วิธีรักษาความปลอดภัยเว็บไซต์ wordpress ของคุณ

เผยแพร่แล้ว: 2020-05-01

ผู้สร้างเว็บไซต์ WordPress แต่ละคนจะต้องกังวลเกี่ยวกับความปลอดภัยของเว็บไซต์ Google blacklist (บัญชีดำ) มากกว่า 10,000 เว็บไซต์ทุกวันเพราะเว็บไซต์เหล่านี้ติดมัลแวร์

น่าเสียดายที่มันไม่ได้เกิดขึ้นกับคนอื่นเท่านั้น ยิ่งคุณรู้เร็วเท่าไหร่ก็ยิ่งดีสำหรับคุณ

แม้ว่าเคอร์เนลของ WordPress จะปลอดภัยมากต้องขอบคุณนักพัฒนาหลายร้อยคน ความจริงก็ยังคงมีช่องโหว่อยู่ เนื่องจากเป็นเป้าหมายของแฮกเกอร์อย่างมาก เนื่องจากประมาณ 25% ของเว็บไซต์สร้างด้วย WordPress

ในฐานะผู้ดูแลเว็บ มีหลายสิ่งที่คุณทำได้เพื่อเพิ่มความปลอดภัยให้กับไซต์ WordPress ของคุณ

นี่คือเหตุผลที่ฉันตัดสินใจเขียนบทความนี้ด้วยความหวังว่าจะง่ายและชัดเจนที่สุด

คุณจะเห็นว่ามีหลายขั้นตอนที่คุณสามารถทำได้เพื่อป้องกันไม่ให้ไซต์ของคุณติดไวรัสหรือทำลายโดยแฮกเกอร์

แม้ว่ามาตรการเหล่านี้จะไม่สามารถขจัดความเสี่ยงได้ทั้งหมด แต่จะลดความเสี่ยงได้อย่างมาก

ในกรณีที่เว็บไซต์ของคุณติดมัลแวร์แล้ว เราขอแนะนำให้คุณทำตามขั้นตอนเหล่านี้ ซึ่งจะแนะนำคุณเกี่ยวกับการลบมัลแวร์ออกจากเว็บไซต์ของคุณ

มาเริ่มกันเลยดีกว่า

ต้องการความช่วยเหลือในการรักษาเว็บไซต์ของคุณให้ปลอดภัย 100% หรือไม่? จองการโทรของคุณกับ WP Buffs ตอนนี้และรับส่วนลด 10-20%!

เยี่ยมชม WP Buffs

1: อัปเดต WordPress และธีมและปลั๊กอิน

WordPress ได้รับการอัปเดตเป็นประจำ ธีมและปลั๊กอินคุณภาพด้วย นี่เป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัยและความเสถียรของไซต์ของคุณ

1: อัปเดต WordPress และธีมและปลั๊กอิน
ออกแบบโดย Freepik

2: เสริมความแข็งแกร่งของรหัสผ่านเพื่อรักษาความปลอดภัย WordPress

การโจมตีที่พบบ่อยที่สุดคือการขโมยรหัสผ่านเนื่องจากรหัสผ่านที่ค่อนข้างอ่อนแอ

คุณสามารถทำให้งานของแฮ็กเกอร์ซับซ้อนขึ้นได้โดยการเสริมความแข็งแกร่งของรหัสผ่าน WordPress ของคุณ แต่ยังรวมถึงเมื่อเชื่อมต่อกับบัญชี FTP, ฐานข้อมูลของคุณ, โฮสต์ของคุณ, อีเมลของคุณ ฯลฯ

พวกคุณหลายคนไม่ชอบใช้รหัสผ่านที่ซับซ้อนเกินไปเพราะกลัวว่าจะลืมรหัสผ่าน ในกรณีนี้ ฉันแนะนำให้คุณใช้ "ตัวจัดการรหัสผ่าน"

ตัวจัดการรหัสผ่านจะเก็บรหัสผ่านทั้งหมดของคุณไว้ในคลาวด์ที่ปลอดภัย และอนุญาตให้คุณจัดการรหัสผ่านได้ด้วยรหัสผ่านเดียว

มีมากมาย แต่ฉันแนะนำ LastPass มันใช้งานง่ายและฟรี

3: ติดตั้งปลั๊กอินสำรอง

3: ติดตั้งปลั๊กอินสำรอง
ออกแบบโดย Freepik

การสำรองข้อมูลไซต์ของคุณเป็นวิธีที่ดีในการซ่อมแซมความเสียหายที่แฮ็กเกอร์อาจทำกับไซต์ของคุณ

ในกรณีที่มีการโจมตี ปลั๊กอินสำรองจะช่วยให้คุณสามารถกู้คืนไซต์ของคุณเป็นสถานะก่อนการโจมตี

