ความปลอดภัยของ WordPress: วิธีรักษาความปลอดภัยเว็บไซต์

เผยแพร่แล้ว: 2023-10-21

ความปลอดภัยของ WordPress อยู่ในใจของเจ้าของเว็บไซต์จำนวนมาก WordPress มีสคริปต์โอเพ่นซอร์ส ดังนั้นโดยธรรมชาติแล้ว ทุกคนจึงกังวลว่าสคริปต์ดังกล่าวเสี่ยงต่อการถูกโจมตีทุกประเภท อย่างไรก็ตาม WordPress ไม่ได้มีความเสี่ยงโดยเนื้อแท้ และมีหลายขั้นตอนที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับ WordPress

ท้ายที่สุดแล้ว เจ้าของเว็บไซต์มักจะรับผิดชอบต่อการแฮ็กมากกว่าแพลตฟอร์ม ปรากฎว่าคุณมีโอกาสมากมายในการทำให้ไซต์ WordPress ของคุณปลอดภัย ต่อไปนี้เป็นเคล็ดลับและคำแนะนำที่จะช่วยคุณทราบวิธีรักษาความปลอดภัยเว็บไซต์ของคุณบน WordPress

สร้างการล็อกไซต์และแบนผู้ใช้

การสร้างคุณลักษณะการล็อกดาวน์สำหรับการพยายามเข้าสู่ระบบที่ล้มเหลวซ้ำแล้วซ้ำอีกจะช่วยป้องกันไม่ให้แฮกเกอร์พยายามใช้กำลังดุร้ายอย่างต่อเนื่องจนสำเร็จในที่สุด ความพยายามในการแฮ็กใด ๆ ที่ใช้รหัสผ่านยาว ๆ ซ้ำ ๆ จะล็อคไซต์และคุณจะได้รับแจ้งถึงกิจกรรมที่ไม่ได้รับอนุญาต วิธีนี้จะบล็อกแฮกเกอร์จำนวนมากได้ทันที

วิธีหนึ่งในการเพิ่มความปลอดภัยของ WordPress จากการพยายามแฮ็กประเภทนี้คือปลั๊กอิน iThemes Security มันเยี่ยมยอดมาเป็นเวลานานโดยไม่มีทีท่าว่าจะชะลอตัวลง มันเสนอตัวเลือกให้คุณระบุจำนวนความพยายามเข้าสู่ระบบที่ล้มเหลวที่ผู้ใช้มีก่อนที่ปลั๊กอินจะแบนที่อยู่ IP และแจ้งเตือนคุณ

ใช้วิธีการรับรองความถูกต้องแบบ 2 ปัจจัย

การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (SFA) เป็นหนึ่งในแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress จะขอให้ผู้ใช้ระบุรายละเอียดการเข้าสู่ระบบสำหรับส่วนประกอบสองชิ้น ในฐานะเจ้าของไซต์ คุณสามารถตัดสินใจได้ว่าองค์ประกอบทั้งสองนี้คืออะไร ซึ่งอาจเป็นรหัสผ่านปกติตามด้วยรหัสลับ คำถามลับ ชุดอักขระ CAPTCHA และอื่นๆ

เจ้าของเว็บไซต์จำนวนมากชอบวิธี 2FA ในการรักษาความปลอดภัยเว็บไซต์ของตน Google Authenticator เป็นปลั๊กอินที่ดีสำหรับการรวม 2FA บนไซต์ของคุณ เช่นเดียวกับปลั๊กอินอื่นๆ จาก Google ที่เชื่อถือได้และอัปเดตบ่อยครั้ง

