เพิ่มความปลอดภัยให้กับ WordPress – คู่มือฉบับสมบูรณ์ในการรักษาความปลอดภัยเว็บไซต์ WordPress

เมื่อคุณทำโพสต์นี้เสร็จแล้ว ฉันจะรับประกันว่าไซต์ WordPress ของคุณจะปลอดภัยจากการแฮ็กและการหาประโยชน์

เดี๋ยวก่อน ฉันไม่สามารถรับประกันได้ว่า ให้ฉันพูดแบบนี้ คุณจะมีความรู้ที่จำเป็นในการทำให้เว็บไซต์ของคุณปลอดภัย

ไม่มีการรักษาความปลอดภัยแบบโง่เขลา มีมาตรการเฉพาะที่คุณสามารถทำได้เพื่อลดโอกาสที่เว็บไซต์ของคุณจะตกเป็นเหยื่อของการแฮ็กหรือการโจมตี

ก่อนหน้านี้ฉันเขียนโพสต์เล็กๆ น้อยๆ เกี่ยวกับวิธีที่เว็บไซต์ WordPress ถูกบุกรุก และเหตุผลที่คุณควรลงทุนในแนวทางปฏิบัติด้านความปลอดภัยที่ดี คุณสามารถอ่านได้ที่นี่ หรือจะให้สรุปสั้นๆ เกี่ยวกับช่องโหว่ของ WordPress ก่อนที่เราจะพูดถึงมาตรการเฉพาะเพื่อพัฒนาเว็บไซต์ WordPress ของคุณ

WordPress ในตัวของมันเองมีช่องโหว่เล็กน้อย และเมื่อค้นพบแล้ว พวกเขาจะได้รับการแก้ไขอย่างรวดเร็วด้วยการอัปเดต แต่เมื่อพิจารณาถึงหลักปฏิบัติด้านความปลอดภัยของโฮสต์เว็บหรือสิ่งที่ขาดไป และซอฟต์แวร์ของบุคคลที่สามซึ่งปกติทำงานบนเว็บไซต์ WordPress เว็บไซต์ของคุณก็มีแนวโน้มที่จะตกเป็นเหยื่อของการแฮ็กเนื่องจากความผิดพลาดของผู้อื่น

51% ของเว็บไซต์ที่ถูกแฮ็กทั้งหมดในปี 2021 ถูกบุกรุกโดยธีมหรือปลั๊กอินที่พวกเขากำลังใช้งาน 41% ถูกเอารัดเอาเปรียบเพราะพวกเขาเลือกโฮสต์เว็บที่ไม่ถูกต้องและเป็นผลให้ไซต์ของพวกเขาถูกแฮ็ก

การเรียกใช้ไซต์ WordPress แบบธรรมดาและการรักษาความปลอดภัยนั้นไม่ใช่เรื่องยาก แต่เมื่อคุณเพิ่มซอฟต์แวร์ของบุคคลที่สามและต้องดูแลโดเมนของคุณกับโฮสต์ที่ถูกต้อง จะกลายเป็นเรื่องยากขึ้นเล็กน้อย

ฉันได้อ่านบล็อกโพสต์มากมายโดยผู้ประกอบการเว็บที่ประสบความสำเร็จซึ่งเป็นทั้งชายและหญิงที่ทำธุรกิจออนไลน์ และเมื่อกิจการออนไลน์ของพวกเขาประสบความสำเร็จ พวกเขากลายเป็นเป้าหมาย แม้ว่าเว็บไซต์ของคุณจะประสบความสำเร็จหรือแม้แต่มีการเข้าชมบางส่วนไม่จำเป็นก็ตามเพื่อให้กลายเป็นเป้าหมาย

ผู้ที่แฮ็คเว็บไซต์ใช้เครื่องมืออัตโนมัติที่อนุญาตให้ค้นหาช่องโหว่ของเว็บไซต์นับร้อยนับพัน เว็บไซต์ของคุณอาจเป็นหนึ่งในร้อยเหล่านั้น ดังนั้นแม้ว่าเว็บไซต์ของคุณจะไม่เป็นที่นิยม คุณก็ยังสามารถเป็นเป้าหมายได้

ขณะนี้ผู้ประกอบการเว็บจำนวนมากตระหนักถึงมาตรฐานความปลอดภัยที่จำเป็นและมาตรการที่จำเป็นในการทำให้เว็บไซต์และธุรกิจออนไลน์ของตนปลอดภัย แต่สิ่งที่ยอดเยี่ยมเกี่ยวกับ WordPress และเว็บในปัจจุบันคือ คุณไม่จำเป็นต้องเป็นผู้เชี่ยวชาญด้านเทคโนโลยีหรือนักพัฒนาเว็บเพื่อเริ่มต้นเว็บไซต์อีกต่อไป และการสร้างเว็บไซต์ก็ไม่ยากเลย มันง่ายมาก และฉันได้เขียนบทความเกี่ยวกับมันบน Colorlib (สำหรับผู้ที่กำลังมองหาความช่วยเหลือเล็กน้อยเมื่อคุณสร้างเว็บไซต์ WordPress แรกของคุณ)

การสร้างเว็บไซต์ไม่ได้ยากเกินไป การทำให้เป็นที่นิยมนั้นเป็นข้อเสนอที่ซับซ้อนกว่าเล็กน้อย แต่การทำให้มันปลอดภัย โดยเฉพาะอย่างยิ่งสำหรับผู้ประกอบการเว็บที่ไม่เชี่ยวชาญด้านเทคโนโลยีซึ่งความหมกมุ่นหลักเกี่ยวกับผลิตภัณฑ์/บริการที่ไม่ใช่เว็บนั้นค่อนข้างท้าทาย

และแน่นอนว่าพวกเขาสามารถจ้างนักพัฒนาเว็บมาช่วยพวกเขาได้ แต่เหตุผลที่ทำให้ธุรกิจเว็บขนาดเล็กจำนวนมากเจริญรุ่งเรือง แน่นอนว่าเกี่ยวข้องโดยตรงกับความสามารถในการรักษาต้นทุนให้ต่ำ และการจ้างนักพัฒนาเว็บที่เรียกเก็บเงิน 100 เหรียญต่อชั่วโมงก็ไม่ตกกับความสามารถทางการเงินของพวกเขา

ผู้เชี่ยวชาญด้านความปลอดภัยของเว็บมักเป็นตัวเลือกที่ต้องการ แต่น่าเสียดายไม่ใช่ทุกคนที่มีรายได้ทางธุรกิจที่จำเป็นเพื่อยอมให้ใช้จ่ายนั้น และอาจจะไม่เป็นไร อาจจะไม่ แต่ข้อเท็จจริงที่สำคัญคือ เราต้องตระหนักว่าแม้ธุรกิจขนาดเล็กจะรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งรวมถึงข้อมูลต่างๆ เช่น ที่อยู่ของคุณ รายละเอียดบัตรเครดิต หมายเลขโทรศัพท์ และรหัสอีเมล

ข้อมูลลูกค้าของคุณไม่เพียงแต่มีความเสี่ยงเนื่องจากแนวทางปฏิบัติด้านความปลอดภัยที่ประมาทเลินเล่อ แต่ธุรกิจที่คุณสร้างขึ้นหรือจะใช้เวลาอย่างมากในการสร้างก็เช่นกัน การสร้างธุรกิจออนไลน์เป็นงานที่ค่อนข้างยากลำบาก ความสำเร็จของคุณขึ้นอยู่กับปัจจัยหลายประการ ซึ่งรวมถึงชื่อเสียงของแบรนด์และสิ่งที่ Google คิดเกี่ยวกับเว็บไซต์ของคุณ และเชื่อฉันเถอะว่าจะไม่มีใครมีมุมมองที่ดีต่อธุรกิจหรือบริการของคุณ หากเว็บไซต์ของคุณปิดตัวลงหรือตกเป็นเหยื่อของการโจมตี/แฮ็ก

จากทั้งหมดที่กล่าวมาและเดิมพันที่เกี่ยวข้อง "คุณ" ในฐานะผู้ประกอบการเว็บสามารถทำขั้นตอนใดได้บ้างเพื่อทำให้เว็บไซต์ของคุณปลอดภัย

โพสต์นี้มุ่งเป้าไปที่ผู้ที่มีอาชีพหลักไม่ได้ทำธุรกิจออนไลน์ มุ่งเป้าไปที่ผู้ที่มาจากหลากหลายสาขาอาชีพ กำลังเริ่มต้นธุรกิจที่ต้องพึ่งพาการแสดงตนทางออนไลน์บางส่วนหรืออย่างมาก และเนื่องจากมากกว่า 65% ของเว็บทำงานโดย WP และ WordPress เป็น CMS ทางเลือกสำหรับผู้ประกอบการเว็บที่ไม่เกี่ยวกับเทคโนโลยี ฉันจะเน้นความพยายามของฉันในการจัดเตรียมความรู้เพื่อให้เว็บไซต์ WordPress ของคุณปลอดภัย .

