22 วิธีที่ WordPress เสี่ยงต่อการถูกแฮ็ก

เผยแพร่แล้ว: 2022-11-08

WordPress เป็นที่นิยมอย่างไม่น่าเชื่อ ไม่มีการหลีกเลี่ยงข้อเท็จจริงนั้น

ณ ปี 2022 ปัจจุบัน WordPress มีส่วนแบ่งการตลาด 64.3% ของเว็บไซต์ที่มี CMS ที่สามารถระบุได้ ตาม W3Techs

WordPress มีความเสี่ยงเป็นพิเศษต่อการโจมตีที่มุ่งร้าย ไม่ใช่เพราะไม่ปลอดภัย แต่เพราะเป็นที่นิยมมาก

แต่อย่างที่สไปเดอร์แมนกล่าวว่า "พลังอันยิ่งใหญ่มาพร้อมกับความรับผิดชอบที่ยิ่งใหญ่" WordPress ในทำนองเดียวกัน นั่นคือ "ด้วยความนิยมอย่างมาก ความพยายามในการแฮ็กจะเพิ่มขึ้นอย่างมาก"

ตอนนี้อย่าปล่อยให้สิ่งนั้นทำให้คุณผิดหวัง

ใช่ WordPress อยู่ในจุดสิ้นสุดของการพยายามแฮ็คมากกว่า CMS อื่น ๆ แต่ก็ยังเป็นแพลตฟอร์มที่ยอดเยี่ยมในการใช้งาน

ใช้วิธีแก้ปัญหาง่ายๆ เพียงไม่กี่วิธีในการปกป้องเว็บไซต์ของคุณจากการโจมตีส่วนใหญ่

ในบทความนี้ เราจะมาสำรวจสาเหตุที่พบบ่อยที่สุดที่เว็บไซต์ WordPress ถูกแฮ็ก และวิธีแก้ไขช่องโหว่เหล่านี้อย่างรวดเร็ว

สารบัญ
  1. ทำไมผู้คนถึงแฮ็คเว็บไซต์ตั้งแต่แรก?
  2. 22 เหตุผลที่เว็บไซต์ WordPress ถูกแฮ็กบ่อยครั้งและวิธีแก้ไข
  3. ปกป้องไซต์ WordPress ของคุณจากการพยายามแฮ็คและเพลิดเพลินกับความปลอดภัยของไซต์

ทำไมผู้คนถึงแฮ็คเว็บไซต์ตั้งแต่แรก?

โดยทั่วไปแล้ว มีเหตุผลสี่ประการที่บางคนอาจต้องการแฮ็คเข้าสู่เว็บไซต์ WordPress ของคุณ:

Sucuri สถิติแฮ็ค
  1. เพื่อแทรกโค้ดหรือเนื้อหาที่เป็นอันตรายที่อาจเป็นอันตรายต่อผู้เยี่ยมชมของคุณในทางใดทางหนึ่ง สิ่งนี้เรียกว่า "การโจมตีที่เป็นอันตราย" การโจมตีด้วยมัลแวร์เหล่านี้คิดเป็น 64% ของการแฮ็ก WordPress ตาม Sucuri Security
  2. เพื่อใช้ทรัพยากรของเว็บไซต์ของคุณเพื่อวัตถุประสงค์ของตนเอง ตัวอย่างเช่น เพื่อช่วยเป็นส่วนหนึ่งของบ็อตเน็ตในการโจมตี "การปฏิเสธบริการ" หรือ "DDoS"
  3. เพื่อใช้สคริปต์ข้ามไซต์ วิธีนี้ใช้ได้ผลโดยให้ผู้อื่นโหลดเว็บไซต์ที่มี JavaScript ที่ไม่ปลอดภัย สคริปต์เหล่านี้ขโมยข้อมูลเบราว์เซอร์และทำให้เกิดช่องโหว่ด้านความปลอดภัยของ WordPress ประมาณ 54% ณ ปี 2565 ตาม iThemes
  4. เพื่อจี้เว็บไซต์ของคุณเพื่อใช้ในรูปแบบฟิชชิ่ง กล่าวคือ เพื่อหลอกผู้เยี่ยมชมของคุณให้เปิดเผยข้อมูลส่วนบุคคล เช่น รหัสผ่านหรือหมายเลขบัตรเครดิต

เป้าหมายสุดท้ายของวิธีการเหล่านี้เกือบทุกครั้งคือการขโมยข้อมูล ข้อมูลนี้ใช้เพื่อขโมยข้อมูลประจำตัวของบุคคลหรือเพื่อขโมยเงิน

โชคดีที่มีวิธีแก้ปัญหาง่ายๆ เพียงไม่กี่วิธี คุณสามารถปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ส่วนใหญ่ได้

22 เหตุผลที่เว็บไซต์ WordPress ถูกแฮ็กบ่อยครั้งและวิธีแก้ไข

ดังนั้น คุณต้องการใช้ WordPress อย่างแน่นอน แต่คุณต้องการหลีกเลี่ยงความเป็นไปได้ที่จะถูกแฮ็ก ฟังดูใช่มั้ย?

คุณโชคดี!

