទេសក៍ Jetpack ចំណាំ WPS លាក់ "លាក់ការចូល WordPress និង / wp-admin URL" ដោយគ្រាន់តែសរសេរអាសយដ្ឋានចូលឡើងវិញ។ បន្ទាប់ពីដំឡើង WPS Hide Login អ្នកកំណត់ការចូលផ្ទាល់ខ្លួននៅក្នុងការកំណត់របស់វា។ កម្មវិធីជំនួយនឹងរារាំង URL អ្នកគ្រប់គ្រងចាស់ ហើយបញ្ជូនអ្នកទស្សនាទៅកាន់ទំព័រថ្មីរបស់អ្នក (ឬទៅកាន់ 404)។
  
• កម្មវិធីជំនួយការចូលទាំងអស់ក្នុងតែមួយ៖ ប្រសិនបើអ្នកប្រើកម្មវិធីជំនួយសុវត្ថិភាពការចូលដ៏ទូលំទូលាយ វាច្រើនតែរួមបញ្ចូលមុខងារផ្លាស់ប្តូរ URL ។ ឧទាហរណ៍ កម្មវិធីជំនួយ All In One Login ផ្សាយពាណិជ្ជកម្ម “ផ្លាស់ប្តូរ WP-Admin URL” ជាមុខងារសំខាន់មួយ។ វាមិនត្រឹមតែបិទបាំងផ្លូវចូលប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបន្ថែម 2FA, reCAPTCHA និងការការពារផ្សេងៗទៀត។ កម្មវិធីជំនួយទាំងនេះជាធម្មតាមានចំណុចប្រទាក់ត្រង់ដើម្បីចូលទៅក្នុងផ្លូវចូលថ្មី។

• វិធីសាស្ត្រ .htaccess ដោយដៃ (កម្រិតខ្ពស់)៖ អ្នកក៏អាចកែសម្រួលឯកសារ .htaccess គេហទំព័ររបស់អ្នក ដើម្បីប្តូរទិសផ្លូវថ្មី។ ឧទាហរណ៍ ការបន្ថែមច្បាប់សរសេរឡើងវិញដូចជា៖ “nginx / RewriteRule ^newadmin$ /wp-admin [NC,L]” នឹងប្តូរទិសសំណើពីអ្នកdomain.com/newadmin ទៅកាន់របស់អ្នក។domain.com/wp-admin ។ អ្នកនឹងជំនួសអ្នកគ្រប់គ្រងថ្មីជាមួយនឹង slug ដែលបានជ្រើសរើសរបស់អ្នក។ បន្ទាប់មក អ្នកបិទការចូលដោយផ្ទាល់ទៅកាន់ការចូលចាស់ដោយច្បាប់ផ្សេងទៀត ឬដោយគ្រាន់តែមិនប្រាប់នរណាម្នាក់ពីផ្លូវចាស់។ វិធីសាស្រ្តនេះទាមទារការថែទាំ៖ តែងតែបម្រុងទុក .htaccess និងសាកល្បងបន្ទាប់ពីការផ្លាស់ប្តូរ។ ប្រសិនបើធ្វើបានត្រឹមត្រូវ មានតែ URL ថ្មីប៉ុណ្ណោះដែលអនុញ្ញាតឱ្យចូលប្រើអ្នកគ្រប់គ្រង។ (សូមមើល [38†L82-L88] សម្រាប់ឧទាហរណ៍ ច្បាប់សរសេរឡើងវិញ។ )
  
