วิธีดำเนินการตรวจสอบความปลอดภัยของ WordPress

เผยแพร่แล้ว: 2021-11-08

การรักษาความปลอดภัยไซต์ WordPress ของคุณไม่ใช่ข้อตกลงที่ทำเพียงครั้งเดียว ไม่ว่าคุณจะเชื่อถือปลั๊กอินความปลอดภัยของคุณมากแค่ไหน หรือคุณทุ่มเทให้กับการทำให้เว็บไซต์แข็งแกร่งเพียงใด เว็บไซต์ที่ปลอดภัยในปัจจุบันไม่ได้สร้างเว็บไซต์ที่ปลอดภัยในวันพรุ่งนี้ เพื่อป้องกันแฮ็กเกอร์ คุณต้องทำการตรวจสอบความปลอดภัยของ WordPress เป็นประจำและกรอกข้อมูลในช่องโหว่ที่คุณพบ

กลยุทธ์การแฮ็กเว็บไซต์มีความคืบหน้าอยู่เสมอ และด้วยวิธีการเหล่านี้จึงเป็นมาตรการป้องกันเพื่อให้ไซต์ของคุณปลอดภัย ให้คิดว่ามันเป็นวัฏจักร ยิ่งเว็บไซต์มีความปลอดภัยมากขึ้นเท่าใด แฮ็กเกอร์ที่มีความคิดสร้างสรรค์ต้องเข้าไปมากเท่านั้น ซึ่งหมายความว่าเว็บไซต์ของคุณต้องปลอดภัยยิ่งขึ้น เป็นต้น

ตั้งเป้าที่จะดำเนินการตรวจสอบความปลอดภัยของ WordPress ทุก ๆ สามเดือนเป็นอย่างน้อย ทุกเดือนจะดีกว่า และทุกสัปดาห์ (หรือรายวัน ขึ้นอยู่กับว่าไซต์ของคุณอ่อนไหวแค่ไหน) ดีที่สุด และแน่นอน หากคุณรู้สึกว่าไซต์ของคุณมีสิ่งผิดปกติ ให้ทำการตรวจสอบความปลอดภัยทันที ข้อใดต่อไปนี้ควรยกธงสีแดง:

  • เว็บไซต์ของคุณช้าและเฉื่อยในทันที
  • การเข้าชมเว็บไซต์ลดลงอย่างมากโดยไม่ทราบสาเหตุ
  • มีบัญชีใหม่ การพยายามเข้าสู่ระบบหรือคำขอ "ลืมรหัสผ่าน"
  • ลิงก์ใหม่ที่คุณไม่ได้เพิ่มอยู่ในเว็บไซต์ของคุณ

ขั้นตอนต่อไปนี้เป็นสิ่งที่ต้องทำเพื่อให้ไซต์ของคุณอยู่ในรูปแบบที่ดีที่สุดและปลอดภัย ด้วยรายการตรวจสอบในมือ คุณจะทำการตรวจสอบได้อย่างคล่องตัวแทนที่จะทำให้ยุ่งยาก

ภาพรวมของการตรวจสอบความปลอดภัยของ WordPress

เมื่อถึงจุดหนึ่ง เว็บไซต์ WordPress ทุกแห่งจะประสบปัญหาด้านความปลอดภัยบางประเภท โดยทั่วไปคือปลั๊กอินหรือธีมที่มีช่องโหว่ ทำให้แฮกเกอร์สามารถเข้าสู่ไซต์ของคุณได้ เมื่อไซต์ของคุณถูกแฮ็ก หลายสิ่งสามารถเกิดขึ้นได้:

  • ข้อมูลส่วนบุคคลของลูกค้าถูกขโมย
  • แสดงโฆษณาและเนื้อหาที่ผิดกฎหมาย
  • เบี่ยงเบนการจราจรที่อื่น
  • ข้อมูล WordPress ถูกเข้ารหัส ลบหรือขาย

นี่เป็นมากกว่าการปวดหัวหรือเว็บไซต์ล่มภายในเวลาไม่กี่ชั่วโมง แฮกเกอร์สามารถเก็บข้อมูลของคุณเพื่อเรียกค่าไถ่ ข้อมูลจากไซต์ของคุณสามารถขายได้บน Dark Web Google สามารถขึ้นบัญชีดำไซต์ของคุณเพื่อแสดงสแปมบนหน้าเว็บ ลูกค้าสามารถฟ้องคุณได้หากข้อมูลบัตรเครดิตของพวกเขาถูกขโมย เว็บไซต์อื่น ๆ สามารถติดไวรัสได้เมื่อแฮกเกอร์เข้าถึงเว็บไซต์ของคุณ

