รายการตรวจสอบความปลอดภัย WordPress ที่ดีที่สุด [คู่มือขั้นสูง]

หากคุณต้องการรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ คุณจะพบคำแนะนำมากมายทางออนไลน์ ซึ่งคำแนะนำบางส่วนนั้นดี และบางส่วนก็สร้างความเสียหายได้โดยตรง แม้ว่าจะมีความหมายดีก็ตาม

เมื่อพูดถึงความปลอดภัยของ WordPress คุณต้องสามารถเชื่อถือแหล่งที่มาของคุณและค้นหาข้อมูลที่ไม่เพียงแต่น่าเชื่อถือเท่านั้น แต่ยังเป็นไปได้และนำไปใช้ได้ ในปี 2020 เพียงปีเดียว การโจมตีของมัลแวร์เติบโตขึ้นกว่า 150% และดูเหมือนตัวเลขจะไม่ช้าลงในเร็วๆ นี้ ดังนั้นการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจึงต้องมีความสำคัญเป็นอันดับหนึ่ง

วิธีที่ดีที่สุดในการรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณคือการติดตั้งปลั๊กอินความปลอดภัยและปล่อยให้มันจัดการกับงานหนัก แต่ถึงแม้จะไม่มี คุณก็ยังสามารถรักษาความปลอดภัยให้กับเว็บไซต์ของคุณได้ในระดับสูงโดยทำตามรายการตรวจสอบความปลอดภัยของ WordPress ที่กล่าวถึงด้านล่าง

TL; DR: ปกป้องไซต์ WordPress ของคุณด้วย MalCare และหลีกเลี่ยงการบำรุงรักษาที่เกี่ยวข้องกับความปลอดภัยเป็นประจำ ความปลอดภัยของ WordPress เป็นช่องว่างที่คุณต้องแก้ไข อ้างถึงรายการตรวจสอบความปลอดภัยของ WordPress เพื่อให้แน่ใจว่าคุณจะไม่พลาดในสิ่งที่สำคัญ

วิธีที่ง่ายที่สุดในการรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ

ดังที่เราได้กล่าวไปแล้ว วิธีที่ดีที่สุดในการรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณคือการใช้ปลั๊กอินความปลอดภัย โดยเฉพาะ MalCare MalCare ไม่เพียงแต่ดูแลรายการตรวจสอบความปลอดภัยของ WordPress โดยอัตโนมัติ แต่ยังดำเนินการโดยที่คุณไม่ต้องกังวลกับการติดตามทุกรายละเอียดเล็กน้อย

MalCare มีคุณลักษณะหลายอย่างที่ทำงานร่วมกันเพื่อให้ไซต์ของคุณปลอดภัย แต่คุณสมบัติเด่นสามประการทำให้มั่นใจได้ว่าไซต์ของคุณปราศจากมัลแวร์ ทั้งการสแกน ไฟร์วอลล์ และการล้างข้อมูล ด้วย MalCare คุณสามารถกำหนดเวลาการสแกนอัตโนมัติบนไซต์ WordPress ของคุณและรับการแจ้งเตือนหากตรวจพบสิ่งน่าสงสัย MalCare ยังปกป้องเว็บไซต์ของคุณด้วยไฟร์วอลล์อัจฉริยะที่ป้องกันการโจมตีส่วนใหญ่ และที่สำคัญที่สุด หากไซต์ของคุณถูกแฮ็ก เนื่องจากไม่มีไซต์ใดที่สามารถป้องกันการเข้าใจผิด MalCare จะล้างไซต์ของคุณภายในไม่กี่นาทีด้วยการคลิกปุ่มเพียงครั้งเดียว

อีกเหตุผลหนึ่งที่คุณควรเลือกใช้ MalCare ก็คือด้วยมาตรการรักษาความปลอดภัยแบบแมนนวล มีโอกาสเกิดข้อผิดพลาดจากมนุษย์ได้เสมอ แต่ข้อผิดพลาดด้านความปลอดภัยอาจทำให้คุณมีรายได้มากกว่าเงินเพียงไม่กี่ดอลลาร์ หากการแฮ็กแย่ลง อาจนำไปสู่การขโมยข้อมูล การทำให้เว็บไซต์เสียหาย สูญเสียลูกค้า และที่สำคัญที่สุดคือการสูญเสียความไว้วางใจที่ธุรกิจของคุณได้รับ

