WordPress Update: เหตุใดการอัปเดตจึงมีความสำคัญต่อความปลอดภัยของเว็บไซต์

เผยแพร่แล้ว: 2023-04-19

สงสัยว่าจะใช้การอัปเดตความปลอดภัยบนเว็บไซต์ WordPress ของคุณอย่างปลอดภัยได้อย่างไร?

การอัปเดตความปลอดภัยมีความสำคัญอย่างยิ่ง ความล่าช้าในการดำเนินการอัปเดตอาจทำให้เว็บไซต์ของคุณถูกแฮ็ก แต่หลายครั้งที่การอัปเดตอาจทำให้เกิดปัญหาความเข้ากันได้ซึ่งอาจทำให้เว็บไซต์ของคุณเสียหายได้

มันเป็นสถานการณ์ catch-22

โชคดีที่มีวิธีอัปเดตไซต์ของคุณโดยไม่ทำลายไซต์ สิ่งที่คุณต้องทำคือใช้ไซต์ทดสอบเพื่อทดสอบการอัปเดต จากนั้นนำไปใช้งานบนเว็บไซต์ที่ใช้งานจริง

ในบทความนี้ เราจะแนะนำคุณตลอดทุกขั้นตอนในกระบวนการอัปเดตเว็บไซต์ของคุณอย่างปลอดภัย

TL;DR: หากต้องการอัปเดตเว็บไซต์ของคุณอย่างปลอดภัย ให้ใช้ BlogVault Backup & Staging Plugin มันจะทำสำเนาของไซต์สดของคุณ (เรียกว่าไซต์การแสดงละคร) ในไซต์ทดลอง คุณสามารถทดสอบการอัปเดต WordPress ธีม และปลั๊กอินได้โดยไม่ส่งผลกระทบต่อไซต์ที่ใช้งานจริงของคุณ เมื่อคุณพอใจที่ทุกอย่างทำงานได้ดี คุณสามารถรวมการเปลี่ยนแปลงจากการจัดเตรียมไปยังไซต์ที่ใช้งานจริงของคุณได้

[lwptocskipHeadingLevel=”h1,h3,h4,h5,h6″skipHeadingText=”What Next?”]

การอัปเดตความปลอดภัยคืออะไร? ทำไมพวกเขาถึงสำคัญ?

การอัปเดตเป็นเวอร์ชันใหม่ของซอฟต์แวร์ที่มาแทนที่เวอร์ชันเก่า เช่นเดียวกับซอฟต์แวร์อื่นๆ WordPress และธีมของมัน และปลั๊กอินยังได้รับการอัปเดตเป็นประจำ

การอัปเดตมี 5 ประเภท ได้แก่ แพตช์ความปลอดภัย การแก้ไขจุดบกพร่อง คุณลักษณะใหม่ ความเข้ากันได้ และการอัปเดตประสิทธิภาพ

การอัปเดตทั้งหมดมีประโยชน์ต่อไซต์ของคุณ อย่างไรก็ตาม การอัปเดตด้านความปลอดภัยเป็นสิ่งสำคัญที่สุด

เนื่องจากไม่ว่าซอฟต์แวร์จะถูกสร้างขึ้นมาอย่างดี เพียงใด ซอฟต์แวร์ก็มีแนวโน้มที่จะพัฒนาช่องโหว่เมื่อเวลาผ่านไป ซึ่งสามารถนำไปใช้ประโยชน์ในการแฮ็กเว็บไซต์ได้ เมื่อนักพัฒนาซอฟต์แวร์ทราบเกี่ยวกับเรื่องนี้ พวกเขาจะรีบแก้ไขช่องโหว่และออกแพตช์แจ้งเกี่ยวกับการอัปเดตความปลอดภัย

หากเจ้าของเว็บไซต์เลื่อนการอัพเดทปลั๊กอิน ธีม หรือ WordPress core ช่องโหว่ดังกล่าวยังคงอยู่และพร้อมที่จะถูกโจมตีจากแฮกเกอร์ ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องอัปเดตเว็บไซต์ของคุณอยู่เสมอ

