สุดยอดคู่มือการรักษาความปลอดภัยเว็บไซต์ WordPress

WordPress เป็นระบบจัดการเนื้อหายอดนิยม (CMS) ที่ใช้โดยเว็บไซต์นับล้านทั่วโลก คาดว่า WordPress มีอำนาจ 43% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

แม้ว่า WordPress จะเป็นแพลตฟอร์มที่ปลอดภัย แต่ก็เป็นเป้าหมายยอดนิยมสำหรับแฮกเกอร์เนื่องจากความนิยม การศึกษาโดย Sucuri พบว่า WordPress เป็น CMS ที่ถูกแฮ็กมากที่สุดในปี 2019 โดย 62% ของเว็บไซต์ CMS ที่ถูกแฮ็กทั้งหมดเป็นเว็บไซต์ WordPress

เพื่อช่วยให้คุณรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจากแฮกเกอร์ คู่มือนี้จะครอบคลุมเคล็ดลับด้านความปลอดภัยของ WordPress ที่ดีที่สุด เช่น การอนุญาต WordPress, การตรวจสอบสิทธิ์แบบสองปัจจัย, การสำรองข้อมูล WordPress, ไฟร์วอลล์ WordPress, การสแกนความปลอดภัย และอื่นๆ

มาเริ่มกันเลยกับคู่มือความปลอดภัย WordPress ของเรา

เลือกบริษัทโฮสติ้งที่เชื่อถือได้

ความปลอดภัยของ WordPress นั้นเหมือนกับการรักษาความปลอดภัยทางกายภาพ มีหลายชั้น (ประตู ตัวล็อค ระบบเตือนภัย ฯลฯ) และหากชั้นใดชั้นหนึ่งล้มเหลว อีกชั้นก็จะอยู่ที่นั่นเพื่อดึงส่วนที่หย่อนลงมา เช่นเดียวกับความปลอดภัยของ WordPress วิธีที่ง่ายที่สุดในการทำให้ไซต์ WordPress ของคุณปลอดภัยคือไปกับผู้ให้บริการโฮสติ้งที่ให้การรักษาความปลอดภัยหลายชั้น

มองหาบริษัทที่นำเสนอคุณสมบัติความปลอดภัยระดับเซิร์ฟเวอร์ เช่น การป้องกัน DDoS และไฟร์วอลล์เฉพาะ WordPress พวกเขาควรมีบันทึกเวลาทำงานที่ดี เนื่องจากไซต์ WordPress อาจเสี่ยงต่อการหยุดทำงานเป็นพิเศษ และแน่นอนว่าการบริการลูกค้าที่ยอดเยี่ยมนั้นเป็นประโยชน์ต่อโฮสติ้ง WordPress เสมอ

ด้วยบริษัทโฮสติ้ง WordPress มากมาย คุณไม่ควรมีปัญหาในการค้นหาบริษัทที่ตรงกับความต้องการของคุณ

เพิ่มใบรับรอง SSL

WordPress เป็นแพลตฟอร์มที่ยอดเยี่ยมสำหรับทุกคนที่ต้องการสร้างเว็บไซต์ เป็นมิตรกับผู้ใช้ ใช้งานได้หลากหลาย และค่อนข้างปลอดภัย อย่างไรก็ตาม ความปลอดภัยของ WordPress สามารถปรับปรุงเพิ่มเติมได้โดยการเพิ่มใบรับรอง SSL SSL (Secure Sockets Layer) เป็นโปรโตคอลความปลอดภัยที่ช่วยเข้ารหัสข้อมูลที่ถ่ายโอนระหว่างเว็บไซต์และเบราว์เซอร์ของผู้ใช้

นี่เป็นสิ่งสำคัญเพราะจะช่วยปกป้องข้อมูลที่ละเอียดอ่อน เช่น หมายเลขบัตรเครดิตและข้อมูลรับรองการเข้าสู่ระบบ จากการถูกสกัดกั้นโดยบุคคลที่สาม เว็บไซต์ WordPress ที่ไม่มีใบรับรอง SSL ยังคงสามารถเข้าถึงได้ แต่ไม่มีความปลอดภัยเท่าที่ควร

