วิธีรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

เผยแพร่แล้ว: 2020-09-25

บริการโฮสติ้ง WordPress ที่มีการจัดการ (เช่น Pressidium) มักให้ความสำคัญกับความปลอดภัยของแพลตฟอร์มโฮสติ้ง มีการปรับใช้คุณสมบัติมากมายเพื่อช่วยให้เว็บไซต์ WordPress โฮสต์บนระบบเหล่านี้ปลอดภัย

อย่างไรก็ตาม มีเพียงโฮสต์ WordPress เท่านั้นที่สามารถทำได้เพื่อความปลอดภัยของเว็บไซต์ WordPress เจ้าของเว็บไซต์มีบทบาทของตนเองในการทำให้เว็บไซต์ของตนปลอดภัย ในบทความนี้ เราจะมาดูขั้นตอนที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ

การรักษาเว็บไซต์ของคุณให้ปลอดภัย – ภาพรวม

การแฮ็กเว็บไซต์จำนวนมากเกิดขึ้นจากการกระทำ (หรือการละเลย) ของเจ้าของเว็บไซต์โดยตรง สิ่งต่างๆ เช่น ความล้มเหลวในการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดหรือการใช้รหัสผ่านที่ไม่รัดกุม ล้วนส่งผลให้เกิดจุดอ่อนที่สามารถหาประโยชน์ได้ซึ่งทำงานผ่านไซต์ของคุณซึ่งแฮ็กเกอร์จะกำหนดเป้าหมาย ข่าวดีก็คือมีขั้นตอนง่าย ๆ มากมายที่คุณสามารถทำได้เพื่อช่วยให้เว็บไซต์ WordPress ของคุณปลอดภัย ซึ่งรวมถึง:

  • ตรวจสอบให้แน่ใจว่าคุณและผู้ใช้เว็บไซต์รายอื่นใช้รหัสผ่านที่คาดเดายาก
  • ใช้กลไกแคปต์ชา
  • ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA)
  • ลบผู้ใช้ที่ไม่ได้ใช้งาน
  • ใช้ระบบ 'จำกัดการพยายามเข้าสู่ระบบ'
  • อัปเดตไฟล์หลัก ปลั๊กอิน และธีมของคุณให้เป็นเวอร์ชันล่าสุดเสมอ
  • เปลี่ยน URL เข้าสู่ระบบเริ่มต้นของคุณ
  • หลีกเลี่ยงการใช้ธีมและปลั๊กอินที่เป็นโมฆะ

มาดูขั้นตอนเหล่านี้อย่างละเอียดถี่ถ้วนและดูว่าคุณจะนำไปใช้กับเว็บไซต์ของคุณได้อย่างไร

ตรวจสอบให้แน่ใจว่าผู้ใช้ของคุณใช้รหัสผ่านที่คาดเดายาก

ไม่มีไฟร์วอลล์ฝั่งเซิร์ฟเวอร์หรือระบบรักษาความปลอดภัยโฮสติ้งอื่น ๆ ที่สามารถป้องกันเว็บไซต์ WordPress ของคุณจากรหัสผ่านที่คาดเดาง่าย แม้จะมีปัญหาที่ทราบกันดีเกี่ยวกับการใช้รหัสผ่านที่ไม่รัดกุม แต่สถิติแนะนำว่าผู้ใช้ 35% ที่น่าประหลาดใจยังคงใช้รหัสผ่านที่ไม่รัดกุมเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของตน แม้ว่าจะได้รับแจ้งจาก WordPress ให้เลือกรหัสผ่านที่รัดกุมกว่าก็ตาม

