วิธีป้องกันไซต์ WordPress ของคุณจากแฮกเกอร์

จะป้องกันไซต์ WordPress ของฉันจากแฮกเกอร์ได้อย่างไร หากนี่เป็นคำถามที่คุณพบว่าตัวเองถามบ่อยเกินไป แสดงว่าคุณไม่ได้อยู่คนเดียว ด้วยความนิยมของแพลตฟอร์ม WordPress เว็บไซต์ WordPress มักจะมีความเสี่ยงสูงที่จะถูกโจมตีและแฮ็ก โชคดีที่มีวิธีที่พยายามและเชื่อถือได้ในการ ปกป้องไซต์ WordPress จากแฮกเกอร์ และไม่ต้อง คุณไม่จำเป็นต้องเป็นผู้เชี่ยวชาญ WordPress เพื่อนำไปใช้กับไซต์ของคุณ

ในบทความนี้ เราจะแบ่งปัน 14 ขั้นตอนที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณจากแฮกเกอร์ มาเริ่มกันเลย.

วิธีการปกป้องเว็บไซต์ WordPress จากแฮกเกอร์?

ไม่ว่าขนาดหรือโดเมนของเว็บไซต์ของคุณจะเป็นขนาดใด ไม่มีเว็บไซต์ใดที่ปลอดภัยจากแฮกเกอร์ที่คอยมองหาวิธีที่จะแพร่กระจายเครือข่ายที่เป็นอันตรายในอินเทอร์เน็ต ไม่ว่าจะเป็นการปรับใช้สคริปต์อัตโนมัติเพื่อ 'รวบรวมข้อมูล' ไซต์ WordPress ของคุณและตรวจหาช่องโหว่ใดๆ หรือใช้เพื่อเข้าถึงบัญชี WordPress ของคุณ ไม่มีส่วนใดของเว็บไซต์ของคุณปลอดภัยจากแฮกเกอร์

การป้องกัน WordPress จากแฮกเกอร์ หมายถึงการปกป้องแต่ละส่วนของเว็บไซต์ของคุณจากมัลแวร์ การโจมตีแบบเดรัจฉาน และภัยคุกคามอื่นๆ มาตรการความปลอดภัย 14 ประการที่เรากำลังจะแบ่งปันเป็นรากฐานที่แข็งแกร่ง เพื่อให้คุณทำอย่างนั้นได้:

1. ใช้โฮสต์เว็บที่ปลอดภัย

เซิร์ฟเวอร์โฮสติ้งที่ปลอดภัยและสภาพแวดล้อมเป็นองค์ประกอบสำคัญในการปกป้องไซต์ WordPress ของคุณ ตรวจสอบให้แน่ใจว่าบริษัทโฮสติ้งของคุณให้ความสำคัญกับการรักษาไซต์ที่โฮสต์ให้ปลอดภัยจากการถูกแฮ็กผ่านบริการต่างๆ เช่น การสำรองข้อมูลปกติ การป้องกันไฟร์วอลล์ และการสแกนมัลแวร์

หากปัจจุบันคุณโฮสต์อยู่บนโฮสต์ที่ใช้ร่วมกัน ให้พิจารณาย้ายไปยังโฮสต์ระบบคลาวด์หรือโฮสต์ที่มีการจัดการที่ให้การรับประกันที่แข็งแกร่งยิ่งขึ้นสำหรับสภาพแวดล้อมที่ปลอดภัย

2. ใช้รหัสผ่านที่รัดกุม

รหัสผ่านที่รัดกุมน่าจะเป็นมาตรการที่ง่ายที่สุดในการ ปกป้อง WordPress จากแฮกเกอร์ และในการหยุดการโจมตีแบบเดรัจฉาน หลีกเลี่ยงการใช้รหัสผ่าน เช่น “123456” หรือ “รหัสผ่าน” ที่เดาง่ายอย่างเคร่งครัด ตรวจสอบให้แน่ใจว่ารหัสผ่านทุกอันมีความยาวอย่างน้อย 10-12 อักขระและประกอบด้วยตัวอักษร ตัวเลข และอักขระพิเศษผสมกัน

หากคุณมีผู้ใช้จำนวนมาก คุณสามารถใช้เครื่องมือจัดการรหัสผ่าน เช่น 1Password หรือ LastPass เพื่อสร้างและจัดเก็บรหัสผ่านที่รัดกุมขึ้นโดยอัตโนมัติสำหรับผู้ใช้แต่ละราย

3. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA)