ใช้อีเมลเป็นชื่อผู้ใช้เข้าสู่ระบบ

ค่าเริ่มต้นสำหรับเว็บไซต์ส่วนใหญ่จะถามชื่อผู้ใช้เพื่อเข้าสู่ระบบ เพื่อเพิ่มความปลอดภัยของ WordPress ให้ใช้รหัสอีเมลแทนชื่อผู้ใช้ เป็นแนวทางที่ปลอดภัยกว่า ชื่อผู้ใช้นั้นง่ายสำหรับแฮกเกอร์ที่จะคาดเดา อีเมลไม่ใช่เรื่องง่ายที่จะคาดเดา นอกจากนี้ บัญชีผู้ใช้ WordPress จะต้องถูกสร้างขึ้นโดยใช้ที่อยู่อีเมลที่ไม่ซ้ำกัน ซึ่งจะทำให้เป็นตัวระบุที่ถูกต้องมากขึ้น

ปลั๊กอินที่ดีสำหรับการเพิ่มความปลอดภัย WordPress ด้วยวิธีนี้คือการเข้าสู่ระบบอีเมล WP มันใช้งานได้ทันทีหลังการติดตั้ง เพียงเปิดใช้งานแล้วไปได้เลย ไม่จำเป็นต้องกำหนดค่าใดๆ หากคุณต้องการทดสอบ เพียงออกจากระบบเว็บไซต์ของคุณแล้วเข้าสู่ระบบอีกครั้งโดยใช้ที่อยู่อีเมลที่คุณใช้สร้างบัญชี

เปลี่ยนชื่อ URL เข้าสู่ระบบของคุณ

การเปลี่ยน URL เข้าสู่ระบบของคุณทำได้ง่ายมาก การเข้าสู่ระบบ WordPress เริ่มต้นนั้นเข้าถึงได้ง่ายผ่าน wp-login.php หรือ wp-admin ที่เพิ่มลงใน URL หลักของเว็บไซต์ของคุณ เมื่อแฮกเกอร์ทราบ URL โดยตรงของหน้าเข้าสู่ระบบ พวกเขามักจะพยายามใช้กำลังเข้าสู่ไซต์ของคุณอย่างดุร้าย จากนั้นพวกเขาจะพยายามเข้าสู่ระบบด้วย Guess Work Database (GWDb) ซึ่งเป็นฐานข้อมูลชื่อผู้ใช้และรหัสผ่านที่เดาได้ซึ่งมีอักขระหลายล้านตัวผสมกัน แฮกเกอร์พบว่าการทำเช่นนี้เป็นเรื่องง่าย มันหยาบคาย เรียบง่าย แต่มักได้ผลมากเกินไป

หากคุณได้ปฏิบัติตามขั้นตอนทั้งหมดที่มีรายละเอียดข้างต้น แสดงว่าคุณได้จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบของผู้ใช้และสลับชื่อผู้ใช้สำหรับระบุอีเมลแล้ว ด้วยการเปลี่ยน URL นอกเหนือจากมาตรการรักษาความปลอดภัย WordPress ทั้งสองนี้ คุณจะกำจัดการโจมตีแบบ Brute Force โดยตรงได้ถึง 99% สิ่งนี้จะช่วยหลีกเลี่ยงแฮ็กเกอร์ WordPress ที่พบบ่อยที่สุดได้มาก

สิ่งที่คุณต้องทำเพื่อจำกัดเอนทิตีที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงหน้าเข้าสู่ระบบคือใช้ปลั๊กอิน iThemes Security เพื่อทำสิ่งนี้:

  • เปลี่ยน wp-login.php เป็นสิ่งที่ไม่เหมือนใคร เช่น my_new_login
  • เปลี่ยน /wp-admin/ เป็นสิ่งที่ไม่ซ้ำใคร เช่น my_new_admin
  • เปลี่ยน /wp-login.php?action=register เป็นสิ่งที่ไม่ซ้ำใคร

ใช้โฮสต์คุณภาพดี

โฮสต์ของคุณเหมือนกับถนนในไซต์ของคุณบนอินเทอร์เน็ต เช่นเดียวกับที่อยู่ในชีวิตจริง คุณภาพของถนนอาจส่งผลต่อประเภทการจราจรที่มองเห็นได้