#1. เลือกผู้ให้บริการโฮสต์ที่เหมาะสม

ช่องโหว่จำนวนมากมีอยู่เนื่องจากปัญหาที่สร้างขึ้นที่ส่วนท้ายของเซิร์ฟเวอร์ของเว็บไซต์ของคุณ ฉันพบว่าข้อเท็จจริงนี้ค่อนข้างน่าประหลาดใจ บริการโฮสติ้งของคุณอาจเป็นสาเหตุที่สำคัญที่สุดของช่องโหว่ของเว็บไซต์ของคุณ

และด้วยโฮสต์บุคคลที่สาม คุณไม่สามารถทำอะไรได้มากในการแก้ไขเพื่อปกป้องเว็บไซต์ของคุณ

ดังนั้นสิ่งที่ดีที่สุดถัดไปที่คุณสามารถทำได้ – เลือกผู้ให้บริการเว็บโฮสติ้งที่เหมาะสม

มีผู้ให้บริการโฮสต์เว็บจำนวนมากเกินไปที่ใช้ระบบของตนในซอฟต์แวร์ที่ล้าสมัยหรือซอฟต์แวร์ที่ไม่ได้รับการดูแลในขณะนี้ ปัญหาเกี่ยวกับซอฟต์แวร์ที่ไม่ได้รับการดูแลอีกต่อไปคือ แม้ว่าในอดีตจะไม่มีช่องโหว่ แต่ก็ไม่มีการรับประกันความปลอดภัยในอนาคต และหากตรวจพบช่องโหว่ที่เกือบจะแน่นอน ช่องโหว่นั้นอาจไม่ได้รับการแก้ไขอีกต่อไป เนื่องจากทีมหลักไม่ได้ดูแลซอฟต์แวร์เวอร์ชันเก่าอย่างแข็งขัน

เมื่อฉันพูดถึงซอฟต์แวร์ ฉันหมายถึงทุกอย่างที่ทำงานบนเซิร์ฟเวอร์ของคุณเพื่อให้ไซต์ของคุณใช้งานได้จริง

• Apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• ใบรับรอง SSL

แม้ว่าพวกเขาจะอัปเดตซอฟต์แวร์ด้วยความล่าช้าเล็กน้อย เมื่อมีการเผยแพร่แพตช์ซอฟต์แวร์ หน้าต่างแห่งโอกาสสำหรับแฮ็กเกอร์ในการหาประโยชน์จากช่องโหว่ซึ่งเพิ่งได้รับการแก้ไขในการอัปเดตล่าสุดได้ขยายวงกว้างขึ้นและทำให้เว็บไซต์ของคุณตกอยู่ในความเสี่ยง

โฮสติ้งที่ใช้ร่วมกันซึ่งเป็นทางเลือกของโฮสติ้งสำหรับธุรกิจออนไลน์ที่เพิ่งเริ่มต้นใหม่ส่วนใหญ่จะมีปัญหาสองสามประการ

• การโจมตี DOS บน IP ใด ๆ บนเซิร์ฟเวอร์สามารถส่งผลกระทบต่อเว็บไซต์ทั้งหมดที่โฮสต์บนเซิร์ฟเวอร์นั้น ๆ
• ที่อยู่ IP ที่ใช้ร่วมกันเป็นปัญหาใหญ่ ที่อยู่ IP เพื่อนบ้านของคุณส่งผลกระทบต่อเว็บไซต์ของคุณ หาก IP ที่ใช้ร่วมกันถูกขึ้นบัญชีดำ เว็บไซต์ของคุณก็จะได้รับผลกระทบตามมา
• มีโอกาสเสมอที่ซอฟต์แวร์บางตัวที่โหลดบนเซิร์ฟเวอร์ที่ใช้ร่วมกันสามารถประนีประนอมกับเซิร์ฟเวอร์ทั้งหมด แม้ว่าผู้ให้บริการโฮสติ้งที่ใช้ร่วมกันจะใช้มาตรการเพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น

ฉันเลือกโฮสติ้งที่ใช้ร่วมกัน

• แชร์โฮสติ้ง – SiteGround – ให้การแยกบัญชีซึ่งปกป้องคุณจากเว็บไซต์บนเซิร์ฟเวอร์เดียวกันซึ่งอาจมีช่องโหว่ การอัปเดตอัตโนมัติสำหรับคอร์และปลั๊กอิน WP, ใบรับรอง SSL ฟรี & การสำรองข้อมูลรายวันสำหรับ Grow Big Plan ขึ้นไป, การป้องกันสแปมด้วยระบบกรอง, ไฟร์วอลล์, ระบบป้องกันการบุกรุก และการตรวจสอบแบบสด การใช้ระบบ CDN เช่น CloudFlare จะปกป้องเว็บไซต์ของคุณจากการโจมตี DDoS

SiteGround มีประวัติที่ดีในแง่ของการตอบสนองอย่างรวดเร็วและเฉียบขาดต่อช่องโหว่ที่เปิดเผยในอดีต ในปี 2013 เมื่อการโจมตีแบบ bruteforce เกิดขึ้นจากที่อยู่ IP มากกว่า 90,000 แห่ง SiteGround ทำให้คำขอไม่สามารถเข้าถึงเซิร์ฟเวอร์ของตนได้

การโจมตีแบบ Brute Force อาจทำให้เซิร์ฟเวอร์ล้นหลาม แต่หากคุณไม่สามารถส่งคำขอไปยังเซิร์ฟเวอร์ในจำนวนที่เพียงพอ คุณจะไม่สามารถส่งผลกระทบได้ ระหว่างการโจมตี มีความพยายามมากกว่า 15 ล้านครั้งในเวลาไม่ถึง 12 ชั่วโมงกับเว็บไซต์บนเซิร์ฟเวอร์ของพวกเขา และยังไม่มีเซิร์ฟเวอร์ใดที่ประสบปัญหาด้านประสิทธิภาพ

อันที่จริง หลังจากที่บางคนในบ้านบังคับให้เว็บไซต์ของลูกค้าของตนค้นหารหัสผ่านที่ไม่รัดกุม พวกเขาพบเว็บไซต์จำนวนมากบนเซิร์ฟเวอร์ที่มีรหัสผ่านที่ไม่รัดกุมและไม่ปลอดภัย พวกเขาติดตามด้วยการบังคับใช้รหัสผ่านที่คาดเดายาก และลูกค้าของพวกเขาได้รับแจ้งทางอีเมล ดูเหมือนว่าพวกเขาจะใส่ใจเรื่องความปลอดภัยและรับรองประสิทธิภาพของสภาพแวดล้อมเซิร์ฟเวอร์ที่ใช้ร่วมกันแม้ว่าจะถูกโจมตีก็ตาม ไม่สามารถพูดได้เหมือนกันสำหรับ บริษัท เว็บโฮสติ้งที่ใช้ร่วมกันที่ใหญ่ที่สุดบางแห่ง

หากคุณต้องการตัวเลือกอื่นสำหรับ SiteGround สำหรับการแชร์โฮสติ้ง ฉันได้ระบุไว้บางส่วนในโพสต์ก่อนหน้านี้

อย่างไรก็ตาม หากคุณไม่ต้องการกังวลเกี่ยวกับความปลอดภัยของ WordPress และสิ่งอื่น ๆ ที่เกี่ยวกับการสร้าง การบำรุงรักษา และการขยายเว็บไซต์จากระยะไกล จะดีกว่าหากใช้โฮสต์ WordPress ที่มีการจัดการ ฉันชอบโฮสติ้งที่มีการจัดการ แต่ค่าใช้จ่ายสูงกว่ามาก

ราคาสำหรับโฮสติ้งที่มีการจัดการเป็นเวลาหนึ่งเดือนจะซื้อโฮสติ้งที่ใช้ร่วมกันให้คุณเป็นระยะเวลา 8 เดือน หากคุณกำลังดำเนินกิจการในองค์กรที่ไม่มีเงินสด สิ่งนี้มีผลกระทบอย่างมากต่อความยั่งยืนของธุรกิจของคุณ แต่ทุกคนคงโง่เง่าที่จะละเลยประโยชน์ของโฮสต์ WordPress ที่มีการจัดการ หากพวกเขาสามารถจ่ายได้

มาตรการรักษาความปลอดภัย WPEngine-

• การป้องกันการเขียนดิสก์ โค้ดที่เป็นอันตรายที่สร้างช่องโหว่ที่สามารถใช้ประโยชน์ได้นั้นถูกจำกัดอย่างเข้มงวดโดยข้อจำกัดการเขียนดิสก์ การใช้ปลั๊กอินและธีมที่มีช่องโหว่นั้นปลอดภัยกว่าในทันที เนื่องจากไม่สามารถเขียนโค้ดลงในเซิร์ฟเวอร์ของคุณ ซึ่งทำให้ WP ของคุณมีช่องโหว่ได้ง่ายอีกต่อไป
• สิทธิ์ในการเขียนดิสก์สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ WP dash ขยายไปถึงฟังก์ชันมาตรฐาน เช่น การเขียนและแก้ไขโพสต์ ธีมที่เพิ่มสไตล์ชีตใหม่ และการเปิดใช้งาน/ปิดใช้งานปลั๊กอิน
• หากต้องการลบและเขียนไฟล์ใหม่ คุณต้องเข้าสู่ระบบผ่านไคลเอ็นต์ SFTP
• ไม่อนุญาตให้เพิ่มโค้ด PHP ทั่วไป
• สคริปต์ที่มีช่องโหว่ที่ทราบซึ่งเป็นอันตรายต่อ WP ไม่สามารถเพิ่มลงใน WordPress ได้
• ปลั๊กอินบางตัวอาจไม่อนุญาตหรือปิดการใช้งานก็ได้ หากเครื่องสแกนของพวกเขาหยิบบางอย่างในโค้ดของปลั๊กอินที่ทำให้เว็บไซต์ของคุณมีความปลอดภัยน้อยลง
• แผนพื้นฐานใน WPEngine จะยังคงเกี่ยวข้องกับการแชร์เซิร์ฟเวอร์บางส่วน ในแผนการโฮสต์เฉพาะใดๆ โฮสต์จะจัดเตรียมเซิร์ฟเวอร์ทั้งหมดโดยสมบูรณ์เพื่อจัดหาทรัพยากรสำหรับเว็บไซต์ของคุณเท่านั้น
• สำรองข้อมูลผ่าน Amazon S3 และคุณไม่สามารถเข้าถึงได้ คุณไม่สามารถประนีประนอมข้อมูลสำรองของคุณได้ แม้ว่าคุณจะพยายามแล้วก็ตาม กรมธรรม์ประกันภัยสำหรับไซต์ของคุณพร้อมเสมอ
• การเข้าถึงเซิร์ฟเวอร์ทางกายภาพนั้น จำกัด เฉพาะบุคลากรที่จำเป็นเท่านั้น ศูนย์ข้อมูลของพวกเขาดูเหมือนกับ Fort Knox เพียงแค่อ่านเกี่ยวกับเรื่องนี้
• พวกเขาเชี่ยวชาญใน WP และรู้รายละเอียดเกี่ยวกับการสร้างไซต์ WordPress ที่ปลอดภัย
• การกู้คืนในกรณีที่บัญชีถูกแฮ็กทำได้ง่ายและมั่นใจได้โดยไม่เสียค่าใช้จ่าย
• การตรวจสอบรหัสเป็นประจำจากผู้ให้บริการโซลูชันความปลอดภัย WP – Sucuri

ลองนึกถึง WPEngine ด้วยวิธีนี้ มันจะทำให้คุณต้องเสียระเบิด แต่น้อยกว่าเว็บไซต์ที่ถูกแฮ็กมากอาจทำให้คุณเสียค่าใช้จ่าย ทำให้การหาเหตุผลเข้าข้างต้นทุนง่ายขึ้นมาก

