ความปลอดภัยของ WordPress: วิธีที่ดีที่สุดในการรักษาความปลอดภัยเว็บไซต์ WordPress ในปี 2022

ความปลอดภัยของ WordPress เป็นปัญหาใหญ่สำหรับเจ้าของเว็บไซต์ทุกคน ทุกวัน Google ขึ้นบัญชีดำเว็บไซต์กว่า 10,000 แห่งสำหรับมัลแวร์ และทุกสัปดาห์ Google ขึ้นบัญชีดำ 50,000 เว็บไซต์สำหรับฟิชชิง

หากคุณกังวลเกี่ยวกับความปลอดภัยของเว็บไซต์ของคุณ คุณควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress

ในบทความนี้ เราจะพูดถึงวิธีการรักษาความปลอดภัย WordPress ที่ดีที่สุดทั้งหมดเพื่อช่วยคุณรักษาความปลอดภัยเว็บไซต์ของคุณจากแฮกเกอร์และมัลแวร์

แม้ว่าซอฟต์แวร์หลักของ WordPress จะค่อนข้างปลอดภัย และนักพัฒนาหลายร้อยคนตรวจสอบอย่างสม่ำเสมอ แต่ก็ยังมีอีกมากที่คุณสามารถทำได้เพื่อให้ไซต์ของคุณปลอดภัย

คุณทำได้หลายอย่างในฐานะเจ้าของเว็บไซต์เพื่อปรับปรุงความปลอดภัยของ WordPress

มีสองขั้นตอนที่คุณสามารถดำเนินการได้เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจากช่องโหว่ด้านความปลอดภัย

มาเริ่มกันเลย.

ทำไมการรักษาความปลอดภัยของเว็บไซต์ WordPress จึงสำคัญ?

เว็บไซต์ WordPress ที่ถูกแฮ็กอาจส่งผลเสียต่อรายได้และชื่อเสียงของธุรกิจของคุณ แฮกเกอร์สามารถขโมยรหัสผ่านของข้อมูลผู้ใช้ ติดตั้งซอฟต์แวร์ที่เป็นอันตราย หรือแม้แต่ทำให้ผู้ใช้ของคุณติดมัลแวร์

ที่เลวร้ายที่สุด คุณอาจถูกบังคับให้ต้องจ่ายเงินค่าไถ่ให้กับแฮกเกอร์เพื่อกู้คืนการเข้าถึงเว็บไซต์ของคุณ

Google ประกาศในเดือนมีนาคม 2559 ว่าผู้เยี่ยมชมอินเทอร์เน็ตมากกว่า 50 ล้านคนได้รับแจ้งว่าเว็บไซต์ที่พวกเขาเยี่ยมชมอาจมีมัลแวร์หรือขโมยข้อมูล

นอกจากนี้ ในแต่ละวัน Google ขึ้นบัญชีดำเว็บไซต์กว่า 10,000+ เว็บไซต์สำหรับมัลแวร์และประมาณ 50,000 เว็บไซต์สำหรับฟิชชิ่ง

หากคุณกำลังใช้งานเว็บไซต์ธุรกิจ คุณจะต้องให้ความสนใจเป็นพิเศษกับความปลอดภัยของ WordPress

ปัญหาด้านความปลอดภัย WordPress ที่พบบ่อยที่สุด

ช่องโหว่ด้านความปลอดภัย WordPress ที่พบบ่อยที่สุดเกิดขึ้นก่อนหรือหลังไซต์ของคุณถูกแฮ็ก แฮ็กเกอร์มีเป้าหมายเพื่อให้ผู้ดูแลระบบเข้าถึงไซต์ WordPress ของคุณโดยไม่ได้รับอนุญาต ไม่ว่าจะผ่านทางส่วนหน้า (แดชบอร์ด WordPress ของคุณ) หรือจากฝั่งเซิร์ฟเวอร์ (การแทรกสคริปต์หรือไฟล์ที่เป็นอันตราย)

ต่อไปนี้คือประเด็นด้านความปลอดภัย 5 อันดับแรกของ WordPress ที่คุณควรทราบ:

1. การโจมตีด้วยกำลังดุร้าย

การโจมตีด้วยกำลังดุร้ายของ WordPress หมายถึงกระบวนการป้อนชื่อผู้ใช้และรหัสผ่านซ้ำ ๆ กันซ้ำ ๆ จนกว่าจะพบชุดค่าผสมที่ประสบความสำเร็จ วิธีการโจมตีแบบเดรัจฉานใช้ประโยชน์จากวิธีที่ง่ายที่สุดในการเข้าถึงเว็บไซต์ของคุณ: หน้าเข้าสู่ระบบ WordPress ของคุณ

WordPress ไม่ได้จำกัดความพยายามในการเข้าสู่ระบบโดยค่าเริ่มต้น ดังนั้นบอทจึงใช้วิธีโจมตีแบบเดรัจฉานเพื่อโจมตีหน้าเข้าสู่ระบบ WordPress ของคุณได้ แม้ว่าการโจมตีด้วยกำลังเดรัจฉานล้มเหลว แต่ก็ยังอาจก่อให้เกิดความหายนะต่อเซิร์ฟเวอร์ของคุณโดยการโอเวอร์โหลดระบบของคุณและทำให้เว็บไซต์ของคุณช้าลง