การตรวจสอบความปลอดภัยของ WordPress ระบุช่องโหว่เหล่านี้ ดังนั้นคุณจึงสามารถแก้ไขได้ทันที – ก่อน ที่แฮ็กเกอร์จะหาทางเข้ามา คุณจะต้องแน่ใจว่าขั้นตอนด้านความปลอดภัยที่คุณกำลังดำเนินการอยู่นั้นยังคงใช้งานได้ และคุณจะรู้ว่าคุณอยู่ที่ไหน ต้องการการป้องกันเพิ่มเติม

ประเมินปลั๊กอินความปลอดภัยที่คุณใช้อยู่

ปลั๊กอินความปลอดภัย WordPress ของคุณเป็นหนึ่งในเครื่องมือที่สำคัญที่สุดในการปกป้องไซต์ของคุณ ตรวจสอบให้แน่ใจว่าปลั๊กอินความปลอดภัยของคุณยังคงทำงานในลักษณะต่อไปนี้:

  • บันทึกกิจกรรม: ติดตามผู้ใช้ไซต์ของคุณ รวมถึงผู้ที่เข้าสู่ระบบและเวลาที่พยายามเข้าสู่ระบบล้มเหลว และการเปลี่ยนแปลงไซต์
  • ไฟร์วอลล์: วิธีนี้จะบล็อกบอท แฮกเกอร์ และที่อยู่ IP ที่พยายามจะเข้าสู่ไซต์ของคุณ
  • ความพยายามในการเข้าสู่ระบบ: ปลั๊กอินการรักษาความปลอดภัยที่มีคุณภาพจะบังคับใช้รหัสผ่านที่รัดกุม ต้องมีการตรวจสอบสิทธิ์แบบสองปัจจัย และจำกัดความพยายามในการเข้าสู่ระบบ
  • การป้องกันการเข้าสู่ระบบ: สิ่งนี้จะบล็อกการโจมตีแบบเดรัจฉาน ซึ่งเป็นเวลาที่แฮ็กเกอร์ลองใช้ชื่อผู้ใช้และรหัสผ่านที่แตกต่างกันเพื่อเข้าสู่ระบบ
  • การ สแกนและล้างมัลแวร์: การดำเนินการนี้ควรทำงานทุกวัน โดยทำการสแกนฐานข้อมูล ไฟล์ และโฟลเดอร์ของไซต์ของคุณในเชิงลึกเพื่อหามัลแวร์ และล้างข้อมูลทุกอย่างที่พบ
  • การแจ้งเตือนตามเวลาจริง: ปลั๊กอินควรแจ้งให้คุณทราบทันทีหากมีสิ่งน่าสงสัยเกิดขึ้นกับเว็บไซต์ของคุณ

ยังไม่มีปลั๊กอินความปลอดภัย? พิจารณาให้มันเป็นขั้นตอนเบื้องต้นในการตรวจสอบความปลอดภัยของ WordPress เราได้รวบรวม 6 ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดให้เลือก

ทดสอบโซลูชันการสำรองข้อมูลเว็บไซต์ของคุณ

หากมีบางอย่างผิดปกติในเว็บไซต์ของคุณซึ่งเป็นไปไม่ได้หรือซับซ้อนเกินกว่าจะแก้ไข การมีข้อมูลสำรองของ WordPress หมายความว่าคุณสามารถกู้คืนเว็บไซต์เป็นสถานะก่อนหน้าได้ก่อนที่ปัญหาจะเกิดขึ้น อย่างไรก็ตาม หากการสำรองข้อมูลของคุณล้มเหลว คุณจะไม่มีอะไรต้องกู้คืน ซึ่งหมายความว่าคุณอาจติดอยู่กับไซต์ที่ติดไวรัสหรือทำงานผิดปกติ ตามหลักการแล้ว คุณจะใช้โซลูชันสำรองข้อมูล (ไม่ว่าจะเป็นโซลูชันที่โฮสต์ให้มาหรือปลั๊กอินที่คุณใช้) ที่ช่วยให้คุณทดสอบข้อมูลสำรองได้ เช่น BlogVault คุณอาจต้องการอ่านบทความของเราด้วย 6 ปลั๊กอินสำรอง WordPress ที่ดีที่สุด

