12 WordPress Security Tips 2021 – หยุดแฮกเกอร์แฮ็คเว็บไซต์ของคุณ
เผยแพร่แล้ว: 2022-08-2740% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ตใช้ WordPress ในปัจจุบัน และถ้าจำไม่ผิด คุณก็เป็นหนึ่งในนั้นเช่นกัน!
WordPress ได้รับความนิยมอย่างมากในช่วงไม่กี่ปีที่ผ่านมา อย่างไรก็ตาม ความนิยมอย่างมากยังเชิญชวนให้แฮ็กเกอร์ที่มีทักษะ!
ทุกๆ วัน Google ขึ้นบัญชีดำเว็บไซต์กว่า 10,000 แห่ง เนื่องจากมีรหัสซอฟต์แวร์ที่เป็นอันตราย ทำให้การรักษาความปลอดภัยของเว็บไซต์เป็นเรื่องสำคัญ
ในบทความของวันนี้ ฉันจะพูดถึง 12 มาตรการรักษาความปลอดภัย WordPress ที่มีประสิทธิภาพและเคล็ดลับความปลอดภัย ที่จะช่วยคุณปกป้องเว็บไซต์ของคุณจากช่องโหว่ออนไลน์และการโจมตีของแฮ็กเกอร์!
ดังนั้นโดยไม่ต้องกังวลใจอีกต่อไป มาดำดิ่งลงไปกันเถอะ!

- เคล็ดลับความปลอดภัยของ WordPress & การใช้ปลั๊กอินความปลอดภัย WordPress
- 1) ใช้บริการโฮสติ้งที่ดี
- 2) ใช้ปลั๊กอินความปลอดภัยที่ดี
- 3) ตั้งค่าหน้าเข้าสู่ระบบอื่น
- 4) ใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุม
- 5) กำหนดขีดจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ
- 6) ใช้การรับรองความถูกต้องด้วยสองปัจจัย
- 6) ใช้ Cloudflare เพื่อป้องกันการโจมตี DDoS
- 7) หลีกเลี่ยงการใช้ปลั๊กอินและธีมที่เป็นโมฆะ
- 8) อัพเดท WordPress, Plugins และ Themes เป็นประจำ
- 9) ลบปลั๊กอินและธีมที่ไม่ใช้งาน
- 10) ปิดการลงทะเบียนผู้ใช้
- 11) ทำการสำรองข้อมูลเป็นประจำ
- 12) เปลี่ยนคำนำหน้าตาราง WordPress เพื่อหลีกเลี่ยงการฉีด SQL
- วิธีใช้ปลั๊กอินความปลอดภัย WordPress
- บทสรุป
เคล็ดลับความปลอดภัยของ WordPress & การใช้ปลั๊กอินความปลอดภัย WordPress
1) ใช้บริการโฮสติ้งที่ดี
บริการโฮสติ้งที่ดีเป็นส่วนประกอบสำคัญในการสร้างเว็บไซต์ที่ประสบความสำเร็จ คุณรู้หรือไม่ว่าจำนวนครั้งสูงสุดของการพยายามแฮ็คบนเซิร์ฟเวอร์โฮสต์

