รายการตรวจสอบความปลอดภัยของ WordPress เดียวที่คุณต้องการในปี 2024

WordPress เป็นระบบจัดการเนื้อหาที่ปลอดภัย (CMS) แต่วิธีที่คุณตั้งค่าและกำหนดค่าเว็บไซต์ของคุณอาจส่งผลต่อระดับความปลอดภัยได้ หากคุณไม่ดำเนินการเพื่อปกป้องไซต์ของคุณ คุณอาจต้องเผชิญกับการละเมิดข้อมูลหรือสูญเสียเนื้อหาของคุณ

เพื่อช่วยเหลือคุณ เราได้สร้างรายการตรวจสอบความปลอดภัยขั้นสูงสุดของ WordPress นี่จะแนะนำคุณตลอดขั้นตอนทั้งหมดที่คุณต้องการเพื่อปกป้องเว็บไซต์ของคุณจากบอทและผู้โจมตี

ในโพสต์นี้ เราจะมาดูคุณสมบัติความปลอดภัยในตัวของ WordPress จากนั้น เราจะแสดง 30 สิ่งที่คุณสามารถทำได้เพื่อปกป้องไซต์ของคุณเพิ่มเติม

WordPress มีการรักษาความปลอดภัยในตัวหรือไม่?

ใช่ WordPress มีมาตรการรักษาความปลอดภัยบางอย่าง แดชบอร์ดผู้ดูแลระบบของคุณได้รับการปกป้องโดยหน้าเข้าสู่ระบบที่กำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง

CMS ยังได้รับแพตช์และการอัปเดตเป็นประจำเพื่อกำจัดช่องโหว่ด้านความปลอดภัย โดยทั่วไป หากคุณอัปเดต WordPress และส่วนประกอบต่างๆ อยู่เสมอ คุณจะรอดพ้นจากช่องโหว่ที่พบบ่อยที่สุด

ต้องบอกว่ายังมีองค์ประกอบของมนุษย์ที่ต้องพิจารณาด้วย ในหลายกรณี ไซต์ WordPress ถูกแฮ็กเนื่องจากข้อผิดพลาดของมนุษย์ เช่น การแชร์หรือการนำข้อมูลการเข้าสู่ระบบกลับมาใช้ซ้ำ หากผู้โจมตีสามารถเข้าถึงบัญชีที่มีสิทธิ์ระดับสูง พวกเขาสามารถสร้างความเสียหายให้กับเว็บไซต์ของคุณได้

เนื่องจาก CMS เป็นแพลตฟอร์มยอดนิยม ผู้โจมตีจะสแกนเว็บเพื่อพยายามค้นหาไซต์ WordPress ที่มีช่องโหว่ที่ทราบ ยิ่งไซต์ของคุณเติบโตมากเท่าไร เป้าหมายก็จะยิ่งใหญ่ขึ้นเท่านั้น

วิธีที่ง่ายที่สุดในการรักษาความปลอดภัยเว็บไซต์ WordPress คืออะไร?

การรักษาความปลอดภัยเว็บไซต์ WordPress คุณต้องเปลี่ยนการกำหนดค่าเว็บไซต์ของคุณและเพิ่มคุณสมบัติหลายอย่างที่ทำให้ผู้โจมตีเจาะเข้ามาได้ยากขึ้น หากคุณไม่มีเวลาปฏิบัติตามรายการตรวจสอบความปลอดภัยของ WordPress ทั้งหมดนี้ สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือติดตั้งการรักษาความปลอดภัย เสียบเข้าไป.

Jetpack Security ให้คุณเข้าถึงฟีเจอร์ความปลอดภัยหลายอย่าง เช่น การสแกนและกำจัดมัลแวร์อัตโนมัติ การป้องกันสแปมและการสำรองข้อมูลแบบเรียลไทม์

สิ่งสำคัญคือต้องทราบว่าไม่มีปลั๊กอินตัวใดที่สามารถปกป้องเว็บไซต์ของคุณจากภัยคุกคามที่อาจเกิดขึ้นทั้งหมดได้ ดังนั้น คุณจะต้องการรักษาความปลอดภัยไซต์ของคุณให้ดียิ่งขึ้น หากคุณจริงจังกับการปกป้องข้อมูลและการทำงานหนัก

ตัวอย่างเช่น คุณจะต้องบังคับใช้รหัสผ่านที่รัดกุมและเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) เราจะดูรายละเอียดมาตรการรักษาความปลอดภัยเหล่านี้ (และอื่นๆ อีกมากมาย) ในรายการตรวจสอบของเรา

รายการตรวจสอบความปลอดภัยของ WordPress 30 ขั้นตอน

โปรดจำไว้ว่าคุณไม่จำเป็นต้องดำเนินการกับมาตรการรักษาความปลอดภัยทั้งหมดเหล่านี้ในคราวเดียว การขีดฆ่าทุกรายการในรายการตรวจสอบอาจใช้เวลาสักครู่ แต่ส่วนใหญ่เป็นการแก้ไขที่คุณจำเป็นต้องใช้เพียงครั้งเดียว

ต่อไปนี้เป็น 30 วิธีที่คุณสามารถเพิ่มความปลอดภัยให้กับไซต์ของคุณได้

1. อัปเดต WordPress อยู่เสมอ

การติดตั้ง WordPress ที่ล้าสมัยอาจเป็นสาเหตุที่ใหญ่ที่สุดของการละเมิดความปลอดภัย ผู้ใช้จำนวนมากลืมอัปเดต WordPress พร้อมกับปลั๊กอินและธีมบนเว็บไซต์ของตน นี่เป็นปัญหาสำคัญ เนื่องจากซอฟต์แวร์ที่ล้าสมัยมีแนวโน้มที่จะเป็นเป้าหมายหลักในหมู่ผู้โจมตี

ยิ่งซอฟต์แวร์มีอายุมากเท่าไร ผู้โจมตีก็จะยิ่งมีเวลามากขึ้นในการวิเคราะห์โค้ดและค้นหาช่องโหว่ด้านความปลอดภัย นักพัฒนาติดตามภัยคุกคามเหล่านี้และแก้ไขตามที่ปรากฏ ดังนั้น คุณจะต้องเรียกใช้การอัปเดตทันทีที่เผยแพร่

โชคดีที่ WordPress ทำให้การติดตามการอัปเดตเป็นเรื่องง่าย ในแดชบอร์ดของคุณ ให้ไปที่ การอัปเดต แล้วคุณจะเห็นภาพรวมของทุกสิ่งที่มี

หากคุณมีการอัปเดตจำนวนมากที่ต้องทำ การสำรองข้อมูลเว็บไซต์ WordPress ของคุณก่อนที่จะดำเนินการต่อถือเป็นสิ่งสำคัญ สิ่งนี้สำคัญอย่างยิ่งเมื่ออัปเดตเป็น WordPress เวอร์ชันใหม่ เนื่องจากบางครั้งอาจทำให้เกิดปัญหาความเข้ากันได้กับปลั๊กอินและธีม

