ความปลอดภัยของ WordPress: 8 ขั้นตอนในการรักษาความปลอดภัยเว็บไซต์ของคุณจากแฮกเกอร์
เผยแพร่แล้ว: 2019-02-26การรักษาความปลอดภัยของเว็บไซต์เป็นปัญหาร้ายแรง แต่หลายคนอาจไม่ทราบว่าปัญหาดังกล่าวร้ายแรงเพียงใด เมื่อคุณรู้ว่าเว็บไซต์ที่ไม่ซ้ำกันมากกว่า 50,000 แห่งถูกแฮ็กทุกวัน คุณจะเริ่มมีความสงสัยในปัญหานี้
ปัญหาคือ เว็บไซต์ส่วนใหญ่ในปัจจุบันทำงานบนแพลตฟอร์ม WordPress นั่นหมายความว่าเว็บไซต์จำนวนมากที่ตกเป็นเหยื่อของแฮ็กเกอร์นั้นใช้ WordPress
แม้ว่า WordPress จะพยายามอย่างดีที่สุดเพื่อให้แน่ใจว่าไซต์ที่ทำงานบน CMS ของพวกเขาปลอดภัย แต่ข้อผิดพลาดที่จะเกิดขึ้น ในบทความนี้ เราจะมาพูดถึงวิธีการตรวจสอบให้แน่ใจว่าสิ่งนี้ไม่เกิดขึ้น
ก่อนหน้านั้นแม้ว่า...
ทำไมคุณถึงต้องการความปลอดภัยของ WordPress ตั้งแต่แรก?
มีหลายสิ่งหลายอย่างที่อาจผิดพลาดได้เมื่อมีคนละเมิดความปลอดภัยของคุณ ทั้งนี้ขึ้นอยู่กับว่าเว็บไซต์ของคุณเกี่ยวกับอะไร บางส่วนของเหล่านี้คือ:
- การอัปโหลดมัลแวร์ – แฮ็กเกอร์สามารถอัปโหลดมัลแวร์ไปยังเซิร์ฟเวอร์เว็บไซต์ของคุณได้ด้วยเหตุผลต่างๆ
พวกเขาสามารถใช้ข้อมูลนี้เพื่อรวบรวมข้อมูลและข้อมูลเกี่ยวกับเว็บไซต์ของคุณ และวิธีการใช้งานของคุณด้วยเหตุผลอย่างใดอย่างหนึ่ง พวกเขาสามารถทำได้ในลักษณะที่มัลแวร์ดังกล่าวดาวน์โหลดลงในคอมพิวเตอร์ของผู้เยี่ยมชมของคุณโดยอัตโนมัติ
ที่ไม่เพียงทำลายความปรารถนาดีของคุณกับผู้เยี่ยมชมเว็บไซต์ แต่ยังทำให้เว็บไซต์ของคุณขึ้นบัญชีดำ แทบจะเป็นไปไม่ได้เลยที่จะได้รับชื่อเสียงของคุณกลับคืนมาเมื่อเกิดเหตุการณ์เช่นนี้
- การขโมยข้อมูลผู้ใช้ – หากเว็บไซต์ของคุณเก็บข้อมูลผู้ใช้ (โปรไฟล์ที่มีชื่อ วันเกิด อายุ เพศ และอื่นๆ) สิ่งนี้จะมีความสำคัญต่อแฮกเกอร์
พวกเขาสามารถเก็บเกี่ยวข้อมูลดังกล่าวและขายในเว็บสีดำ ให้กับบริษัทขุดข้อมูลหรือบุคลากรอื่นๆ ที่สนใจ นั่นถือเป็นการละเมิดข้อมูลที่ผู้ใช้ส่งถึงคุณด้วยความเชื่อถือ และผิดสัญญาของคุณที่จะรักษาข้อมูลของพวกเขาให้ปลอดภัย
- การขโมยข้อมูลทางการเงิน – นี่เป็นเรื่องปกติมากในเว็บไซต์ WordPress ที่ใช้สำหรับเปิดร้านค้าออนไลน์ บางครั้งอาจไม่ใช่เว็บไซต์ที่ใช้อีคอมเมิร์ซอย่างเคร่งครัด แต่เป็นเว็บไซต์ที่ขายข้อเสนอหรืออื่นๆ
