วิธีทำให้ WordPress แข็งแกร่งขึ้น: คำแนะนำ 18 ขั้นตอนพร้อมเครื่องมือที่จำเป็น

เผยแพร่แล้ว: 2024-08-01

เว็บไซต์ WordPress อาจมีความเสี่ยงหากไม่ได้รับการดูแลอย่างดี การอัปเดตที่ข้ามไปบางส่วนหรือปลั๊กอินที่ไม่ถูกต้อง ทำให้ไซต์ของคุณตกอยู่ในความเสี่ยง ผู้โจมตียังสามารถเข้าผ่านหน้าเข้าสู่ระบบได้ หากไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม หรือทำให้เว็บไซต์ของคุณหยุดการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย

ความเศร้าโศกและความหายนะมากเกินไป?

โชคดีที่การโจมตีเหล่านี้สามารถป้องกันได้อย่างง่ายดายหากคุณทำตามขั้นตอนที่จำเป็นเพื่อทำให้ WordPress แข็งแกร่งขึ้น ระบบจัดการเนื้อหา (CMS) ช่วยให้คุณควบคุมการตั้งค่าไซต์ของคุณได้อย่างเต็มที่ ซึ่งหมายความว่าคุณสามารถใช้กลยุทธ์เพื่อป้องกันไซต์จากการโจมตีประเภทต่างๆ ได้

ในบทความนี้ เราจะนำเสนอหลักสูตรเต็มเกี่ยวกับการรักษาความปลอดภัย WordPress เราจะหารือเกี่ยวกับเครื่องมือที่คุณควรใช้ ดำเนินการมากกว่า 18 ขั้นตอนเพื่อทำให้ WordPress แข็งแกร่งขึ้น และแสดงให้คุณเห็นว่า Jetpack Security สามารถช่วยให้คุณรักษาเว็บไซต์ของคุณให้ปลอดภัยด้วยปลั๊กอินตัวเดียวได้อย่างไร มาเริ่มกันเลย!

ความสำคัญของการทำให้เว็บไซต์ WordPress ของคุณแข็งแกร่งขึ้น

ผู้โจมตีทางไซเบอร์มักจะค้นหาเว็บไซต์ที่มีช่องโหว่ที่สามารถใช้ประโยชน์ได้ แม้ว่าเว็บไซต์ของคุณจะค่อนข้างใหม่ แต่ผู้โจมตียังสามารถกำหนดเป้าหมายเว็บไซต์เพื่อเผยแพร่มัลแวร์หรือขโมยข้อมูลได้

นั่นทำให้การรักษาความปลอดภัยของ WordPress มีความสำคัญสำหรับทุกเว็บไซต์ ในขณะที่เขียนบทความนี้ มีช่องโหว่ WordPress ที่ได้รับการบันทึกไว้มากกว่า 50,000 รายการ ซึ่งรวมถึงปลั๊กอินที่มีช่องโหว่มากกว่า 7,800 รายการและธีมประมาณ 670 รายการ

ช่องโหว่ยังคงเพิ่มขึ้นอย่างต่อเนื่องทุกปี เนื่องจาก WordPress ได้รับความนิยมเพิ่มขึ้นและมีปลั๊กอินและธีมใหม่ๆ จำนวนมากในตลาด

หากไซต์ของคุณตกเป็นเป้าหมาย คุณอาจไม่สามารถเข้าถึงไซต์นั้นได้และข้อมูลของคุณอาจถูกบุกรุกได้ อาจใช้เวลาสักครู่ในการซ่อมแซมเว็บไซต์ของคุณและอาจนำไปสู่ ​​Conversion ที่สูญเสียไปจำนวนมาก ทั้งนี้ขึ้นอยู่กับความรุนแรงของการละเมิด นอกจากนี้ หากคุณดำเนินธุรกิจออนไลน์ขนาดใหญ่ การตกเป็นเหยื่อของอาชญากรรมในโลกไซเบอร์อาจนำไปสู่ความสูญเสียทางการเงินร้ายแรงได้

ข่าวดีก็คือ คุณสามารถทำอะไรได้มากมายเพื่อปกป้องเว็บไซต์ WordPress ของคุณ แต่เพื่อให้มันปลอดภัย คุณจะต้องดำเนินการเชิงรุก

เครื่องมือสำคัญในการทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้น

ตลอดทั้งคู่มือนี้ เราจะกล่าวถึงเครื่องมือรักษาความปลอดภัยหลายอย่างที่คุณสามารถใช้ได้ สิ่งเหล่านี้จะช่วยให้คุณใช้มาตรการเพื่อทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้น เรามาดูกันว่าพวกเขาคืออะไร

1. เครื่องสแกนช่องโหว่

เครื่องสแกนช่องโหว่คือซอฟต์แวร์ที่ตรวจสอบปัญหาด้านความปลอดภัยผ่านเว็บไซต์ของคุณ ในกรณีของ WordPress เครื่องสแกนจะสแกนไฟล์ ปลั๊กอิน และธีมของไซต์ของคุณ เพื่อค้นหาช่องว่างในการป้องกันที่ผู้โจมตีสามารถใช้ประโยชน์ได้

เครื่องสแกนจะเปรียบเทียบข้อมูลที่พบกับฐานข้อมูลช่องโหว่ เช่น WPScan นี่เป็นฐานข้อมูลที่ใหญ่ที่สุดของช่องโหว่ด้านความปลอดภัยของ WordPress ซึ่งได้รับการอัปเดตอย่างต่อเนื่อง

Jetpack Protect เป็นตัวเลือกอันดับต้นๆ ในการสแกนเว็บไซต์ของคุณเพื่อหาช่องโหว่

Jetpack Protect เป็นตัวเลือกอันดับต้นๆ ในการสแกนเว็บไซต์ของคุณเพื่อหาช่องโหว่ ปลั๊กอินช่วยให้คุณสามารถใช้ประโยชน์จากฐานข้อมูล WPScan ได้โดยการสแกนอัตโนมัติบนเว็บไซต์ของคุณ

หาก Jetpack ตรวจพบช่องโหว่ มันจะแจ้งให้คุณทราบและแสดงวิธีแก้ไขปัญหา ในกรณีส่วนใหญ่ การดำเนินการนี้จะเกี่ยวข้องกับการลบหรืออัปเดตปลั๊กอินหรือธีมที่มีช่องโหว่

2. เครื่องสแกนมัลแวร์

เครื่องสแกนมัลแวร์ทำงานคล้ายกับเครื่องสแกนช่องโหว่ ในกรณีนี้ ซอฟต์แวร์จะมุ่งเน้นไปที่การค้นหาไฟล์ที่ติดไวรัสและช่วยคุณกักกันหรือลบไฟล์เหล่านั้น เพื่อให้คุณสามารถกำจัดมัลแวร์บนเว็บไซต์ของคุณได้

ในกรณีส่วนใหญ่ เครื่องสแกนช่องโหว่และมัลแวร์ทำงานร่วมกัน ตัวอย่างเช่น WPScan สามารถช่วยคุณระบุทั้งช่องโหว่และมัลแวร์บนเว็บไซต์ WordPress ของคุณได้

หากคุณใช้ Jetpack และคุณมีสิทธิ์เข้าถึงแผนความปลอดภัย (หรืออัปเกรด Protect เป็นพรีเมียม) ปลั๊กอินจะสแกนเว็บไซต์ของคุณเพื่อหามัลแวร์และช่องโหว่ หากพบสิ่งผิดปกติในเว็บไซต์ของคุณ ปลั๊กอินจะให้ตัวเลือกแก่คุณในการแก้ไขปัญหาเหล่านี้ ซึ่งมักจะทำได้ด้วยการคลิกเพียงครั้งเดียวหรือสองครั้ง

3. ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF)

