วิธีรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ - 9 เคล็ดลับ | JustLearnWP.com

เผยแพร่แล้ว: 2020-01-13

WordPress ไม่ใช่ CMS ที่ได้รับความนิยมมากที่สุดในโลกและมีส่วนแบ่งตลาดประมาณครึ่งหนึ่งทั่วโลก ไม่น่าแปลกใจเลยที่มันใช้งานได้นาน บวกกับมันมีคุณสมบัติที่ยอดเยี่ยมมากมายที่นักพัฒนาชื่นชอบ

ที่กล่าวว่าความนิยมยังหมายความว่าเป็นเป้าหมายจากผู้โจมตีทางไซเบอร์ที่โจมตีไซต์ WordPress ที่ไม่ได้รับการปกป้องอย่างดี ดังนั้น อย่าตกเป็นเหยื่อรายต่อไปของการโจมตีแบบกำหนดเป้าหมายของ WordPress! ดังนั้นจะทำอย่างไรให้ปลอดภัยจากแฮกเกอร์ ไม่ต้องกังวล! เราได้รวบรวมขั้นตอนสำคัญที่คุณควรปฏิบัติตามเพื่อเพิ่มความปลอดภัยให้กับ WordPress ของคุณ

ใช้ SSL

SSL ย่อมาจาก Secure Socket Layer และเป็นโปรโตคอลที่ใช้การรักษาความปลอดภัยไคลเอนต์ - เซิร์ฟเวอร์บนเว็บไซต์และรักษาความปลอดภัยข้อมูลระหว่างเซิร์ฟเวอร์และเบราว์เซอร์ คุณสามารถเปิดใช้งานการรักษาความปลอดภัย SSL ได้โดยการติดตั้งสิ่งที่เรียกว่าใบรับรอง SSL ด้วยวิธีนี้ คุณจะสามารถปกป้องคุณและผู้ใช้ของคุณ โดยเฉพาะอย่างยิ่งหากไซต์ของคุณจัดการกับข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลบัตรเครดิตและสิ่งที่ชอบ

Let's Encrypt เสนอใบรับรอง SSL ฟรี

มีใบรับรอง SSL หลายประเภทที่คุณสามารถซื้อได้ขึ้นอยู่กับเว็บไซต์ WordPress ของคุณ ตัวอย่างเช่น คุณสามารถซื้อ SSL แบบหลายโดเมนที่รักษาความปลอดภัยให้กับโดเมนหลักของเว็บไซต์ของคุณพร้อมกับโดเมนและโดเมนย่อยอื่นๆ ที่อยู่ภายใต้ สิ่งสำคัญที่สุดคือคุณต้องซื้อ SSL ที่เหมาะสมสำหรับเว็บไซต์ WordPress ของคุณ

โฟกัสธีมและความปลอดภัยของปลั๊กอิน

วิธีที่ง่ายที่สุดวิธีหนึ่งที่ผู้โจมตีสามารถแทรกซึมไซต์ WordPress ของคุณได้คือการใช้ธีมและปลั๊กอิน มีคุณสมบัติที่เราชื่นชอบในสถาปัตยกรรม WordPress และน่าเสียดายที่ธีมเจ๋งๆ และปลั๊กอิน WordPress บางตัวไม่ฟรี

นักพัฒนาโกงบางคนมักจะละเมิดลิขสิทธิ์ธีมและปลั๊กอินเหล่านั้นทำให้สามารถเข้าถึงชุมชนได้ฟรี เสียงเหมือนการจัดการที่ดี? มันอาจจะไม่ใช่

เวอร์ชันละเมิดลิขสิทธิ์ส่วนใหญ่อาจมีความเสี่ยงต่อเว็บไซต์ WordPress ของคุณ ไม่ใช่เรื่องง่ายที่นักพัฒนาที่โกงจะวิศวกรรมย้อนกลับผลิตภัณฑ์เหล่านี้ และคุณไม่สามารถวางใจได้อย่างแน่นอนว่าพวกเขาต้องการมอบมันให้คุณฟรีโดยไม่ต้องซ่อนโค้ดอันตรายไว้ในนั้น