นอกจากนี้ ใบรับรอง SSL ยังช่วยสร้างความไว้วางใจให้กับผู้เยี่ยมชมของคุณโดยแสดงให้เห็นว่าคุณจริงจังกับการปกป้องข้อมูลของพวกเขา

ดังนั้น หากคุณต้องการเพิ่มความปลอดภัยให้กับ WordPress ให้เพิ่มใบรับรอง SSL เป็นกระบวนการง่ายๆ ที่สามารถสร้างความแตกต่างในการทำให้เว็บไซต์ของคุณปลอดภัย

หลีกเลี่ยงธีมว่าง

ความปลอดภัยของ WordPress นั้นแข็งแกร่งพอๆ กับลิงก์ที่อ่อนแอที่สุด และหนึ่งในลิงก์ที่อ่อนแอที่สุดคือธีมที่ไม่มีผล ธีมที่เป็นโมฆะคือธีม WordPress ที่ละเมิดลิขสิทธิ์และเปิดให้ใช้งานฟรี แม้ว่าการประหยัดเงินไม่กี่ดอลลาร์โดยใช้ธีมเปล่าอาจเป็นเรื่องที่น่าดึงดูด แต่ก็ไม่คุ้มกับความเสี่ยง ธีมที่เป็นโมฆะมักมีโค้ดที่เป็นอันตรายซึ่งอาจทำให้เว็บไซต์ของคุณเสี่ยงต่อการถูกโจมตี

นอกจากนี้ การใช้ธีมที่เป็นโมฆะถือเป็นการละเมิดข้อกำหนดการใช้งานของ WordPress ซึ่งอาจทำให้เว็บไซต์ของคุณถูกระงับได้ หากคุณต้องการรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัย หลีกเลี่ยงธีมที่ไม่มีค่า

หากคุณกำลังมองหาธีม WordPress ตรวจสอบให้แน่ใจว่าได้มาจากแหล่งที่เชื่อถือได้ อาจมีค่าใช้จ่ายเพิ่มขึ้นเล็กน้อย แต่การรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัยจากช่องโหว่ด้านความปลอดภัยนั้นคุ้มค่า

ใช้ธีมและปลั๊กอิน WordPress ที่เชื่อถือได้

WordPress เป็นแพลตฟอร์มที่ยอดเยี่ยมสำหรับการสร้างเว็บไซต์ทุกประเภท ใช้งานง่าย และมีธีมและปลั๊กอินมากมายสำหรับปรับแต่งไซต์ของคุณ อย่างไรก็ตาม คุณควรระมัดระวังในการเลือกธีมและปลั๊กอิน WordPress แบบพรีเมียมหรือฟรี มีธีมและปลั๊กอินที่เขียนโค้ดไม่ดีอยู่มากมายที่สามารถแนะนำช่องโหว่ด้านความปลอดภัยให้กับไซต์ของคุณได้ ดังนั้นคุณจะทราบได้อย่างไรว่าธีมหรือปลั๊กอินของ WordPress น่าเชื่อถือหรือไม่? ต่อไปนี้คือบางสิ่งที่ควรมองหา:

• ค้นหาความคิดเห็นจากผู้ใช้รายอื่น หากธีมหรือปลั๊กอินของ WordPress มีบทวิจารณ์ที่ดี ก็มีแนวโน้มว่าจะมีการเข้ารหัสที่ดีและไม่น่าจะเกิดปัญหาด้านความปลอดภัยใดๆ
• ตรวจสอบที่เก็บ WordPress.org WordPress.org ยอมรับเฉพาะธีมและปลั๊กอินคุณภาพสูงเท่านั้น ดังนั้นหากมีธีมหรือปลั๊กอินบน WordPress.org คุณจึงมั่นใจได้เลยว่าใช้งานได้อย่างปลอดภัย
• ติดต่อผู้พัฒนาโดยตรง หากคุณมีคำถามเกี่ยวกับธีมหรือปลั๊กอินของ WordPress คุณสามารถติดต่อผู้พัฒนาโดยตรงและสอบถาม พวกเขาควรจะสามารถให้คำตอบที่จะช่วยให้คุณตัดสินใจว่าจะใช้ผลิตภัณฑ์ของตนหรือไม่

