7 แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress

เนื่องจากการแฮ็กและการละเมิดความปลอดภัยกลายเป็นเรื่องที่น่ากังวลมากขึ้นสำหรับทุกคนที่ใช้งานเว็บไซต์ WordPress สิ่งสำคัญคือต้องรู้ว่าคุณสามารถปรับปรุงความปลอดภัยของคุณได้อย่างมากโดยใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress สองสามข้อ

หากคุณยังไม่มีกลยุทธ์ด้านความปลอดภัย WordPress โพสต์นี้จะช่วยให้คุณเข้าใจเจ็ดวิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ WordPress ของคุณ

แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress

• 1. ใช้รหัสผ่านที่รัดกุมด้วยความช่วยเหลือจากผู้จัดการรหัสผ่าน
• 2. สองปัจจัยทุกอย่าง
• 3. เปลี่ยนเกลือของ WordPress เป็นประจำ
• 4. ใช้การอนุญาตไฟล์ที่ปลอดภัย
• 5. ใช้ sFTP ทุกครั้งที่ทำได้
• 6. ใช้ SSL กับเว็บไซต์ WordPress ทั้งหมดของคุณ
• 7. ทำให้ไซต์ WordPress ของคุณและทุกอย่างเป็นปัจจุบันอยู่เสมอ

ทำความเข้าใจกับภัยคุกคาม: แฮ็กเกอร์คืออะไร?

น่าเสียดายที่มีคนและระบบที่ทำงานอย่างหนักเพื่อแฮ็คเว็บไซต์ คำว่า "แฮ็กเกอร์" อาจทำให้มีความคิดบางอย่าง รวมถึง:

• วัยรุ่นที่สวมหน้ากากที่เข้าใจยากที่ทำงานอยู่ในห้องใต้ดินที่มืดมิด
• ตัวแทนรัฐบาลแทรกซึมอาชญากรหรือรัฐบาลต่างประเทศ
• เครือข่ายใต้ดินต่อสู้เพื่อเสรีภาพ ความเสมอภาค หรือการเปิดโปงการทุจริต

แม้ว่าสถานการณ์ "แฮ็กเกอร์" เหล่านี้จะมีอยู่จริง แต่ก็ไม่น่าจะกำหนดเป้าหมายเว็บไซต์ WordPress ส่วนตัวของคุณ คุณอาจถูกล่อลวงให้ทำการโจมตี แต่ความจริงก็คือ “แฮ็กเกอร์” เป็นเหมือนหุ่นยนต์ที่ไม่สนใจ

โดยโรบ็อต เราหมายถึง “บอท” หรือโค้ดอัตโนมัติที่มีการเชื่อมต่อกับอินเทอร์เน็ต เช่นเดียวกับแขนกลหุ่นยนต์ที่โรงงานผลิตที่ได้รับการตั้งโปรแกรมให้ทำงานเฉพาะ บอทเหล่านี้ทำงานทุก ๆ วินาทีของทุกวันเพื่อทำงานตามโปรแกรมได้บ่อยเท่าที่จะทำได้บนไซต์ต่างๆ ให้มากที่สุดเท่าที่จะทำได้

ตรรกะของการแฮ็กบอทมักจะสรุปได้ว่า "ค้นหาไซต์และเปิดการโจมตีเฉพาะนี้" เป้าหมายของการโจมตีมักจะทำให้ไซต์ที่ถูกโจมตีกลายเป็นบอทอื่นที่สามารถมอบหมายงานได้ งานอาจมีตั้งแต่การโจมตีไซต์อื่นไปจนถึงการส่งสแปมหรืออีเมลฟิชชิ่ง กล่าวอีกนัยหนึ่ง บอทเหล่านี้ไม่ทราบว่าไซต์ของคุณเกี่ยวกับอะไรและไม่สนใจ สำหรับผู้สร้างบอท ไซต์ที่ถูกบุกรุกแต่ละแห่งช่วยให้พวกเขาเข้าถึงแหล่งข้อมูลเพิ่มเติมเพื่อสร้างกระแสรายได้ไม่ทางใดก็ทางหนึ่ง