ยืนยันรหัสผ่านที่อ่อนแอ

บางทีข้อสรุปที่สามารถดึงออกมาจากสิ่งนี้ก็คือผู้ใช้บางคนไม่ทราบว่าเว็บไซต์ของพวกเขามีช่องโหว่เพียงใดเมื่อใช้รหัสผ่านที่ไม่รัดกุม น่าเสียดายที่แฮกเกอร์ค้นหาวิธีใช้ประโยชน์จากผู้ใช้ที่เลือกรหัสผ่านที่คาดเดาได้ซึ่งเป็นไปตามรูปแบบบางอย่าง (เช่น วันเกิดหรือชื่อสัตว์เลี้ยง) เมื่อนานมาแล้ว

ในขณะที่คนอื่นๆ ตระหนักดีถึงช่องโหว่ของรหัสผ่านที่ไม่รัดกุม ยังคงใช้รหัสผ่านเหล่านี้ต่อไป อาจเป็นเพราะมันเป็นเรื่องง่ายที่จะทำ ท้ายที่สุด การจำรหัสผ่านอย่างง่ายนั้นง่ายกว่ารหัสผ่านที่ซับซ้อนที่สร้างด้วยตัวอักษร ตัวเลข และสัญลักษณ์แบบสุ่ม

รหัสผ่านของคุณมีแนวป้องกันที่สำคัญสำหรับแฮกเกอร์ ยิ่งแข็งแกร่งยิ่งดี ตามหลักการแล้วรหัสผ่านควรไม่ซ้ำกัน สร้างแบบสุ่มและอัปเดตเป็นประจำ

ใช้กลไก Captcha ในแบบฟอร์มการเข้าสู่ระบบ

จุดประสงค์ของแคปต์ชาคือการแยกแยะมนุษย์ออกจาก 'บอท' ซึ่งเป็นแอพพลิเคชั่นซอฟต์แวร์ที่ทำงานอัตโนมัติ แฮกเกอร์สามารถใช้ข้อมูลเหล่านี้เพื่อพยายามเข้าถึงเว็บไซต์ผ่านหน้าเข้าสู่ระบบโดยสั่งให้บอทพยายามอย่างต่อเนื่องโดยใช้ข้อมูลแบบสุ่มเพื่อเข้าถึงเว็บไซต์ แคปต์ชาได้รับการออกแบบมาเพื่อช่วยป้องกันการโจมตีประเภทนี้บนไซต์ที่เกิดขึ้นโดยการแยกแยะระหว่างมนุษย์และบอท Captchas ถูกใช้มาเป็นเวลาสามทศวรรษแล้วและยังคงใช้งานอยู่บนเว็บไซต์นับไม่ถ้วนเพื่อช่วยป้องกันกิจกรรมของบอท

คุณสามารถเพิ่ม captcha ลงในเว็บไซต์ WordPress ของคุณโดยมีเป้าหมายเพื่อบล็อกความพยายามในการเข้าสู่ระบบของบอท วิธีง่ายๆ ในการทำเช่นนี้คือการติดตั้งปลั๊กอิน Login no Captcha reCaptcha ซึ่งใช้ประโยชน์จากระบบ captcha ของ Google

เข้าสู่ระบบ reCaptcha

เมื่อติดตั้งแล้ว คุณจะเห็นช่องทำเครื่องหมาย reCaptcha ที่คุ้นเคยปรากฏขึ้นใต้แผงการเข้าสู่ระบบ ติ๊กเครื่องหมายนี้และคุณจะไม่อยู่ (สมมติว่าคุณรู้ชื่อผู้ใช้และรหัสผ่านที่ถูกต้องอยู่แล้ว!)

