15 ขั้นตอนสำคัญในการปกป้อง WordPress จากการโจมตีของมัลแวร์

เผยแพร่แล้ว: 2020-08-27

การรักษาความปลอดภัยเว็บไซต์ WordPress จากแฮกเกอร์และเสริมความปลอดภัยเป็นขั้นตอนสำคัญต่อการเดินทางของคุณในการทำงานกับซอฟต์แวร์ ต้องเอาชนะช่องโหว่ด้านความปลอดภัยของ WordPress เพื่อให้แฮกเกอร์ไม่สามารถใช้ประโยชน์จากทรัพย์สินทางปัญญาของผู้สร้างได้

แต่บ่อยครั้งที่บุคคลและธุรกิจละเลยปัญหาด้านความปลอดภัยและไม่ถือว่าเป็นข้อกังวลที่ต้องได้รับการแก้ไข เราต้องเข้าใจว่าสิ่งนี้ตรงกันข้ามกับสิ่งที่ต้องทำ – ความปลอดภัยมีความสำคัญสูงสุด

บางคนอาจคิดว่าเนื่องจากไม่มีเวลา จึงมองข้ามความปลอดภัยในฐานะองค์ประกอบหนึ่งได้ หรืออาจดูซับซ้อนเกินกว่าจะเข้าใจ ดังนั้นจึงไม่เคยรวมเข้ากับเว็บไซต์เลย

สิ่งหนึ่งที่ต้องทำให้ชัดเจน – การจัดเตรียม WordPress ให้มีความปลอดภัยนั้นค่อนข้างง่าย อ่านต่อเพื่อดูว่ามันทำงานอย่างไร!

1. ลงทุนในบริษัทโฮสติ้งที่เชื่อถือได้

แม้ว่าอาจเป็นเรื่องน่าดึงดูดใจสำหรับมือใหม่ในการเลือกผู้ให้บริการโฮสติ้งราคาถูก แต่วิธีที่ดีที่สุดในการเพิ่มความปลอดภัยให้กับไซต์ WordPress ของคุณคือการเลือกผู้ให้บริการที่มีการรักษาความปลอดภัยแบบหลายมิติที่ระดับของเซิร์ฟเวอร์

การลงทุนในแพลตฟอร์มเว็บโฮสติ้งที่น่าเชื่อถือและปลอดภัยมีประโยชน์อื่นๆ มากมาย เช่น การสำรองข้อมูลอัตโนมัติและการติดตั้ง WordPress ฟรีเช่นกัน!

2. ระดมสมองชื่อผู้ใช้และรหัสผ่านที่รัดกุม

การมีชื่อผู้ใช้เริ่มต้นสำหรับเว็บไซต์ WordPress ของคุณในทางปฏิบัติเป็นการเชิญชวนให้แฮกเกอร์เข้ามาที่ไซต์ของคุณและเข้าถึงหน้าเข้าสู่ระบบของคุณได้อย่างง่ายดาย

การใช้ชื่อผู้ใช้และรหัสผ่านที่ยาก ไม่ซ้ำใคร และถอดรหัสยากจะช่วยปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ที่ใช้ "การโจมตีแบบเดรัจฉาน" ซึ่งเป็นลักษณะที่พวกเขาพยายามเดาผู้ดูแลระบบและรหัสผ่านของเว็บไซต์ของคุณโดยใช้สคริปต์อัตโนมัติ

3. ปรับแต่ง URL ล็อกอิน

ขอแนะนำให้เปลี่ยนที่อยู่ URL เริ่มต้นเพื่อป้องกันภัยคุกคาม

คุณได้รับอนุญาตให้ปรับแต่ง ทำให้ปลอดภัยยิ่งขึ้นและไม่แตกหัก สำหรับสิ่งนี้ คุณอาจสร้าง URL ที่กำหนดเอง เช่น my_custom_login หรืออีกทางเลือกหนึ่งคือการติดตั้ง iThemes Security Plugin ซึ่งจะเปลี่ยน URL การเข้าสู่ระบบของคุณโดยอัตโนมัติ