ทำไมบางคนถึงต้องการแฮ็คเว็บไซต์ของฉัน

ปัจจุบันมีเว็บไซต์หลายสิบล้านเว็บไซต์ WordPress มีอำนาจประมาณ 26% ของพวกเขา น่าเสียดายที่ไซต์ WordPress จำนวนมหาศาลทำให้เป็นเป้าหมาย

เมื่อเร็ว ๆ นี้ Sucuri ได้เปิดตัวรายงาน WordPress ที่ถูกแฮ็ก โดยมีประมาณ 94% ของไซต์ที่พวกเขาทำงานในไตรมาสที่สามของปี 2019 เป็นไซต์ WordPress

แผนภูมิแบบนี้อาจทำให้ผู้ใช้กังวลว่า WordPress จะไม่ปลอดภัย — จริงอยู่ ในแผนภูมิด้านบน Sucuri พบว่าในกรณีส่วนใหญ่ การประนีประนอมมีเพียงเล็กน้อยหรือไม่มีอะไรเกี่ยวข้องกับแกนหลักของ WordPress แต่การ ประนีประนอม WordPress นั้นเกี่ยวข้องกับการปรับใช้ การกำหนดค่า และการบำรุงรักษาโดยรวมที่ไม่เหมาะสมโดยผู้ดูแลเว็บและโฮสต์

แม้จะมีปัญหาด้านความปลอดภัยของ WordPress ที่ทราบกันดีอยู่แล้ว แต่ WordPress ก็ยังปลอดภัย หากคุณอัปเดตและใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress

ฉันจะรักษาเว็บไซต์ WordPress ของฉันให้ปลอดภัยได้อย่างไร

เมื่อพูดถึงความปลอดภัยของ WordPress มันไม่ได้เกี่ยวกับว่าคุณถูกโจมตีหรือไม่ แต่เป็นการป้องกันไม่ให้แฮ็ค WordPress ประสบความสำเร็จ แล้วเราจะทำอะไรได้บ้าง? คุณสามารถปรับปรุงการรักษาความปลอดภัยของ WordPress ได้อย่างมากโดยทบทวนเคล็ดลับความปลอดภัย 101 ของ WordPress และนำแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress ไปใช้

1. ใช้รหัสผ่านที่คาดเดายากด้วยความช่วยเหลือของตัวจัดการรหัสผ่าน

นี่คือแบบทดสอบอย่างรวดเร็ว คุณรู้รหัสผ่านของคุณอย่างน้อยหนึ่งรหัสหรือไม่? คุณเคยใช้รหัสผ่านนั้นเพื่อเข้าสู่ระบบอื่นที่อื่นหรือไม่? หากคุณตอบว่าใช่สำหรับคำถามทั้งสองข้อนี้ กลยุทธ์รหัสผ่านของคุณอาจใช้การตรวจสอบอย่างจริงจัง

อะไรทำให้รหัสผ่านที่ดี?

• ยาว
• สุ่ม
• มีเอกลักษณ์

หากคุณรู้รหัสผ่านของคุณ รหัสผ่านอาจอ่อนแอเกินไป นั่นเป็นเหตุผลที่การใช้ตัวจัดการรหัสผ่านเพื่อจัดการรหัสผ่านของคุณจึงเป็นวิธีที่ดีที่สุดในการรักษาความปลอดภัยให้กับการเข้าสู่ระบบบัญชีทั้งหมดของคุณ

ด้วยความช่วยเหลือของตัวจัดการรหัสผ่าน คุณสามารถสร้างรหัสผ่านที่ยาว สุ่มและไม่ซ้ำกัน และจัดเก็บไว้อย่างปลอดภัยด้วยความช่วยเหลือของส่วนขยายเบราว์เซอร์ ดังนั้นรหัสผ่านเดียวที่คุณจะต้องจำไว้ก็คือรหัสผ่านหลักของคุณเพื่อเข้าสู่ระบบตัวจัดการรหัสผ่านของคุณ

ผู้จัดการรหัสผ่าน:

• LastPass
• 1รหัสผ่าน
• Dashlane

ด้วยความช่วยเหลือของตัวจัดการรหัสผ่าน คุณสามารถเริ่มใช้การรักษาความปลอดภัยรหัสผ่านที่ดีสำหรับการเข้าสู่ระบบของคุณ ดูเคล็ดลับการรักษาความปลอดภัยรหัสผ่าน WordPress เพิ่มเติม