ลบปลั๊กอินและธีมของ WordPress ที่ไม่ได้ใช้

วิธีหนึ่งที่จะช่วยรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณคือการลบปลั๊กอินและธีมของ WordPress ที่ไม่ได้ใช้ การทำเช่นนี้ช่วยลดจำนวนช่องโหว่ที่อาจเกิดขึ้นในไซต์ของคุณ นอกจากนี้ การลบปลั๊กอินและธีมที่ไม่ได้ใช้ช่วยให้ไซต์ของคุณทำงานได้อย่างราบรื่นและมีประสิทธิภาพ

ดังนั้น หากคุณไม่ได้ใช้ปลั๊กอินหรือธีม โปรดลบออกจากไซต์ WordPress ของคุณ การทำเช่นนี้จะช่วยให้ไซต์ของคุณปลอดภัยและทำงานได้อย่างราบรื่น

ติดตั้งปลั๊กอินความปลอดภัย

มีหลายวิธีในการรักษาความปลอดภัยให้กับไซต์ WordPress แต่หนึ่งในวิธีที่ดีที่สุดคือการติดตั้งปลั๊กอินความปลอดภัย ปลั๊กอินความปลอดภัย WordPress นำเสนอคุณสมบัติที่หลากหลายที่สามารถช่วยรักษาความปลอดภัยให้กับไซต์ WordPress รวมถึงการป้องกันด้วยรหัสผ่าน การรับรองความถูกต้องด้วยสองปัจจัย และการสแกนมัลแวร์ พวกเขายังสามารถช่วยบล็อกการรับส่งข้อมูลที่เป็นอันตรายและป้องกันการโจมตีด้วยกำลังเดรัจฉาน นอกจากนี้ ปลั๊กอินการรักษาความปลอดภัยของ WordPress ยังสามารถจัดเตรียมบันทึกกิจกรรมที่ครอบคลุม ซึ่งสามารถใช้เพื่อตรวจสอบกิจกรรมบนไซต์และระบุภัยคุกคามที่อาจเกิดขึ้นได้

ด้วยเหตุนี้ การติดตั้งปลั๊กอินความปลอดภัย WordPress จึงเป็นสิ่งจำเป็นสำหรับเจ้าของไซต์ที่ต้องการปกป้องไซต์ของตนจากการถูกโจมตี

คุณสามารถติดตั้งปลั๊กอินความปลอดภัยที่จำเป็นเหล่านี้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ

1. Wo r dfence : 2FA, บล็อกทราฟฟิกที่เป็นอันตราย, ป้องกันการโจมตีด้วยกำลังเดรัจฉาน ฯลฯ
2. Limit Login Attempts Reloaded : เพื่อจำกัดจำนวนครั้งในการเข้าสู่ระบบและบล็อกที่อยู่ IP ของบอท
3. WPS ซ่อนการเข้าสู่ระบบ : หากต้องการเปลี่ยน URL ล็อกอินของผู้ดูแลระบบ & เส้นทาง

ใช้รหัสผ่านที่รัดกุม

เคล็ดลับด้านความปลอดภัยที่สำคัญที่สุดอย่างหนึ่งของ WordPress คือการใช้รหัสผ่านที่รัดกุม รหัสผ่านที่รัดกุมควรมีความยาวอย่างน้อยแปดอักขระ และควรประกอบด้วยตัวอักษรพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน คุณไม่ควรใช้รหัสผ่านเดียวกันในไซต์มากกว่าหนึ่งแห่ง หากเป็นเช่นนั้น คุณกำลังทำให้ไซต์ทั้งหมดของคุณตกอยู่ในความเสี่ยงหากไซต์ใดไซต์หนึ่งถูกแฮ็ก

สุดท้าย อย่าลืมเปลี่ยนรหัสผ่าน WordPress เป็นประจำหรือทุกๆ 3-6 เดือนเป็นกฎง่ายๆ การปฏิบัติตามคำแนะนำด้านความปลอดภัยของ WordPress เหล่านี้สามารถช่วยให้ไซต์ WordPress ของคุณปลอดภัยจากแฮกเกอร์