• លេខកូដផ្ទាល់ខ្លួន (វិធីសាស្ត្រអ្នកអភិវឌ្ឍន៍)៖ ដំណោះស្រាយផ្ទាល់ខ្លួនគឺបង្កើតឯកសារចូល PHP ថ្មី។ មគ្គុទ្ទេសក៍មួយចំនួនស្នើឱ្យចម្លង wp-login.php ទៅឈ្មោះឯកសារថ្មី (ឧទាហរណ៍ signin.php) និងកែសម្រួលកូដនៅខាងក្នុង។ វិធីសាស្រ្តនេះគឺប្រថុយប្រថានជាង ហើយជាទូទៅមិនត្រូវបានណែនាំទេ ព្រោះវាធ្វើអោយអាប់ដេតមានភាពស្មុគស្មាញ។ ជាជម្រើសអ្នកអាចប្រើទំពក់ WordPress៖ បន្ថែមតម្រងនៅលើ login_url ឬប្រើសកម្មភាព login_form ដើម្បីសរសេរ URLs ឡើងវិញនៅក្នុង functions.php នៃប្រធានបទរបស់អ្នក។ ឧទាហរណ៍ អត្ថបទខ្លីៗមួយបន្ថែមតម្រងដើម្បីជំនួស wp-login.php ជាមួយនឹង slug ថ្មីនៅក្នុងតំណភ្ជាប់ចូលទាំងអស់។ អ្នកអភិវឌ្ឍន៍ក៏អាចប្តូរទិសកម្មវិធី wp-admin ទៅ 404 លុះត្រាតែអ្នកប្រើប្រាស់ចូលតាមរយៈ slug ថ្មី។ វិធីសាស្រ្តទាំងនេះដំណើរការ ប៉ុន្តែការសរសេរកូដដោយដៃណាមួយត្រូវតែត្រូវបានសាកល្បងបន្ទាប់ពីការធ្វើបច្ចុប្បន្នភាព WP ។
  

នៅពេលដែលអ្នកបានផ្លាស់ប្តូរ URL, សាកល្បងវាភ្លាមៗ. ចេញពី WordPress ហើយសាកល្បងទាំងអាសយដ្ឋានថ្មី និងចាស់។ ត្រូវប្រាកដថា /wp-admin និង /wp-login.php ចាស់មិនអាចចូលប្រើបានទេ។ សូមពិនិត្យមើលផងដែរថាកម្មវិធីជំនួយសុវត្ថិភាព ឬកម្មវិធីជំនួយបម្រុងទុកនៅតែដំណើរការ (ខ្លះពឹងផ្អែកលើ admin-ajax ឬ admin-ajax.php នៅខាងក្នុង /wp-admin)។ ប្រសិនបើមានអ្វីមួយខូច អ្នកប្រហែលជាត្រូវដាក់ក្នុងបញ្ជីស ឬកែសម្រួលច្បាប់។ រក្សាជម្រើសបម្រុងទុក ឬការស្តារឡើងវិញដែលងាយស្រួលជានិច្ច ក្នុងករណីដែលអ្នកចាក់សោរខ្លួនឯងចេញ។

កម្មវិធីជំនួយ និងឧបករណ៍សម្រាប់សុវត្ថិភាពអ្នកគ្រប់គ្រង WP

ក្រៅពីការផ្លាស់ប្តូរ URL ឧបករណ៍ជាច្រើនបង្កើនសុវត្ថិភាពអ្នកគ្រប់គ្រង៖

• កំណត់ការប៉ុនប៉ងចូល៖ កម្មវិធីជំនួយ brute-force អាចបិទការបរាជ័យម្តងហើយម្តងទៀត។ ឧ អ្នកចូល or ការប៉ុនប៉ងចូល WP លីមីតធីត កម្មវិធីជំនួយអាចទប់ស្កាត់ IP បន្ទាប់ពីការព្យាយាមខុសជាច្រើនដង។ ដូចការណែនាំមួយចែងថា ការកំណត់ការប៉ុនប៉ងចូលគឺជា "ដំណោះស្រាយដ៏ល្អបំផុតមួយ" ដើម្បីបញ្ឈប់ការវាយប្រហារដោយបង្ខំ។ ជាមួយនេះ ទោះបីជានរណាម្នាក់រកឃើញទំព័រចូលក៏ដោយ ក៏ពួកគេមិនអាចសាកល្បងពាក្យសម្ងាត់គ្មានទីបញ្ចប់បានទេ។
  
• Firewall/Brute-force Protection៖ ជញ្ជាំងភ្លើងកម្មវិធីបណ្ដាញ (WAF) ឬកម្មវិធីជំនួយសុវត្ថិភាពអាចច្រោះសំណើព្យាបាទ។ វាអាចទប់ស្កាត់លំនាំការវាយប្រហារទូទៅនៅលើ /wp-admin, XML-RPC និងចំណុចចូលផ្សេងទៀត។ ម៉ាស៊ីនដែលបានគ្រប់គ្រងជាច្រើនផ្តល់នូវជញ្ជាំងភ្លើងដែលរារាំងតួអង្គអាក្រក់ដែលគេស្គាល់។
  
