12 WordPress Security Tips 2021 – หยุดแฮกเกอร์แฮ็คเว็บไซต์ของคุณ

เผยแพร่แล้ว: 2022-08-27

40% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ตใช้ WordPress ในปัจจุบัน และถ้าจำไม่ผิด คุณก็เป็นหนึ่งในนั้นเช่นกัน!

WordPress ได้รับความนิยมอย่างมากในช่วงไม่กี่ปีที่ผ่านมา อย่างไรก็ตาม ความนิยมอย่างมากยังเชิญชวนให้แฮ็กเกอร์ที่มีทักษะ!

ทุกๆ วัน Google ขึ้นบัญชีดำเว็บไซต์กว่า 10,000 แห่ง เนื่องจากมีรหัสซอฟต์แวร์ที่เป็นอันตราย ทำให้การรักษาความปลอดภัยของเว็บไซต์เป็นเรื่องสำคัญ

ในบทความของวันนี้ ฉันจะพูดถึง 12 มาตรการรักษาความปลอดภัย WordPress ที่มีประสิทธิภาพและเคล็ดลับความปลอดภัย ที่จะช่วยคุณปกป้องเว็บไซต์ของคุณจากช่องโหว่ออนไลน์และการโจมตีของแฮ็กเกอร์!

ดังนั้นโดยไม่ต้องกังวลใจอีกต่อไป มาดำดิ่งลงไปกันเถอะ!

ไซต์ของคุณถูกแฮ็ก
สารบัญ
[ซ่อน]
  • เคล็ดลับความปลอดภัยของ WordPress & การใช้ปลั๊กอินความปลอดภัย WordPress
    • 1) ใช้บริการโฮสติ้งที่ดี
    • 2) ใช้ปลั๊กอินความปลอดภัยที่ดี
    • 3) ตั้งค่าหน้าเข้าสู่ระบบอื่น
    • 4) ใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุม
    • 5) กำหนดขีดจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ
    • 6) ใช้การรับรองความถูกต้องด้วยสองปัจจัย
    • 6) ใช้ Cloudflare เพื่อป้องกันการโจมตี DDoS
    • 7) หลีกเลี่ยงการใช้ปลั๊กอินและธีมที่เป็นโมฆะ
    • 8) อัพเดท WordPress, Plugins และ Themes เป็นประจำ
    • 9) ลบปลั๊กอินและธีมที่ไม่ใช้งาน
    • 10) ปิดการลงทะเบียนผู้ใช้
    • 11) ทำการสำรองข้อมูลเป็นประจำ
    • 12) เปลี่ยนคำนำหน้าตาราง WordPress เพื่อหลีกเลี่ยงการฉีด SQL
  • วิธีใช้ปลั๊กอินความปลอดภัย WordPress
  • บทสรุป

เคล็ดลับความปลอดภัยของ WordPress & การใช้ปลั๊กอินความปลอดภัย WordPress

1) ใช้บริการโฮสติ้งที่ดี

บริการโฮสติ้งที่ดีเป็นส่วนประกอบสำคัญในการสร้างเว็บไซต์ที่ประสบความสำเร็จ คุณรู้หรือไม่ว่าจำนวนครั้งสูงสุดของการพยายามแฮ็คบนเซิร์ฟเวอร์โฮสต์

โฮสติ้งไม่ดี - อาชญากรรมทางอินเทอร์เน็ต

บริษัทโฮสติ้งที่มีบริการรักษาความปลอดภัยแย่ได้กลายเป็นแหล่งเพาะพันธุ์อาชญากรรมทางไซเบอร์

Bluehost เป็นที่น่าอับอายสำหรับการละเมิดความปลอดภัย! เซิร์ฟเวอร์ของพวกเขาถูกแฮ็กหลายครั้งเนื่องจากข้อผิดพลาดและช่องโหว่ที่ชัดเจนในโค้ด

เว็บไซต์ของคุณโฮสต์บน Bluehost หรือไม่ คุณประสบกับความเร็วในการโหลดหน้าเว็บที่ช้ามากหรือเว็บไซต์พังบ่อยหรือไม่? ถึงเวลาที่คุณต้องเปลี่ยนไปใช้โฮสต์อื่น