WordPress ยังมีการรับรองความถูกต้องด้วยสองปัจจัย (2FA) เป็นชั้นความปลอดภัยเพิ่มเติม 2FA กำหนดให้คุณต้องป้อนรหัสที่ส่งไปยังโทรศัพท์ของคุณทุกครั้งที่คุณพยายามเข้าสู่ระบบ ซึ่งจะทำให้ผู้อื่นแฮ็คเข้าสู่ไซต์ WordPress ของคุณได้ยากขึ้น แม้ว่าพวกเขาจะคาดเดารหัสผ่านของคุณได้ก็ตาม ดังนั้น หากคุณต้องการเพิ่มความปลอดภัยให้กับ WordPress ตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่รัดกุมและ 2FA

สำรองข้อมูลบ่อยๆ

ปัญหาด้านความปลอดภัยที่พบบ่อยที่สุดประการหนึ่งของ WordPress คือผู้คนไม่ได้สำรองข้อมูลบ่อยเพียงพอ WordPress มีการปรับปรุงอย่างต่อเนื่องและมีการค้นพบช่องโหว่ใหม่อย่างต่อเนื่อง หากคุณไม่มีข้อมูลสำรองล่าสุด คุณอาจสูญเสียงานหนักทั้งหมดหากไซต์ของคุณถูกแฮ็ก คุณควรสำรองข้อมูลไว้ก่อนที่คุณจะทำการเปลี่ยนแปลงที่สำคัญใดๆ ในไซต์ของคุณในกรณีที่มีสิ่งผิดปกติเกิดขึ้น

มีปลั๊กอินสำรองของ WordPress มากมาย จึงไม่มีข้อแก้ตัวที่จะไม่สำรองข้อมูลบ่อยๆ รักษาไซต์ของคุณให้ปลอดภัยด้วยการสำรองข้อมูลบ่อยๆ

อัพเดท WordPress อยู่เสมอ

WordPress ออกซอฟต์แวร์เวอร์ชันใหม่เป็นประจำ และเวอร์ชันใหม่แต่ละเวอร์ชันมีการแก้ไขและปรับปรุงด้านความปลอดภัย WordPress ยังเผยแพร่การอัปเดตด้านความปลอดภัยระหว่างรุ่นหลัก ๆ

การอัปเดตเหล่านี้แก้ไขช่องโหว่ที่ร้ายแรงตามที่มีการค้นพบและมักจะเผยแพร่ภายในสองสามวันหลังจากที่พบ เจ้าของไซต์ WordPress จำเป็นต้องติดตั้งการอัปเดตเหล่านี้โดยเร็วที่สุดเพื่อให้ไซต์ของตนปลอดภัยจากการถูกโจมตี

โชคดีที่ WordPress ทำให้ง่ายต่อการติดตามข่าวสารล่าสุด แดชบอร์ดของ WordPress มีพื้นที่แจ้งเตือนที่แสดงว่ามีการอัปเดตใดบ้าง และการติดตั้งนั้นใช้เวลาเพียงไม่กี่คลิก

เจ้าของไซต์สามารถมั่นใจได้ว่าไซต์ของตนปลอดภัยจากภัยคุกคามล่าสุด ด้วยการทำให้ WordPress ทันสมัยอยู่เสมอ

ปิดใช้งาน XML-RPC

XML-RPC เป็นโปรโตคอลที่อนุญาตให้เรียกใช้โพรซีเดอร์ระยะไกลหรือ RCP บนเว็บไซต์ WordPress อย่างไรก็ตาม แฮ็กเกอร์ยังสามารถใช้ประโยชน์จากการโจมตีเพื่อปฏิเสธการโจมตีบริการหรือเข้าควบคุมไซต์ของคุณได้ หากคุณไม่ได้ใช้ XML-RPC ทางที่ดีควรปิดการใช้งานเพื่อลดความเสี่ยงที่จะถูกโจมตี การปิดใช้งาน XML-RPC คุณสามารถช่วยรักษาไซต์ WordPress ของคุณให้ปลอดภัยได้