โปรดอย่ามองข้ามความจริงที่ว่าเว็บไซต์ของคุณจะไม่เพียงแค่ปลอดภัยกว่าด้วย WPEgnine แต่จะเร็วขึ้นมากในทุกโอกาส แม้แต่เว็บไซต์อย่าง Colorlib ที่ใช้เซิร์ฟเวอร์ส่วนตัวเสมือนก็พบว่ามันยากที่จะจับคู่ความเร็วของเว็บไซต์ที่รัน WPEngine

หากคุณยังคงมีข้อสงสัยและไม่สามารถเลือกระหว่างโฮสต์เว็บที่ใช้ร่วมกันและโฮสต์ WP ที่มีการจัดการ นั่นเป็นหัวข้อใหญ่ในตัวเอง โปรดอ่านชิ้นที่ฉันเขียนไว้ในขณะที่กลับ หวังว่าจะตอบทุกคำถามของคุณเกี่ยวกับความเหมาะสมของแผนบริการพื้นที่สำหรับเว็บไซต์ของคุณ

#2. ใช้ซอฟต์แวร์บุคคลที่สามที่เชื่อถือได้ – ธีมและปลั๊กอินระดับพรีเมียม

ปลั๊กอินและธีมมักต้องสงสัย เป็นคนขี้ระแวง โดยเฉพาะอย่างยิ่งเมื่อได้รับการบำรุงรักษาไม่ดีและไม่ค่อยได้รับการปรับปรุง ตอนนี้คุณสามารถทำตามขั้นตอนต่างๆ มากมายด้วยการเลือกปฏิบัติต่อปลั๊กอินตามข้อบกพร่องด้านความปลอดภัย แต่คุณจะต้องจดบันทึกการดำเนินการที่ปลั๊กอินของคุณดำเนินการกับบันทึกการตรวจสอบความปลอดภัย WP เสมอ

บันทึกการรักษาความปลอดภัยมีประโยชน์มากสำหรับการพัฒนาเว็บและผู้เชี่ยวชาญด้านความปลอดภัยติดตามการเปลี่ยนแปลงบนพื้นฐานหลายไซต์เมื่อจัดการกับความต้องการของลูกค้า ทุกการกระทำโดยผู้ใช้ทุกคนสามารถใช้ปลั๊กอินนี้ได้ บันทึกยังช่วยจับตาดูปลั๊กอิน ธีม และพฤติกรรมซอฟต์แวร์ของบริษัทอื่นอีกด้วย ปลั๊กอินนี้อาจไม่สามารถป้องกันปัญหาด้านความปลอดภัยได้ แต่ถ้ามีอะไรผิดพลาด คุณจะพบว่าการติดตามแหล่งที่มาของปัญหาเป็นเรื่องง่าย

แนวทางปฏิบัติที่ดีอีกประการหนึ่งคือให้มีการตรวจสอบปลั๊กอินโดยผู้เชี่ยวชาญด้านความปลอดภัย หากคุณไม่สามารถทำเช่นนั้นได้ ให้มองหา Sucuri's (Sucuri เป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยชั้นนำสำหรับผู้ใช้ WordPress) ที่มีความมั่นใจในปลั๊กอิน ปลั๊กอิน/ธีมจำนวนมากส่งผลิตภัณฑ์ของตนเพื่อการตรวจสอบโค้ดโดยสมัครใจ

ธีมที่หรูหราได้รับการตรวจสอบ Divi ธีมหลักแล้ว ธีมที่หรูหราเป็นหนึ่งในธีมเฮาส์ที่ใหญ่ที่สุด หากไม่ใช่ธีมเฮาส์ที่ใหญ่ที่สุดในช่อง WP และยังมีการตรวจสอบธีมหลักสำหรับปัญหาด้านความปลอดภัย

อยู่ห่างจากปลั๊กอินและธีมฟรีที่ไม่มีการดาวน์โหลดจำนวนมาก บางครั้ง ปลั๊กอินที่มีจำนวนการดาวน์โหลดสูงเกินควรและเรตติ้งสูง ดึงดูดผู้ก่อความเสียหายจำนวนมากขึ้น การป้องกันด้วยตัวเลขใช้ไม่ได้จริงๆ ผู้คนจำนวนมากขึ้นที่ใช้ปลั๊กอินทำให้เป็นเป้าหมายที่ใหญ่ขึ้น แต่ในขณะเดียวกัน การมีผู้ใช้หลายพันคนอาจช่วยระบุและป้องกันการโจมตีซีโร่เดย์ผ่านการอัปเดตอย่างรวดเร็ว

การใช้ปลั๊กอินและธีมระดับพรีเมียมไม่ได้หมายความว่าจะสามารถรับประกันความปลอดภัยของไซต์ของคุณได้ แต่คุณสามารถมั่นใจได้ว่าหากมีการค้นพบการหาประโยชน์จากศูนย์วันใด ๆ การตอบสนองมักจะรวดเร็ว ผู้พัฒนาธีมเฮาส์และปลั๊กอินมีการใช้งานผลิตภัณฑ์ของตนอย่างมาก สิ่งสุดท้ายที่พวกเขาต้องการคือการปรากฏตัวของช่องโหว่

ติดปลั๊กอินที่ระบุไว้ในไดเร็กทอรี WordPress.org สำหรับปลั๊กอินฟรี การให้คะแนนและจำนวนการดาวน์โหลดที่สูงขึ้นทำให้ปลั๊กอินเป็นเดิมพันที่ปลอดภัยยิ่งขึ้นในระดับหนึ่ง ตรวจสอบประวัติของปลั๊กอินที่สร้างขึ้นโดยผู้เขียนคนเดียวกันในอดีต ซึ่งเป็นตัวบ่งชี้ที่ดีของสายเลือดของโปรแกรมเมอร์ นอกจากนี้ คุณยังจะได้เห็นว่าผู้เขียนบางคนดูแลเป็นพิเศษเพื่อให้มั่นใจในความปลอดภัยของปลั๊กอิน/ธีมของพวกเขา

วันที่อัปเดตล่าสุดเป็นอีกปัจจัยหนึ่งที่ควรพิจารณา ตรวจสอบให้แน่ใจว่าปลั๊กอินเวอร์ชันล่าสุดเข้ากันได้กับ WordPress เวอร์ชันล่าสุดเป็นอีกจุดสำคัญที่ต้องทำเครื่องหมายในรายการตรวจสอบก่อนที่จะติดตั้งและเปิดใช้งานปลั๊กอิน

ในขณะที่คุณอาจเดาได้ว่าอะไรจะเกิดขึ้นกับปลั๊กอินและธีมต่างๆ บางสิ่งที่ต้องจำไว้ เมื่อพูดถึงการใช้ปลั๊กอินและธีม

• ปลั๊กอินพรีเมียมดีกว่าในแง่ที่ทีมของพวกเขามักจะตอบสนองต่อช่องโหว่ด้านความปลอดภัยใด ๆ ได้เร็วกว่าปลั๊กอินฟรีมาก
• ใช้บันทึกการตรวจสอบความปลอดภัย WP และติดตามทุกอย่างที่ทำงานภายใต้ประทุนของเว็บไซต์ของคุณ
• มีความปลอดภัยเป็นตัวเลขอย่างแน่นอน เนื่องจากภัยคุกคามด้านความปลอดภัยมีแนวโน้มที่จะได้รับรายงานและจัดการมากกว่ามาก แต่ฉันอดไม่ได้ที่จะรู้สึกว่านี่เป็นดาบสองคม ปลั๊กอิน/ธีมจะมีการดาวน์โหลดจำนวนมากและมีแนวโน้มที่จะตกเป็นเป้าหมายของแฮกเกอร์
• ไดเร็กทอรีปลั๊กอินของ WP.org สามารถจัดการเพื่อให้การจัดอันดับที่ยอดเยี่ยมสำหรับปลั๊กอินที่มีจำนวนการดาวน์โหลดและการให้คะแนนน้อยกว่า
• ตรวจสอบผู้เขียนปลั๊กอิน ประวัติ และผลิตภัณฑ์ก่อนหน้า หากพวกเขาเคยมีปัญหาด้านความปลอดภัยมาก่อน ไม่จำเป็นต้องระบุว่าปลั๊กอิน/ธีมของตนไม่ดี แต่ก็ไม่ใช่สัญญาณที่ดี
• เลือกปฏิบัติต่อปลั๊กอิน/ธีมอย่างไร้ความปราณี อ่านบทวิจารณ์โดยเฉพาะบทวิจารณ์ที่ให้คะแนนผลิตภัณฑ์ที่ไม่ดี (อย่าลืมพิจารณาเหตุผลที่ผลิตภัณฑ์เหล่านี้ได้รับการจัดอันดับไม่ดี) ในตลาดซื้อขาย เช่น Envato แม้แต่ปลั๊กอินระดับพรีเมียม อ่านส่วนความคิดเห็นจากบทวิจารณ์ผลิตภัณฑ์สำหรับปลั๊กอินและธีม เมื่อเขียนรีวิวเกี่ยวกับผลิตภัณฑ์ WordPress ที่เฉพาะเจาะจงหรือสร้างรายการโพสต์ของธีม ฉันมักจะดูที่ส่วนความคิดเห็นเพื่อร้องเรียนจากผู้ใช้ที่ดาวน์โหลด/ซื้อผลิตภัณฑ์ แบบฝึกหัดนี้มีผลเสมอ คุณจะได้เรียนรู้บางสิ่งเกี่ยวกับผลิตภัณฑ์ที่คุณตั้งใจจะซื้อหรือดาวน์โหลดเกือบทุกครั้ง
• หากปลั๊กอิน/ธีมได้รับการตรวจสอบโค้ดโดย Sucuri หรือผู้ให้บริการโซลูชันการรักษาความปลอดภัย WP ที่มีชื่อเสียงรายอื่นๆ จะเพิ่มโอกาสที่ผลิตภัณฑ์จะค่อนข้างแข็งแกร่งในแง่ของความปลอดภัย
• คุณสามารถป้องกันตัวเองจากปลั๊กอินปลอมด้วยปลั๊กอินความปลอดภัย เช่น Wordfence หรือ iThemes Security นอกจากนี้ คุณสามารถใช้คุณลักษณะการสแกนไซต์ฟรีของ Sucuri ซึ่งจะตรวจสอบโค้ด WP ของคุณเพื่อหาสคริปต์ที่เป็นอันตราย