เพื่อให้ปลั๊กอินทำงาน คุณจะต้องลงชื่อสมัครใช้บัญชี Google reCaptcha ฟรี ซึ่งจะทำให้คุณสามารถสร้างคีย์ของไซต์และคีย์ลับได้

วิธีสร้างไซต์และรหัสลับ:

  1. เข้าสู่ระบบบัญชี Google ของคุณ (คุณจะต้องลงทะเบียนหากคุณยังไม่มีบัญชี) ไปที่หน้า Google reCaptcha และคลิกที่ 'Admin Console' ซึ่งปรากฏที่ด้านบนขวา
  2. คลิกที่ไอคอน 'บวก +' ที่ด้านบนขวาอีกครั้งเพื่อลงทะเบียนเว็บไซต์ใหม่ กรอกข้อมูลที่จำเป็น
  3. กดปุ่มส่งแล้วคุณจะเห็นหน้าดังนี้:
คีย์ไซต์ Google reCaptcha

จากนั้น คุณจะต้องวางค่าเหล่านี้ลงในช่องในการตั้งค่าปลั๊กอินตามที่โปรโมต

การรับรองความถูกต้องด้วยสองปัจจัย (2FA)

การใช้กระบวนการตรวจสอบสิทธิ์แบบสองปัจจัยจะเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งให้กับหน้าเข้าสู่ระบบเว็บไซต์ของคุณโดยป้องกันสิ่งที่เรียกว่าการโจมตีแบบ 'กำลังเดรัจฉาน' การโจมตีประเภทนี้เป็นที่ที่บอทพยายามลงชื่อเข้าใช้เว็บไซต์ของคุณอย่างต่อเนื่องโดยใช้รหัสผ่านและชื่อผู้ใช้ที่ได้รับการเดา (โดยปกติตามรายการที่กำหนดไว้ล่วงหน้าบางรายการซึ่งใช้ประโยชน์จากรหัสผ่านที่ "อ่อนแอ" เช่น 123 รหัสผ่าน เป็นต้น บอทจะ พยายามเข้าถึงเว็บไซต์ของคุณต่อไปจนกว่าจะสำเร็จซึ่งเป็นข่าวร้ายในสองด้าน อันดับแรก หากได้รับรหัสผ่านที่ถูกต้อง เว็บไซต์ของคุณถูกแฮ็กแล้ว ประการที่สอง การพยายามเข้าสู่ระบบอย่างต่อเนื่องเหล่านี้สามารถเพิ่มการโหลดของเซิร์ฟเวอร์และทำให้เว็บไซต์ของคุณช้าลงอย่างถูกกฎหมาย ผู้ใช้

โชคดีที่มีปลั๊กอินของบุคคลที่สามซึ่งสามารถช่วยหยุดสิ่งนี้ได้

ปลั๊กอินสองปัจจัย

ปลั๊กอินสองนักแสดงโดย Plugin Contributors เป็นปลั๊กอินที่มีประโยชน์และใช้งานง่าย ซึ่งให้การป้องกันเว็บไซต์ด้วยสองปัจจัยโดยบังคับให้ผู้ใช้ระบุรหัสการตรวจสอบสิทธิ์ควบคู่ไปกับข้อมูลรับรองการเข้าสู่ระบบปกติ รหัสนี้สามารถส่งทางอีเมลหรือสร้างโดยใช้เครื่องสร้างรหัสผ่านแบบใช้ครั้งเดียว เช่น Google Authenticator

ปลั๊กอินสองปัจจัย

ปลั๊กอิน Google Authenticator

ปลั๊กอิน Google Authenticator เป็นปลั๊กอิน 2FA ยอดนิยมอีกตัวหนึ่งที่สามารถติดตั้งเพื่อปกป้องเว็บไซต์ WordPress ของคุณได้ ปลั๊กอินฟรีนี้มีตัวเลือกการตรวจสอบสิทธิ์ 2FA รวมถึง SMS และแน่นอนโดยใช้แอป Google Authenticator การตั้งค่านี้ค่อนข้างง่ายและรวดเร็ว เพียงทำตามคำแนะนำเมื่อคุณเปิดใช้งานปลั๊กอิน