โฮสต์ที่ดีจะส่งผลต่อความน่าเชื่อถือของเว็บไซต์ของคุณ ประสิทธิภาพของเว็บไซต์ มีขนาดใหญ่แค่ไหน และแม้แต่อันดับที่สูงในโปรแกรมค้นหาด้วย โฮสต์ที่ยอดเยี่ยมจริงๆ นำเสนอฟีเจอร์ที่มีประโยชน์มากมายแก่เจ้าของเว็บไซต์ รวมถึงการสนับสนุนและบริการที่ดีที่ปรับให้เหมาะกับแพลตฟอร์มที่เจ้าของเลือก

มองหาโฮสต์ที่อัปเดตบริการ ซอฟต์แวร์ และเครื่องมือของตนเป็นประจำและเกือบจะคงที่ นอกจากนี้ยังควรตอบสนองต่อภัยคุกคามล่าสุดและกำจัดการละเมิดความปลอดภัยที่อาจเกิดขึ้นได้อย่างรวดเร็ว โฮสต์เว็บควรนำเสนอคุณสมบัติความปลอดภัยแบบกำหนดเป้าหมาย เช่น ใบรับรอง SSL/TLS และการป้องกัน DDoS คุณควรเข้าถึง Web Application Firewall (WAF) เพื่อช่วยตรวจสอบและบล็อกภัยคุกคามร้ายแรงต่อไซต์ WordPress

โฮสต์เว็บที่ดีมักจะให้วิธีสำรองข้อมูลเว็บไซต์ของคุณด้วย ในบางกรณี พวกเขาจะสำรองข้อมูลให้กับคุณด้วยซ้ำ สิ่งนี้จะช่วยให้คุณสามารถเปลี่ยนกลับเป็นเวอร์ชันเสถียรก่อนหน้าได้หากไซต์ของคุณถูกแฮ็ก พวกเขาควรให้การสนับสนุนตลอด 24 ชั่วโมงทุกวัน ดังนั้นคุณจึงสามารถติดต่อผู้เชี่ยวชาญเพื่อช่วยเกี่ยวกับปัญหาความปลอดภัยของเว็บไซต์ได้เสมอ

เปลี่ยนเว็บไซต์ของคุณเป็น HTTPS

ด้วยใบรับรอง SSL/TLS คุณสามารถเปลี่ยนไซต์ WordPress ของคุณเป็น HyperText Transfer Protocol Secure (HTTPS) ซึ่งเป็น HTTP เวอร์ชันที่ปลอดภัยยิ่งขึ้น นี่เป็นวิธีที่ดีในการเพิ่มความปลอดภัยของ WordPress

HTTP เป็นโปรโตคอลที่ถ่ายโอนข้อมูลระหว่างเว็บไซต์และเบราว์เซอร์ที่พยายามเข้าถึง เมื่อใดก็ตามที่ผู้เยี่ยมชมนาฬิกาบนเพจของคุณ ค่าคงที่ สื่อ และโค้ดทั้งหมดจะถูกส่งผ่านโปรโตคอลนี้ไปยังตำแหน่งของผู้เยี่ยมชม นี่เป็นสิ่งจำเป็นแต่ก็สร้างปัญหาด้านความปลอดภัยด้วย

ด้วย HTTPS ปัญหานี้ได้รับการแก้ไขแล้ว มันทำสิ่งเดียวกันกับ HTTP แต่ยังเข้ารหัสข้อมูลของไซต์ในขณะที่เดินทางจากที่หนึ่งไปยังอีกที่หนึ่ง เริ่มต้นจากการเป็นสิ่งที่ใช้เพื่อปกป้องข้อมูลลูกค้าที่ละเอียดอ่อน เช่น รายละเอียดบัตรเครดิต แต่กลับกลายเป็นเรื่องปกติมากขึ้นเรื่อยๆ ในไซต์ทุกประเภท