ไม่มีขั้นตอนข้างต้นใดรับประกันได้ว่าคุณจะไม่ดาวน์โหลดปลั๊กอินหรือธีมที่ไม่ดี แต่จะลดโอกาสที่คุณจะได้รับผลกระทบจากปัญหาด้านความปลอดภัย

ตอนนี้ สมมติว่าคุณใช้โฮสต์ ธีม และปลั๊กอินที่ถูกต้อง ฉันจะอธิบายและอธิบายมาตรการรักษาความปลอดภัยที่จำเป็นที่คุณต้องดำเนินการเพื่อทำให้เว็บไซต์ของคุณปลอดภัย

ในขณะที่อธิบายมาตรการรักษาความปลอดภัยส่วนบุคคล โปรดทราบว่าฉันขอแนะนำปลั๊กอินแบบสแตนด์อโลนที่ออกแบบมาสำหรับแอปพลิเคชันความปลอดภัยเฉพาะ

ต่อไปในโพสต์นี้ ฉันจะพูดถึง Wordfence ปลั๊กอินความปลอดภัย freemium ที่สมบูรณ์และโซลูชันความปลอดภัยของ Sucuri คุณควรรู้ว่าทั้งสองทำหน้าที่รักษาความปลอดภัยเกือบทั้งหมดที่เคยกล่าวถึงในโพสต์ก่อนหน้านี้ และอื่นๆ ในบางกรณี

ดังนั้นหากคุณไม่ต้องการเรียนรู้เกี่ยวกับมาตรการรักษาความปลอดภัยแต่ละรายการโดยละเอียด คุณสามารถข้ามไปยังส่วนสุดท้ายที่ฉันจะพูดถึงฟังก์ชันของปลั๊กอินความปลอดภัยและผู้ให้บริการโซลูชันความปลอดภัยเช่น Sucuri

แต่ถ้าคุณเป็นผู้ใช้ WordPress เป็นครั้งแรก เราขอแนะนำให้คุณอ่านโพสต์ทั้งหมดเพื่อทำความเข้าใจถึงความสำคัญของมาตรการรักษาความปลอดภัยที่แตกต่างกัน

#3. ปกป้องหน้าเข้าสู่ระบบของคุณ

หน้าเข้าสู่ระบบ WordPress เป็นเป้าหมายหลักสำหรับการโจมตีด้วยกำลังเดรัจฉาน หน้าเข้าสู่ระบบของคุณเป็นส่วนที่เปราะบางของเว็บไซต์ของคุณอย่างแน่นอน หากคุณไม่ได้รับมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อขัดขวางผู้โจมตี

ฉันจะพูดถึงความสำคัญของการรักษาหน้าเข้าสู่ระบบที่รัดกุมและปลอดภัยด้วยมาตรการรักษาความปลอดภัยหลายอย่างที่ทำให้ไซต์ของคุณปลอดภัยและป้องกันการโจมตีแบบเดรัจฉาน

รหัสผ่านที่รัดกุม & ชื่อผู้ใช้ที่ผิดปกติ

ผู้ดูแลระบบไม่ใช่ชื่อผู้ใช้ที่ดี ก่อนหน้านี้ WordPress มีผู้ดูแลระบบเป็นชื่อผู้ใช้เริ่มต้นของบัญชีผู้ดูแลระบบหลัก อย่างไรก็ตาม วันนี้ เมื่อคุณติดตั้ง WordPress คุณสามารถเลือกชื่อผู้ใช้อื่นได้ แต่เมื่อคนทั่วไปเริ่มใช้ WordPress โดยเฉพาะอย่างยิ่งในครั้งแรกหลายคนมักใช้ผู้ดูแลระบบเป็นชื่อผู้ใช้ “ผู้ดูแลระบบ” เป็นชื่อผู้ใช้ที่สามารถคาดเดาได้อย่างมาก และทำให้ไซต์ของคุณเจาะเข้าไปได้ง่ายขึ้น

คุณยังสามารถลองใช้ปลั๊กอิน Admin Renamer Extended ซึ่งสามารถเปลี่ยนชื่อผู้ใช้ของคุณได้

รหัสผ่าน การเลือกชุดอักขระแบบสุ่มที่ผิดปกติจะช่วยสร้างบรรทัดแรกในการป้องกันผู้ที่ตั้งใจทำร้ายเว็บไซต์ของคุณหรือรับข้อมูลที่ละเอียดอ่อนซึ่งจัดเก็บไว้ในเซิร์ฟเวอร์ของเว็บไซต์ของคุณ

รายการรหัสผ่านทั่วไป 5 รหัสที่รวบรวมโดย SpashData

1. 123456
2. รหัสผ่าน
3. 12345
4. 12345678
5. qwerty

เด็กอายุสิบสามปีที่มีแรงจูงใจสูงสามารถเดาผู้ดูแลระบบและ 123456 ด้วยรหัสผ่านดังที่กล่าวไว้ข้างต้นไซต์ของคุณจะถูกทิ้งไว้โดยเฉพาะอย่างยิ่งหากคุณได้รับการเข้าชมที่ดี

รหัสผ่านที่ดีที่สุดคือการผสมผสานระหว่างตัวพิมพ์ใหญ่และตัวพิมพ์เล็กพร้อมเครื่องหมายวรรคตอนและอักขระพิเศษ ควรใช้สิ่งที่ไม่มีความหมายใด ๆ และตรวจสอบให้แน่ใจว่ามีอักขระอย่างน้อย 10 ตัว ไม่มีเหตุผลเฉพาะสำหรับอักขระ 10 ตัว แต่จำไว้ว่าการถอดรหัสนั้นยากขึ้นอย่างมากหากรหัสผ่านยาวกว่าปกติ

หากรหัสผ่านของคุณไม่สมเหตุสมผลและไม่มีเหตุผลหรือเหตุผลทางอารมณ์ที่อยู่เบื้องหลังรหัสผ่านของคุณ ย่อมเดาได้ยากกว่ามาก จำไว้ว่า Sherlock เดารหัสผ่านมือถือของ Irene Addler ได้อย่างไร - “I AM _ _ _ _ LOCKED” แม้แต่เชอร์ล็อคก็ยังยากที่จะคาดเดารหัสผ่านที่ไม่สามารถหาเหตุผลได้!

หากคุณมีปัญหาในการค้นหารหัสผ่านที่จะใช้ ให้ลองใช้เครื่องมืออย่าง Strong Password Generator หรือ Secure Password Generator ทั้งสองเครื่องมือออนไลน์ที่หาใช้ได้ฟรีในการค้นหารหัสผ่านที่ดีสำหรับการเข้าสู่ระบบของผู้ดูแลระบบของเว็บไซต์ของคุณ

ปลั๊กอินความปลอดภัยยังบังคับใช้รหัสผ่านที่รัดกุมสำหรับผู้ดูแลระบบและผู้ใช้ทั้งหมด นี่เป็นสิ่งสำคัญ แม้ว่าผู้ใช้ของคุณจะไม่มีสถานะผู้ดูแลระบบและสิทธิ์ที่เกี่ยวข้อง แต่ผู้ที่มีสิทธิ์เข้าถึงบัญชีระดับบรรณาธิการที่ถูกบุกรุกบน WordPress ก็สามารถก่อความเสียหายได้ไม่น้อย

เคล็ดลับดีๆ อีกข้อหนึ่งที่ควรจำไว้เสมอคือเปลี่ยนรหัสผ่านบ่อยๆ หากคุณมีช่วงเวลาที่ยากลำบากในการจำรหัสผ่านทั้งหมดของคุณ ให้ใช้ตัวจัดการรหัสผ่าน คุณสามารถลองใช้ One Password, Last Pass, KeePass หรือ DashLane เพื่อจัดเก็บรหัสผ่านทั้งหมดของคุณอย่างปลอดภัย

ในแง่ของชื่อผู้ใช้และรหัสผ่าน ยิ่งมีความสมเหตุสมผลน้อยกว่าและสุ่มได้มากเท่าไร ความปลอดภัยที่พวกเขาสามารถนำเสนอเว็บไซต์ของคุณก็จะยิ่งดีขึ้นเท่านั้น

จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ

การโจมตีด้วยกำลังดุร้ายกำหนดเป้าหมายหน้าเข้าสู่ระบบของเว็บไซต์ WordPress หากคุณไม่รู้ตัว การโจมตีแบบเดรัจฉานส่วนใหญ่เกี่ยวข้องกับการลองใช้ชุดค่าผสมและตัวเลขที่แตกต่างกันเพื่อถอดรหัสรหัสผ่านของไซต์สำหรับชื่อผู้ใช้เฉพาะ

แม้ว่าคุณจะคิดว่าการโจมตีด้วยกำลังเดรัจฉานไม่ประสบความสำเร็จ คุณจำเป็นต้องตระหนักถึงความจริงที่ว่ามันใช้หน่วยความจำเซิร์ฟเวอร์และพลังการประมวลผลจำนวนมหาศาล การทำเช่นนี้จะทำให้เว็บไซต์ของคุณช้าลงและนำไปสู่การรวบรวมข้อมูล โฮสต์จำนวนมากยังเสนอการป้องกันการโจมตีด้วยกำลังเดรัจฉาน เนื่องจากในเซิร์ฟเวอร์ที่ใช้ร่วมกัน ไซต์ของคุณใช้ทรัพยากรมากเกินไปอาจส่งผลต่อทุกคน

แต่เทคนิคที่ง่ายที่สุดในการปัดเป่าการโจมตีด้วยกำลังเดรัจฉานคือการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ หากมีคนไม่สามารถโจมตีเซิร์ฟเวอร์ของคุณซ้ำๆ ด้วยชื่อผู้ใช้และรหัสผ่านหลายชุด การโจมตีด้วยกำลังเดรัจฉานจะไม่ทำงาน

การล็อกการเข้าสู่ระบบ โซลูชันการรักษาความปลอดภัยการเข้าสู่ระบบ และการป้องกันการเข้าสู่ระบบแบบ Brute Force มีจุดมุ่งหมายเพื่อป้องกันการเข้าถึงเว็บไซต์ของคุณผ่านการพยายามแฮ็กแบบเดรัจฉาน Brute Protect ถูกซื้อกิจการโดยทีม Automattic และตอนนี้เป็นส่วนหนึ่งของ Jetpack และให้การป้องกันการโจมตีด้วยกำลังเดรัจฉาน