เราได้รวบรวมสาเหตุต่างๆ ไว้ 22 ประการ โดยเฉพาะเว็บไซต์ WordPress ที่ถูกแฮ็ก

เรายังแสดงให้คุณเห็นว่าคุณสามารถทำอะไรกับมันได้บ้าง และวิธีปกป้องเว็บไซต์ของคุณให้มากที่สุดเท่าที่จะทำได้

1. WordPress ใช้งานง่าย

WordPress

การเพิ่มรายชื่อของเราในวันนี้คือความจริงที่ว่า WordPress ใช้งานได้ง่าย เนื่องจาก WordPress เป็นโอเพ่นซอร์ส ทุกคนสามารถดูโค้ดได้ ดังนั้น เมื่อพบช่องโหว่แล้ว ทุกคนจะได้เห็นและมีโอกาสใช้ประโยชน์ได้

วิธีแก้ไข:

แม้ว่าคุณจะไม่สามารถทำอะไรเกี่ยวกับข้อเท็จจริงที่ว่า WordPress เป็นเป้าหมายได้ แต่คุณสามารถใช้มาตรการเพื่อให้แน่ใจว่าเว็บไซต์ของคุณมีความปลอดภัยมากที่สุด

เราจะพูดถึงวิธีการดำเนินการดังกล่าวในภายหลังในบทความนี้ แต่สำหรับตอนนี้ แค่รู้ว่าการติดตั้ง WordPress ของคุณเป็นปัจจุบันอยู่เสมอ การใช้รหัสผ่านที่รัดกุม และติดตั้งปลั๊กอินความปลอดภัยเป็นสิ่งสำคัญ

2. WordPress เป็นที่นิยมอย่างมาก

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ WordPress เป็นหนึ่งในระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุดในโลก

น่าเสียดาย นั่นหมายความว่ายังเป็นเป้าหมายหลักสำหรับแฮกเกอร์อีกด้วย

พวกเขารู้ว่าหากพวกเขาสามารถใช้เวลาในการค้นหาช่องโหว่ใน WordPress พวกเขาจะสามารถใช้ประโยชน์จากเว็บไซต์จำนวนมากที่มีช่องโหว่เดียวกันได้

วิธีแก้ไข:

วิธีที่ดีที่สุดในการต่อสู้กับสิ่งนี้คือทำให้การติดตั้ง ธีม และปลั๊กอิน WordPress ของคุณทันสมัยอยู่เสมอ

เมื่อมีการเผยแพร่แพตช์ความปลอดภัยใหม่สำหรับ WordPress สิ่งสำคัญคือต้องอัปเดตเว็บไซต์ของคุณโดยเร็วที่สุด ด้วยวิธีนี้ คุณจึงมั่นใจได้ว่าคุณมีความอ่อนไหวต่อช่องโหว่ที่รู้จักน้อยลง

แต่เพิ่มเติมเกี่ยวกับสิ่งนั้นในเวลาเพียงเล็กน้อย

3. ไซต์ WordPress มักไม่มีมาตรการรักษาความปลอดภัยขั้นพื้นฐาน

ผู้ใช้ WordPress จำนวนมากไม่ได้ทำตามขั้นตอนที่จำเป็นเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ของตน นั่นเป็นเพียงข้อเท็จจริง

ตอนนี้ พวกเขาอาจไม่ทราบว่าการทำนั้นง่ายเพียงใด หรืออาจไม่คิดว่าเว็บไซต์ของตนเป็นเป้าหมาย

แต่ความจริงก็คือ แม้แต่เว็บไซต์ขนาดเล็กก็สามารถเป็นเป้าหมายของแฮกเกอร์ได้ ถ้าคุณไม่ทำตามขั้นตอนที่จำเป็นในการรักษาความปลอดภัยเว็บไซต์ของคุณ มัน จะ เป็นเป้าหมายที่ง่าย

วิธีแก้ไข

ขั้นตอนแรกคือการให้ความรู้เกี่ยวกับมาตรการรักษาความปลอดภัยขั้นพื้นฐานที่คุณควรทำเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ

สำหรับบางคน นี่จะหมายถึงการติดตั้งปลั๊กอินความปลอดภัย สำหรับคนอื่น ๆ นั่นหมายถึงการเริ่มต้นโปรโตคอลที่แข็งกระด้าง

ข่าวดีก็คือ โพสต์นี้ครอบคลุมสิ่งที่คุณต้องรู้ส่วนใหญ่

4. เว็บไซต์ WordPress มักจะโฮสต์บนเซิร์ฟเวอร์ที่ใช้ร่วมกัน

อีกเหตุผลหนึ่งที่เว็บไซต์ WordPress เสี่ยงต่อการถูกแฮ็กก็เพราะมักโฮสต์บนเซิร์ฟเวอร์ที่ใช้ร่วมกัน

เจ้าของเว็บไซต์จำนวนมากไม่ทราบว่าเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของตนอยู่อาจส่งผลกระทบอย่างมากต่อความปลอดภัยของเว็บไซต์

หากเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของคุณไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม เซิร์ฟเวอร์นั้นอาจปล่อยให้เว็บไซต์ของคุณถูกโจมตีได้