โดยทั่วไป คุณควรระมัดระวังเกี่ยวกับปลั๊กอินและธีมต่างๆ ไม่ว่าจะเป็นแบบฟรีหรือเสียเงิน ต่อไปนี้คือเคล็ดลับด้านความปลอดภัยบางประการที่ควรคำนึงถึงเมื่อต้องรับมือกับปลั๊กอินและธีมของ WordPress:

  1. ติดตั้งเฉพาะธีมและปลั๊กอินจากแหล่งที่เชื่อถือได้ (ยิ่งมีบทวิจารณ์มากเท่าไหร่ก็ยิ่งดี)
  2. อัปเดตธีมและปลั๊กอินของคุณทุกครั้งที่มีการเปิดตัวเวอร์ชันใหม่
  3. ปิดใช้งานและถอนการติดตั้งปลั๊กอินและธีมที่ล้าสมัย

รักษาความปลอดภัยรหัสผ่าน WordPress ของคุณ

ความปลอดภัยของรหัสผ่านเป็นอีกแง่มุมหนึ่งของความปลอดภัยของ WordPress ที่มักถูกละเลย มักเป็นขั้นตอนง่ายๆ เช่น เปลี่ยนรหัสผ่านบ่อยๆ ใช้รหัสผ่านที่ยาวและคาดเดายาก เป็นต้น

อันที่จริง ประเภทของการโจมตีทั่วไปที่ใช้กับเว็บไซต์ WordPress คือสิ่งที่เรียกว่าการโจมตีแบบเดรัจฉาน นี่คือจุดที่ผู้โจมตีพยายามเดารหัสผ่านสำหรับเข้าสู่ระบบของคุณและจะง่ายขึ้นอย่างแน่นอนหากรหัสผ่านของคุณถอดรหัสได้ง่าย

  1. ตั้งรหัสผ่านที่ใกล้หมดอายุสำหรับแอปพลิเคชันที่มีความละเอียดอ่อน เช่น การธนาคาร
  2. ตั้งค่าเซสชันสำหรับผู้ใช้ไซต์ WordPress ของคุณ
  3. เพิ่มเลเยอร์การตรวจสอบสิทธิ์

การเพิ่มชั้นของการรับรองความถูกต้องเป็นอีกวิธีหนึ่งในการลดโอกาสที่แฮ็กเกอร์จะเข้าถึงไซต์ของคุณผ่านการโจมตี เช่น กำลังดุร้าย กล่าวอีกนัยหนึ่ง คุณไม่ต้องการให้ผู้อื่นเข้าถึงไซต์ของคุณโดยเพียงแค่ถอดรหัสรหัสผ่านของคุณ แค่นั้นเอง!

คุณสามารถเพิ่มความท้าทายอีกชั้นหนึ่งเพื่อทำให้ยากยิ่งขึ้นไปอีก ตัวอย่างที่ดีคือสิ่งที่เรียกว่าการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ซึ่งคุณสามารถเพิ่มบางอย่าง เช่น การยืนยันทาง SMS ที่ด้านบนของชุดชื่อผู้ใช้/อีเมล-รหัสผ่านปกติ

เปลี่ยนหน้าเข้าสู่ระบบ WordPress ของคุณ

อีกวิธีหนึ่งในการลดการโจมตีแบบเดรัจฉานและการโจมตี เช่น Denial of Service (DOS) คือการเปลี่ยนหน้าเข้าสู่ระบบ WordPress จากหน้าเริ่มต้น ซึ่งจะทำให้แฮกเกอร์พยายามโจมตีไซต์ของคุณได้ยากขึ้น

HideMyWP เป็นปลั๊กอินความปลอดภัยที่ทรงพลังและเป็นที่นิยมซึ่งมีคุณสมบัติมากมายในการรักษาความปลอดภัยไซต์ WordPress ของคุณ

การเปลี่ยนหน้าเข้าสู่ระบบ WordPress ของคุณนั้นค่อนข้างง่าย เพียงค้นหาปลั๊กอินที่ปรับแต่ง URL ล็อกอิน ติดตั้งบน WordPress ของคุณ เท่านี้ก็เรียบร้อย