บริษัทโฮสติ้งที่มีบริการรักษาความปลอดภัยแย่ได้กลายเป็นแหล่งเพาะพันธุ์อาชญากรรมทางไซเบอร์
Bluehost เป็นที่น่าอับอายสำหรับการละเมิดความปลอดภัย! เซิร์ฟเวอร์ของพวกเขาถูกแฮ็กหลายครั้งเนื่องจากข้อผิดพลาดและช่องโหว่ที่ชัดเจนในโค้ด
เว็บไซต์ของคุณโฮสต์บน Bluehost หรือไม่ คุณประสบกับความเร็วในการโหลดหน้าเว็บที่ช้ามากหรือเว็บไซต์พังบ่อยหรือไม่? ถึงเวลาที่คุณต้องเปลี่ยนไปใช้โฮสต์อื่น
โฮสติ้งที่ไม่ดีอาจทำให้ข้อมูลเว็บไซต์ของคุณเสียหายได้ เพื่อเอาตัวรอด คุณต้องใส่ใจเสมอในขณะที่เลือกบริการโฮสติ้งของคุณ
2) ใช้ปลั๊กอินความปลอดภัยที่ดี
ปลั๊กอินสามารถสร้างความแตกต่างในการรักษาความปลอดภัยและประสิทธิภาพของไซต์ของคุณได้ แต่ถ้าโฮสติ้งของคุณไม่เป็นที่น่าพอใจ เว็บไซต์ของคุณก็มีความเสี่ยงที่จะถูกแฮ็กอยู่เสมอ ดังนั้นการโฮสต์ที่ดีจึงเป็นสิ่งจำเป็น
ฉันอยากจะแนะนำสองปลั๊กอินความปลอดภัยที่มีประสิทธิภาพสูงสำหรับ WordPress:
- ความปลอดภัยของ Wordfence
- ความปลอดภัยของ iThemes

ปลั๊กอินทั้งสองนี้มีประสิทธิภาพ แต่ Wordfence Security มีความเร็วในการโหลดช้าในบางเว็บไซต์ ดังนั้นฉันจึงชอบ iThemes Security สำหรับเว็บไซต์ของฉัน
3) ตั้งค่าหน้าเข้าสู่ระบบอื่น
คุณต้องสังเกตว่าคุณสามารถเข้าถึงหน้าเข้าสู่ระบบสำหรับเว็บไซต์ WordPress ผ่าน URL: yourwebsite.com/ wp-admin แต่มีการจับ!
หากคุณคิดจากมุมมองของแฮ็กเกอร์ ข้อมูลนี้ถือเป็นแจ็คพอต ฉันสามารถเข้าถึงหน้าเข้าสู่ระบบของไซต์ WordPress ได้อย่างแท้จริงโดยเพิ่ม wp-admin ที่ส่วนท้ายของ URL!
ความพยายามในการแฮ็กข้อมูลสูงสุดมักเกิดขึ้นที่หน้าเข้าสู่ระบบ
เราต้องหลีกเลี่ยงโอกาสที่จะถูกแฮ็ก ด้วย iThemes Security คุณสามารถเปลี่ยนหน้าเข้าสู่ระบบจาก wp-admin เป็นอย่างอื่นเช่น yourwebsite.com/ this_is_my_site หรือสิ่งที่ไม่ธรรมดาอย่างแท้จริง
แต่ยังเก็บไว้อย่างปลอดภัยในที่ต่างๆ 3-4 แห่ง หากคุณทำ URL นี้หาย ไม่มีทางอื่นที่จะเข้าสู่ไซต์ของคุณได้
วิธีเปลี่ยนหน้าเข้าสู่ระบบโดยใช้ iThemes Security มีดังนี้

4) ใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุม
WordPress เสนอชื่อผู้ใช้เริ่มต้นสำหรับเว็บไซต์เป็น 'admin' และผู้ใช้ส่วนใหญ่ไม่เคยสนใจที่จะเปลี่ยนเลย เพราะจำได้ง่ายและสะดวก
แต่ชื่อผู้ใช้ทั่วไป เช่น 'ผู้ดูแลระบบ' ทำให้แฮกเกอร์สามารถค้นหารหัสผ่านของคุณได้อย่างง่ายดาย เพราะพวกเขามีชื่อผู้ใช้ของคุณอยู่แล้ว
พวกเขาสามารถใช้เทคนิคเช่น Brute force attack เพื่อเดารหัสผ่านของคุณแล้วขโมยข้อมูลอันมีค่าของคุณ (สงสัยว่า Brute Force Attack คืออะไร อ่านต่อเพื่อหาคำตอบ)
ดังนั้น ในฐานะผู้ใช้ WordPress ให้ก้าวนำหน้าแฮกเกอร์หนึ่งก้าว และเริ่มบังคับใช้รหัสผ่านที่รัดกุมบนไซต์ของคุณ
ด้วยปลั๊กอิน iThemes Security คุณสามารถกำหนดการตั้งค่าเหล่านี้ได้ภายในเวลาไม่นาน

5) กำหนดขีดจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ
เรากำลังพูดถึง Brute Force Attack เป็นการโจมตีทางไซเบอร์ประเภทหนึ่งที่แฮ็กเกอร์พยายามใช้รหัสผ่านต่างๆ ร่วมกันเพื่อลงชื่อเข้าใช้บัญชีของคุณ จนกว่าเขาจะพบรหัสผ่านที่ถูกต้อง
รหัสผ่านที่อ่อนแอใช้เวลาเพียงไม่กี่วินาทีในการถอดรหัส ที่แข็งแกร่งอาจใช้เวลานาน เนื่องจากกระบวนการเดารหัสผ่านใช้เวลานาน การโจมตีนี้จึงเรียกว่า การค้นหาอย่างละเอียด
นี่เป็นวิธีที่เชื่อถือได้มากในการถอดรหัสรหัสผ่านของใครบางคน เพราะในที่สุด หลังจากลองใช้ชุดค่าผสมทั้งหมดแล้ว พวกเขาจะพบรหัสผ่านเป้าหมายไม่ว่าจะแข็งแกร่งแค่ไหนก็ตาม!
ตามสถิติในปี 2560 ประมาณ 5% ของการละเมิดความปลอดภัยเกิดขึ้นเนื่องจากการโจมตีด้วยกำลังดุร้าย! ดังนั้นคุณสามารถจินตนาการได้ว่าการโจมตีครั้งนี้ทำได้ง่ายเพียงใด!
อย่างไรก็ตาม คุณสามารถควบคุมกิจกรรมเหล่านี้ได้โดยกำหนดขีดจำกัดจำนวนครั้งในการเข้าสู่ระบบ
ตัวอย่างเช่น หากผู้ใช้พยายามเข้าสู่ระบบบัญชีของคุณเกิน 3 ครั้ง เขา/เธอจะถูกล็อกไม่ให้เข้าระบบเป็นเวลา 24 ชั่วโมง สิ่งนี้จะช่วยให้มั่นใจถึงความปลอดภัยที่ดีขึ้น iThemes Security นำเสนอการตั้งค่าการปรับแต่งที่ยอดเยี่ยมสำหรับการพยายามเข้าสู่ระบบ

6) ใช้การรับรองความถูกต้องด้วยสองปัจจัย
ดังที่เราได้เห็นแล้ว ในที่สุดแฮกเกอร์สามารถค้นหารหัสผ่านทุกชุดโดยใช้การโจมตีแบบเดรัจฉาน ซึ่งหมายความว่าไม่ว่ารหัสผ่านของคุณจะแข็งแกร่งเพียงใด บัญชีของคุณก็จะไม่ปลอดภัย!
นี่คือจุดที่ 2FA ทำเครื่องหมายการมีอยู่ของมัน 2FA (การตรวจสอบสิทธิ์แบบสองปัจจัย) เป็นชั้นความปลอดภัยเพิ่มเติมหลังจากปกป้องบัญชีของคุณด้วยรหัสผ่าน
เป็นวิธีการที่สองในการตรวจสอบตัวตนของผู้ใช้โดยรวมปัจจัยสองประการ – สิ่งที่คุณรู้ (เช่น รหัสผ่าน) และ สิ่งที่คุณมี (เช่น ลายนิ้วมือหรือคุณลักษณะการระบุตัวตนอื่นๆ)

เมื่อใดก็ตามที่มีคนพยายามเข้าสู่ระบบบัญชีของคุณ การตรวจสอบสิทธิ์แบบสองปัจจัยจะส่ง OTP (รหัสผ่านแบบใช้ครั้งเดียว) ที่ไม่ซ้ำกันไปยังอุปกรณ์ของคุณผ่านทาง SMS เมื่อคุณป้อนรหัสนั้น คุณจะสามารถเข้าถึงบัญชีได้