ปลั๊กอินป้องกันการเข้าสู่ระบบเกือบทั้งหมดมีส่วนต่อประสานที่คล้ายคลึงกัน

โดยทั่วไปแล้ว ปลั๊กอินเหล่านี้ทำงานโดยการติดตามที่อยู่ IP ที่พยายามเข้าสู่ระบบซ้ำแล้วซ้ำเล่าและล้มเหลว หลังจากการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้ง IP เฉพาะจะถูกป้องกันไม่ให้เข้าถึงหน้าเข้าสู่ระบบของไซต์ของคุณ

โซลูชันความปลอดภัยในการเข้าสู่ระบบบังคับให้มีการตรวจสอบอีเมล WordPress และเปลี่ยนรหัสผ่านทางอีเมล หากพบว่าผู้ใช้ที่เข้าสู่ระบบอยู่ในขณะนี้ค่อนข้างน่าสงสัย

ปลั๊กอินสามารถบังคับใช้รหัสผ่านที่รัดกุมและกำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ นอกจากนี้ ความพยายามในการแฮ็กยังถูกติดตามโดยช่วง IP ที่พยายามเข้าถึงโดยผิดกฎหมายซ้ำแล้วซ้ำเล่า ถูกล็อกไว้เป็นระยะเวลานานขึ้นเพื่อห้ามไม่ให้พวกเขาพยายามเจาะเข้าไปในเว็บไซต์ของคุณ

การตรวจสอบสิทธิ์การเข้าสู่ระบบแบบสองขั้นตอน

การตรวจสอบสิทธิ์การเข้าสู่ระบบ เพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่ง นอกเหนือจากรหัสผ่านที่คาดเดายาก ชื่อผู้ใช้ที่ผิดปกติ และการพยายามเข้าสู่ระบบที่ไม่สำเร็จในจำนวนจำกัด

กระบวนการตรวจสอบสิทธิ์การเข้าสู่ระบบสองขั้นตอนทำให้ไซต์ของคุณมีความปลอดภัยมากกว่าสองเท่า การลงชื่อเข้าใช้ไซต์ WordPress ต้องใช้รหัสรับรองความถูกต้องที่สามารถรับได้ทางข้อความมือถือเท่านั้น เนื่องจากแฮ็กเกอร์เตรียมการขโมยมือถือของคุณจึงไม่น่าจะเป็นไปได้ เว็บไซต์ของคุณจะยังคงปลอดภัยจากการใช้กำลังเดรัจฉานและเทคนิคการแฮ็กอื่นๆ ที่ต้องอาศัยการผ่านหน้าเข้าสู่ระบบของเว็บไซต์ของคุณ

Google Authenticator เป็นปลั๊กอินที่มีประโยชน์ซึ่งอาศัยแอปที่ติดตั้งบน Android/iPhone/Blackberry ของคุณ ซึ่งให้รหัสการตรวจสอบสิทธิ์ที่จำเป็นแก่คุณเพื่อให้ลงชื่อเข้าใช้เว็บไซต์ของคุณได้สำเร็จ คุณสามารถเปิดใช้งานแอปนี้สำหรับระดับสิทธิ์ของผู้ดูแลระบบเท่านั้นหรือใช้งานกับผู้ใช้โดยอิงตามผู้ใช้

ฉันชอบปลั๊กอินตัวต่อไปมาก พวกเขาตั้งใจจะส่งผู้ที่พยายามเข้าสู่ระบบโดยไม่มีรหัสการตรวจสอบสิทธิ์ไปยังการเปลี่ยนเส้นทางด้วย URL ที่ปรับแต่งได้ หน้าเข้าสู่ระบบชิงทรัพย์ยังบล็อกบอทอย่างสมบูรณ์

หากผู้ใช้ไม่ปฏิบัติตามลำดับการเข้าสู่ระบบทั้งหมด การพยายามเข้าสู่ระบบจะถูกปฏิเสธ อีกเทคนิคหนึ่งที่สามารถใช้บล็อกบอทได้คือการใช้ captcha ในหน้าล็อกอิน คุณสามารถใช้ Login No Captcha reCaptcha เพื่อป้องกันไม่ให้บอทเข้าสู่ระบบได้

เปลี่ยน URL หน้าเข้าสู่ระบบ WordPress ของคุณ

เราได้พูดคุยกันเรื่องการจำกัดความพยายามในการเข้าสู่ระบบ การตรวจสอบสิทธิ์การเข้าสู่ระบบ และความสำคัญของการใช้รหัสผ่านที่รัดกุมและชื่อผู้ใช้ที่ผิดปกติ

ตอนนี้เรากำลังจะซ่อนหรือเปลี่ยนหน้าเข้าสู่ระบบ ม็อดความปลอดภัยประเภทนี้เรียกอีกอย่างว่าความปลอดภัยผ่านความสับสน ฉันรู้ว่านี่ดูเกินจริงไปหน่อย แต่อยู่กับฉันที่นี่เพราะขั้นตอนนี้ไม่ยากไปกว่ามาตรการรักษาความปลอดภัยที่แนะนำก่อนหน้านี้เพื่อรักษาความปลอดภัยหน้าเข้าสู่ระบบของคุณ

การโจมตีด้วยกำลังดุร้ายจะมีผลก็ต่อเมื่อสามารถค้นหาหน้าเข้าสู่ระบบได้ การปล่อยให้หน้าเข้าสู่ระบบของคุณไม่มีการเปลี่ยนแปลงการอนุญาตจะเป็นแฮกเกอร์เพื่อค้นหาหน้าเข้าสู่ระบบของคุณ

ลองซ่อนหน้าเข้าสู่ระบบจากพวกเขา คุณสามารถทำได้โดยเปลี่ยน URL ของหน้าเข้าสู่ระบบด้วย WPS Hide Login ปลั๊กอินไม่ได้เปลี่ยนแปลงอะไรเลย มันแค่สกัดกั้นคำขอของหน้าและทำให้ไม่สามารถเข้าถึงไดเร็กทอรี wp-admin และหน้า wp-login.php คุณจะต้องจำหน้าเข้าสู่ระบบใหม่ตามที่ตั้งไว้ระหว่างการเปิดใช้งานปลั๊กอิน

ตัวเลือกอื่นสำหรับการเปลี่ยน URL ของหน้าเข้าสู่ระบบของคุณ ได้แก่ ปลั๊กอินอื่น ๆ อีกสองตัวคือ Protect Your Admin และ Rename wp-login.php

SSL

แม้ว่าฉันจะกล่าวถึง SSL ภายใต้การปกป้องหน้าเข้าสู่ระบบของคุณ แต่ SSL เป็นคุณลักษณะที่สำคัญและจำเป็นอย่างยิ่งของหน้าใดๆ ที่คุณจัดการกับข้อมูลที่ละเอียดอ่อน และนี่เกือบจะรวมทุกหน้าในเว็บไซต์จำนวนมาก ราวกับว่ามีแบบฟอร์มการสมัครรับข้อมูลบล็อกบนหน้าเว็บทั้งหมด

หากคุณหรือผู้เยี่ยมชม/ลูกค้าของคุณเคยแบ่งปันข้อมูลส่วนตัวที่ละเอียดอ่อน เช่น ที่อยู่ รายละเอียดบัตรเครดิต หรือแม้แต่แบ่งปัน ID อีเมลของพวกเขากับคุณ จากนั้นคุณเป็นหนี้พวกเขาเพื่อปกป้องข้อมูลของพวกเขา

SSL เป็นชั้นการป้องกันพิเศษ (Secure Socket Layer) ซึ่งเปลี่ยน http เป็น https และในกระบวนการนี้ทำให้ข้อมูลทั้งหมดที่แชร์มีความปลอดภัยมากขึ้น

นี่คือวิธีที่ฉันแก้ไขหน้าแก้ไขโพสต์ เพราะ Colorlib มีลักษณะเป็น SSL สังเกตสีเขียว “https:” บนแถบ URL หรือไม่

โดยพื้นฐานแล้ว SSL เป็นสิ่งที่รบกวนข้อมูลของคุณเป็นสิ่งที่ไม่สามารถอ่านได้เหมือนกับที่เราทำเป็นข้อความธรรมดา ดังนั้นเมื่อข้อมูลเดินทางระหว่างเซิร์ฟเวอร์ของคุณและเบราว์เซอร์ใดๆ ก็ตาม ใครก็ตามที่เข้าถึงข้อมูลดังกล่าวได้จะไม่สามารถเข้าใจได้ มีคีย์ส่วนตัวและคีย์สาธารณะ เมื่อ SSL ทำให้ข้อมูลไหลลื่นและอ่านไม่ออก เราจำเป็นต้องทำความเข้าใจอีกครั้งที่ส่วนท้ายของเบราว์เซอร์ นี่คือที่มาของคีย์ส่วนตัวเพื่อทำให้ทุกอย่างอ่านได้อีกครั้ง กลไกในการเล่นนั้นคล้ายกับล็อคและกุญแจทางคณิตศาสตร์มาก

SiteGround โฮสต์ที่ใช้ร่วมกันที่แนะนำของเราให้การป้องกัน SSL ฟรี คุณยังสามารถซื้อใบรับรอง SSL จากผู้ออกใบรับรองได้อีกด้วย หากคุณเรียกใช้ปลั๊กอินความปลอดภัย เช่น Wordfence คุณสามารถเปิดใช้งาน SSL ได้

ฉันขอแนะนำ SSL ทั่วทั้งไซต์ ไซต์ WordPress จำนวนมาก ColorLib รวมใช้ SSL ทั่วทั้งไซต์ หากไม่ใช่ SSL ทั่วทั้งไซต์ คุณควรบังคับใช้ SSL สำหรับหน้าเข้าสู่ระบบเป็นอย่างน้อย

เบราว์เซอร์เช่น Chrome ยังบล็อกการเข้าถึงเว็บไซต์ที่มีใบรับรองไม่ดี/หมดอายุใน SSL

คุณอาจต้องพิจารณาว่า CDN ของคุณส่งเนื้อหาผ่าน SSL ได้อย่างง่ายดายหรือไม่ และบางครั้งเครือข่ายโฆษณาอาจมีปัญหาเมื่อให้บริการผ่าน SSL การเพิ่ม SSL ทั่วทั้งไซต์อาจสร้างปัญหาอย่างมาก คุณควรอ่านบทความเชิงลึกเกี่ยวกับความยากลำบากในการเปิดใช้งาน SSL ทั่วทั้งไซต์