วิธีแก้ไข

ขั้นตอนแรกคือต้องแน่ใจว่าคุณใช้บริษัทโฮสติ้งที่มีชื่อเสียง

ทำวิจัยและอ่านบทวิจารณ์เพื่อค้นหาบริษัทโฮสติ้งที่ให้ความสำคัญกับความปลอดภัยอย่างจริงจัง เราชอบ SiteGround, DreamHost และ Hostinger เป็นพิเศษ

Hostinger

เมื่อคุณพบบริษัทโฮสติ้งที่ดีแล้ว ตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณโฮสต์อยู่บนเซิร์ฟเวอร์ที่ปลอดภัย

5. รหัสผ่านไม่ถูกต้อง (และไม่บังคับรหัสผ่านที่รัดกุม) โดยไม่มีการตรวจสอบสิทธิ์แบบสองปัจจัย

เราเคยได้ยินมานับล้านครั้งแล้ว แต่ก็ยังต้องทำซ้ำ: หนึ่งในวิธีที่ง่ายที่สุดในการปกป้องเว็บไซต์ WordPress ของคุณคือการใช้รหัสผ่านที่คาดเดายาก

เจ้าของเว็บไซต์ WordPress จำนวนมากไม่ปฏิบัติตามคำแนะนำนี้ และพวกเขาใช้รหัสผ่านที่ไม่รัดกุมซึ่งคาดเดาได้ง่าย

ที่แย่กว่านั้นคือ ผู้ใช้ WordPress บางคนไม่ได้บังคับให้ผู้ใช้ใช้รหัสผ่านที่คาดเดายากด้วยการตรวจสอบสิทธิ์แบบสองปัจจัยเช่นกัน สิ่งนี้ทำให้การโจมตีด้วยกำลังเดรัจฉานมีโอกาสมากขึ้น

วิธีแก้ไข

การเปลี่ยนรหัสผ่านเป็นสิ่งที่คาดเดาได้ยากขึ้นเป็นขั้นตอนที่หนึ่ง

รหัสผ่านของคุณควรมีความยาวอย่างน้อย 8 อักขระ และควรประกอบด้วยตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ผสมกัน

หากคุณไม่แน่ใจว่าจะสร้างรหัสผ่านที่คาดเดายากได้อย่างไร คุณสามารถใช้ตัวสร้างรหัสผ่านเพื่อสร้างรหัสผ่านให้คุณได้

LastPass

ตัวเลือกที่ดีสองสามอย่าง ได้แก่:

  • เครื่องมือสร้างรหัสผ่าน LastPass
  • ตัวสร้างรหัสผ่านที่แข็งแกร่ง
  • Norton Password Manager

เมื่อคุณมีรหัสผ่านที่รัดกุมแล้ว ขั้นตอนต่อไปคือต้องแน่ใจว่าผู้ใช้ของคุณใช้รหัสผ่านที่รัดกุมเช่นกัน

คุณสามารถทำได้โดยบังคับให้พวกเขาใช้รหัสผ่านที่คาดเดายากเมื่อสร้างบัญชี

ในการดำเนินการนี้ คุณจะต้องติดตั้งปลั๊กอินความปลอดภัย ตัวจัดการนโยบายรหัสผ่านเป็นตัวเลือกที่ดีและฟรี

ผู้จัดการนโยบายรหัสผ่าน

ติดตั้งและเปิดใช้งานปลั๊กอินนี้เหมือนกับที่คุณทำอย่างอื่น จากนั้นคลิก miniOrange Password Policy ในแดชบอร์ดของ WordPress

จากที่นี่ คุณสามารถตั้งกฎรหัสผ่านของคุณได้

เลือกจำนวนอักขระที่ต้องการและตัดสินใจว่าคุณต้องการบังคับให้ผู้ใช้ใช้อักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษหรือไม่

6. ไม่มีมาตรการชุบแข็ง

ข้อผิดพลาดด้านความปลอดภัยทั่วไปอีกประการหนึ่งที่เจ้าของเว็บไซต์ WordPress ทำคือการไม่ใช้มาตรการเสริมความแข็งแกร่งใดๆ

มาตรการชุบแข็งเป็นขั้นตอนที่คุณสามารถทำได้เพื่อทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้น สิ่งเหล่านี้มักเป็นสิ่งง่ายๆ ที่คุณทำได้ เช่น การเปลี่ยนคำนำหน้าฐานข้อมูลเริ่มต้นหรือการลบไฟล์ readme

แต่ถึงแม้จะเรียบง่าย แต่ก็สามารถสร้างความแตกต่างอย่างมากในการรักษาความปลอดภัยเว็บไซต์ของคุณ

วิธีแก้ไข

การชุบแข็งของ WordPress สามารถมีได้หลายรูปแบบ แต่สิ่งหนึ่งที่ง่ายที่สุดที่คุณสามารถทำได้คือเปลี่ยนคำนำหน้าฐานข้อมูลเริ่มต้น

เชื่อมต่อกับไซต์ WordPress ของคุณผ่านไคลเอนต์ FTP ที่คุณชื่นชอบ จากนั้นเพิ่มบรรทัดต่อไปนี้ใน ไฟล์ wp-config.php ของคุณ:

 $table_prefix = 'wp_';

การวัดความแข็งแบบง่ายๆ อีกวิธีหนึ่งที่คุณสามารถทำได้คือการลบไฟล์ readme คุณสามารถทำได้โดยลบไฟล์ readme.html ออกจากไดเร็กทอรี WordPress ของคุณ

วิธีที่ดีที่สุดวิธีหนึ่งในการปรับใช้แนวทางปฏิบัติที่เข้มงวดอย่างเต็มรูปแบบคือการติดตั้งปลั๊กอินความปลอดภัย ซึ่งจะนำเราไปสู่จุดต่อไป

เรามีโพสต์เกี่ยวกับการปรับแต่งไฟล์ wp-config ที่นี่

7. ไม่มีปลั๊กอินความปลอดภัย

สิ่งสำคัญที่สุดอย่างหนึ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress คือการติดตั้งปลั๊กอินความปลอดภัย

ปลั๊กอินความปลอดภัยจะเพิ่มชั้นการป้องกันเพิ่มเติมให้กับเว็บไซต์ของคุณ และสามารถช่วยให้คุณแก้ไขปัญหาด้านความปลอดภัยที่เกิดขึ้นได้อย่างรวดเร็ว

และส่วนที่ดีที่สุดคือปลั๊กอินแบบนี้ค่อนข้างใช้งานไม่ได้ เพียงแค่ตั้งค่าและไซต์ของคุณก็ได้รับการปกป้อง

วิธีแก้ไข:

ขั้นตอนแรกคือการหาปลั๊กอินความปลอดภัยที่ดีสำหรับเว็บไซต์ WordPress ของคุณ มีตัวเลือกที่ยอดเยี่ยมมากมาย

ต่อไปนี้คือรายชื่อนักแสดงชั้นนำบางส่วน:

Sucuri ความปลอดภัย

Sucuri ความปลอดภัย

ปลั๊กอินนี้เป็นตัวเลือกที่ยอดเยี่ยมสำหรับเจ้าของเว็บไซต์ WordPress ที่กำลังมองหาโซลูชันด้านความปลอดภัยที่ครอบคลุม

ประกอบด้วยคุณลักษณะต่างๆ เช่น การสแกนมัลแวร์ การตรวจสอบบัญชีดำ และการกำจัดมัลแวร์จากระยะไกล

MalCare

ความร้ายกาจ

อีกทางเลือกหนึ่งที่ดีคือ MalCare มีคุณลักษณะด้านความปลอดภัยเต็มรูปแบบ รวมทั้งการสแกนไซต์เต็มรูปแบบ ไฟร์วอลล์แบบเรียลไทม์ และเครื่องมือกำจัดมัลแวร์ นอกจากนี้ยังมีคุณสมบัติการป้องกันไซต์เหล่านี้โดยไม่กระทบต่อความเร็วของเว็บไซต์

เมื่อคุณเลือกปลั๊กอินแล้ว ให้ติดตั้งและกำหนดค่าตามคำแนะนำของปลั๊กอิน

8. การอนุญาตไฟล์ไม่ถูกต้อง

ข้อผิดพลาดด้านความปลอดภัยทั่วไปอีกประการหนึ่งที่เจ้าของเว็บไซต์ WordPress ทำคือไม่ได้ตั้งค่าการอนุญาตไฟล์ที่ถูกต้อง

สิทธิ์ของไฟล์เป็นตัวกำหนดว่าใครสามารถอ่าน เขียน และเรียกใช้ไฟล์ได้ หากตั้งค่าไม่ถูกต้อง เว็บไซต์ WordPress ของคุณอาจถูกโจมตีได้

วิธีแก้ไข

ขั้นตอนแรกคือการเชื่อมต่อกับเว็บไซต์ WordPress ของคุณโดยใช้ไคลเอนต์ FTP

เมื่อคุณเชื่อมต่อแล้ว ให้ดูการอนุญาตสำหรับไฟล์และไดเร็กทอรีต่อไปนี้:

  • wp-admin
  • wp-includes
  • wp-เนื้อหา

ไฟล์และไดเร็กทอรีเหล่านี้ควรได้รับอนุญาตจาก 755

ตัวเลขแสดงถึงการอนุญาตที่แท้จริง:

  • 3 = (2 + 1) = เขียน + ดำเนินการ
  • 5 = (4 + 1) = อ่าน + ดำเนินการ
  • 6 = (4 + 2) = อ่าน + เขียน
  • 7 = (4 + 2 + 1) = อ่าน + เขียน + ดำเนินการ

ดังนั้น 755 ให้อ่าน + เขียน + ดำเนินการกับทุกคนที่เป็นผู้ใช้ที่ลงทะเบียน นั่นไม่เหมาะ

ถัดไป ให้ดูการอนุญาตสำหรับไฟล์ต่อไปนี้:

  • index.php
  • wp-login.php
  • wp-blog-header.php

ไฟล์เหล่านี้ควรได้รับอนุญาตจาก 644

เรียนรู้เพิ่มเติมเกี่ยวกับการอนุญาตไฟล์ที่นี่

9. ผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบมากเกินไป

การให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้มากเกินไปเป็นข้อผิดพลาดด้านความปลอดภัยที่สำคัญอีกอย่างหนึ่งที่อาจทำให้ไซต์ของคุณตกอยู่ในความเสี่ยง