โฮสติ้งที่ไม่ดีอาจทำให้ข้อมูลเว็บไซต์ของคุณเสียหายได้ เพื่อเอาตัวรอด คุณต้องใส่ใจเสมอในขณะที่เลือกบริการโฮสติ้งของคุณ

2) ใช้ปลั๊กอินความปลอดภัยที่ดี

ปลั๊กอินสามารถสร้างความแตกต่างในการรักษาความปลอดภัยและประสิทธิภาพของไซต์ของคุณได้ แต่ถ้าโฮสติ้งของคุณไม่เป็นที่น่าพอใจ เว็บไซต์ของคุณก็มีความเสี่ยงที่จะถูกแฮ็กอยู่เสมอ ดังนั้นการโฮสต์ที่ดีจึงเป็นสิ่งจำเป็น

ฉันอยากจะแนะนำสองปลั๊กอินความปลอดภัยที่มีประสิทธิภาพสูงสำหรับ WordPress:

  1. ความปลอดภัยของ Wordfence
  2. ความปลอดภัยของ iThemes
การติดตั้ง iThemes ss

ปลั๊กอินทั้งสองนี้มีประสิทธิภาพ แต่ Wordfence Security มีความเร็วในการโหลดช้าในบางเว็บไซต์ ดังนั้นฉันจึงชอบ iThemes Security สำหรับเว็บไซต์ของฉัน

3) ตั้งค่าหน้าเข้าสู่ระบบอื่น

คุณต้องสังเกตว่าคุณสามารถเข้าถึงหน้าเข้าสู่ระบบสำหรับเว็บไซต์ WordPress ผ่าน URL: yourwebsite.com/ wp-admin แต่มีการจับ!

หากคุณคิดจากมุมมองของแฮ็กเกอร์ ข้อมูลนี้ถือเป็นแจ็คพอต ฉันสามารถเข้าถึงหน้าเข้าสู่ระบบของไซต์ WordPress ได้อย่างแท้จริงโดยเพิ่ม wp-admin ที่ส่วนท้ายของ URL!

ความพยายามในการแฮ็กข้อมูลสูงสุดมักเกิดขึ้นที่หน้าเข้าสู่ระบบ

เราต้องหลีกเลี่ยงโอกาสที่จะถูกแฮ็ก ด้วย iThemes Security คุณสามารถเปลี่ยนหน้าเข้าสู่ระบบจาก wp-admin เป็นอย่างอื่นเช่น yourwebsite.com/ this_is_my_site หรือสิ่งที่ไม่ธรรมดาอย่างแท้จริง

แต่ยังเก็บไว้อย่างปลอดภัยในที่ต่างๆ 3-4 แห่ง หากคุณทำ URL นี้หาย ไม่มีทางอื่นที่จะเข้าสู่ไซต์ของคุณได้

วิธีเปลี่ยนหน้าเข้าสู่ระบบโดยใช้ iThemes Security มีดังนี้

เปลี่ยน URL หน้าเข้าสู่ระบบ wordpress

4) ใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุม

WordPress เสนอชื่อผู้ใช้เริ่มต้นสำหรับเว็บไซต์เป็น 'admin' และผู้ใช้ส่วนใหญ่ไม่เคยสนใจที่จะเปลี่ยนเลย เพราะจำได้ง่ายและสะดวก

แต่ชื่อผู้ใช้ทั่วไป เช่น 'ผู้ดูแลระบบ' ทำให้แฮกเกอร์สามารถค้นหารหัสผ่านของคุณได้อย่างง่ายดาย เพราะพวกเขามีชื่อผู้ใช้ของคุณอยู่แล้ว

พวกเขาสามารถใช้เทคนิคเช่น Brute force attack เพื่อเดารหัสผ่านของคุณแล้วขโมยข้อมูลอันมีค่าของคุณ (สงสัยว่า Brute Force Attack คืออะไร อ่านต่อเพื่อหาคำตอบ)

ดังนั้น ในฐานะผู้ใช้ WordPress ให้ก้าวนำหน้าแฮกเกอร์หนึ่งก้าว และเริ่มบังคับใช้รหัสผ่านที่รัดกุมบนไซต์ของคุณ

