คู่มือสำหรับผู้เริ่มต้นเพื่อปกป้องไซต์ WordPress ของคุณ

เผยแพร่แล้ว: 2017-05-16

WordPress เป็นหนึ่งในระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุด

อันที่จริง ปัจจุบันแพลตฟอร์มการเผยแพร่นี้มีการใช้งานมากกว่า 27.5% ของเว็บไซต์ 10 ล้านอันดับแรก แพลตฟอร์มอื่น ๆ เช่น Joomla และ Drupal นั้นค่อนข้างซีดเมื่อเปรียบเทียบ สิ่งที่ทำให้ WordPress ได้รับการสนับสนุนอย่างกว้างขวางคือใช้งานง่าย ทำให้สามารถสร้างเว็บไซต์ที่ใช้งานได้อย่างสมบูรณ์ในระยะเวลาอันสั้น

แต่ความจริงที่ว่า WordPress แพร่หลายมากก็ทำให้เป็นเป้าหมายของแฮกเกอร์

ช่องโหว่ด้านความปลอดภัยใดๆ อาจทำให้ไซต์ของคุณเสี่ยงต่อการโจมตีที่เป็นอันตราย และอาจถึงขั้นทำลายข้อมูลผู้ใช้ในกระบวนการ การโจมตีประเภทนี้สามารถสร้างความเสียหายให้กับธุรกิจได้อย่างแน่นอน

ไซต์ที่ถูกบุกรุกไม่เพียงแต่ลดความไว้วางใจกับผู้เยี่ยมชมของคุณ แต่ยังทำให้เพจของคุณติดบัญชีดำใน Google ได้อีกด้วย อันที่จริง ขั้นตอนหนึ่งที่ Google ดำเนินการเพื่อไปยังเว็บที่มีความปลอดภัยมากขึ้นคือการแสดงคำเตือนสำหรับผู้ใช้ Chrome หากพวกเขากำลังพยายามเยี่ยมชมไซต์ที่อาจไม่ปลอดภัยหรือหลอกลวง (เช่น ฟิชชิงหรือมัลแวร์)

ใครก็ตามที่เข้าชมไซต์ของคุณ (หากถูกโจมตี) อาจพบกับสิ่งต่อไปนี้:

Protect Your WordPress Site

ความสำคัญของความปลอดภัยของเว็บไซต์ไม่สามารถเน้นเพียงพอ

ทำได้เพียงโจมตีครั้งเดียวเพื่อหยุดการขายโดยสมบูรณ์ และอาจจะทำให้ไซต์ของคุณติดบัญชีดำใน Google การนำไซต์ของคุณออกเป็นไปได้อย่างแน่นอน แต่คุณจะต้องขอรับการตรวจสอบโดยเจ้าหน้าที่ ซึ่งอาจใช้เวลาหลายวันหรือหลายสัปดาห์ในการแก้ไข ทั้งนี้ขึ้นอยู่กับปัญหา ทางออกที่ดีกว่ามากคือทำตามขั้นตอนต่างๆ เพื่อปกป้องไซต์ของคุณ

เรามาดูวิธีป้องกันและดูแลเว็บไซต์ WordPress ของคุณอย่างเจาะลึกในเชิงลึก

อัปเดต WordPress อยู่เสมอ

การอัปเดตสำหรับ WordPress มีความสำคัญ

จากการประเมินไซต์ที่ติดเชื้อมากกว่า 11,000 แห่งพบว่า 75% อยู่ใน WordPress ที่น่าประหลาดใจกว่านั้นคือความจริงที่ว่ากว่า 50% ของเว็บไซต์เหล่านั้นล้าสมัย การอัปเดตเป็นเวอร์ชันล่าสุดไม่เพียงแต่ช่วยให้คุณเข้าถึงคุณลักษณะใหม่ๆ เท่านั้น แต่ยังช่วยแก้ไขข้อบกพร่องด้านความปลอดภัยที่ผู้โจมตีสามารถใช้ประโยชน์ได้

อันที่จริง ช่องโหว่ด้านความปลอดภัยเหล่านี้เป็นที่รู้จักเมื่อมีการอัพเดทใหม่ๆ ต่อไปนี้คือตัวอย่างบันทึกความปลอดภัยสำหรับ WordPress เวอร์ชันที่อัปเดต:

Keep WordPress Updated

ข้อมูลนี้เปิดเผยอย่างเปิดเผยเมื่อมีการอัพเดทใหม่ แต่ถ้าคุณไม่อัปเดตทันที คุณจะปล่อยให้ไซต์ของคุณถูกโจมตีได้ อัปเดตเป็นเวอร์ชันล่าสุดเสมอเพื่อให้ไซต์ของคุณปลอดภัยจากช่องโหว่ที่ค้นพบใหม่ หากมีการอัปเดตใด ๆ คุณจะเห็นการแจ้งเตือนที่ด้านบนของแดชบอร์ด:

Keep WordPress Updated

WordPress เวอร์ชันใหม่กว่าช่วยให้คุณอัปเดตได้ง่ายๆ เพียงคลิกปุ่ม โปรดทราบว่าไซต์ของคุณจะถูกวางในโหมดการบำรุงรักษาในช่วงเวลาสั้นๆ จนกว่าการอัปเดตจะเสร็จสิ้น การอัปเดตใช้เวลาเพียงไม่กี่นาที แต่เมื่อเสร็จสิ้น คุณไม่จำเป็นต้องดำเนินการใดๆ

ไม่รู้สึกว่าต้องอัปเดตไซต์ของคุณด้วยตนเองในแต่ละครั้งใช่หรือไม่

การแจ้งเตือนอาจค่อนข้างน่ารำคาญ แต่การอัปเดต WordPress เป็นวิธีที่ง่ายที่สุดวิธีหนึ่งในการทำให้ไซต์ของคุณปลอดภัย หากคุณไม่ต้องการกังวลว่าไซต์ของคุณมีเวอร์ชันล่าสุดหรือไม่ คุณสามารถกำหนดค่าการอัปเดตอัตโนมัติด้วยการปรับแต่งง่ายๆ ไม่กี่ขั้นตอน

เปิดไฟล์ wp-config.php และเพิ่มบรรทัดต่อไปนี้:

[รหัส]
กำหนด ('WP_AUTO_UPDATE_CORE' จริง);
[/รหัส]

คุณยังสามารถเปิดใช้งานการอัปเดตปลั๊กอินอัตโนมัติโดยเพิ่มบรรทัดต่อไปนี้ในไฟล์เดียวกัน:

[รหัส]
add_filter( 'auto_update_plugin', '__return_true' );
[/รหัส]

และเพิ่มบรรทัดนี้เพื่อเปิดใช้งานการอัปเดตสำหรับธีม:

[รหัส]
add_filter( 'auto_update_theme', '__return_true' );
[/รหัส]

การเพิ่มบรรทัดเหล่านี้จะช่วยให้แน่ใจว่าไซต์ของคุณได้รับการอัปเดตอยู่เสมอโดยไม่ต้องดำเนินการอื่นใด หากคุณเป็นคนที่ไม่สามารถกังวลเกี่ยวกับการอัปเดตหรือการแจ้งเตือน คุณจะต้องกำหนดค่าการอัปเดตอัตโนมัติเพื่อให้แน่ใจว่าไซต์ของคุณทันสมัยอยู่เสมอ

ปกป้องพื้นที่ผู้ดูแลระบบ

ไม่ว่าบางสิ่งจะปลอดภัยเพียงใด ทุกคนสามารถเข้าถึงได้ง่ายหากมีเครื่องมือที่เหมาะสมหรือเจ้าของละเลย ด้วย WordPress พื้นที่ผู้ดูแลระบบเป็นเป้าหมายหลักสำหรับแฮกเกอร์

ทำตามขั้นตอนเหล่านี้เพื่อรักษาหน้านี้ให้ปลอดภัย:

ใช้รหัสผ่านที่รัดกุม

หากคุณใช้รหัสผ่านที่ไม่รัดกุม (เช่น “12345”, “รหัสผ่าน” เป็นต้น) คุณทำให้ไซต์ของคุณมีความเสี่ยงมากขึ้น เนื่องจากผู้โจมตีสามารถใช้สคริปต์อัตโนมัติเพื่อลวงเข้ามาได้ ซึ่งหมายความว่าพยายามใช้รหัสผ่านซ้ำๆ จนกว่าจะได้ผล . แต่การใช้รหัสผ่านที่รัดกุมซึ่งมีทั้งตัวเลขและสัญลักษณ์ผสมกันทำให้แทบเป็นไปไม่ได้เลยที่โปรแกรมที่ซับซ้อนที่สุดจะถอดรหัสได้