รายการตรวจสอบความปลอดภัยขั้นสูงของ WordPress

มีองค์ประกอบมากมายในไซต์ WordPress ที่การติดตามทุกสิ่งสามารถครอบงำได้ เราได้รวบรวมรายการตรวจสอบความปลอดภัยของ WordPress สำหรับคุณโดยพิจารณาจากความถี่ของเวลาที่คุณต้องดูแลงาน

เพื่อความปลอดภัยทุกวัน

การรักษาความปลอดภัยของเว็บไซต์เป็นกระบวนการที่ต่อเนื่องและไม่สามารถทำเพียงครั้งเดียวได้ แต่มีวิธีที่คุณสามารถทำให้งานประจำวันเป็นแบบอัตโนมัติได้ งานเหล่านี้ช่วยให้แน่ใจว่าไซต์ของคุณปลอดภัยจากปัญหาหรือภัยคุกคามที่ไม่คาดคิด

สแกนเว็บไซต์ของคุณ

การสแกนไซต์ของคุณเพื่อหามัลแวร์ทุกวันเป็นสิ่งสำคัญ เว็บไซต์จะถูกแฮ็กทุกๆ 38 วินาทีบนอินเทอร์เน็ต และมีโอกาสสูงที่คุณอาจเป็นหนึ่งในนั้น การสแกนไซต์ของคุณเป็นประจำช่วยให้แน่ใจว่าคุณเป็นคนแรกที่รู้ถึงภัยคุกคามหรือมัลแวร์ใดๆ บนไซต์ของคุณ และช่วยให้คุณดำเนินการก่อนที่ผู้โจมตีจะสร้างความเสียหายให้กับไซต์ของคุณ

หากการสแกนไซต์ของคุณด้วยตนเองทุกวันดูน่าเบื่อสำหรับคุณ คุณสามารถเลือกโซลูชันความปลอดภัย เช่น MalCare ซึ่งช่วยให้คุณกำหนดเวลาการสแกนอัตโนมัติทุกวัน เพื่อให้คุณไม่ต้องกังวลว่าจะสแกนหายหรือต้องเรียกใช้งานด้วยตนเอง .

สำรองข้อมูลเว็บไซต์ของคุณ

มีเหตุผลหลายประการที่คุณควรสำรองข้อมูลเว็บไซต์ WordPress ของคุณ แต่เหตุผลที่สำคัญที่สุดคือความปลอดภัย หากตรวจไม่พบในเวลาที่กำหนด มัลแวร์อาจสร้างความเสียหายให้กับไซต์ WordPress ของคุณ และทำให้ข้อมูลสูญหายหรือทำให้เว็บไซต์เสียหายได้ บ่อยครั้ง โฮสต์เว็บจะลบไซต์ออกจากเซิร์ฟเวอร์ของพวกเขาหากไซต์นั้นติดไวรัส และหากคุณไม่มีการสำรองข้อมูลที่เป็นอิสระสำหรับไซต์ของคุณ คุณจะต้องเริ่มต้นใหม่ทั้งหมด

การสำรองข้อมูลเว็บไซต์ที่มีมูลค่าสูงทุกวันเป็นสิ่งสำคัญ เพื่อไม่ให้ข้อมูลสำคัญสูญหาย โดยเฉพาะอย่างยิ่งสำหรับไซต์ WooCommerce ที่ต้องการการสำรองข้อมูลแบบเรียลไทม์ โซลูชันที่มีประโยชน์ เช่น BlogVault สามารถทำให้กระบวนการนี้ง่ายมาก BlogVault ช่วยให้คุณสามารถกำหนดเวลาการสำรองข้อมูลรายวันหรือตามเวลาจริง ขึ้นอยู่กับความต้องการของคุณ และจัดเก็บข้อมูลสำรองเหล่านี้บนเซิร์ฟเวอร์ภายนอก ดังนั้นแม้ว่าเซิร์ฟเวอร์เว็บไซต์ของคุณจะถูกแฮ็ก ข้อมูลสำรองยังคงปลอดภัย

เพื่อความปลอดภัยรายเดือน

ตรวจสอบบันทึกกิจกรรม

การแฮ็กและการติดตั้งมัลแวร์ แอดแวร์ หรือโปรแกรมที่เป็นอันตรายประเภทอื่นๆ มักจะเกิดขึ้นอย่างลับๆ บ่อยครั้ง การติดตามที่มองเห็นได้เพียงอย่างเดียวสามารถพบได้ในบันทึกกิจกรรมของไซต์ บันทึกกิจกรรมที่ดำเนินการตามลำดับเวลา และการเปลี่ยนแปลงที่ทำขึ้น ด้วยเหตุนี้ คุณควรตรวจสอบบันทึกกิจกรรมของไซต์ของคุณทุกเดือนเพื่อค้นหาสิ่งไม่สอดคล้องกันหรือกิจกรรมที่น่าสงสัย สามารถช่วยคุณติดตามรายละเอียดที่สำคัญจำนวนหนึ่งในกรณีที่ไซต์ของคุณถูกแฮ็ก เช่น ที่อยู่ IP ที่เกี่ยวข้องและเกิดขึ้นได้อย่างไร