เพื่อให้เข้าใจถึงความสำคัญของการอัปเดตความปลอดภัยใน WordPress คุณจะต้องแก้ไขช่องโหว่ WordPress ทั่วไปที่ส่งผลกระทบต่อเว็บไซต์ WordPress

ช่องโหว่ทั่วไปของ WordPress:

ช่องโหว่ WordPress ที่พบบ่อยที่สุดมีดังนี้:

ฉัน. ช่องโหว่ SQL Injection

ในทุกเว็บไซต์ WordPress มีช่องป้อนข้อมูล เช่น แบบฟอร์มติดต่อ ส่วนความคิดเห็น การค้นหา ฯลฯ ช่องเหล่านี้มักจะเปิดใช้งานโดยปลั๊กอิน หลังจากที่ผู้เยี่ยมชมใส่ข้อมูลลงในฟิลด์เหล่านี้ ข้อมูลจะถูกจัดเก็บไว้ในฐานข้อมูลของเว็บไซต์ เพื่อรักษาฐานข้อมูลให้ปลอดภัย ช่องใส่ข้อมูลทำให้มั่นใจได้ว่าข้อมูลได้รับการตรวจสอบและฆ่าเชื้อก่อนที่จะส่งออกไปยังฐานข้อมูล

ตัวอย่างเช่น แบบฟอร์มติดต่อควรยอมรับชื่อ หมายเลขโทรศัพท์ และที่อยู่อีเมล แต่ถ้าไม่ได้รับการกำหนดค่าอย่างถูกต้องเพื่อฆ่าเชื้อข้อมูลที่ผู้เข้าชมป้อน ข้อมูลนั้นจะเสี่ยงต่อการถูกฉีด SQL

แบบฟอร์มการติดต่อ

ซึ่งหมายความว่าแฮ็กเกอร์สามารถสวมรอยเป็นผู้เยี่ยมชมและแทรกรหัสที่เป็นอันตรายซึ่งจะถูกจัดเก็บไว้ในฐานข้อมูล แฮ็กเกอร์สามารถใช้โค้ดต่อไปนี้เพื่อขโมยข้อมูลจากฐานข้อมูลและเข้าถึงเว็บไซต์ของคุณได้

ii. ช่องโหว่การเขียนสคริปต์ข้ามไซต์

คล้ายกับการฉีด SQL ปลั๊กอินสามารถพัฒนาช่องโหว่ XSS ของการเขียนสคริปต์ข้ามไซต์ได้ แม้ว่าแฮ็กเกอร์จะใช้ช่องโหว่นี้เพื่อเข้าควบคุมไซต์ของคุณ แต่พวกเขาก็สามารถใช้ช่องโหว่นี้เพื่อดึงข้อมูลจากผู้เยี่ยมชมของคุณได้

สมมติว่าช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ในปลั๊กอินความคิดเห็นทำให้แฮ็กเกอร์สามารถแทรกลิงก์ที่เป็นอันตรายในไซต์ของคุณได้ เมื่อผู้เยี่ยมชมคลิกที่ลิงก์โดยไม่ทราบเจตนาร้าย ผู้เยี่ยมชมจะขออนุญาตผู้เยี่ยมชมเพื่อเข้าถึงคุกกี้เบราว์เซอร์ของเขา/เธอ

สำหรับผู้เข้าชมอาจดูเหมือนเว็บไซต์กำลังขออนุญาต มีโอกาสมากที่พวกเขาจะหลงกลและอนุญาตให้เข้าถึงคุกกี้ของเบราว์เซอร์ได้ คุกกี้ประกอบด้วยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบ ข้อมูลประจำตัว e-banking เป็นต้น

สาม. การใช้ประโยชน์จากฟาร์มาแฮ็ก

การแฮ็กข้อมูลยาใช้เพื่อขายหรือโปรโมตยาที่ผิดกฎหมาย

แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในปลั๊กอินหรือธีม หรือแกนหลักของไซต์ของคุณเพื่อเข้าถึงไซต์ของคุณ จากนั้นพวกเขาก็พบหน้าเว็บที่มีอันดับสูงสุดของคุณและอัดฉีดโฆษณาสำหรับยาที่ผิดกฎหมาย เช่น ไวอากร้า เซียลิส เลวิตร้า ฯลฯ