ปลั๊กอิน Google Authenticator

ลบผู้ใช้ที่ไม่ใช้งาน

เป้าหมายที่ง่ายสำหรับผู้โจมตีก็คือบัญชีผู้ใช้เว็บไซต์ที่ไม่ได้ใช้งานมาเป็นเวลานาน ผลที่ได้คือรหัสผ่านมักจะอ่อนแอกว่าที่ควรจะเป็นหากผู้ใช้เพิ่งสร้างบัญชีเมื่อเร็วๆ นี้หรือลงชื่อเข้าใช้เว็บไซต์เป็นประจำ ด้วยเหตุนี้ การลบบัญชีที่ไม่ได้ใช้งานเป็นระยะๆ จึงคุ้มค่า

คุณสามารถใช้ปลั๊กอินเพื่อตรวจหาผู้ใช้ที่ไม่ใช้งานเหล่านี้ได้อย่างง่ายดาย เช่น ปลั๊กอินเมื่อเข้าสู่ระบบครั้งล่าสุด

เมื่อเปิดใช้งานแล้ว จะเพิ่มคอลัมน์ที่กำหนดเองลงในตารางรายชื่อผู้ใช้ที่เป็นผู้ดูแลระบบของคุณ ซึ่งจะแสดงการประทับเวลาของวันที่และเวลาเข้าสู่ระบบครั้งล่าสุดของผู้ใช้รายนั้น คุณสามารถจัดเรียงคอลัมน์นี้ได้อย่างรวดเร็วเพื่อระบุผู้ใช้ที่ไม่ใช้งาน ซึ่งหมายความว่าคุณสามารถลบออกได้หากเหมาะสม

เมื่อเข้าสู่ระบบครั้งล่าสุด

จากนั้นในผู้ใช้ -> ผู้ใช้ทั้งหมดจัดเรียงตามคอลัมน์ "การเข้าสู่ระบบครั้งล่าสุด" ที่เพิ่มเข้ามา:

เมื่อเข้าสู่ระบบครั้งล่าสุด เข้าสู่ระบบครั้งสุดท้าย คอลัมน์

จำกัดความพยายามในการเข้าสู่ระบบ

อีกวิธีหนึ่งที่คุณสามารถเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งให้กับไซต์ WordPress ของคุณได้คือการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่อนุญาตภายในระยะเวลาที่กำหนด เทคนิคนี้ขัดขวางบอทที่ทำการคาดเดาการเข้าสู่ระบบอย่างต่อเนื่อง นอกจากนี้ ปลั๊กอินบางตัวที่มีฟังก์ชันนี้ยังสามารถบล็อกที่อยู่ IP ที่ความพยายามในการเข้าสู่ระบบเกิดขึ้นและในการทำเช่นนั้นจะหยุดการทำงานของบอทจากที่อยู่ IP นั้นจากการพยายามโจมตีไซต์ของคุณซ้ำอีกในอนาคต

ปลั๊กอินที่ดีที่มีฟังก์ชันนี้คือปลั๊กอินโหลดซ้ำแบบจำกัดความพยายามในการเข้าสู่ระบบ

จำกัดความพยายามในการเข้าสู่ระบบ โหลดปลั๊กอินใหม่

ด้วยการติดตั้งมากกว่า 1 ล้านครั้งในขณะที่เขียน คุณสามารถมั่นใจได้ว่าปลั๊กอินทำงานได้ดี

หลังจากที่คุณติดตั้งและเปิดใช้งานแล้ว ให้ไปที่เมนูการตั้งค่า จากนั้นคลิกที่ 'จำกัดความพยายามในการเข้าสู่ระบบ' คุณจะเปลี่ยนแปลงช่วงของพารามิเตอร์ได้ รวมถึงจำนวนครั้งในการลองใหม่ก่อนที่ผู้ใช้จะถูกล็อกไม่ให้เข้าเว็บไซต์

จำกัดการตั้งค่าความพยายามในการเข้าสู่ระบบ

การจำกัดความพยายามในการเข้าสู่ระบบเป็นวิธีที่มีประสิทธิภาพอย่างยิ่งในการปกป้องเว็บไซต์ของคุณ เราจึงเปิดใช้งานสิ่งนี้เป็นค่าเริ่มต้นบนเว็บไซต์ที่โฮสต์ Pressidium ทั้งหมด