มีปลั๊กอินสำรองมากมายสำหรับ WordPress แต่ก็ไม่ได้สร้างมาเท่ากันทั้งหมด ต้องใช้งานง่าย ช่วยให้คุณสามารถสำรองข้อมูลทั้งไซต์ ทำการสำรองข้อมูลอัตโนมัติเป็นประจำ และแน่นอนว่าสามารถบันทึกข้อมูลสำรองไว้นอกเซิร์ฟเวอร์ของโฮสต์ได้ (ฮาร์ดไดรฟ์ คลาวด์ ฯลฯ)

มีสามข้อที่ตรงตามเกณฑ์ข้างต้นทั้งหมด ทั้งสามมีเวอร์ชันฟรีและจ่ายเงิน

  • UpdraftPlus
  • บัดดี้สำรอง
  • ผู้ทำซ้ำ

4: ติดตั้งปลั๊กอินความปลอดภัย

หลังจากเห็นข้อมูลสำรองแล้ว ขั้นตอนต่อไปคือการติดตั้งปลั๊กอินความปลอดภัยที่จะตรวจสอบไซต์ของคุณอย่างต่อเนื่องและติดตามกิจกรรมที่น่าสงสัยที่อาจเกิดขึ้นที่นั่น

  • การสแกนป้องกันมัลแวร์
  • การตรวจจับความเสียหายของไฟล์
  • การปิดกั้นผู้ใช้
  • ฯลฯ

ปลั๊กอินที่แนะนำ:

  • Wordfence (รุ่นฟรีและจ่ายเงิน)
  • ความปลอดภัยของ iThemes (รุ่นฟรีและจ่ายเงิน)
  • Sucuri

5: เลือกธีมที่มีคุณภาพ

ธีม WordPress ที่มีคุณภาพคือธีมที่ปลอดภัยซึ่งไม่มีช่องโหว่ที่รู้จัก ซึ่งได้รับการอัปเดตเป็นประจำ ซึ่งตรงตามมาตรฐานการเข้ารหัสที่เหมาะสม และเข้ากันได้กับ WordPress รุ่นของคุณ แต่ยังรวมถึงองค์ประกอบอื่นๆ ของไซต์ของคุณ เช่น ปลั๊กอิน

การมีธีมที่ตรงตามเกณฑ์เหล่านี้ไม่เพียงแต่ช่วยให้คุณหลีกเลี่ยงจุดบกพร่อง ข้อผิดพลาดด้านความเข้ากันได้ และปัญหาที่คล้ายคลึงกันทั้งหมด แต่ยังจำกัดความเป็นไปได้ในการโจมตี เนื่องจากไซต์ WordPress ของคุณจะมีช่องโหว่ด้านความปลอดภัยน้อยลง ดังนั้นควรหลีกเลี่ยงธีมที่เป็นโมฆะ

ด้านล่างนี้คือธีมบางส่วนที่ฉันมักจะใช้และแนะนำให้คุณหลับตา:

  • ธีม: Oceanwp (ฟรี)
  • ธีม: ThemeIsle (ฟรีและจ่ายเงิน)
  • หัวข้อ: Divi (จ่าย).
  • หัวข้อ: พิเศษ (จ่าย).
  • หัวข้อ: สร้างสื่อ (ฟรีและจ่ายเงิน)
  • ธีม: Astra (ฟรีและจ่ายเงิน)

6: เปลี่ยนชื่อผู้ใช้ WordPress

หากระหว่างการติดตั้ง WordPress เวอร์ชันล่าสุด คุณสามารถเลือกชื่ออื่นที่ไม่ใช่ "ผู้ดูแลระบบ" ที่มีชื่อเสียงได้ ซึ่งก่อนหน้านี้ไม่เป็นเช่นนั้น อย่างไรก็ตาม เป็นการดีที่สุดเสมอสำหรับผู้ดูแลระบบที่จะไม่ทิ้งชื่อผู้ใช้ที่รู้จัก แน่นอน ในกรณีนี้ คุณไม่ควรโพสต์บทความหรือตอบกลับความคิดเห็นโดยใช้ชื่อเล่นของผู้ดูแลระบบของคุณ

มีหลายวิธีในการเปลี่ยนชื่อผู้ใช้ของคุณใน WordPress:

  • วิธีการแบบแมนนวล
  • ใช้ปลั๊กอิน

อ่านบทความนี้เพื่อดูรายละเอียด 2 วิธี (บทช่วยสอน)

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7: เพิ่มปัจจัยการระบุสองตัว (การตรวจสอบสิทธิ์สองปัจจัย)

ตัวเลือกนี้บังคับให้ผู้ใช้ระบุตัวตนผ่านสองวิธีที่แตกต่างกัน วิธีคลาสสิกที่มีชื่อผู้ใช้และรหัสผ่าน และวิธีที่สอง ซึ่งก็คือการรับรหัสบนอุปกรณ์อื่นที่ไม่ใช่คอมพิวเตอร์ที่คุณใช้เป็นประจำ

หากคุณกำลังใช้ Wordfence , iThemes Security หรือ UpdraftPlus พวกเขาทั้งหมดมีคุณลักษณะด้านความปลอดภัยนี้

8: ออกจากระบบอัตโนมัติของผู้ใช้ที่ไม่ได้ใช้งานใน WordPress?