• ការផ្ទៀងផ្ទាត់ពីរកត្តា (2FA)៖ ការបន្ថែម 2FA ធ្វើអោយប្រសើរឡើងយ៉ាងខ្លាំងនូវសុវត្ថិភាពនៃការចូល។ មគ្គុទ្ទេសក៍សុវត្ថិភាពចំណាំថា 2FA "បន្ថែមស្រទាប់សុវត្ថិភាព" ដើម្បីចូល។ ជាមួយនឹងការបើកដំណើរការ 2FA ទោះបីជានរណាម្នាក់រកឃើញទំព័រចូលរបស់អ្នក (មិនថា /wp-admin ឬ URL ដែលលាក់) ពួកគេក៏ត្រូវការកត្តាទីពីរ (ដូចជាលេខកូដទូរសព្ទ) ដើម្បីចូល។ កម្មវិធីជំនួយដូចជា Google Authenticator, Authy, ឬ Jetpack's Protect feature ផ្តល់ជូន 2FA សម្រាប់ WordPress ។
  
• ការធ្វើបច្ចុប្បន្នភាព និងការថែទាំជាប្រចាំ៖ ការលាក់ URL របស់អ្នកគ្រប់គ្រងគឺមានប្រយោជន៍ ប៉ុន្តែការរក្សា WordPress ស្បែក និងកម្មវិធីជំនួយឱ្យទាន់សម័យគឺមានសារៈសំខាន់ណាស់។ ការសម្របសម្រួលភាគច្រើនកើតឡើងតាមរយៈភាពងាយរងគ្រោះនៃកម្មវិធីជំនួយដែលគេស្គាល់។ ដំឡើងការអាប់ដេតជានិច្ច និងលុបកម្មវិធីជំនួយ/ស្បែកដែលមិនប្រើ។
  
• កម្មវិធីជំនួយសុវត្ថិភាពផ្សេងទៀត៖ មានឈុតសុវត្ថិភាពពេញលេញ (Wordfence, iThemes Security, Sucuri ។ល។) ដែលរួមមានការស្កេនមេរោគ ជញ្ជាំងភ្លើង និងការការពារការចូល។ អ្នកខ្លះថែមទាំងមានជម្រើសដើម្បីផ្លាស់ប្តូរ URL ចូលដោយសុវត្ថិភាព។ ជាឧទាហរណ៍ iThemes Security អាចហាមឃាត់ IPs បន្ទាប់ពីបរាជ័យក្នុងការចូល និងបង្ខំ 2FA។
  

ការធ្លាក់ចុះសក្តានុពល និងការប្រុងប្រយ័ត្ន

ការផ្លាស់ប្តូរ URL របស់អ្នកគ្រប់គ្រងជួយប្រឆាំងនឹងការវាយប្រហារដោយស្ម័គ្រចិត្ត ប៉ុន្តែវាមានសារព្រមាន៖

• មិនមែនជាការជួសជុលពេញលេញទេ៖ ដូចដែលបានរៀបរាប់ Wordfence កត់សម្គាល់ថាការវាយប្រហារជាច្រើនប្រើ xmlrpc.php ។ ការលាក់ /wp-admin នឹងមិនរារាំងការប៉ុនប៉ងទាំងនោះទេ។ វាគ្រាន់តែជាផ្នែកនៃស្រទាប់ការពារប៉ុណ្ណោះ។
  
• ការបំបែកមុខងារគេហទំព័រ៖ កម្មវិធីជំនួយ ឬស្បែកមួយចំនួនរំពឹងថាផ្លូវចូល WordPress ។ ក្រុម Wordfence ព្រមានថាការប្តូរឈ្មោះ /wp-admin អាចបំបែកលក្ខណៈពិសេសរបស់កម្មវិធីជំនួយដែលប្រើ admin-ajax.php ឬ URL អ្នកគ្រប់គ្រងផ្សេងទៀត។ ប្រសិនបើអ្នកឃើញកំហុសនៅក្នុងផ្ទាំងគ្រប់គ្រង ឬនៅផ្នែកខាងមុខបន្ទាប់ពីការប្តូរឈ្មោះ សូមពិនិត្យមើលកម្មវិធីជំនួយណាមួយដែលគ្រប់គ្រង AJAX ឬ backend calls។
  