2. สองปัจจัยสำหรับทุกสิ่ง

การรับรองความถูกต้องด้วยสองปัจจัยไม่ได้เป็นเพียงความรำคาญ แต่เป็นความปลอดภัยที่แท้จริง คุณเคยใช้การรับรองความถูกต้องด้วยสองปัจจัยและคุณรู้หรือไม่ว่ามันทำงานอย่างไร

การรับรองความถูกต้องด้วยสองปัจจัยเป็นกระบวนการในการยืนยันตัวตนของบุคคลโดยกำหนดให้มีการยืนยันสองวิธี: สิ่งที่คุณรู้ สิ่งที่คุณมี หรือสิ่งที่คุณเป็น

แม้ว่าการตรวจสอบสิทธิ์แบบสองปัจจัยจะเป็นเรื่องที่น่ารำคาญได้ง่าย แต่ก็ถึงเวลาแล้วที่จะต้องผ่านพ้นความไม่สะดวกและให้ความรู้แก่ทุกคนที่เราทราบเกี่ยวกับคุณค่าของการใช้วิธีนี้เพื่อรักษาความปลอดภัยในการเข้าสู่ระบบของคุณ หากมีคนสามารถขัดขวางข้อมูลประจำตัวของคุณได้ จะไม่ช่วยพวกเขาหากคุณเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย แฮ็กเกอร์ไม่เพียงต้องมีชื่อผู้ใช้และรหัสผ่านของคุณเท่านั้น แต่ยังต้องมีอุปกรณ์มือถือของคุณเพื่อเข้าสู่ระบบให้สำเร็จ

เพิ่มการรับรองความถูกต้องด้วยสองปัจจัยในการเข้าสู่ระบบ WordPress ของคุณ จากนั้นทำทุกสิ่งด้วยปัจจัยสองปัจจัย ทุกที่ที่คุณทำได้ (รวมถึงอีเมล บัญชีการเงิน แม้แต่เครือข่ายสังคมของคุณหากมี)

ด้วย iThemes Security Pro คุณสามารถเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress ในการเข้าสู่ระบบ WordPress ของคุณได้อย่างง่ายดาย

3. เปลี่ยน Salts & Keys ของ WordPress เป็นประจำ

WordPress ใช้คุกกี้ (หรือข้อมูลที่เก็บไว้ในเบราว์เซอร์ของคุณ) เพื่อยืนยันตัวตนของผู้ใช้ที่เข้าสู่ระบบและผู้แสดงความคิดเห็น เพื่อปกป้องและรับรองการเข้ารหัสข้อมูลการเข้าสู่ระบบที่จัดเก็บไว้ในคุกกี้ WordPress ของคุณได้ดียิ่งขึ้น WordPress จึงมีคีย์การตรวจสอบสิทธิ์ที่เป็นความลับและเกลือในไฟล์ wp-config.php ของคุณ โดยพื้นฐานแล้ว เกลือและคีย์ของ WordPress เป็นรหัสผ่านเพิ่มเติมสำหรับไซต์ของคุณที่ยาว สุ่มและซับซ้อน ดังนั้นจึงแทบจะเป็นไปไม่ได้เลยที่จะทำลาย

มีปลั๊กอินหลายตัวรวมถึง iThemes Security Pro ที่สามารถเปลี่ยนเกลือและคีย์ WordPress ของคุณได้

• iThemes Security Pro
• ตัวแก้ไขไฟล์ WP Config

4. ใช้การอนุญาตไฟล์ที่ปลอดภัย

เว็บไซต์ของคุณมีความปลอดภัยเพียงใดหากมีใครสามารถดูหรือเขียนไฟล์เซิร์ฟเวอร์ของคุณได้ มันไม่ใช่. การอนุญาตไฟล์ WordPress ที่ปลอดภัยเป็นสิ่งจำเป็น

ตัวอย่างเช่น สิทธิ์ของไฟล์และไดเร็กทอรีเหล่านี้เป็นสิ่งที่ไม่มี

• ไดเรกทอรี – 777
• ไฟล์ – 666

สิ่งที่คุณสามารถตั้งค่าได้จริงอาจแตกต่างกันไปในแต่ละเซิร์ฟเวอร์ แต่โดยปกติแล้ว คุณสามารถปรับสิทธิ์ของไฟล์และไดเรกทอรีผ่านแผงควบคุมโฮสต์และไคลเอนต์ FTP คุณควรมีไฟล์ของคุณอยู่ระหว่าง 400 ถึง 444 และไดเร็กทอรีของคุณอยู่ระหว่าง 700 ถึง 744