ผ่านผู้ดูแลระบบ WordPress และการตั้งค่า FTP

ด้วย WordPress คุณสามารถมีหลายคนที่เข้าสู่ระบบเพื่อทำงานในโครงการต่างๆ ได้ แต่นั่นไม่ได้หมายความว่าทุกคนที่เข้าสู่ระบบควรมีสิทธิ์เข้าถึงเว็บไซต์ของคุณโดยสมบูรณ์ และเมื่อพูดถึงไคลเอนต์ FTP ของคุณ การอนุญาตให้เข้าถึงได้หลายคนหมายความว่าพวกเขาสามารถเปลี่ยนแปลง … ของไซต์ของคุณได้ทุกอย่าง

เมื่อคุณเพิ่มผู้ใช้ใหม่ใน WordPress คุณจะกำหนดบทบาทให้กับพวกเขา (และคุณสามารถแก้ไขโปรไฟล์เพื่อเปลี่ยนบทบาทของพวกเขาได้เช่นกัน):

การตรวจสอบความปลอดภัยของเวิร์ดเพรส

บทบาทที่แตกต่างกันมีความสามารถที่แตกต่างกัน ตัวอย่างเช่น ผู้ดูแลระบบสามารถเข้าถึงเครื่องมือการดูแลระบบทั้งหมดของไซต์ได้ (เช่น การเปลี่ยนธีมหรือการติดตั้งปลั๊กอิน) แต่ผู้ร่วมให้ข้อมูลสามารถเขียนและจัดการโพสต์ของตนเองเท่านั้น นี่คือรายละเอียดที่ครอบคลุมของบทบาทและความสามารถที่แตกต่างกัน

สำหรับการตรวจสอบความปลอดภัยของ WordPress ให้ทำดังต่อไปนี้:

  • ดูว่าผู้ใช้ WordPress รายใดมีสิทธิ์เข้าถึงระดับผู้ดูแลระบบ
  • ตัดสินใจว่าผู้ใช้เหล่านั้นทั้งหมดต้องการการเข้าถึงระดับนั้นหรือไม่ (และหากผู้อื่นที่มีการเข้าถึงที่จำกัดควรเป็นผู้ดูแลระบบ)
  • ลดสิทธิ์และจำกัดการเข้าถึงโดยอัปเดตบทบาทของผู้ใช้สำหรับบุคคลเหล่านั้น
  • หากคุณไม่รู้จักผู้ใช้ในแดชบอร์ด ให้ลบออก อาจเป็นบัญชีที่แฮ็กเกอร์สร้างขึ้น
  • ชื่อผู้ใช้ใด ๆ เป็นเพียง "ผู้ดูแลระบบ"? นี่เป็นชื่อผู้ใช้ที่ธรรมดาเกินไปและเป็นชื่อผู้ใช้ที่แฮ็กเกอร์มักพยายามใช้เพื่อเข้าถึงไซต์ของคุณ สร้างบัญชีผู้ใช้ใหม่สำหรับบุคคลนั้นและลบบัญชีเก่า
  • ลบบัญชี FTP สำหรับผู้ใช้ที่ไม่ต้องการการเข้าถึงระดับสูง

สุดท้ายนี้ หากไซต์ของคุณอนุญาตให้มีสมาชิก คุณต้องการให้แน่ใจว่าพวกเขาต้องสร้างบัญชีจริงเมื่อลงชื่อสมัครใช้ และบทบาทเริ่มต้นของพวกเขาไม่อนุญาตให้ผู้ดูแลระบบเข้าถึง ไปที่ การตั้งค่า > ทั่วไป ยกเลิกการเลือกช่องถัดจาก ใครๆ ก็ลงทะเบียน ได้ จากนั้นเลือกตัวเลือกที่เหมาะสมภายใต้ New User Default Role

