การทำให้ WordPress แข็งแกร่งขึ้น: วิธีทำให้เว็บไซต์ WordPress ของคุณปลอดภัย

หากคุณเคยถูกแฮ็ก คุณจะรู้ว่าฝันร้ายนั้นเป็นอย่างไร อาจเป็นเรื่องยากที่จะเข้าใจว่าขั้นตอนการรักษาความปลอดภัยของ WordPress ใดที่จะช่วยให้เว็บไซต์ WordPress ของคุณปลอดภัย

อ่านต่อเพื่อเรียนรู้วิธีทำให้ไซต์ WordPress ของคุณปลอดภัย เรียนรู้ขั้นตอนที่เหมาะสมในการเสริมความแข็งแกร่งให้กับ WordPress และรับรายการตรวจสอบความปลอดภัยของเว็บไซต์ WordPress

WordPress Hardening คืออะไร?

WordPress คิดเป็น 40% ของเว็บไซต์ทั้งหมด ด้วยเหตุนี้ ผู้ที่รู้วิธีใช้ประโยชน์จาก WordPress สามารถค้นหาเป้าหมายได้อย่างง่ายดาย โชคดีที่มีหลายสิ่งที่คุณสามารถทำได้เพื่อทำให้งานหนักขึ้นสำหรับพวกเขา สิ่งนี้เรียกว่าการชุบแข็ง WordPress

เหตุใดความปลอดภัยของ WordPress จึงมีความสำคัญ

ไม่เพียงแต่การถูกแฮ็กเป็นเรื่องน่าอับอายเท่านั้น แต่ยังนำไปสู่การหยุดทำงาน ข้อมูลสูญหาย และข้อมูลรั่วไหลได้ ซึ่งอาจแปลเป็นการสูญเสียยอดขายและชื่อเสียงของแบรนด์ที่ไม่ดี นอกจากนี้ อาจต้องใช้เวลานานเพื่อให้ทุกอย่างกลับมาทำงานได้อีกครั้ง

การชุบแข็ง WordPress: 10 ขั้นตอนความปลอดภัยของ WordPress ที่ต้องทำ

มีสี่วิธีหลักที่แฮกเกอร์สามารถเข้าถึงเพื่อแฮ็คไซต์ Wordpress ของคุณ:

• รับรหัสผ่านหรือเซสชันของคุณและเข้าสู่ระบบ
• ผ่านการเข้าถึงทางอ้อม เช่น FTP, SSH หรือฐานข้อมูล
• โดยการค้นหาข้อมูลในรูทเว็บของคุณ
• ผ่านช่องโหว่ในโค้ด WordPress หรือปลั๊กอิน

วิธีที่ง่ายที่สุดในการเข้าถึงไซต์ของคุณคือการเข้าสู่ระบบ ต่อไปนี้คือวิธีการสองสามวิธีในการเสริมความแข็งแกร่งให้กับ WordPress จากการขโมยรหัสผ่าน

1. รักษาความปลอดภัยเครื่องที่คุณกำลังเชื่อมต่อจาก

สิ่งสำคัญอย่างหนึ่งที่มองข้ามได้ง่ายคือคอมพิวเตอร์ที่คุณใช้เชื่อมต่อ หากไม่ปลอดภัยก็อาจทำให้เซิร์ฟเวอร์ของคุณมีช่องโหว่ได้เช่นกัน ด้วยเหตุนี้จึงเป็นสิ่งสำคัญมากที่จะต้องมีเครื่องสแกนไวรัสและไฟร์วอลล์ เพื่อให้คอมพิวเตอร์ของคุณทันสมัยอยู่เสมอ และฝึกนิสัยการท่องเว็บอย่างปลอดภัย

2. รักษาความปลอดภัยการเชื่อมต่อกับเซิร์ฟเวอร์

แม้ว่าคอมพิวเตอร์ของคุณจะปลอดภัย รหัสผ่านหรือเซสชันของคุณยังคงถูกขโมยระหว่างทางไปยังเซิร์ฟเวอร์ เพื่อป้องกันสิ่งนี้ สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าคุณใช้ HTTPS เมื่อลงชื่อเข้าใช้แบ็กเอนด์ WordPress ของคุณ

การอ่านที่เกี่ยวข้อง: คู่มือสำหรับผู้เริ่มต้นใช้งาน WordPress เพิ่มประสิทธิภาพ >>

ขอแนะนำให้เชื่อมต่อกับเซิร์ฟเวอร์ของคุณโดยใช้การเชื่อมต่อแบบมีสายที่บ้านหรือที่ทำงาน หรือการเชื่อมต่อ Wi-Fi ที่ใช้รหัสผ่าน Wi-Fi แบบสุ่มแบบยาว หากคุณต้องเชื่อมต่อโดยใช้ฮอตสปอตสาธารณะ คุณจะต้องการลงทุนใน VPN อย่างแน่นอน

3. ป้องกันไม่ให้ผู้อื่นเดารหัสผ่านของคุณ

เมื่อผู้โจมตีใช้สคริปต์เพื่อลองใช้ชื่อผู้ใช้และรหัสผ่านที่แตกต่างกันอย่างรวดเร็ว จนกว่าพวกเขาจะเดาได้ถูกต้อง สิ่งนี้เรียกว่าการโจมตีด้วยกำลังเดรัจฉาน เพื่อป้องกันการโจมตีโดยใช้กำลังเดรัจฉาน ให้ใช้รหัสผ่านยาวที่มีตัวเลขตัวอักษรตัวพิมพ์เล็กและตัวพิมพ์ใหญ่และอักขระพิเศษ

ในการทำให้เทคนิคนี้ยากขึ้น คุณสามารถรับปลั๊กอินที่จะช่วยได้ มองหาปลั๊กอินการตรวจสอบสิทธิ์สองปัจจัย ปลั๊กอินที่เพิ่ม captcha ลงในแบบฟอร์มการเข้าสู่ระบบ และปลั๊กอินที่จำกัดจำนวนครั้งที่ไม่ถูกต้องที่คุณสามารถทำได้

4. อย่าใช้ผู้ดูแลระบบ

อีกวิธีหนึ่งในการป้องกันการโจมตีด้วยกำลังเดรัจฉานและวิธีการอื่นๆ ในการขโมยรหัสผ่านคือการตั้งชื่อบัญชีผู้ดูแลระบบของคุณเป็นอย่างอื่น หากพวกเขาไม่สามารถเดาชื่อผู้ใช้ของคุณได้ พวกเขาก็จะไม่สามารถเดารหัสผ่านของคุณได้ ควรลบบัญชีผู้ดูแลระบบเพิ่มเติมเมื่อไม่ต้องการใช้อีกต่อไป บัญชีใหม่ใดๆ ที่คุณสร้างควรมีสิทธิ์เข้าถึงได้มากเท่าที่ต้องการเท่านั้น

หากแฮกเกอร์ไม่สามารถเข้าถึงบัญชีผู้ดูแลระบบของคุณได้โดยตรง พวกเขาอาจสามารถเข้าถึงไซต์ของคุณทางอ้อมผ่าน SSH, FTP หรือฐานข้อมูลได้ ทุกอย่างที่กล่าวถึงเกี่ยวกับการรักษาพีซีในพื้นที่ของคุณให้ปลอดภัย การเลือกรหัสผ่านที่ปลอดภัย และการใช้ VPN ในขณะที่อินเทอร์เน็ตสาธารณะจะมีผลกับ SSH, FTP และการเชื่อมต่อกับฐานข้อมูลด้วย แต่ต่อไปนี้คือข้อควรพิจารณาเพิ่มเติมบางประการ

5. ใช้ SFTP หรือ FTPS

FTP ส่งข้อมูลและรหัสผ่านของคุณทางอินเทอร์เน็ตในรูปแบบข้อความธรรมดา หมายความว่าใครก็ตามที่สามารถสกัดกั้นข้อมูลของคุณสามารถเห็นรหัสผ่านและข้อมูลของคุณได้ SFTP และ FTPS เข้ารหัสข้อมูลของคุณทั้งคู่

6. ปิดหรือจำกัดการเข้าถึงพอร์ต

โดยทั่วไป ถ้าฐานข้อมูลและเว็บไซต์ของคุณอยู่บนเซิร์ฟเวอร์เดียวกัน คุณไม่จำเป็นต้องเปิดพอร์ตฐานข้อมูลของคุณต่อสาธารณะ หากคุณสามารถจัดการฐานข้อมูลของคุณผ่านพอร์ทัลหรือจากภายในเซิร์ฟเวอร์ โดยทั่วไปแล้วสิ่งนี้จะเป็นตัวเลือกที่ดีกว่า เพราะจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากเว็บไซต์ของคุณได้น้อยลง

การอ่านที่เกี่ยวข้อง: เมื่อ WordPress ต้องการบูสต์: เคล็ดลับ เครื่องมือ & กลยุทธ์การปรับแต่ง >>

เช่นเดียวกับ FTP หากคุณสามารถใช้ SFTP เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ ก็ไม่จำเป็นต้องเปิดพอร์ต FTP หากคุณจำเป็นต้องใช้พอร์ตใดพอร์ตหนึ่งเหล่านี้เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ อาจเป็นความคิดที่ดีที่จะกำหนดขอบเขตพอร์ตให้เหลือเฉพาะที่อยู่ IP ของคุณ

หากที่อยู่ IP ของคุณเปลี่ยนแปลงไปมาก อาจไม่สะดวกที่จะต้องโทรเพื่อเข้าถึงเซิร์ฟเวอร์ของคุณทุกครั้งที่ที่อยู่ IP ของคุณเปลี่ยนแปลง วิธีหนึ่งในการแก้ปัญหานี้คือการใช้ VPN VPN ไม่เพียงแต่เข้ารหัสการเชื่อมต่อระหว่างตัวคุณกับเซิร์ฟเวอร์เท่านั้น แต่ยังทำให้คุณสามารถใช้ที่อยู่ IP แบบคงที่ที่คุณสามารถเพิ่มลงในไฟร์วอลล์ของคุณเพื่อป้องกันไม่ให้ผู้อื่นเข้าถึงพอร์ตได้

ความผิดพลาดอย่างหนึ่งที่หลายคนทำคือการจัดเก็บไฟล์และการดัมพ์ฐานข้อมูลในรูทของเว็บ โปรดจำไว้ว่าทุกสิ่งในรูทเว็บของคุณสามารถเข้าถึงได้โดยทุกคนบนอินเทอร์เน็ต และไม่ควรมีสิ่งใดที่คุณไม่ต้องการให้ใครมี

7. ลบสิ่งที่ไม่จำเป็นออกจากรูทเว็บของคุณ

ถือว่าคุ้มค่าที่จะตรวจสอบรูทเว็บของคุณและตรวจสอบให้แน่ใจว่าไม่มีสิ่งใดที่ไม่จำเป็นสำหรับไซต์ของคุณในการทำงานที่จัดเก็บไว้ในนั้น

ตัวอย่างเช่น สะดวกในการดัมพ์ฐานข้อมูลไปยังเว็บรูท เพื่อให้คุณสามารถดาวน์โหลดได้ในภายหลัง แต่อย่าลืมว่าฐานข้อมูลของคุณมีแฮชรหัสผ่านและอาจมีข้อมูลอื่นๆ ที่คุณไม่ต้องการเปิดเผยต่อสาธารณะ

ทางที่ดีควรทิ้งฐานข้อมูลไว้ที่อื่นและใช้ SFTP เพื่อดาวน์โหลด หากคุณต้องการเก็บไว้บนเซิร์ฟเวอร์เป็นข้อมูลสำรอง คุณสามารถย้ายขึ้นหนึ่งระดับหรือวางไว้ที่ใดก็ได้ยกเว้นเว็บรูท

ในทำนองเดียวกัน สำเนารหัสเว็บไซต์แบบซิปสามารถใช้เพื่อเรียนรู้เกี่ยวกับรหัสของคุณ และทุกคนบนอินเทอร์เน็ตสามารถดาวน์โหลดได้ แนวทางปฏิบัติทั่วไปอีกประการหนึ่งคือการสำรองข้อมูลไฟล์ เช่น .htaccess หรือไฟล์โค้ดก่อนที่จะแก้ไข

เป็นความคิดที่ดีที่จะสำรองไฟล์ของคุณก่อนที่จะแก้ไข แต่ถ้าคุณวางแผนที่จะเก็บไว้ในรูทของเว็บ คุณควรเปลี่ยนการอนุญาตเพื่อไม่ให้สามารถเข้าถึงได้

การอ่านที่เกี่ยวข้อง: Debuning WordPress Hosting Security Myths >>

ตัวอย่างเช่น คุณสามารถพิมพ์ chmod 000 .htaccess สุดท้าย แม้แต่ไฟล์ README หรือสิ่งอื่นที่อาจเปิดเผยหมายเลขเวอร์ชันก็ควรจะลบออกได้อย่างปลอดภัย และการลบออกก็ช่วยเพิ่มความปลอดภัยได้

สิ่งสุดท้ายที่ต้องพิจารณาคือตัวโค้ดเอง ความปลอดภัยของรหัสแอปพลิเคชันเว็บเป็นหัวข้อที่ซับซ้อนมาก โดยมีหนังสือทั้งเล่มเขียนเกี่ยวกับหัวข้อนี้ เนื่องจากคุณกำลังใช้ WordPress งานใหญ่ในการดูแลโค้ดให้ปลอดภัยจึงทำเพื่อคุณ สิ่งที่คุณต้องทำคือติดตั้งแพตช์

หากคุณโฮสต์กับ Nexcess เราจะดูแลการอัปเดตแกนหลักของ WordPress ให้คุณ แต่ธีมและปลั๊กอินอาจมีช่องโหว่ได้เช่นกัน

8. ลบรหัสที่ไม่ได้ใช้ออก

วิธีง่ายๆ ในการทำให้ไซต์ WordPress ของคุณปลอดภัยคือการลบสิ่งที่คุณไม่ได้ใช้ออก ดูปลั๊กอินทั้งหมดของคุณและลบออกหากไม่ได้เพิ่มมูลค่าใดๆ ให้กับไซต์ของคุณ

การอ่านที่เกี่ยวข้อง: คู่มือที่จำเป็นสำหรับปลั๊กอิน WordPress >>

ซึ่งไม่เพียงแต่ช่วยเพิ่มความปลอดภัยเท่านั้น แต่ยังช่วยเพิ่มความเร็วให้กับ WordPress และปรับปรุงความเสถียรของเว็บไซต์ของคุณอีกด้วย โปรดทราบว่าในบางกรณี แม้แต่ปลั๊กอินที่ถูกปิดใช้งานก็สามารถทำให้เกิดจุดบกพร่องหรือให้พื้นที่โจมตีแก่แฮกเกอร์ได้

หากคุณมีธีม WordPress ที่ไม่ได้ใช้งาน คุณควรถอนการติดตั้งด้วย แม้ว่าคุณอาจต้องการพิจารณาปล่อยให้ธีม WordPress เริ่มต้นที่เป็นปัจจุบันที่สุดสำหรับการแก้ปัญหาในภายหลัง

สุดท้ายนี้ การลบการติดตั้งเก่าที่คุณไม่ได้ใช้เป็นสิ่งสำคัญที่สุด หากคุณมีไดเรกทอรีย่อยทั้งหมดที่มีบล็อกเก่าหรือเว็บไซต์เวอร์ชันเก่าที่คุณไม่ได้ใช้อีกต่อไป การลบออกจากรากของเว็บเป็นสิ่งสำคัญมาก หากคุณต้องการบันทึกเป็นข้อมูลสำรอง สามารถจัดเก็บไว้เหนือรากของเว็บได้อย่างปลอดภัย

9. ตรวจสอบให้แน่ใจว่าปลั๊กอินและธีมทั้งหมดของคุณได้รับการบำรุงรักษาอย่างแข็งขัน

ช่องโหว่ใหม่ ๆ ถูกค้นพบทุกวัน และเมื่อทราบแล้ว ช่องโหว่เหล่านี้จะถูกโจมตีอย่างรวดเร็วด้วยสคริปต์จำนวนมากทั่วทั้งอินเทอร์เน็ต ด้วยเหตุนี้จึงเป็นสิ่งสำคัญที่จะต้องแน่ใจว่าคุณมีโปรแกรมเมอร์ที่มีความรู้ซึ่งตอบสนองต่อข้อบกพร่องที่พบในโค้ดของตนอย่างจริงจัง และออกแพตช์เพื่อปิดช่องโหว่อยู่เป็นประจำ