กรองการเข้าชมไซต์ WordPress ของคุณ

คุณยังสามารถปกป้องเว็บไซต์ WordPress ของคุณได้ด้วยการกรองทราฟฟิกโดยเฉพาะเว็บไซต์ที่ดูน่าสงสัย ตัวอย่างเช่น คุณสามารถปิดกั้นการเข้าชมจากสถานที่ที่คุณไม่คาดหวังให้ผู้เยี่ยมชมเข้ามา

คุณสามารถจำกัด IP ที่สามารถเข้าถึง WordPresslogin และหน้าแดชบอร์ดของคุณได้ มีเครื่องมือมากมายที่สามารถช่วยสร้างกฎและข้อจำกัดดังกล่าวได้ เช่น การใช้ปลั๊กอินไฟร์วอลล์ การใช้ CAPTCHA ท้าทาย เป็นต้น

รักษาความปลอดภัยไฟล์ WordPress และฐานข้อมูลของคุณ

โฮสต์บุคคลที่สามจะช่วยรักษาความปลอดภัยให้กับไซต์ของคุณในระดับการโฮสต์ แต่คุณยังคงมีงานทำในไซต์ของคุณเพื่อรักษาความปลอดภัยให้กับไฟล์ WordPress ของคุณ ตัวอย่างเช่น คุณควรตรวจสอบให้แน่ใจว่าการอนุญาตไฟล์นั้นถูกต้องเพื่อหลีกเลี่ยงการละเมิดความปลอดภัย ต่อไปนี้คือวิธีอื่นๆ ในการรักษาความปลอดภัยไฟล์ WordPress และ DB ของคุณ:

  1. เปลี่ยนคำนำหน้าฐานข้อมูลจากค่าเริ่มต้น
  2. ปิดใช้งานการเรียกใช้ไฟล์ PHP เพื่อป้องกันไม่ให้โค้ดที่เป็นอันตรายทำงานบนแบ็กเอนด์
  3. ปิดใช้งานการเรียกดูไดเรกทอรี
  4. ซ่อนไฟล์ wp-config.php และ .htaccess

กำหนดสิทธิ์ผู้ใช้ที่เหมาะสม

ผู้ใช้ทุกคนในทีมของคุณควรได้รับสิทธิ์ตามบทบาทของพวกเขา วิธีนี้คุณจะป้องกันเฉพาะช่องโหว่ที่กำหนดเป้าหมายผู้ใช้ WordPress ของคุณ สิทธิพิเศษ WordPress ระดับสูงควรกำหนดให้กับผู้ใช้ที่สามารถดำเนินการและปกป้องความรับผิดชอบนั้นเท่านั้น

สำรองข้อมูลไซต์ WordPress ของคุณ

สุดท้าย สำรองข้อมูลไซต์ของคุณเป็นประจำเพื่อให้แน่ใจว่าคุณมีจุดกู้คืนในกรณีที่เกิดสถานการณ์ที่ไม่พึงประสงค์ มีปลั๊กอินสำรองของบุคคลที่สาม โฮสต์เว็บ บริการบำรุงรักษาเว็บไซต์ และวิธีดำเนินการด้วยตนเองที่จะช่วยให้คุณสำรองข้อมูลบนพื้นฐานปกติ

JetPack เป็นหนึ่งในปลั๊กอินที่ดีที่สุดในการสำรองข้อมูลและรักษาความปลอดภัยเว็บไซต์ของคุณ หากมีคุณสมบัติมากมายและการสำรองข้อมูลเป็นหนึ่งในนั้น ติดตั้ง Jetpack และใช้คุณสมบัติการสำรองข้อมูล

ภัยพิบัติสามารถโจมตีเว็บไซต์ของคุณได้ตลอดเวลา เช่น การหยุดทำงานสามารถแปลเป็นความสูญเสียของธุรกิจ ซึ่งเป็นสาเหตุที่คุณควรสำรองข้อมูลบ่อยๆ คุณควรกำหนดเวลาการสำรองข้อมูลอัตโนมัติเพื่อให้ง่ายขึ้นสำหรับคุณ

ความคิดสุดท้าย

เราได้กล่าวถึงขั้นตอนความปลอดภัยหลักบางประการที่คุณควรดำเนินการเพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ ดังนั้นจึงเป็นการปกป้องธุรกิจของคุณ มีไม่ทั้งหมด แต่จะช่วยให้คุณตั้งค่าความปลอดภัยของ WordPress