คุณคงคุ้นเคยกับแนวคิดของไฟร์วอลล์แล้ว นี่คือโปรแกรมที่บล็อกการรับส่งข้อมูลขาเข้าหรือขาออกจากเซิร์ฟเวอร์หรือคอมพิวเตอร์

ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) ทำงานในลักษณะเดียวกัน ได้รับการออกแบบมาเพื่อช่วยคุณบล็อกการรับส่งข้อมูลที่เป็นอันตรายหรือป้องกันมัลแวร์บนไซต์ของคุณจากการส่งข้อมูล

WAF ส่วนใหญ่ได้รับการกำหนดค่าไว้ล่วงหน้าพร้อมกฎเกี่ยวกับประเภทของการเชื่อมต่อที่จะบล็อก พวกเขายังสามารถระบุที่อยู่ IP ที่เป็นอันตรายซึ่งเป็นที่รู้จักได้ ทั้งนี้ขึ้นอยู่กับการตั้งค่าของพวกเขา

Jetpack Protect มี WAF พร้อมการตั้งค่าการกำหนดค่าที่ตรงไปตรงมา คุณสามารถตั้งค่า WAF ให้ใช้กฎอัตโนมัติ ซึ่งจัดทำและอัปเดตเป็นประจำโดยผู้เชี่ยวชาญด้านความปลอดภัยที่ Jetpack กฎอัตโนมัติเหล่านี้จัดทำขึ้นเพื่อป้องกันการโจมตีที่มีความรุนแรงสูง ดังนั้นแม้ว่าคุณจะมีช่องโหว่ในส่วนขยาย กฎ WAF ก็อาจปกป้องไซต์ของคุณได้

ปลั๊กอินยังช่วยให้คุณใส่ที่อยู่ IP เฉพาะในรายการที่อนุญาตหรือรายการบล็อกได้ สิ่งนี้มีประโยชน์หากคุณต้องการจำกัดผู้ที่สามารถเข้าถึงแดชบอร์ด

ปลั๊กอินยังช่วยให้คุณใส่ที่อยู่ IP เฉพาะในรายการที่อนุญาตหรือรายการบล็อกได้ สิ่งนี้มีประโยชน์หากคุณต้องการจำกัดผู้ที่สามารถเข้าถึงแดชบอร์ด

4. โซลูชันการสำรองข้อมูลนอกสถานที่

เครื่องมือสำรองข้อมูลจะสร้างสำเนาเว็บไซต์ของคุณและกู้คืนหากจำเป็น แนวคิดเบื้องหลังการสำรองข้อมูลก็คือ คุณจะมีสำเนาล่าสุดของไซต์ของคุณอยู่เสมอ เผื่อในกรณีที่ไซต์ทำงานผิดปกติ หรือคุณกำลังเผชิญกับปัญหาด้านความปลอดภัยที่คุณไม่สามารถแก้ไขได้อย่างง่ายดาย

เพื่อเพิ่มความปลอดภัย ขอแนะนำให้จัดเก็บข้อมูลสำรองทั้งในและนอกไซต์ของคุณ เผื่อในกรณีที่หนึ่งในนั้นล้มเหลว ด้วยวิธีนี้ข้อมูลเว็บไซต์ของคุณจะไม่สูญหายอย่างแท้จริง

แม้ว่าคุณจะสามารถสำรองข้อมูลไซต์ของคุณได้ด้วยตนเอง แต่การใช้ปลั๊กอินเฉพาะเช่น Jetpack VaultPress Backup จะทำให้คุณอุ่นใจและทำให้กระบวนการทั้งหมดเป็นแบบอัตโนมัติได้

ปลั๊กอินนี้สร้างการสำรองข้อมูลแบบเรียลไทม์ของเว็บไซต์ของคุณและจัดเก็บไว้นอกไซต์นานถึง 30 วัน

ปลั๊กอินนี้สร้างการสำรองข้อมูลแบบเรียลไทม์ของเว็บไซต์ของคุณและจัดเก็บไว้นอกไซต์นานถึง 30 วัน ทั้งหมดนี้เกิดขึ้นโดยอัตโนมัติ แม้ว่าคุณจะสามารถสร้างการสำรองข้อมูลด้วยตนเองได้หากต้องการ

Jetpack บันทึกการเปลี่ยนแปลงใด ๆ ที่คุณทำกับไซต์ของคุณทันทีที่เกิดขึ้น ซึ่งช่วยลดความเสี่ยงที่ข้อมูลสูญหายบางส่วนเมื่อคุณต้องการคืนค่าข้อมูลสำรองล่าสุด เพียงไปที่บันทึกกิจกรรมและเลือกวันที่และเวลาที่คุณต้องการกู้คืน จากนั้น Jetpack จะเริ่มกู้คืนไซต์ของคุณทันที (แม้ว่าจะออฟไลน์โดยสิ้นเชิงก็ตาม)

พูดถึงบันทึกกิจกรรม...

5. บันทึกกิจกรรมเพื่อติดตามการเปลี่ยนแปลงของไซต์

บันทึกกิจกรรมคือเครื่องมือที่ให้รายละเอียดสิ่งต่าง ๆ ที่เกิดขึ้นบนเว็บไซต์ของคุณ คุณสามารถใช้บันทึกเหล่านี้เพื่อติดตามกิจกรรมประเภทต่างๆ รวมถึงการเข้าสู่ระบบ การติดตั้งปลั๊กอิน การอัปโหลดโพสต์ และแม้แต่การเปลี่ยนแปลงในการกำหนดค่าเว็บไซต์ของคุณ

ความสำคัญของบันทึกกิจกรรมไม่สามารถกล่าวเกินจริงได้ หากคุณทำงานร่วมกับผู้อื่นเพื่อจัดทำเว็บไซต์ เครื่องมือนี้จะทำให้คุณเข้าใจถึงสิ่งที่คนอื่นกำลังทำอยู่

คุณยังสามารถใช้บันทึกกิจกรรมเพื่อแก้ไขปัญหาได้ ตัวอย่างเช่น หากเครื่องสแกนช่องโหว่ของคุณตรวจพบปัญหาเกี่ยวกับปลั๊กอินอย่างกะทันหัน คุณสามารถตรวจสอบบันทึกเพื่อดูว่าติดตั้งปลั๊กอินเมื่อใดและโดยใคร

Jetpack มีบันทึกกิจกรรมพร้อมบัญชี WordPress.com ฟรี ซึ่งคุณสามารถดูเหตุการณ์ 20 รายการล่าสุดบนเว็บไซต์ของคุณได้ ด้วยใบอนุญาตระดับพรีเมียม คุณจะสามารถเข้าถึงกิจกรรมต่างๆ ได้อย่างน้อย 30 วันที่ผ่านมา

วิธีทำให้เว็บไซต์ WordPress ของคุณแข็งแกร่งขึ้นใน 18 ขั้นตอน

นอกเหนือจากเครื่องมือที่เรากล่าวถึงในส่วนที่แล้ว คุณจะต้องดำเนินการเพื่อทำให้ WordPress แข็งแกร่งขึ้นด้วย ต่อไปนี้เป็นมาตรการรักษาความปลอดภัยที่สำคัญที่สุดสำหรับไซต์ของคุณ

1. สำรองไซต์ของคุณ

การสำรองข้อมูลอาจเป็นส่วนที่สำคัญที่สุดของกลยุทธ์การรักษาความปลอดภัยที่ครอบคลุม การมีการสำรองข้อมูลล่าสุดตลอดเวลาหมายความว่าหากเว็บไซต์ของคุณถูกโจมตีหรือติดมัลแวร์ คุณสามารถกู้คืนเนื้อหาของคุณได้ตลอดเวลา

ตามหลักการแล้ว คุณจะใช้ปลั๊กอินที่ทำการสำรองข้อมูลอัตโนมัติ ซึ่งจะช่วยลดความเสี่ยงในการลืมสำรองข้อมูลหลังจากทำการเปลี่ยนแปลงที่สำคัญในเว็บไซต์ของคุณ

ดังที่เราได้กล่าวไปแล้ว Jetpack VaultPress Backup เป็นโซลูชันการสำรองข้อมูลที่ทรงพลังซึ่งรวมอยู่ในตัวมันเองหรือมีแผนเข้าเกณฑ์เช่น Jetpack Security จะใช้ระบบสำรองข้อมูลแบบเรียลไทม์ ซึ่งหมายความว่าระบบจะบันทึกทุกครั้งที่คุณทำการเปลี่ยนแปลงในไซต์ของคุณ ดังนั้นการแก้ไขใหม่ทุกครั้งจึงได้รับการปกป้องทันที

ระบบนี้ดีกว่าการสำรองข้อมูลตามกำหนดเวลา ในกรณีหลัง คุณจะเสี่ยงต่อการสูญเสียข้อมูลหากจุดคืนค่าสุดท้ายอยู่ไกลเกินไป นี่ไม่ใช่ปัญหาหากคุณใช้ VaultPress Backup

2. ติดตั้งปลั๊กอินความปลอดภัยแบบออลอินวัน

มีปลั๊กอินความปลอดภัย WordPress ให้เลือกมากมาย เครื่องมือบางอย่างได้รับการออกแบบมาเพื่อวัตถุประสงค์เฉพาะ เช่น การเปิดใช้งาน WAF หรือการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) บางรายใช้แนวทางแบบองค์รวมมากขึ้นและรวมคุณลักษณะหลายอย่างเข้าด้วยกันเพื่อปกป้องไซต์ของคุณ

แนวคิดเบื้องหลังปลั๊กอินความปลอดภัยแบบออลอินวันคือการลดจำนวนเครื่องมือของบุคคลที่สามที่คุณต้องตั้งค่าบนเว็บไซต์ของคุณ ขณะเดียวกันก็เข้าถึงฟีเจอร์ต่างๆ ได้มากที่สุดเท่าที่จะเป็นไปได้

Jetpack นำเสนอฟีเจอร์ความปลอดภัยที่หลากหลาย หากคุณเลือกใช้ปลั๊กอินฟรี คุณจะสามารถเข้าถึงบันทึกกิจกรรม ฟังก์ชัน WAF ตัวเลือกการรับรองความถูกต้องที่ปลอดภัย และอื่นๆ อีกมากมาย

คุณสามารถขยายขอบเขตของฟีเจอร์ความปลอดภัยที่ปลั๊กอินนำเสนอได้โดยสมัครแผน Jetpack Security

คุณสามารถขยายขอบเขตของฟีเจอร์ความปลอดภัยที่ปลั๊กอินนำเสนอได้โดยสมัครแผน Jetpack Security แผนนี้ช่วยให้คุณเข้าถึงโซลูชันการสำรองข้อมูล การสแกนมัลแวร์อัตโนมัติด้วยการแก้ไขในคลิกเดียว การป้องกันสแปมและอื่น ๆ อีกมากมาย

ในแง่ของมูลค่า Jetpack Security นำเสนอหนึ่งในโซลูชั่นความปลอดภัยที่ครอบคลุมที่สุดสำหรับผู้ใช้ WordPress และหากต้องการ คุณสามารถเริ่มใช้ปลั๊กอินฟรีและอัปเดตเป็นเวอร์ชันพรีเมียมได้ตลอดเวลาเมื่อคุณสบายใจ

3. อัปเดตคอร์ WordPress

การอัปเดต WordPress เป็นเวอร์ชันล่าสุดเป็นหนึ่งในสิ่งที่สำคัญที่สุดที่คุณสามารถทำได้เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ของคุณ นั่นเป็นเพราะเวอร์ชันที่ใหม่กว่ามักจะมีการแก้ไขและปรับปรุงด้านความปลอดภัย นอกจากนี้ นักพัฒนาซอฟต์แวร์มักจะปล่อยแพตช์เพื่อแก้ไขช่องโหว่เร่งด่วน

การใช้ WordPress เวอร์ชันเก่าอาจทำให้เกิดปัญหาความเข้ากันได้กับปลั๊กอินและธีม สิ่งเหล่านี้อาจทำให้องค์ประกอบสำคัญบนเว็บไซต์ของคุณหยุดทำงาน

การอัปเดต WordPress เป็นเรื่องง่าย เมื่อคุณเข้าถึงแดชบอร์ด WordPress จะแจ้งให้คุณทราบว่ามีการอัพเดตใด ๆ หรือไม่ คุณสามารถอัปเดต WordPress ได้โดยคลิกที่ แดชบอร์ด → อัปเดต

โปรดทราบว่าการอัปเดต WordPress อาจนำไปสู่ปัญหาความเข้ากันได้หากปลั๊กอินหรือธีมของคุณไม่รองรับเวอร์ชันที่ใหม่กว่า

โปรดทราบว่าการอัปเดต WordPress อาจนำไปสู่ปัญหาความเข้ากันได้หากปลั๊กอินหรือธีมของคุณไม่รองรับเวอร์ชันที่ใหม่กว่า หากต้องการกู้คืน คุณจะต้องสร้างข้อมูลสำรองของไซต์ของคุณก่อนการอัปเดตครั้งใหญ่

หากคุณใช้ VaultPress Backup ก็ไม่จำเป็น ปลั๊กอินจะสำรองข้อมูลไซต์ของคุณแบบเรียลไทม์ ดังนั้นคุณจะมีจุดคืนค่าก่อนการอัปเดต ในกรณีที่คุณต้องการคืนค่าไซต์ของคุณ

4. ลบปลั๊กอินและธีมที่ไม่ได้ใช้

เมื่อไซต์ของคุณเติบโตขึ้น คุณอาจจำเป็นต้องมีปลั๊กอินใหม่และยังสามารถสลับไปใช้ธีมอื่นได้อีกด้วย นี่อาจทำให้เกิดช่องโหว่มากขึ้นในไซต์ของคุณ ตามหลักการทั่วไป เป็นการฉลาดที่จะลบปลั๊กอินหรือธีมที่คุณไม่ต้องการอีกต่อไป

กระบวนการนี้ง่าย

ไปที่หน้าปลั๊กอินหรือธีมของคุณในแดชบอร์ด จากนั้น ปิดการใช้งานและลบสิ่งที่คุณไม่ได้ใช้อีกต่อไป

ไปที่หน้าปลั๊กอินหรือธีมของคุณในแดชบอร์ด จากนั้น ปิดการใช้งานและลบสิ่งที่คุณไม่ได้ใช้อีกต่อไป

หากคุณตัดสินใจที่จะติดตั้งปลั๊กอินเหล่านี้บางส่วนอีกครั้งในภายหลัง ก็ไม่เป็นไร การติดตั้งและเปิดใช้งานจะใช้เวลาเพียงไม่กี่นาที แม้ว่าคุณอาจต้องกำหนดการตั้งค่าอีกครั้งก็ตาม

5. อัปเดตปลั๊กอินและธีมที่เหลือทั้งหมด

หลังจากที่คุณล้างรายการปลั๊กอินและธีมแล้ว คุณจะต้องตรวจสอบว่าองค์ประกอบที่เหลือในไซต์ของคุณต้องการการอัปเดตหรือไม่ การอัปเดตปลั๊กอินและธีมอาจมีความสำคัญพอๆ กับการอัปเดตหลักของ WordPress ในแง่ของความปลอดภัย เนื่องจากเป็นพาหะที่พบบ่อยที่สุดสำหรับการโจมตี

WordPress จะแจ้งให้คุณทราบเกี่ยวกับการอัปเดตปลั๊กอินและธีมที่มีอยู่เมื่อคุณเข้าถึงแดชบอร์ด ตามหลักการแล้ว คุณจะต้องอัปเดตส่วนประกอบของไซต์ของคุณทันทีที่มีเวอร์ชันใหม่

คุณสามารถทำได้จากหน้าปลั๊กอินและธีมในแดชบอร์ด

หากคุณยุ่งเกินกว่าที่จะตรวจสอบเว็บไซต์ของคุณทุกวัน คุณสามารถเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินแต่ละตัวได้ นี่เป็นมาตรการง่ายๆ

หากคุณยุ่งเกินกว่าที่จะตรวจสอบไซต์ของคุณทุกวัน คุณสามารถเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินแต่ละตัวได้ นี่เป็นมาตรการง่ายๆ แต่สามารถลดความเสี่ยงของช่องโหว่บนเว็บไซต์ของคุณได้อย่างมาก

6. บังคับใช้นโยบายรหัสผ่านที่รัดกุม

บ่อยครั้งที่การละเมิดเว็บไซต์ไม่ได้เกิดจากช่องโหว่ของ WordPress แต่เกิดจากข้อผิดพลาดของมนุษย์ หลายๆ คนใช้ข้อมูลประจำตัวที่ไม่รัดกุมในการเข้าสู่เว็บไซต์ ทำให้แฮกเกอร์เข้าถึงแดชบอร์ดได้ง่ายขึ้น

วิธีที่ดีที่สุดในการหลีกเลี่ยงปัญหานี้คือการบังคับใช้นโยบายรหัสผ่านที่รัดกุม เมื่อคุณลงทะเบียนบัญชีบนเว็บไซต์ WordPress ของคุณ รหัสผ่านที่ปลอดภัยจะถูกสร้างขึ้นสำหรับคุณ

วิธีที่ดีที่สุดในการหลีกเลี่ยงปัญหานี้คือการบังคับใช้นโยบายรหัสผ่านที่รัดกุม

หากคุณใช้ Jetpack คุณจะสามารถเข้าถึงฟังก์ชันการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ซึ่งคุณสามารถใช้เพื่อปกป้องหน้าเข้าสู่ระบบเพิ่มเติมได้

หากคุณใช้ Jetpack คุณจะสามารถเข้าถึงฟังก์ชันการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ซึ่งคุณสามารถใช้เพื่อปกป้องหน้าเข้าสู่ระบบเพิ่มเติมได้

สิ่งนี้มีประโยชน์มากหากคุณมีผู้ใช้หลายคนบนไซต์ของคุณ (เช่น ผู้เขียนและผู้จัดการร้าน) แม้ว่าผู้ใช้ของคุณจะใช้รหัสผ่านที่ไม่รัดกุม คุณจะมีทางเลือกสำรองของ 2FA เพื่อปกป้องเว็บไซต์ของคุณจากผู้โจมตีที่สามารถเข้าถึงข้อมูลประจำตัวเหล่านี้ (เพิ่มเติมในภายหลัง)

7. จำกัดความพยายามในการเข้าสู่ระบบ

โดยทั่วไป หากมีคนจำรายละเอียดการเข้าสู่ระบบของตนไม่ได้ โดยปกติแล้วพวกเขาจะลองใช้ข้อมูลรับรองที่แตกต่างกันสองสามรายการ จากนั้นจึงขอรีเซ็ตรหัสผ่าน

หากคุณสังเกตเห็น (ผ่านบันทึกกิจกรรม) ว่าบุคคลหนึ่งพยายามผสมชื่อผู้ใช้และรหัสผ่านจำนวนมาก เป็นไปได้ว่าคุณกำลังเผชิญกับการโจมตี นั่นเป็นเหตุผลว่าทำไมจึงเป็นความคิดที่ดีที่จะจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ผู้ใช้สามารถทำได้ภายในระยะเวลาที่กำหนด

นี่คือคุณสมบัติที่มีอยู่ใน Jetpack ปลั๊กอินมีการป้องกันแบบ bruteforce ที่สามารถจดจำที่อยู่ IP ที่เป็นอันตรายและบล็อกไม่ให้พยายามเข้าสู่ระบบ

ปลั๊กอินมีการป้องกันแบบ bruteforce ที่สามารถจดจำที่อยู่ IP ที่เป็นอันตรายและบล็อกไม่ให้พยายามเข้าสู่ระบบ

การป้องกันแบบ Brute-force จะทำงานตามค่าเริ่มต้นด้วย Jetpack คุณสามารถตรวจสอบการกำหนดค่าได้โดยไปที่ Jetpack → การตั้งค่า ที่นี่ คุณสามารถเพิ่มที่อยู่ IP ที่อนุญาตได้ ดังนั้น Jetpack จะไม่ขัดขวางไม่ให้คุณเข้าถึงหน้าเข้าสู่ระบบโดยไม่ได้ตั้งใจ

8. เพิ่มความปลอดภัยในการเข้าสู่ระบบด้วย 2FA

การสำรวจล่าสุดระบุว่านักพัฒนามากกว่า 40 เปอร์เซ็นต์พิจารณาการนำ 2FA มาเป็นลำดับความสำคัญสูงสุด มาตรการนี้ช่วยลดความเสี่ยงที่ผู้โจมตีจะเข้าถึงเว็บไซต์ของคุณด้วยข้อมูลประจำตัวที่ถูกขโมย

การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นคุณลักษณะด้านความปลอดภัยที่สำคัญ เนื่องจากผู้ใช้จำนวนมากมีรหัสผ่านที่ไม่รัดกุมหรือใช้ข้อมูลประจำตัวของตนซ้ำในไซต์ต่างๆ ด้วย 2FA คุณกำหนดให้ผู้ใช้เหล่านี้จัดเตรียมการตรวจสอบสิทธิ์รูปแบบอื่น

ดังที่เราได้กล่าวไว้ Jetpack ช่วยให้คุณสามารถใช้ 2FA สำหรับเว็บไซต์ WordPress ของคุณได้ ผู้ใช้จะต้องตั้งค่าบัญชี WordPress.com จากนั้นพวกเขาสามารถใช้บัญชีนี้เพื่อเข้าสู่เว็บไซต์ WordPress อื่น ๆ ได้ แม้แต่เว็บไซต์ที่ใช้ WordPress เวอร์ชันโอเพ่นซอร์สก็ตาม

2FA ใช้งานได้กับ Jetpack เวอร์ชันฟรี คุณลักษณะนี้สามารถเปิดหรือปิดได้ และคุณไม่จำเป็นต้องปรับแต่งการตั้งค่าขั้นสูงเพื่อกำหนดค่า เนื่องจากต้องใช้ WordPress.com

9. ลบบัญชีผู้ใช้ที่ไม่ได้ใช้

บัญชีผู้ใช้ที่ไม่ได้ใช้งานอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยสำหรับเว็บไซต์ของคุณ โดยเฉพาะอย่างยิ่งหากบัญชีเหล่านั้นมีสิทธิ์ระดับสูง (เราจะพูดถึงเรื่องนี้เพิ่มเติมในส่วนถัดไป) บัญชีเหล่านี้ให้โอกาสเพิ่มเติมสำหรับการละเมิดความปลอดภัย เนื่องจากข้อมูลประจำตัวอาจถูกบุกรุกและแชร์บนเว็บ

นี่คือสาเหตุที่เว็บไซต์จำนวนมากจะลบบัญชีของคุณโดยอัตโนมัติหากไม่มีการใช้งานเป็นเวลานาน (หลังจากเตือนคุณแล้ว) WordPress ช่วยให้คุณสามารถควบคุมรายชื่อผู้ใช้ของคุณได้อย่างเต็มที่ ซึ่งหมายความว่าคุณสามารถเพิ่มหรือลบผู้ใช้ได้ตามต้องการ

การลบผู้ใช้เป็นกระบวนการง่ายๆ ไปที่ผู้ใช้ → ผู้ใช้ทั้งหมด ค้นหาบัญชี และเลือกตัวเลือกลบ

การลบผู้ใช้เป็นกระบวนการง่ายๆ ไปที่ ผู้ใช้ → ผู้ใช้ทั้งหมด , ค้นหาบัญชีแล้วเลือกตัวเลือก ลบ WordPress จะขอให้คุณยืนยัน แต่ตัวผู้ใช้เองไม่จำเป็นต้องอนุมัติการลบบัญชี

คุณอาจต้องการติดต่อผู้ใช้ก่อนที่จะลบบัญชีของพวกเขา แต่หากบัญชีไม่มีการใช้งานมานานหลายปี บัญชีนั้นก็ควรจะถูกลบออก

10. มอบหมายบทบาทที่ถูกต้องให้กับผู้ใช้ที่เหลือ

หลังจากล้างรายชื่อผู้ใช้แล้ว ขั้นตอนต่อไปคือการตรวจสอบสิทธิ์สำหรับผู้ใช้ที่เหลือ WordPress ใช้ระบบบทบาทที่เรียบง่าย โดยแต่ละบทบาทมีชุดสิทธิ์ที่กำหนดไว้ล่วงหน้า

บทบาทของผู้ใช้เพียงคนเดียวที่สามารถเข้าถึงการตั้งค่า WordPress ทั้งหมดได้คือผู้ดูแลระบบ เพื่อความปลอดภัย ควรมีผู้ดูแลระบบเพียงคนเดียวเท่านั้น บทบาทอื่นๆ ของ WordPress ได้แก่ ผู้เขียน บรรณาธิการ ผู้ร่วมให้ข้อมูล และสมาชิก

ปลั๊กอินบางตัวยังเพิ่มบทบาทของผู้ใช้ใหม่พร้อมการอนุญาตที่อัปเดต

แต่ละบทบาทมาพร้อมกับสิทธิ์ที่ทำให้ผู้ใช้สามารถทำงานบางอย่างได้ ตัวอย่างเช่น ผู้เขียนสามารถเผยแพร่และแก้ไขโพสต์ของตนเองได้ แต่ไม่ใช่โพสต์ที่สร้างโดยผู้ใช้รายอื่น

แต่ละบทบาทมาพร้อมกับสิทธิ์ที่ทำให้ผู้ใช้สามารถทำงานบางอย่างได้ ตัวอย่างเช่น ผู้เขียนสามารถเผยแพร่และแก้ไขโพสต์ของตนเองได้ แต่ไม่ใช่โพสต์ที่สร้างโดยผู้ใช้รายอื่น

ตามหลักการแล้ว ผู้ใช้ไม่ควรมีบทบาทที่ให้สิทธิ์มากกว่าที่พวกเขาต้องการ การกำหนดบทบาทที่ไม่ถูกต้องอาจทำให้เกิดปัญหาด้านความปลอดภัยได้ เนื่องจากผู้ใช้อาจเปลี่ยนการตั้งค่า WordPress ที่ไม่ควรแตะต้อง

การตรวจสอบรายชื่อผู้ใช้เป็นระยะๆ เป็นสิ่งสำคัญเพื่อให้แน่ใจว่าทุกคนได้รับมอบหมายบทบาทที่ถูกต้อง แนวทางปฏิบัติง่ายๆ นี้จะช่วยคุณลดปัญหาด้านความปลอดภัยที่เกิดจากสมาชิกในทีมที่มีสิทธิ์ที่ไม่ถูกต้อง

11. เปลี่ยนชื่อบัญชี “ผู้ดูแลระบบ” เริ่มต้น

บัญชีผู้ดูแลระบบ WordPress คืออัญมณีล้ำค่าสำหรับผู้โจมตี หากพวกเขาเข้าถึงได้ พวกเขาจะสามารถทำอะไรก็ได้ที่ต้องการบนเว็บไซต์ของคุณ รวมถึงการขโมยข้อมูลและการแพร่กระจายมัลแวร์

ตามค่าเริ่มต้น WordPress จะใช้ชื่อผู้ใช้ ของผู้ดูแลระบบ สำหรับบัญชีผู้ดูแลระบบ คุณสามารถเปลี่ยนแปลงได้ในขณะที่สร้างบัญชี แต่ไม่สามารถเปลี่ยนแปลงได้ในภายหลัง

หากคุณใช้ชื่อผู้ใช้ของ ผู้ดูแลระบบ นั่นเป็นเรื่องง่ายสำหรับผู้โจมตีส่วนใหญ่ ซึ่งหมายความว่าพวกเขาเพียงแค่ต้องได้รับรหัสผ่านของคุณเท่านั้น WordPress ไม่อนุญาตให้คุณเปลี่ยนชื่อผู้ใช้ที่มีอยู่ แม้ในฐานะผู้ดูแลระบบก็ตาม

หากคุณใช้ชื่อผู้ใช้ของผู้ดูแลระบบ นั่นเป็นเรื่องง่ายสำหรับผู้โจมตีส่วนใหญ่ ซึ่งหมายความว่าพวกเขาเพียงแค่ต้องได้รับรหัสผ่านของคุณเท่านั้น

เพื่อหลีกเลี่ยงปัญหานี้ คุณสามารถสร้างบัญชีผู้ดูแลระบบใหม่ด้วยชื่อผู้ใช้ที่รัดกุม จากนั้นจึงลบบัญชีแรกออก โปรดทราบว่าคุณสามารถทำได้เฉพาะเมื่อคุณเป็นผู้ดูแลระบบเท่านั้น

12. เปลี่ยนคำนำหน้าฐานข้อมูลเริ่มต้น

ตามค่าเริ่มต้น WordPress จะใช้คำนำหน้า wp_ สำหรับฐานข้อมูลไซต์ ซึ่งทำให้ง่ายต่อการเดาชื่อฐานข้อมูล ซึ่งช่วยให้ผู้โจมตีเชื่อมต่อได้

คุณสามารถลดความเสี่ยงของเครื่องมือการแทรก SQL อัตโนมัติที่ระบุฐานข้อมูลได้โดยการเปลี่ยนคำนำหน้านั้น ตามหลักการแล้ว คุณจะดำเนินการนี้ในระหว่างขั้นตอนการตั้งค่า วิซาร์ดการตั้งค่า WordPress จะถามคุณว่าจะใช้คำนำหน้าฐานข้อมูลใดก่อนที่จะตั้งค่าเว็บไซต์ของคุณ

หากเว็บไซต์ของคุณเปิดใช้งานแล้ว คุณจะต้องแก้ไขไฟล์ wp-config.php เพื่อเปลี่ยนคำนำหน้าฐานข้อมูล เชื่อมต่อกับเว็บไซต์โดยใช้ File Transfer Protocol (FTP) และค้นหาไฟล์ wp-config.php ในไดเรกทอรี ราก ของ WordPress

แก้ไขไฟล์และมองหาบรรทัดที่ระบุว่า $table_prefix = 'wp_';. ไปข้างหน้าและแทนที่ค่า wp_ ด้วยคำนำหน้าที่คุณต้องการใช้ ไคลเอนต์ FTP ของคุณควรอัปโหลดการเปลี่ยนแปลงเมื่อคุณบันทึกและปิดไฟล์

ตอนนี้เข้าถึงฐานข้อมูลโดยใช้ phpMyAdmin เลือกฐานข้อมูลของคุณและใช้ SQL ที่ด้านบนของหน้าจอเพื่อเรียกใช้แบบสอบถามต่อไปนี้สำหรับแต่ละตารางในฐานข้อมูล:

เปลี่ยนชื่อตาราง wp_xxxx เป็น otherprefix_xxxx;

ต่อไปนี้คือลักษณะของข้อความค้นหานั้นในชีวิตจริง:

เลือกฐานข้อมูลของคุณและใช้แท็บ SQL ที่ด้านบนของหน้าจอเพื่อเรียกใช้แบบสอบถามต่อไปนี้สำหรับแต่ละตารางในฐานข้อมูล: RENAME table wp_xxxx TO otherprefix_xxxx;

นี่เป็นกระบวนการที่มีความละเอียดอ่อนสูง ดังนั้นคุณควรตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลไซต์ทั้งหมด (รวมถึงฐานข้อมูล) ก่อนที่จะพยายามเปลี่ยนคำนำหน้า

เมื่อกระบวนการเสร็จสิ้น ตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณทำงานได้ดี หากคุณพบข้อผิดพลาด คุณอาจลืมเปลี่ยนชื่อตารางฐานข้อมูลตารางใดตารางหนึ่งหรือดำเนินการแบบสอบถามผิด

เราปกป้องไซต์ของคุณ คุณดำเนินธุรกิจของคุณ

Jetpack Security ให้การรักษาความปลอดภัยไซต์ WordPress ที่ครอบคลุมและใช้งานง่าย รวมถึงการสำรองข้อมูลแบบเรียลไทม์ ไฟร์วอลล์แอปพลิเคชันเว็บ การสแกนมัลแวร์ และการป้องกันสแปม

รักษาความปลอดภัยเว็บไซต์ของคุณ

13. ซ่อน /wp-admin และ /wp-login.php

คุณอาจรู้จักคำต่อท้าย URL ทั้งสองนี้ ใช้เพื่อเข้าสู่ระบบ WordPress และเข้าถึงแดชบอร์ด ง่ายต่อการจดจำ แต่จะทำให้แฮกเกอร์เข้าถึงเว็บไซต์ของคุณได้ง่ายขึ้น

จากมุมมองด้านความปลอดภัย การใช้ส่วนต่อท้ายที่แตกต่างกันสำหรับ URL ทั้งสองจะเหมาะสมกว่า ในการเริ่มต้น คุณสามารถดูบทช่วยสอนนี้เกี่ยวกับวิธีเปลี่ยน URL เข้าสู่ระบบ WordPress ซึ่งรวมถึงคำแนะนำในการเปลี่ยน wp-login และ wp-admin.php ทั้งด้วยตนเองและการใช้ปลั๊กอิน

14. ติดตั้งใบรับรอง SSL สำหรับการเข้ารหัสข้อมูล

ในปัจจุบันนี้ ไม่มีเหตุผลใดที่เว็บไซต์จะไม่ใช้ใบรับรอง Secure Sockets Layer (SSL) ใบรับรองเหล่านี้จะตรวจสอบความถูกต้องของเว็บไซต์ของคุณ และช่วยให้คุณสามารถใช้โปรโตคอล HTTPS เพื่อส่งและรับข้อมูลที่เข้ารหัสได้

เบราว์เซอร์บางตัวจะเตือนผู้ใช้หากการเชื่อมต่อกับไซต์ไม่ปลอดภัยหรือมีใบรับรอง SSL ที่ไม่ถูกต้องหรือหมดอายุ

เบราว์เซอร์บางตัวจะเตือนผู้ใช้หากการเชื่อมต่อกับไซต์ไม่ปลอดภัยหรือมีใบรับรอง SSL ที่ไม่ถูกต้องหรือหมดอายุ

คุณสามารถปฏิบัติตามคำแนะนำนี้เพื่อรับใบรับรอง SSL ฟรีสำหรับเว็บไซต์ของคุณและติดตั้ง คุณยังสามารถใช้โฮสต์เว็บที่แนะนำของ Jetpack ได้ ซึ่งทั้งหมดนี้มีใบรับรอง SSL ฟรีพร้อมการตั้งค่าอัตโนมัติ

15. จำกัดการเข้าถึง FTP ด้วยที่อยู่ IP

ตามค่าเริ่มต้น ใครก็ตามที่มีสิทธิ์เข้าถึงข้อมูลประจำตัว FTP ของเว็บไซต์ของคุณจะสามารถเชื่อมต่อได้โดยใช้โปรโตคอลนั้น ซึ่งหมายความว่าหากผู้โจมตีได้รับข้อมูลประจำตัวของคุณ พวกเขาสามารถแก้ไขไซต์ของคุณได้เกือบทุกด้าน

โฮสต์เว็บบางแห่งมีมาตรการรักษาความปลอดภัย FTP ขั้นสูง เช่น การจำกัดการเข้าถึงด้วยที่อยู่ IP ซึ่งช่วยให้คุณสามารถเลือกที่อยู่ที่สามารถเชื่อมต่อกับเว็บไซต์ของคุณผ่านทาง FTP

เฉพาะผู้ดูแลระบบและสมาชิกในทีมที่ต้องการการเข้าถึงผ่าน FTP เท่านั้นจึงควรมีสิทธิ์ที่จำเป็น วิธีนี้สามารถช่วยลดเหตุการณ์ด้านความปลอดภัยและช่วยให้คุณระบุได้ว่าใครทำการเปลี่ยนแปลงไฟล์สำคัญหากคุณประสบปัญหากับ WordPress

ตามหลักการแล้ว คุณจะไม่ใช้ FTP เลย และจะเลือก SFTP หรือ SSH เพื่อเข้าถึงเซิร์ฟเวอร์ของคุณแทน

กระบวนการนี้จะแตกต่างกันไปขึ้นอยู่กับโฮสต์เว็บของคุณ หากคุณไม่แน่ใจว่าผู้ให้บริการโฮสติ้งของคุณอนุญาตให้คุณจำกัดการเข้าถึง FTP ด้วยที่อยู่ IP ได้หรือไม่ คุณสามารถตรวจสอบเอกสารประกอบของพวกเขาได้

16. รักษาความปลอดภัยไฟล์และสิทธิ์ไดเรกทอรี

ระบบที่ใช้ UNIX ใช้กฎการอนุญาตตามชุดหมายเลข ไฟล์และไดเร็กทอรีแต่ละไฟล์สามารถมีชุดสิทธิ์อนุญาตที่แตกต่างกันได้ ซึ่งจะกำหนดว่าใครสามารถเข้าถึง แก้ไข และดำเนินการสิทธิ์เหล่านั้นได้

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับวิธีการทำงานของสิทธิ์ UNIX ได้ในคู่มือนักพัฒนา WordPress

ในตอนนี้ สิ่งสำคัญที่ควรทราบคือมีระดับสิทธิ์ที่เหมาะสมที่สุดสำหรับเว็บไซต์ WordPress และระบบไฟล์

เหล่านี้คือ:

  • 644 หรือ 640 สำหรับไฟล์ ตัวเลขชุดแรกให้สิทธิ์การเข้าถึงไฟล์ในการอ่านและเขียนโดยสมบูรณ์แก่เจ้าของ และผู้ใช้รายอื่นในกลุ่มจะมีสิทธิ์การเข้าถึงเพื่ออ่านเท่านั้น สิทธิ์ชุดที่สองไม่ได้ให้การเข้าถึงแบบอ่านแก่ผู้ใช้
  • 755 หรือ 750 สำหรับไดเรกทอรี ชุดสิทธิ์นี้ทำงานในลักษณะเดียวกับตัวอย่างสุดท้าย แต่ใช้กับไดเร็กทอรี 755 ให้สิทธิ์การเข้าถึงแบบอ่านและเขียนแก่เจ้าของ โดยที่สมาชิกคนอื่นๆ ในกลุ่มมีสิทธิ์การเข้าถึงแบบอ่าน

คุณสามารถเปลี่ยนการอนุญาตไฟล์สำหรับระบบไฟล์ WordPress ของคุณได้โดยใช้ FTP ในการดำเนินการนี้ ให้คลิกขวาที่ไฟล์หรือไดเร็กทอรีแล้วเลือกตัวเลือกการอนุญาตไฟล์ (ซึ่งอาจแตกต่างกันไปขึ้นอยู่กับไคลเอ็นต์ FTP ที่คุณใช้)

คุณสามารถเปลี่ยนการอนุญาตไฟล์สำหรับระบบไฟล์ WordPress ของคุณได้โดยใช้ FTP

ไคลเอนต์ FTP บางตัวจะช่วยให้คุณสามารถตั้งค่าการอนุญาตไฟล์โดยทำเครื่องหมายในช่องเฉพาะรวมถึงการใช้ระบบตัวเลข คุณมีอิสระที่จะเลือกตัวเลือกใดก็ได้ที่คุณต้องการ

17. ไม่อนุญาตให้แก้ไขไฟล์

WordPress มีตัวแก้ไขไฟล์ธีมและปลั๊กอินอยู่ในกล่อง แม้ว่าโฮสต์เว็บบางแห่งจะปิดใช้งานตามค่าเริ่มต้นก็ตาม สิ่งเหล่านี้คือโปรแกรมแก้ไขข้อความธรรมดาที่คุณสามารถใช้จากแดชบอร์ดเพื่อทำการเปลี่ยนแปลงโค้ดสำหรับปลั๊กอินและธีมบนเว็บไซต์ของคุณ

การเปิดใช้งานการแก้ไขไฟล์จากแดชบอร์ดทำให้เกิดความเสี่ยงด้านความปลอดภัย หมายความว่าหากผู้โจมตีสามารถเข้าถึงแดชบอร์ดได้ พวกเขาสามารถแก้ไขโค้ดของไซต์ได้โดยตรงโดยไม่ต้องใช้ข้อมูลรับรอง FTP หรือเข้าถึงแผงโฮสต์

หากโฮสต์เว็บของคุณอนุญาตให้คุณใช้การแก้ไขไฟล์ใน WordPress คุณสามารถปิดการใช้งานตัวเลือกนี้ด้วยตนเองโดยการแก้ไขไฟล์ wp-config.php เปิดไฟล์และเพิ่มบรรทัดโค้ดต่อไปนี้ต่อท้ายก่อนบรรทัดที่อ่านว่า /* แค่นี้เอง หยุดแก้ไข! มีความสุขในการเขียนบล็อก */ :

 define('DISALLOW_FILE_EDIT', true);

ตรวจสอบให้แน่ใจว่าตั้งค่าเป็น "จริง" จากนั้นบันทึกการเปลี่ยนแปลงเป็น wp-config.php แล้วปิด หากคุณตรวจสอบแดชบอร์ดตอนนี้ ตัวแก้ไขธีมและปลั๊กอินจะไม่ปรากฏที่นั่นอีกต่อไป

18. รักษาความปลอดภัยไฟล์ wp-config.php ของคุณ

ดังที่คุณเห็นจากคู่มือการทำให้ WordPress แข็งแกร่งขึ้น ไฟล์ wp-config.php มีความสำคัญอย่างยิ่งในแง่ของความปลอดภัย คุณสามารถแก้ไขโค้ดของไฟล์เพื่อเพิ่มการป้องกันเว็บไซต์ของคุณได้ ดังนั้นจึงจำเป็นที่ไม่มีใครสามารถเข้าถึงได้

เราได้ดูวิธีการปกป้องไฟล์ wp-config.php ของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาตแล้ว โดยหลักแล้วเกี่ยวข้องกับการจำกัดผู้ที่สามารถเชื่อมต่อกับเว็บไซต์ของคุณผ่านทาง FTP ตามหลักการแล้ว คุณจะมีที่อยู่ IP เพียงหนึ่งหรือจำนวนจำกัดที่ได้รับอนุญาตให้เชื่อมต่อผ่าน FTP เพื่อลดความเสี่ยง

มาตรการรักษาความปลอดภัยประการที่สองที่คุณสามารถทำได้คือทำให้แน่ใจว่ามีการอนุญาตไฟล์ที่เหมาะสม แม้ว่าระดับการอนุญาตที่แนะนำสำหรับไฟล์อื่นๆ จะเป็น 644 หรือ 640 แต่ไฟล์ wp-config.php ควรตั้งค่าเป็น 440 หรือ 400 ระดับการอนุญาตเหล่านั้นหมายความว่าผู้ใช้รายอื่นนอกเหนือจากผู้ดูแลระบบจะไม่สามารถรับสิทธิ์การอ่านได้ ไปที่ไฟล์.

ความสำคัญของการสำรองข้อมูลเพื่อการกู้คืนระบบ

การสำรองข้อมูลอัตโนมัติอาจเป็นมาตรการรักษาความปลอดภัยที่สำคัญที่สุด ด้วยการสำรองข้อมูลนอกไซต์ล่าสุด คุณสามารถกู้คืนเว็บไซต์ของคุณได้ตลอดเวลาหากมีสิ่งผิดปกติเกิดขึ้น

หากคุณใช้ VaultPress Backup คุณไม่จำเป็นต้องกังวลเกี่ยวกับการสร้างการสำรองข้อมูลด้วยตนเอง คุณสามารถตรวจสอบการสำรองข้อมูลที่มีอยู่ได้โดยไปที่ Jetpack → VaultPress Backup และคลิกที่ ดูข้อมูลสำรองของคุณในปุ่มคลาวด์

หากคุณใช้ VaultPress Backup คุณไม่จำเป็นต้องกังวลเกี่ยวกับการสร้างการสำรองข้อมูลด้วยตนเอง

นี่จะแสดงข้อมูลสำรองทั้งหมดที่มีอยู่ และเสนอตัวเลือกให้คุณกู้คืนข้อมูลสำรองเหล่านั้นได้ด้วยคลิกเดียว VaultPress Backup จะสร้างสำเนาเว็บไซต์ของคุณแบบเรียลไทม์ทุกครั้งที่คุณทำการเปลี่ยนแปลง ดังนั้นคุณจึงมีการสำรองข้อมูลล่าสุดอยู่เสมอ

Jetpack Security จัดการการสำรองข้อมูลอย่างไรเพื่อความอุ่นใจ

มาดูกันว่า Jetpack Security จัดการการสำรองข้อมูลอย่างไร โปรดทราบว่าฟีเจอร์ต่อไปนี้มีให้ใช้งานเฉพาะกับแผนพรีเมียม เช่น Jetpack Security, Jetpack Complete หรือ VaultPress Backup

1. การสำรองข้อมูลแบบเรียลไทม์

โซลูชันการสำรองข้อมูลส่วนใหญ่ต้องการให้คุณสร้างการสำรองข้อมูลด้วยตนเอง หรือสร้างการสำรองข้อมูลให้คุณตามกำหนดเวลา ตัวอย่างเช่น คุณอาจมีตัวเลือกในการสำรองข้อมูลรายวัน รายสัปดาห์ หรือรายเดือน

การสำรองข้อมูลรายวันเป็นการเริ่มต้นที่ดี แต่ถึงอย่างนั้น คุณก็เสี่ยงต่อการสูญเสียข้อมูลสำคัญเมื่อคุณต้องการกู้คืนเว็บไซต์ของคุณ หากคุณทำการเปลี่ยนแปลงใดๆ กับไซต์หลังจากการสำรองข้อมูลรายวันและก่อนการเปลี่ยนแปลงครั้งถัดไป คุณจะต้องดำเนินการใหม่อีกครั้ง