ตรวจสอบให้แน่ใจว่า WordPress เป็นเวอร์ชันล่าสุด

คุณอาจให้การทำงานนี้ทำงานโดยอัตโนมัติ แต่ยังคงต้องจ่ายเงินเพื่อตรวจสอบอีกครั้งว่า WordPress ได้รับการอัปเดตเป็นเวอร์ชันล่าสุดแล้ว การอัปเดตไม่เพียงแต่แก้ไขช่องโหว่ด้านความปลอดภัย แต่ยังปรับปรุงประสิทธิภาพและเพิ่มคุณสมบัติอีกด้วย ไปที่ Dashboard > Updates เพื่อดูว่าพร้อมหรือไม่

การตรวจสอบความปลอดภัยของเวิร์ดเพรส

ทำความสะอาดปลั๊กอินและธีมของคุณ

ปลั๊กอินสามารถขยายขีดความสามารถของเว็บไซต์ของคุณ แต่ก็มีความเสี่ยงที่จะถูกโจมตีเช่นกัน โดยเฉพาะอย่างยิ่งหากไปโดยไม่ได้รับการอัปเดตนานเกินไป นักพัฒนาที่เชื่อถือได้จะคอยติดตามช่องโหว่ของปลั๊กอินและเผยแพร่การอัปเดตด้วยแพตช์ ระหว่างการอัปเดตความปลอดภัยของ WordPress ให้ไปที่รายการปลั๊กอินและทำดังต่อไปนี้:

  • ปิดใช้งานและถอนการติดตั้งปลั๊กอินที่คุณไม่ได้ใช้อีกต่อไปหรือที่คุณไม่รู้จัก
  • อัปเดตปลั๊กอินที่เหลือที่มีการอัปเดตพร้อม
  • หากคุณกำลังใช้ปลั๊กอินที่ไม่ได้รับการอัปเดตจากนักพัฒนาซอฟต์แวร์ ให้พิจารณาใช้ปลั๊กอินอื่นที่มีฟังก์ชันเหมือนกัน ปลั๊กอินที่ล้าสมัยจะเสี่ยงต่อปัญหาด้านความปลอดภัยมากเกินไป

แม้ว่าคุณจะทำการตรวจสอบความปลอดภัยของ WordPress ทุกๆ เดือน คุณควรตรวจสอบปลั๊กอินของคุณอย่างสม่ำเสมอมากขึ้นเพื่ออัปเดตตามความจำเป็น นอกจากนี้ ให้ลบธีมใดๆ ที่คุณไม่ได้ใช้หรือไม่ต้องการออก เช่นเดียวกับปลั๊กอิน ธีมมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัย ดังนั้นจึงเป็นการดีที่สุดที่จะรักษาเว็บไซต์ของคุณให้ปราศจากความยุ่งเหยิงมากที่สุด

อยู่อย่างปลอดภัยที่นั่น!

คุณไม่ได้หยุดทำงานในส่วนอื่นๆ ของธุรกิจของคุณ – นำเสนอผลิตภัณฑ์หรือบริการใหม่ ทำการตลาด การขาย ฯลฯ ความปลอดภัยของเว็บไซต์ของคุณไม่ควรแตกต่างไปจากนี้ ปัญหาเล็กๆ น้อยๆ สามารถนำไปสู่การแฮ็กที่คุกคามธุรกิจได้อย่างรวดเร็ว หากคุณจับได้ทันเวลา แต่หากไม่รู้ว่าส่วนไหนของปัญหา คุณจะไม่ทราบว่าต้องแก้ไขส่วนใด

การรักษาเว็บไซต์ของคุณให้ปลอดภัยเป็นกระบวนการที่ต่อเนื่อง และการมีรายการตรวจสอบความปลอดภัยของ WordPress ที่จะช่วยให้คุณไม่ต้องพยายามจดจำว่าต้องทำอะไรทุกเดือน นอกจากนี้ ยิ่งคุณสร้างระบบอัตโนมัติด้วยปลั๊กอินความปลอดภัยได้มากเท่าไหร่ ก็ยิ่งดีเท่านั้น รายการตรวจสอบความปลอดภัย WordPress ของคุณอาจมีขนาดเล็กกว่ามาก หากสิ่งที่คุณต้องทำส่วนใหญ่คือตรวจสอบอีกครั้งว่าปลั๊กอินยังคงทำงานอย่างถูกต้อง เรามีภาพรวมเชิงลึกของบทวิจารณ์สองปลั๊กอินความปลอดภัยชั้นนำ ได้แก่ Sucuri และ Wordfence