เมื่อคุณเปลี่ยนมาใช้ HTTPS ลูกค้าจะมีความมั่นใจสูงในการจัดการกับเว็บไซต์ของคุณ ขอแนะนำให้มี SSL จากแบรนด์ที่ได้รับการรับรองความถูกต้อง เช่น Comodo, Thawte, GlobalSign ฯลฯ หากคุณมีไซต์โดเมนเดียว เราขอแนะนำให้มีใบรับรอง Comodo PositiveSSL จาก Comodo หรือ SSL โดเมนเดี่ยวอื่น ๆ จากแบรนด์ที่กล่าวถึง มันจะรักษาความปลอดภัยการทำธุรกรรมออนไลน์ระหว่างเซิร์ฟเวอร์และเบราว์เซอร์

คำถามที่พบบ่อยเกี่ยวกับการรักษาความปลอดภัย WordPress

ฉันจะปกป้องไซต์ WordPress ของฉันจากแฮกเกอร์ได้อย่างไร?

รู้ไหม เวลาเราคุยกันเรื่องไล่คนร้ายออกไป มันเหมือนกับล็อคบ้านคุณตอนกลางคืน

ก่อนอื่นเลย คอยอัปเดตทุกอย่างอยู่เสมอ ไม่ว่าจะเป็นธีม ปลั๊กอิน และที่สำคัญที่สุดคือ WordPress เอง เหมือนได้ติดตั้งระบบความปลอดภัยใหม่ล่าสุด อย่าไปง่ายกับรหัสผ่านของคุณเช่นกัน ทำให้มันซับซ้อนและไม่เหมือนใคร

และนี่ เพิ่มปลั๊กอินความปลอดภัยเหรอ? นั่นก็เหมือนกับการมีสุนัขเฝ้ายาม Wordfence หรือ Sucuri อาจเป็นเพื่อนที่ดีที่สุดคนใหม่ของคุณ

เว็บไซต์ WordPress สามารถปลอดภัย 100% ได้หรือไม่?

ต่อไปนี้เป็นคำพูดที่แท้จริง การรักษาความปลอดภัยโดยสมบูรณ์ นั่นเป็นเพียงตำนาน เหมือนยูนิคอร์น คุณรู้ไหม? แม้แต่ Fort Knox ก็ยังไม่ปลอดภัย 100% แต่อย่าปล่อยให้สิ่งนั้นทำให้คุณกลัว ด้วยการเคลื่อนไหวที่ถูกต้อง คุณสามารถทำให้ไซต์ WordPress ของคุณกลายเป็นเว็บไซต์ที่ยากจะถอดรหัสได้

การตรวจสอบความปลอดภัยเป็นประจำ การอัพเดทอยู่เสมอ การใช้ SSL และแน่นอนว่าโฮสติ้งที่เชื่อถือได้ คุณกำลังสร้างป้อมปราการทีละน้อย คุณอาจจะยังไม่ถึง 100% แต่คุณก็ใกล้จะถึงแล้ว

ข้อตกลงกับปลั๊กอินความปลอดภัย WordPress คืออะไร?

เอาล่ะ ลองจินตนาการว่าปลั๊กอินเหล่านี้เป็นบอดี้การ์ดส่วนตัวของคุณ พวกเขาอยู่ที่นั่นทุกวันตลอด 24 ชั่วโมง คอยจับตาดูธุรกิจที่ร่มรื่น Wordfence, Sucuri, iThemes Security—เหล่านี้คือชื่อบางส่วนในเกม

พวกเขาสแกนหามัลแวร์ บล็อกคนร้าย และคอยแจ้งเตือนให้คุณทราบ เหมือนกับการมีรายละเอียดด้านความปลอดภัยสำหรับไซต์ของคุณ และเชื่อฉันเถอะว่ามันคุ้มค่า

ฉันควรสำรองข้อมูลเว็บไซต์ WordPress บ่อยแค่ไหน?