หากไซต์ของคุณเป็นไซต์ที่มีการผลิตสูง เช่น คุณเผยแพร่เนื้อหาเป็นรายวันหรือรายสัปดาห์ การตรวจสอบบันทึกกิจกรรมเดือนละครั้งอาจเป็นเรื่องที่ยุ่งยาก เนื่องจากมีการเปลี่ยนแปลงมากมายในไซต์ ในกรณีนี้ คุณสามารถตรวจสอบบันทึกกิจกรรมได้สัปดาห์ละครั้งหรือสัปดาห์ละครั้ง

WordPress ไม่มีบันทึกกิจกรรมโดยค่าเริ่มต้น ดังนั้นคุณจะต้องพึ่งพาปลั๊กอิน หรืออีกทางหนึ่ง MalCare ให้บันทึกกิจกรรมที่มีรายละเอียดและเข้าใจง่ายพร้อมกับการรักษาความปลอดภัย WordPress ที่สมบูรณ์

อัพเดทเว็บไซต์ของคุณ

ตามหลักการแล้ว คุณควรอัปเดตไซต์ WordPress ของคุณทันทีที่มีการอัปเดตใหม่ แต่การอัปเดตรายเดือนก็ใช้ได้เช่นกัน ด้วยการรักษาตารางการอัปเดตรายเดือน คุณสามารถมั่นใจได้ว่าไซต์ของคุณได้รับการปกป้องอย่างดี และมีการแก้ไขจุดอ่อนใหม่ๆ

การอัปเดตมักจะน่ากลัวเพราะเป็นที่ทราบกันดีว่าเป็นการทำลายไซต์ แต่ถ้าคุณใช้ปลั๊กอิน เช่น BlogVault คุณสามารถทดสอบการอัปเดตของคุณบนไซต์การแสดงละคร และรวมการเปลี่ยนแปลงเข้ากับไซต์จริงของคุณได้อย่างราบรื่น

ตรวจสอบ Search Console

การเพิ่มไซต์ WordPress ของคุณลงใน Search Console ของ Google มีประโยชน์หลายอย่างที่เกี่ยวข้องกับ SEO แต่ก็สามารถช่วยให้ไซต์ของคุณมีความปลอดภัยได้ Search Console ของ Google มีแท็บปัญหาด้านความปลอดภัยที่ตั้งค่าสถานะมัลแวร์ที่ตรวจพบในเว็บไซต์ของคุณ ดังนั้นการตรวจสอบเป็นครั้งคราวสามารถช่วยคุณตรวจจับมัลแวร์ได้

หากคุณสแกนไซต์ด้วย MalCare เป็นประจำ คุณจะตรวจพบมัลแวร์ในไซต์ของคุณแล้ว แต่ยังคงเป็นแนวปฏิบัติที่ดีที่จะดูว่า Google คิดว่ามีกิจกรรมที่น่าสงสัยในไซต์ของคุณอยู่หรือไม่

ลบธีมและปลั๊กอินที่ไม่ได้ใช้

การลบธีมและปลั๊กอินเก่าและไม่ได้ใช้มีจุดประสงค์สองประการ อย่างแรกคือการเร่งความเร็วไซต์ของคุณ เนื่องจากไฟล์จำนวนมากเกินไปอาจทำให้การบวมและเซิร์ฟเวอร์ทำงานช้าลง ประการที่สองคือเพื่อให้แน่ใจว่าเว็บไซต์ของคุณไม่สามารถโจมตีผ่านพวกเขาได้ ธีมและปลั๊กอินที่ไม่ได้ใช้มักจะถูกละเลยและไม่ได้รับการอัปเดต ทำให้เกิดช่องโหว่ที่สามารถใช้ประโยชน์ได้ง่าย ดังนั้น อย่าลืมตรวจสอบธีมและปลั๊กอินทั้งหมดที่คุณใช้ทุกเดือน และลบธีมและปลั๊กอินที่ตรงตามวัตถุประสงค์ออก