4. ติดตั้งปลั๊กอินความปลอดภัยที่มีประสิทธิภาพ

นี่คือปลั๊กอินบางตัวที่คุณสามารถติดตั้งได้ -

iThemes
ทั้งหมดในที่เดียว ความปลอดภัย WP & ไฟร์วอลล์
การรักษาความปลอดภัยโล่
Wordfence

ปลั๊กอินแต่ละตัวเหล่านี้มาพร้อมกับคุณลักษณะบางอย่างที่นำความปลอดภัยของไซต์ของคุณไปสู่ระดับที่สูงขึ้น พวกเขาไม่ต้องการเวลาหรือทักษะมากนัก เพราะมีวิซาร์ดการกำหนดค่าทีละขั้นตอนเพื่อช่วยคุณตลอดกระบวนการ

5. รักษาความปลอดภัยไดเรกทอรี wp-admin

หนึ่งในขั้นตอนที่สำคัญที่สุดที่เกี่ยวข้องกับการรับรองความปลอดภัยของ WordPress คือการปกป้องไดเรกทอรี wp-admin แดชบอร์ดของผู้ดูแลระบบคือสิ่งที่แฮ็กเกอร์กำหนดเป้าหมาย ดังนั้นจึงต้องมีการรักษาความปลอดภัย

เป็นการดีที่จะใช้รหัสผ่านเพื่อป้องกันไดเร็กทอรี wp-admin ด้วยเหตุนี้ เจ้าของเว็บไซต์จึงต้องส่งรหัสผ่านสองแบบที่แตกต่างกันหากต้องการเข้าถึงแดชบอร์ด – อันหนึ่งสำหรับหน้าเข้าสู่ระบบและอีกอันสำหรับส่วนผู้ดูแลระบบ

6. ทำการสแกนมัลแวร์เป็นประจำ

ขอแนะนำให้คุณทำการสแกนมัลแวร์อย่างรวดเร็วสำหรับไซต์ของคุณ หากคุณสังเกตเห็นว่ามีการรับส่งข้อมูลขาเข้าลดลง ปัญหาด้านประสิทธิภาพอื่นๆ หรือแม้แต่โดยทั่วไป

มีเครื่องมือหลายอย่างทางออนไลน์ เช่น VirusTotal ที่สามารถตรวจสอบให้คุณได้

7. อัปเดตซอฟต์แวร์และปลั๊กอิน WordPress ของคุณ

เช่นเดียวกับที่แอปพลิเคชันและซอฟต์แวร์ในโทรศัพท์ของคุณได้รับการอัปเดตโดยอัตโนมัติเป็นประจำ คุณจำเป็นต้องทำเช่นเดียวกันกับซอฟต์แวร์ WordPress และปลั๊กอินที่เกี่ยวข้องทั้งหมด

สิ่งนี้ทำให้มั่นใจได้ถึงความปลอดภัยระดับสูงสุดและกำจัดภัยคุกคาม

8. ใช้ PHP . เวอร์ชันล่าสุด

PHP เวอร์ชันเก่าที่ไซต์ของคุณใช้อยู่อาจเป็นอันตรายต่อความปลอดภัย อัปเดตเวอร์ชัน PHP เป็น 7.4.5 ซึ่งเป็นเวอร์ชันที่ใช้อยู่ในปัจจุบัน

นอกจากการเพิ่มความปลอดภัยแล้ว การอัปเดต PHP ยังช่วยเพิ่มประสิทธิภาพเว็บไซต์ WordPress ของคุณด้วย

9. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

เพื่อเพิ่มความปลอดภัย คุณสามารถแนบปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัย นอกจากนี้ยังบล็อกที่อยู่ IP ทั้งหมดที่มีการเข้าสู่ระบบล้มเหลวมากที่สุด

แม้ว่าจะใช้เวลานาน แต่ 2FA ก็เป็นหนึ่งในวิธีที่ดีที่สุดในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ ขอแนะนำให้คุณใช้ปลั๊กอินที่เรียกว่า Wordfence เพื่อเปิดใช้งาน 2FA ที่ช่วยให้คุณเข้าถึงรหัสปัจจัยจากอีเมลของคุณ