ใช้เครื่องมือเช่น Strong Password Generator เพื่อสร้างรหัสผ่านที่รัดกุมและปลอดภัยสำหรับไซต์ WordPress ของคุณ:

Use a Strong Password

การบังคับรหัสผ่านแบบนี้อาจต้องใช้เวลาหลายปีหรือหลายสิบปีกว่าจะถอดรหัสโปรแกรมคอมพิวเตอร์ได้ ข้อเสียคือรหัสผ่านที่รัดกุมนั้นจำยาก แต่การแลกเปลี่ยนนั้นคุ้มค่าแน่นอนถ้ามันหมายถึงการป้องกันไม่ให้ผู้โจมตีเข้าถึงเว็บไซต์ของคุณ โชคดีที่มีผู้จัดการรหัสผ่านจำนวนมากที่คุณสามารถใช้เพื่อจัดเก็บรหัสผ่านของคุณได้

เปลี่ยนชื่อผู้ใช้ของคุณ

เมื่อคุณติดตั้ง WordPress ครั้งแรก ระบบจะขอให้คุณป้อนชื่อผู้ใช้

Change Your Username

ผู้โจมตีจะไม่สามารถเข้าถึงแดชบอร์ดของคุณได้ เว้นแต่จะมีทั้งชื่อผู้ใช้และรหัสผ่านของคุณ คุณสามารถบล็อกความพยายามที่ดุร้ายได้ง่ายๆ โดยใช้ชื่อผู้ใช้ที่ไม่ซ้ำใคร ดังนั้นอย่าใช้ “admin” ในการเลือกชื่อผู้ใช้

จำกัดความพยายามในการเข้าสู่ระบบ

Limit Login Attempts

ดังที่ได้กล่าวไว้ก่อนหน้านี้ ผู้โจมตีสามารถใช้โปรแกรมเพื่อโจมตีเว็บไซต์ของคุณ อย่างไรก็ตาม มีปลั๊กอินต่างๆ เช่น Login LockDown ที่ให้คุณจำกัดความพยายามในการเข้าสู่ระบบจากที่อยู่ IP เฉพาะ หากพยายามมากกว่าสองสามครั้งไม่สำเร็จ ผู้ใช้รายนั้นจะถูกล็อค

เปลี่ยนชื่อหน้าเข้าสู่ระบบของคุณ

สุดท้าย อีกวิธีในการปกป้องพื้นที่ผู้ดูแลระบบคือการย้ายหน้าเข้าสู่ระบบทั้งหมด โดยทั่วไปจะเข้าถึงแดชบอร์ดได้จาก www.yoursite.com/wp-admin ปัญหาที่เห็นได้ชัดอย่างหนึ่งคือแฮกเกอร์รู้ว่าการต่อท้าย “ /wp-admin ” ในเว็บไซต์ WordPress จะทำให้พวกเขาเข้าถึงหน้าผู้ดูแลระบบได้

Rename Your Login Page

ปกป้อง WP-Admin แก้ปัญหานี้โดยอนุญาตให้เว็บมาสเตอร์ปรับแต่ง URL ของแผงการดูแลระบบ:

การปกป้องพื้นที่ผู้ดูแลระบบโดยทำตามขั้นตอนเหล่านี้สามารถลดและบล็อกการโจมตีอัตโนมัติไปยังไซต์ของคุณได้อย่างมาก

เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

การตรวจสอบสิทธิ์แบบสองปัจจัยเพิ่มระดับความปลอดภัยเพิ่มเติมโดยทำให้ผู้โจมตีเข้าถึงบัญชีของคุณได้ยากขึ้น การเข้าสู่ระบบไม่เพียงแต่ต้องใช้ชื่อผู้ใช้และรหัสผ่านเท่านั้น แต่ยังต้องใช้รหัสการอนุญาตเพิ่มเติมซึ่งโดยทั่วไปแล้วจะส่งผ่าน SMS ไปยังอุปกรณ์มือถือ