Google ช่วยเพิ่มอันดับการค้นหาของคุณเล็กน้อย (1%) หากคุณใช้ SSL บนเว็บไซต์ของคุณ ความจริงข้อนี้เองควรรับประกันการใช้ SSL ทำไม ? Google เข้าใจดีอย่างที่ผู้เชี่ยวชาญด้านการพัฒนาเว็บไซต์ส่วนใหญ่เข้าใจ ความสำคัญของการรับรองความปลอดภัยของข้อมูลของผู้อ่าน/ผู้เยี่ยมชมของคุณ

นอกจากนี้ยังสามารถบังคับใช้ SSL บนหน้าจอเข้าสู่ระบบของคุณด้วยปลั๊กอินความปลอดภัย Wordfence คาดว่าใบรับรองความปลอดภัยจะพร้อมให้ใช้งานฟรีในช่วงปี 2558

อ่านเพิ่มเติมเกี่ยวกับการดูแลระบบผ่าน SSL บน WordPress.org

#4. ปกป้อง WP Core, ฐานข้อมูล & การใช้สิทธิ์ไฟล์ที่ถูกต้อง

ในหลายมาตรการรักษาความปลอดภัยเหล่านี้ เราจะทำการแก้ไข WP core ของคุณและคุณจะต้องคุ้นเคยกับวิธีใช้งานและไคลเอนต์ FTP เพื่อทำการเปลี่ยนแปลงและอัปโหลด และเนื่องจากคำแนะนำด้านความปลอดภัยส่วนใหญ่เหล่านี้เกี่ยวข้องกับการเปลี่ยนแปลงหรือแก้ไข WP core ของคุณ อาจทำให้เว็บไซต์ของคุณเสียหายได้ สำรองข้อมูลคอร์ WordPress ของคุณและเนื้อหาทั้งหมดก่อนที่คุณจะดำเนินการใดๆ ต่อไป ข้อผิดพลาดสามารถยกเลิกได้อย่างง่ายดายด้วยการสำรองข้อมูล

คีย์ความปลอดภัย WordPress

WordPress ใช้คุกกี้เพื่อระบุและยืนยันผู้ใช้ที่เข้าสู่ระบบเพื่อแสดงความคิดเห็นและทำการเปลี่ยนแปลงจาก WP dash

คุกกี้เหล่านี้ประกอบด้วยข้อมูลการเข้าสู่ระบบและรายละเอียดการรับรองความถูกต้องของคุณ รหัสผ่านจะถูกแฮชซึ่งหมายความว่ามีการใช้สูตรทางคณิตศาสตร์เพื่อให้อ่านไม่ออกและไม่สามารถอ่านได้โดยไม่ต้องใช้คณิตศาสตร์อีกครั้งเพื่อให้อ่านได้

เราสามารถเพิ่มการป้องกันอีกชั้นหนึ่งรอบๆ คุกกี้นี้ด้วย WP Security Keys เหล่านี้เป็นชุดของตัวแปรสุ่มที่ปรับปรุงความปลอดภัยของข้อมูลที่จัดเก็บไว้ในคุกกี้ของผู้ใช้ มี 4 ปุ่ม ได้แก่ AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY และ NONCE_KEY

รหัสผ่านที่ไม่ได้เข้ารหัส เช่น WordPress หรือ 12345 อาจเสียหายได้ง่าย หากใครสร้างคุกกี้การรับรองความถูกต้องขึ้นมาใหม่ได้ แต่การเข้ารหัสด้วยคีย์ความปลอดภัย WP ทำให้ยากขึ้นมาก

คุณจะเพิ่มคีย์ความปลอดภัย WP ได้อย่างไร

1. เปิดไฟล์ wp-config.php
2. ค้นหา "คีย์และเกลือที่ไม่ซ้ำการตรวจสอบสิทธิ์"
3. ใช้เครื่องมือสร้างคีย์อัตโนมัติออนไลน์
4. คัดลอกคีย์จากเครื่องมือออนไลน์และแทนที่ชุดคีย์ที่มีอยู่ โดยเขียนทับใน wp-config.php
5. บันทึกมัน
6. คุณสามารถทำซ้ำขั้นตอนเดิมทุกเดือนหรือประมาณนั้น

โปรดจำไว้ว่า ทุกครั้งที่คุณเปลี่ยนคีย์ความปลอดภัย ผู้ใช้จะถูกออกจากระบบและพวกเขาจะต้องลงชื่อเข้าใช้บัญชีของตนอีกครั้ง

iThemes Security มีเครื่องมือที่จำเป็นในการดำเนินการนี้จาก WP dash และพวกเขายังจะส่งการช่วยเตือนให้คุณเปลี่ยนคีย์ความปลอดภัยทุกเดือน

รหัสผ่านป้องกันไดเรกทอรี WP ของคุณ

ซึ่งสามารถทำได้จาก cPanel หรือแดชบอร์ดของโฮสต์เว็บใดๆ ใน cPanel ให้เปิด Security > Password Protect Directory คุณจะพบรายการโฟลเดอร์ทั้งหมดบนเว็บไซต์ของคุณ เริ่มต้นด้วยโฟลเดอร์สำคัญเช่น wp-admin

คุณจะพบกล่องโต้ตอบที่ขอให้สร้างผู้ใช้โดยระบุชื่อผู้ใช้และรหัสผ่าน ตอนนี้สร้างผู้ใช้ใหม่ หลังจากนี้ หากคุณต้องการเข้าถึงโฟลเดอร์ wp-admin บนเว็บไซต์ คุณต้องป้อนชื่อผู้ใช้และรหัสผ่านเพื่อเข้าถึงเว็บไซต์

วิธีนี้จะเพิ่มชั้นการป้องกันด้วยรหัสผ่านเพิ่มเติมในส่วนที่สำคัญที่สุดในเว็บไซต์ของคุณ

ใช้ FTP ที่ปลอดภัย (SFTP)

จำเป็นต้องใช้ระบบถ่ายโอนไฟล์เพื่อส่งข้อมูลของเว็บไซต์ของคุณไปยังโฮสต์เว็บเมื่อคุณเพิ่มการเปลี่ยนแปลงใหม่ที่คุณต้องการรวม ด้วยโปรโตคอลการถ่ายโอนไฟล์ปกติหรือ FTP โอกาสที่ผู้อื่นอาจดักจับและพบช่องโหว่ในการใช้ประโยชน์จากเว็บไซต์ของคุณเพิ่มขึ้น

คุณจะต้องใช้ไคลเอ็นต์ที่เหมาะสมเพื่อใช้การเชื่อมต่อ SFTP เพื่ออัปโหลดไฟล์ใหม่และโค้ดที่แก้ไข คุณสามารถใช้ FileZilla เพื่อช่วยคุณเริ่มต้น

นอกจากนี้ คุณจะต้องมีรายละเอียดเฉพาะเกี่ยวกับบัญชีเว็บโฮสติ้งของคุณ โดยทั่วไป ทุกโฮสต์จะให้ข้อมูลเฉพาะเพื่อช่วยคุณตั้งค่าโปรโตคอลการถ่ายโอนไฟล์ที่ปลอดภัย โดยปกติแล้ว คุณจะมีคีย์ SSH ที่โฮสต์สร้างขึ้น โดยจะต้องเพิ่มคีย์นี้ในไคลเอนต์ SFTP ของคุณ เช่น FileZilla และการตั้งค่าการเชื่อมต่อที่ปลอดภัยสำหรับการถ่ายโอนไฟล์นั้นทำได้ง่าย

การใช้สิทธิ์ไฟล์ที่ถูกต้อง

การเข้าถึงไฟล์ของคุณต้องได้รับการอนุญาตที่ถูกต้อง เป็นไปได้ที่จะเขียนบน WordPress ของคุณจากเว็บเซิร์ฟเวอร์ ปัญหาเกิดขึ้นเมื่อคุณแชร์สภาพแวดล้อมนั้นกับเว็บไซต์หลายแห่งที่อาจมีเว็บไซต์ของตนอยู่บนเซิร์ฟเวอร์ที่ใช้ร่วมกัน

โดยทั่วไป โฟลเดอร์ WordPress และไฟล์ WordPress มีสิทธิ์เฉพาะบนโฮสต์ที่แตกต่างกัน ด้วยการเข้าถึงเชลล์ คุณสามารถเรียกใช้สองคำสั่งต่อไปนี้เพื่อให้โฟลเดอร์และไฟล์ WordPress ของคุณปลอดภัยและเข้าถึงได้เฉพาะผู้ใช้ที่ถูกต้องเท่านั้น

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. ทำไม ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

#5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• การรักษาความปลอดภัยและไฟร์วอลล์ WP ทั้งหมดในที่เดียว

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

#6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter( 'auto_update_theme', '__return_true' );

หากคุณไม่ชอบเล่นโค้ด คุณสามารถใช้ปลั๊กอินเพื่อช่วยตัวเองได้ คุณมีตัวเลือกอื่นในรูปแบบปลั๊กอิน เมื่อต้องการทำให้แน่ใจว่าการอัปเดต WP และธีม/ปลั๊กอินทั้งหมดบนไซต์ของคุณเป็นไปอย่างราบรื่น การอัปเดตอัตโนมัติขั้นสูงช่วยให้คุณสามารถเปิดใช้งานการอัปเดตที่สำคัญและการอัปเดตย่อย/ความปลอดภัยแต่ละรายการได้ และปลั๊กอินยังมีโซลูชันการอัปเดตอัตโนมัติสำหรับธีมและปลั๊กอิน

สำหรับโซลูชันการอัปเดตแบบหลายไซต์ หากคุณต้องการความช่วยเหลือในการจัดการการอัปเดตด้วยปลั๊กอินและธีมของ WordPress คุณสามารถลองใช้ Easy Updates Manager ได้ นอกจากนี้ยังมีบริการระดับพรีเมียมที่เสนอโดย WP Updates ซึ่งให้โซลูชันการอัพเดทอัตโนมัติสำหรับปลั๊กอินและธีมระดับพรีเมียม

การใช้ปลั๊กอินเช่น ManageWP หรือโฮสต์ WP ที่มีการจัดการ เช่น WPEngine จะช่วยแก้ไขปัญหาเกี่ยวกับการอัปเดต WordPress และซอฟต์แวร์บุคคลที่สามที่คุณใช้บนเว็บไซต์ของคุณ