2. การเขียนสคริปต์ข้ามไซต์ (XSS)

การโจมตีแบบ Cross-site scripting (XSS) คิดเป็น 54.4% ของช่องโหว่ด้านความปลอดภัย WordPress ทั้งหมดที่เปิดเผยในปี 2564 ช่องโหว่ที่พบบ่อยที่สุดที่พบในปลั๊กอิน WordPress คือการเขียนสคริปต์ข้ามไซต์

วิธีการพื้นฐานของการเขียนสคริปต์ข้ามไซต์มีดังนี้ ผู้โจมตีพบวิธีโน้มน้าวให้เหยื่อโหลดสคริปต์จาวาสคริปต์ที่มีช่องโหว่ลงในหน้าเว็บของตน สคริปต์เหล่านี้โหลดโดยที่ผู้เยี่ยมชมไม่ทราบและนำไปใช้เพื่อขโมยข้อมูลจากเบราว์เซอร์ของพวกเขา แบบฟอร์มที่ถูกแย่งชิงซึ่งดูเหมือนว่าจะอยู่ในเว็บไซต์ของคุณเป็นตัวอย่างของการโจมตีแบบแฝงสคริปต์ หากผู้ใช้กรอกแบบฟอร์ม XSS จะนำข้อมูลของพวกเขาไป

3. การใช้ประโยชน์จากการรวมไฟล์

หลังจากการโจมตีแบบเดรัจฉาน ช่องโหว่ด้านความปลอดภัยที่พบบ่อยที่สุดที่ผู้โจมตีใช้คือจุดอ่อนในโค้ด PHP ของเว็บไซต์ WordPress ของคุณ

ช่องโหว่ในการรวมไฟล์เกิดขึ้นเมื่อโค้ดที่มีช่องโหว่ถูกใช้เพื่อโหลดไฟล์ภายนอก ทำให้ผู้โจมตีสามารถเข้าถึงเว็บไซต์ของคุณได้ การโจมตีด้วยการรวมไฟล์เป็นวิธีที่ได้รับความนิยมมากที่สุดสำหรับผู้โจมตีเพื่อเข้าถึงไฟล์ wp-config.php ของเว็บไซต์ WordPress ซึ่งเป็นหนึ่งในไฟล์ที่สำคัญที่สุดในการติดตั้ง WordPress ของคุณ

4. การฉีด SQL

ฐานข้อมูล MySQL ใช้เพื่อเรียกใช้เว็บไซต์ WordPress ของคุณ การฉีด SQL เกิดขึ้นเมื่อผู้โจมตีเข้าถึงฐานข้อมูล WordPress ของคุณรวมถึงข้อมูลทั้งหมดบนเว็บไซต์ของคุณ

ผู้โจมตีอาจสามารถสร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบใหม่ผ่านการฉีด SQL ซึ่งอาจใช้เพื่อเข้าสู่ระบบและควบคุมเว็บไซต์ WordPress ของคุณได้อย่างสมบูรณ์ การฉีด SQL ยังสามารถใช้เพื่อป้อนข้อมูลใหม่ เช่น ลิงก์ไปยังเว็บไซต์ที่เป็นอันตรายหรือสแปม ลงในฐานข้อมูลของคุณ

5. มัลแวร์

มัลแวร์คือรหัสที่ใช้ในการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาตเพื่อรวบรวมข้อมูลที่ละเอียดอ่อน โดยทั่วไปแล้วไซต์ WordPress ที่ถูกแฮ็กจะระบุว่ามัลแวร์ถูกวางลงในไฟล์ของเว็บไซต์ของคุณ ดังนั้น ให้ตรวจสอบไฟล์ที่เปลี่ยนแปลงล่าสุดหากคุณสงสัยว่ามีมัลแวร์ในไซต์ของคุณ

แม้ว่าจะมีการโจมตีมัลแวร์หลายประเภทบนอินเทอร์เน็ต แต่ WordPress ก็ไม่เสี่ยงกับการโจมตีเหล่านี้ทั้งหมด ต่อไปนี้คือสี่การติดมัลแวร์ WordPress ที่พบบ่อยที่สุด:

• แบ็คดอร์
• ไดรฟ์โดยการดาวน์โหลด
• Pharma hacks
• การเปลี่ยนเส้นทางที่เป็นอันตราย

มัลแวร์แต่ละรูปแบบเหล่านี้สามารถระบุและลบออกได้โดยง่ายด้วยการถอนการติดตั้งไฟล์ที่เป็นอันตรายด้วยตนเอง ติดตั้ง WordPress เวอร์ชันใหม่ หรือกู้คืนไซต์ WordPress ของคุณจากข้อมูลสำรองก่อนหน้าที่ไม่ติดเชื้อ

คู่มือความปลอดภัยของ WordPress 2022

การใช้มาตรการรักษาความปลอดภัย WordPress เพียงหนึ่งหรือสองมาตรการไม่เพียงพอต่อความปลอดภัยของเว็บไซต์ WordPress ของคุณ ต่อไปนี้คือวิธีที่ดีที่สุดในการรักษาความปลอดภัยเว็บไซต์ WordPress ในปี 2022

