คู่มือสำหรับผู้เริ่มต้นเพื่อปกป้องไซต์ WordPress ของคุณ

WordPress เป็นหนึ่งในระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุด

อันที่จริง ปัจจุบันแพลตฟอร์มการเผยแพร่นี้มีการใช้งานมากกว่า 27.5% ของเว็บไซต์ 10 ล้านอันดับแรก แพลตฟอร์มอื่น ๆ เช่น Joomla และ Drupal นั้นค่อนข้างซีดเมื่อเปรียบเทียบ สิ่งที่ทำให้ WordPress ได้รับการสนับสนุนอย่างกว้างขวางคือใช้งานง่าย ทำให้สามารถสร้างเว็บไซต์ที่ใช้งานได้อย่างสมบูรณ์ในระยะเวลาอันสั้น

แต่ความจริงที่ว่า WordPress แพร่หลายมากก็ทำให้เป็นเป้าหมายของแฮกเกอร์

ช่องโหว่ด้านความปลอดภัยใดๆ อาจทำให้ไซต์ของคุณเสี่ยงต่อการโจมตีที่เป็นอันตราย และอาจถึงขั้นทำลายข้อมูลผู้ใช้ในกระบวนการ การโจมตีประเภทนี้สามารถสร้างความเสียหายให้กับธุรกิจได้อย่างแน่นอน

ไซต์ที่ถูกบุกรุกไม่เพียงแต่ลดความไว้วางใจกับผู้เยี่ยมชมของคุณ แต่ยังทำให้เพจของคุณติดบัญชีดำใน Google ได้อีกด้วย อันที่จริง ขั้นตอนหนึ่งที่ Google ดำเนินการเพื่อไปยังเว็บที่มีความปลอดภัยมากขึ้นคือการแสดงคำเตือนสำหรับผู้ใช้ Chrome หากพวกเขากำลังพยายามเยี่ยมชมไซต์ที่อาจไม่ปลอดภัยหรือหลอกลวง (เช่น ฟิชชิงหรือมัลแวร์)

ใครก็ตามที่เข้าชมไซต์ของคุณ (หากถูกโจมตี) อาจพบกับสิ่งต่อไปนี้:

ความสำคัญของความปลอดภัยของเว็บไซต์ไม่สามารถเน้นเพียงพอ

ทำได้เพียงโจมตีครั้งเดียวเพื่อหยุดการขายโดยสมบูรณ์ และอาจจะทำให้ไซต์ของคุณติดบัญชีดำใน Google การนำไซต์ของคุณออกเป็นไปได้อย่างแน่นอน แต่คุณจะต้องขอรับการตรวจสอบโดยเจ้าหน้าที่ ซึ่งอาจใช้เวลาหลายวันหรือหลายสัปดาห์ในการแก้ไข ทั้งนี้ขึ้นอยู่กับปัญหา ทางออกที่ดีกว่ามากคือทำตามขั้นตอนต่างๆ เพื่อปกป้องไซต์ของคุณ

เรามาดูวิธีป้องกันและดูแลเว็บไซต์ WordPress ของคุณอย่างเจาะลึกในเชิงลึก

อัปเดต WordPress อยู่เสมอ

การอัปเดตสำหรับ WordPress มีความสำคัญ

จากการประเมินไซต์ที่ติดเชื้อมากกว่า 11,000 แห่งพบว่า 75% อยู่ใน WordPress ที่น่าประหลาดใจกว่านั้นคือความจริงที่ว่ากว่า 50% ของเว็บไซต์เหล่านั้นล้าสมัย การอัปเดตเป็นเวอร์ชันล่าสุดไม่เพียงแต่ช่วยให้คุณเข้าถึงคุณลักษณะใหม่ๆ เท่านั้น แต่ยังช่วยแก้ไขข้อบกพร่องด้านความปลอดภัยที่ผู้โจมตีสามารถใช้ประโยชน์ได้

อันที่จริง ช่องโหว่ด้านความปลอดภัยเหล่านี้เป็นที่รู้จักเมื่อมีการอัพเดทใหม่ๆ ต่อไปนี้คือตัวอย่างบันทึกความปลอดภัยสำหรับ WordPress เวอร์ชันที่อัปเดต:

ข้อมูลนี้เปิดเผยอย่างเปิดเผยเมื่อมีการอัพเดทใหม่ แต่ถ้าคุณไม่อัปเดตทันที คุณจะปล่อยให้ไซต์ของคุณถูกโจมตีได้ อัปเดตเป็นเวอร์ชันล่าสุดเสมอเพื่อให้ไซต์ของคุณปลอดภัยจากช่องโหว่ที่ค้นพบใหม่ หากมีการอัปเดตใด ๆ คุณจะเห็นการแจ้งเตือนที่ด้านบนของแดชบอร์ด:

WordPress เวอร์ชันใหม่กว่าช่วยให้คุณอัปเดตได้ง่ายๆ เพียงคลิกปุ่ม โปรดทราบว่าไซต์ของคุณจะถูกวางในโหมดการบำรุงรักษาในช่วงเวลาสั้นๆ จนกว่าการอัปเดตจะเสร็จสิ้น การอัปเดตใช้เวลาเพียงไม่กี่นาที แต่เมื่อเสร็จสิ้น คุณไม่จำเป็นต้องดำเนินการใดๆ

ไม่รู้สึกว่าต้องอัปเดตไซต์ของคุณด้วยตนเองในแต่ละครั้งใช่หรือไม่

การแจ้งเตือนอาจค่อนข้างน่ารำคาญ แต่การอัปเดต WordPress เป็นวิธีที่ง่ายที่สุดวิธีหนึ่งในการทำให้ไซต์ของคุณปลอดภัย หากคุณไม่ต้องการกังวลว่าไซต์ของคุณมีเวอร์ชันล่าสุดหรือไม่ คุณสามารถกำหนดค่าการอัปเดตอัตโนมัติด้วยการปรับแต่งง่ายๆ ไม่กี่ขั้นตอน

เปิดไฟล์ wp-config.php และเพิ่มบรรทัดต่อไปนี้:

[รหัส]
กำหนด ('WP_AUTO_UPDATE_CORE' จริง);
[/รหัส]

คุณยังสามารถเปิดใช้งานการอัปเดตปลั๊กอินอัตโนมัติโดยเพิ่มบรรทัดต่อไปนี้ในไฟล์เดียวกัน:

[รหัส]
add_filter( 'auto_update_plugin', '__return_true' );
[/รหัส]

และเพิ่มบรรทัดนี้เพื่อเปิดใช้งานการอัปเดตสำหรับธีม:

[รหัส]
add_filter( 'auto_update_theme', '__return_true' );
[/รหัส]

การเพิ่มบรรทัดเหล่านี้จะช่วยให้แน่ใจว่าไซต์ของคุณได้รับการอัปเดตอยู่เสมอโดยไม่ต้องดำเนินการอื่นใด หากคุณเป็นคนที่ไม่สามารถกังวลเกี่ยวกับการอัปเดตหรือการแจ้งเตือน คุณจะต้องกำหนดค่าการอัปเดตอัตโนมัติเพื่อให้แน่ใจว่าไซต์ของคุณทันสมัยอยู่เสมอ

ปกป้องพื้นที่ผู้ดูแลระบบ

ไม่ว่าบางสิ่งจะปลอดภัยเพียงใด ทุกคนสามารถเข้าถึงได้ง่ายหากมีเครื่องมือที่เหมาะสมหรือเจ้าของละเลย ด้วย WordPress พื้นที่ผู้ดูแลระบบเป็นเป้าหมายหลักสำหรับแฮกเกอร์

ทำตามขั้นตอนเหล่านี้เพื่อรักษาหน้านี้ให้ปลอดภัย:

ใช้รหัสผ่านที่รัดกุม

หากคุณใช้รหัสผ่านที่ไม่รัดกุม (เช่น “12345”, “รหัสผ่าน” เป็นต้น) คุณทำให้ไซต์ของคุณมีความเสี่ยงมากขึ้น เนื่องจากผู้โจมตีสามารถใช้สคริปต์อัตโนมัติเพื่อลวงเข้ามาได้ ซึ่งหมายความว่าพยายามใช้รหัสผ่านซ้ำๆ จนกว่าจะได้ผล . แต่การใช้รหัสผ่านที่รัดกุมซึ่งมีทั้งตัวเลขและสัญลักษณ์ผสมกันทำให้แทบเป็นไปไม่ได้เลยที่โปรแกรมที่ซับซ้อนที่สุดจะถอดรหัสได้