ด้วยปลั๊กอิน iThemes Security คุณสามารถกำหนดการตั้งค่าเหล่านี้ได้ภายในเวลาไม่นาน

wordpress บังคับใช้รหัสผ่านที่รัดกุม

5) กำหนดขีดจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ

เรากำลังพูดถึง Brute Force Attack เป็นการโจมตีทางไซเบอร์ประเภทหนึ่งที่แฮ็กเกอร์พยายามใช้รหัสผ่านต่างๆ ร่วมกันเพื่อลงชื่อเข้าใช้บัญชีของคุณ จนกว่าเขาจะพบรหัสผ่านที่ถูกต้อง

รหัสผ่านที่อ่อนแอใช้เวลาเพียงไม่กี่วินาทีในการถอดรหัส ที่แข็งแกร่งอาจใช้เวลานาน เนื่องจากกระบวนการเดารหัสผ่านใช้เวลานาน การโจมตีนี้จึงเรียกว่า การค้นหาอย่างละเอียด

นี่เป็นวิธีที่เชื่อถือได้มากในการถอดรหัสรหัสผ่านของใครบางคน เพราะในที่สุด หลังจากลองใช้ชุดค่าผสมทั้งหมดแล้ว พวกเขาจะพบรหัสผ่านเป้าหมายไม่ว่าจะแข็งแกร่งแค่ไหนก็ตาม!

ตามสถิติในปี 2560 ประมาณ 5% ของการละเมิดความปลอดภัยเกิดขึ้นเนื่องจากการโจมตีด้วยกำลังดุร้าย! ดังนั้นคุณสามารถจินตนาการได้ว่าการโจมตีครั้งนี้ทำได้ง่ายเพียงใด!

อย่างไรก็ตาม คุณสามารถควบคุมกิจกรรมเหล่านี้ได้โดยกำหนดขีดจำกัดจำนวนครั้งในการเข้าสู่ระบบ

ตัวอย่างเช่น หากผู้ใช้พยายามเข้าสู่ระบบบัญชีของคุณเกิน 3 ครั้ง เขา/เธอจะถูกล็อกไม่ให้เข้าระบบเป็นเวลา 24 ชั่วโมง สิ่งนี้จะช่วยให้มั่นใจถึงความปลอดภัยที่ดีขึ้น iThemes Security นำเสนอการตั้งค่าการปรับแต่งที่ยอดเยี่ยมสำหรับการพยายามเข้าสู่ระบบ

ความพยายามเข้าสู่ระบบขีด จำกัด ความปลอดภัยของ wordpress

6) ใช้การรับรองความถูกต้องด้วยสองปัจจัย

ดังที่เราได้เห็นแล้ว ในที่สุดแฮกเกอร์สามารถค้นหารหัสผ่านทุกชุดโดยใช้การโจมตีแบบเดรัจฉาน ซึ่งหมายความว่าไม่ว่ารหัสผ่านของคุณจะแข็งแกร่งเพียงใด บัญชีของคุณก็จะไม่ปลอดภัย!

นี่คือจุดที่ 2FA ทำเครื่องหมายการมีอยู่ของมัน 2FA (การตรวจสอบสิทธิ์แบบสองปัจจัย) เป็นชั้นความปลอดภัยเพิ่มเติมหลังจากปกป้องบัญชีของคุณด้วยรหัสผ่าน

เป็นวิธีการที่สองในการตรวจสอบตัวตนของผู้ใช้โดยรวมปัจจัยสองประการ – สิ่งที่คุณรู้ (เช่น รหัสผ่าน) และ สิ่งที่คุณมี (เช่น ลายนิ้วมือหรือคุณลักษณะการระบุตัวตนอื่นๆ)

wordpress 2fa

เมื่อใดก็ตามที่มีคนพยายามเข้าสู่ระบบบัญชีของคุณ การตรวจสอบสิทธิ์แบบสองปัจจัยจะส่ง OTP (รหัสผ่านแบบใช้ครั้งเดียว) ที่ไม่ซ้ำกันไปยังอุปกรณ์ของคุณผ่านทาง SMS เมื่อคุณป้อนรหัสนั้น คุณจะสามารถเข้าถึงบัญชีได้