สิทธิ์ของผู้ดูแลระบบทำให้ผู้ใช้สามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ หากบัญชีผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบถูกแฮ็ก อาจทำให้ทั้งเว็บไซต์ของคุณมีความเสี่ยง

วิธีแก้ไข

ตรวจสอบให้แน่ใจว่าผู้ใช้ทั้งหมดบนไซต์ของคุณมีเฉพาะระดับการอนุญาตที่จำเป็นต่อการทำงานอย่างมีประสิทธิภาพ นั่นคือสิ่งที่บทบาทของผู้ใช้เข้ามา

ผู้ร่วมให้ข้อมูลแบบครั้งเดียวไม่จำเป็นต้องเป็นผู้ดูแลระบบ ให้เลือก Contributor หรือ Writer แทนเมื่อสร้างบัญชี

หากคุณต้องการปรับบทบาทผู้ใช้ของผู้ใช้ที่มีอยู่ เพียงไปที่ ผู้ใช้ > ผู้ใช้ทั้งหมด ในแดชบอร์ด WordPress จากนั้นคลิกชื่อผู้ใช้ที่คุณต้องการเปลี่ยนแปลง

เลื่อนลงมาจนกว่าคุณจะเห็นเมนูแบบเลื่อนลงถัดจาก บทบาท คลิกและเลือกบทบาทของผู้ใช้ที่เหมาะสมสำหรับผู้ใช้รายนี้

เมื่อทำการเปลี่ยนแปลงเสร็จแล้ว ให้เลื่อนลงไปที่ด้านล่างของหน้าแล้วคลิก อัปเดตผู้ใช้

เรียนรู้เพิ่มเติมเกี่ยวกับบทบาทผู้ใช้ WordPress

10. ไม่ใช้บันทึกกิจกรรม

การเก็บบันทึกกิจกรรมเป็นวิธีที่ดีที่สุดในการตรวจสอบเว็บไซต์ WordPress ของคุณสำหรับกิจกรรมที่น่าสงสัย

บันทึกกิจกรรมจะติดตามทุกการเปลี่ยนแปลงที่เกิดขึ้นกับเว็บไซต์ WordPress ของคุณ และหากมีสิ่งน่าสงสัยเกิดขึ้น คุณจะสามารถระบุได้อย่างรวดเร็วและดำเนินการ

ดังนั้น คุณสามารถดูได้ว่าถ้าคุณไม่คอยจับตาดูเว็บไซต์ของตน คุณอาจพลาดภัยคุกคามด้านความปลอดภัยที่สำคัญ

วิธีแก้ไข

ขั้นตอนแรกคือการค้นหาปลั๊กอินบันทึกกิจกรรมที่ดีสำหรับเว็บไซต์ WordPress ของคุณ

มีตัวเลือกที่ยอดเยี่ยมอยู่สองสามตัว แต่หนึ่งในตัวเลือกที่ดีที่สุดคือปลั๊กอิน WP Activity Log

บันทึกกิจกรรม WP

เมื่อคุณติดตั้งและเปิดใช้งานปลั๊กอินแล้ว ปลั๊กอินจะเริ่มติดตามการเปลี่ยนแปลงทุกอย่างที่เกิดขึ้นกับเว็บไซต์ WordPress ของคุณ ซึ่งทำให้มองเห็นได้ง่ายขึ้นเมื่อมีสิ่งที่เป็นอันตรายเกิดขึ้น

11. ไฟล์หลักของ WordPress ที่ล้าสมัย

สิ่งสำคัญที่สุดอย่างหนึ่งที่คุณสามารถทำได้เพื่อรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัยคือ ตรวจสอบให้แน่ใจว่าไฟล์หลักเป็นปัจจุบันอยู่เสมอ

WordPress ออกซอฟต์แวร์เวอร์ชันใหม่เป็นประจำ รุ่นใหม่แต่ละรุ่นมีการแก้ไขความปลอดภัยสำหรับช่องโหว่ที่ทราบ

อัพเดต WordPress

หากคุณไม่ได้ใช้ WordPress เวอร์ชันล่าสุด เว็บไซต์ของคุณอาจเสี่ยงต่อการถูกโจมตี

วิธีแก้ไข

วิธีที่ง่ายที่สุดในการอัปเดตไฟล์หลักของ WordPress คือการลงชื่อเข้าใช้แดชบอร์ด WordPress แล้วคลิกลิงก์ อัปเดต ที่ด้านบนของหน้าจอ

หากมีการอัปเดตใด ๆ คุณจะเห็นข้อความแจ้งว่ามี WordPress เวอร์ชันใหม่ให้ใช้งาน

คลิกที่ปุ่ม อัป เดตทันที เพื่ออัปเดตไฟล์ WordPress ของคุณ เราแนะนำให้สำรองข้อมูลไซต์ของคุณก่อนอัปเดตเสมอ เผื่อในกรณีที่