1. อัปเดตเวอร์ชัน WordPress เป็นประจำ

WordPress มีการอัปเดตซอฟต์แวร์เป็นประจำเพื่อเพิ่มความเร็วและความปลอดภัย การอัปเกรดเหล่านี้ยังช่วยให้ไซต์ของคุณปลอดภัยจากการโจมตีทางไซเบอร์

หนึ่งในวิธีที่ง่ายที่สุดในการเพิ่มความปลอดภัยของ WordPress คือการอัปเดตเวอร์ชัน WordPress ของคุณ อย่างไรก็ตาม กว่าครึ่งของไซต์ WordPress ทั้งหมดใช้ซอฟต์แวร์เวอร์ชันเก่า ทำให้มีความเสี่ยงมากขึ้น

หากต้องการดูว่าคุณมี WordPress เวอร์ชันล่าสุดหรือไม่ ให้ไปที่ Dashboard -> Updates บนแผงเมนูด้านซ้ายของพื้นที่ผู้ดูแลระบบ WordPress ของคุณ หากพบว่าเวอร์ชันของคุณล้าสมัย เราขอแนะนำให้คุณอัปเดตโดยเร็วที่สุด

2. ใช้รหัสผ่านที่รัดกุม

หนึ่งในข้อผิดพลาดพื้นฐานที่สุดที่ผู้ใช้ทำคือการใช้ชื่อผู้ใช้ที่เดาได้ง่าย เช่น "ผู้ดูแลระบบ" "ผู้ดูแลระบบ" หรือ "ทดสอบ" ด้วยเหตุนี้ ไซต์ของคุณจึงเสี่ยงต่อการถูกโจมตีด้วยกำลังเดรัจฉานมากขึ้น นอกจากนี้ ผู้โจมตียังใช้วิธีนี้เพื่อกำหนดเป้าหมายไซต์ WordPress ด้วยรหัสผ่านที่ไม่รัดกุม

ด้วยเหตุนี้ เราจึงแนะนำให้ทำให้ชื่อผู้ใช้และรหัสผ่านของคุณซับซ้อนและไม่ซ้ำใครมากขึ้น

หากคุณต้องการความช่วยเหลือในการสร้างรหัสผ่านที่คาดเดายาก ให้ใช้เครื่องมือออนไลน์ เช่น LastPass และ 1Password บริการจัดการรหัสผ่านของพวกเขาอาจถูกใช้เพื่อจัดเก็บรหัสผ่านที่คาดเดายากได้อย่างปลอดภัย คุณจะไม่ต้องจำพวกเขาด้วยวิธีนี้

การตรวจสอบเครือข่ายก่อนลงชื่อเข้าใช้เป็นสิ่งสำคัญเช่นกันเพื่อให้แน่ใจว่าไซต์ของคุณมีความปลอดภัย หากคุณเชื่อมโยงกับ Hotspot Honeypot ซึ่งเป็นเครือข่ายที่ดำเนินการโดยแฮ็กเกอร์โดยไม่ได้ตั้งใจ คุณอาจเสี่ยงที่จะเปิดเผยรายละเอียดการเข้าสู่ระบบของคุณต่อโอเปอเรเตอร์

แม้แต่เครือข่ายสาธารณะ เช่น WiFi ของห้องสมุดโรงเรียน ก็อาจไม่ปลอดภัยเท่าที่ควร แฮกเกอร์สามารถสกัดกั้นการเชื่อมต่อของคุณและขโมยข้อมูลที่ไม่ได้เข้ารหัส เช่น รหัสผ่านสำหรับเข้าสู่ระบบ

ด้วยเหตุนี้ เมื่อใดก็ตามที่คุณเชื่อมต่อกับเครือข่ายสาธารณะ เราแนะนำให้ ใช้ VPN มันเข้ารหัสการเชื่อมต่อ ทำให้ยากต่อการสกัดกั้นข้อมูลและปกป้องกิจกรรมออนไลน์ของคุณ

3. ลงทุนในโฮสติ้ง WordPress ที่ปลอดภัย

บริการโฮสติ้ง WordPress ของคุณเป็นส่วนที่สำคัญที่สุดในการรักษาความปลอดภัยของไซต์ WordPress ของคุณ บริการโฮสติ้งที่ใช้ร่วมกันที่ยอดเยี่ยม เช่น Bluehost หรือ Siteground จะทำทุกอย่างเพื่อรักษาความปลอดภัยเซิร์ฟเวอร์จากภัยคุกคามทั่วไป

นี่คือวิธีที่ผู้ให้บริการเว็บโฮสติ้งที่ดีปกป้องเว็บไซต์และข้อมูลของคุณในเบื้องหลัง

• พวกเขาจับตาดูเครือข่ายของพวกเขาสำหรับกิจกรรมที่น่าสงสัย
• บริษัทโฮสติ้งที่ดีทุกแห่งมีระบบป้องกันการโจมตี DDOS ขนาดใหญ่
• เพื่อป้องกันไม่ให้แฮกเกอร์ใช้จุดอ่อนด้านความปลอดภัยที่รู้จักในเวอร์ชันเก่า พวกเขาจึงรักษาซอฟต์แวร์เซิร์ฟเวอร์ เวอร์ชัน PHP และฮาร์ดแวร์ให้เป็นปัจจุบัน
• พวกเขามีการกู้คืนจากภัยพิบัติและแผนอุบัติเหตุที่พร้อมสำหรับการใช้งาน ซึ่งช่วยให้พวกเขารักษาความปลอดภัยข้อมูลของคุณในกรณีที่เกิดอุบัติเหตุร้ายแรง

เมื่อคุณเลือกแผนโฮสติ้งที่ใช้ร่วมกัน คุณจะแชร์ทรัพยากรเซิร์ฟเวอร์กับคนอื่นๆ จำนวนมาก สิ่งนี้จะเพิ่มความเสี่ยงของการปนเปื้อนข้ามไซต์ ซึ่งเกิดขึ้นเมื่อแฮ็กเกอร์ใช้ไซต์ใกล้เคียงเพื่อโจมตีเว็บไซต์ของคุณ

การใช้ผู้ให้บริการโฮสติ้ง WordPress ที่มีการจัดการช่วยให้แน่ใจว่าเว็บไซต์ของคุณมีความปลอดภัยมากขึ้น บริษัทโฮสติ้ง WordPress ที่มีการจัดการประกอบด้วยการสำรองข้อมูลอัตโนมัติ การอัปเกรด WordPress อัตโนมัติ และการตั้งค่าความปลอดภัยที่ได้รับการปรับปรุงเพิ่มเติมเพื่อรักษาความปลอดภัยเว็บไซต์ของคุณ

4. สำรองข้อมูล WordPress เป็นประจำ

การสำรองข้อมูลเป็นแนวป้องกันแรกของคุณในกรณีที่มีการโจมตี WordPress

การสำรองข้อมูลช่วยให้คุณสามารถกู้คืนไซต์ WordPress ของคุณได้อย่างง่ายดายหากมีสิ่งผิดปกติเกิดขึ้น

มีปลั๊กอินสำรอง WordPress ฟรีและพรีเมียมมากมายที่คุณสามารถใช้ได้ สิ่งสำคัญที่สุดที่ต้องจำเกี่ยวกับการสำรองข้อมูลคือ คุณต้องบันทึกข้อมูลสำรองแบบเต็มเว็บไซต์ไปยังที่ห่างไกล (ไม่ใช่บัญชีโฮสติ้งของคุณ)

เราขอแนะนำให้ใช้ผู้ให้บริการระบบคลาวด์ เช่น Amazon, Dropbox หรือระบบคลาวด์ส่วนตัวอย่าง Stash เพื่อจัดเก็บ

ขึ้นอยู่กับความถี่ที่คุณอัปเดตเว็บไซต์ของคุณ การตั้งค่าที่เหมาะสมอาจเป็นวันละครั้งหรือสำรองข้อมูลตามเวลาจริง

โชคดีที่ปลั๊กอินอย่าง UpdraftPlus ทำให้สิ่งนี้ง่ายขึ้น นอกจากนี้ยังเป็นปลั๊กอินที่ต้องมีสำหรับเว็บไซต์ WordPress UpdraftPlus มีความน่าเชื่อถือและที่สำคัญที่สุดคือใช้งานง่าย (ไม่จำเป็นต้องเข้ารหัส)

5. ใช้ปลั๊กอินความปลอดภัย WordPress

การโจมตีด้วยมัลแวร์บนไซต์ WordPress เป็นเรื่องปกติ หากคุณไม่ได้ตรวจสอบซอร์สโค้ดของเว็บไซต์ของคุณด้วยตนเอง คุณอาจไม่รู้ด้วยซ้ำว่าโค้ดของคุณติดไวรัส

ขออภัย คุณจะต้องรู้วิธีเขียนโค้ดเพื่อทราบ อย่างไรก็ตาม มีวิธีการที่ดีกว่าและตรงไปตรงมากว่า ปลั๊กอินความปลอดภัย WordPress มีไว้เพื่อตรวจจับและลบโค้ดและไวรัสที่เป็นอันตรายออกจากเว็บไซต์ของคุณ

ส่วนที่ดีที่สุดคือมันทำงานตลอด 24 ชั่วโมง และคุณไม่จำเป็นต้องทำอะไรเลย Sucuri และ Wordfence เป็นปลั๊กอินความปลอดภัย WordPress สองอันที่ได้รับความนิยมมากที่สุด

6. เปิดใช้งานไฟร์วอลล์แอปพลิเคชันเว็บ (WAF)

วิธีที่ดีที่สุดในการรักษาความปลอดภัยเว็บไซต์ของคุณและรู้สึกปลอดภัยเกี่ยวกับความปลอดภัยของ WordPress คือการใช้ไฟร์วอลล์เว็บแอปพลิเคชัน (WAF)

ไฟร์วอลล์ของเว็บไซต์บล็อกการรับส่งข้อมูลที่เป็นอันตรายทั้งหมดก่อนที่จะเข้าถึงเว็บไซต์ของคุณ

ไฟร์วอลล์เว็บไซต์ระดับ DNS - ไฟร์วอลล์เหล่านี้จะกรองการเข้าชมเว็บไซต์ของคุณผ่านเซิร์ฟเวอร์พร็อกซีคลาวด์ เป็นผลให้พวกเขาสามารถส่งปริมาณการใช้งานจริงไปยังเว็บเซิร์ฟเวอร์ของคุณเท่านั้น

Application Level Firewall – ปลั๊กอินไฟร์วอลล์เหล่านี้จะตรวจสอบทราฟฟิกเมื่อไปถึงเซิร์ฟเวอร์ของคุณ แต่ก่อนที่จะโหลดสคริปต์ WordPress ส่วนใหญ่ ในแง่ของการลดโหลดเซิร์ฟเวอร์ โซลูชันนี้ไม่ได้ผลเท่ากับไฟร์วอลล์ระดับ DNS

สำหรับสิ่งนี้ คุณสามารถใช้ Sucuri เป็นไฟร์วอลล์เว็บแอปพลิเคชันที่ดีที่สุดสำหรับ WordPress

คุณลักษณะที่ดีที่สุดของไฟร์วอลล์ของ Sucuri คือมีการล้างมัลแวร์และการรับประกันการลบบัญชีดำ โดยพื้นฐานแล้ว หากเว็บไซต์ของคุณถูกแฮ็กขณะตรวจสอบ เว็บไซต์รับประกันว่าจะแก้ไขได้

7. ติดตั้งใบรับรอง SSL

SSL เป็นโปรโตคอลการถ่ายโอนข้อมูลที่เข้ารหัสข้อมูลที่ส่งระหว่างเว็บไซต์และผู้เยี่ยมชม ทำให้ยากสำหรับแฮกเกอร์ในการขโมยข้อมูลที่สำคัญ

ใบรับรอง SSL ยังช่วยปรับปรุงการเพิ่มประสิทธิภาพกลไกค้นหาของเว็บไซต์ (SEO) ซึ่งช่วยให้ดึงดูดผู้เข้าชมได้มากขึ้น

เว็บไซต์ที่มีใบรับรอง SSL จะใช้ HTTPS แทน HTTP ทำให้ระบุได้ง่าย

การเริ่มต้นใช้งาน SSL สำหรับเว็บไซต์ WordPress ทั้งหมดของคุณนั้นง่ายกว่าที่เคย บริษัทโฮสติ้งหลายแห่งในขณะนี้มีใบรับรอง SSL ฟรีสำหรับเว็บไซต์ WordPress ของคุณ

8. เปลี่ยนชื่อผู้ใช้ "admin" เริ่มต้น

ชื่อผู้ใช้เริ่มต้นใน WordPress คือผู้ดูแลระบบ และเจ้าของเว็บไซต์จำนวนมากไม่เคยสนใจที่จะเปลี่ยน

ด้วยเหตุนี้ เมื่อแฮกเกอร์เริ่มโจมตีเว็บไซต์ของคุณ ชื่อผู้ใช้แรกที่พวกเขาจะลองคือผู้ดูแลระบบ หากรู้จักชื่อนั้น สิ่งที่พวกเขาต้องทำตอนนี้คือเดารหัสผ่านเท่านั้น

ด้วยเหตุนี้ คุณจึงควรหลีกเลี่ยงการใช้ชื่อผู้ใช้นั้นสำหรับไซต์ WordPress ของคุณ

9. จำกัด การพยายามเข้าสู่ระบบ

WordPress ให้ผู้ใช้ลองเข้าสู่ระบบเว็บไซต์ได้ไม่จำกัดจำนวนครั้ง อย่างไรก็ตาม นี่เป็นสัญญาณที่ดีสำหรับแฮ็กเกอร์ที่ต้องการใช้กำลังดุร้ายเข้าสู่ระบบโดยลองใช้รหัสผ่านหลายชุดร่วมกันจนกว่าจะได้รหัสที่ถูกต้อง

เพื่อหลีกเลี่ยงการโจมตีดังกล่าวบนเว็บไซต์ จำเป็นต้องกำหนดข้อจำกัดในการพยายามเข้าสู่ระบบที่ล้มเหลว การจำกัดความพยายามที่ล้มเหลวยังช่วยในการตรวจจับกิจกรรมที่น่าสงสัยบนเว็บไซต์ของคุณได้อีกด้วย

ผู้ใช้ส่วนใหญ่ต้องการลองเพียงครั้งเดียวหรือล้มเหลวไม่กี่ครั้ง ดังนั้นควรหลีกเลี่ยงที่อยู่ IP ที่น่าสงสัยที่ถึงขีดจำกัดความพยายาม

การใช้ปลั๊กอินเป็นวิธีหนึ่งในการจำกัดความพยายามในการเข้าสู่ระบบ และเพิ่มความปลอดภัยให้กับ WordPress คุณสามารถใช้ปลั๊กอินล็อกดาวน์ WordPress สำหรับสิ่งนี้

10. ปิดใช้งานการแก้ไขไฟล์

WordPress มีตัวแก้ไขโค้ดในตัวที่ให้คุณเปลี่ยนไฟล์ธีมและปลั๊กอินได้โดยตรงจากส่วนผู้ดูแลระบบ WordPress คุณลักษณะนี้อาจเป็นปัญหาด้านความปลอดภัยในมือของผู้ไม่ประสงค์ดี เราจึงแนะนำให้ปิดคุณลักษณะนี้

คุณสามารถทำได้โดยใส่รหัสต่อไปนี้ลงใน ไฟล์ wp-config.php ของคุณ // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

11. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

วิธีการตรวจสอบสิทธิ์แบบสองปัจจัยกำหนดให้ผู้ใช้เข้าสู่ระบบโดยใช้กระบวนการตรวจสอบสิทธิ์แบบสองขั้นตอน

ขั้นตอนแรกคือการป้อนชื่อผู้ใช้และรหัสผ่านของคุณ และขั้นตอนที่สองคือการตรวจสอบสิทธิ์โดยใช้อุปกรณ์หรือแอปอื่น

แพลตฟอร์มออนไลน์ชั้นนำส่วนใหญ่ เช่น Google, Facebook และ Twitter ให้คุณเปิดใช้งานสำหรับบัญชีของคุณ คุณสามารถรวมคุณลักษณะเดียวกันนี้ไว้ในไซต์ WordPress ของคุณได้อย่างง่ายดาย

คุณสามารถใช้ Google Authenticator หรือปลั๊กอิน WordPress การตรวจสอบสิทธิ์สองปัจจัยสำหรับสิ่งนี้

12. เปลี่ยนคำนำหน้าฐานข้อมูล WordPress เริ่มต้น

ฐานข้อมูล WordPress ประกอบด้วยและเก็บข้อมูลทั้งหมดที่จำเป็นสำหรับเว็บไซต์ของคุณในการทำงาน

ด้วยเหตุนี้ แฮกเกอร์จึงมักใช้การโจมตีด้วยการฉีด SQL เพื่อกำหนดเป้าหมายฐานข้อมูล วิธีการนี้จะแทรกมัลแวร์เข้าไปในฐานข้อมูล ทำให้ผู้โจมตีสามารถเลี่ยงการรักษาความปลอดภัย WordPress และรับเนื้อหาฐานข้อมูลได้

การฉีด SQL ถูกใช้ในการโจมตีทางไซเบอร์ประมาณครึ่งหนึ่ง ทำให้เป็นหนึ่งในภัยคุกคามที่สำคัญที่สุด

แฮกเกอร์ดำเนินการแฮ็คนี้เนื่องจากผู้ใช้จำนวนมากล้มเหลวในการเปลี่ยนคำนำหน้าฐานข้อมูลเริ่มต้น wp_ นี่คือเหตุผลที่เราแนะนำให้เปลี่ยน

13. ปิดใช้งานการจัดทำดัชนีและการเรียกดูไดเรกทอรี

แฮกเกอร์สามารถใช้การเรียกดูไดเรกทอรีเพื่อดูว่าคุณมีไฟล์ที่มีช่องโหว่ที่ทราบหรือไม่ จากนั้นจึงใช้ประโยชน์จากไฟล์เหล่านี้เพื่อเข้าถึง

ผู้ใช้ยังสามารถใช้การเรียกดูไดเรกทอรีเพื่อดูไฟล์ของคุณ คัดลอกรูปภาพ ค้นหาโครงสร้างไดเรกทอรี และรับข้อมูลอื่นๆ

ด้วยเหตุนี้ ขอแนะนำอย่างยิ่งให้คุณปิดใช้งานการจัดทำดัชนีและการเรียกดูไดเรกทอรี

คุณต้องเชื่อมต่อกับเว็บไซต์ของคุณผ่าน FTP หรือตัวจัดการไฟล์ใน cPanel จากนั้นในไดเร็กทอรีรากของเว็บไซต์ของคุณ ให้มองหาไฟล์ . htaccess

จากนั้น ที่ด้านล่างของไฟล์ . htaccess ให้เพิ่มบรรทัดต่อไปนี้:

Options -Indexes

อย่าลืม บันทึก และ อัปโหลด ไฟล์ . htaccess กลับไปยังเว็บไซต์ของคุณ

14. ปิดใช้งาน XML-RPC

XML-RPC ถูกเปิดใช้งานโดยค่าเริ่มต้นใน WordPress 3.5 เนื่องจากจะช่วยในการเชื่อมต่อไซต์ WordPress ของคุณกับเว็บและแอปพลิเคชันมือถือ

เนื่องจากลักษณะที่มีประสิทธิภาพ XML-RPC อาจเพิ่มการโจมตีแบบเดรัจฉานอย่างมาก

ตัวอย่างเช่น หากแฮ็กเกอร์ต้องการลองใช้รหัสผ่านที่แตกต่างกัน 100 แบบบนเว็บไซต์ของคุณ พวกเขาจะต้องพยายามเข้าสู่ระบบที่แตกต่างกัน 100 ครั้ง ซึ่งปลั๊กอินล็อกดาวน์สำหรับการเข้าสู่ระบบจะตรวจจับและปฏิเสธ

อย่างไรก็ตาม ด้วย XML-RPC แฮ็กเกอร์อาจใช้ฟังก์ชัน system.multcall เพื่อลองใช้รหัสผ่านต่างๆ นับพันด้วยคำขอเพียง 20 หรือ 50 คำขอ

15. ล็อกผู้ใช้ที่ไม่ได้ใช้งานออกโดยอัตโนมัติ

หลายคนลืมออกจากระบบเว็บไซต์และเซสชันของพวกเขายังคงทำงานต่อไป

ด้วยเหตุนี้ บุคคลอื่นที่ใช้อุปกรณ์เครื่องเดียวกันจะสามารถเข้าถึงบัญชีผู้ใช้ของตนและอาจใช้ข้อมูลส่วนบุคคลในทางที่ผิด โดยเฉพาะอย่างยิ่งสำหรับผู้ที่ใช้คอมพิวเตอร์สาธารณะในสถานที่ต่างๆ เช่น อินเทอร์เน็ตคาเฟ่หรือห้องสมุด

ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องตั้งค่าเว็บไซต์ WordPress ของคุณ เพื่อให้ผู้ใช้ที่ไม่ได้ใช้งานจะถูกออกจากระบบทันที

เว็บไซต์ธนาคารส่วนใหญ่ใช้กลยุทธ์นี้เพื่อป้องกันไม่ให้ผู้ใช้ที่ไม่ต้องการเข้าถึงเว็บไซต์ของตน เพื่อให้มั่นใจว่าข้อมูลของลูกค้าจะปลอดภัย

วิธีที่ง่ายที่สุดวิธีหนึ่งในการออกจากระบบบัญชีผู้ใช้ที่ไม่ใช้งานโดยอัตโนมัติคือการใช้ปลั๊กอินความปลอดภัย WordPress เช่น Inactive Logout นอกเหนือจากการยกเลิกผู้ใช้ที่ไม่ได้ใช้งานแล้ว ปลั๊กอินนี้อาจส่งข้อความที่กำหนดเองเพื่อแจ้งผู้ใช้ที่ไม่ได้ใช้งานว่าเซสชันเว็บไซต์ของตนกำลังจะหมดอายุ

16. เปลี่ยน URL หน้าเข้าสู่ระบบ WordPress

หากต้องการก้าวไปอีกขั้นในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจากการโจมตีด้วยกำลังเดรัจฉาน ให้ลองเปลี่ยน URL ของหน้าเข้าสู่ระบบ

URL ล็อกอินเริ่มต้นสำหรับไซต์ WordPress ทั้งหมดคือ yourdomain.com/wp-admin แฮกเกอร์สามารถกำหนดเป้าหมายหน้าเข้าสู่ระบบของคุณได้อย่างง่ายดายหากคุณใช้ URL สำหรับเข้าสู่ระบบเริ่มต้น

ปลั๊กอินเช่น WPS ซ่อนการเข้าสู่ระบบและเปลี่ยนการเข้าสู่ระบบ wp-admin เปิดใช้งานการตั้งค่า URL การเข้าสู่ระบบที่กำหนดเอง

17. ซ่อน WordPress Version

การซ่อนเวอร์ชัน WordPress ของคุณเป็นการนำเสนอหัวข้อความปลอดภัยของ WordPress ผ่านความสับสนอีกครั้ง บุคคลจำนวนน้อยที่รู้เกี่ยวกับการตั้งค่าไซต์ WordPress ของคุณยิ่งดี หากแฮ็กเกอร์เห็นว่าคุณมีการติดตั้ง WordPress ที่ล้าสมัย นั่นอาจเป็นข้อบ่งชี้ที่น่ายินดี

เวอร์ชัน WordPress จะแสดงในส่วนหัวของซอร์สโค้ดของไซต์ของคุณโดยค่าเริ่มต้น อีกครั้ง เราแนะนำให้ติดตั้ง WordPress ของคุณอยู่เสมอ ดังนั้นคุณไม่ต้องกังวลกับมัน

คุณสามารถใช้รหัสต่อไปนี้เพื่อลบเวอร์ชัน WordPress เพียงเพิ่มลงในไฟล์ functions.php ของธีม WordPress ของคุณ function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');

18. อัปเดตเป็นเวอร์ชันล่าสุดของ PHP

การอัปเดตเป็นเวอร์ชันล่าสุดของ PHP เป็นหนึ่งในสิ่งที่สำคัญที่สุดที่คุณสามารถทำได้เพื่อให้เว็บไซต์ WordPress ของคุณปลอดภัย

เมื่อการอัปเกรดพร้อม WordPress จะบอกคุณผ่านแดชบอร์ดของคุณ จากนั้นจะเปลี่ยนเส้นทางคุณไปยังบัญชีโฮสติ้ง ซึ่งคุณสามารถอัปเกรดเป็น PHP เวอร์ชันล่าสุดได้

หากคุณไม่ทราบวิธีอัปเกรดบัญชีโฮสติ้ง โปรดติดต่อนักพัฒนาเว็บของคุณ

19. ทำการสแกนความปลอดภัยเป็นประจำ

หากคุณใช้ปลั๊กอินความปลอดภัย WordPress ปลั๊กอินนี้จะสแกนไซต์ของคุณเพื่อหามัลแวร์และสัญญาณของการละเมิดความปลอดภัยเป็นประจำ