วิธีนี้เป็นวิธีที่ปลอดภัยและมีประสิทธิภาพมากที่สุด และทุกคนควรใช้วิธีนี้กับบัญชีของตนเพื่อความปลอดภัยสูงสุด

6) ใช้ Cloudflare เพื่อป้องกันการโจมตี DDoS

DDoS (Distributed Denial of Service) คือการโจมตีทางไซเบอร์ที่แฮ็กเกอร์ใช้เครือข่ายคอมพิวเตอร์ซอมบี้ที่เรียกว่า 'Botnet' เพื่อขัดขวางการรับส่งข้อมูลปกติและทำลายเว็บไซต์ของคุณ

จุดประสงค์หลักของการโจมตี DDoS คือการทำให้เว็บไซต์ของคุณไม่สามารถใช้งานได้กับผู้ใช้จริง โดยทำให้มีการร้องขอมากกว่าที่เว็บเซิร์ฟเวอร์ของคุณสามารถจัดการได้

พูดง่ายๆ ก็คือ มันเหมือนกับรถติดที่ไม่ต้องการให้คนจริงผ่านไปได้

ดังนั้นคุณจะป้องกันการจราจรติดขัดนี้ได้อย่างไร? Cloudflare เป็นตัวช่วยชีวิตของคุณในกรณีนี้! มันปกป้องเว็บไซต์ของคุณจากกิจกรรมออนไลน์ที่เป็นอันตรายทั้งหมด เช่น การโจมตี DDoS ไวรัส บอท และองค์ประกอบที่ล่วงล้ำอื่นๆ

นอกจากนี้ยังปรับปรุงความเร็วในการโหลดหน้าเว็บของคุณ ช่วยในการจัดอันดับเครื่องมือค้นหา และมอบใบรับรอง SSL ฟรีเพื่อช่วยรับรองความปลอดภัยในการสื่อสารออนไลน์ของคุณจากบุคคลที่สาม

คุณสามารถใช้ใบรับรอง SSL ฟรีและป้องกันการโจมตี DDoS ผ่านขั้นตอนง่ายๆ เหล่านี้:

wordpress โดยใช้การป้องกัน cloudflare
  1. สร้างบัญชีบน Cloudflare.com
  2. เพิ่มเว็บไซต์ของคุณ
  3. เลือกแผนฟรี/ชำระเงินตามที่คุณต้องการ
  4. เพิ่มเนมเซิร์ฟเวอร์ของ Cloudflare ในระเบียน DNS ของคุณ

การดำเนินการนี้จะเชื่อมโยงเว็บไซต์ของคุณกับ Cloudflare และคุณสามารถเพลิดเพลินกับคุณลักษณะด้านความปลอดภัยที่โดดเด่นได้

7) หลีกเลี่ยงการใช้ปลั๊กอินและธีม ที่เป็นโมฆะ

ผู้ใช้ WordPress ส่วนใหญ่ไม่รู้ด้วยซ้ำว่าพวกเขากำลังใช้ธีม/ปลั๊กอินที่เป็นโมฆะ

ธีมและปลั๊กอินที่เป็นโมฆะเป็นคุณสมบัติพิเศษที่แจกฟรี ผู้จัดจำหน่ายอาจเพิ่มโค้ดที่เป็นอันตรายของตัวเองลงในซอร์สโค้ดและขโมยข้อมูลของคุณ

ข้อเสียอีกประการหนึ่งของธีม/ปลั๊กอินที่เป็นโมฆะคือการขาดการอัปเดต นักพัฒนาซอฟต์แวร์เผยแพร่การอัปเดตบ่อยครั้งเพื่อแก้ไขปัญหาด้านความปลอดภัยในซอฟต์แวร์

แต่สำหรับธีมที่เป็นโมฆะ ผู้จัดจำหน่ายไม่ใช่นักพัฒนาที่ถูกกฎหมาย ดังนั้นจึงไม่มีการอัปเดต ดังนั้นพวกเขาจึงมีความเสี่ยงสูงต่อแฮ็กเกอร์บุคคลที่สาม