แม้ว่าข้อมูลรับรองการเข้าสู่ระบบที่รัดกุมจะมีผลเสมอในการหยุดการโจมตีแบบเดรัจฉาน การป้องกันหน้าการเข้าสู่ระบบอีกชั้นหนึ่งก็สามารถใช้ได้โดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (หรือ 2FA) มาตรการนี้ช่วยให้แน่ใจว่าแม้ว่าผู้ใช้ที่ 'เป็นอันตราย' สามารถเดาข้อมูลรับรองการเข้าสู่ระบบที่ถูกต้องได้ พวกเขายังต้องป้อนรหัสยืนยันที่ถูกต้องซึ่งจะถูกส่งไปยังอุปกรณ์ของผู้ใช้ 'ของแท้' เท่านั้น

ในการใช้งาน 2FA สิ่งที่คุณต้องทำคือติดตั้งและเปิดใช้งานปลั๊กอิน 2FA เช่น Google Authenticator

4. จำกัดความพยายามในการเข้าสู่ระบบ

เพื่อให้ประสบความสำเร็จในการเข้าสู่บัญชี การโจมตีด้วยกำลังเดรัจฉานพยายามซ้ำแล้วซ้ำเล่าเพื่อคาดเดาข้อมูลรับรองผู้ใช้ที่ถูกต้อง ตามค่าเริ่มต้น ไซต์ WordPress อนุญาตให้พยายามเข้าสู่ระบบได้ไม่จำกัดจำนวน อย่างไรก็ตาม ไม่ควรหยุดคุณจากการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบเป็น 3 หรือ 4 ครั้ง

สิ่งที่คุณต้องทำคือติดตั้งเครื่องมือ CAPTCHA ที่แสดงหน้าจอ CAPTCHA หลังจากการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้ง เครื่องมือนี้ยังมีประสิทธิภาพในการพิจารณาว่าผู้ใช้ 'มนุษย์' หรือ 'บ็อต' พยายามเข้าถึงบัญชีเข้าสู่ระบบหรือไม่

5. เปลี่ยนชื่อผู้ใช้เริ่มต้นของคุณ “ผู้ดูแลระบบ ”

เพื่อความสะดวกในการใช้งาน WordPress จะกำหนดผู้ดูแลระบบเริ่มต้นสำหรับบัญชี WordPress ใหม่ทุกบัญชีในขั้นต้น ผู้ดูแลระบบนี้มีประโยชน์ในระยะเริ่มต้นสำหรับการตั้งค่าเว็บไซต์ WordPress และสร้างผู้ใช้เพิ่มเติม อย่างไรก็ตาม การใช้ชื่อผู้ใช้ "ผู้ดูแลระบบ" มีปัญหาด้านความปลอดภัยร่วมกัน

เพื่อให้การโจมตีด้วยกำลังเดรัจฉานยากขึ้น ให้เปลี่ยนชื่อผู้ใช้นี้เป็นชื่อผู้ใช้ที่มีเอกลักษณ์เฉพาะซึ่งยากต่อการคาดเดา วิธีที่ดีที่สุดคือสร้างผู้ดูแลระบบใหม่ (ด้วยชื่อผู้ใช้ที่รัดกุมกว่า) แล้วลบผู้ใช้ "admin" ที่เป็นค่าเริ่มต้นออก

6. อัปเดต Core, Plugins, Themes ของคุณ

ช่องโหว่ของ WordPress ส่วนใหญ่เป็นผลมาจาก Core WordPress เวอร์ชันเก่า หรือปลั๊กอินและธีมที่ติดตั้งไว้ แฮกเกอร์มองหาซอฟต์แวร์เวอร์ชันเก่าอยู่เสมอ ซึ่งสามารถใช้ประโยชน์ได้อย่างเต็มที่ การป้องกันแฮกเกอร์ที่ดีที่สุดคือการทำให้ไซต์ WordPress ของคุณอัปเดตเป็นเวอร์ชันล่าสุด

คุณสามารถใช้การอัปเดตเป็นประจำจากบัญชีโฮสติ้ง WordPress หรือเปิดใช้งานการอัปเดตอัตโนมัติ มีประโยชน์เพิ่มเติมในการทำให้ไซต์ของคุณอัปเดตอยู่เสมอ การอัปเดตธีมและปลั๊กอินของ WordPress ส่วนใหญ่มีการปรับปรุงความเร็วและประสิทธิภาพที่อาจทำให้เว็บไซต์ WordPress ของคุณเร็วขึ้นและราบรื่นขึ้น

7. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ

แม้ว่าจะไม่ใช่มาตรการรักษาความปลอดภัยอย่างเข้มงวดที่สามารถ ป้องกันการแฮ็ก WordPress ได้ แต่กลยุทธ์การสำรองและกู้คืนข้อมูลที่ดีช่วยให้คุณลดเวลาหยุดทำงานและการสูญเสียรายได้ให้น้อยที่สุด หากคุณเปิดไซต์อีคอมเมิร์ซ ข้อมูลสำรองจะช่วยให้แน่ใจว่าคุณจะไม่ต้องเสี่ยงกับการหยุดทำงานหรือสูญเสียบันทึกหรือธุรกรรมของลูกค้า