หมายเหตุ: หากคุณใช้ Jetpack ฟีเจอร์ล่าสุดที่เรียกว่า 'ป้องกันโมดูล' จะรวมระบบจำกัดความพยายามในการเข้าสู่ระบบไว้เป็นค่าเริ่มต้น ระบบนี้ยังให้ข้อมูลเกี่ยวกับความพยายามในการเข้าสู่ระบบที่ถูกบล็อกและตัวเลือกในการอนุญาต IPs หากคุณกำลังใช้ปลั๊กอินนี้ ไม่จำเป็นต้องติดตั้งปลั๊กอิน 'จำกัดการเข้าสู่ระบบ' แยกต่างหาก

อัปเดตไฟล์หลัก ปลั๊กอิน และธีมของคุณให้เป็นเวอร์ชันล่าสุด

ท่ามกลางประโยชน์อื่นๆ มากมาย การอัปเดตคอร์ ธีม และปลั๊กอินของ WordPress มีความสำคัญต่อความปลอดภัยของเว็บไซต์ของคุณ สถิติแสดงให้เห็นว่าเวอร์ชัน ธีม และปลั๊กอินที่ล้าสมัยเป็นวิธีที่ได้รับความนิยมมากที่สุดสำหรับแฮ็กเกอร์ในการเข้าถึงเว็บไซต์ ซึ่งทำให้การอัปเดตเหล่านี้มีความสำคัญสูงสุด

ที่ Pressidium เราอัปเดตคอร์ของ WordPress เป็นเวอร์ชันล่าสุดโดยอัตโนมัติหลังจากทดสอบครั้งแรก เพื่อให้แน่ใจว่าไม่มีปัญหาสำคัญที่อาจทำให้ลูกค้าของเรามีปัญหากับเว็บไซต์ของตน เนื่องจากการอัปเดตเหล่านี้ดำเนินการโดยอัตโนมัติ คุณจึงวางใจได้ว่าเว็บไซต์ของคุณใช้ WordPress เวอร์ชันล่าสุดอยู่เสมอ

โฮสต์เว็บไซต์ของคุณด้วย Pressidium

รับประกันคืนเงิน 60 วัน

ดูแผนของเรา

นอกจากนี้ เรายังทำให้การอัปเดตปลั๊กอินบนเว็บไซต์ที่โฮสต์กับเราทำได้ง่ายที่สุดโดยจัดเตรียมสิ่งอำนวยความสะดวกในการอัปเดตปลั๊กอินที่สามารถเข้าถึงได้ผ่านแดชบอร์ด Pressidium ซึ่งช่วยให้ลูกค้าของเรามองเห็นได้อย่างรวดเร็วว่าปลั๊กอินเว็บไซต์ของตนจำเป็นต้องอัปเดตหรือไม่ หากเป็นเช่นนั้น การอัปเดตสามารถทำได้ด้วยการคลิกเพียงไม่กี่ครั้งจากภายในแดชบอร์ด Pressidium นอกจากนี้เรายังสแกนเว็บไซต์ที่โฮสต์กับเราเป็นประจำเพื่อหาปลั๊กอินที่มีช่องโหว่และจะแจ้งให้เจ้าของเว็บไซต์ทราบถึงช่องโหว่นี้ทางอีเมล ในกรณีที่ปลั๊กอินที่ล้าสมัยก่อให้เกิดความเสี่ยงอย่างร้ายแรงต่อเว็บไซต์ เราจะอัปเดตสิ่งนี้ในเชิงรุกในนามของเจ้าของเว็บไซต์

เปลี่ยน URL เข้าสู่ระบบเริ่มต้นของคุณ

ตอนนี้เราได้ใช้วิธีการรักษาความปลอดภัยหน้าล็อกอินแล้ว (ซึ่งมีผลกับการปกป้อง 'ประตูหน้า') มาดูตัวเลือกในการซ่อนประตูหน้ากันเพื่อให้แน่ใจว่าขโมย (หรือแฮ็กเกอร์!) จะไม่แม้แต่จะพยายามเข้าไป .