12. ธีมและปลั๊กอินที่ล้าสมัย

นอกจากการรักษาไฟล์หลักของ WordPress แล้ว คุณต้องแน่ใจว่าธีมและปลั๊กอินของคุณอัพเดทอยู่เสมอ

เช่นเดียวกับ WordPress Core ธีมและปลั๊กอินจะได้รับการอัปเดตเป็นประจำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยและเพิ่มคุณสมบัติใหม่

หากคุณกำลังใช้ธีมหรือปลั๊กอินที่ล้าสมัย เว็บไซต์ของคุณอาจมีความเสี่ยง

วิธีแก้ไข

ลงชื่อเข้าใช้แดชบอร์ด WordPress แล้วคลิกลิงก์ อัปเดต ในแถบด้านข้างด้านซ้าย

หากมีการอัปเดตสำหรับธีมหรือปลั๊กอินของคุณ คุณจะเห็นข้อความแจ้งว่ามีเวอร์ชันใหม่ให้ใช้งาน

13. ธีมและปลั๊กอินที่เข้ารหัสไม่ดี

บางครั้ง ไม่มีการอัปเดตจำนวนมากที่สามารถแก้ไขปัญหาเกี่ยวกับปลั๊กอินหรือธีมได้ คุณต้องระมัดระวังเกี่ยวกับธีมและปลั๊กอินที่คุณใช้ตั้งแต่แรก

ธีมและปลั๊กอินบางตัวมีการเข้ารหัสไม่ดีและสามารถแนะนำช่องโหว่ด้านความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณได้

วิธีแก้ไข

เพื่อหลีกเลี่ยงปัญหานี้ ให้ดาวน์โหลดเฉพาะธีมและปลั๊กอินจากแหล่งที่เชื่อถือได้เท่านั้น สถานที่ที่ดีที่สุดในการค้นหาธีมและปลั๊กอินที่มีชื่อเสียงคือไดเร็กทอรีธีมและปลั๊กอินของ WordPress.org

คุณยังสามารถเข้าถึงได้จากนักพัฒนาที่ได้รับการยกย่องอย่างสูงในอุตสาหกรรมเช่นเราที่ Brainstorm Force

หากคุณไม่แน่ใจเกี่ยวกับชื่อเสียงของผู้พัฒนาที่อยู่เบื้องหลังปลั๊กอินหรือธีมใดๆ ที่คุณใช้อยู่ อาจเป็นการดีที่สุดที่จะหาทางเลือกอื่น

เราเสนอคำแนะนำมากมายสำหรับปลั๊กอินที่คุณอาจต้องการตรวจสอบ

14. ไม่สามารถลบธีมและปลั๊กอินที่ไม่ได้ใช้

ช่องโหว่อีกประการหนึ่งคือมีการติดตั้งปลั๊กอินหรือธีมมากเกินไป

หากธีมและปลั๊กอินที่ไม่ได้ใช้มีช่องโหว่ด้านความปลอดภัย เว็บไซต์ของคุณอาจมีความเสี่ยง สิ่งนี้จะมีโอกาสมากขึ้นเมื่อคุณไม่ได้ใช้งาน เนื่องจากคุณมีโอกาสน้อยที่จะทำการอัปเดต

วิธีแก้ไข

ดูธีมและปลั๊กอินทั้งหมดที่คุณติดตั้งบนเว็บไซต์ WordPress ของคุณ หากมีสิ่งใดที่คุณไม่ได้ใช้ ให้ลบออก

สิ่งนี้ทำให้ฐานข้อมูลของคุณเป็นระเบียบเรียบร้อยเช่นกัน ดังนั้นจึงมีประโยชน์อื่นๆ อีกด้วย!

15. ไม่มีการสำรองข้อมูล

ไม่ว่าคุณจะรักษาความปลอดภัยเว็บไซต์ WordPress ได้ดีเพียงใด ก็มีโอกาสเกิดข้อผิดพลาดได้เสมอ

ตัวอย่างเช่น คุณอาจลบไฟล์สำคัญโดยไม่ได้ตั้งใจ มิฉะนั้นเว็บไซต์ของคุณอาจถูกแฮ็ก

หากเกิดเหตุการณ์เช่นนี้และคุณไม่มีข้อมูลสำรองของเว็บไซต์ คุณอาจสูญเสียเนื้อหาทั้งหมด

นั่นเป็นสาเหตุว่าทำไมการสร้างการสำรองข้อมูลปกติของเว็บไซต์ WordPress ของคุณจึงเป็นสิ่งสำคัญ ด้วยวิธีนี้ หากมีสิ่งผิดปกติเกิดขึ้น คุณสามารถกู้คืนเว็บไซต์ของคุณได้

วิธีแก้ไข

มีปลั๊กอิน WordPress มากมายที่สามารถช่วยคุณสร้างข้อมูลสำรองของเว็บไซต์ของคุณ ตัวเลือกยอดนิยม ได้แก่ :

UpdraftPlus

UpdraftPlus

UpdraftPlus เป็นหนึ่งในปลั๊กอิน WordPress ที่ได้รับความนิยมมากที่สุดสำหรับการสร้างข้อมูลสำรอง ช่วยให้คุณสร้างการสำรองไฟล์ ฐานข้อมูล และปลั๊กอินของเว็บไซต์ของคุณ