VaultPress Backup แก้ปัญหานี้โดยการสร้างสำเนาไซต์ของคุณแบบเรียลไทม์ เมื่อใดก็ตามที่คุณทำการเปลี่ยนแปลง ปลั๊กอินจะสำรองข้อมูล และคุณจะมีจุดคืนค่าใหม่ ซึ่งหมายความว่าคุณไม่เสี่ยงต่อการสูญเสียข้อมูล

2. พื้นที่จัดเก็บข้อมูลนอกสถานที่ที่มีความปลอดภัยสูง

พื้นที่เก็บข้อมูลอาจเป็นปัญหากับโซลูชันการสำรองข้อมูลส่วนใหญ่ คุณสามารถจัดเก็บสำเนาของไซต์ของคุณบนเซิร์ฟเวอร์ ในเครื่อง หรือแม้แต่การใช้ที่เก็บข้อมูลบนคลาวด์ โซลูชันนอกสถานที่จะดีกว่าจากมุมมองด้านความปลอดภัย เพราะหากเซิร์ฟเวอร์ล่ม คุณยังคงสามารถเข้าถึงโซลูชันเหล่านั้นได้

VaultPress Backup นำเสนอโซลูชันการจัดเก็บข้อมูลนอกสถานที่ของตัวเอง คุณไม่จำเป็นต้องกำหนดค่าปลั๊กอินให้ทำงานร่วมกับผู้ให้บริการที่เก็บข้อมูลบนคลาวด์เมื่อคุณเข้าถึงที่เก็บข้อมูล Jetpack

ปลั๊กอินจะจัดเก็บข้อมูลสำรองนอกสถานที่ในช่วง 30 วันที่ผ่านมาโดยอัตโนมัติ เมื่อใดก็ได้ คุณสามารถเลือกหนึ่งในข้อมูลสำรองเหล่านี้และกู้คืนได้

3. คืนค่าด้วยคลิกเดียว

VaultPress Backup ช่วยให้การกู้คืนเว็บไซต์ของคุณเป็นเรื่องง่าย สิ่งที่คุณต้องทำคือเลือกข้อมูลสำรองที่คุณต้องการกู้คืนและยืนยันการเลือกของคุณ จากนั้นปลั๊กอินจะจัดการส่วนที่เหลือ

เมื่อคุณเข้าถึงเว็บไซต์ของคุณอีกครั้ง คุณจะเห็นเวอร์ชันที่คุณกู้คืนโดยใช้ VaultPress Backup จากจุดนั้น คุณสามารถดำเนินการเปลี่ยนแปลงไซต์ต่อไปได้

คำถามที่พบบ่อย

หากคุณยังคงมีคำถามเกี่ยวกับวิธีปกป้องเว็บไซต์ WordPress หรือการสำรองข้อมูล VaultPress ในส่วนนี้จะตอบคำถามเหล่านี้

WordPress hardening คืออะไร และเหตุใดจึงสำคัญ

การแข็งตัวของ WordPress หมายถึงกระบวนการเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณ ทำให้ผู้โจมตีเข้าถึงเว็บไซต์ได้ยากขึ้น

ภัยคุกคามที่พบบ่อยที่สุดต่อไซต์ WordPress คืออะไร?

ช่องโหว่ WordPress ส่วนใหญ่มาจากปลั๊กอิน ธีม และแกน WordPress ที่ล้าสมัย ซอฟต์แวร์ที่ล้าสมัยมีแนวโน้มที่จะมีช่องโหว่ที่ผู้โจมตีสามารถใช้เพื่อเข้าถึงหรือควบคุมเว็บไซต์ของคุณได้

ฉันจะตรวจสอบเว็บไซต์ WordPress ของฉันเพื่อหาช่องโหว่ด้านความปลอดภัยได้อย่างไร?

วิธีที่ง่ายที่สุดในการตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่คือการใช้เครื่องสแกนความปลอดภัย Jetpack Security ใช้ประโยชน์จาก WPScan เพื่อตรวจสอบเว็บไซต์ของคุณเพื่อหาช่องโหว่ WordPress ที่ทราบ

นอกจากนี้ Jetpack ยังสามารถช่วยคุณแก้ไขปัญหาด้านความปลอดภัยที่ปลั๊กอินพบระหว่างการสแกน

ฉันควรมองหาอะไรในปลั๊กอินความปลอดภัย WordPress

ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดนำเสนอชุดคุณสมบัติที่จะช่วยปกป้องเว็บไซต์ของคุณในขณะที่ลดความจำเป็นในการใช้เครื่องมือของบุคคลที่สามอื่น ๆ คุณสามารถใช้ Jetpack กับแผน Jetpack Security เพื่อเข้าถึงฟีเจอร์ต่างๆ เช่น การสำรองข้อมูลแบบเรียลไทม์, WAF, การป้องกันสแปม, การใช้งาน 2FA และอื่นๆ อีกมากมาย

มีกี่เว็บไซต์ที่ไว้วางใจ Jetpack ในเรื่องความปลอดภัยของเว็บไซต์?

Jetpack เป็นหนึ่งในปลั๊กอิน WordPress ที่ได้รับความนิยมมากที่สุดในตลาดเนื่องจากมีคุณลักษณะด้านความปลอดภัยและการเพิ่มประสิทธิภาพมากมาย เว็บไซต์มากกว่าห้าล้านแห่งใช้ Jetpack ดังนั้นจึงเป็นตัวเลือกที่ยอดเยี่ยมสำหรับผู้ใช้ WordPress ทั้งใหม่และมีประสบการณ์

Jetpack Security สามารถช่วยแสดงความคิดเห็นเกี่ยวกับสแปมและการส่งแบบฟอร์มได้หรือไม่

Jetpack Security มีคุณสมบัติการป้องกันสแปมที่จะบล็อกหรือกรองความคิดเห็นที่เป็นสแปมโดยอัตโนมัติตามอัลกอริธึมและข้อมูลขั้นสูง คุณยังสามารถตรวจสอบความคิดเห็นที่ถูกตั้งค่าสถานะเพื่อให้แน่ใจว่าไม่มีผลบวกลวง

ฉันจะเรียนรู้เพิ่มเติมเกี่ยวกับ Jetpack Security ได้ที่ไหน

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Jetpack Security คุณสามารถไปที่หน้าแรกของแผนได้ คุณสามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับฟีเจอร์ของมันและสมัครแผนได้ที่นั่น

ปกป้องเว็บไซต์ของคุณโดยใช้ Jetpack Security

มีหลายวิธีในการทำให้เว็บไซต์ WordPress ของคุณแข็งแกร่งขึ้น บางส่วนเกี่ยวข้องกับการใช้มาตรการรักษาความปลอดภัย เช่น การเปลี่ยนการเข้าสู่ระบบเริ่มต้นและ URL แดชบอร์ด การรักษาความปลอดภัยไฟล์ wp-config.php ของคุณ และอื่นๆ ในกรณีส่วนใหญ่สิ่งที่มีผลกระทบมากที่สุดที่คุณสามารถทำได้เพื่อปกป้องไซต์ของคุณคือการใช้ปลั๊กอินความปลอดภัยแบบ all-in-one

Jetpack Security เป็นโซลูชันที่ทรงพลัง ช่วยให้คุณสามารถปกป้องหน้าเข้าสู่ระบบของคุณและปกป้องเว็บไซต์ของคุณจากการโจมตี DDOS นอกจากนี้ยังมีการสำรองข้อมูลแบบเรียลไทม์การป้องกันสแปมและอื่น ๆ อีกมากมาย

หากคุณไม่แน่ใจว่าจะเริ่มต้นที่ไหนเมื่อมันมาถึงการชุบแข็ง WordPress ให้ตรวจสอบความปลอดภัยของ Jetpack คุณสามารถลงทะเบียนเพื่อวางแผนและเริ่มปกป้องเว็บไซต์ของคุณได้ทันที!