เมื่อเกิดเหตุการณ์ดังกล่าว แฮกเกอร์มีทุกอย่างที่จำเป็นในการฉ้อโกงทุกคนที่ส่งรายละเอียดบัตรเครดิต/การชำระเงินมายังเว็บไซต์ของคุณ นอกจากข้อเท็จจริงที่ว่าสิ่งนี้จะทำให้ลูกค้าจำนวนมากของคุณรู้สึกไม่สบายใจ พวกเขาจะไม่ยินดีที่จะซื้อจากคุณอีกหากพวกเขารู้ว่าการละเมิดมาจากคุณ
- การจัดการรายได้ ของคุณ – เว็บไซต์ของคุณอาจได้รับรายได้จากแหล่งพันธมิตร สตรีมโฆษณา และอื่นๆ อีกมากมาย หากแฮ็กเกอร์เข้าถึงได้ พวกเขาสามารถเปลี่ยนรายละเอียดแหล่งที่มาของพันธมิตร/ โฆษณา/ รายได้เป็นข้อมูลของพวกเขาและเปลี่ยนเส้นทางการขายของคุณไปยังฝั่งของพวกเขา
พวกเขาสามารถเปลี่ยนบัญชีรับและรับรายได้ของคุณในบัญชีของพวกเขาเอง
แน่นอนว่านี่เป็นเพียงบางสิ่งที่อาจผิดพลาดได้เมื่อเว็บไซต์ WordPress ของคุณไม่ปลอดภัยเท่าที่ควร มีเหตุผลอื่นๆ อีกหลายประการที่แฮ็กเกอร์อาจต้องการเข้าถึงเว็บไซต์ของคุณ ภาระหน้าที่ขึ้นอยู่กับคุณเพื่อให้แน่ใจว่าพวกเขาจะลำบากในการทำเช่นนั้น
การรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัย
ต้องการนำเว็บไซต์ของคุณออกจากรายการเป้าหมายง่ายๆ สำหรับแฮ็กเกอร์หรือไม่ นี่คือบางสิ่งที่คุณสามารถทำได้:
1. รักษาความปลอดภัยหน้าเข้าสู่ระบบของคุณ
ก่อนที่เว็บไซต์ของคุณจะถูกแฮ็กเลย แฮกเกอร์จะต้องไปที่หน้าผู้ดูแลระบบก่อน หากคุณใช้การตั้งค่าเริ่มต้นของ WordPress สิ่งที่พวกเขาต้องทำคือเพิ่ม / wp-admin หรือ /wp-login.php ที่ท้ายชื่อโดเมนของคุณและอยู่ที่หน้าผู้ดูแลระบบ
คุณได้ทำให้ขั้นตอนหนึ่งง่ายสำหรับพวกเขาโดยไม่รู้ตัว
ในการแก้ไขปัญหานี้ ให้ปรับแต่งหน้าเข้าสู่ระบบของคุณให้แสดงเฉพาะที่อยู่ที่กำหนดไว้เป็นพิเศษเท่านั้น ด้วยวิธีนี้ คุณสามารถหลีกเลี่ยงแฮ็กเกอร์ส่วนใหญ่ได้
2. ใช้การล็อคเว็บไซต์
การโจมตีด้วยกำลังดุร้ายสามารถลองรหัสผ่านหลาย ๆ อันได้จนกว่าจะได้รหัสผ่านที่ถูกต้อง ซึ่งช่วยให้แฮกเกอร์มีอิสระในการลองใช้ชุดค่าผสมที่เป็นไปได้มากมายก่อนที่จะเจาะเข้าไปในแดชบอร์ดของคุณ
วิธีง่ายๆ ในการต่อต้านสิ่งนี้คือการระบุจำนวนครั้งที่ผู้ใช้พยายามล้มเหลวก่อนที่จะถูกบล็อกออกจากพื้นที่ผู้ดูแลระบบ
ส่วนที่ดีที่สุดของการเคลื่อนไหวนี้คือ คุณจะได้รับการแจ้งเตือนเมื่อมีการบันทึกกิจกรรมดังกล่าว ช่วยให้คุณเก็บเรือได้แน่นขึ้น ไฟร์วอลล์ WordPress และปลั๊กอินความปลอดภัยจำนวนมากที่ให้คุณทำสิ่งนี้ได้
มันอาจจะคุ้มค่าที่จะดู
3. เลือกบริษัทโฮสติ้งที่ดี