สุดท้าย ไม่มีตัวเลือกการสนับสนุนหรือปรับแต่งเองกับธีมที่เป็นโมฆะ คุณไม่สามารถเปลี่ยนแบบอักษร สีแบบอักษร ตำแหน่งของวิดเจ็ต หรือองค์ประกอบอื่นๆ บนหน้าได้

ดังนั้น อย่าใช้ธีม Nulled เด็ดขาด คุณต้องไปที่ธีม GPL (GNU General Public Licence) เสมอ ใบอนุญาต GPL เป็นใบอนุญาตฟรีและระบุตัวตนซึ่งให้อิสระแก่ผู้ใช้ในการใช้และเปลี่ยนรหัสซอฟต์แวร์

ดังนั้น ก่อนซื้อหรือติดตั้ง ตรวจสอบให้แน่ใจว่าธีมของคุณอยู่ภายใต้ใบอนุญาต GPL

8) อัพเดท WordPress, Plugins และ Themes เป็นประจำ

ผู้พัฒนาธีมและปลั๊กอินยังคงแก้ไขข้อบกพร่องและอัปเกรดธีม/ปลั๊กอินอย่างต่อเนื่อง ดังนั้นควรอัปเดตทุก ๆ 15 วัน ไม่เช่นนั้นคุณอาจเสี่ยงต่อการถูกแฮ็ก

นอกจากนี้ อย่าพลาดการอัปเดตเว็บไซต์ WordPress ของคุณเป็นเวอร์ชันล่าสุดเพื่อประสบการณ์ที่ราบรื่น

ปลั๊กอินอัพเดทเวิร์ดเพรส

ตัวอย่างเช่น หากมีคนพบวิธีแฮ็กข้อมูลผู้คนโดยใช้ประโยชน์จากโค้ดของธีม/ปลั๊กอิน คุณกำลังใช้ธีม/ปลั๊กอินนี้ด้วย

ตอนนี้หากคุณลืมอัปเดต คุณจะเสี่ยงต่อการถูกแฮ็กข้อมูลที่เป็นอันตราย!

9) ลบปลั๊กอินและธีม ที่ไม่ใช้งาน

สมมติว่าคุณต้องการแสดงแกลเลอรีรูปภาพในโพสต์ของคุณ คุณติดตั้งปลั๊กอินสำหรับมัน และหลังจากงานของคุณเสร็จแล้ว ปลั๊กอินนั้นจะอยู่ในโฟลเดอร์ปลั๊กอินของคุณที่ไม่ได้ใช้งานมานานหลายปี! สิ่งนี้เกิดขึ้นกับเราแต่ละคนไม่ใช่หรือ?

ปลั๊กอินที่ไม่ใช้งาน wordpress

แนวทางปฏิบัตินี้อาจทำให้ข้อมูลอันมีค่าของคุณตกอยู่ในความเสี่ยง เนื่องจากแฮ็กเกอร์พยายามยุ่งเกี่ยวกับข้อมูลของคุณผ่านธีมและปลั๊กอินที่ไม่ใช้งานเช่นกัน ดังนั้น อย่าลืมลบออกเสมอหากไม่ได้ใช้อีกต่อไป

คุณมีปลั๊กอินที่ไม่ใช้งานบนเว็บไซต์ของคุณอยู่กี่ตัวในตอนนี้? แจ้งให้เราทราบในช่องแสดงความคิดเห็น!

10) ปิดการลงทะเบียนผู้ใช้

คุณมีเว็บไซต์ประเภทใด ผู้ใช้จำเป็นต้องสร้างบัญชีบนเว็บไซต์ของคุณหรือไม่? หากไม่เป็นเช่นนั้น ทางที่ดีควรปิดการใช้งาน 'การลงทะเบียนผู้ใช้'

หากคุณกำลังใช้เว็บไซต์ WordPress ของคุณเพื่อวัตถุประสงค์ในการเขียนบล็อกขั้นพื้นฐาน ให้ปิดคุณลักษณะนี้ไว้ เนื่องจากความพยายามในการแฮ็กสามารถเกิดขึ้นได้ผ่านทางหน้าการลงทะเบียนผู้ใช้