หมายเหตุ: ตรวจสอบปลั๊กอินปลอมในเว็บไซต์ของคุณด้วย มัลแวร์มักถูกซ่อนเป็นโฟลเดอร์ปลั๊กอิน แต่ปลั๊กอินปลอมมีเพียงหนึ่งหรือสองไฟล์เท่านั้น ไม่สามารถระบุตำแหน่งบนที่เก็บ WordPress และมีชื่อแปลก ๆ เช่น 'azz' หรือ 'tiff'

อัพเดทข้อมูลประจำตัวของคุณ

การใช้ข้อมูลประจำตัวเดียวกันนานเกินไปหรือใช้ซ้ำในหลายบัญชีถือเป็นความเสี่ยงที่สำคัญ เพื่อปกป้องไซต์ WordPress ของคุณ ให้อัปเดตรหัสผ่านของคุณอย่างน้อยเดือนละครั้ง เพื่อให้แน่ใจว่าแฮ็กเกอร์ที่อาจได้รับรหัสผ่านของคุณจะไม่สามารถใช้งานได้ และยังนำคุณออกจากระบบบัญชีของคุณในทุกอุปกรณ์ แม้ว่าจะไม่สะดวกเล็กน้อย แต่ก็ทำให้มั่นใจได้ว่าคุณสามารถควบคุมการเข้าถึงเว็บไซต์ของคุณได้

ตรวจสอบบทบาทและสิทธิ์ของผู้ใช้

บัญชีผู้ใช้ในไซต์ WordPress ของคุณมีความสำคัญพอๆ กับบัญชีผู้ดูแลระบบ หากแฮ็กเกอร์เข้าถึงบัญชีใด ๆ พวกเขาก็สามารถแพร่ระบาดในไซต์ของคุณ อัปเกรดสิทธิ์ตามบทบาท และแม้กระทั่งล็อกคุณไม่ให้ออกจากไซต์ของคุณเอง

ตรวจสอบให้แน่ใจว่าผู้ใช้ทุกคนในไซต์มีสิทธิ์ที่จำเป็นเท่านั้น และบัญชีผู้ใช้เก่าจะถูกลบออก ตรวจสอบว่ามีการยกระดับสิทธิ์ของผู้ใช้โดยไม่ได้รับอนุญาตจากคุณหรือไม่ อาจเป็นสัญญาณของมัลแวร์

บล็อก IP ที่เป็นอันตราย

การบล็อกหรือจำกัด IP ที่เป็นอันตรายอาจทำให้ชีวิตคุณง่ายขึ้นอย่างมาก หากคุณถูกแฮ็ก คุณสามารถติดตามที่อยู่ IP ที่เกิดขึ้นและบล็อกมันได้ สิ่งนี้จะหยุดทุกคนที่มีที่อยู่ IP นั้นไม่ให้เข้าถึงเว็บไซต์ของคุณ วิธีนี้ใช้เพื่อต่อสู้กับแฮกเกอร์ หยุดบอทหรือโทรลล์ และป้องกันผู้ใช้ที่ไม่ได้รับอนุญาต หากคุณใช้ไฟร์วอลล์ มันจะบล็อก IP ที่เป็นอันตรายสำหรับคุณโดยอัตโนมัติ

คุณยังสามารถบล็อกพื้นที่ทางภูมิศาสตร์ทั้งหมดได้ หากคุณประสบกับการโจมตีซ้ำๆ ที่มาจากภูมิภาคนั้น

ทดสอบการสำรองข้อมูลของคุณ

หากสิ่งเลวร้ายที่สุดควรเกิดขึ้นและไซต์ WordPress ของคุณล่ม คุณสามารถพึ่งพาข้อมูลสำรองของคุณเพื่อเริ่มต้นใช้งานได้อีกครั้ง แต่คุณต้องแน่ใจว่าข้อมูลสำรองของคุณปลอดภัยเช่นกัน ในกรณีที่ข้อมูลสำรองของคุณถูกแฮ็กไปแล้ว การกู้คืนจะไม่มีประโยชน์ ในทำนองเดียวกัน คุณต้องทดสอบด้วยว่าใช้งานได้หรือไม่ ไม่เช่นนั้นคุณจะต้องกู้คืนไซต์ที่เสียหาย คุณสามารถทดสอบข้อมูลสำรองของคุณได้อย่างง่ายดายหากคุณใช้ BlogVault และตรวจสอบให้แน่ใจว่าข้อมูลสำรองมีความน่าเชื่อถือ