ปลั๊กอิน iThemes Security มีวิธีตรวจสอบสถานะการอนุญาตไฟล์ของคุณอย่างรวดเร็วหากคุณไม่แน่ใจ

5. ใช้ sFTP ทุกครั้งที่ทำได้

หากคุณแก้ไขไฟล์บนเว็บไซต์ คุณควรเริ่มใช้ sFTP แทน FTP หากคุณไม่ได้แก้ไขโค้ดโดยตรง ตรวจสอบให้แน่ใจว่านักพัฒนาเว็บของคุณใช้โปรโตคอลความปลอดภัยสูงสุดในการเข้าถึงไฟล์เซิร์ฟเวอร์

แม้ว่าทั้งโปรโตคอล SFTP และ FTP จะถ่ายโอนข้อมูล นั่นเป็นจุดที่ความคล้ายคลึงกันสิ้นสุดลง เช่นเดียวกับไพรเมอร์ FTP ย่อมาจาก File Transfer Protocol FTP ถ่ายโอนข้อมูลระหว่างการเชื่อมต่อระยะไกลสองรายการในรูปแบบข้อความธรรมดา เมื่อใดก็ตามที่ผู้ใช้เปิดเซสชัน FTP ปกติ การส่งข้อมูลทั้งหมดระหว่างโฮสต์และผู้ใช้จะถูกส่งเป็นข้อความธรรมดา ใครก็ตามที่มีความสามารถในการสอดแนมในเครือข่ายสามารถอ่านข้อมูล รวมทั้งข้อมูลรหัสผ่านของคุณ

sFTP เป็นรูปแบบที่ปลอดภัยของคำสั่ง FTP sFTP ช่วยให้มั่นใจได้ว่าข้อมูลจะได้รับการถ่ายโอนอย่างปลอดภัยแบบส่วนตัวโดยใช้โปรโตคอล SSH2 เมื่อใช้ sFTP แทน FTP เซสชันการเข้าสู่ระบบทั้งหมด รวมถึงการส่งรหัสผ่าน จะถูกเข้ารหัส ดังนั้นจึงยากกว่ามากสำหรับคนที่สอดแนมในเครือข่ายเพื่อสังเกตและรวบรวมรหัสผ่าน

6. ใช้ SSL กับเว็บไซต์ WordPress ทั้งหมดของคุณ

SSL คืออะไร? ทำไมคุณควรใช้มัน? เราทุกคนเห็นแม่กุญแจสีเขียวในเบราว์เซอร์ของเราถัดจาก URL ที่เรากำลังเข้าถึง แต่เหตุใดจึงสำคัญนัก

ต่อไปนี้เป็นข้อมูลเบื้องต้นเกี่ยวกับคำศัพท์ SSL/HTTPS:

• HTTP ย่อมาจาก Hyper Text Protocol เมื่อใช้ HTTP เพื่อถ่ายโอนข้อมูล ผู้มีความรู้สามารถสกัดกั้นและดูข้อมูลได้ค่อนข้างง่าย
• HTTPS ย่อมาจาก Hyper Text Protocol Secure เมื่อใช้ HTTPS หากใครก็ตามสามารถสกัดกั้นได้ ก็จะยังถอดรหัสไม่ได้เพราะมีการเข้ารหัสไว้
• SSL – Secure Socket Layers เป็นการรักษาความปลอดภัยระหว่างการถ่ายโอนในขณะที่ใช้ HTTPS

ในช่วงแรก ๆ ของเว็บ ผู้ดูแลระบบต้องการวิธีแบ่งปันข้อมูลที่พวกเขาใส่ทางออนไลน์ พวกเขาพัฒนาโปรโตคอล HTTP สำหรับสิ่งนี้ แต่เรียนรู้ได้อย่างรวดเร็วว่าง่ายต่อการสกัดกั้นและดูข้อมูล จากนั้นพวกเขาตกลงเกี่ยวกับขั้นตอนการรักษาความปลอดภัยของข้อมูลที่พวกเขาแบ่งปัน และนี่คือโปรโตคอล HTTPS