ตัวอย่างการแฮ็กยา

ในไม่ช้า เพจของคุณก็เริ่มติดอันดับผลิตภัณฑ์ยาที่ผิดกฎหมาย

และเมื่อผู้เยี่ยมชมมาที่ไซต์ของคุณ พวกเขาคลิกที่โฆษณาและถูกเปลี่ยนเส้นทางไปยังไซต์ของแฮ็กเกอร์

Pharma เจาะระบบการทำ SEO ของคุณและขับไล่ผู้เยี่ยมชมของคุณออกไป

iv. การหาประโยชน์ลับๆ

แบ็คดอร์เป็นจุดเริ่มต้นที่ซ่อนอยู่ในเว็บไซต์ของคุณ โดยทั่วไปจะพบในปลั๊กอินและธีมที่ละเมิดลิขสิทธิ์

เจ้าของเว็บไซต์จำนวนมากใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์เพราะไม่สามารถซื้อเวอร์ชันต้นฉบับได้ แต่ซอฟต์แวร์ละเมิดลิขสิทธิ์มักจะมาพร้อมกับประตูหลังที่ติดตั้งไว้ล่วงหน้า ซึ่งหมายความว่าเมื่อคุณติดตั้งซอฟต์แวร์บนไซต์ของคุณ ซอฟต์แวร์นั้นเป็นจุดเริ่มต้นสำหรับแฮ็กเกอร์

v. การหาประโยชน์จากฟิชชิ่ง

แฮกเกอร์ใช้ฟิชชิงเพื่อเข้าถึงเว็บไซต์ของคุณและส่งอีเมลขยะ จุดประสงค์ของอีเมลคือการหลอกล่อให้ผู้อื่นแชร์ข้อมูลที่ละเอียดอ่อน เช่น บัตรเครดิตหรือข้อมูลประจำตัวของธนาคาร

บริการอีเมลมีมาตรการป้องกันฟิชชิ่งที่เข้มงวด หากพวกเขาพบว่าไซต์ WordPress ของคุณส่งอีเมลสแปม พวกเขาจะขึ้นบัญชีดำเว็บไซต์ของคุณ

ตัวอย่างอีเมลฟิชชิ่ง

นี่คือช่องโหว่ WordPress ที่พบบ่อยที่สุด คุณต้องสังเกตเห็นธีมที่กำลังทำงานอยู่! มีสาเหตุมาจากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ที่ติดตั้งบนไซต์ของคุณ

สิ่งนี้จะแสดงให้เห็นว่าการใช้การอัปเดตความปลอดภัยมีความสำคัญเพียงใดทันทีที่เผยแพร่

อย่างไรก็ตาม เราเข้าใจดีว่าการอัปเดตเข้ามาค่อนข้างบ่อย จึงเป็นเรื่องยากที่จะติดตาม ในส่วนถัดไป เราจะแสดงวิธีติดตามการอัปเดตของคุณ

[ss_click_to_tweet tweet=”การอัปเดตความปลอดภัยของ WordPress เป็นประเภทการอัปเดตที่สำคัญที่สุดซึ่งคุณไม่สามารถเพิกเฉยได้” เนื้อหา =”” สไตล์ =”เริ่มต้น”]

จะตรวจสอบการอัปเดตความปลอดภัยของ WordPress ได้อย่างไร

มีสองวิธีในการตรวจสอบการอัปเดตความปลอดภัย:

  1. ตรวจสอบด้วยตนเองจากแดชบอร์ด WordPress (เหมาะสำหรับเว็บไซต์เดียว)
  2. ตรวจสอบโดยใช้ปลั๊กอินการจัดการไซต์ (เหมาะสำหรับหลายไซต์)

1. ตรวจสอบด้วยตนเองจาก WordPress Dashboard

การอัปเดตเว็บไซต์ WordPress ด้วยตนเองนั้นเหมาะที่สุดสำหรับเจ้าของเว็บไซต์รายเดียว สิ่งที่คุณต้องทำคือ:

→ ลงชื่อเข้าใช้เว็บไซต์ของคุณ

→ จากเมนู ไปที่แด ชบอร์ด > อัปเดต

เวิร์ดเพรสอัพเดทแจ้งเตือน

→ ในหน้าอัปเดต คุณจะพบซอฟต์แวร์ที่ล้าสมัยทั้งหมด (คอร์ ปลั๊กอิน และธีม) พร้อมด้วยรายละเอียดของเวอร์ชันใหม่ เมื่อคุณคลิกลิงก์ ดูรายละเอียดเวอร์ชัน คุณจะพบข้อมูลเกี่ยวกับการอัปเดต หากการอัปเดตมีแพตช์ความปลอดภัย wp จะมีการกล่าวถึงในรายละเอียดเวอร์ชัน

ดูรายละเอียดการอัพเดท wordpress

→ บ่อยครั้งในรายละเอียดเวอร์ชัน คุณจะพบว่า นักพัฒนาซอฟต์แวร์ได้เปิดตัวการเปลี่ยนแปลงประเภทต่างๆ ในการอัปเดตครั้งเดียว ตัวอย่างเช่น ในปลั๊กอินที่เราเพิ่งอัปเดต เราพบว่าการอัปเดตจะแก้ไขทั้งข้อบกพร่องและปัญหาความเข้ากันได้

รายละเอียดการอัพเดท wordpress

→ในบางครั้ง การอัปเดตจะนำเสนอคุณสมบัติใหม่ๆ ตลอดจนแพตช์ความปลอดภัย นี่อาจเป็นเรื่องยุ่งยากเล็กน้อย แม้ว่าคุณจะไม่ต้องการฟีเจอร์ใหม่ แต่คุณก็ยังต้องอัปเดต WordPress เพื่อให้แน่ใจว่าไม่มีช่องโหว่

2. ตรวจสอบการใช้ปลั๊กอินการจัดการไซต์

การติดตามการอัปเดตในไซต์เดียวนั้นยากพอ การติดตามการอัปเดตในหลาย ๆ เว็บไซต์เป็นฝันร้าย

แต่ปลั๊กอินเช่น BlogVault จะช่วยให้คุณสามารถตรวจสอบการอัปเดตสำหรับไซต์ WordPress หลายแห่งได้จากแดชบอร์ดเดียว

→ ลงทะเบียนกับ BlogVault และเพิ่มเว็บไซต์ของคุณในแดชบอร์ด

→ คุณจะเห็นทันทีว่ามีปลั๊กอินและธีมกี่รายการที่รอดำเนินการในแต่ละไซต์

การแจ้งเตือนการอัปเดต blogvault

→ หากต้องการทราบรายละเอียดการอัปเดต คุณต้อง เลือกเว็บไซต์ แล้วคลิก จัดการ

คุณสมบัติการจัดการ blogvaalt

→ หลังจากนั้น เพียง คลิกที่เวอร์ชันใหม่ เพื่อดูรายละเอียดการอัปเดต

ปลั๊กอินอัปเดต blogvault

ด้วยเหตุนี้ เราจึงมาถึงจุดสิ้นสุดของวิธีการตรวจสอบการอัปเดต ตอนนี้เรามาเจาะลึกถึงวิธีการใช้การอัปเดตความปลอดภัยอย่างปลอดภัย

จะทำการอัปเดตความปลอดภัย WordPress อย่างปลอดภัยได้อย่างไร

มีสองวิธีในการอัปเดตความปลอดภัย เหล่านี้คือ:

  1. การอัปเดตบนไซต์การแสดงละคร (ปลอดภัย)
  2. อัปเดตโดยตรงจากแดชบอร์ด (ไม่ปลอดภัย)

การอัปเดตโดยตรงจากแดชบอร์ดของเว็บไซต์ทำให้เว็บไซต์เสียหายได้ การแก้ไขและพยายามกู้คืนไซต์ที่เสียหายเป็นกระบวนการที่ยุ่งยากและใช้เวลานาน นั่นคือเหตุผลที่เราจะหลีกเลี่ยงการทำเช่นนั้นและมุ่งเน้นไปที่วิธีการที่ปลอดภัยกว่า

1. การอัปเดตบนเว็บไซต์ Staging

ขั้นตอนที่ 1: สร้างไซต์การแสดงละคร WordPress

ไซต์การแสดงละครเป็นแบบจำลองที่แน่นอนของเว็บไซต์ของคุณ

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ การอัปเดตอาจทำให้เว็บไซต์ของคุณล่มได้ สภาพแวดล้อมการจัดเตรียมจะช่วยให้คุณทดสอบการอัปเดตก่อนที่จะสร้างบนไซต์สดของคุณ

มีปลั๊กอินมากมายที่จะช่วยคุณสร้างสภาพแวดล้อมการแสดงละคร ปลั๊กอิน BlogVault ของเรานำเสนอสภาพแวดล้อมการจัดเตรียม WordPress ฟรีและตั้งค่าได้ง่ายมาก

สมมติว่าคุณได้สมัครใช้งาน BlogVault และเพิ่มเว็บไซต์ของคุณในแดชบอร์ดแล้ว:

→ ไปที่ส่วน การจัดเตรียม และคลิกที่ เพิ่มการจัดเตรียม

blogvault เพิ่มการแสดงละคร

→ BlogVault จะขอให้คุณเลือก ข้อมูลสำรองและเวอร์ชัน PHP ที่คุณต้องการ

เวอร์ชันสำรองการแสดงละคร

→ จะใช้เวลาไม่กี่นาทีในการสร้างไซต์การแสดงละคร เมื่อพร้อมแล้ว คุณสามารถเริ่มทดสอบการอัปเดตได้

ขั้นตอนที่ 2: ทดสอบการอัปเดตบนไซต์การจัดเตรียม

ในการทดสอบการอัปเดต คุณต้องลงชื่อเข้าใช้ไซต์การแสดงละครที่คุณเพิ่งสร้างขึ้น URL ของไซต์การแสดงละครควรมีลักษณะดังนี้ – https://yoursite.d.wpstage.net/

คุณสามารถเข้าสู่ไซต์การแสดงละครของคุณโดยใช้ข้อมูลรับรองผู้ใช้ปกติของคุณ แต่เมื่อคุณเปิด staging URL คุณจะสังเกตได้ว่ามีการป้องกันด้วยรหัสผ่าน มีรหัสผ่านเพื่อให้แน่ใจว่าไซต์การแสดงละครของคุณเป็นส่วนตัวและไม่สามารถเข้าถึงได้โดยสาธารณะหรือเครื่องมือค้นหาใดๆ

blogvault การจัดเตรียม http auth

คุณต้องกลับไปที่แดชบอร์ด BlogVault และรับ ชื่อผู้ใช้และรหัสผ่าน จากส่วน การจัดเตรียม ใช้เพื่อเข้าถึงไซต์การแสดงละครของคุณ

รหัสผ่านชื่อผู้ใช้การแสดงละครของ blogvault

→ หากต้องการไปที่หน้าเข้าสู่ระบบของไซต์ที่กำลังใช้งาน คุณต้องเพิ่ม /wp-admin/ ต่อท้าย URL ที่จัดเตรียมไว้ เช่น https://yoursite.d.wpstage.net/wp-admin

→ ใช้ข้อมูลรับรองผู้ใช้ทั่วไปของคุณเพื่อเข้าสู่แดชบอร์ด WordPress

→ หากต้องการใช้การอัปเดต ให้ไปที่ แดชบอร์ด > อัปเดต

เวิร์ดเพรสอัพเดทแจ้งเตือน

→ ในหน้าอัปเดต คุณจะพบซอฟต์แวร์ที่ล้าสมัยทั้งหมดพร้อมกับรายละเอียดของเวอร์ชันใหม่ หากต้องการใช้การอัปเดต คุณเพียงแค่ เลือกปลั๊กอินหรือธีมหรือแกนหลัก แล้วกดปุ่ม อัปเดต

อัปเดตปลั๊กอิน WordPress

→ หลังจากใช้การอัปเดต คุณต้อง ตรวจสอบว่าเว็บไซต์ของคุณทำงานอย่างถูกต้องหรือไม่ เราขอแนะนำให้ตรวจสอบหน้าและหน้าที่ที่สำคัญทั้งหมด ซึ่งจะรวมถึงหน้าแรก บล็อก หน้ารถเข็น หน้าชำระเงิน ฯลฯ