แม้ว่าคุณจะสามารถสำรองข้อมูลเว็บไซต์ด้วยตนเองของไฟล์เว็บไซต์หลักและฐานข้อมูลได้ แต่การใช้ปลั๊กอินสำรองของ WordPress เช่น BlogVault หรือ BackupBuddy จะทำให้คุณมีเวลามากขึ้น เนื่องจากไฟล์เหล่านี้จะทำงานอัตโนมัติและกำหนดเวลากระบวนการสำรองข้อมูลทั้งหมด ถ้าคุณ

8. เพิ่มใบรับรอง SSL

เมื่อคุณเพิ่มใบรับรอง SSL ลงในไซต์ของคุณ คุณจะต้องย้ายเว็บไซต์ของคุณไปยังโปรโตคอล HTTP ที่ปลอดภัย (หรือ HTTPS) จากโปรโตคอล HTTP ที่ไม่ค่อยได้รับความนิยม HTTPS จะเข้ารหัสข้อมูลทั้งหมดที่ส่งระหว่างเว็บไซต์ของคุณกับผู้ใช้เพื่อความปลอดภัยของพวกเขาและของคุณ

คุณจะย้ายไปยัง HTTPS ได้อย่างไร เพิ่มใบรับรอง SSL ซึ่งสามารถรับได้จากบริษัทที่ให้บริการพื้นที่เว็บของคุณหรือโดยใช้ปลั๊กอิน SSL เช่น Let's Encrypt

9. ปิดใช้งานการแก้ไขไฟล์

ด้วยโปรแกรมแก้ไขไฟล์ WordPress แฮกเกอร์สามารถควบคุมเว็บไซต์และรันโค้ด PHP ที่ 'เป็นอันตราย' บนเว็บไซต์ได้ นี่อาจเป็นภัยคุกคามด้านความปลอดภัยเมื่อบัญชีผู้ดูแลระบบถูกบุกรุก ทางออกที่ดีที่สุดคือปิดการแก้ไขไฟล์โดยเพิ่มโค้ดต่อไปนี้ลงใน ไฟล์ wp-config.php ของระบบ WordPress ของคุณ:

 define( 'DISALLOW_FILE_EDIT', true );

10. จำกัดการเข้าถึงไซต์และบทบาทของผู้ใช้

การเข้าถึงเว็บไซต์โดยไม่จำกัดสำหรับผู้ใช้ทุกคนอาจเป็นความเสี่ยงที่สำคัญของ WordPress โดยเฉพาะกับแดชบอร์ดของผู้ดูแลระบบ ส่วนที่ดีคือตอนนี้คุณสามารถจำกัดการเข้าถึงหน้าเว็บที่เลือกตามบทบาทของผู้ใช้ ในการดำเนินการนี้ คุณต้องติดตั้งปลั๊กอิน "Restrict Content Pro" และกำหนดค่าหน้าเว็บที่คุณต้องการให้ผู้ใช้เข้าถึงได้แบบจำกัด

11. ปิดใช้งานการเรียกดูไดเรกทอรี

แฮกเกอร์ใช้คุณสมบัติการเรียกดูไดเรกทอรีของ WordPress เพื่อค้นหาไฟล์ที่อาจมีช่องโหว่ นอกจากนี้ ฟีเจอร์นี้ยังสามารถใช้เพื่อคัดลอกไฟล์ WordPress ของคุณ หรือค้นหาข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างโฟลเดอร์ ทางออกที่ดีที่สุดคือปิดการเรียกดูไดเรกทอรีเพื่อไม่ให้แฮกเกอร์นำไปใช้ในทางที่ผิด ซึ่งสามารถทำได้โดยการเพิ่มบรรทัดของรหัสต่อไปนี้ที่ส่วนท้ายของไฟล์ . htaccess ของคุณในโฟลเดอร์การติดตั้งของคุณ:

ตัวเลือก -ดัชนี

12. ปิดใช้งานการดำเนินการ PHP

แฮกเกอร์สามารถแทรกโค้ดมัลแวร์และเรียกใช้งานโดยใช้ไฟล์ PHP ได้ คุณสามารถปรับปรุงความปลอดภัยของไซต์ WordPress ได้โดยการปิดการใช้งานไฟล์ PHP หากต้องการปิดการทำงานของ PHP ให้เปิดไฟล์ . htaccess ในโฟลเดอร์ "อัปโหลด" ของการติดตั้ง WordPress และเพิ่มโค้ดต่อไปนี้:

 <Files *.php> deny from all </Files>

13. ใช้ปลั๊กอินความปลอดภัย WordPress

แม้ว่าขั้นตอนที่สรุปไว้ข้างต้นจะช่วยปกป้องคุณจากภัยคุกคามที่รู้จักได้เป็นอย่างดี แต่การตามให้ทันกับแฮ็กเกอร์และวิธีการใหม่ๆ ของแฮ็กเกอร์อาจเป็นเรื่องยาก หนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการปกป้องเว็บไซต์ของคุณจากการจู่โจมที่ยังไม่เป็นที่รู้จักหรือหายาก หรือแม้แต่มัลแวร์หลายประเภท คือการลงทุนในปลั๊กอิน WordPress โดยเฉพาะเพื่อความปลอดภัย

ปลั๊กอินความปลอดภัยของ WordPress เช่น MalCare และ Wordfence สามารถตรวจจับมัลแวร์ที่รู้จักกันน้อยกว่า และคุณสามารถกำหนดเวลาและทำให้กระบวนการสแกนมัลแวร์ทั้งหมดเป็นแบบอัตโนมัติ MalCare มีกระบวนการกำจัดมัลแวร์ด้วยการคลิกเพียงครั้งเดียว ดังนั้นคุณจึงไม่ต้องพึ่งพาฝ่ายสนับสนุนด้านเทคนิคจากภายนอกเพื่อทำความสะอาดไซต์ของคุณ

14. เปิดใช้งานไฟร์วอลล์ WordPress

หากมีอีกวิธีง่ายๆ ใน การปกป้องไซต์ WordPress จากแฮกเกอร์ ก็คือทำให้พวกเขาเข้าถึงไซต์ของคุณได้ยาก ไฟร์วอลล์ทำหน้าที่เป็นแนวป้องกันสุดท้ายสำหรับคำขอ IP ที่ 'น่าสงสัย' ที่ทำโดยแฮกเกอร์ มันทำหน้าที่เหมือนเจ้าหน้าที่รักษาความปลอดภัยที่อนุญาตหรือปิดกั้นผู้คนไม่ให้เข้าบ้านหรือที่ทำงานของคุณ

ไฟร์วอลล์ติดตามทั้งที่อยู่ IP ที่ 'ดี' และ 'ไม่ถูกต้อง' และอนุญาตหรือบล็อกคำขอจากที่อยู่เหล่านี้โดยอัตโนมัติ

ปลั๊กอินความปลอดภัยส่วนใหญ่ เช่น MalCare และ Sucuri มีไฟร์วอลล์ในตัวเพื่อบล็อกการรับส่งข้อมูลที่เป็นอันตรายทั้งหมด

ทำไมคุณควรปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์?

การรู้ วิธีป้องกันไซต์ WordPress จากแฮกเกอร์ ไม่ใช่สิ่งที่คุณจะมองข้ามได้ในภายหลัง เพียงเพราะการแฮ็กส่งผลกระทบมากกว่าแค่การมีอยู่บนเว็บหรือการจัดอันดับ SEO ของคุณ มัลแวร์ที่ประสบความสำเร็จหรือการโจมตีด้วยกำลังเดรัจฉาน แม้จะเป็นเวลาสองสามชั่วโมง ก็สามารถสร้างความเสียหายร้ายแรงต่อรายได้ของคุณ และบ่อนทำลายอำนาจแบรนด์ของคุณ

ขึ้นอยู่กับประเภทของการโจมตี แฮ็ค WordPress สามารถทำให้บางส่วนหรือทั้งหมดด้านล่าง:

• ทำให้หน้าแรกของเว็บไซต์ของคุณเสียหายด้วยโฆษณา "ป๊อปอัป" ที่เป็นอันตราย
• การใช้ความพยายาม SEO ในทางที่ผิดซึ่งอาจทำให้เว็บไซต์ของคุณได้รับการจัดอันดับสำหรับคำหลักที่เป็นสแปม
• ผู้เยี่ยมชมถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่พึงประสงค์อื่น ๆ ที่ขายสินค้าปลอมหรือห้ามผลิตภัณฑ์ยา
• อีเมลขยะหรือ "ฟิชชิ่ง" ที่ส่งถึงลูกค้าของคุณโดยใช้ที่อยู่อีเมลธุรกิจจริง
• การละเมิดข้อมูลส่งผลให้สูญเสียบันทึกของลูกค้าที่มีค่า รายละเอียดธุรกรรมทางการเงิน และข้อมูลสำคัญอื่นๆ

เราหวังว่าบทความนี้จะช่วยคุณด้วยเคล็ดลับและกลยุทธ์ เพื่อให้คุณทราบ วิธีป้องกันไซต์ WordPress จากมัลแวร์และการแฮ็ก

คุณคิดอย่างไรกับ 14 มาตรการรักษาความปลอดภัยที่เราได้พูดคุยกัน? มีอะไรที่คุณจะเพิ่มในรายการนี้หรือไม่? แจ้งให้เราทราบในความคิดเห็น.