คุณสามารถทำได้โดยเพิ่มโค้ดสองสามบรรทัดลงในไฟล์ functions.php ของคุณ หรือโดยใช้ปลั๊กอิน ไม่ว่าจะด้วยวิธีใด การปิดใช้งาน XML-RPC เป็นวิธีที่ดีในการช่วยให้ไซต์ WordPress ของคุณปลอดภัย

ปิดใช้งานการแก้ไขไฟล์แดชบอร์ดของ WordPress

หนึ่งในคุณสมบัติที่ WordPress นำเสนอคือความสามารถในการแก้ไขไฟล์ได้โดยตรงจากแดชบอร์ดของ WordPress สิ่งนี้มีประโยชน์หากคุณต้องการเปลี่ยนแปลงธีมหรือปลั๊กอินอย่างรวดเร็ว

อย่างไรก็ตาม ยังแสดงถึงความเสี่ยงด้านความปลอดภัย หากผู้โจมตีสามารถเข้าถึงแดชบอร์ด WordPress ของคุณได้ พวกเขาสามารถแก้ไขไฟล์ WordPress ของคุณได้อย่างง่ายดาย ซึ่งอาจเป็นอันตรายต่อเว็บไซต์ของคุณ ดังนั้น ขอแนะนำให้คุณปิดใช้งานการแก้ไขไฟล์ WordPress จากแดชบอร์ด สามารถทำได้โดยเพิ่มบรรทัดต่อไปนี้ในไฟล์กำหนดค่า WordPress ของคุณ:

 Define ( 'DISALLOW_FILE_EDIT', true );

การทำเช่นนี้จะช่วยปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณ

ซ่อนไฟล์ wp-config.php

ไฟล์กำหนดค่า WP มีข้อมูลที่ละเอียดอ่อนเกี่ยวกับการติดตั้ง WordPress ของคุณ รวมถึงรหัสผ่านฐานข้อมูลของคุณ การซ่อนไฟล์นี้ทำให้แฮกเกอร์เข้าถึงไซต์ WordPress ได้ยากขึ้น

มีสองสามวิธีในการซ่อนไฟล์ wp-config.php วิธีที่ดีที่สุดวิธีหนึ่งคือสร้างไฟล์ index.html เปล่าและวางไว้ในไดเร็กทอรีเดียวกันกับไฟล์ wp-config.php อีกวิธีหนึ่งคือใช้ .htaccess เพื่อจำกัดการเข้าถึงไฟล์ wp-config.php วิธีใดก็ตามที่คุณเลือก การซ่อนไฟล์ wp-config.php เป็นวิธีง่ายๆ ในการเพิ่มความปลอดภัยของ WordPress

WordPress ยังมีกลไกในตัวสำหรับการซ่อนไฟล์ ซึ่งสามารถพบได้ใน WordPress Codex เมื่อทำตามขั้นตอนง่าย ๆ นี้ คุณสามารถช่วยป้องกันไซต์ WordPress ของคุณจากการโจมตีที่อาจเกิดขึ้นได้

ห่อ

ความปลอดภัยของ WordPress ไม่ใช่เรื่องตลก แม้ว่า WordPress จะเป็นแพลตฟอร์มที่ปลอดภัย แต่ก็มีวิธีที่แฮ็กเกอร์สามารถค้นหาเพื่อใช้ประโยชน์จากช่องโหว่ได้เสมอ นั่นเป็นเหตุผลสำคัญที่ต้องใช้ความปลอดภัยของ WordPress อย่างจริงจังและทำทุกอย่างที่ทำได้เพื่อปกป้องไซต์ของคุณ

ท้ายที่สุด สิ่งสำคัญคือต้องจำไว้ว่าการรักษาความปลอดภัยของ WordPress เป็นกระบวนการต่อเนื่อง ไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว ดังนั้นอย่ารอจนสายเกินไป ความปลอดภัยของ WordPress ควรมีความสำคัญสูงสุดสำหรับผู้ใช้ WordPress ทุกคน