วิธีที่ยอดเยี่ยมในการทำเช่นนี้คือเปลี่ยนตำแหน่งของ URL ล็อกอินของ WordPress เริ่มต้นโดยเปลี่ยนเป็น URL ที่กำหนดเอง ในการทำเช่นนั้น คุณจะบล็อกการรับส่งข้อมูลจากการเข้าสู่ระบบ wp ทันที ซึ่งหมายความว่าคุณไม่ควรประสบกับการโจมตีแบบเดรัจฉานใด ๆ ในเว็บไซต์ของคุณ

ปลั๊กอินตัวหนึ่งที่ช่วยให้คุณสามารถเปลี่ยนตำแหน่งของหน้าเข้าสู่ระบบได้อย่างรวดเร็วคือ WPS Hide Login

WPS ซ่อนการเข้าสู่ระบบ

หลีกเลี่ยงการใช้ธีมและปลั๊กอินที่เป็นโมฆะ

ธีมหรือปลั๊กอินที่เป็นโมฆะเป็นธีมที่โดยทั่วไปมีมัลแวร์หรือโค้ดที่แก้ไขซึ่งออกแบบมาเพื่อก่อให้เกิดอันตราย พวกเขามักจะมี 'ราคาถูก' ซึ่งเป็นเหตุผลที่พวกเขาดึงดูดผู้คน ท้ายที่สุดแล้ว ไม่มีใครชอบที่จะใช้จ่ายเงินกับธีมและปลั๊กอินระดับพรีเมียม ด้วยธีมและปลั๊กอินที่เป็นโมฆะบางตัวที่มีให้ในราคาเพียงเศษเสี้ยวของเวอร์ชัน 'ของแท้' คุณจะเห็นได้ว่าเหตุใดจึงดึงดูดให้ใช้งาน

ในความเป็นจริง 'เงินออม' ที่คุณทำโดยใช้เวอร์ชันที่ไม่มีค่ามักจะถูกบดบังด้วยค่าใช้จ่ายที่เกิดขึ้นเนื่องจากเว็บไซต์ของคุณติดมัลแวร์ แม้ว่าจะไม่มีโค้ดที่เป็นอันตราย พวกเขามักจะมีโฆษณาและป๊อปอัปที่น่ารำคาญซึ่งสามารถทำลายประสบการณ์ของปลั๊กอินหรือธีมได้ นอกจากนี้ แน่นอนว่าพวกเขาไม่ได้รับการสนับสนุนจากนักพัฒนาดั้งเดิม ซึ่งหมายความว่าจะไม่มีใครต้องเหลียวหลังหากมีสิ่งผิดปกติเกิดขึ้น

กล่าวโดยย่อ อย่าใช้ธีมหรือปลั๊กอินที่ไม่มีค่า… มันไม่คุ้มเลยจริงๆ!

บทสรุป

เว็บไซต์ที่ถูกแฮ็กนั้นไม่มีใครสนใจ (นอกเหนือจากแฮ็กเกอร์แน่นอน) แม้ว่าโฮสติ้ง WordPress ที่มีการจัดการคุณภาพสูงจะช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณได้อย่างมาก สิ่งสำคัญคือต้องจำไว้ว่าคุณเนื่องจากเจ้าของเว็บไซต์มีบทบาทในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณเช่นกัน

การปฏิบัติตามขั้นตอนง่าย ๆ ที่สรุปไว้ข้างต้นสามารถช่วยปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้อย่างแท้จริงและคุ้มค่าที่จะนำไปใช้