ใช้เครื่องมือเช่น Strong Password Generator เพื่อสร้างรหัสผ่านที่รัดกุมและปลอดภัยสำหรับไซต์ WordPress ของคุณ:

การบังคับรหัสผ่านแบบนี้อาจต้องใช้เวลาหลายปีหรือหลายสิบปีกว่าจะถอดรหัสโปรแกรมคอมพิวเตอร์ได้ ข้อเสียคือรหัสผ่านที่รัดกุมนั้นจำยาก แต่การแลกเปลี่ยนนั้นคุ้มค่าแน่นอนถ้ามันหมายถึงการป้องกันไม่ให้ผู้โจมตีเข้าถึงเว็บไซต์ของคุณ โชคดีที่มีผู้จัดการรหัสผ่านจำนวนมากที่คุณสามารถใช้เพื่อจัดเก็บรหัสผ่านของคุณได้

เปลี่ยนชื่อผู้ใช้ของคุณ

เมื่อคุณติดตั้ง WordPress ครั้งแรก ระบบจะขอให้คุณป้อนชื่อผู้ใช้

ผู้โจมตีจะไม่สามารถเข้าถึงแดชบอร์ดของคุณได้ เว้นแต่จะมีทั้งชื่อผู้ใช้และรหัสผ่านของคุณ คุณสามารถบล็อกความพยายามที่ดุร้ายได้ง่ายๆ โดยใช้ชื่อผู้ใช้ที่ไม่ซ้ำใคร ดังนั้นอย่าใช้ “admin” ในการเลือกชื่อผู้ใช้

จำกัดความพยายามในการเข้าสู่ระบบ

ดังที่ได้กล่าวไว้ก่อนหน้านี้ ผู้โจมตีสามารถใช้โปรแกรมเพื่อโจมตีเว็บไซต์ของคุณ อย่างไรก็ตาม มีปลั๊กอินต่างๆ เช่น Login LockDown ที่ให้คุณจำกัดความพยายามในการเข้าสู่ระบบจากที่อยู่ IP เฉพาะ หากพยายามมากกว่าสองสามครั้งไม่สำเร็จ ผู้ใช้รายนั้นจะถูกล็อค

เปลี่ยนชื่อหน้าเข้าสู่ระบบของคุณ

สุดท้าย อีกวิธีในการปกป้องพื้นที่ผู้ดูแลระบบคือการย้ายหน้าเข้าสู่ระบบทั้งหมด โดยทั่วไปจะเข้าถึงแดชบอร์ดได้จาก www.yoursite.com/wp-admin ปัญหาที่เห็นได้ชัดอย่างหนึ่งคือแฮกเกอร์รู้ว่าการต่อท้าย “ /wp-admin ” ในเว็บไซต์ WordPress จะทำให้พวกเขาเข้าถึงหน้าผู้ดูแลระบบได้

ปกป้อง WP-Admin แก้ปัญหานี้โดยอนุญาตให้เว็บมาสเตอร์ปรับแต่ง URL ของแผงการดูแลระบบ:

การปกป้องพื้นที่ผู้ดูแลระบบโดยทำตามขั้นตอนเหล่านี้สามารถลดและบล็อกการโจมตีอัตโนมัติไปยังไซต์ของคุณได้อย่างมาก

เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

การตรวจสอบสิทธิ์แบบสองปัจจัยเพิ่มระดับความปลอดภัยเพิ่มเติมโดยทำให้ผู้โจมตีเข้าถึงบัญชีของคุณได้ยากขึ้น การเข้าสู่ระบบไม่เพียงแต่ต้องใช้ชื่อผู้ใช้และรหัสผ่านเท่านั้น แต่ยังต้องใช้รหัสการอนุญาตเพิ่มเติมซึ่งโดยทั่วไปแล้วจะส่งผ่าน SMS ไปยังอุปกรณ์มือถือ

แม้ว่าผู้โจมตีจะคาดเดาชื่อผู้ใช้และรหัสผ่านของคุณ แต่พวกเขาก็ไม่สามารถเข้าสู่ระบบบัญชีของคุณได้หากไม่มีรหัสการให้สิทธิ์ ดาวน์โหลดและติดตั้งปลั๊กอิน Google Authenticator เพื่อตั้งค่าการตรวจสอบสิทธิ์สองปัจจัยบนไซต์ของคุณอย่างง่ายดาย:

นอกเหนือจากความสามารถในการใช้แอป Google Authenticator สำหรับการตรวจสอบแล้ว ปลั๊กอินยังมีตัวเลือกเพิ่มเติมสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย เช่น การยืนยันอีเมลและการโทร การรับรองความถูกต้องด้วยสองปัจจัยยังสามารถใช้ได้หากไซต์ของคุณมีผู้ใช้หลายคน

ใช้ .htaccess เพื่อจำกัดการเข้าถึงไฟล์สำคัญ

คุณสามารถเพิ่มความปลอดภัยบนไซต์ WordPress ของคุณด้วยไฟล์ .htaccess ไฟล์นี้ส่วนใหญ่ใช้ใน WordPress เพื่อการเพิ่มประสิทธิภาพเว็บไซต์ เช่น การเขียน URL ใหม่เพื่อให้ใช้งานง่ายขึ้นและเครื่องมือค้นหา แต่ยังสามารถใช้เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้อีกด้วย

ไฟล์ .htaccess มักจะอยู่ในโฟลเดอร์รูท และสามารถเข้าถึงได้ผ่านไคลเอนต์ FTP หรือ cPanel นอกจากนี้ยังมีปลั๊กอินหลายตัวรวมถึง SEO โดย Yoast ซึ่งอนุญาตให้เข้าถึงได้โดยตรงจากแดชบอร์ด

หลายวิธีในการปกป้องไซต์ของคุณโดยใช้ไฟล์ .htaccess:

ซ่อน wp-config.php

ไฟล์ wp-config.php เป็นไฟล์มาตรฐานสำหรับการติดตั้งทุกครั้ง แต่ยังมีข้อมูลที่ละเอียดอ่อน เช่น คีย์ความปลอดภัยและรายละเอียดการเชื่อมต่อฐานข้อมูลไปยังไซต์ของคุณ นี่เป็นรายละเอียดที่คุณไม่ต้องการให้ผิดมืออย่างแน่นอน ทางออกที่ดีที่สุดคือการซ่อนไฟล์นี้ทั้งหมดและทำให้ไม่สามารถเข้าถึงได้

ซ่อนไฟล์ wp-config.php โดยเพิ่มรหัสต่อไปนี้ในไฟล์ .htaccess:

[รหัส]
<ไฟล์ wp-config.php>
คำสั่งอนุญาต ปฏิเสธ
ปฏิเสธจากทั้งหมด
</files>
[/รหัส]

ป้องกันการเรียกดูไดเรกทอรี

เนื่องจากวิธีที่ WordPress ใช้โครงสร้างไฟล์ จึงเป็นไปได้ทั้งหมดสำหรับผู้เยี่ยมชมที่จะเข้าถึงโฟลเดอร์และไฟล์ของไซต์ของคุณโดยเพียงแค่ไปที่ yoursite.com/wp-content/uploads ดังนั้น คุณจะต้องป้องกันการเรียกดูไดเร็กทอรี เนื่องจากผู้โจมตีสามารถใช้ข้อมูลนี้เพื่อจุดประสงค์ที่ชั่วร้ายได้

เพิ่มบรรทัดต่อไปนี้ในไฟล์ .htaccess ของคุณ:

[รหัส]
ตัวเลือก ทั้งหมด -ดัชนี
[/รหัส]

ไฟล์ PHP มีความสำคัญอย่างยิ่งในการป้องกัน เนื่องจากแฮกเกอร์สามารถใช้ไฟล์เหล่านี้เพื่อแทรกโค้ดที่เป็นอันตรายเพื่อแพร่ระบาดในไซต์ได้ เพิ่มโค้ดต่อไปนี้ในไฟล์ .htaccess ของคุณ เพื่อป้องกันการเข้าถึงไฟล์ PHP ของปลั๊กอินและธีมของคุณ:

[รหัส]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/รหัส]

เพียงเพิ่มการเปลี่ยนแปลงเหล่านี้ในไฟล์ .htaccess ของคุณ จะช่วยเพิ่มความปลอดภัยให้กับไซต์ WordPress และทำให้ผู้โจมตีเข้าถึงไซต์ของคุณได้ยากขึ้น อย่างไรก็ตาม ไม่มีไซต์ใดที่ปลอดภัยอย่างสมบูรณ์เนื่องจากมีการค้นพบและใช้ประโยชน์จากช่องโหว่ใหม่ ๆ อย่างต่อเนื่อง

นี่คือเหตุผลที่คุณต้องมีแผนสำรองในกรณีที่สิ่งต่างๆ แย่ลง

สำรองข้อมูลเว็บไซต์ของคุณอย่างสม่ำเสมอ สำรองข้อมูลอย่างสม่ำเสมอ

ไม่ว่าคุณจะใช้มาตรการด้านความปลอดภัยมากแค่ไหน เว็บไซต์ของคุณก็ยังคงมีความเสี่ยงอยู่

แม้ว่า WordPress จะมีมานานกว่าทศวรรษแล้ว แต่ทีมพัฒนาก็ยังคงระบุและแก้ไขปัญหาด้านความปลอดภัยอยู่เสมอ ไม่ต้องพูดถึงว่าธีมหรือปลั๊กอินใหม่ใดๆ ที่คุณติดตั้งอาจมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข

จึงเป็นความคิดที่ดีที่จะสำรองข้อมูลไซต์ของคุณเป็นประจำ ด้วยวิธีนี้ คุณสามารถกู้คืนไซต์ของคุณได้อย่างรวดเร็ว และลดการสูญเสียหากไซต์ของคุณถูกลบออกจากการโจมตี

คุณจะต้องแน่ใจว่าไซต์ของคุณได้รับการสำรองข้อมูลตามกำหนดเวลาปกติและบันทึกไปยังระบบคลาวด์ด้วย หากคอมพิวเตอร์ของคุณถูกบุกรุก คุณจะสามารถเข้าถึงข้อมูลสำรองและกู้คืนจากอุปกรณ์อื่นได้ เราแนะนำให้ใช้โซลูชันอัตโนมัติ เช่น BackupBuddy

โซลูชันการสำรองข้อมูลส่วนใหญ่ต้องการการสมัครสมาชิกแบบชำระเงิน แต่ถ้าคุณพึ่งพาเว็บไซต์ของคุณสำหรับธุรกิจของคุณ การจ่ายเงินก็คุ้มค่าเพื่อความสบายใจเพียงอย่างเดียว ในกรณีที่ไซต์ของคุณถูกลบเนื่องจากการโจมตี คุณสามารถทำงานร่วมกับผู้ให้บริการโฮสติ้งและเปลี่ยนไซต์ของคุณกลับเป็นเวอร์ชันก่อนหน้าได้อย่างง่ายดายด้วยการสำรองข้อมูล

บทสรุป

แม้ว่า WordPress เองจะมีความปลอดภัย แต่การเพิ่มธีม ปลั๊กอิน และโค้ดที่กำหนดเองจะเพิ่มโอกาสที่ช่องโหว่ด้านความปลอดภัยที่แฮ็กเกอร์สามารถ (และทำ) ได้ ไซต์ของคุณอาจเป็นเป้าหมายที่เป็นไปได้ เว้นแต่คุณจะใช้มาตรการรักษาความปลอดภัยบางอย่างในขณะนี้

สิ่งสำคัญคือต้องทราบว่าไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ แต่มีข้อควรระวังที่คุณสามารถทำได้ซึ่งจะช่วยลดโอกาสในการได้รับผลกระทบจากการโจมตีที่เป็นอันตราย

ทำตามขั้นตอนตามที่อธิบายไว้ที่นี่เพื่อเพิ่มความปลอดภัยให้กับไซต์ WordPress ของคุณ