วิธีนี้เป็นวิธีที่ปลอดภัยและมีประสิทธิภาพมากที่สุด และทุกคนควรใช้วิธีนี้กับบัญชีของตนเพื่อความปลอดภัยสูงสุด
6) ใช้ Cloudflare เพื่อป้องกันการโจมตี DDoS
DDoS (Distributed Denial of Service) คือการโจมตีทางไซเบอร์ที่แฮ็กเกอร์ใช้เครือข่ายคอมพิวเตอร์ซอมบี้ที่เรียกว่า 'Botnet' เพื่อขัดขวางการรับส่งข้อมูลปกติและทำลายเว็บไซต์ของคุณ
จุดประสงค์หลักของการโจมตี DDoS คือการทำให้เว็บไซต์ของคุณไม่สามารถใช้งานได้กับผู้ใช้จริง โดยทำให้มีการร้องขอมากกว่าที่เว็บเซิร์ฟเวอร์ของคุณสามารถจัดการได้
พูดง่ายๆ ก็คือ มันเหมือนกับรถติดที่ไม่ต้องการให้คนจริงผ่านไปได้
ดังนั้นคุณจะป้องกันการจราจรติดขัดนี้ได้อย่างไร? Cloudflare เป็นตัวช่วยชีวิตของคุณในกรณีนี้! มันปกป้องเว็บไซต์ของคุณจากกิจกรรมออนไลน์ที่เป็นอันตรายทั้งหมด เช่น การโจมตี DDoS ไวรัส บอท และองค์ประกอบที่ล่วงล้ำอื่นๆ
นอกจากนี้ยังปรับปรุงความเร็วในการโหลดหน้าเว็บของคุณ ช่วยในการจัดอันดับเครื่องมือค้นหา และมอบใบรับรอง SSL ฟรีเพื่อช่วยรับรองความปลอดภัยในการสื่อสารออนไลน์ของคุณจากบุคคลที่สาม
คุณสามารถใช้ใบรับรอง SSL ฟรีและป้องกันการโจมตี DDoS ผ่านขั้นตอนง่ายๆ เหล่านี้:

- สร้างบัญชีบน Cloudflare.com
- เพิ่มเว็บไซต์ของคุณ
- เลือกแผนฟรี/ชำระเงินตามที่คุณต้องการ
- เพิ่มเนมเซิร์ฟเวอร์ของ Cloudflare ในระเบียน DNS ของคุณ
การดำเนินการนี้จะเชื่อมโยงเว็บไซต์ของคุณกับ Cloudflare และคุณสามารถเพลิดเพลินกับคุณลักษณะด้านความปลอดภัยที่โดดเด่นได้
7) หลีกเลี่ยงการใช้ปลั๊กอินและธีม ที่เป็นโมฆะ
ผู้ใช้ WordPress ส่วนใหญ่ไม่รู้ด้วยซ้ำว่าพวกเขากำลังใช้ธีม/ปลั๊กอินที่เป็นโมฆะ
ธีมและปลั๊กอินที่เป็นโมฆะเป็นคุณสมบัติพิเศษที่แจกฟรี ผู้จัดจำหน่ายอาจเพิ่มโค้ดที่เป็นอันตรายของตัวเองลงในซอร์สโค้ดและขโมยข้อมูลของคุณ
ข้อเสียอีกประการหนึ่งของธีม/ปลั๊กอินที่เป็นโมฆะคือการขาดการอัปเดต นักพัฒนาซอฟต์แวร์เผยแพร่การอัปเดตบ่อยครั้งเพื่อแก้ไขปัญหาด้านความปลอดภัยในซอฟต์แวร์
แต่สำหรับธีมที่เป็นโมฆะ ผู้จัดจำหน่ายไม่ใช่นักพัฒนาที่ถูกกฎหมาย ดังนั้นจึงไม่มีการอัปเดต ดังนั้นพวกเขาจึงมีความเสี่ยงสูงต่อแฮ็กเกอร์บุคคลที่สาม
สุดท้าย ไม่มีตัวเลือกการสนับสนุนหรือปรับแต่งเองกับธีมที่เป็นโมฆะ คุณไม่สามารถเปลี่ยนแบบอักษร สีแบบอักษร ตำแหน่งของวิดเจ็ต หรือองค์ประกอบอื่นๆ บนหน้าได้
ดังนั้น อย่าใช้ธีม Nulled เด็ดขาด คุณต้องไปที่ธีม GPL (GNU General Public Licence) เสมอ ใบอนุญาต GPL เป็นใบอนุญาตฟรีและระบุตัวตนซึ่งให้อิสระแก่ผู้ใช้ในการใช้และเปลี่ยนรหัสซอฟต์แวร์
ดังนั้น ก่อนซื้อหรือติดตั้ง ตรวจสอบให้แน่ใจว่าธีมของคุณอยู่ภายใต้ใบอนุญาต GPL
8) อัพเดท WordPress, Plugins และ Themes เป็นประจำ
ผู้พัฒนาธีมและปลั๊กอินยังคงแก้ไขข้อบกพร่องและอัปเกรดธีม/ปลั๊กอินอย่างต่อเนื่อง ดังนั้นควรอัปเดตทุก ๆ 15 วัน ไม่เช่นนั้นคุณอาจเสี่ยงต่อการถูกแฮ็ก
นอกจากนี้ อย่าพลาดการอัปเดตเว็บไซต์ WordPress ของคุณเป็นเวอร์ชันล่าสุดเพื่อประสบการณ์ที่ราบรื่น