นี่คือที่มาของใบรับรอง SSL และ SSL ใบรับรอง SSL บนคอมพิวเตอร์แต่ละเครื่องที่เกี่ยวข้องกับการถ่ายโอนมีคีย์หรือล็อคที่ไม่ซ้ำกัน ข้อมูลกำลังถ่ายโอนผ่าน Secure Socket Layers คุณสามารถนึกภาพว่าข้อมูลกำลังเดินทางผ่านอุโมงค์ที่ปลอดภัยพร้อมแม่กุญแจที่ปลายทั้งสองข้าง ดังนั้นจึงไม่มีใครได้รับสิทธิพิเศษในข้อมูลของคุณ

ใบรับรอง SSL มีราคาที่หลากหลาย แต่จำเป็นอย่างยิ่งต่อการเก็บข้อมูลบนเว็บไซต์ของคุณให้ปลอดภัย มีหลายที่ที่จะซื้อใบรับรอง SSL แต่วิธีที่ง่ายที่สุดคือซื้อจากโฮสต์ของคุณและปล่อยให้พวกเขาติดตั้ง คุณยังสามารถดูการฝึกอบรม WordPress HTTPS ของเราได้อีกด้วย

7. ทำให้ไซต์ WordPress ของคุณและทุกอย่างเป็นปัจจุบันอยู่เสมอ

การรักษาให้ทันกับการบำรุงรักษา WordPress เป็นส่วนสุดท้ายของการมีกลยุทธ์การรักษาความปลอดภัยของ WordPress ที่แข็งแกร่ง เช่นเดียวกับที่สนามหญ้าของคุณต้องตัดหญ้าหรือรถของคุณต้องเปลี่ยนถ่ายน้ำมัน คุณต้องทำการบำรุงรักษาเว็บไซต์ WordPress เป็นประจำ ซึ่งหมายความว่าต้องคอยติดตามการอัปเดตหลัก ธีม และปลั๊กอินของ WordPress

• ทำให้ WordPress core ทันสมัยอยู่เสมอ
• อัปเดตปลั๊กอินและธีมให้ทันสมัยอยู่เสมอ
• อัปเดตรหัสผ่านของคุณเป็นประจำ
• ตรวจสอบไซต์ของคุณเป็นประจำเพื่อหาปลั๊กอิน ธีม และผู้ใช้ที่ไม่ได้ใช้ และลบออก
• มีการสำรองข้อมูล WordPress ล่าสุดอยู่เสมอ การสำรองข้อมูลไซต์ของคุณไม่เพียงแต่ช่วยให้คุณประหยัดเวลาได้หากมีสิ่งผิดปกติเกิดขึ้น แต่ยังช่วยประหยัดประสบการณ์ที่มีค่าใช้จ่ายสูงอีกด้วย ใช้ปลั๊กอินสำรองของ WordPress เช่น BackupBuddy เพื่อสร้างการสำรองข้อมูล WordPress อัตโนมัติและจัดเก็บไฟล์สำรองไว้นอกสถานที่ในปลายทางที่ปลอดภัย

หากคุณจัดการไซต์ WordPress หลายแห่ง มีเครื่องมือที่ช่วยให้การบำรุงรักษา WordPress ง่ายขึ้น เช่น iThemes Sync แทนที่จะลงชื่อเข้าใช้แต่ละเว็บไซต์เพื่อเรียกใช้การอัปเดต คุณมีแดชบอร์ดส่วนกลางเพียงหน้าเดียวเพื่อเรียกใช้หลายเว็บไซต์พร้อมกัน iThemes Sync ยังสามารถส่งอีเมลแจ้งเตือนเมื่อมีการอัปเดตใหม่สำหรับไซต์ WordPress ของคุณ ดังนั้นคุณจะไม่พลาดการอัปเดตความปลอดภัยที่สำคัญ

ไม่ว่าคุณจะดำเนินการอย่างไร โปรดตรวจสอบให้แน่ใจว่าคุณได้ปรับปรุงเว็บไซต์ WordPress และทุกอย่างในนั้นให้เป็นปัจจุบันอยู่เสมอ

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน