วิธีป้องกันเว็บไซต์จากแฮกเกอร์และรักษาความปลอดภัยอย่างง่ายดาย

เว็บไซต์ของคุณมีค่า: สำหรับคุณและผู้เยี่ยมชมไซต์ของคุณ และสำหรับแฮกเกอร์

หากต้องการสร้างการป้องกันที่ดีจากการโจมตีที่เป็นอันตราย คุณต้องมีคำแนะนำที่เข้าใจง่ายเกี่ยวกับ วิธีปกป้องเว็บไซต์จากแฮกเกอร์

นี่คือคู่มือการป้องกันแฮ็กเกอร์!

เรามั่นใจขนาดนั้นเลยเหรอ? MalCare ปกป้องเว็บไซต์มากกว่า 25,000 เว็บไซต์ และทีมสนับสนุนของเรากำจัดมัลแวร์ที่เข้าใจยากที่สุดออกจากเว็บไซต์ทุกวัน เรารู้บางอย่างเกี่ยวกับวิธีปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และการโจมตีที่เป็นอันตรายอื่นๆ

TL; DR: มาตรการรักษาความปลอดภัยที่ดีที่สุดคือการติดตั้งปลั๊กอินความปลอดภัย ที่ทำงานบนระบบอัตโนมัติ เราขอแนะนำให้คุณใช้มาตรการรักษาความปลอดภัยทั้งหมดที่เราอธิบายไว้ในบทความนี้

ก่อนที่คุณจะเริ่มต้น

การดูรายการมาตรการรักษาความปลอดภัยมากมายเพื่อปกป้องเว็บไซต์จากแฮ็กเกอร์อาจเป็นเรื่องที่ค่อนข้างน่ากลัว เราตระหนักดีว่า ดังนั้น เพื่อให้การใช้มาตรการรักษาความปลอดภัยเหล่านี้ง่ายขึ้น เราจึงจัดรายการการป้องกันแฮ็กเกอร์นี้ให้ง่ายขึ้น เราขอแนะนำให้บุ๊กมาร์กบทความนี้ไว้ และกลับมาอ่านบทความนี้อีกครั้งในขณะที่คุณพยายามอ่านบทความนี้

มีขั้นตอนป้องกันหลายอย่างในรายการนี้: สิ่งที่คุณควรทำ สิ่งที่คุณไม่ควรทำ และตำนานที่ถูกจับได้บางส่วนเช่นกัน

เป้าหมายของบทความนี้คือการทำให้ความปลอดภัยชัดเจนยิ่งขึ้น โดยตัดผ่านความยุ่งเหยิงที่มีอยู่ในที่อื่น อย่างไรก็ตาม สิ่งที่สำคัญที่สุดคือการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และไวรัสไม่ใช่กิจกรรมที่ทำเพียงครั้งเดียว แต่เพิ่มเติมเกี่ยวกับสิ่งนั้นเมื่อเราก้าวหน้า

6 ขั้นตอนพื้นฐานในการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ทันที

มาตรการป้องกันในส่วนนี้เป็นวิธีที่ง่ายที่สุดในการดำเนินการ และโดยสุจริตจะช่วยให้คุณมีความพร้อมพอสมควร เมื่อมองแวบแรกอาจดูเหมือนเป็นเทคนิคหรือขั้นสูง แต่ลองดูจากคนที่ไม่ใช่วิศวกร: คุณเข้าใจแล้ว!

1. ติดตั้งไฟร์วอลล์ที่ดี

แฮ็กเกอร์ไม่ได้เจาะเข้าไปในเว็บไซต์ด้วยตนเอง แฮ็กเกอร์ที่ดีจะสร้างบอทที่ตรวจจับไซต์ที่มีช่องโหว่และทำให้กระบวนการส่วนใหญ่ทำงานโดยอัตโนมัติ ตอนนี้ บอทได้รับการตั้งโปรแกรมให้ดำเนินการบางอย่างโดยเฉพาะ พวกเขาไม่ได้มีความรู้สึก

โดยพื้นฐานแล้วไฟร์วอลล์คือรหัสที่ระบุคำขอที่เป็นอันตราย ทุกคำขอข้อมูลที่ส่งไปยังเว็บไซต์ของคุณจะต้องผ่านไฟร์วอลล์ก่อน หากไฟร์วอลล์ตรวจพบว่าคำขอนั้นเป็นอันตราย หรือสร้างจากที่อยู่ IP ที่ทราบว่าเป็นอันตราย คำขอนั้นจะถูกบล็อกแทนที่จะดำเนินการ

หลีกเลี่ยงการเปลี่ยนการกำหนดค่าไฟร์วอลล์

ไฟร์วอลล์บางตัวจะอนุญาตให้คุณกำหนดการตั้งค่า อย่างไรก็ตาม เราไม่แนะนำเว้นแต่คุณจะเป็นมืออาชีพด้านความปลอดภัยของเว็บไซต์โดยสุจริต กฎไฟร์วอลล์ถูกสร้างขึ้นหลังจากการวิจัยด้านความปลอดภัยที่สำคัญและการกำจัดมัลแวร์โดยตรงจำนวนมาก

ตัวอย่างเช่น ปลั๊กอินความปลอดภัย WordPress ส่วนใหญ่มีกฎที่ป้องกันไม่ให้ใครก็ตามที่ไม่มีการเข้าถึงของผู้ดูแลระบบเข้าถึงไฟล์ wp-config.php ไฟล์ wp-config.php เป็นไฟล์หลักของ WordPress ที่มีข้อมูลที่ละเอียดอ่อนจำนวนมาก ดังนั้นไฟร์วอลล์จะตรวจสอบทุกคำขอที่ส่งไปยังเว็บไซต์เพื่อดูว่ามีข้อความ “wp-config.php” หรือไม่ หากมีการทริกเกอร์กฎ คำขอจะถูกปฏิเสธโดยไฟร์วอลล์

นอกจากนี้ เนื่องจากแฮ็กเกอร์พยายามเจาะเว็บไซต์ให้ได้มากที่สุดเมื่อพบช่องโหว่ สิ่งนี้ทำให้ IP ของแฮ็กเกอร์เบาลง ไฟร์วอลล์ของ WordPress ติดตามและบล็อก IP ที่เป็นอันตรายล่วงหน้าตามการโจมตีเหล่านี้

แน่นอนว่าไม่มีไฟร์วอลล์ใดที่ไม่สามารถแฮ็กได้ 100% แต่มันเป็นวิธีที่ดีกว่าที่จะมีไฟร์วอลล์ที่บล็อกซอฟต์แวร์ที่เป็นอันตรายส่วนใหญ่ ดีกว่าไม่มีไฟร์วอลล์เลย แต่ไฟร์วอลล์ทั้งหมดไม่เหมือนกัน และบางตัวก็มีประสิทธิภาพมากกว่าตัวอื่นมาก ดังนั้นเราจึงจัดทำรายการไฟร์วอลล์ WordPress ที่ดีที่สุดเพื่อให้คุณเลือก

2. มีนโยบายรหัสผ่านที่รัดกุมและใช้ตัวจัดการรหัสผ่าน

เราอยู่ในระบบความปลอดภัยของ WordPress มานานกว่าทศวรรษแล้ว คุณจะแปลกใจที่รู้ว่ามีเว็บไซต์กี่แห่งที่ถูกแฮ็กเพียงเพราะรหัสผ่านไม่รัดกุม

รหัสผ่านที่เดาง่ายถูกใช้โดยเว็บไซต์หลายแสนแห่ง 5% ของไซต์ที่ถูกแฮ็กซึ่งใช้ MalCare เพื่อลบมัลแวร์ใช้รหัสผ่านที่ไม่รัดกุม

แฮ็กเกอร์มีรายการรหัสผ่านที่เรียกว่าตารางสีรุ้ง และพวกเขาสร้างตารางขนาดใหญ่ขึ้นอย่างต่อเนื่องเพื่อใช้เป็นพจนานุกรมประเภทต่างๆ การใช้ตารางเหล่านี้ แฮ็กเกอร์สามารถเริ่มการโจมตีที่เรียกว่า 'การโจมตีตามพจนานุกรม'

การโจมตีด้วยพจนานุกรมส่วนใหญ่แตกต่างจากการโจมตีด้วยกำลังดุร้าย แต่นั่นไม่ใช่วิธีเดียวในการแฮ็กรหัสผ่าน ดังนั้น ขอแนะนำให้ใช้รหัสผ่านที่รัดกุม

รหัสผ่านที่รัดกุมประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์ ชุดค่าผสมที่ผิดปกตินั้นยากที่จะถอดรหัสและอาจใช้อัลกอริธึมกำลังดุร้ายหลายปีในการถอดรหัส นอกจากนี้ ยิ่งรหัสผ่านยาวเท่าไร การถอดรหัสก็ยิ่งยากขึ้นเท่านั้น

บทความนี้จะช่วยคุณสร้างรหัสผ่านมหากาพย์ของคุณเอง

คุณยังสามารถใช้ปลั๊กอินเพื่อบังคับใช้รหัสผ่านที่รัดกุมจากผู้ใช้ WordPress ทั้งหมดของคุณด้วยปลั๊กอิน Password Policies Manager สำหรับ WordPress ปลั๊กอินนี้จะช่วยคุณสร้างนโยบายที่บังคับให้ผู้ใช้ WordPress ทุกคนสร้างรหัสผ่านที่รัดกุมเมื่อสร้างบัญชี

3. ติดตั้ง SSL และใช้ HTTPS บนเว็บไซต์ของคุณ

ใบรับรอง Secure Sockets Layer (SSL) เป็นโปรโตคอลความปลอดภัยที่เข้ารหัสการสื่อสารทั้งหมดไปยังและจากเว็บไซต์ การติดตั้งจะช่วยให้มั่นใจได้ว่าแม้ว่าแฮ็กเกอร์จะดักข้อมูลจากเว็บไซต์ของคุณ แต่พวกเขาจะไม่สามารถเข้าใจได้ว่ามันคืออะไร

เราได้สร้างคำแนะนำทั้งหมดเกี่ยวกับการติดตั้งใบรับรอง SSL อย่างถูกวิธี อย่างจริงจังการโฆษณาเป็นสิ่งที่ชอบธรรม รับใบรับรอง SSL สำหรับเว็บไซต์ของคุณทันที ในฐานะโบนัสเพิ่มเติม คุณจะได้รับประโยชน์จาก SEO ด้วย

4. กลั่นกรองผู้ใช้ที่เป็นผู้ดูแลระบบอย่างรอบคอบ

คนส่วนใหญ่คิดว่าแฮ็กเกอร์จะติดตั้งมัลแวร์บนเว็บไซต์ของตนและออกไปเท่านั้น ที่ไม่เป็นความจริง. แฮ็กเกอร์ที่ฉลาดจริงๆ จะสร้างบัญชีผีที่มีสิทธิ์ของผู้ดูแลระบบ เพื่อให้พวกเขาสามารถกลับเข้ามาใหม่ได้ทุกเมื่อที่ต้องการ

การตรวจสอบและลบผู้ใช้ WordPress เป็นประจำสามารถแก้ไขปัญหานี้ได้

ใช่ อาจเป็นกิจกรรมที่ใช้เวลานานหากคุณมีทีมงานขนาดใหญ่ที่จัดการเว็บไซต์ของคุณ แต่มันก็คุ้มค่า การลบผู้ใช้ที่ไม่มีส่วนร่วมในไซต์ของคุณอีกต่อไปคือจุดเริ่มต้นแรก จากนั้น กำหนดให้ใช้รหัสผ่านที่รัดกุมเพื่อให้ผู้เขียนและผู้แก้ไขของคุณไม่เผลอทำอันตรายต่อไซต์ของคุณ

คุณอาจปฏิบัติตามหลักปฏิบัติด้านความปลอดภัยที่ยอดเยี่ยมสำหรับรหัสผ่านของคุณ แต่ถ้าผู้ดูแลระบบคนใดคนหนึ่งของคุณตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิ่ง เว็บไซต์ของคุณก็จะได้รับผลกระทบเช่นกัน

ใช้บทบาทของผู้ใช้ WordPress อย่างเต็มที่เพื่อจำกัดการเข้าถึงเท่าที่เป็นไปได้ ตัวอย่างเช่น หากมีคนเขียนและอัปโหลดบทความเท่านั้น ให้สิทธิ์ "ผู้เขียน" แก่พวกเขา ไม่ใช่สิทธิ์ "ผู้ดูแลระบบ" อ่านบทความของเราเกี่ยวกับบทบาทของ WordPress เพื่อหาวิธีทำทุกอย่างให้สำเร็จโดยไม่ลำบาก

5. ใช้บันทึกกิจกรรม

การเห็นบางสิ่งที่ไม่คาดคิดบนเว็บไซต์ของคุณสามารถปลุกได้ทันท่วงทีในหลายสถานการณ์ พิจารณาว่าบัญชีผู้ดูแลระบบถูกสร้างขึ้นโดยที่คุณไม่รู้หรือไม่ หรือปิดใช้งานปลั๊กอิน (เช่น ปลั๊กอินความปลอดภัย) โดยไม่ได้รับความเห็นพ้องต้องกัน

ทั้งหมดนี้เป็นตัวอย่างของการดำเนินการของผู้ดูแลเว็บไซต์ที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม การกระทำเหล่านี้อาจบ่งบอกถึงการเข้าถึงโดยไม่ได้รับอนุญาตได้เช่นกัน บันทึกกิจกรรมจะบอกคุณว่าเกิดอะไรขึ้นบนไซต์ของคุณ จากนั้นคุณสามารถประเมินได้ว่าการกระทำเหล่านี้ถูกต้องตามกฎหมายหรือไม่

วิธีนี้ช่วยประหยัดเบคอนของเราได้หลายครั้ง

แฮ็กเกอร์ส่วนใหญ่ระมัดระวังอย่างมากเพื่อไม่ให้ถูกจับได้ เพราะพวกเขาจะสามารถควบคุมเว็บไซต์ของคุณได้ตราบเท่าที่ไม่ถูกจับได้ บันทึกกิจกรรมช่วยในการส่งสัญญาณการเปลี่ยนแปลง คุณจึงสามารถดักจับกิจกรรมที่ไม่ได้รับอนุญาตได้ทันที

MalCare มาพร้อมกับบันทึกกิจกรรมบนแดชบอร์ด และไม่มีการกำหนดค่าที่จำเป็นในการตั้งค่า

6. ทำการสำรองข้อมูลเป็นประจำ

การสำรองข้อมูลอาจเป็นหนึ่งในกลยุทธ์ที่ประเมินค่าต่ำที่สุดที่คุณสามารถใช้ได้ ทำการสำรองข้อมูลทุกวันเสมอ เพื่อให้คุณสามารถกู้คืนเว็บไซต์ของคุณได้อย่างรวดเร็วในกรณีที่เกิดความล้มเหลวอย่างรุนแรง

เลือกปลั๊กอินสำรองข้อมูลที่ดีที่เชื่อถือได้ เนื่องจากการสำรองข้อมูลด้วยตนเองนั้นยากที่จะดำเนินการได้อย่างถูกต้องหากไม่มีผู้เชี่ยวชาญ

อันที่จริง ก่อนที่คุณจะดำเนินการตามขั้นตอนใดๆ ในบทความนี้ ให้สำรองข้อมูลเว็บไซต์ของคุณทั้งหมดและตั้งค่าการสำรองข้อมูลรายวันทันที นี่เป็นแนวปฏิบัติที่ดีเสมอเมื่อทำการเปลี่ยนแปลงใดๆ กับไซต์ของคุณ

5 ขั้นตอนขั้นกลางในการปกป้องเว็บไซต์ของคุณไปอีกขั้น

ขั้นตอนพื้นฐานในบทความนี้เป็นการเริ่มต้นที่ดี และไม่ควรใช้เวลามากเกินไปในการตั้งค่า ในส่วนนี้ นอกเหนือจากการตรวจสอบสิทธิ์แบบสองปัจจัยและการจำกัดความพยายามในการเข้าสู่ระบบแล้ว ขั้นตอนต่างๆ ยังเป็นมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ในบทความนี้ สิ่งสำคัญคือต้องคำนึงถึงความปลอดภัยของเว็บไซต์ในทางที่ถูกต้อง ไม่ใช่การตั้งค่าหรือกิจกรรมเพียงครั้งเดียว และต้องถือว่าเป็นส่วนหนึ่งของการดูแลไซต์ของคุณตามปกติ

1. อัพเดททุกอย่าง

การแฮ็กมากกว่า 90% เกิดขึ้นเนื่องจากแฮ็กเกอร์ได้ระบุช่องโหว่ในธีมหรือปลั๊กอิน และใช้ประโยชน์จากช่องโหว่นั้นผ่านเว็บไซต์ต่างๆ

แล้วช่องโหว่คืออะไร? ธีมและปลั๊กอินเป็นซอฟต์แวร์ เช่นเดียวกับซอฟต์แวร์อื่น ๆ ซอฟต์แวร์เหล่านี้เป็นส่วนของโค้ดที่มักมีข้อบกพร่องอยู่เสมอ ข้อบกพร่องบางอย่างค่อนข้างไม่เป็นอันตรายและอาจทำให้เกิดความผิดพลาดเล็กน้อยในขณะอัปเดต ผู้อื่นสามารถทำให้โค้ดเสี่ยงต่อการถูกโจมตีได้

เมื่อมีการค้นพบช่องโหว่ ส่วนใหญ่โดยนักวิจัยด้านความปลอดภัย พวกเขาจะถูกเปิดเผยต่อผู้พัฒนาปลั๊กอินเพื่อหาแพตช์ นักพัฒนาที่มีความรับผิดชอบจะออกการแก้ไข และเว็บไซต์ที่ติดตั้งปลั๊กอินจะเห็นว่ามีปลั๊กอินเวอร์ชันอัปเดตให้ใช้งานเร็วๆ นี้

เมื่อแก้ไขแล้ว ช่องโหว่จะถูกเปิดเผยสู่สาธารณะ หากคุณเป็นหนึ่งในเว็บไซต์ที่อัปเดตปลั๊กอินหรือธีมด้วยการแก้ไขความปลอดภัย นั่นถือว่ายอดเยี่ยมมาก ถ้าไม่ ไซต์ของคุณจะกลายเป็นเป้าหมายของแฮ็กเกอร์มือสมัครเล่น (เรียกว่าสคริปต์ตัวเล็ก) ที่ต้องการทำเงินอย่างรวดเร็ว

ดังนั้นจึงเป็นการดีที่สุดที่จะอัปเดตทุกอย่างตั้งแต่ WordPress ไปจนถึงปลั๊กอินอยู่เสมอ เราทราบดีว่าบางครั้งการอัปเดตอาจทำให้เว็บไซต์เสียหายด้วยวิธีที่คาดไม่ถึง ดังนั้นเพื่อหลีกเลี่ยงความไม่สะดวกใดๆ ให้ใช้การจัดเตรียมเพื่ออัปเดตอย่างปลอดภัย แต่โปรดปรับปรุงทุกอย่าง

เราจัดทำคู่มือเกี่ยวกับการอัปเดตเว็บไซต์ WordPress อย่างปลอดภัยและหยุดชะงักน้อยที่สุด

2. เลือกธีมและปลั๊กอินที่ดี

หากคุณสังเกตเห็นจากส่วนก่อนหน้านี้ เราอ้างถึงนักพัฒนาซอฟต์แวร์ที่เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ว่าเป็นผู้รับผิดชอบ กล่าวโดยย่อ นักพัฒนาที่ดีจะดูแลรักษาซอฟต์แวร์ของตนอย่างแข็งขัน

นี่ไม่ใช่สถานการณ์ที่เป็นสากล เศร้าแต่จริง.

ดังนั้นเราจึงสนับสนุนอย่างยิ่งให้ใช้ปลั๊กอินและธีมที่ดีสำหรับเว็บไซต์ของคุณ เป็นที่เข้าใจได้ว่า "ดี" เป็นคำที่สัมพันธ์กันและค่อนข้างคลุมเครือ ดังนั้นเราจึงแสดงรายการปัจจัยที่คุณควรพิจารณาเมื่อเลือกใช้ปลั๊กอินสำหรับเว็บไซต์ของคุณ:

• อัปเดตเป็นประจำ: ปลั๊กอินหรือธีมที่เผยแพร่การอัปเดตอย่างสม่ำเสมอ และคอยแก้ไขช่องโหว่ที่ตรวจพบ สิ่งนี้จะบอกคุณว่าผู้พัฒนาจริงจังกับความเสี่ยงด้านความปลอดภัยของผลิตภัณฑ์ของตน

• การติดตั้งที่ใช้งานอยู่: ปลั๊กอินยอดนิยมที่มีการติดตั้งหลายล้านครั้งจะมีเป้าหมายอยู่ที่ด้านหลังเสมอ แบบฟอร์มการติดต่อ 7 เป็นตัวอย่างที่ชัดเจนของแนวโน้มนี้ ในทางกลับกันคือปลั๊กอินยอดนิยมมีแนวโน้มที่จะปลอดภัยกว่าเพราะมักจะมีทีมงานที่ใหญ่กว่าและดีกว่าที่ทำงานเพื่อปรับปรุงผลิตภัณฑ์ ดังนั้นจงเลือกอย่างชาญฉลาดหลังจากทำการวิจัยอย่างเพียงพอแล้ว

• ความน่าเชื่อถือ: หลีกเลี่ยงการติดตั้งปลั๊กอินหรือธีมที่พัฒนาโดยฟรีแลนซ์ที่ไม่มีใครรู้จัก ใช้ปลั๊กอินและธีมที่พัฒนาโดยนักพัฒนาและแบรนด์ที่มีชื่อเสียงเท่านั้น หากคุณซื้อจากตลาดกลาง ตรวจสอบให้แน่ใจว่าคุณเชื่อถือผู้พัฒนาและไม่ใช่แค่ตลาดกลาง

• เวอร์ชันที่ต้องชำระเงิน: โดยปกติแล้ว ผู้จำหน่ายปลั๊กอินแบบชำระเงินจะใช้เวลาและเงินมากกว่าในการค้นหาและแก้ไขช่องโหว่ หากคุณมีงบจำกัด ปลั๊กอินฟรีจะเหมาะสมกว่า แต่ถ้าคุณกังวลเกี่ยวกับความปลอดภัยของเว็บไซต์ของคุณ เราขอแนะนำให้ใช้ธีมและปลั๊กอินพรีเมียมแทน

โปรดทราบว่าคุณอาจถูกล่อลวงให้ใช้ปลั๊กอินและธีมที่เป็นโมฆะ อย่าทำมัน แค่เสี่ยงก็ไม่คุ้ม

ซอฟต์แวร์ Nulled แพร่กระจายมัลแวร์ นั่นเป็นเหตุผลที่คุณได้รับผลิตภัณฑ์ระดับพรีเมียมฟรี แต่แม้ว่าไฟล์ zip จะไม่มีรหัสที่เป็นอันตรายอย่างเห็นได้ชัด ผู้ใช้ปลั๊กอินหรือธีมที่เป็นโมฆะจะรู้ว่าพวกเขาไม่สามารถอัปเดตซอฟต์แวร์ได้ นั่นทำให้เว็บไซต์เสี่ยงต่อการถูกแฮ็ก ดังที่เราได้กล่าวไปแล้วในส่วนที่แล้ว

3. ใช้ 2FA

การรับรองความถูกต้องด้วยสองปัจจัย (2FA) เป็นมาตรการรักษาความปลอดภัยที่เพิ่มอุปกรณ์หรือโทเค็นอื่นที่คุณต้องมีสิทธิ์เข้าถึงเพื่อเข้าสู่ระบบ นอกเหนือจากรหัสผ่านของคุณ

มีโปรโตคอลบางตัวที่ใช้สำหรับ 2FA เช่น TOTP (รหัสผ่านแบบใช้ครั้งเดียวตามเวลา) หรือ HOTP (รหัสผ่านแบบใช้ครั้งเดียวแบบ HMAC) แต่ละรายการมีข้อดีและข้อเสียต่างกันไป แต่เพื่อจุดประสงค์ด้านความปลอดภัยในการเข้าสู่ระบบ เราไม่จำเป็นต้องลงลึกในรายละเอียดเหล่านั้น

มีแอปแบบเสียเงินและฟรีหลายแอปที่สามารถใช้เพื่อเพิ่ม 2FA ในหน้าเข้าสู่ระบบของคุณได้ และแอปเหล่านี้รองรับโปรโตคอลยอดนิยม หากต้องการความช่วยเหลือเพิ่มเติม โปรดดูบทความนี้เพื่อดูวิธีตั้งค่า WordPress 2FA หากคุณมีผู้ร่วมให้ข้อมูลจำนวนมากในเว็บไซต์ของคุณ เป็นความคิดที่ดีอย่างยิ่งที่จะใช้คุณสมบัติการรักษาความปลอดภัยนี้

4. เลือกโฮสต์เว็บที่ดี

คนส่วนใหญ่ถือโฮสต์เว็บที่รับผิดชอบแม้กระทั่งความปลอดภัยของเว็บไซต์ แต่ไม่ค่อยจะเป็นความผิดของโฮสต์เว็บหากไซต์ของคุณถูกแฮ็ก ในความเป็นจริงแล้ว ในบางกรณีที่เกิดขึ้นไม่บ่อยนักที่โฮสต์เว็บต้องรับผิดชอบต่อการละเมิดความปลอดภัย เว็บไซต์หลายพันแห่งได้รับผลกระทบ

รองเท้าอยู่อีกข้างเกือบตลอดเวลา และโฮสต์เว็บที่ดีจะเป็นเครื่องมือในการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ ดังนั้น คุณควรมุ่งไปที่บริการโฮสติ้งที่ปลอดภัยที่สุด นี่คือรายชื่อผู้ให้บริการโฮสติ้ง WordPress ที่ดีที่สุดที่เรารวบรวมเพื่อช่วยคุณเลือกโฮสต์เว็บที่ดี

5. จำกัดความพยายามในการเข้าสู่ระบบ

วิธีง่ายๆ วิธีหนึ่งในการบล็อกบ็อตและผู้โจมตีที่กำลังดุร้ายคือการปฏิเสธการเข้าสู่ที่อยู่ IP หลังจากพยายามล้มเหลว 3 ครั้ง ไฟร์วอลล์ MalCare มาพร้อมกับคุณสมบัตินี้ การจำกัดความพยายามในการเข้าสู่ระบบเป็นวิธีที่มีประสิทธิภาพสูงในการปกป้องเว็บไซต์ของคุณโดยไม่มีข้อเสียมากมาย

คุณสามารถใช้ปลั๊กอิน 'จำกัดการเข้าสู่ระบบ' เมื่อติดตั้ง WordPress ได้เช่นกัน แต่ถ้าคุณใส่รหัสผ่านผิด 3 ครั้ง คุณจะต้องขอให้โฮสต์เว็บปลดบล็อกที่อยู่ IP ของคุณเพื่อลองใหม่อีกครั้ง

2 ขั้นตอนจากผู้เชี่ยวชาญเพื่อเพิ่มการป้องกันเว็บไซต์ของคุณอย่างแท้จริง

แม้ว่าคุณจะสามารถดำเนินการตามขั้นตอนต่างๆ ในส่วนก่อนหน้าจนเสร็จสิ้นได้ แต่คุณก็ยังถือว่าค่อนข้างดีในแง่ของการปกป้องไซต์ของคุณจากแฮ็กเกอร์ มาตรการต่อไปนี้มีผล แต่ต้องมีการเจาะรหัสบ้าง

เราต้องการย้ำว่าการแฮ็กส่วนใหญ่เกิดขึ้นเนื่องจากช่องโหว่ ดังนั้นการดูแลช่องโหว่ดังกล่าวจะช่วยปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และไวรัสได้ค่อนข้างดี หากคุณไม่สบายใจที่จะลองทำตามขั้นตอนต่อไปนี้ด้วยตัวเอง คุณสามารถเพิกเฉยหรือส่งไปให้นักพัฒนาของคุณดำเนินการ ไม่ว่าจะด้วยวิธีใด ไซต์ของคุณยังคงได้รับการปกป้องอย่างดีจากแฮ็กเกอร์

1. บล็อกการดำเนินการ PHP ในโฟลเดอร์อัปโหลด

มีช่องโหว่ทั้งหมดที่เรียกว่าช่องโหว่ Remote Code Execution ซึ่งช่วยให้แฮ็กเกอร์สามารถอัปโหลดโค้ด PHP ที่เป็นอันตรายไปยังโฟลเดอร์อัปโหลดได้ โดยปกติแล้ว โฟลเดอร์ Uploads ไม่ได้มีไว้สำหรับเก็บโค้ดสั่งการใดๆ มีไว้เพื่อให้มีไฟล์มีเดียของคุณ แต่ธรรมชาติของโฟลเดอร์ Uploads คืออนุญาตให้จัดเก็บไฟล์และโฟลเดอร์ภายในโฟลเดอร์ได้

เมื่อโค้ดถูกอัปโหลดไปยังเว็บไซต์ของคุณแล้ว แฮ็กเกอร์สามารถรันโค้ดนั้นและเข้าควบคุมไซต์ของคุณได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม หากคุณบล็อกการทำงานของ PHP ในโฟลเดอร์ Uploads การโจมตีก็จะไม่เกิดขึ้น

หากคุณใช้ MalCare คุณสามารถบล็อกการดำเนินการ PHP ในโฟลเดอร์อัปโหลดด้วยการคลิกปุ่มซึ่งเป็นส่วนหนึ่งของมาตรการเสริมความแข็งแกร่งของ WordPress

2. เปลี่ยนคีย์ความปลอดภัย WordPress

หากคุณถูกแฮ็กเมื่อเร็วๆ นี้ คุณสามารถเปลี่ยนคีย์ความปลอดภัย WordPress ได้ นี่คือสตริงที่แฮชพร้อมกับชื่อผู้ใช้และรหัสผ่านของคุณเพื่อจัดการเซสชันการเข้าสู่ระบบสำหรับผู้ใช้

คุณสามารถตั้งค่าสตริงนี้เป็นอะไรก็ได้ แต่เช่นเดียวกับรหัสผ่าน ควรใช้สตริงตัวอักษรและตัวเลขที่สร้างขึ้นแบบสุ่ม อ่านเพิ่มเติมเกี่ยวกับคีย์ความปลอดภัยและวิธีเปลี่ยน

2 เคล็ดลับโบนัสสำหรับการป้องกันเว็บไซต์จากแฮกเกอร์

1. อัพเดทข่าวสารด้านความปลอดภัยอยู่เสมอ

การรับทราบข้อมูล ถามคำถาม และปรึกษากับชุมชนเป็นวิธีที่ยอดเยี่ยมในการติดตามการแฮ็กล่าสุดและการเปลี่ยนแปลงในแนวภัยคุกคาม ตัวอย่างเช่น หากพบช่องโหว่ของปลั๊กอิน คุณสามารถปิดใช้งานได้จากแดชบอร์ดของคุณจนกว่าการอัปเดตจะพร้อมใช้งานและติดตั้ง ไม่ว่าคุณจะเผชิญกับความไม่สะดวกใด ๆ ก็ตาม เมื่อเทียบกับความสูญเสียที่เกิดขึ้นจากเว็บไซต์ที่ถูกแฮ็ก

2 . ดำเนินการตรวจสอบความปลอดภัยเป็นประจำ

เจ้าของเว็บไซต์จำนวนมากเชื่อผิดๆ ว่าเว็บไซต์ของตนมีขนาดเล็กเกินไปที่จะถือว่าคู่ควรแก่การแฮ็ก นี้ไม่มีที่ไหนใกล้เคียงกับความจริง การแฮ็กเกิดขึ้นได้จากหลายสาเหตุ และหากเว็บไซต์ของคุณไม่ได้กำไรในแง่ของข้อมูลผู้ใช้ ก็ยังมีสิทธิ์ SEO เพียงพอที่จะใช้เป็นไซต์ฟิชชิ่งได้

การตรวจสอบความปลอดภัยเป็นประจำจะช่วยเปิดเผยแนวทางปฏิบัติที่ไม่ปลอดภัยรวมถึงช่องโหว่ที่อาจเกิดขึ้นในเว็บไซต์ของคุณ การเฝ้าดูเหตุการณ์ที่เกิดขึ้นบนเว็บไซต์ของคุณ เช่น ผ่านบันทึกกิจกรรมหรือการตรวจสอบผู้ใช้ เป็นต้น จะช่วยให้คุณไม่ต้องเสียใจในระยะยาว

สิ่งที่จะไม่ช่วยปกป้องเว็บไซต์ของคุณ

เราสนับสนุนให้มีจิตสำนึกด้านความปลอดภัย แต่ไม่หวาดระแวง นอกจากนี้ เราได้เห็นว่ามีคำแนะนำที่ไม่ดีมากมายสำหรับเจ้าของเว็บไซต์ คำแนะนำอาจมาจากที่ที่ดี แต่อาจมีผลลัพธ์ที่ไม่ได้ตั้งใจ เช่น สร้างประสบการณ์ผู้ใช้ที่ไม่ดี หรือบล็อกคุณออกจากเว็บไซต์ของคุณเอง!

ดังนั้นโปรดอย่าทำสิ่งต่อไปนี้

1. ซ่อนหน้าล็อกอิน wp ของคุณ

ปลั๊กอินความปลอดภัยจำนวนมากยังคงเชื่อว่าเคล็ดลับเก่าแก่นี้ใช้ได้ผล

หากแฮ็กเกอร์ไม่พบหน้าเข้าสู่ระบบ พวกเขาไม่สามารถโจมตีด้วยกำลังดุร้ายได้ใช่ไหม ไม่ ไม่จริง แทน:

• ทำให้เว็บไซต์ของคุณใช้งานได้ยากมาก หากคุณลืม URL สำหรับเข้าสู่ระบบใหม่ การกู้คืนบัญชีของคุณอาจทำได้ยาก
• หากคุณใช้ URL เริ่มต้นที่มาพร้อมกับปลั๊กอินความปลอดภัย แฮ็กเกอร์จะเดา URL ใหม่ของคุณได้ง่าย
• แม้ว่าแฮ็กเกอร์จะไม่พบหน้าการเข้าสู่ระบบด้วย wp พวกเขายังสามารถแฮ็กเว็บไซต์ของคุณได้โดยใช้ช่องโหว่ XML-RPC

ตัวเลือกนี้ไม่ได้ผลอะไรเลยในตอนท้ายและอาจทำให้เกิดปัญหาได้ไม่น้อย

2. การปิดกั้นทางภูมิศาสตร์

การปิดกั้นทางภูมิศาสตร์เป็นการปิดกั้นการรับส่งข้อมูลจากประเทศที่ไม่มีผลิตภัณฑ์หรือบริการของคุณหรือมีความเกี่ยวข้อง ซึ่งมักจะถูกมองว่าเป็นมาตรการรักษาความปลอดภัย แต่จริงๆ แล้วเป็นวิธีการลดการเรียกเก็บเงินสำหรับทรัพยากรเซิร์ฟเวอร์ที่ใช้ไป

ค่อนข้างเป็นไปได้ที่คุณคิดว่าการเข้าชมจากกาบองไม่ได้ช่วยธุรกิจของคุณ แต่การบล็อกทราฟฟิกทั้งหมดจากกาบองไม่ได้แก้ปัญหาอะไรเลย ด้วย VPN ที่ดี ทุกคนสามารถข้ามได้แม้กระทั่งการปิดกั้นทางภูมิศาสตร์ของ Netflix

นอกจากนี้ คุณยังเสี่ยงต่อการบล็อก Googlebot และตัวคุณเองอีกด้วย!

3. รหัสผ่านป้องกันไดเร็กทอรี wp-admin

โฟลเดอร์ wp-admin เป็นหนึ่งในไดเร็กทอรีที่สำคัญที่สุดในการติดตั้ง WordPress ดังนั้น ตามธรรมชาติแล้ว แฮ็กเกอร์ทุกคนต้องการเข้าถึงมัน ในตอนแรกผู้เชี่ยวชาญด้านความปลอดภัยคิดว่าการใช้รหัสผ่านป้องกันไดเร็กทอรีเป็นความคิดที่ดี แต่หลังจากนั้นเราก็ตระหนักว่าไม่ใช่แนวปฏิบัติที่ดี

รหัสผ่านที่ป้องกันไดเร็กทอรี wp-admin ของคุณทำลายฟังก์ชัน AJAX บนเว็บไซต์ WordPress ของคุณ และทำให้ปลั๊กอินจำนวนมากทำงานผิดปกติ หากคุณใช้งานเว็บไซต์ WooCommerce โค้ด AJAX ที่เสียหายอาจทำให้ฟังก์ชันการค้นหาและองค์ประกอบ UX ที่สำคัญอื่นๆ เสียหายได้

ทำไมคุณควรปกป้องเว็บไซต์ของคุณจากแฮกเกอร์

บทความนี้มีข้อมูลมากมายเกี่ยวกับวิธีปกป้องเว็บไซต์ของคุณจากแฮ็กเกอร์ และบางทีเราอาจเคยพูดถึงเรื่องนี้ไปสองสามครั้งแล้ว แต่ก็ยังต้องอ่านซ้ำ ไซต์ของคุณมีค่า

เมื่อเราบอกว่ามันมีค่า เราไม่ได้พูดถึงคุณและผู้เยี่ยมชมของคุณเท่านั้น บางทีคุณอาจมีร้านค้าออนไลน์เล็กๆ หรือบล็อกงานอดิเรกที่มีคนกลุ่มเล็กๆ เข้าเยี่ยมชมเป็นประจำ ข้อตกลงคือแม้ว่าผลประโยชน์ทางการเงินโดยตรงจากการแฮ็กเว็บไซต์ของคุณจะไม่มากนัก แต่ประโยชน์ของการมีเว็บไซต์ที่สะอาดเพื่อติดตามสินค้าผิดกฎหมายหรือสินค้าในตลาดสีเทายังคงทำให้การแฮ็กนั้นคุ้มค่าสำหรับแฮ็กเกอร์

ดังนั้น เว็บไซต์ขนาดเล็กจึงไม่สามารถป้องกันเจตนาร้ายได้

ประการที่สอง เราทุกคนจำเป็นต้องปกป้องข้อมูลและตัวตนของผู้ใช้ของเรา พวกเขาให้ความไว้วางใจในไซต์จำนวนหนึ่งโดยการเยี่ยมชมเลย และเราควรใส่ใจและคำนึงถึงพวกเขาในขณะที่คำนึงถึงความปลอดภัยของเว็บไซต์

บทสรุป

คุณสามารถหยุดแฮ็กเกอร์ได้ด้วยการเฝ้าระวังและดำเนินการเชิงรุกเพื่อความปลอดภัย สิ่งสำคัญคือต้องตระหนักว่าการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และการโจมตีที่เป็นอันตรายเป็นกระบวนการต่อเนื่อง มีขั้นตอนต่างๆ ที่คุณสามารถทำได้เพียงครั้งเดียว แต่ส่วนใหญ่คุณจะต้องตระหนักถึงการเปลี่ยนแปลงของแนวภัยคุกคาม

นอกจากนี้ ไม่มีบทความแบบครบวงจรที่สามารถช่วยคุณหยุดยั้งการแฮ็กเว็บไซต์ของคุณได้ทั้งหมด บทความหรือเว็บไซต์หรือผู้เชี่ยวชาญใด ๆ ที่อ้างว่าทำเช่นนั้นไม่เป็นความจริง

ดังนั้น แม้ว่าเราจะไม่สามารถรับประกันได้ว่าบทความนี้จะรักษาเว็บไซต์ของคุณให้ปลอดภัยตลอดไป แต่เราได้ให้เคล็ดลับความปลอดภัยทั่วไปบางประการแก่คุณ ซึ่งจะทำให้เว็บไซต์ของคุณค่อนข้างยากที่จะถูกแฮ็ก เมื่อใช้เคล็ดลับในบทความนี้ คุณจะสามารถแก้ไขข้อบกพร่องหลายประการในการรักษาความปลอดภัยเว็บไซต์ของคุณ

คำถามที่พบบ่อย