ตัวอย่างเช่น หากมีคนพบวิธีแฮ็กข้อมูลผู้คนโดยใช้ประโยชน์จากโค้ดของธีม/ปลั๊กอิน คุณกำลังใช้ธีม/ปลั๊กอินนี้ด้วย
ตอนนี้หากคุณลืมอัปเดต คุณจะเสี่ยงต่อการถูกแฮ็กข้อมูลที่เป็นอันตราย!
9) ลบปลั๊กอินและธีม ที่ไม่ใช้งาน
สมมติว่าคุณต้องการแสดงแกลเลอรีรูปภาพในโพสต์ของคุณ คุณติดตั้งปลั๊กอินสำหรับมัน และหลังจากงานของคุณเสร็จแล้ว ปลั๊กอินนั้นจะอยู่ในโฟลเดอร์ปลั๊กอินของคุณที่ไม่ได้ใช้งานมานานหลายปี! สิ่งนี้เกิดขึ้นกับเราแต่ละคนไม่ใช่หรือ?

แนวทางปฏิบัตินี้อาจทำให้ข้อมูลอันมีค่าของคุณตกอยู่ในความเสี่ยง เนื่องจากแฮ็กเกอร์พยายามยุ่งเกี่ยวกับข้อมูลของคุณผ่านธีมและปลั๊กอินที่ไม่ใช้งานเช่นกัน ดังนั้น อย่าลืมลบออกเสมอหากไม่ได้ใช้อีกต่อไป
คุณมีปลั๊กอินที่ไม่ใช้งานบนเว็บไซต์ของคุณอยู่กี่ตัวในตอนนี้? แจ้งให้เราทราบในช่องแสดงความคิดเห็น!
10) ปิดการลงทะเบียนผู้ใช้
คุณมีเว็บไซต์ประเภทใด ผู้ใช้จำเป็นต้องสร้างบัญชีบนเว็บไซต์ของคุณหรือไม่? หากไม่เป็นเช่นนั้น ทางที่ดีควรปิดการใช้งาน 'การลงทะเบียนผู้ใช้'
หากคุณกำลังใช้เว็บไซต์ WordPress ของคุณเพื่อวัตถุประสงค์ในการเขียนบล็อกขั้นพื้นฐาน ให้ปิดคุณลักษณะนี้ไว้ เนื่องจากความพยายามในการแฮ็กสามารถเกิดขึ้นได้ผ่านทางหน้าการลงทะเบียนผู้ใช้
11) ทำการสำรองข้อมูลเป็นประจำ
สิ่งนี้ดำเนินไปโดยไม่บอก - สำรองข้อมูลเว็บไซต์เป็นประจำ แต่สิ่งสำคัญที่ต้องจำไว้คือ ควรเป็น Off-Site Backup