11) ทำการสำรองข้อมูลเป็นประจำ

สิ่งนี้ดำเนินไปโดยไม่บอก - สำรองข้อมูลเว็บไซต์เป็นประจำ แต่สิ่งสำคัญที่ต้องจำไว้คือ ควรเป็น Off-Site Backup

wordpress สำรองข้อมูลนอกสถานที่

การสำรองข้อมูลนอกสถานที่ เข้ารหัส บีบอัด และรักษาความปลอดภัยข้อมูลของเราบนเซิร์ฟเวอร์ที่แตกต่างจากเซิร์ฟเวอร์หลัก นี้มีประโยชน์มากมายเช่น:

  • ช่วยประหยัดพื้นที่จัดเก็บ
  • เรามีการแบ็คอัพข้อมูลไว้เผื่อระบบล่มทั้งระบบ
  • ป้องกันการหยุดทำงานของเว็บไซต์
  • ปกป้องข้อมูลของเราจากการโจมตีออนไลน์

แต่ต้องรู้วิธีสร้างข้อมูลสำรองรวมถึงวิธีกู้คืนด้วย

ผู้คนจำนวนสูงสุดสามารถสำรองข้อมูลได้ แต่การกู้คืนข้อมูลเหล่านั้นคือจุดที่เกิดปัญหา เพื่อความปลอดภัยของเว็บไซต์ของคุณ เรียนรู้ทักษะพื้นฐานเหล่านี้ทันที!

12) เปลี่ยนคำนำหน้าตาราง WordPress เพื่อหลีกเลี่ยงการฉีด SQL

ตาราง WordPress มีข้อมูลทุกอย่างเกี่ยวกับเว็บไซต์ของคุณ รวมถึงข้อมูลการเข้าสู่ระบบของคุณ ดังนั้นจึงเป็นเป้าหมายที่แฮ็กเกอร์ชื่นชอบมากที่สุด

และถ้าคุณสังเกตเห็น คำนำหน้าสำหรับตารางฐานข้อมูล WordPress จะเป็น wp_ โดยค่าเริ่มต้น เนื่องจากผู้ใช้ทั่วไปเช่นคุณและฉันไม่พบความจำเป็นในการเปลี่ยนแปลง มันจึงง่ายกว่าสำหรับผู้โจมตีที่จะกำหนดเป้าหมายคำนำหน้าเริ่มต้นนี้และดำเนินการฉีด SQL บนเว็บไซต์ของเรา

wordpress หลีกเลี่ยงการฉีด sql

การฉีด SQL เป็นเทคนิคการแฮ็กที่แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในธีม/ปลั๊กอินเพื่อยึดตารางฐานข้อมูลของผู้ใช้ ดังนั้นจึงได้รับสิทธิ์ระดับเดียวกันในฐานข้อมูลเช่นเดียวกับเจ้าของ เช่น คุณ

ฟังดูไม่น่ากลัวเหรอ? ปลั๊กอิน iThemes Security เสนอตัวเลือกที่ง่ายแก่เราในการแก้ไขคำนำหน้าตารางและป้องกันการฉีด SQL โดยไม่ต้องใช้ความพยายามเลย!

wordpress เปลี่ยนคำนำหน้าตาราง db

วิธีใช้ปลั๊กอินความปลอดภัย WordPress

หากต้องการเรียนรู้วิธีใช้ WordPress Security Plugin คุณสามารถชมวิดีโอนี้ได้ ฉันใช้เวอร์ชันฟรีสำหรับ iThemes Security Pro เพื่อตั้งค่ามาตรการรักษาความปลอดภัย WordPress ทั้งหมด

บทสรุป

นั่นคือทั้งหมดสำหรับวันนี้ ฉันหวังว่าบทความนี้จะช่วยให้คุณรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัยโดยทำตามคำแนะนำเหล่านี้และใช้ประโยชน์จากปลั๊กอินความปลอดภัย

พวกคุณใช้มาตรการรักษาความปลอดภัยอะไรอีกบ้างในเว็บไซต์ของคุณ? แบ่งปันในส่วนความคิดเห็นด้านล่าง

นอกจากนี้ หากคุณชอบเนื้อหานี้ อย่าลืม สมัครรับข้อมูลบล็อก นี้ นี่คือ Kripesh ลงนามปิด! เจอกันใหม่ตอนหน้าครับ ดูแลและเรียนรู้ต่อไปพวก!