การอัปเดตคอร์ของ WordPress จะกลายเป็นปัญหาโดยอัตโนมัติเมื่อสิ่งต่าง ๆ เริ่มพังทลาย สิ่งนี้สามารถเกิดขึ้นได้เนื่องจากโค้ดที่กำหนดเองซึ่งถูกลบระหว่างการอัปเดตหรือปัญหาความเข้ากันได้ที่เกิดขึ้นกับซอฟต์แวร์บุคคลที่สาม (ปลั๊กอิน & ธีม) นี่เป็นเหตุผลหนึ่งที่อาจทำให้คุณหยุดชั่วคราว บางทีการเปิดใช้งานการอัปเดตเล็กน้อยอาจเป็นความคิดที่ดีกว่า

หากคุณมีปัญหากับการอัปเดต WordPress อัตโนมัติ เราขอแนะนำให้คุณลองใช้ตัวทดสอบการอัปเดตพื้นหลัง ปลั๊กอินจะตรวจสอบและอธิบายปัญหาความเข้ากันได้

เรียกใช้การสำรองข้อมูลเสมอก่อนที่คุณจะอัปเดต เสมอ! เพื่อป้องกันเว็บไซต์ของคุณจากสิ่งผิดปกติร้ายแรง ซึ่งในกรณีนี้ เว็บไซต์ของคุณจะยุ่งเหยิง แนวปฏิบัติที่ดีที่ควรปฏิบัติตาม เพื่อป้องกันการอัปเดตอัตโนมัติที่ก่อให้เกิดความหายนะจากปัญหาความเข้ากันได้กับปลั๊กอิน ธีม และโค้ดที่กำหนดเองในบางครั้งบน WP core ของคุณ

#7. อีกสองสามอย่างเกี่ยวกับการรักษาความปลอดภัย WP – ไฟร์วอลล์ บันทึกการตรวจสอบ & เครื่องสแกนมัลแวร์

ฉันไม่ได้พูดถึง ไฟร์วอลล์ สำหรับ WordPress ไฟร์วอลล์ที่ดีจะประสบความสำเร็จอย่างมากและบรรเทารูปแบบการโจมตีที่พบบ่อยที่สุดบนเว็บไซต์ของคุณ

• บรรเทาผลกระทบจากการโจมตี DDoS
• การโจมตีด้วยกำลังเดรัจฉานจะหยุดตายในเส้นทางของพวกเขา
• ป้องกันช่องโหว่ของซอฟต์แวร์
• หยุดการโจมตีด้วยการฉีดโค้ด เช่น การโจมตี SQL หรือ XSS
• ปรับปรุงและป้องกันช่องโหว่ Zero-day

เพื่อให้เห็นภาพ นี่คือภาพรวมของสิ่งที่ไฟร์วอลล์ Sucuri ทำสำหรับเว็บไซต์ WordPress

ไฟร์วอลล์ไม่ใช่คำที่ Sucuri ใช้เพื่ออธิบายระบบป้องกัน แต่เรียกมันว่า CloudProxy ซึ่งเป็นการผสมผสานระหว่างไฟร์วอลล์ของเว็บแอปพลิเคชันและระบบตรวจจับการบุกรุก ทราฟฟิกที่เป็นอันตรายทั้งหมดจะถูกกรองออกและมีการตรวจสอบกิจกรรมที่ผิดปกติ

ไฟร์วอลล์แบบดั้งเดิมได้รับการพัฒนาเพื่อตรวจสอบการเชื่อมต่อ อย่างไรก็ตาม CloudProxy ของ Sucuri ไม่เพียงแต่จะป้องกันผู้ร้ายเท่านั้น แต่ยังสร้างแพตช์เสมือนเพื่อต่อต้านช่องโหว่อีกด้วย เมื่อคำขอจากผู้เยี่ยมชมผ่านไฟร์วอลล์ คำขอนั้นจะไปถึงระบบป้องกันการบุกรุกและตรวจจับ ซึ่งระบบจะกรองคำขอสำหรับรูปแบบการโจมตีที่เป็นไปได้

ฉันคิดว่าคุณสมบัติการแพตช์เสมือนเพื่อปกป้องคุณจากช่องโหว่นั้นเป็นสินทรัพย์ที่มีประสิทธิภาพสูงและทรงคุณค่าสำหรับเว็บไซต์ใด ๆ ที่มีการปรับแต่งมากเกินไป ควรใช้การอัปเดตกับ WordPress ในพื้นที่แสดงละครและตรวจสอบว่าเว็บไซต์ของคุณทำงานได้อย่างราบรื่นหรือไม่ และหากเป็นเช่นนั้น คุณสามารถใช้เวอร์ชันที่อัปเดตของเว็บไซต์ของคุณใช้งานได้จริง แต่ในระหว่างนี้ เว็บไซต์ของคุณกำลังตกอยู่ในอันตรายอย่างแท้จริง การป้องกันการโจมตีซีโร่เดย์ทำได้ผ่านการอัปเดตเพื่อแก้ไขช่องโหว่เท่านั้น อย่างไรก็ตาม ไม่จำเป็นต้องเป็นเช่นนี้ขณะใช้ Sucuri CloudProxy

นอกจากนั้น พวกเขายังเก็บบันทึกของกิจกรรมทั้งหมดบนเว็บไซต์ของคุณและมองหาสัญญาณของความเสียหายที่อาจเกิดขึ้น

ให้คิดว่าไฟร์วอลล์เป็นมาตรการสุดท้าย เพราะเป็นกำแพงที่แฮ็กเกอร์จำเป็นต้องฝ่าฝืนเพื่อเข้าถึงเนื้อหาที่ละเอียดอ่อนของเว็บไซต์ของคุณ แนวปฏิบัติที่ดีส่วนใหญ่ได้รับการออกแบบมาเพื่อให้คุณไม่จำเป็นต้องใช้ไฟร์วอลล์มากนัก

ซอฟต์แวร์สแกนมัลแวร์หรือเว็บไซต์ เช่น Sucuri SiteCheck สามารถสแกนเว็บไซต์ของคุณเพื่อหาช่องโหว่และช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นได้ ปลั๊กอินความปลอดภัยยังมีซอฟต์แวร์สแกนมัลแวร์เพื่อติดตามการเปลี่ยนแปลงที่ดูผิดปกติและเป็นสาเหตุของปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น

ก่อนหน้านี้ฉันได้กล่าวถึงบันทึกการตรวจสอบความปลอดภัย WP ในขณะที่ระบุว่าเป็นปลั๊กอินที่จำเป็นในการติดตามการเปลี่ยนแปลงทั้งหมดบนเว็บไซต์ของคุณ ฉันต้องการย้ำจุดนั้น มันเป็นปลั๊กอินที่มีประโยชน์อย่างยิ่ง ไม่เพียงแต่ติดตามการเปลี่ยนแปลงที่เกิดจากธีมและปลั๊กอินเท่านั้น แต่ยังรวมถึงการกระทำโดยผู้ใช้รายอื่นด้วย เป็นสิ่งสำคัญมากที่คุณต้องใช้ WP Security Audit Log หรือเรียกใช้ปลั๊กอินการบันทึกข้อมูลอื่น ๆ เพื่อติดตามการเปลี่ยนแปลงทั้งหมด

การบันทึกยังเป็นคุณลักษณะสำคัญของระบบป้องกันของ Sucuri แม้ว่าพวกเขาจะพยายามอย่างเต็มที่ในการรักษาความปลอดภัย แต่บางครั้งสิ่งเลวร้ายก็เกิดขึ้นและเว็บไซต์ก็ถูกแฮ็ก เมื่อสิ่งนี้เกิดขึ้น ระบบบันทึกของพวกเขามีประโยชน์มากในการช่วยขุดเว็บไซต์ออกจากคูน้ำ

ไฟร์วอลล์ เครื่องสแกนมัลแวร์ และบันทึกการตรวจสอบมีประโยชน์อย่างมากในการต่อต้านภัยคุกคามที่ไม่สามารถคาดเดาได้และการโจมตีแบบซีโร่เดย์ พวกเขาไม่ได้ใช้แทนแนวทางปฏิบัติด้านความปลอดภัยของ WordPress ที่ดี

#8. การซ่อนเวอร์ชัน WordPress ของคุณ – จำเป็นหรือไม่

ฉันได้อ่านบางเว็บไซต์ที่ซ่อนเวอร์ชัน WordPress ของคุณจะเพิ่มความปลอดภัยจากแฮกเกอร์ที่เป็นอันตราย ปัญหาคือ มีข้อสันนิษฐานว่าความรู้เกี่ยวกับช่องโหว่ที่เกี่ยวข้องกับ WordPress โดยเฉพาะทำให้มีโอกาสมากขึ้นที่ใครบางคนจะใช้ประโยชน์จากพวกเขา นี้ไม่จำเป็นต้องเป็นความจริง โดยทั่วไป คนที่ขโมยข้อมูลจากเว็บไซต์จะใช้เครื่องมืออัตโนมัติในการสแกนเว็บไซต์เพื่อหาช่องโหว่ที่ทราบ และหากเวอร์ชัน WordPress ของคุณมีช่องโหว่ พวกเขาก็จะรู้ ไม่เหมือนกับว่าแฮ็กเกอร์จะตรวจสอบไซต์ทีละไซต์และจัดเรียงตามเวอร์ชัน WordPress

ตามที่ระบุไว้ก่อนหน้านี้ให้อัปเดต WordPress ธีมและปลั๊กอินของคุณโดยเร็วที่สุด แฮกเกอร์ไม่เลือกปฏิบัติระหว่างไซต์ที่แสดงเวอร์ชัน WordPress และเว็บไซต์ที่ไม่แสดง

ในกรณีที่ไม่น่าเป็นไปได้ที่แฮ็กเกอร์เข้าเยี่ยมชมทุกเว็บไซต์ด้วยตนเองและตรวจสอบเวอร์ชันของ WordPress จากนั้นพยายามค้นหาช่องโหว่ คุณอาจพบว่าการซ่อนเวอร์ชัน WordPress ของคุณมีผล

ใช้ปลั๊กอิน Remove Version เพื่อลบเวอร์ชัน WordPress ของคุณ หากไม่ได้ผล คุณจะต้องทำการแก้ไขเล็กน้อย และบล็อกโพสต์นี้จะช่วยคุณได้