10. ใช้แพทช์

เนื่องจากพบช่องโหว่ใน WordPress ตลอดเวลา และเนื่องจากช่องโหว่ของ WordPress ถูกโจมตีอย่างรวดเร็วและทั่วถึง จึงเป็นสิ่งสำคัญมากที่จะใช้โปรแกรมแก้ไขทันทีที่พร้อมใช้งาน การทำเช่นนี้เป็นสิ่งสำคัญมากเพื่อหลีกเลี่ยงการหยุดทำงาน

อย่างไรก็ตาม มีความเสี่ยงที่แพทช์ตัวใดตัวหนึ่งจะไม่สามารถใช้งานได้กับโค้ดที่เหลือของคุณ ดังนั้นวิธีที่ดีที่สุดในการทำเช่นนี้คือสำรองข้อมูลไว้เป็นประจำ จากนั้นจึงใช้โปรแกรมแก้ไขด้วยตนเอง จากนั้นจึงทดสอบเว็บไซต์ของคุณ

หากคุณพบสิ่งใดที่ไม่ทำงาน คุณสามารถกู้คืนข้อมูลสำรองและนำไซต์ของคุณกลับมาได้อย่างรวดเร็ว หากคุณมีทรัพยากร วิธีที่ดียิ่งขึ้นคือเก็บสำเนาเว็บไซต์ของคุณไว้และใช้โปรแกรมแก้ไขทั้งหมดบนสำเนาก่อน ซึ่งจะป้องกันการหยุดทำงานและช่วยให้คุณสามารถแก้ไขปัญหาก่อนที่จะนำโปรแกรมแก้ไขไปใช้กับไซต์ที่ใช้งานจริง

รายการตรวจสอบความปลอดภัยของเว็บไซต์ WordPress

• รักษาพีซีของคุณให้ปลอดภัย
• ใช้โปรโตคอลที่ปลอดภัย
• ใช้รหัสผ่านที่รัดกุม
• ใช้ปลั๊กอินเพื่อทำให้เดารหัสผ่านของคุณยากขึ้น
• เปลี่ยนชื่อบัญชีแอดมิน
• ปิดหรือจำกัดการเข้าถึงพอร์ตในไฟร์วอลล์ของคุณ
• ล้างข้อมูลทิ้งฐานข้อมูล สำรองข้อมูล และโดยเฉพาะอย่างยิ่งโค้ดเก่าจากเว็บรูทของคุณ
• เลือกปลั๊กอินและธีมอย่างระมัดระวัง และลบสิ่งที่คุณไม่ได้ใช้ออก
• ที่สำคัญที่สุด ให้ทันสมัยอยู่เสมอ

ส่วนเกินช่วยให้ไซต์ WordPress ของคุณปลอดภัย

การทำให้ไซต์ของคุณถูกแฮ็กอาจเป็นหายนะได้ ไม่เพียงแต่ทำให้คุณดูแย่เท่านั้น แต่ยังสามารถนำไปสู่การหยุดทำงานที่ยาวนานขึ้น หรือแม้กระทั่งคำสั่งซื้อที่สูญหาย

WordPress โฮสติ้งกับ Nexcess เป็นขั้นตอนแรกที่ดีในการทำให้ไซต์ WordPress ของคุณปลอดภัย

Nexcess เป็นแพลตฟอร์มที่ปลอดภัยสำหรับโฮสต์เว็บไซต์ WordPress ของคุณ ด้วย Nexcess คุณจะได้รับการตรวจสอบความปลอดภัยตลอดเวลา สำรองข้อมูลรายวันฟรี ใบรับรอง SSL และ IThemes Security Pro

และด้วยทีมผู้เชี่ยวชาญ WordPress และผู้เชี่ยวชาญด้านการสนับสนุนที่พร้อมให้บริการตลอดเวลาเพื่อช่วยเหลือในทุกคำถามที่คุณมี คุณจะมีทรัพยากรที่จำเป็นตลอด 24 ชั่วโมงทุกวันไม่เว้นวันหยุด

สำรวจแผนโฮสติ้ง WordPress ที่มีการจัดการเต็มรูปแบบของเราเพื่อเริ่มต้นวันนี้