การสำรองข้อมูลนอกสถานที่ เข้ารหัส บีบอัด และรักษาความปลอดภัยข้อมูลของเราบนเซิร์ฟเวอร์ที่แตกต่างจากเซิร์ฟเวอร์หลัก นี้มีประโยชน์มากมายเช่น:
- ช่วยประหยัดพื้นที่จัดเก็บ
- เรามีการแบ็คอัพข้อมูลไว้เผื่อระบบล่มทั้งระบบ
- ป้องกันการหยุดทำงานของเว็บไซต์
- ปกป้องข้อมูลของเราจากการโจมตีออนไลน์
แต่ต้องรู้วิธีสร้างข้อมูลสำรองรวมถึงวิธีกู้คืนด้วย
ผู้คนจำนวนสูงสุดสามารถสำรองข้อมูลได้ แต่การกู้คืนข้อมูลเหล่านั้นคือจุดที่เกิดปัญหา เพื่อความปลอดภัยของเว็บไซต์ของคุณ เรียนรู้ทักษะพื้นฐานเหล่านี้ทันที!
12) เปลี่ยนคำนำหน้าตาราง WordPress เพื่อหลีกเลี่ยงการฉีด SQL
ตาราง WordPress มีข้อมูลทุกอย่างเกี่ยวกับเว็บไซต์ของคุณ รวมถึงข้อมูลการเข้าสู่ระบบของคุณ ดังนั้นจึงเป็นเป้าหมายที่แฮ็กเกอร์ชื่นชอบมากที่สุด
และถ้าคุณสังเกตเห็น คำนำหน้าสำหรับตารางฐานข้อมูล WordPress จะเป็น wp_ โดยค่าเริ่มต้น เนื่องจากผู้ใช้ทั่วไปเช่นคุณและฉันไม่พบความจำเป็นในการเปลี่ยนแปลง มันจึงง่ายกว่าสำหรับผู้โจมตีที่จะกำหนดเป้าหมายคำนำหน้าเริ่มต้นนี้และดำเนินการฉีด SQL บนเว็บไซต์ของเรา

การฉีด SQL เป็นเทคนิคการแฮ็กที่แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในธีม/ปลั๊กอินเพื่อยึดตารางฐานข้อมูลของผู้ใช้ ดังนั้นจึงได้รับสิทธิ์ระดับเดียวกันในฐานข้อมูลเช่นเดียวกับเจ้าของ เช่น คุณ
ฟังดูไม่น่ากลัวเหรอ? ปลั๊กอิน iThemes Security เสนอตัวเลือกที่ง่ายแก่เราในการแก้ไขคำนำหน้าตารางและป้องกันการฉีด SQL โดยไม่ต้องใช้ความพยายามเลย!

วิธีใช้ปลั๊กอินความปลอดภัย WordPress
หากต้องการเรียนรู้วิธีใช้ WordPress Security Plugin คุณสามารถชมวิดีโอนี้ได้ ฉันใช้เวอร์ชันฟรีสำหรับ iThemes Security Pro เพื่อตั้งค่ามาตรการรักษาความปลอดภัย WordPress ทั้งหมด
บทสรุป
นั่นคือทั้งหมดสำหรับวันนี้ ฉันหวังว่าบทความนี้จะช่วยให้คุณรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัยโดยทำตามคำแนะนำเหล่านี้และใช้ประโยชน์จากปลั๊กอินความปลอดภัย
พวกคุณใช้มาตรการรักษาความปลอดภัยอะไรอีกบ้างในเว็บไซต์ของคุณ? แบ่งปันในส่วนความคิดเห็นด้านล่าง
นอกจากนี้ หากคุณชอบเนื้อหานี้ อย่าลืม สมัครรับข้อมูลบล็อก นี้ นี่คือ Kripesh ลงนามปิด! เจอกันใหม่ตอนหน้าครับ ดูแลและเรียนรู้ต่อไปพวก!