ลองนึกถึงการสำรองข้อมูล เช่น เครือข่ายความปลอดภัยของคุณ คุณไม่ต้องการใช้มัน แต่เพื่อน คุณไม่ดีใจเหรอที่มันอยู่ที่นั่นเมื่อคุณต้องการมัน? รายวันเหมาะอย่างยิ่ง โดยเฉพาะอย่างยิ่งหากคุณเพิ่มเนื้อหาใหม่ๆ อยู่ตลอดเวลา

แต่หากมากเกินไป รายสัปดาห์ก็ควรเป็นค่าขั้นต่ำเปล่าของคุณ เครื่องมืออย่าง UpdraftPlus หรือ VaultPress จะช่วยสนับสนุนคุณ โดยอัตโนมัติ เพื่อให้คุณนอนหลับสบาย

ฉันได้ยินอะไรเกี่ยวกับใบรับรอง SSL

ดังนั้น ใบรับรอง SSL นั่นเหมือนกับการจับมือกันอย่างลับๆ ระหว่างไซต์ของคุณกับเบราว์เซอร์ของผู้เยี่ยมชม มันเข้ารหัสข้อมูล ทำให้ทุกอย่างเงียบและปลอดภัย

ทุกวันนี้ ไม่ใช่แค่สำหรับไซต์อีคอมเมิร์ซเท่านั้น มันสำหรับทุกคน Google ให้ความสำคัญกับเรื่องนี้มาก แม้กระทั่งทำเครื่องหมายเว็บไซต์ที่ไม่มี SSL ว่า 'ไม่ปลอดภัย' Let's Encrypt แจกฟรี เลยไม่มีข้อแก้ตัว โอเคไหม? รับใบรับรองนั้นและแสดงให้โลก (และ Google) คุณหมายถึงธุรกิจ

ฉันควรกังวลเกี่ยวกับบทบาทและการอนุญาตของผู้ใช้หรือไม่?

โอ้แน่นอน! ลองนึกภาพการมอบกุญแจบ้านของคุณให้ใครก็ได้ใช่ไหม? ไม่ คุณจะไม่ทำอย่างนั้น เช่นเดียวกันสำหรับไซต์ WordPress ของคุณ ตระหนี่กับการเข้าถึงของผู้ดูแลระบบ

ให้เฉพาะกับคนที่คุณไว้วางใจเท่านั้น ฉันหมายถึงเชื่อใจจริงๆ บรรณาธิการ ผู้เขียน สมาชิก—ใช้บทบาทเหล่านี้อย่างชาญฉลาด มันคือทั้งหมดที่เกี่ยวกับการให้สิทธิ์เข้าถึงที่เพียงพอเพื่อให้งานสำเร็จลุล่วง ไม่ใช่ให้มากกว่านั้นอีกสักหน่อย ปลอดภัยไว้ก่อนนะเพื่อน

ฉันจะปกป้องหน้าเข้าสู่ระบบ WordPress ของฉันได้อย่างไร?

ตอนนี้ หน้าเข้าสู่ระบบก็เหมือนกับประตูหน้าบ้าน WordPress ของคุณ คุณต้องการล็อคที่แข็งแกร่งในสิ่งนั้น การรับรองความถูกต้องด้วยสองปัจจัย ถือเป็นการเริ่มต้นที่ดี เหมือนมีล็อคสองชั้น

ซ่อนหน้าเข้าสู่ระบบของคุณ เปลี่ยนชื่อผู้ใช้เริ่มต้นของผู้ดูแลระบบ และจำกัดความพยายามในการเข้าสู่ระบบ ทำให้คนร้ายเข้ามาได้ยากที่สุดเท่าที่จะเป็นไปได้ คุณต้องเอาชนะพวกเขาทุกครั้ง

อะไรคือวิธีที่ดีที่สุดในการตรวจสอบความปลอดภัยของ WordPress?

การจับตาดูสิ่งต่าง ๆ นั่นเป็นสิ่งสำคัญ คุณจะไม่เปิดประตูหน้าทิ้งไว้และหวังเพียงสิ่งที่ดีที่สุดใช่ไหม? เครื่องมือตรวจสอบความปลอดภัย เปรียบเสมือนกล้องวงจรปิดส่วนตัวของคุณเอง

พวกเขาสแกนหามัลแวร์ ติดตามกิจกรรมที่น่าสงสัย และปฏิบัติหน้าที่ตลอด 24 ชั่วโมงทุกวัน คุณจะได้รับการแจ้งเตือนทันทีที่เกิดเรื่องคาว

มันคือทั้งหมดที่เกี่ยวกับการก้าวนำหน้าหนึ่งก้าวและขจัดปัญหาใดๆ ที่เข้ามา

ฉันจะรู้ได้อย่างไรว่าไซต์ WordPress ของฉันถูกแฮ็ก?

เอาล่ะอันนี้ยุ่งยาก บางครั้งก็เห็นได้ชัดเจนมาก ไซต์ของคุณมีข้อบกพร่องหรือถูกเปลี่ยนเส้นทางไปยังสถานที่ร่มรื่นบางแห่ง

แต่บางครั้งมันก็เหมือนเสียงนาฬิกาปลุกเงียบๆ มากกว่า ลิงก์แปลก ๆ เด้งขึ้นมา ปัญหาด้านประสิทธิภาพ บัญชีผู้ใช้แปลก ๆ สิ่งเหล่านี้คือสัญญาณอันตรายของคุณ

จับตาดู Google Search Console ของคุณด้วย มันจะแจ้งเตือนคุณหากมีกลิ่นคาว และจำไว้ว่าการสแกนเป็นประจำด้วยปลั๊กอินความปลอดภัยของคุณ นั่นเป็นทางออกที่ดีที่สุดของคุณ

ช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress คืออะไร?

คุณมีโปรแกรมคลาสสิกของคุณ เช่น การแทรก SQL ที่ผู้ร้ายยุ่งกับฐานข้อมูลของคุณโดยใช้โค้ดหลบๆ ซ่อนๆ

จากนั้นก็มีสคริปต์ข้ามไซต์ (XSS) ปล่อยให้พวกเขาเรียกใช้สคริปต์ที่เป็นอันตรายบนเบราว์เซอร์ของผู้เยี่ยมชมของคุณ และอย่าลืมการโจมตีแบบดุร้ายโดยพื้นฐานแล้วกระแทกประตูเข้าสู่ระบบของคุณจนพัง

แต่เดี๋ยวก่อน คุณไม่ได้ไร้พลังที่นี่ รหัสผ่านที่รัดกุม การอัปเดตเป็นประจำ และไฟร์วอลล์ที่ดีและคุณกำลังต่อสู้อย่างหนัก เฉียบคม อัปเดตอยู่เสมอ และคุณก็จะได้สิ่งนี้

สิ้นสุดความคิดเกี่ยวกับความปลอดภัยของ WordPress

เคล็ดลับความปลอดภัยของ WordPress เหล่านี้จะช่วยให้คุณมั่นใจได้ว่างานทั้งหมดที่คุณใส่ลงในไซต์ของคุณจะไม่สูญหายไปจากการถูกแฮ็ก จะกระตุ้นให้ผู้คนมาเยี่ยมชมและดูสิ่งที่คุณนำเสนอ

หากคุณสนุกกับการอ่านบทความเกี่ยวกับการรักษาความปลอดภัย WordPress คุณควรอ่านบทความนี้เกี่ยวกับปลั๊กอิน WordPress SSL

นอกจากนี้เรายังเขียนเกี่ยวกับหัวข้อที่เกี่ยวข้องบางส่วน เช่น ปลั๊กอินเครื่องสแกนมัลแวร์และเกลือของ WordPress