เมื่อคุณพร้อมแล้ว เราจะไปยังขั้นตอนต่อไป

ขั้นตอนที่ 3: อัปเดตไซต์สด

หากคุณพบว่าการอัปเดตไม่ก่อให้เกิดอันตรายใดๆ ต่อไซต์ของคุณ คุณสามารถดำเนินการอัปเดตเดียวกันบนไซต์ที่ใช้งานอยู่ได้

คุณไม่จำเป็นต้องลงชื่อเข้าใช้ไซต์สดของคุณและใช้การอัปเดตอีกครั้ง คุณสามารถรวมไซต์การแสดงละครเข้ากับไซต์สดได้

→ บนแดชบอร์ดของ BlogVault ให้ไปที่ส่วน Staging แล้วคลิก Merge

การรวมการแสดงละครของ blogvault

→ BlogVault จะเริ่มซิงค์ไซต์ที่ใช้งานจริงกับไซต์การแสดงละคร ในท้ายที่สุด มันจะสร้างหน้าที่ คุณสามารถดูความแตกต่างระหว่างไซต์การแสดงและไซต์ที่ใช้งานจริง คุณไม่จำเป็นต้องผสานทั้งไซต์ เพียงเลือกปลั๊กอิน ธีม และคอร์ที่คุณเพิ่งทดสอบแล้วคลิกถัดไป

รายละเอียดปลั๊กอินการอัปเดต blogvault

→ จากนั้นป้อนข้อมูลรับรอง FTP ของคุณและไซต์การแสดงละครของคุณจะถูกรวมเข้ากับไซต์สด

หมายเหตุ: หากคุณไม่ทราบว่าข้อมูลรับรอง FTP ของคุณคืออะไร คุณสามารถค้นหาโดยใช้วิดีโอเหล่านี้หรือติดต่อโฮสต์ WordPress และแพลตฟอร์มการโฮสต์

ด้วยเหตุนี้ เราจึงมาถึงจุดสิ้นสุดของการนำการอัปเดตไปใช้อย่างปลอดภัย

[ss_click_to_tweet tweet=”การอัปเดตอาจทำให้เว็บไซต์เสียหายได้ ดังนั้นการเรียนรู้วิธีอัปเดตความปลอดภัยของเว็บไซต์จึงเป็นเรื่องสำคัญ นี่คือสิ่งที่บทความนี้สอนฉัน” เนื้อหา =”” สไตล์ =”เริ่มต้น”]

อะไรต่อไป?

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ การอัปเดตซอฟต์แวร์จะแก้ไขช่องโหว่และช่วยรักษาไซต์ของคุณให้ปลอดภัยจากแฮกเกอร์และบอท แต่ช่องโหว่ของซอฟต์แวร์ไม่ใช่ภัยคุกคามเดียวที่เว็บไซต์ WordPress เผชิญ มีช่องโหว่อื่น ๆ ที่แฮ็กเกอร์สามารถใช้เพื่อเจาะเข้าไปในเว็บไซต์ของคุณได้ ยกตัวอย่างเช่น ข้อมูลรับรองผู้ใช้ที่อ่อนแอ

เพื่อปกป้องเว็บไซต์ของคุณจากช่องโหว่ทุกประเภทและการโจมตีจากการแฮ็ก (เช่น การโจมตี DDoS การโจมตีด้วยกำลังดุร้าย ฯลฯ) เราขอแนะนำให้ใช้การอัปเดต WordPress และปลั๊กอินความปลอดภัยของ WordPress เช่น MalCare

ปลั๊กอินจะปกป้องไซต์ของคุณด้วยไฟร์วอลล์และจำกัดความพยายามในการเข้าสู่ระบบด้วยมาตรการป้องกันการเข้าสู่ระบบ จะช่วยให้คุณใช้มาตรการแข็งตัวของไซต์ได้ และสแกนไซต์ของคุณทุกวัน หากตรวจพบกิจกรรมที่เป็นอันตราย คุณจะได้รับแจ้งทันที

ติดตั้ง MalCare เพื่อปกป้องเว็บไซต์ของคุณ 24×7