อย่าเป็นส่วนหนึ่งของบรรดาผู้ที่เชื่อว่าบริษัทโฮสติ้งที่มีราคาค่อนข้างแพงกำลังทำให้คุณจ่ายเงินสำหรับชื่อแบรนด์ บ่อยครั้ง สิ่งเหล่านี้คือสิ่งที่ให้การรักษาความปลอดภัยหลายชั้นแก่คุณเหนือตัวเลือกที่ถูกกว่า

นอกจากประโยชน์เพิ่มเติมที่มาพร้อมกับการจ่ายเงินพิเศษเหล่านั้นแล้ว คุณยังได้รับความปลอดภัยที่ดีขึ้นสำหรับทุกความพยายามของคุณ หากคุณไม่มีความคิดในการเลือกโฮสติ้งที่เหมาะสม คุณสามารถทำตามคำแนะนำขั้นสุดท้ายเกี่ยวกับวิธีเลือกโฮสติ้ง WordPress ได้
4. อยู่ห่างจากธีมที่เป็นโมฆะ
WordPress มีธีมแบบเสียเงินและฟรีจำนวนหนึ่งเพื่อใช้บนเว็บไซต์ของคุณ ธีมเหล่านี้ได้รับการออกแบบและเขียนโค้ดโดยนักพัฒนาที่มีทักษะสูงซึ่งรู้ว่ากำลังทำอะไรอยู่ ธีมได้รับการทดสอบโดย WordPress เพื่อให้แน่ใจว่าสอดคล้องกับมาตรฐานการตั้งค่า
อย่างไรก็ตาม บางเว็บไซต์เสนอธีมแบบเสียเงินฟรีในเวอร์ชันแคร็ก/ว่าง นี้อาจดูเหมือนเป็นข้อตกลงที่ดีจนกว่าคุณจะรู้ว่าธีมที่แตกมีโค้ดที่เป็นอันตรายซึ่งอาจทำร้ายเว็บไซต์ของคุณได้ไม่ดี ดูคำแนะนำของเราเกี่ยวกับวิธีเลือกธีมที่สมบูรณ์แบบสำหรับไซต์ของคุณ
5. ปิดการแก้ไขไฟล์
ตามค่าเริ่มต้น เว็บไซต์ WordPress ของคุณมีฟังก์ชันแก้ไขโค้ดซึ่งช่วยให้คุณเปลี่ยนแปลงธีมและปลั๊กอินได้ คุณสามารถค้นหาได้โดยไปที่แดชบอร์ด Editor ภายใต้ Appearances หรือ Plugins
เมื่อแฮกเกอร์เข้าถึงเว็บไซต์ของคุณ พวกเขาสามารถเข้าไปที่นี่เพื่อแทรกโค้ดที่เป็นอันตราย – และคุณจะไม่รู้ด้วยซ้ำว่ามันสายเกินไป
วิธีที่ดีที่สุดในการต่อต้านการโจมตีดังกล่าวจนกว่าคุณจะพบว่ามีบางอย่างผิดปกติคือการปิดใช้งานความสามารถในการแก้ไขปลั๊กอินและธีม
6. อัปเดตเว็บไซต์ของคุณ
หนึ่งในสิ่งที่ง่ายที่สุดที่คุณสามารถทำได้เพื่อปกป้องเว็บไซต์ WordPress ของคุณคือตรวจสอบให้แน่ใจว่าเว็บไซต์มีการอัปเดตอยู่เสมอ
เมื่อมีการอัปเดตใหม่เข้ามา แสดงว่านักพัฒนาซอฟต์แวร์พบข้อบกพร่องที่ถือว่ามีความสำคัญมากพอที่จะแก้ไขได้ การไม่ปิดช่องว่างนี้จะทำให้คุณเปราะบางต่อข้อบกพร่องที่พวกเขาได้เห็น ทำให้ง่ายสำหรับคนที่รู้วิธีแก้ไขข้อบกพร่องดังกล่าวเพื่อใช้ประโยชน์จากคุณ
เช่นเดียวกับปลั๊กอินและ PHP - พวกมันสามารถอัปเดตได้เช่นกัน และควรอัปเดตทันทีที่คุณได้รับการแจ้งเตือน นี่คือคำแนะนำของเราในการอัปเกรดไซต์ WordPress เป็นเวอร์ชัน PHP ล่าสุด
หมายเหตุ ก่อนทำการอัปเดตใดๆ บนไซต์ WordPress ของคุณ ขอแนะนำให้สร้างข้อมูลสำรองของไซต์ทั้งหมด