คุณจะต้องตรวจสอบหน้าอัปเดตของคุณทุกวัน หรือคุณสามารถเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินและธีมของคุณได้

ด้วยวิธีนี้ หากคุณลืมตรวจสอบไซต์ของคุณเพื่อดูการอัปเดต การอัปเดตเหล่านี้จะทำงานโดยอัตโนมัติ

2. สร้างชื่อผู้ใช้และรหัสผ่านที่รัดกุม

เว็บไซต์ของคุณมีความปลอดภัยเท่ากับข้อมูลประจำตัวที่คุณใช้ในการเข้าถึงเท่านั้น WordPress จะแจ้งให้คุณทราบหากคุณตั้งรหัสผ่านที่ไม่รัดกุมเมื่อสร้างบัญชีใหม่

รหัสผ่านที่ “อ่อนแอ” คือสิ่งที่คาดเดาได้ง่าย หากข้อมูลประจำตัวของคุณมีลักษณะเช่น "ผู้ดูแลระบบ" และ "1234" เว็บไซต์ของคุณอาจตกเป็นเหยื่อของการโจมตีแบบดุร้าย

ตามหลักการแล้ว รหัสผ่านของคุณควรมีอักขระอย่างน้อยแปดตัวและประกอบด้วยตัวอักษร ตัวเลข และอักขระพิเศษ หากคุณมีผู้ใช้หลายคนบนไซต์ WordPress ของคุณ คุณอาจต้องการเตือนให้พวกเขาใช้ข้อมูลรับรองที่รัดกุมและเปลี่ยนรหัสผ่านทุกๆ สองสามเดือน

3. เพิ่มการปกป้องอีกชั้นด้วย 2FA

การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นมาตรการรักษาความปลอดภัยที่กำหนดให้คุณต้องใช้การตรวจสอบสิทธิ์ชั้นที่สองเมื่อเข้าสู่ระบบไซต์ ตัวอย่างเช่น บางเว็บไซต์อาจกำหนดให้คุณต้องป้อนรหัสแบบครั้งเดียวที่ส่งทางอีเมลหรือ SMS

เป้าหมายของ 2FA คือการทำให้ผู้โจมตีคาดเดาข้อมูลประจำตัวของคุณได้แทบจะเป็นไปไม่ได้เลย หากไม่มีการเข้าถึงอุปกรณ์หรือบัญชีอื่น พวกเขาจะไม่สามารถเข้าสู่ระบบ WordPress ได้

ตามค่าเริ่มต้น WordPress จะไม่มีฟังก์ชัน 2FA ดังนั้นคุณจะต้องใช้ปลั๊กอินเช่น Jetpack เพื่อเพิ่มคุณลักษณะนี้ลงในไซต์ของคุณ ด้วย Jetpack คุณสามารถเพิ่ม 2FA (เรียกว่าการรับรองความถูกต้องที่ปลอดภัย) ที่ใช้งานได้กับบัญชี WordPress.com ของคุณ

4. ติดตั้งปลั๊กอินความปลอดภัยที่เชื่อถือได้

ปลั๊กอินความปลอดภัย WordPress ที่มีประสิทธิภาพจะช่วยให้คุณข้ามหลายรายการในรายการตรวจสอบความปลอดภัยของ WordPress นี้ ตามหลักการแล้ว คุณจะต้องเลือกเครื่องมือเดียวที่มีคุณสมบัติดังต่อไปนี้:

การสแกนมัลแวร์

หากเว็บไซต์ของคุณติดไวรัส คุณจะต้องทราบโดยเร็วที่สุด การสแกนมัลแวร์เป็นประจำจะแจ้งให้คุณทราบว่าส่วนใดส่วนหนึ่งของเว็บไซต์ของคุณมีความเสี่ยงหรือไม่

เครื่องมือกำจัดมัลแวร์

หากปลั๊กอินความปลอดภัยของคุณระบุมัลแวร์ คุณจะต้องการความช่วยเหลือในการลบมัลแวร์นั้น ซึ่งอาจเกี่ยวข้องกับการลบไฟล์หรือแทนที่ไฟล์ ขึ้นอยู่กับส่วนของไซต์ WordPress ของคุณที่ติดไวรัส

การสำรองข้อมูล

มีโซลูชันการสำรองข้อมูลแบบสแตนด์อโลนและปลั๊กอินสำหรับ WordPress มากมาย เครื่องมือรักษาความปลอดภัยแบบครบวงจรบางตัวมีการสำรองข้อมูลอัตโนมัติ ดังนั้นคุณไม่จำเป็นต้องติดตั้งปลั๊กอินเพิ่มเติม

บันทึกการรักษาความปลอดภัย

ตามหลักการแล้ว คุณจะต้องการทราบทุกสิ่งที่เกิดขึ้นบนเว็บไซต์ของคุณ บันทึกความปลอดภัยบันทึกเหตุการณ์ใน WordPress และช่วยให้คุณค้นหากิจกรรมที่น่าสงสัยได้

การดำเนินการ 2FA

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ 2FA เป็นเครื่องมือสำคัญที่สามารถช่วยคุณลดความเสี่ยงของการละเมิดความปลอดภัยอันเนื่องมาจากข้อมูลประจำตัวที่ถูกขโมย

Jetpack Security มีฟีเจอร์เหล่านั้นทั้งหมด ดังนั้นคุณจึงสามารถดำเนินการหลายขั้นตอนในรายการตรวจสอบความปลอดภัยนี้ได้ด้วยเครื่องมือเดียว

5. ใช้ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF)

WAF เป็นโซลูชันความปลอดภัยที่ช่วยปกป้องแอปพลิเคชันและเว็บไซต์ รวมถึงไซต์ WordPress จากการโจมตีโดยการกรองและติดตามปริมาณข้อมูล ควรสามารถระบุการรับส่งข้อมูลที่เป็นอันตรายโดยใช้กฎที่กำหนดไว้ล่วงหน้าหรือฐานข้อมูลของผู้โจมตีที่รู้จัก ทั้งนี้ขึ้นอยู่กับซอฟต์แวร์

โฮสต์เว็บจำนวนมากตั้งค่าไฟร์วอลล์ให้กับลูกค้าโดยอัตโนมัติ คุณยังสามารถใช้ Jetpack Security เพื่อเพิ่ม WAF สำหรับเว็บไซต์ WordPress ของคุณได้

Jetpack Security ช่วยให้คุณสามารถกำหนดค่า WAF เพื่อใช้กฎที่กำหนดไว้ล่วงหน้าและบล็อกที่อยู่ IP ที่ระบุ คุณยังสามารถแชร์ข้อมูลกิจกรรมกับ Jetpack ซึ่งช่วยให้ WAF มีประสิทธิภาพมากขึ้นโดยการขยายฐานข้อมูลภัยคุกคามที่รู้จัก

6. สแกน WordPress เป็นประจำเพื่อหามัลแวร์และช่องโหว่

การสแกนเว็บไซต์ของคุณเพื่อหามัลแวร์และช่องโหว่เกี่ยวข้องกับการตรวจสอบไฟล์ทั้งหมดเพื่อค้นหาการแก้ไขหรือโค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาต แม้ว่ากระบวนการนี้อาจดูยุ่งยาก แต่ก็มีเครื่องมือที่สามารถช่วยคุณได้

Jetpack Security ใช้ WPScan (ฐานข้อมูลที่ใหญ่ที่สุดของช่องโหว่ WordPress ที่รู้จัก) เพื่อสแกนเว็บไซต์ของคุณ

หากปลั๊กอิน WordPress พบมัลแวร์หรือช่องโหว่ ปลั๊กอินจะแจ้งให้คุณทราบทันทีและยังช่วยลบหรือซ่อมแซมไฟล์ที่ได้รับผลกระทบอีกด้วย วิธีนี้ง่ายกว่าการดำเนินการด้วยตนเองมาก ซึ่งคุณต้องกำหนดไฟล์ที่จะลบและหาวิธีซ่อมแซมไฟล์เหล่านั้น

7. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำหรือแบบเรียลไทม์

การสำรองข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความปลอดภัยของเว็บไซต์ หากมีอะไรเกิดขึ้นกับไซต์ของคุณ สิ่งเหล่านี้จะช่วยให้คุณเริ่มต้นและใช้งานได้อีกครั้งอย่างรวดเร็ว

การพึ่งพาผู้ให้บริการโฮสติ้งในการสำรองข้อมูลไม่ใช่ตัวเลือกที่ปลอดภัย เนื่องจากการประนีประนอมกับเซิร์ฟเวอร์ของคุณอาจทำให้ทั้งไซต์ WordPress และการสำรองข้อมูลของไซต์นั้นไร้ประโยชน์

แต่คุณจำเป็นต้องมีโซลูชันการสำรองข้อมูลนอกสถานที่แบบเรียลไทม์เพื่อให้แน่ใจว่าคุณจะได้รับการปกป้องตลอด 24 ชั่วโมงทุกวัน และสามารถกู้คืนไซต์ของคุณได้ทันที แม้ว่าจะล่มแล้วก็ตาม

Jetpack VaultPress Backup ทำเช่นนี้ โดยจะบันทึกไซต์ของคุณทุกครั้งที่คุณทำการเปลี่ยนแปลง

ปลั๊กอินจัดเก็บข้อมูลสำรองเหล่านี้ไว้ในคลาวด์เพื่อหลีกเลี่ยงความแออัดของเซิร์ฟเวอร์ ใช้การผสมผสานระหว่างการสำรองข้อมูลส่วนเพิ่มและส่วนต่าง ดังนั้นจึงไม่จำเป็นต้องคัดลอกไซต์และฐานข้อมูลทั้งหมดของคุณในแต่ละครั้งที่คุณทำการเปลี่ยนแปลง ซึ่งทำให้กระบวนการมีประสิทธิภาพมากขึ้นมาก

นอกเหนือจากการเปลี่ยนแปลงเว็บไซต์ Jetpack VaultPress Backup ยังบันทึกความคิดเห็น คำสั่งซื้อ และการดำเนินการอื่นๆ ของผู้ใช้อีกด้วย เป็นเครื่องมือสำรองข้อมูลชั้นนำสำหรับร้านค้า WooCommerce เนื่องจากจะบันทึกคำสั่งซื้อแม้ว่าคุณจะต้องเปลี่ยนไซต์ WordPress ของคุณกลับเป็นเวอร์ชันก่อนหน้าก็ตาม

8. จัดเก็บข้อมูลสำรองของคุณไว้บนเซิร์ฟเวอร์ที่แยกต่างหาก

ดังที่กล่าวข้างต้น การสำรองข้อมูลอย่างเดียวไม่เพียงพอ คุณต้องจัดเก็บไว้ในสถานที่ที่ปลอดภัยหลายแห่งนอกสถานที่ ดังนั้นหากมีการละเมิดความปลอดภัยทางดิจิทัลหรือภัยพิบัติทางกายภาพที่ศูนย์ข้อมูลแห่งเดียว คุณยังคงสามารถเข้าถึงและกู้คืนไฟล์ไซต์ของคุณได้ นี่เป็นเหตุผลเดียวกับที่คุณไม่สามารถพึ่งพาการสำรองข้อมูลจากโฮสต์ของคุณเพียงอย่างเดียวได้ ไซต์และข้อมูลสำรองของคุณอาจถูกโจมตีพร้อมกันได้

หากคุณใช้ VaultPress Backup ทั้งหมดนี้จะได้รับการดูแลสำหรับคุณ ข้อมูลสำรองของคุณจะถูกจัดเก็บไว้ในหลายตำแหน่งในระบบคลาวด์และสามารถเข้าถึงได้ตลอดเวลา แม้ว่าเว็บไซต์ของคุณจะล่มก็ตาม

9. ติดตามกิจกรรมของผู้ใช้

หากคุณมีสิทธิ์เข้าถึงบันทึกกิจกรรมของไซต์ของคุณ คุณจะสามารถเห็นได้ว่าเมื่อใดมีคนพยายามเข้าสู่ระบบหลายครั้งแต่ล้มเหลว หากมีการแก้ไขไฟล์ WordPress หากมีผู้ติดตั้งปลั๊กอินใหม่ และอื่นๆ

คิดว่าบันทึกเป็นเทคโนโลยีที่เทียบเท่ากับการบันทึกความปลอดภัย คุณหวังว่าคุณจะไม่ต้องใช้สิ่งเหล่านี้ แต่เป็นคุณลักษณะด้านความปลอดภัยที่ใช้กันอย่างแพร่หลายด้วยเหตุผลบางประการ WordPress ไม่มีฟังก์ชันการทำงานนี้ตามค่าเริ่มต้น ดังนั้นคุณจะต้องมองหาปลั๊กอินที่มี

Jetpack Security ช่วยให้คุณสามารถตรวจสอบทุกสิ่งที่เกิดขึ้นบนเว็บไซต์ของคุณ มันเก็บบันทึกกิจกรรมที่บันทึกว่าใครทำอะไร พร้อมวันที่และเวลา หากคุณประสบปัญหาด้านความปลอดภัย คุณสามารถตรวจสอบบันทึกนี้เพื่อดูว่าเกิดจากอะไร

นอกจากนี้ยังทำงานร่วมกับฟังก์ชันการสำรองข้อมูล VaultPress เพื่อให้คุณสามารถคืนค่าไซต์ของคุณไปยังช่วงเวลาที่เฉพาะเจาะจงตามสิ่งที่คุณพบในบันทึกกิจกรรม

10. ควบคุมการเข้าถึงและการอนุญาตของผู้ใช้

วิธีที่ง่ายที่สุดวิธีหนึ่งในการรักษาระบบให้ปลอดภัยคือการจำกัดผู้ที่สามารถเข้าถึงได้ หากคุณเป็นคนเดียวที่ทำงานบนเว็บไซต์ของคุณ ไม่มีใครควรรู้ข้อมูลการเข้าสู่ระบบ WordPress ของคุณ

เมื่อทำงานร่วมกับทีม สิ่งสำคัญคือคุณต้องใช้ระบบบทบาทของผู้ใช้ WordPress ให้เต็มที่ CMS มีหลายบทบาทที่คุณสามารถมอบหมายให้กับผู้ใช้ได้ ขึ้นอยู่กับสิทธิ์ที่คุณต้องการให้พวกเขาได้รับ

บทบาทสูงสุดคือผู้ดูแลระบบและเป็นผู้ใช้เพียงคนเดียวที่สามารถเข้าถึงคุณสมบัติและการตั้งค่า WordPress ทั้งหมดได้อย่างเต็มที่ ผู้ใช้ WordPress อื่นๆ เช่น ผู้เขียน สามารถเผยแพร่เนื้อหาของตนเองได้เท่านั้น และจะไม่สามารถเปลี่ยนการกำหนดค่าของไซต์หรือเข้าถึงการตั้งค่าได้

เมื่อพิจารณาว่าจะมอบหมายบทบาทใดให้กับผู้ใช้แต่ละคน ให้คิดถึงสิทธิ์ที่พวกเขาต้องมีในการดำเนินงานของตน ผู้ใช้ไม่ควรมีสิทธิ์มากกว่าที่ต้องการ ข้อจำกัดเหล่านี้จะทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้น

11. จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ

การพยายามเข้าสู่ระบบซ้ำๆ อาจเป็นสัญญาณว่ามีบางคนลืมข้อมูลประจำตัวของตน แต่หากจำนวนครั้งที่พยายามมีมากกว่าหยิบมือเดียว คุณอาจกำลังเผชิญกับคนที่พยายามบุกเข้าไปในเว็บไซต์ของคุณ

คุณควรจำกัดความพยายามในการเข้าสู่ระบบภายในระยะเวลาที่กำหนดเพื่อหยุดการโจมตีแบบ Brute Force แบบอัตโนมัติ คุณสามารถใช้ Jetpack เพื่อใช้มาตรการรักษาความปลอดภัยนี้ได้อีกครั้ง

ปลั๊กอินสามารถบล็อกผู้โจมตีที่พยายามใช้ข้อมูลประจำตัวทั่วไปเพื่อเข้าสู่เว็บไซต์ของคุณ คุณยังสามารถกำหนดค่าให้อนุญาตรายการที่อยู่ IP เฉพาะได้ ดังนั้นเฉพาะผู้ใช้เท่านั้นที่สามารถเข้าสู่ระบบ WordPress ได้

12. ใช้ CDN เพื่อช่วยป้องกันการโจมตี DDoS

เครือข่ายการจัดส่งเนื้อหา (CDN) คือระบบข้อมูลที่จัดเก็บสำเนาเว็บไซต์ของคุณบนเซิร์ฟเวอร์ในสถานที่ต่างๆ ทั่วโลก — ลดเวลาแฝงที่อาจเกิดขึ้นเมื่อมีผู้พยายามเยี่ยมชมเว็บไซต์ที่โฮสต์ในประเทศที่อยู่ห่างไกล เมื่อมีคนพยายามเยี่ยมชมเว็บไซต์ WordPress ของคุณ CDN จะตอบกลับคำขอจากเซิร์ฟเวอร์ใกล้เคียงโดยอัตโนมัติ

CDN สามารถแบ่งเบาภาระบนเซิร์ฟเวอร์ของคุณ ช่วยให้คุณจัดการการรับส่งข้อมูลได้มากขึ้น ลดเวลาในการโหลด และ ปกป้องคุณจากการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย เนื่องจากการโจมตีจะไม่โจมตีเซิร์ฟเวอร์ของคุณโดยตรง มันจะไม่ได้รับผลกระทบหนักหนาสาหัสหากถูกน้ำท่วมโดยทราฟฟิกของบอท

หากคุณใช้ Jetpack Security คุณจะสามารถเข้าถึง Image CDN ที่สามารถช่วยคุณแคชไฟล์มีเดียเพื่อให้โหลดเร็วขึ้น นอกจากนี้ยังปรับขนาดรูปภาพโดยอัตโนมัติและให้บริการตัวเลือกที่ดีที่สุดตามอุปกรณ์ของผู้เยี่ยมชมแต่ละราย คุณยังสามารถพิจารณารวม CDN อื่นๆ เข้ากับ WordPress เพื่อลดเวลาในการโหลดให้ดียิ่งขึ้น และปกป้องไซต์ของคุณจากการเข้าชมที่เพิ่มขึ้นอย่างกะทันหัน

13. ติดตั้งใบรับรอง SSL

ใบรับรอง Secure Sockets Layer (SSL) เป็นสัญญาณว่าเว็บไซต์ของคุณเชื่อถือได้ นอกจากนี้ยังช่วยให้คุณสามารถโหลดไซต์ของคุณผ่าน HTTPS ซึ่งจะเข้ารหัสข้อมูลที่ไหลเข้าและออกจากเว็บไซต์ของคุณ

เบราว์เซอร์ส่วนใหญ่จะส่งสัญญาณว่าเว็บไซต์มีใบรับรอง SSL โดยมีไอคอนล็อคแบบธรรมดาในแถบนำทาง

ปัจจุบันนี้ เว็บโฮสต์ที่มีชื่อเสียงส่วนใหญ่จะเสนอใบรับรอง SSL ฟรีและการตั้งค่าอัตโนมัติให้กับผู้ใช้ หากโฮสต์เว็บของคุณไม่ทำเช่นนี้ คุณสามารถรับใบรับรองฟรีจากแหล่งเช่น Let's Encrypt

เมื่อใบรับรองพร้อมแล้ว คุณจะต้องติดตั้งแล้วเปิดใช้งาน HTTPS มีหลายวิธีในการบังคับให้ WordPress โหลดผ่าน HTTPS Really Simple SSL ช่วยให้คุณทำสิ่งนี้ได้ด้วยการคลิกง่ายๆ

เราปกป้องไซต์ของคุณ คุณดำเนินธุรกิจของคุณ

Jetpack Security ให้การรักษาความปลอดภัยไซต์ WordPress ที่ครอบคลุมและใช้งานง่าย รวมถึงการสำรองข้อมูลแบบเรียลไทม์ ไฟร์วอลล์แอปพลิเคชันเว็บ การสแกนมัลแวร์ และการป้องกันสแปม

รักษาความปลอดภัยเว็บไซต์ของคุณ

14. ต้องการ SFTP เป็น FTP เมื่อถ่ายโอนไฟล์

File Transfer Protocol (FTP) ช่วยให้คุณสามารถเชื่อมต่อกับเว็บไซต์ของคุณและอัพโหลด ดาวน์โหลด และแก้ไขไฟล์ได้โดยตรง โปรโตคอลใช้ชุดข้อมูลประจำตัวที่แตกต่างกัน ซึ่งโฮสต์เว็บของคุณควรจัดเตรียมไว้ให้คุณ

โฮสต์บางแห่งใช้โปรโตคอลเวอร์ชันอัปเดตและปลอดภัยกว่าที่เรียกว่า SFTP ไคลเอนต์ FTP สมัยใหม่รองรับทั้งสองโปรโตคอลและทำงานเหมือนกัน ข้อแตกต่างที่สำคัญคือ SFTP เข้ารหัสข้อมูลที่คุณส่งและรับจากเซิร์ฟเวอร์ (คล้ายกับ HTTPS)

หากโฮสต์เว็บของคุณอนุญาตให้คุณใช้ทั้ง FTP และ SFTP ให้ใช้ค่าเริ่มต้นเป็นอย่างหลัง ในกรณีที่เว็บโฮสต์ของคุณรองรับเฉพาะ FTP คุณอาจต้องการพิจารณาเปลี่ยนไปใช้ผู้ให้บริการที่นำเสนอคุณสมบัติความปลอดภัยที่ดีกว่า

15. อัปเดตเวอร์ชัน PHP ของคุณอยู่เสมอ

WordPress สร้างขึ้นจาก PHP และเวอร์ชันที่คุณใช้มีบทบาทสำคัญในความเร็วของไซต์ PHP เวอร์ชันใหม่กว่ามีการแก้ไขด้านความปลอดภัยที่สามารถช่วยให้เว็บไซต์ของคุณทำงานเร็วขึ้นและป้องกันการแสวงหาประโยชน์

คุณสามารถดูเวอร์ชันของ PHP ที่เซิร์ฟเวอร์ของคุณใช้ได้โดยไปที่ Site Health → Info และการเปิด เซิร์ฟเวอร์ แท็บ

เปรียบเทียบข้อมูลดังกล่าวกับ PHP รุ่นล่าสุด และดูว่าโฮสต์เว็บของคุณใช้เวอร์ชันล่าสุดหรือไม่ โฮสต์เว็บบางแห่งอาจให้คุณสลับระหว่างเวอร์ชัน PHP ได้ หากคุณไม่เป็นเช่นนั้น อาจถึงเวลาที่จะต้องพิจารณาเปลี่ยนไปใช้โฮสต์ WordPress ใหม่

16. ลบธีมและปลั๊กอิน WordPress ที่ไม่ใช้งาน

ถือเป็นหลักการที่ดีในการปิดการใช้งานและลบปลั๊กอินหรือธีม WordPress ที่คุณไม่ได้ใช้อีกต่อไป ซึ่งสามารถลดโอกาสของปัญหาความเข้ากันได้หรือช่องโหว่ได้

การลบธีมและปลั๊กอินที่ไม่ใช้งานจะทำให้เว็บไซต์ของคุณปลอดภัยและเป็นระเบียบมากขึ้น คุณจะต้องตรวจสอบปลั๊กอินที่ใช้งานอยู่เป็นระยะ และจดบันทึกปลั๊กอินที่คุณไม่ได้ใช้อีกต่อไป

17. ประเมินปลั๊กอินและธีมใหม่อย่างรอบคอบ

ก่อนที่คุณจะติดตั้งปลั๊กอินหรือธีมใดๆ บนเว็บไซต์ของคุณ สิ่งสำคัญคือต้องแน่ใจว่ามาจากนักพัฒนาที่มีชื่อเสียงและมีประวัติที่ดี คุณสามารถทำได้โดยตรวจสอบการให้คะแนนและบทวิจารณ์

เช่นเดียวกับธีม WordPress ที่เก็บปลั๊กอินและธีมส่วนใหญ่จะแสดงประวัติการอัปเดตให้คุณเห็น ปลั๊กอินหรือธีมที่มีชื่อเสียงจะมีการอัปเดตเป็นประจำ ซึ่งหมายความว่านักพัฒนาซอฟต์แวร์กำลังทำงานอย่างเต็มที่

คุณต้องการหลีกเลี่ยงปลั๊กอินและธีม WordPress ที่ไม่ได้รับการอัปเดตอีกต่อไป ไม่ว่าจะมีประโยชน์แค่ไหน แต่ก็สามารถนำไปสู่ช่องโหว่บนเว็บไซต์ของคุณได้เนื่องจากโค้ดล้าสมัย

18. ลงทุนในผู้ให้บริการโฮสติ้งที่ปลอดภัย

ผู้ให้บริการโฮสติ้งบางรายไม่ได้เสนอบริการ ประสิทธิภาพ และคุณสมบัติในระดับเดียวกัน บางอันก็ดีกว่าอันอื่น และนั่นไม่ได้หมายความว่าจะมีราคาแพงกว่าเสมอไป

การเลือกผู้ให้บริการโฮสติ้ง WordPress ที่แข็งแกร่งและปลอดภัยถือเป็นการตัดสินใจที่สำคัญ เนื่องจากโดยปกติแล้วคุณจะต้องผูกพันกับพวกเขาเป็นระยะเวลานาน สิ่งสำคัญคือคุณต้องอ่านบทวิจารณ์ให้มากที่สุดเท่าที่จะเป็นไปได้และหาข้อมูลก่อนที่จะตัดสินใจใช้บริการใดๆ

หากคุณต้องการความช่วยเหลือ คุณสามารถดูรายชื่อโฮสต์ที่ Jetpack แนะนำได้ ซึ่งบางส่วนมีคุณสมบัติที่สำคัญของ Jetpack ซึ่งเป็นส่วนหนึ่งของบริการโฮสติ้ง WordPress ที่มีการจัดการ

19. เปลี่ยนผู้ดูแลระบบเริ่มต้น ชื่อผู้ใช้

เมื่อคุณตั้งค่า WordPress มันจะสร้างชื่อผู้ใช้ของผู้ดูแลระบบตามค่าเริ่มต้น วิธีนี้ทำให้ง่ายต่อการจดจำข้อมูลประจำตัวของคุณ แต่ยังทำให้ผู้โจมตีคาดเดารายละเอียดของคุณได้ง่ายอีกด้วย

หากบัญชีผู้ดูแลระบบ WordPress ของคุณได้รับการตั้งค่าแล้ว คุณมีสองตัวเลือกในการเปลี่ยนชื่อผู้ใช้ผู้ดูแลระบบเริ่มต้น:

1. สร้างบัญชีผู้ดูแลระบบใหม่ คุณสามารถสร้างบัญชีผู้ดูแลระบบใหม่ด้วยชื่อผู้ใช้ที่คุณต้องการแล้วเปลี่ยนไปใช้ เมื่อดำเนินการแล้ว คุณสามารถลบบัญชีเก่าและดำเนินการใช้บัญชีใหม่ต่อไปได้
2. เปลี่ยนชื่อผู้ใช้โดยใช้ phpMyAdmin หากคุณต้องการเก็บบัญชีที่มีอยู่ไว้คุณสามารถแก้ไขชื่อผู้ใช้ผ่านฐานข้อมูลได้

ไม่มีชื่อผู้ใช้ใดที่ควรจะคาดเดาได้ง่าย โดยเฉพาะอย่างยิ่งเมื่อพูดถึงบัญชีผู้ดูแลระบบ หากมีใครเข้าถึงได้ พวกเขาจะสามารถทำการเปลี่ยนแปลงที่ต้องการในเว็บไซต์ของคุณได้

20. เปลี่ยนคำนำหน้าฐานข้อมูลเริ่มต้น

คำนำหน้าฐานข้อมูลเริ่มต้นใน WordPress คือ wp_ นั่นหมายความว่าหากผู้โจมตีทราบชื่อฐานข้อมูล พวกเขาก็สามารถเดาคำนำหน้าและใช้ข้อมูลนั้นเพื่อลองสืบค้นได้

คุณสามารถลดความเสี่ยงนั้นได้โดยการเปลี่ยนคำนำหน้าฐานข้อมูลเริ่มต้นเป็นอย่างอื่นนอกเหนือจาก wp_ นี่เป็นกระบวนการสองขั้นตอน ขั้นตอนแรกคือการเปลี่ยนคำนำหน้าฐานข้อมูลในไฟล์ wp-config.php ซึ่งควรมีบรรทัดที่มีลักษณะดังนี้:

 $table_prefix = 'wp_';

หลังจากทำการเปลี่ยนแปลงใน wp-config.php คุณจะต้องอัปเดตตารางในฐานข้อมูลด้วยคำนำหน้าใหม่ คุณสามารถทำได้โดยใช้ phpMyAdmin และเรียกใช้หลายคำสั่งที่คล้ายกับอันนี้:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

คุณสามารถใช้โครงสร้างการสืบค้นนั้นและเปลี่ยนแปลงสิ่งที่อยู่หลัง "ถึง" เพื่อให้ตรงกับชื่อตารางกับคำนำหน้าที่ได้รับการอัปเดต โปรดทราบว่าคุณจะต้องเรียกใช้แบบสอบถามนั้นสำหรับแต่ละตารางในฐานข้อมูล และเว็บไซต์ของคุณจะทำงานไม่ถูกต้องจนกว่าคุณจะดำเนินการดังกล่าว

21. เปลี่ยน URL เริ่มต้นของ /wp-admin และ /wp-login.php

URL /wp-admin และ /wp-login.php ช่วยให้คุณเข้าถึงแดชบอร์ดและหน้าเข้าสู่ระบบใน WordPress URL เหล่านี้ง่ายต่อการจดจำ แต่ทำให้ไซต์ของคุณมีความเสี่ยงมากขึ้น หากมีใครต้องการเจาะเข้าไปในเว็บไซต์ของคุณ พวกเขามักจะเริ่มต้นด้วย URL เข้าสู่ระบบ WordPress เริ่มต้น

คุณสามารถทำให้ชีวิตของผู้โจมตียากขึ้นได้โดยการเปลี่ยน URL เริ่มต้นเหล่านั้น มีปลั๊กอินที่ช่วยให้คุณสามารถทำได้ เช่น WPS Hide Login หรือคุณสามารถเปลี่ยน URL การเข้าสู่ระบบผ่านไฟล์ .htaccess ได้ หากคุณต้องการวิธีการด้วยตนเอง

22. จำกัดการเข้าถึง wp-admin เฉพาะที่อยู่ IP ที่ได้รับอนุญาตเท่านั้น

URL /wp-admin เปิดแดชบอร์ดใน WordPress ในทางเทคนิคแล้ว ไม่มีใครควรมีสิทธิ์เข้าถึงแดชบอร์ดโดยไม่มีข้อมูลรับรองที่ถูกต้อง คุณสามารถยกระดับความปลอดภัยไปอีกขั้นด้วยการจำกัดการเข้าถึงเฉพาะ IP ที่อนุญาตเท่านั้น

นั่นไม่ใช่คุณสมบัติที่ WordPress นำเสนอ หากต้องการใช้งาน คุณจะต้องเพิ่มโค้ดต่อไปนี้ลงในไฟล์ .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx ย่อมาจากที่อยู่ IP ที่คุณต้องการอนุญาต โปรดทราบว่าคุณสามารถเพิ่มหลาย IP ได้โดยการคัดลอกบรรทัดนั้นและป้อนที่อยู่อื่น

คุณจะต้องแก้ไขเส้นทางไดเรกทอรีด้วย เพื่อให้ตรงกับตำแหน่งของไดเรกทอรีรากในเซิร์ฟเวอร์ หลังจากบันทึกไฟล์แล้ว ที่อยู่ IP ที่ไม่อยู่ในรายการจะเห็นข้อผิดพลาดหากพยายามเข้าถึงแดชบอร์ด

23. จำกัดการเข้าถึง FTP เฉพาะที่อยู่ IP ที่ได้รับอนุญาตเท่านั้น

คุณสามารถจำกัดการเข้าถึง FTP/SFTP ไปยังเว็บไซต์ของคุณได้โดยการจำกัดผู้ที่สามารถเข้าถึงข้อมูลรับรองที่เกี่ยวข้อง แผงควบคุมโฮสติ้งบางแผงยังช่วยให้คุณสามารถจำกัดการเข้าถึง FTP ด้วยที่อยู่ IP ได้

วิธีนี้เหมาะอย่างยิ่งหากคุณมีที่อยู่ IP แบบคงที่ เนื่องจากจะป้องกันไม่ให้บุคคลอื่นเชื่อมต่อกับเว็บไซต์และเข้าถึงไฟล์ผ่าน FTP แม้ว่าจะมีข้อมูลประจำตัวที่ถูกต้องก็ตาม หากไม่มี IP แบบคงที่ การตั้งค่านี้อาจจำกัดแม้แต่การเข้าถึงไซต์ของคุณเอง

โปรดทราบว่ามีเพียงไม่กี่คนเท่านั้นที่สามารถเชื่อมต่อกับเว็บไซต์โดยใช้ FTP ได้ หากคุณทำงานร่วมกับผู้อื่น และพวกเขาไม่มีเหตุผลในการเข้าถึงหรือแก้ไขไฟล์หลักโดยตรง พวกเขาไม่ควรมีสิทธิ์เข้าถึงข้อมูลประจำตัว FTP ของคุณ

24. รักษาความปลอดภัยไฟล์ wp-config.php ของคุณ

ไฟล์ wp-config.php มีข้อมูลสำคัญเกี่ยวกับเว็บไซต์ของคุณ รวมถึงรายละเอียดเกี่ยวกับฐานข้อมูล ตามค่าเริ่มต้น ไฟล์จะอยู่ในไดเร็กทอรี ราก ของ WordPress

วิธีที่ง่ายที่สุดในการรักษาความปลอดภัยไฟล์คือการย้ายไฟล์ไปนอกไดเร็กทอรี ราก โดยตรง หาก WordPress ไม่พบ wp-config.php ในจุดที่ปกติ WordPress จะค้นหาในไดเร็กทอรีเดียวที่อยู่เหนือตำแหน่งปกติ

อีกทางเลือกหนึ่งคือการกำหนดค่าการอนุญาตของไฟล์เพื่อจำกัดการเข้าถึงของใครก็ตามที่ไม่ใช่ผู้ดูแลระบบ (นั่นคือคุณ) ในการดำเนินการนี้ คุณจะต้องเข้าใจวิธีการทำงานของสิทธิ์ของไฟล์ในระบบที่ใช้ UNIX และเปลี่ยนการกำหนดค่าของไฟล์โดยใช้ SFTP

25. ปิดการใช้งานการแก้ไขไฟล์เพื่อป้องกันการเปลี่ยนแปลงที่เป็นอันตราย

เฉพาะผู้ดูแลระบบเท่านั้นที่ควรมีสิทธิ์ในการเข้าถึงและแก้ไขไฟล์หลักของ WordPress โดยทั่วไป คุณจะสามารถเข้าถึงฟังก์ชันการแก้ไขไฟล์ได้จากแดชบอร์ด ซึ่งหมายความว่าคุณสามารถแก้ไขไฟล์หลัก ปลั๊กอิน และธีมได้โดยตรงโดยไม่ต้องออกจากผู้ดูแลระบบ WordPress

ขึ้นอยู่กับระดับสิทธิ์ที่ผู้ใช้มี พวกเขาอาจสามารถเข้าถึงโปรแกรมแก้ไขไฟล์ได้ วิธีป้องกันที่ดีที่สุดคือปิดการแก้ไขไฟล์ไปเลย

หากต้องการใช้มาตรการความปลอดภัยนี้ ให้เปิดไฟล์ wp-config.php และเพิ่มบรรทัดโค้ดต่อไปนี้ก่อนสิ้นสุด:

 define('DISALLOW_FILE_EDIT', true);

บันทึกการเปลี่ยนแปลงในไฟล์และปิด โปรดทราบว่าคุณยังคงสามารถแก้ไขไฟล์ได้ แต่คุณจะต้องใช้ SFTP จึงจะแก้ไขได้ ซึ่งเป็นตัวเลือกที่ดีกว่า (และปลอดภัยกว่า) กว่าการใช้โปรแกรมแก้ไขไฟล์ WordPress

26. ปิดการใช้งานการเรียกใช้ไฟล์ PHP

การปิดใช้งานการดำเนินการไฟล์ PHP ในไดเรกทอรีเฉพาะของเว็บไซต์ WordPress ของคุณเป็นมาตรการรักษาความปลอดภัยที่ช่วยป้องกันไม่ให้สคริปต์ที่เป็นอันตรายทำงาน หากผู้โจมตีจัดการอัปโหลดสคริปต์ PHP ไปยังเว็บไซต์ของคุณ พวกเขาอาจสามารถดำเนินการเพื่อเข้าถึงโดยไม่ได้รับอนุญาต จัดการข้อมูล หรือกระจายมัลแวร์ได้

คุณสามารถปิดใช้งานการดำเนินการไฟล์ PHP ในไดเร็กทอรีเฉพาะได้โดยเชื่อมต่อกับ WordPress ผ่านทาง FTP และไปที่โฟลเดอร์ รูท ภายใน คุณสามารถเลือกไดเร็กทอรีที่คุณต้องการปกป้องและสร้างไฟล์ .htaccess ใหม่ในแต่ละไดเร็กทอรีได้

นี่คือรหัสที่คุณต้องเพิ่มลงในไฟล์เหล่านั้น:

 <Files *.php> Order Allow,Deny Deny from all </Files>

โปรดทราบว่าการปิดใช้งานการดำเนินการ PHP ที่ระดับไดเรกทอรี ราก อาจส่งผลต่อการทำงานของ WordPress ท้ายที่สุดแล้ว CMS ทั้งหมดถูกสร้างขึ้นบน PHP นั่นหมายความว่าควรปิดการใช้งานสำหรับแต่ละโฟลเดอร์เช่นไดเร็กทอรีไฟล์มีเดียจะดีกว่า

27. ปิดการรายงานข้อผิดพลาด PHP

การแสดงข้อผิดพลาดต่อสาธารณะสามารถเปิดเผยช่องโหว่ที่อาจเกิดขึ้นในเว็บไซต์ WordPress ของคุณต่อผู้โจมตี ข้อความแสดงข้อผิดพลาด PHP อาจมีข้อมูลที่ละเอียดอ่อน เช่น เส้นทางของไฟล์ รายละเอียดโครงสร้างฐานข้อมูล หรือข้อมูลอื่นๆ ที่สามารถนำไปใช้ในการหาประโยชน์จากเว็บไซต์ของคุณ

WordPress ช่วยให้คุณสามารถปิดการใช้งานการรายงานข้อผิดพลาด PHP โดยการเปลี่ยนไฟล์ wp-config.php คุณสามารถเพิ่มโค้ดต่อไปนี้ลงในไฟล์เพื่อปิดใช้งานโหมดดีบัก WordPress และซ่อนข้อผิดพลาดที่ส่วนหน้า:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

เพิ่มโค้ดนั้นก่อนสิ้นสุดไฟล์ wp-config.php และตรวจสอบให้แน่ใจว่าคุณมีข้อมูลสำรองล่าสุดของไซต์ WordPress ของคุณก่อนที่จะบันทึก โปรดทราบว่าบางครั้งการรายงานข้อผิดพลาดอาจมีประโยชน์ในการแก้ปัญหา ดังนั้นคุณอาจต้องเปิดใช้งานคุณลักษณะนี้อีกครั้งในบางครั้ง

28. ปิดการใช้งานการเรียกดูไดเรกทอรีบนเว็บไซต์ของคุณ

การเรียกดูไดเรกทอรีเป็นคุณลักษณะที่ช่วยให้ผู้เยี่ยมชมสามารถเข้าถึง URL เช่น yourwebsite.com/wp-content และดูเนื้อหาของไดเรกทอรีนั้น หากเปิดใช้งานการเรียกดูไดเรกทอรี ผู้ใช้จะสามารถดูรายการโฟลเดอร์และไฟล์ภายในและเข้าถึงได้ขึ้นอยู่กับสิทธิ์ของพวกเขา

จากมุมมองด้านความปลอดภัย การปิดการเรียกดูไดเรกทอรีก็สมเหตุสมผล โฮสต์เว็บ WordPress จำนวนมากทำเช่นนี้ตามค่าเริ่มต้น หากคุณไม่เป็นเช่นนั้น คุณสามารถปิดใช้งานการเรียกดูไดเรกทอรีได้โดยเพิ่มโค้ดต่อไปนี้ลงในไฟล์ .htaccess ของคุณ:

 Options -Indexes

นี่เป็นการเปลี่ยนแปลงง่ายๆ ดังนั้นจึงไม่ควรใช้เวลานานในการดำเนินการ หลังจากนั้น หากผู้ใช้พยายามเข้าชมไดเรกทอรี พวกเขาจะเห็นข้อความแสดงข้อผิดพลาดธรรมดาแทน

29. ซ่อนเวอร์ชัน WordPress ของคุณ

ตามค่าเริ่มต้น WordPress เวอร์ชันปัจจุบันที่คุณใช้อยู่จะแสดงอยู่ในซอร์สโค้ดของคุณ หากมีใครรู้ว่าคุณใช้ WordPress เวอร์ชันใด (และเป็นเวอร์ชันที่ล้าสมัย) พวกเขาสามารถค้นหาช่องโหว่เฉพาะสำหรับเวอร์ชันนั้นได้ ทำให้ง่ายต่อการละเมิดเว็บไซต์ของคุณ

หากต้องการซ่อนเวอร์ชัน WordPress ของคุณ คุณสามารถเพิ่มโค้ดนี้ลงในไฟล์ function.php ของคุณได้:

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. หลีกเลี่ยง CAPTCHA เพื่อป้องกันสแปม

CAPTCHA เป็นโซลูชันที่เหมาะสมสำหรับการปกป้องเว็บไซต์และแบบฟอร์มจากสแปม แต่ก็ไม่ใช่ว่าจะไม่มีปัญหาใดๆ

การใช้ CAPTCHA บนเว็บไซต์ของคุณจะเพิ่มความซับซ้อนอีกขั้นที่อาจสร้างความรำคาญและปฏิเสธผู้เยี่ยมชมที่ถูกต้องตามกฎหมาย และยังแก้ไขไม่ได้อีกด้วย โดยเฉพาะผู้ที่มีความบกพร่องทางร่างกาย

การพัฒนาล่าสุดในเวกเตอร์การโจมตีทำให้ CAPTCHA มีประสิทธิภาพน้อยลงเช่นกัน หากคุณใส่ใจในการป้องกันสแปม (ซึ่งอาจส่งผลให้เกิดการละเมิดความปลอดภัย) แต่ยังต้องการเพิ่มอัตราการแปลงสูงสุดผ่านประสบการณ์ผู้ใช้ที่ดีที่สุด ก็ถึงเวลาที่จะต้องพิจารณาทางเลือกอื่น

Akismet เป็นโซลูชันการป้องกันสแปมแบบครบวงจรสำหรับ WordPress ที่ทำงานโดยสมบูรณ์ในเบื้องหลัง ปลั๊กอิน WordPress ช่วยคุณบล็อกสแปมโดยใช้ฐานข้อมูลของผู้กระทำอันตรายที่รู้จัก และระบุและบล็อกคำและ URL เฉพาะจากความคิดเห็นบนไซต์ของคุณ มันดำเนินการทั้งหมดโดยอัตโนมัติ โดยที่ผู้เข้าชมไม่จำเป็นต้องใช้ CAPTCHA เพื่อตรวจสอบว่าเป็นมนุษย์หรือไม่

คำถามที่พบบ่อยเกี่ยวกับความปลอดภัยของ WordPress

หากคุณยังคงมีคำถามเกี่ยวกับวิธีการปกป้องเว็บไซต์ WordPress ของคุณ ในส่วนนี้จะตอบคำถามเหล่านั้น

การมีรายการตรวจสอบความปลอดภัยของ WordPress มีประโยชน์อย่างไร?

การเข้าถึงรายการตรวจสอบความปลอดภัยของ WordPress จะช่วยให้คุณระบุได้ว่าคุณได้ใช้มาตรการใดเพื่อปกป้องไซต์ของคุณ และยังมีสิ่งใดที่ต้องทำต่อไป รายการตรวจสอบเป็นแหล่งข้อมูลง่ายๆ ที่คุณสามารถดูได้ตลอดเวลาเพื่อดูว่าคุณสามารถใช้มาตรการรักษาความปลอดภัยใดใน WordPress ได้

วิธีที่เร็วที่สุดในการปรับปรุงความปลอดภัย WordPress ของฉันคืออะไร?

วิธีที่เร็วที่สุดในการปกป้องเว็บไซต์ WordPress ของคุณคือการใช้ปลั๊กอินความปลอดภัย WordPress คุณจะสามารถเข้าถึงฟีเจอร์ต่างๆ เช่น 2FA บันทึกกิจกรรม เครื่องมือสำรองข้อมูล และการสแกนมัลแวร์ ทั้งนี้ขึ้นอยู่กับปลั๊กอินที่คุณใช้ Jetpack Security มีฟีเจอร์เหล่านั้นทั้งหมด

ฉันจะสแกนไซต์ WordPress ของฉันเพื่อหามัลแวร์และช่องโหว่ได้อย่างไร

คุณสามารถใช้ปลั๊กอินเช่น Jetpack Security เพื่อสแกนไซต์ WordPress ของคุณเพื่อหามัลแวร์ เครื่องมือนี้ยังจะเน้นถึงช่องโหว่ที่อาจเกิดขึ้นในเว็บไซต์ของคุณด้วย จากนั้น คุณสามารถดำเนินการตามขั้นตอนที่จำเป็นเพื่อขจัดปัญหาเหล่านี้ได้

หากคุณไม่ต้องการปลั๊กอินความปลอดภัย WordPress ที่ครอบคลุม คุณยังสามารถสแกนมัลแวร์ผ่านปลั๊กอิน WordPress แบบสแตนด์อโลน เช่น Jetpack Protect ได้อีกด้วย

วิธีที่เชื่อถือได้มากที่สุดในการสำรองและกู้คืนไซต์ WordPress ของฉันคืออะไร?

ทางเลือกที่ดีที่สุดของคุณคือการใช้โซลูชันอัตโนมัติ ดังนั้นคุณไม่จำเป็นต้องสร้างการสำรองข้อมูลด้วยตนเอง ปลั๊กอินควรบันทึกสำเนาไว้ในโซลูชันการจัดเก็บข้อมูลนอกสถานที่เพื่อหลีกเลี่ยงปัญหาหากเซิร์ฟเวอร์ของคุณถูกบุกรุก

ปลั๊กอินการสำรองข้อมูล Jetpack VaultPress ให้การสำรองข้อมูลแบบเรียลไทม์ นอกจากนี้ยังสร้างสำเนาไซต์ WordPress ของคุณบนคลาวด์อย่างปลอดภัย คุณยังสามารถเข้าถึง VaultPress Backup พร้อมกับฟีเจอร์อื่น ๆ มากมายโดยเป็นส่วนหนึ่งของ Jetpack Security

Jetpack Security: ปลั๊กอินความปลอดภัยอันดับ 1 สำหรับ WordPress

Jetpack Security นำเสนอชุดคุณลักษณะด้านความปลอดภัยที่จะปกป้องเว็บไซต์ WordPress ของคุณ ด้วยปลั๊กอินนี้ คุณสามารถตัดหลายรายการออกจากรายการตรวจสอบความปลอดภัยของ WordPress ได้

ตัวอย่างเช่น คุณสามารถเข้าถึงโซลูชันการสำรองข้อมูล การสแกนมัลแวร์และการลบด้วยคลิกเดียว การป้องกันสแปม บันทึกกิจกรรม การตรวจสอบสิทธิ์แบบสองปัจจัยและอื่น ๆ อีกมากมาย สิ่งนี้ทำให้ Jetpack เป็นหนึ่งในเครื่องมือรักษาความปลอดภัยที่ครอบคลุมที่สุดที่คุณสามารถใช้กับ WordPress ได้

คุณพร้อมที่จะเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณแล้วหรือยัง? เริ่มต้นกับการรักษาความปลอดภัย Jetpack วันนี้!