จากนั้นคุณสามารถกู้คืนเว็บไซต์ของคุณจากข้อมูลสำรองเหล่านี้ได้หากมีสิ่งผิดปกติเกิดขึ้น

UpdraftPlus ยังมีคุณสมบัติอื่นๆ อีกมากมาย รวมถึงความสามารถในการสำรองข้อมูลเว็บไซต์ของคุณตามกำหนดเวลาโดยอัตโนมัติ

Kinsta

Kinsta

คุณยังสามารถใช้ตัวเลือกโฮสติ้ง WordPress ที่มีการจัดการซึ่งมีการสำรองข้อมูลปกติเป็นส่วนหนึ่งของบริการ Kinsta เป็นตัวเลือกที่เราโปรดปรานที่นำเสนอสิ่งนี้

เราขอแนะนำให้มีกลไกการสำรองข้อมูลของคุณเอง ไม่ว่าคุณจะใช้การสำรองข้อมูลแบบโฮสต์หรือไม่ก็ตาม คุณไม่สามารถระวังได้มากเกินไป!

16. จำกัดการเข้าถึงไฟล์ WordPress

ความเสี่ยงด้านความปลอดภัยอีกประการหนึ่งของการใช้โฮสติ้ง WordPress ที่ใช้ร่วมกันคือ คุณอาจไม่สามารถเข้าถึงไฟล์ WordPress ของคุณได้อย่างเต็มที่

ผู้ให้บริการโฮสติ้งบางรายจำกัดจำนวนการเข้าถึงที่ลูกค้ามีต่อไฟล์ WordPress ของตน ซึ่งอาจทำให้การรักษาความปลอดภัยของเว็บไซต์ของคุณอย่างเหมาะสมได้ยาก

วิธีแก้ไข

วิธีที่ดีที่สุดในการหลีกเลี่ยงปัญหานี้คือการใช้ผู้ให้บริการโฮสติ้ง WordPress ที่ให้คุณเข้าถึงไฟล์ WordPress ของคุณได้อย่างเต็มที่

17. ไม่ใช้ไฟร์วอลล์

ไฟร์วอลล์เป็นซอฟต์แวร์ที่ช่วยปกป้องเว็บไซต์ของคุณจากการถูกโจมตี ทำได้โดยการปิดกั้นการรับส่งข้อมูลที่เข้ามาซึ่งถือว่าเป็นอันตราย

หากคุณไม่ได้ใช้ไฟร์วอลล์บนเว็บไซต์ WordPress ของคุณ แสดงว่ามีความเสี่ยงที่จะถูกโจมตีมากกว่า

วิธีแก้ไข

มีปลั๊กอิน WordPress มากมายที่สามารถช่วยคุณเพิ่มไฟร์วอลล์ให้กับเว็บไซต์ของคุณได้

ตัวเลือกยอดนิยม ได้แก่ :

  • Web Application Firewall จาก Sucuri
  • ความปลอดภัยของ Wordfence
  • คลาวด์แฟลร์

บางตัวเลือกฟรี บางตัวเลือกเป็นแบบพรีเมียม เราแนะนำให้อ่านบทวิจารณ์และตรวจสอบคุณสมบัติต่างๆ เพื่อประกอบการตัดสินใจ

18. เป้าหมายหลักของการโจมตี DDoS

เว็บไซต์ WordPress มักเป็นเป้าหมายของการโจมตี DDoS

การโจมตี DDoS เป็นการโจมตีประเภทหนึ่งที่ผู้โจมตีพยายามทำให้เซิร์ฟเวอร์ของคุณมีการรับส่งข้อมูลมากเกินไปเพื่อทำให้เว็บไซต์ของคุณออฟไลน์

หากคุณไม่ได้เตรียมพร้อมสำหรับการโจมตี DDoS ก็อาจทำให้เว็บไซต์ของคุณออฟไลน์ได้ในช่วงระยะเวลาหนึ่ง

วิธีแก้ไข

วิธีที่ดีที่สุดที่จะปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี DDoS คือการใช้ผู้ให้บริการโฮสติ้ง WordPress ที่มีการป้องกัน DDoS หรือ CDN เช่น Cloudflare

19. เป้าหมายหลักสำหรับการโจมตีแบบ cross-site scripting (XSS)

การโจมตีแบบ Cross-site scripting (XSS) เป็นการโจมตีประเภทหนึ่งที่ผู้โจมตีพยายามใส่โค้ดที่เป็นอันตรายลงในเว็บไซต์ของคุณ

หากสำเร็จ สามารถใช้รหัสนี้เพื่อขโมยข้อมูลจากผู้เยี่ยมชมเว็บไซต์ของคุณได้

วิธีแก้ไข

วิธีที่ดีที่สุดในการปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี XSS คือการใช้ปลั๊กอินความปลอดภัย WordPress ที่มีการป้องกัน XSS

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ XSS และภัยคุกคามที่เกิดขึ้นได้ที่นี่