อัพเดท WordPress salts

WordPress ใช้เกลือเป็นส่วนหนึ่งของกระบวนการเข้ารหัส เกลือคือสตริงอักขระแบบสุ่มที่เพิ่มลงในรหัสผ่านก่อนการเข้ารหัส สตริงผลลัพธ์คือแฮช และนั่นคือสิ่งที่เก็บไว้ในฐานข้อมูล ด้วยวิธีนี้ หากแฮ็กเกอร์สามารถดึงรหัสผ่านที่แฮชออกจากฐานข้อมูล และถอดรหัสได้ พวกเขาก็ยังไม่รู้ว่ารหัสผ่านส่วนใดคือรหัสผ่านจริง ๆ และเกลือคืออะไร วิธีเดียวที่พวกเขาจะทราบได้คือหากพวกเขาเข้าถึงเกลือและคีย์ความปลอดภัยในไฟล์กำหนดค่า

คล้ายกับวิธีการจัดเก็บรหัสผ่านในคุกกี้ของเบราว์เซอร์ เหตุผลที่คุณสามารถคงสถานะเข้าสู่ระบบในเว็บไซต์ใดก็ได้เนื่องจากข้อมูลเซสชันถูกเก็บไว้ในคุกกี้ แต่ถ้าเก็บรหัสผ่านแบบข้อความธรรมดาไว้ที่นั่น อาจเป็นอันตรายได้ ดังนั้น WordPress จึงเก็บเวอร์ชันที่เค็มและแฮชไว้แทน การเข้าถึงเกลือไม่ได้หมายความว่าคุณสามารถถอดรหัสแฮชได้ แต่จะลดระดับความปลอดภัยลง ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องอัปเดตเกลือของ WordPress เป็นระยะ

เพื่อความปลอดภัยในระยะยาว

ตรวจสอบ SSL

SSL เป็นโปรโตคอลความปลอดภัยที่ออกแบบมาเพื่อเข้ารหัสการสื่อสารใด ๆ ที่เข้าและออกจากเซิร์ฟเวอร์เว็บไซต์ของคุณ สิ่งนี้จะหยุดผู้โจมตีไม่ให้เข้าถึง อ่าน หรือเปลี่ยนแปลงข้อมูลใด ๆ ที่กำลังถ่ายโอน

โดยปกติ คุณจะรักษาความปลอดภัยให้กับไซต์ของคุณด้วย SSL เมื่อได้รับโดเมนหรือแผนโฮสติ้งของคุณ อย่างไรก็ตาม ใบรับรอง SSL จะหมดอายุทุกๆ สองปีโดยประมาณ และคุณต้องตรวจสอบให้แน่ใจว่ามีการต่ออายุอย่างเร็วที่สุด สิ่งนี้มีความสำคัญเป็นสองเท่าหากผู้ใช้ทำธุรกรรมบนเว็บไซต์ของคุณ เนื่องจากการละเมิดความปลอดภัยอาจทำให้รายละเอียดบัตรเครดิตหรือรายละเอียดบัญชีธนาคารรั่วไหล

ตรวจสอบแผนโฮสติ้ง

หากคุณลืมต่ออายุแผนบริการพื้นที่ตรงเวลา บัญชี WordPress ของคุณจะถูกระงับ ซึ่งอาจทำให้เกิดปัญหาหลายประการ การเข้าชมไซต์ของคุณจะได้รับผลกระทบ คุณจะสูญเสียลูกค้า และอาจทำให้ข้อมูลสูญหายได้ การตรวจสอบบริการโฮสต์ของคุณเป็นประจำยังช่วยให้คุณวิเคราะห์การเข้าชมไซต์และการใช้เซิร์ฟเวอร์ของคุณได้ การใช้เซิร์ฟเวอร์ที่สูงเกินไปเป็นอาการทั่วไปของการโจมตีแบบเดรัจฉาน และการจับการโจมตีดังกล่าวก่อนหน้านี้มีโอกาสที่จะหยุดการโจมตีได้ดีขึ้น เมื่อคุณได้รับการแจ้งเตือนถึงการโจมตีแบบเดรัจฉานตั้งแต่เนิ่นๆ คุณสามารถดำเนินการและรักษาความปลอดภัยไซต์ของคุณก่อนที่แฮกเกอร์จะเข้าถึงไซต์ของคุณได้