• ការបាត់បង់កំណត់ហេតុ៖ ការផ្លាស់ប្តូរ URL មានន័យថាកំណត់ហេតុសុវត្ថិភាពរបស់អ្នកនឹងមិនបង្ហាញសារឥតបានការនៃការព្យាយាមចូលធម្មតាទេ (ដែលប្រហែលជាល្អ)។ ទោះយ៉ាងណាក៏ដោយ Wordfence ចង្អុលបង្ហាញថាអ្នកបាត់បង់ភាពមើលឃើញក្នុងការប៉ុនប៉ងចូលទាំងនោះប្រសិនបើអ្នកលាក់ផ្លូវ។ អ្នកនឹងមិនឃើញធាតុប៉ុនប៉ងចូលធម្មតាទេ ដូច្នេះអ្នកត្រូវតែពឹងផ្អែកលើកំណត់ហេតុ ឬឧបករណ៍សុវត្ថិភាពផ្សេងទៀត ដើម្បីរកមើលការប៉ុនប៉ងចូល។
  
• ហានិភ័យនៃការបិទ៖ ប្រសិនបើអ្នកភ្លេច URL ថ្មី ឬកម្មវិធីជំនួយមិនដំណើរការ អ្នកអាចចាក់សោរខ្លួនឯងបាន។ ចំណាំការចូលថ្មីជានិច្ចនៅក្នុងកន្លែងដែលមានសុវត្ថិភាព។ វាជាការល្អក្នុងការរក្សាគណនីអ្នកគ្រប់គ្រងផ្សេងទៀត ឬប្រើ cPanel/phpMyAdmin ដើម្បីកំណត់អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងឡើងវិញប្រសិនបើចាំបាច់។
  

ដោយសារតែហានិភ័យទាំងនេះ សាកល្បងអ្វីៗគ្រប់យ៉ាងនៅលើគេហទំព័រ ឬការបម្រុងទុក មុនពេលអនុវត្តទៅគេហទំព័របន្តផ្ទាល់។ បន្ទាប់ពីផ្លាស់ប្តូរ URL សូមព្យាយាមចូល និងចេញនៅលើកម្មវិធីរុករកផ្សេងៗ។ ត្រូវប្រាកដថាការជូនដំណឹងតាមអ៊ីមែល (ប្រសិនបើមាន) ដែលមានតំណភ្ជាប់ចូលត្រូវបានធ្វើបច្ចុប្បន្នភាព។ ប្រសិនបើប្រើឃ្លាំងសម្ងាត់ ឬ CDN សូមសម្អាតឃ្លាំងសម្ងាត់ ដូច្នេះច្បាប់ថ្មីមានប្រសិទ្ធភាព។

ការអនុវត្តល្អបំផុតបន្ថែម

ការលាក់ URL អ្នកគ្រប់គ្រងគួរតែជាផ្នែកមួយនៃយុទ្ធសាស្រ្តសុវត្ថិភាពដ៏ទូលំទូលាយ។ បន្ថែមពីលើចំណុចខាងលើ សូមពិចារណាលើការអនុវត្តល្អបំផុតទាំងនេះ៖

• ពាក្យសម្ងាត់ខ្លាំង និងឈ្មោះអ្នកប្រើប្រាស់៖ ត្រូវប្រាកដថាគណនីអ្នកគ្រប់គ្រងទាំងអស់ប្រើពាក្យសម្ងាត់ខ្លាំង និងតែមួយគត់ និងជៀសវាងឈ្មោះអ្នកប្រើប្រាស់ទូទៅដូចជា "admin" ។ ទោះបីជា URL ត្រូវបានលាក់ក៏ដោយ ពាក្យសម្ងាត់ខ្សោយនៅតែអាចត្រូវបានសម្របសម្រួល ប្រសិនបើអ្នកវាយប្រហាររកឃើញចំណុចប្រទាក់ចូល។
  
• កំណត់ការប៉ុនប៉ងចូល៖ ដូចដែលបានកត់សម្គាល់ ប្រើកម្មវិធីជំនួយ ឬសេវាកម្មដើម្បីបិទ ឬទប់ស្កាត់ការព្យាយាមចូលម្តងហើយម្តងទៀត។ វាបញ្ឈប់ការព្យាយាម brute-force ភាគច្រើនសូម្បីតែនៅលើ URL ដែលអាចមើលឃើញក៏ដោយ។
  
• ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពីរកត្តា៖ បើកដំណើរការ 2FA សម្រាប់អ្នកប្រើប្រាស់គ្រប់គ្រងទាំងអស់។ នេះមានន័យថាចំណេះដឹងអំពី URL ឬពាក្យសម្ងាត់តែម្នាក់ឯងនឹងមិនផ្តល់សិទ្ធិចូលប្រើទេ។
  
• ការស្កេនជញ្ជាំងភ្លើង និងសុវត្ថិភាព៖ ដំឡើងជញ្ជាំងភ្លើងកម្មវិធីបណ្ដាញ (WAF) ឬប្រើមុខងារជញ្ជាំងភ្លើងរបស់កម្មវិធីជំនួយសុវត្ថិភាព។ វាអាចទប់ស្កាត់ចរាចរណ៍ព្យាបាទនៅកម្រិតបណ្តាញ មុនពេលវាទៅដល់ WordPress ផងដែរ។ ស្កេនគេហទំព័ររបស់អ្នកជាប្រចាំផងដែរ រកមើលមេរោគ ឬការផ្លាស់ប្តូរដែលមិនរំពឹងទុក។
  
• កំណត់ XML-RPC ឬបិទវា៖ ប្រសិនបើអ្នកមិនប្រើមុខងារ XML‑RPC (ដូចជាការបោះពុម្ពពីចម្ងាយ) បិទ xmlrpc.php។ វាបិទធាតុ brute-force ដ៏សំខាន់ដែលការផ្លាស់ប្តូរ / wp-admin មិនអាចដោះស្រាយបាន។
  
• បម្រុងទុកញឹកញាប់៖ រក្សាការបម្រុងទុកជាប្រចាំ។ ប្រសិនបើអ្នកវាយប្រហារស្វែងរកផ្លូវចូល នោះអ្នកចង់ស្ដារឡើងវិញយ៉ាងឆាប់រហ័ស។ កម្មវិធីជំនួយ ឬសេវាកម្មបម្រុងទុកល្អអាចធ្វើឱ្យវាដំណើរការដោយស្វ័យប្រវត្តិ និងរក្សាទិន្នន័យរបស់អ្នកឱ្យមានសុវត្ថិភាព។
  

ស្វែងយល់ពីសេវាកម្មរបស់យើង។

ប្រើប្រាស់ជំនាញ Cloud Computing ដ៏រឹងមាំរបស់ 1Byte ដើម្បីជំរុញអាជីវកម្មរបស់អ្នកតាមរបៀបដ៏ធំមួយ

Domains

1Byte ផ្តល់ពេញលេញ domain សេវាកម្មចុះឈ្មោះដែលរួមមានបុគ្គលិកគាំទ្រដោយយកចិត្តទុកដាក់ ការថែទាំអតិថិជនដែលមានការអប់រំ ការចំណាយសមរម្យ ក៏ដូចជា ក domain ឧបករណ៍ស្វែងរកតម្លៃ។

ឈ្មោះដែន

វិញ្ញាបនបត្រ SSL

បង្កើនសុវត្ថិភាពលើអ៊ីនធឺណិតរបស់អ្នកជាមួយនឹងសេវាកម្ម SSL របស់ 1Byte ។ ការការពារដែលមិនអាចប្រៀបផ្ទឹមបាន ការរួមបញ្ចូលដោយគ្មានថ្នេរ និងសន្តិភាពនៃចិត្តសម្រាប់ដំណើរឌីជីថលរបស់អ្នក។

វិញ្ញាបនបត្រ SSL

Cloud Server

មិនថា cloud server កញ្ចប់ដែលអ្នកជ្រើសរើស អ្នកអាចពឹងផ្អែកលើ 1Byte សម្រាប់ភាពជឿជាក់ ភាពឯកជន សុវត្ថិភាព និងបទពិសោធន៍គ្មានភាពតានតឹង ដែលមានសារៈសំខាន់សម្រាប់អាជីវកម្មជោគជ័យ។