ป้องกันปลั๊กอินช่องโหว่ XSS

การป้องกันช่องโหว่ XSS เป็นตัวเลือกที่ยอดเยี่ยมและตรงไปตรงมาสำหรับงานนี้

20. เป้าหมายหลักสำหรับการฉีดมัลแวร์

มัลแวร์เป็นซอฟต์แวร์ประเภทหนึ่งที่ออกแบบมาเพื่อสร้างความเสียหายหรือปิดใช้งานเว็บไซต์ของคุณ

สามารถแทรกลงในเว็บไซต์ของคุณได้หลายวิธี รวมถึงผ่านปลั๊กอินและธีมที่ไม่ปลอดภัย

หากเว็บไซต์ของคุณติดมัลแวร์ การลบออกอาจทำได้ยาก และในบางกรณี อาจจำเป็นต้องสร้างเว็บไซต์ของคุณใหม่ทั้งหมด

วิธีแก้ไข

วิธีที่ดีที่สุดในการปกป้องเว็บไซต์ WordPress ของคุณจากมัลแวร์คือการใช้ปลั๊กอินความปลอดภัย WordPress ที่มีการสแกนและกำจัดมัลแวร์ MalCare เหมาะอย่างยิ่งสำหรับสิ่งนี้

21. แบบฟอร์มการติดต่อที่ไม่ปลอดภัย

แบบฟอร์มติดต่อเป็นคุณลักษณะทั่วไปของเว็บไซต์ WordPress และมักใช้เพื่อรวบรวมข้อมูลที่ละเอียดอ่อน เช่น หมายเลขบัตรเครดิตและที่อยู่บ้าน

หากแบบฟอร์มการติดต่อของคุณไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม ข้อมูลนี้อาจถูกขโมยโดยแฮกเกอร์

วิธีแก้ไข

เว็บไซต์ของคุณจำเป็นต้องมีใบรับรอง SSL เพื่อให้ประมวลผลข้อมูลที่ละเอียดอ่อนผ่านแบบฟอร์มการติดต่อได้อย่างถูกต้อง เมื่อคุณมีแล้ว คุณสามารถใช้ปลั๊กอินความปลอดภัย WordPress เพื่อช่วยรักษาความปลอดภัยให้กับแบบฟอร์มติดต่อของคุณได้เช่นกัน

นี่คือข้อมูลเพิ่มเติมบางส่วนเกี่ยวกับการสร้างแบบฟอร์มการติดต่อที่ปลอดภัย

22. หน้าเข้าสู่ระบบที่ไม่ปลอดภัย

หน้าเข้าสู่ระบบเป็นหนึ่งในหน้าที่สำคัญที่สุดบนเว็บไซต์ WordPress ของคุณ มันยังเป็นหนึ่งในกลุ่มที่เปราะบางที่สุดอีกด้วย

หากหน้าเข้าสู่ระบบของคุณไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม แฮกเกอร์สามารถเข้าถึงเว็บไซต์ของคุณได้โดยเดาชื่อผู้ใช้และรหัสผ่านของคุณ

วิธีแก้ไข

คุณสามารถทำให้การเข้าสู่ระบบของไซต์ของคุณปลอดภัยยิ่งขึ้นโดยการย้าย URL ของไซต์จริงๆ วิธีนี้ทำให้แฮกเกอร์ค้นหาได้ไม่ง่ายนัก คุณสามารถทำได้โดยใช้ปลั๊กอินความปลอดภัย WordPress หรือโดยการเพิ่มโค้ดสองสามบรรทัดลงในไฟล์ . htaccess ของเว็บไซต์ของคุณ

เมื่อเชื่อมต่อกับไซต์ของคุณผ่าน FTP แล้ว ให้ไปที่ไดเร็กทอรี /wp-content/ ภายในไดเร็กทอรีนี้ ให้มองหาไฟล์ชื่อ . htaccess หากคุณไม่เห็น ตรวจสอบให้แน่ใจว่าไคลเอ็นต์ FTP ของคุณได้รับการกำหนดค่าให้แสดงไฟล์ที่ซ่อนอยู่

เพิ่มรหัสต่อไปนี้ที่ด้านบนของไฟล์ .htaccess ของคุณ:

RewriteEngine บน

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$

RewriteRule ^(.*)$ –

บันทึกการเปลี่ยนแปลงของคุณและอัปโหลดไฟล์กลับไปที่เซิร์ฟเวอร์ของคุณ

เรามีบทความทั้งหมดสำหรับหน้าเข้าสู่ระบบ WordPress ของคุณที่นี่

ปกป้องไซต์ WordPress ของคุณจากการพยายามแฮ็คและเพลิดเพลินกับความปลอดภัยของไซต์

ในบทความนี้ เราได้ระบุ 22 วิธีที่สามารถแฮ็ก WordPress ได้ นอกจากนี้เรายังได้ให้คำแนะนำเกี่ยวกับวิธีการแก้ไขช่องโหว่เหล่านี้

หากคุณปฏิบัติตามคำแนะนำเหล่านี้ คุณสามารถช่วยปกป้องเว็บไซต์ WordPress ของคุณจากการพยายามแฮ็คได้ และคุณสามารถอุ่นใจได้เมื่อรู้ว่าไซต์ของคุณปลอดภัย!

ขอให้โชคดี!