มาตรการครั้งเดียวเพื่อความปลอดภัยที่สมบูรณ์

แม้ว่าความปลอดภัยของ WordPress จะต้องได้รับการตรวจสอบอย่างต่อเนื่อง แต่ก็มีมาตรการบางอย่างที่คุณสามารถทำได้เพียงครั้งเดียวและไม่ต้องอัปเดตอย่างต่อเนื่อง

ลงทุนในไฟร์วอลล์ที่แข็งแกร่ง

ไฟร์วอลล์ปกป้องไซต์ WordPress ของคุณโดยการกรองทราฟฟิกที่เป็นอันตราย และหยุดการโจมตีส่วนใหญ่ก่อนที่จะแพร่ระบาดในเว็บไซต์ของคุณ ไฟร์วอลล์มีหลายประเภท เช่น ไฟร์วอลล์เว็บแอปพลิเคชัน ไฟร์วอลล์เครือข่าย หรือไฟร์วอลล์บนคลาวด์ ไฟร์วอลล์ของเว็บแอปพลิเคชันที่แข็งแกร่ง เช่น MalCare ช่วยให้คุณกรองการเข้าชมเว็บไซต์ของคุณ และบล็อกผู้เยี่ยมชมตามจำนวนครั้งที่พยายามเข้าสู่ระบบหรือตำแหน่งทางภูมิศาสตร์

ใช้การตรวจสอบสิทธิ์ HTTP

การตรวจสอบสิทธิ์ HTTP เป็นโปรโตคอลที่อนุญาตให้เข้าถึงทรัพยากรบนเว็บได้เฉพาะกับผู้ที่ตั้งใจจะเข้าถึงเท่านั้น การตรวจสอบสิทธิ์ HTTP จำกัดการเข้าถึงโดยขอชื่อผู้ใช้และรหัสผ่านเมื่อมีการร้องขอหน้าเว็บบางหน้า เห็นได้ชัดว่าคุณไม่สามารถทำเช่นนี้กับทั้งเว็บไซต์ของคุณได้ แต่การใช้งานสำหรับแดชบอร์ดผู้ดูแลระบบหรือหน้าเข้าสู่ระบบสามารถลดจำนวนการโจมตีของบอทได้อย่างมาก

ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

การรับรองความถูกต้องด้วยสองปัจจัยคือวิธีการที่ผู้ใช้ต้องแสดงคีย์แยกกันสองปุ่มเพื่อเข้าถึงบัญชี ตัวอย่างเช่น หากคุณกำลังพยายามเข้าถึงอีเมลของคุณ โดยปกติคุณจะต้องระบุชื่อผู้ใช้และรหัสผ่าน แต่เมื่อคุณใช้การตรวจสอบสิทธิ์แบบสองปัจจัย คุณจะต้องระบุรหัสที่สร้างขึ้นแบบเรียลไทม์ด้วย เช่น - รหัสผ่านเวลาหรือ PIN ซึ่งจะช่วยลดจำนวนครั้งในการพยายามเข้าสู่ระบบและไม่ทำให้เซิร์ฟเวอร์เว็บไซต์ของคุณมีคำขอเข้าสู่ระบบมากเกินไป นอกจากนี้ยังปกป้องเว็บไซต์ของคุณจากการโจมตีด้วยกำลังเดรัจฉาน คุณสามารถใช้ปลั๊กอินเช่น 2FA เพื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับไซต์ของคุณ

จำกัดความพยายามในการเข้าสู่ระบบ

เราได้พูดคุยกันแล้วว่าต้องจำกัดการพยายามเข้าสู่ระบบอย่างไร ตามค่าเริ่มต้น WordPress อนุญาตให้พยายามเข้าสู่ระบบได้ไม่จำกัด และนี่เป็นโอกาสอันดีสำหรับแฮกเกอร์ที่จะลองเข้าถึงบัญชี WordPress ของคุณด้วยการโจมตีแบบเดรัจฉาน วิธีที่ง่ายที่สุดในการจำกัดความพยายามในการเข้าสู่ระบบคือการใช้ปลั๊กอินความปลอดภัย เช่น MalCare หรือคุณสามารถเพิ่มโค้ดที่กำหนดเองลงในไฟล์ function.php ของคุณได้

ปิดใช้งาน XML-RPC

คล้ายกับ WP REST API XML-RPC เป็นฟีเจอร์ของ WordPress ที่ให้คุณเผยแพร่เนื้อหาจากระยะไกล มีประโยชน์หากคุณใช้แอพ WordPress หรือจำเป็นต้องเปิดใช้งาน trackbacks และ pingbacks แต่ไม่เช่นนั้นแฮกเกอร์สามารถใช้ประโยชน์จากมันเพื่อเข้าถึงไซต์ของคุณผ่านการโจมตีแบบเดรัจฉาน ทางออกที่ง่ายที่สุดที่นี่คือปิดการใช้งานด้วยปลั๊กอินหรือด้วยตนเอง