សេវាកម្ម Cloud Server

Shared Hosting

ការជ្រើសរើសពួកយើងជាអ្នកផ្តល់សេវាបង្ហោះចែករំលែករបស់អ្នកអនុញ្ញាតឱ្យអ្នកទទួលបានតម្លៃដ៏ល្អឥតខ្ចោះសម្រាប់ប្រាក់របស់អ្នក ខណៈពេលដែលរីករាយនឹងកម្រិតគុណភាព និងមុខងារដូចគ្នានឹងជម្រើសដែលមានតម្លៃថ្លៃជាង។

បង្ហោះចែករំលែក

Cloud Hosting

តាមរយៈកម្មវិធីដែលមានភាពបត់បែនខ្ពស់ 1Byte ដ៏ទំនើប cloud hosting ផ្តល់ដំណោះស្រាយដ៏អស្ចារ្យដល់អាជីវកម្មខ្នាតតូច និងមធ្យមលឿនជាងមុន សុវត្ថិភាពជាងមុន និងក្នុងតម្លៃកាត់បន្ថយ។

សេវាកម្ម Cloud Hosting

WordPress Hosting

បន្តនាំមុខការប្រកួតប្រជែងជាមួយនឹងសេវាកម្មបង្ហោះ WordPress ប្រកបដោយភាពច្នៃប្រឌិតរបស់ 1Byte ។ ផែនការដែលសំបូរទៅដោយលក្ខណៈពិសេសរបស់យើង និងភាពជឿជាក់ដែលមិនអាចប្រៀបផ្ទឹមបានធានាថាគេហទំព័ររបស់អ្នកមានភាពលេចធ្លោ និងផ្តល់នូវបទពិសោធន៍អ្នកប្រើប្រាស់ដែលមិនអាចបំភ្លេចបាន។

WordPress Hosting

ភាពជាដៃគូ AWS

ក្នុងនាមជាដៃគូ AWS ផ្លូវការ ទំនួលខុសត្រូវចម្បងមួយរបស់យើងគឺជួយអាជីវកម្មក្នុងការធ្វើទំនើបកម្មប្រតិបត្តិការរបស់ពួកគេ និងប្រើប្រាស់ច្រើនបំផុតក្នុងការធ្វើដំណើររបស់ពួកគេទៅកាន់ពពកជាមួយ AWS ។

សេវាកម្ម AWS

សន្និដ្ឋាន

URL អ្នកគ្រប់គ្រងដែលលាក់ ឬផ្ទាល់ខ្លួនអាចកាត់បន្ថយការបង្ហាញនៃទំព័រចូល WordPress របស់អ្នក។ វាដើរតួដូចជាទ្វារសម្ងាត់៖ អ្នកវាយប្រហារធម្មតានឹងមិនឃើញវាភ្លាមៗទេ ដូច្នេះពួកគេច្រើនតែបន្តឆ្ពោះទៅរកគោលដៅកាន់តែងាយស្រួល។ ឧទាហរណ៍ ឧបករណ៍សុវត្ថិភាពចង្អុលបង្ហាញថាការចាកចេញពីតំណចូលលំនាំដើម "ជាគោលដៅងាយស្រួលសម្រាប់ពួក Hacker" ដូច្នេះការផ្លាស់ប្តូរ wp-admin URL មានន័យជាជំហានការពាររហ័ស។

យ៉ាង​ណា​ក៏​ដោយ យុទ្ធសាស្ត្រ​នេះ​មិន​មែន​ជា​ដំណោះ​ស្រាយ​តែ​ឯង​នោះ​ទេ។ វាគួរតែត្រូវបានរួមបញ្ចូលជាមួយការការពារផ្សេងទៀតដូចជាពាក្យសម្ងាត់ខ្លាំង កម្មវិធីទាន់សម័យ ការការពារ brute-force និងការផ្ទៀងផ្ទាត់ពីរកត្តា។ តាមរយៈការដាក់ស្រទាប់ការពារទាំងនេះ អ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវហានិភ័យនៃការចូលប្រើដោយគ្មានការអនុញ្ញាត។ សរុបមក ការប្តូរឈ្មោះ ឬលាក់ផ្លូវគ្រប់គ្រង WordPress គឺជាផ្នែកដ៏មានតម្លៃនៃយុទ្ធសាស្រ្តសុវត្ថិភាព ប៉ុន្តែវាដំណើរការល្អបំផុតនៅពេលដែលបានភ្ជាប់ជាមួយការថែទាំជាប្រចាំ និងការអនុវត្តសុវត្ថិភាពដ៏រឹងមាំ។