7. ปิดการใช้งานคุณสมบัติ XML-RPC
ด้วยการเปิดตัว WordPress จะมีการรวมคุณสมบัติ XML-RPC โดยอัตโนมัติ
มันจะไม่เป็นการดีต่อส่วนเสริมนี้หากเราไม่มองด้านดีของมัน ท้ายที่สุด นั่นคือสิ่งที่ทำให้การเชื่อมต่อบัญชี WordPress ของคุณกับแอพมือถือและเดสก์ท็อปของคุณเป็นไปอย่างราบรื่น
อย่างไรก็ตาม ยังช่วยให้การโจมตีด้วยกำลังเดรัจฉานเกิดขึ้นได้ง่ายในอัตราที่เร็วกว่ามาก
ตัวอย่างเช่น แฮ็กเกอร์ไม่จำเป็นต้องเดารหัสผ่าน 500 ครั้งเมื่อคุณเปิดใช้งานคุณสมบัตินั้น สิ่งที่พวกเขาต้องทำคือส่งคำขอ 50 รายการด้วยฟังก์ชัน system.multcall และพวกเขาจะสามารถลองใช้รหัสผ่านได้หลายพันครั้งในกรอบเวลาเดียวกัน
การแก้ไขอย่างง่ายนี้จะเป็นการปิดใช้คุณลักษณะนี้ โดยเฉพาะอย่างยิ่งหากคุณไม่ได้ใช้งาน
8. ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งาน
ไม่ใช่ทุกครั้งที่แฮ็กเกอร์ต้องการเข้าถึงเว็บไซต์ของคุณจากสถานที่ห่างไกล หากคุณมีผู้ใช้หลายรายในเว็บไซต์ของคุณ แฮ็กเกอร์ดังกล่าวสามารถเลอะเทอะได้จนกว่าผู้ใช้จะออกจากคอมพิวเตอร์
นั่นคือเหตุผลที่คุณไม่ควรปล่อยให้ใครอยู่เฉยๆ นานเกินไปในพื้นที่แดชบอร์ด หากคุณเคยสังเกตเว็บไซต์ธนาคารและการเงินหลายแห่ง นี่เป็นรูปแบบเดียวกับที่ใช้ในการรักษาข้อมูลผู้ใช้ของตนให้ปลอดภัย
วิธีหนึ่งในการทำสิ่งนี้คือการติดตั้งปลั๊กอิน Idle User Logout กำหนดค่าให้ระบุระยะเวลาที่คุณต้องการให้ผู้ใช้แต่ละรายใช้เวลาว่างก่อนที่พวกเขาจะต้องเข้าสู่ระบบอีกครั้ง และคุณก็พร้อมแล้ว
หลังจากทั้งหมดที่กล่าวมา เป็นแนวปฏิบัติที่ดีในการเตรียมพร้อมสำหรับสิ่งที่เลวร้ายที่สุด แม้ว่าคุณจะต้องดำเนินการตามข้างต้นแล้ว อย่าลืมสำรองข้อมูลเว็บไซต์ของคุณเป็นครั้งคราว คุณสามารถทำได้ง่ายๆ โดยใช้ปลั๊กอินสำรองข้อมูลฟรี เช่น ปลั๊กอินสำรองข้อมูล WPvivid ของเรา ด้วยวิธีนี้ คุณสามารถกู้คืนจากจุดสำรองสุดท้ายได้เสมอ หากมีสิ่งใดเกิดขึ้น
เราไม่ได้หวังอย่างนั้นสำหรับคุณ
มีเคล็ดลับเพิ่มเติมที่คุณใช้เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณที่เรายังไม่ได้กล่าวถึงหรือไม่? แจ้งให้เราทราบเกี่ยวกับพวกเขาในความคิดเห็น
บทความนี้ครอบคลุมขั้นตอนที่สำคัญที่สุดสำหรับการป้องกัน WordPress เราได้สร้างคำแนะนำขั้นสูงสุดเกี่ยวกับวิธีรักษาความปลอดภัยไซต์ WordPress จากทุกด้านที่คุณอาจต้องการ