ปิดใช้งานการเรียกดูไดเรกทอรี

เมื่อเซิร์ฟเวอร์ของคุณไม่พบไฟล์ดัชนีสำหรับเว็บไซต์ มันจะแสดงดัชนีของเนื้อหาของไดเรกทอรี หากแฮ็กเกอร์สามารถเข้าถึงข้อมูลนี้ได้ พวกเขาสามารถตรวจสอบว่าคุณมีไฟล์ใดบ้างที่มีความเสี่ยงบนเว็บไซต์ของคุณ ซึ่งจะทำให้เว็บไซต์ของคุณมีความเสี่ยงด้านความปลอดภัยที่สำคัญ

เพื่อหลีกเลี่ยงปัญหานี้ คุณสามารถปิดใช้งานการเรียกดูไดเร็กทอรีโดยเพิ่มโค้ดหนึ่งบรรทัดลงในไฟล์ .htaccess ของคุณ ทำตามขั้นตอนเหล่านี้เพื่อปิดการเรียกดูไดเรกทอรีบนไซต์ WordPress ของคุณ

• ดาวน์โหลดไฟล์ .htaccess บนไซต์ของคุณผ่านไคลเอนต์ FTP
• เปิดไฟล์และเพิ่มรหัสต่อไปนี้ที่ด้านล่างของไฟล์:

ตัวเลือก ทั้งหมด -ดัชนี

• ตอนนี้บันทึกไฟล์แล้วอัปโหลดใหม่ คุณจะต้องลบไฟล์ต้นฉบับออกจากเว็บไซต์ของคุณก่อน

จำกัดสิทธิ์ของไฟล์

สิทธิ์ของไฟล์บนไซต์ของคุณจะกำหนดว่าใครสามารถเข้าถึงส่วนใดของไซต์ของคุณและใครบ้างที่สามารถปรับเปลี่ยนได้ โดยปกติ โฮสต์เว็บของคุณจะกำหนดค่าข้อมูลทั้งหมดนี้ให้คุณ แต่ยังคงเป็นแนวปฏิบัติที่ดีที่จะเข้าใจสิทธิ์ของไฟล์และตรวจดูให้แน่ใจว่าได้รับการกำหนดค่าอย่างเหมาะสมที่สุด

หากคุณต้องการทำความเข้าใจว่าการอนุญาตไฟล์ทำงานอย่างไร และคุณสามารถเพิ่มประสิทธิภาพการอนุญาตสำหรับไซต์ของคุณได้อย่างไร โปรดอ่านคำแนะนำของเราซึ่งมีรายละเอียดและเหมาะสำหรับผู้เริ่มต้น

ซ่อนไฟล์ wp-config

ไฟล์ wp-config ในเว็บไซต์ของคุณเต็มไปด้วยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน คีย์ และเกลือ หากแฮกเกอร์เข้าถึงไฟล์ได้ ก็จะเหมือนกับการปูพรมแดงไปที่เว็บไซต์สำหรับพวกเขา ไฟล์ wp-config จะอยู่ในโฟลเดอร์ public_html โดยค่าเริ่มต้น ดังนั้นแฮกเกอร์จึงรู้ว่าต้องค้นหาที่ไหน แต่คุณสามารถเปลี่ยนตำแหน่งของไฟล์ได้ และไฟล์ก็ยังทำงานได้เช่นกัน ในขณะที่ซ่อนข้อมูลที่ละเอียดอ่อนได้อย่างมีประสิทธิภาพ

ปิดการใช้งาน PHP Execution ในโฟลเดอร์เฉพาะ

แฮกเกอร์สามารถอัปโหลดไฟล์ PHP บนไซต์ของคุณโดยปลอมเป็นไฟล์ WordPress หลักและเข้าถึงไซต์ของคุณได้ บางโฟลเดอร์เช่น wp-uploads ไม่ควรมีไฟล์ PHP เลย แล้วคุณจะทำอย่างไรในกรณีนี้?