10. อัปเกรดจาก HTTP เป็น HTTPS

Single Sockets Layer หรือ SSL บอกเป็นนัยว่าไซต์ที่คุณใช้และธุรกรรมที่ทำบนนั้นปลอดภัย ใบรับรอง SSL ทำให้ URL ของคุณขึ้นต้นด้วย https:// แทนที่จะเป็น http://

สิ่งนี้ทำให้เสิร์ชเอ็นจิ้นเช่น Google มั่นใจว่าเว็บไซต์มีความน่าเชื่อถือและช่วยให้อันดับดีกว่าที่เหลือเมื่อคุณเผยแพร่เนื้อหา

11. ล็อกผู้ใช้ WordPress ที่ไม่ได้ใช้งานออก

หาก ณ เวลาใดเวลาหนึ่ง คุณหรือพนักงานของคุณละเลยจากลิงก์ที่เปิดอยู่ของ WordPress นานเกินไป ต่อไปนี้คือภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้น:

ไซต์อาจถูกแฮ็กโดยผู้ที่มีเจตนาร้าย
อาจมีคนเปลี่ยนการเข้าสู่ระบบ ซึ่งทำให้การเข้าถึงของคุณปิดลง
เมื่อมีคนเข้ามา พวกเขาสามารถเปลี่ยนแปลงได้อย่างมาก

เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น ให้ลบผู้ใช้ที่ไม่ได้ใช้งานบนไซต์ของคุณเป็นเวลานาน

12. ปิดใช้งาน XML-RPC

ต้องใช้ไฟล์ XML-RPC เพื่อเชื่อมต่อไซต์ของคุณกับเว็บและแอปบนอุปกรณ์เคลื่อนที่

แม้ว่าจะมีประโยชน์ แต่แฮกเกอร์สามารถใช้สิ่งนี้เพื่อเสริมการโจมตีที่โหดร้ายได้

การติดตั้ง Brute Force Protection ด้วยปลั๊กอินอื่นจะบล็อกการพยายามเข้าสู่ระบบด้วยที่อยู่ IP หลายที่อยู่ แฮกเกอร์สามารถพยายามแฮ็คเว็บไซต์ของคุณได้ 100 ครั้ง และที่อยู่ IP ของเขาจะถูกบล็อกหลายครั้ง

13. จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ

หน้าเข้าสู่ระบบเริ่มต้นทำให้ผู้ใช้สามารถเข้าสู่ระบบได้หลายครั้งเท่าที่ต้องการ เพื่อให้ผู้ใช้ที่แท้จริงสามารถเข้าถึงได้ในที่สุด

การแนบปลั๊กอินจำกัดการพยายามเข้าสู่ระบบแบบรีโหลด สามารถป้องกันจำนวนครั้งที่แฮ็กเกอร์สามารถพยายามเข้าสู่ระบบ และทำให้เข้าถึงเว็บไซต์ของคุณได้

14. จำกัด การควบคุมการเข้าถึง

ส่วนต่าง ๆ ของเว็บไซต์ของคุณที่เสี่ยงต่อภัยคุกคามมากที่สุดคือไฟล์ index.php, functions.php และ wp-config.php โดยเฉพาะอย่างยิ่งไฟล์ wp-config.php มีความเสี่ยงค่อนข้างมาก เนื่องจากสามารถอำนวยความสะดวกในการโจมตีไซต์ของคุณได้หลายครั้ง

เพื่อป้องกันสิ่งนี้ คุณสามารถซ่อนไฟล์เหล่านี้และปิดใช้การควบคุมใดๆ เพื่อแก้ไข

15. เปิดใช้งานคำถามเพื่อความปลอดภัยสำหรับการเข้าสู่ระบบของคุณ

การเปิดใช้งานคำถามเพื่อความปลอดภัยสำหรับการเข้าสู่ระบบของคุณจะเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งเมื่อคุณจำข้อมูลรับรองการเข้าสู่ระบบของคุณไม่ได้ มีตั้งแต่ "นามสกุลเดิมของแม่คุณคืออะไร" ไปจนถึง "สัตว์เลี้ยงตัวแรกของคุณชื่ออะไร" โดยพื้นฐานแล้ว มีเพียงคุณในฐานะผู้ใช้เท่านั้นที่รู้คำตอบสำหรับคำถามเหล่านี้