เป็นเรื่องปกติที่ผู้ใช้จะอยู่ห่างจากหน้าจอในขณะที่เชื่อมต่อกับ WordPress ซึ่งอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย ใครบางคนสามารถจี้เซสชันของพวกเขา เปลี่ยนรหัสผ่านหรือเปลี่ยนบัญชีของพวกเขา

โซลูชันประกอบด้วยการติดตั้งปลั๊กอินที่จะดูแลการยกเลิกการเชื่อมต่อผู้ใช้ที่ไม่ได้ใช้งานหลังจากระยะเวลาที่กำหนด

ในการทำเช่นนี้ ฉันขอแนะนำปลั๊กอิน "Inactive Logout" ซึ่งฟรี กำหนดค่าได้ง่ายมาก และทำงานได้ดี

เมื่อติดตั้งแล้ว ไปที่ “ การตั้งค่า ” ในแดชบอร์ด WordPress และคลิกที่ “ ออกจากระบบ ที่ไม่ได้ใช้งาน ” เพื่อกำหนดค่าปลั๊กอิน

คุณเพียงแค่ต้องกำหนดเวลาว่างก่อนที่จะตัดการเชื่อมต่อและข้อความที่จะแสดงเมื่อสิ่งนี้เกิดขึ้น ให้คลิกที่ " บันทึกการเปลี่ยนแปลง ” เพื่อเสร็จสิ้น

9: เพิ่มคำถามเพื่อความปลอดภัยเพื่อเชื่อมต่อกับ WordPress

การเพิ่มคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ WordPress จะช่วยลดโอกาสที่บุคคลที่ไม่ได้รับอนุญาตจะสามารถเข้าถึงบัญชีของคุณได้อย่างมาก

คุณสามารถเพิ่มคำถามเพื่อความปลอดภัยได้ตั้งแต่หนึ่งคำถามขึ้นไปโดยติดตั้งปลั๊กอิน: WP Security Question

10: เปลี่ยน URL การเชื่อมต่อ

ตามค่าเริ่มต้น URL สำหรับการเชื่อมต่อกับ WordPress จะเหมือนกันเสมอ: https://www.yourname.com/wp-admin (ฉันใส่ .com แต่อาจเป็น .net หรือนามสกุลอื่นก็ได้)

ในการทำให้งานของแฮ็กเกอร์ที่เป็นไปได้ยากขึ้นซึ่งต้องการเริ่มการโจมตีแบบ “Brute Force” บนไซต์ของคุณ คุณสามารถเปลี่ยน URL การเชื่อมต่อได้

ดูปลั๊กอินนี้: WPS ซ่อนการเข้าสู่ระบบ

11: สแกนเนอร์ WordPress สำหรับไวรัสหรือมัลแวร์และช่องโหว่ด้านความปลอดภัยที่เป็นไปได้และช่องโหว่อื่น ๆ

หากคุณไม่ได้ติดตั้งปลั๊กอินความปลอดภัยบน WordPress และคุณสังเกตเห็นว่าปริมาณการใช้ข้อมูลลดลงอย่างกะทันหันหรือการจัดอันดับของคุณในเครื่องมือค้นหาลดลง การทำการวิเคราะห์ไซต์ของคุณอย่างสมบูรณ์ถือเป็นเรื่องเร่งด่วน

ในกรณีนี้สองตัวเลือก:

ไม่ว่าคุณจะตัดสินใจติดตั้งปลั๊กอินความปลอดภัยและเริ่มการสแกนทันที หรือคุณเริ่มการสแกนออนไลน์บนไซต์ใดไซต์หนึ่งด้านล่าง พวกเขาทั้งหมดฟรีและใช้งานง่ายมาก

เพียงป้อนที่อยู่เว็บไซต์ของคุณและเริ่มการสแกน

  • https://wpsec.com/
  • https://app.upguard.com/webscan
  • https://www.virustotal.com/gui/home/upload

12: ฆ่าเชื้อไซต์ของคุณ

หากคุณติดตั้งปลั๊กอินความปลอดภัย ไม่น่าจะติดไวรัส แต่หลายท่านยังไม่คิดเรื่องนี้

ประการแรก ควรเข้าใจว่าการป้องกันการติดเชื้อของไซต์ WordPress ทำได้ง่ายกว่าการฆ่าเชื้อ

การทำความสะอาดไซต์ WordPress อาจใช้เวลานาน และคุณจำเป็นต้องจ้างผู้เชี่ยวชาญเป็นประจำ โดยเฉพาะอย่างยิ่งหากคุณไม่ได้สำรองข้อมูลไซต์ของคุณอย่างครบถ้วน

แฮกเกอร์ติดตั้งแบ็คดอร์บนไซต์ที่ติดไวรัส และหากไม่ได้รับการปฏิบัติอย่างเหมาะสม เว็บไซต์ของคุณอาจถูกแฮ็กอีกครั้ง