อย่างไรก็ตาม หากคุณพบว่าการเข้าชมเว็บไซต์หรือการจัดอันดับการค้นหาลดลงอย่างมาก คุณควรทำการสแกนด้วยตนเอง คุณสามารถใช้ปลั๊กอินความปลอดภัย WordPress หรือใช้เครื่องมือออนไลน์เช่น Sucuri SiteCheck หรือ IsItWP Security Scanner สำหรับสิ่งนี้

การเรียกใช้เครื่องมือสแกนออนไลน์เหล่านี้ตรงไปตรงมา เพียงป้อน URL เว็บไซต์ของคุณ แล้วโปรแกรมรวบรวมข้อมูลจะเข้าไปที่เว็บไซต์ของคุณเพื่อค้นหาไวรัสที่รู้จักและโค้ดที่เป็นอันตราย

จำไว้ว่าเครื่องสแกนความปลอดภัยของ WordPress ส่วนใหญ่สามารถสแกนเว็บไซต์ของคุณเท่านั้น พวกเขาไม่สามารถลบมัลแวร์หรือล้างไซต์ WordPress ที่ถูกแฮ็กได้

20. ลบปลั๊กอินและธีมของ WordPress ที่ไม่ได้ใช้

การมีปลั๊กอินและธีมที่ไม่ได้ใช้บนไซต์ของคุณอาจเป็นอันตราย โดยเฉพาะอย่างยิ่งหากยังไม่ได้รับการอัปเดต

แฮกเกอร์สามารถใช้ปลั๊กอินและธีมที่ล้าสมัยเพื่อเข้าถึงไซต์ของคุณได้ ซึ่งเพิ่มความเสี่ยงที่จะถูกโจมตีทางไซเบอร์

21. ใช้ธีม WordPress ที่ปลอดภัย

ธีม WordPress ที่เป็นโมฆะเป็นสำเนาของธีมพรีเมียมดั้งเดิมที่ผิดกฎหมาย โดยส่วนใหญ่แล้ว ธีมเหล่านี้จะขายในราคาที่ต่ำกว่าเพื่อดึงดูดผู้ใช้ อย่างไรก็ตาม บางครั้งพวกเขามีปัญหาด้านความปลอดภัยหลายประการ

เนื่องจากธีมที่เป็นโมฆะถูกเผยแพร่อย่างผิดกฎหมาย ผู้ใช้จึงไม่ได้รับความช่วยเหลือจากนักพัฒนา ซึ่งหมายความว่าหากไซต์ของคุณมีปัญหา คุณจะต้องค้นหาวิธีแก้ปัญหาและรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณเอง

เพื่อหลีกเลี่ยงไม่ให้ตกเป็นเป้าของแฮ็กเกอร์ เราขอแนะนำให้ใช้ธีม WordPress จากพื้นที่เก็บข้อมูลอย่างเป็นทางการหรือจากนักพัฒนาที่มีชื่อเสียง หรือคุณอาจมองหาธีมของบุคคลที่สามในตลาดซื้อขายธีมที่เป็นทางการ เช่น ThemeForest ซึ่งมีธีม WordPress พรีเมียมหลายร้อยแบบ

ความปลอดภัยของเว็บไซต์ WordPress: Final Thought

WordPress เป็นระบบจัดการเนื้อหาที่ได้รับความนิยมและแข็งแกร่ง ซึ่งทำให้ทุกคนสร้างเว็บไซต์ได้ง่าย อย่างไรก็ตาม เนื่องจากมีการใช้กันอย่างแพร่หลาย มันจึงกลายเป็นเป้าหมายยอดนิยมสำหรับแฮกเกอร์

โชคดีที่มีหลายขั้นตอนที่คุณทำได้เพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ อย่างไรก็ตาม โปรดทราบว่าคุณไม่จำเป็นต้องทำทุกอย่างตามรายการข้างต้น หากคุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดขั้นพื้นฐาน คุณจะเหนือกว่าคู่แข่ง

หลังจากนั้น ทำในสิ่งที่คุณทำได้และรู้สึกว่าทำได้ การรักษาความปลอดภัยเป็นความพยายามอย่างต่อเนื่อง ไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว คุณสามารถทำสิ่งต่างๆ ได้มากขึ้น แต่การเริ่มต้นเป็นสิ่งสำคัญ

นั่นคือทั้งหมด; เราหวังว่าโพสต์ของเราจะช่วยให้คุณเรียนรู้เคล็ดลับความปลอดภัย WordPress ที่ดีที่สุดเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ หากคุณชอบโพสต์นี้ คุณอาจต้องการอ่าน:

• สุดยอดปลั๊กอินความปลอดภัย WordPress เพื่อปกป้องเว็บไซต์ของคุณ
• เคล็ดลับ WordPress SEO เพื่อปรับปรุงการจัดอันดับ SEO ของคุณ
• วิธีเพิ่มความเร็วเว็บไซต์ WordPress ในปี 2022