แม้ว่าผู้โจมตีจะคาดเดาชื่อผู้ใช้และรหัสผ่านของคุณ แต่พวกเขาก็ไม่สามารถเข้าสู่ระบบบัญชีของคุณได้หากไม่มีรหัสการให้สิทธิ์ ดาวน์โหลดและติดตั้งปลั๊กอิน Google Authenticator เพื่อตั้งค่าการตรวจสอบสิทธิ์สองปัจจัยบนไซต์ของคุณอย่างง่ายดาย:

Enable two-factor authentication

นอกเหนือจากความสามารถในการใช้แอป Google Authenticator สำหรับการตรวจสอบแล้ว ปลั๊กอินยังมีตัวเลือกเพิ่มเติมสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย เช่น การยืนยันอีเมลและการโทร การรับรองความถูกต้องด้วยสองปัจจัยยังสามารถใช้ได้หากไซต์ของคุณมีผู้ใช้หลายคน

ใช้ .htaccess เพื่อจำกัดการเข้าถึงไฟล์สำคัญ

คุณสามารถเพิ่มความปลอดภัยบนไซต์ WordPress ของคุณด้วยไฟล์ .htaccess ไฟล์นี้ส่วนใหญ่ใช้ใน WordPress เพื่อการเพิ่มประสิทธิภาพเว็บไซต์ เช่น การเขียน URL ใหม่เพื่อให้ใช้งานง่ายขึ้นและเครื่องมือค้นหา แต่ยังสามารถใช้เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้อีกด้วย

ไฟล์ .htaccess มักจะอยู่ในโฟลเดอร์รูท และสามารถเข้าถึงได้ผ่านไคลเอนต์ FTP หรือ cPanel นอกจากนี้ยังมีปลั๊กอินหลายตัวรวมถึง SEO โดย Yoast ซึ่งอนุญาตให้เข้าถึงได้โดยตรงจากแดชบอร์ด

หลายวิธีในการปกป้องไซต์ของคุณโดยใช้ไฟล์ .htaccess:

ซ่อน wp-config.php

ไฟล์ wp-config.php เป็นไฟล์มาตรฐานสำหรับการติดตั้งทุกครั้ง แต่ยังมีข้อมูลที่ละเอียดอ่อน เช่น คีย์ความปลอดภัยและรายละเอียดการเชื่อมต่อฐานข้อมูลไปยังไซต์ของคุณ นี่เป็นรายละเอียดที่คุณไม่ต้องการให้ผิดมืออย่างแน่นอน ทางออกที่ดีที่สุดคือการซ่อนไฟล์นี้ทั้งหมดและทำให้ไม่สามารถเข้าถึงได้

ซ่อนไฟล์ wp-config.php โดยเพิ่มรหัสต่อไปนี้ในไฟล์ .htaccess:

[รหัส]
<ไฟล์ wp-config.php>
คำสั่งอนุญาต ปฏิเสธ
ปฏิเสธจากทั้งหมด
</files>
[/รหัส]

ป้องกันการเรียกดูไดเรกทอรี

เนื่องจากวิธีที่ WordPress ใช้โครงสร้างไฟล์ จึงเป็นไปได้ทั้งหมดสำหรับผู้เยี่ยมชมที่จะเข้าถึงโฟลเดอร์และไฟล์ของไซต์ของคุณโดยเพียงแค่ไปที่ yoursite.com/wp-content/uploads ดังนั้น คุณจะต้องป้องกันการเรียกดูไดเร็กทอรี เนื่องจากผู้โจมตีสามารถใช้ข้อมูลนี้เพื่อจุดประสงค์ที่ชั่วร้ายได้

เพิ่มบรรทัดต่อไปนี้ในไฟล์ .htaccess ของคุณ:

[รหัส]
ตัวเลือก ทั้งหมด -ดัชนี
[/รหัส]

ไฟล์ PHP มีความสำคัญอย่างยิ่งในการป้องกัน เนื่องจากแฮกเกอร์สามารถใช้ไฟล์เหล่านี้เพื่อแทรกโค้ดที่เป็นอันตรายเพื่อแพร่ระบาดในไซต์ได้ เพิ่มโค้ดต่อไปนี้ในไฟล์ .htaccess ของคุณ เพื่อป้องกันการเข้าถึงไฟล์ PHP ของปลั๊กอินและธีมของคุณ:

[รหัส]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/รหัส]

เพียงเพิ่มการเปลี่ยนแปลงเหล่านี้ในไฟล์ .htaccess ของคุณ จะช่วยเพิ่มความปลอดภัยให้กับไซต์ WordPress และทำให้ผู้โจมตีเข้าถึงไซต์ของคุณได้ยากขึ้น อย่างไรก็ตาม ไม่มีไซต์ใดที่ปลอดภัยอย่างสมบูรณ์เนื่องจากมีการค้นพบและใช้ประโยชน์จากช่องโหว่ใหม่ ๆ อย่างต่อเนื่อง

นี่คือเหตุผลที่คุณต้องมีแผนสำรองในกรณีที่สิ่งต่างๆ แย่ลง

สำรองข้อมูลเว็บไซต์ของคุณอย่างสม่ำเสมอ สำรองข้อมูลอย่างสม่ำเสมอ

ไม่ว่าคุณจะใช้มาตรการด้านความปลอดภัยมากแค่ไหน เว็บไซต์ของคุณก็ยังคงมีความเสี่ยงอยู่

แม้ว่า WordPress จะมีมานานกว่าทศวรรษแล้ว แต่ทีมพัฒนาก็ยังคงระบุและแก้ไขปัญหาด้านความปลอดภัยอยู่เสมอ ไม่ต้องพูดถึงว่าธีมหรือปลั๊กอินใหม่ใดๆ ที่คุณติดตั้งอาจมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข

จึงเป็นความคิดที่ดีที่จะสำรองข้อมูลไซต์ของคุณเป็นประจำ ด้วยวิธีนี้ คุณสามารถกู้คืนไซต์ของคุณได้อย่างรวดเร็ว และลดการสูญเสียหากไซต์ของคุณถูกลบออกจากการโจมตี

คุณจะต้องแน่ใจว่าไซต์ของคุณได้รับการสำรองข้อมูลตามกำหนดเวลาปกติและบันทึกไปยังระบบคลาวด์ด้วย หากคอมพิวเตอร์ของคุณถูกบุกรุก คุณจะสามารถเข้าถึงข้อมูลสำรองและกู้คืนจากอุปกรณ์อื่นได้ เราแนะนำให้ใช้โซลูชันอัตโนมัติ เช่น BackupBuddy

Regularly Backup Your Site Maintain Regular Backups

โซลูชันการสำรองข้อมูลส่วนใหญ่ต้องการการสมัครสมาชิกแบบชำระเงิน แต่ถ้าคุณพึ่งพาเว็บไซต์ของคุณสำหรับธุรกิจของคุณ การจ่ายเงินก็คุ้มค่าเพื่อความสบายใจเพียงอย่างเดียว ในกรณีที่ไซต์ของคุณถูกลบเนื่องจากการโจมตี คุณสามารถทำงานร่วมกับผู้ให้บริการโฮสติ้งและเปลี่ยนไซต์ของคุณกลับเป็นเวอร์ชันก่อนหน้าได้อย่างง่ายดายด้วยการสำรองข้อมูล

บทสรุป

แม้ว่า WordPress เองจะมีความปลอดภัย แต่การเพิ่มธีม ปลั๊กอิน และโค้ดที่กำหนดเองจะเพิ่มโอกาสที่ช่องโหว่ด้านความปลอดภัยที่แฮ็กเกอร์สามารถ (และทำ) ได้ ไซต์ของคุณอาจเป็นเป้าหมายที่เป็นไปได้ เว้นแต่คุณจะใช้มาตรการรักษาความปลอดภัยบางอย่างในขณะนี้

สิ่งสำคัญคือต้องทราบว่าไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ แต่มีข้อควรระวังที่คุณสามารถทำได้ซึ่งจะช่วยลดโอกาสในการได้รับผลกระทบจากการโจมตีที่เป็นอันตราย

ทำตามขั้นตอนตามที่อธิบายไว้ที่นี่เพื่อเพิ่มความปลอดภัยให้กับไซต์ WordPress ของคุณ