#9. สำรองข้อมูล – บรรทัดสุดท้ายของการรักษาความปลอดภัยของเว็บไซต์

คุณควรเตรียมพร้อมเสมอสำหรับเหตุการณ์ที่ไซต์ WordPress ของคุณ แม้ว่ามาตรการรักษาความปลอดภัยทั้งหมดของคุณจะถูกบุกรุกก็ตาม ถ้าเกิดว่าคุณต้องก้าวเข้าไปและแก้ไขสิ่งต่างๆ ขณะนี้มีหลายวิธีในการกู้คืนไซต์ที่สามารถทำได้ การสำรองข้อมูลด้วยการกู้คืนด้วยคลิกเดียวเป็นวิธีแก้ปัญหาที่ง่ายสำหรับเว็บไซต์ที่ถูกบุกรุก โดยถือว่าช่องโหว่ด้านความปลอดภัยหรือช่องโหว่ได้รับการแก้ไขแล้ว

การสำรองข้อมูลอัตโนมัติเป็นส่วนที่จำเป็นและจำเป็นสำหรับคลังแสงความปลอดภัยของเว็บไซต์ WordPress ทุกแห่ง คิดว่าปลั๊กอินความปลอดภัยเป็นดาบของคุณและตัวสำรองเป็นเกราะป้องกันของคุณ หากการกระทำผิดของคุณล้มเหลว เกราะป้องกันในกรณีนี้คือตัวสำรองจะกลายเป็นแนวป้องกันสุดท้ายของคุณ

จำไว้ว่า ฉันกำลังตั้งสมมติฐานว่ามีเพียง WordPress ของคุณเท่านั้นที่ถูกบุกรุก ไม่ใช่เซิร์ฟเวอร์ของคุณ ซึ่งเป็นกระเป๋าเวิร์มที่แตกต่างไปจากเดิมอย่างสิ้นเชิง แต่ผู้ให้บริการโฮสติ้งส่วนใหญ่มีทีมรักษาความปลอดภัยที่เข้มแข็งปกป้องเซิร์ฟเวอร์ของตนจากองค์ประกอบที่เป็นอันตรายอย่างต่อเนื่องและโดยเฉพาะอย่างยิ่งในระหว่างการโจมตีทั่วโลก ฉันเขียนโพสต์เมื่อสองสามสัปดาห์ก่อน เกี่ยวกับผู้ให้บริการโฮสติ้งที่ใช้ร่วมกันหลายราย หากคุณสนใจ

การสำรองข้อมูล- หากคุณตัดสินใจว่าคุณต้องการปลั๊กอินฟรีโดยไม่ต้องจ่ายค่าบริการสำรองข้อมูลสักเล็กน้อย ฉันคิดว่าคุณสามารถเริ่มด้วย Updraft Plus ซึ่งเป็นปลั๊กอินฟรีเมียม

ด้วยปลั๊กอินนี้ คุณสามารถสำรองและบันทึกสำเนาของเว็บไซต์ของคุณในที่จัดเก็บข้อมูลที่ให้บริการต่างๆ มากมาย ประกอบด้วย Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP & SFTP และอีเมล คุณควรทราบด้วยว่าปลั๊กอินฟรีอนุญาตให้สำรองข้อมูลในที่ใดที่หนึ่งเท่านั้น คุณจะต้องใช้ส่วนเสริมแบบพรีเมียม หากคุณต้องการใช้ปลั๊กอินเพื่อบันทึกเว็บไซต์ของคุณในหลายๆ ที่

ปลั๊กอินนี้เหมือนกับผู้ให้บริการสำรองข้อมูลส่วนใหญ่ในการสำรองข้อมูล WordPress จะบันทึกทุกอย่างรวมถึงการตั้งค่าเนื้อหา ธีมและปลั๊กอิน และยังสามารถเรียกใช้การสำรองข้อมูลฐานข้อมูล WordPress แยกจากการสำรองข้อมูลปกติของคุณ

หากคุณต้องการใช้บริการสำรองข้อมูล WordPress ระดับพรีเมียม เราขอแนะนำให้คุณดู BackUp Buddy, VaultPress หรือ BlogVault (ฉันเคยทำงานกับพวกเขามาก่อนและพวกเขาก็มีบริการที่ยอดเยี่ยม)

เก็บสำเนาเว็บไซต์ของคุณไว้มากกว่าหนึ่งชุด และมีหนึ่งชุดในไดรฟ์จริงที่ไม่พึ่งพาการเชื่อมต่ออินเทอร์เน็ต การสำรองข้อมูลเป็นความคิดที่ดีแม้ว่าจะไม่ใช่จุดยืนด้านความปลอดภัยก็ตาม เมื่อคุณทดลองกับธีมและปลั๊กอิน เมื่อคุณอัปเดตธีม ปลั๊กอิน หรือ WordPress ของคุณ มีความเป็นไปได้เสมอที่จะเกิดปัญหาความเข้ากันได้และทำลายเว็บไซต์ของคุณ

และจากประสบการณ์ของฉันเกี่ยวกับการสำรองข้อมูลอัตโนมัติ คุณต้องลบสำเนาของข้อมูลสำรองในลักษณะที่สอดคล้องกับความถี่ที่คุณเพิ่มเนื้อหาใหม่และทำสำเนาสำรองต่อไป

เมื่อพูดถึงพีซีของฉัน ฉันชอบโซลูชันการสำรองข้อมูลที่มีการสำรองข้อมูลส่วนเพิ่ม/ส่วนต่างมากกว่าการสำรองข้อมูลทั้งหมด แต่คุณก็ควรทราบด้วยว่าการคืนสภาพเดิมสำหรับการกู้คืนนั้นใช้เวลานานกว่า เช่นเดียวกับระบบสำรองข้อมูลของ WordPress อย่างแน่นอน แม้ว่าผู้ให้บริการสำรองข้อมูลของคุณจะเรียกเก็บเงินเพิ่มเติมโดยมีข้อจำกัดที่เข้มงวดเกี่ยวกับขีดจำกัดการจัดเก็บข้อมูล คุณไม่ควรกังวลเรื่องนี้

บทสรุป

ฉันอดไม่ได้ คำพูดนี้จากซีรี่ส์ Harry Potter ดูเหมือนจะเหมาะมาก

“เฝ้าระวังอย่างต่อเนื่อง!” – แมด-อาย-มู้ดดี้

มูดี้เป็นพ่อมดแห่งความมืดในซีรีส์ หากคุณสงสัย

ดังที่ฉันได้กล่าวไปแล้วก่อนหน้านี้ว่าไม่มีการรักษาความปลอดภัยแบบสมบูรณ์บนเว็บ คุณสามารถใช้มาตรการรักษาความปลอดภัยมากมายและยังถูกแฮ็กเว็บไซต์ของคุณอยู่ แต่การทำให้แน่ใจว่าเว็บไซต์ของคุณทำงานบน SSL หน้าเข้าสู่ระบบของคุณมีความแข็งแกร่ง รหัสผ่านและชื่อผู้ใช้ของคุณนั้นไม่คุ้นเคยอย่างน่าทึ่ง เว็บไซต์ของคุณได้รับการอัปเดตอย่างสมบูรณ์และป้องกันภัยคุกคามที่รู้จักและได้รับการสำรองข้อมูลอย่างเต็มที่ทุกวัน ช่วยเพิ่มโอกาสในความโปรดปรานของคุณ .

หากคุณต้องการแฮ็คหรือใช้ประโยชน์จาก WordPress ที่สมบูรณ์ฟรี การปฏิบัติตามมาตรการรักษาความปลอดภัยที่กล่าวมาทั้งหมดจะช่วยให้มั่นใจว่าเว็บไซต์ของคุณมีการรักษาความปลอดภัยอย่างแน่นหนา แต่ถึงอย่างนั้น คุณไม่สามารถป้องกันการโจมตีแบบ zero-day หรือแฮ็กเกอร์ที่ชาญฉลาดที่มุ่งทำลายเว็บไซต์ของคุณได้ แม้ว่าเหตุการณ์นี้จะเป็นเหตุการณ์ที่ไม่น่าเป็นไปได้ก็ตาม

คิดแบบนี้. หากเว็บไซต์ของฉันถูกแฮ็ก ฉันจะสูญเสียธุรกิจและรายได้เท่าใด ฉันจะนำข้อมูลของลูกค้าไปสู่ความเสี่ยงหรือไม่ ? จะทำให้ฉันต้องรับผิดในคดีความ ? เมื่อถึงจุดที่คุณเห็นว่าค่าใช้จ่ายในการถูกแฮ็กเว็บไซต์ของคุณนั้นสูงพอสมควร เราขอแนะนำให้คุณใช้บริการโฮสติ้ง WordPress ที่มีการจัดการหรือเว็บโกหกขนาดใหญ่ในรูปแบบของบริการความปลอดภัยของ Sucuri

เว็บไซต์ของคุณไม่จำเป็นต้องเป็นที่นิยมในการเป็นเป้าหมาย และจะไม่กลายเป็นเว็บไซต์ที่มีการเข้าชมสูงหากตกเป็นเหยื่อของการแฮ็กและการโจมตีอย่างต่อเนื่อง

อย่างที่ฉันได้พูดไปก่อนหน้านี้เกี่ยวกับการโฮสต์ หากคุณมั่นใจในความสามารถของคุณในการสร้างเว็บไซต์ที่สร้างรายได้ซึ่งจะจ่ายสำหรับค่าใช้จ่ายของบริการโฮสติ้ง/การรักษาความปลอดภัยที่ดีที่สุด ให้เลือกสิ่งที่ดีที่สุด หากคุณสามารถซื้อบริการเว็บโฮสติ้ง/การรักษาความปลอดภัยที่ดีที่สุดได้ มันจะคุ้มค่าในระยะยาว หากคุณไม่ใช่นักพัฒนาเว็บตามสายอาชีพ

หากคุณไม่สามารถซื้อเว็บโฮสติ้งที่มีการจัดการที่ดีที่สุดหรือการรักษาความปลอดภัยระดับบนได้ ให้นำมาตรการความปลอดภัยดังกล่าวมาใช้ เป็นไปได้ว่าเว็บไซต์ของคุณจะปลอดภัย

หากคุณมีข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับความปลอดภัยของ WordPress หรือมีแนวคิดที่แตกต่างกันเกี่ยวกับวิธีการปกป้องเว็บไซต์ WordPress ของคุณ เรายินดีที่จะรับฟังความคิดเห็นของคุณในความคิดเห็นด้านล่าง ไชโย