คุณสามารถปิดการทำงานของ PHP ในโฟลเดอร์เหล่านี้ได้ ดังนั้นแม้ว่าแฮกเกอร์จะสามารถเข้าถึงไฟล์เหล่านี้ผ่านแบ็คดอร์ใด ๆ ก็ตาม พวกเขาก็ไม่สามารถเข้าถึงเว็บไซต์ของคุณได้

เหตุใดการรักษาความปลอดภัยของเว็บไซต์จึงสำคัญ

WordPress เป็นแพลตฟอร์มที่ปลอดภัย แต่ได้รับความนิยมอย่างมากและดึงดูดความสนใจทุกประเภท บางอย่างก็ชั่วช้า เพื่อให้แน่ใจว่าแฮ็กเกอร์ไม่สามารถเข้าถึงไซต์ของคุณได้ คุณต้องตรวจสอบให้แน่ใจว่าการรักษาความปลอดภัยของเว็บไซต์ของคุณเป็นปัจจุบัน มิฉะนั้น คุณอาจประสบผลร้ายแรงเช่น:

• การสูญเสียลูกค้า
• ข้อมูลสูญหาย
• ข้อมูลส่วนตัวรั่วไหล
• การสูญเสียรายได้
• ประเด็นทางกฎหมาย
• ตีชื่อเสียงแบรนด์
• เสียความไว้ใจ

ความคิดสุดท้าย

ความปลอดภัยของ WordPress ไม่ใช่เรื่องลึกลับ หากคุณทำตามขั้นตอนไม่กี่ขั้นตอนเพื่อรักษาความปลอดภัยให้กับไซต์ของคุณ คุณจะสามารถป้องกันการโจมตีและมัลแวร์ และหลีกเลี่ยงความเสียหายใดๆ เราหวังว่ารายการตรวจสอบความปลอดภัยของ WordPress จะช่วยให้คุณกระชับมาตรการรักษาความปลอดภัย

หากคุณต้องการโซลูชันที่ไม่ยุ่งยากซึ่งไม่กระทบต่อความปลอดภัยของคุณ MalCare เป็นตัวเลือกเดียว ด้วยการสแกนอัตโนมัติ ไฟร์วอลล์ขั้นสูง และการล้างข้อมูลในคลิกเดียว MalCare เป็นโซลูชันแบบ 360 องศาที่ปกป้องไซต์ของคุณ

คำถามที่พบบ่อย

ฉันจะรักษาความปลอดภัยไซต์ WordPress ของฉันได้อย่างไร

วิธีที่ง่ายที่สุดในการรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณคือการติดตั้งปลั๊กอินความปลอดภัย เช่น MalCare MalCare สแกนเว็บไซต์ของคุณทุกวันเพื่อให้แน่ใจว่าเว็บไซต์ของคุณปลอดภัย และปกป้องเว็บไซต์ของคุณด้วยไฟร์วอลล์ขั้นสูง นอกจากนี้ยังมีการล้างข้อมูลด้วยคลิกเดียวในกรณีที่มีการแฮ็ก

WordPress มีปัญหาด้านความปลอดภัยหรือไม่?

WordPress เป็นแพลตฟอร์มที่ปลอดภัยซึ่งใช้โดยเว็บไซต์มากกว่าครึ่งบนอินเทอร์เน็ต อย่างไรก็ตาม เนื่องจากความนิยมนี้จึงดึงดูดความสนใจของแฮกเกอร์ คุณสามารถรักษาความปลอดภัยไซต์ WordPress ด้วยปลั๊กอินความปลอดภัยเพื่อให้แน่ใจว่าไซต์ของคุณปลอดภัยจากองค์ประกอบเหล่านี้

ฉันจะรักษาความปลอดภัยไซต์ WordPress โดยไม่มีปลั๊กอินได้อย่างไร

หากคุณต้องการรักษาความปลอดภัยให้กับไซต์ของคุณโดยไม่ต้องใช้ปลั๊กอิน คุณต้องทำการตรวจสอบความปลอดภัยหลายครั้งเป็นประจำ คุณจะต้องทำการสแกนไซต์ สำรองข้อมูล ค้นหาพฤติกรรมที่น่าสงสัยในบันทึกกิจกรรมของไซต์ และล้างมัลแวร์ที่คุณอาจตรวจพบด้วยตนเอง รายการวิธีที่แฮ็กเกอร์สามารถเข้าไปในไซต์ของคุณได้นั้นไม่มีที่สิ้นสุด และวิธีเดียวที่คุณสามารถรักษาความปลอดภัยให้กับไซต์ของคุณโดยไม่ต้องตื่นตัวตลอดเวลาคือการใช้ปลั๊กอินความปลอดภัย