วิธีในการรักษาความปลอดภัยบล็อก WordPress ของคุณ

WordPress ขึ้นชื่อว่าไม่ปลอดภัย เจ้าของเว็บไซต์ส่วนใหญ่เชื่อว่าลักษณะโอเพ่นซอร์สของแพลตฟอร์มทำให้เสี่ยงต่อการโจมตีและการละเมิดความปลอดภัยทุกครั้ง อย่างไรก็ตามนั่นยังห่างไกลจากกรณี การละเมิดความปลอดภัยของ WordPress ส่วนใหญ่มาจากความผิดพลาดของมนุษย์ ดังนั้น คุณจึงสามารถรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ได้ หากคุณเพียงแค่ใช้มาตรการป้องกันแบบเดียวกับที่คุณทำกับทุกแพลตฟอร์ม แม้ว่าจะไม่มีแพลตฟอร์มใดที่สมบูรณ์แบบ แต่คุณสามารถรักษาความปลอดภัยให้กับบล็อก WordPress ของคุณได้ โดยปฏิบัติตามข้อควรระวังบางประการ

การปกป้องหน้าเข้าสู่ระบบเพื่อป้องกันการโจมตีด้วยกำลังเดรัจฉาน

หน้าเข้าสู่ระบบ WordPress เป็นคุณสมบัติเดียวที่ถูกโจมตีมากที่สุดของแพลตฟอร์ม เป็นประตูสู่ส่วนหลังการดูแลระบบของเว็บไซต์ของคุณ ด้วยเหตุนี้แฮกเกอร์จึงพยายามใช้กำลังเดรัจฉาน แม้ว่าคุณจะควรใช้หน้าเข้าสู่ระบบแบบกำหนดเอง แต่หากคุณต้องใช้สิ่งที่ WordPress มอบให้ คุณสามารถรักษาความปลอดภัยให้กับบล็อกของคุณด้วยวิธีต่อไปนี้

เพิ่มฟีเจอร์ล็อคดาวน์และแบนผู้ใช้

ปลั๊กอิน Lockdown ป้องกันการโจมตีด้วยกำลังเดรัจฉานโดยการล็อคไซต์หลังจากตรวจพบการพยายามเข้าสู่ระบบที่ล้มเหลวซ้ำ ๆ จากนั้นคุณจะได้รับการแจ้งเตือนสำหรับการเข้าสู่ระบบที่ไม่ได้รับอนุญาตเหล่านี้ แม้ว่าปลั๊กอินความปลอดภัยส่วนใหญ่จะนำเสนอคุณลักษณะนี้ แต่คุณต้องการปลั๊กอินที่ช่วยให้คุณสามารถแบนที่อยู่ IP ของผู้โจมตีได้เช่นกัน

ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย

การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) ก็เป็นมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพเช่นกัน มันใช้การเข้าสู่ระบบโดยใช้สององค์ประกอบที่แตกต่างกัน คุณในฐานะเจ้าของเว็บไซต์เป็นผู้ตัดสินใจว่าองค์ประกอบเหล่านั้นคืออะไร คุณมีตัวเลือกในการใช้รหัสผ่านและคำถามลับ รหัส อักขระ หรือแอปมือถือตรวจสอบสิทธิ์ เช่น แอป Google Authenticator

สร้าง ID อีเมลแทนชื่อผู้ใช้

ที่อยู่อีเมลไม่ซ้ำกัน ทำให้คาดเดาได้ยาก WordPress ต้องการที่อยู่อีเมลที่ไม่ซ้ำกันสำหรับทุกบัญชี ดังนั้นจึงเหมาะสมที่จะใช้เป็นตัวระบุบัญชีเช่นกัน

เปลี่ยนชื่อ URL เข้าสู่ระบบของคุณ

หากคุณไม่สามารถเพิ่มปลั๊กอินในการติดตั้งของคุณได้ คุณสามารถเปลี่ยนที่อยู่เว็บของหน้าเข้าสู่ระบบได้ตลอดเวลา เป็นคุณสมบัติง่าย ๆ ที่จะทำให้เว็บไซต์ของคุณปลอดภัยขึ้น 99% ในทันที

รหัสผ่านที่ปลอดภัย

การเปลี่ยนและใช้รหัสผ่านที่รัดกุมเป็นเคล็ดลับที่ดีสำหรับเว็บไซต์ WordPress หรืออื่นๆ ที่จริงแล้ว คุณควรใช้แนวทางปฏิบัตินี้กับทุกบัญชี ไม่ใช่เฉพาะเว็บไซต์ของคุณเอง การเปลี่ยนรหัสผ่านเป็นประจำเป็นเรื่องที่สมเหตุสมผล

ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งาน

เมื่อผู้ใช้เปิดเว็บไซต์ของคุณทิ้งไว้ในหน้าจอ อาจเป็นภัยคุกคามด้านความปลอดภัย ใครๆ ก็แวะเข้ามาเปลี่ยนข้อมูลได้ พวกเขาสามารถเปลี่ยนแปลงบัญชีผู้ใช้หรือจี้เว็บไซต์ทั้งหมดได้ คุณสามารถกำจัดภัยคุกคามนี้ได้โดยเพียงแค่ออกจากระบบโดยอัตโนมัติหลังจากเวลาที่กำหนด

การรักษาความปลอดภัยแดชบอร์ดผู้ดูแลระบบ WordPress

แม้ว่าหน้าเข้าสู่ระบบจะถูกโจมตีมากที่สุด แต่แฮกเกอร์ต้องการแดชบอร์ดผู้ดูแลระบบของคุณจริงๆ ดังนั้น คุณต้องทำให้เป็นส่วนที่มีการป้องกันมากที่สุดในเว็บไซต์ของคุณ

รักษาความปลอดภัย Wp-Admin Directory

ดังนั้น ความพยายามด้านความปลอดภัยของ WordPress ส่วนใหญ่ควรเกี่ยวข้องกับไดเร็กทอรี "/ wp-admin" สำหรับผู้เริ่มต้น คุณควรมีโฟลเดอร์ที่ป้องกันด้วยรหัสผ่าน คุณอาจต้องส่งรหัสผ่านสองอันเพื่อเข้าถึงแดชบอร์ด แต่นั่นเป็นราคาเล็กน้อยที่จะต้องจ่ายสำหรับการรักษาความปลอดภัยที่เพิ่มเข้ามา

ใช้การเข้ารหัส SSL

SSL (Secure Socket Layer) เป็นการเคลื่อนไหวที่ดีเสมอ นอกจากนี้ยังเป็นข้อกำหนด SEO หากคุณต้องการให้ Google และเครื่องมือค้นหาสำคัญอื่นๆ แสดงรายการเว็บไซต์ของคุณ คุณควรได้รับใบรับรอง SSL สำหรับบล็อกของคุณโดยเร็วที่สุด นอกจากนี้ยังเป็นวิธีที่ดีในการรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบของคุณ

จำกัดการใช้บัญชีผู้ใช้ของคุณ

คุณต้องการบัญชีผู้ใช้มากเท่าที่คุณต้องการ คุณไม่ต้องการให้หลายคนเข้าถึงแดชบอร์ดผู้ดูแลระบบของคุณ สิทธิ์นั้นควรมอบให้เฉพาะผู้ที่ต้องการรักษาบล็อกของคุณจริงๆ ถึงตอนนั้น คุณยังคงต้องการจำกัดการเข้าถึงในทางใดทางหนึ่ง

สร้าง ID อีเมลแทนชื่อผู้ใช้ ใช้ชื่อผู้ใช้สำหรับผู้ดูแลระบบอื่น

เช่นเดียวกับหน้าเข้าสู่ระบบ ทุกคนรู้จักบัญชี 'ผู้ดูแลระบบ' เริ่มต้นของ WordPress ผู้คนเพียงแค่ต้องเดารหัสผ่านของคุณ และพวกเขาก็อยู่ในเว็บไซต์ของคุณ คุณสามารถหยุดสิ่งนี้ได้โดยเปลี่ยนชื่อผู้ใช้ของบัญชีผู้ดูแลระบบ

ตรวจสอบไฟล์ของคุณ

สุดท้ายนี้ คุณควรตรวจสอบไฟล์ของคุณเสมอเพื่อหาการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตผ่านปลั๊กอิน เช่น Wordfence

รักษาความปลอดภัยฐานข้อมูล

หากไม่สามารถเข้าทางประตูหน้าได้ แฮกเกอร์จะลองประตูหลัง ข้อมูลเว็บไซต์ของคุณอยู่ในฐานข้อมูล รักษาความปลอดภัยให้มากที่สุด

เปลี่ยนคำนำหน้าตาราง

ในการติดตามข้อมูลไซต์ของคุณ WordPress กำหนดคำนำหน้าให้กับตารางฐานข้อมูลทั้งหมดที่สร้างขึ้น คุณควรเปลี่ยนสิ่งนี้เป็นสิ่งที่ไม่เหมือนใคร คำนำหน้าเริ่มต้นทำให้ไซต์ของคุณเสี่ยงต่อการโจมตีด้วยการฉีด SQL

การสำรองข้อมูลปกติ

คุณไม่สามารถรักษาความปลอดภัยให้กับบล็อกของคุณได้อย่างสมบูรณ์ แต่คุณสามารถมั่นใจได้ว่าคุณสามารถกู้คืนบล็อกกลับเป็นปกติได้ตลอดเวลา คุณเพียงแค่ต้องสำรองข้อมูลนอกสถานที่เป็นประจำ

รหัสผ่านฐานข้อมูลที่แข็งแกร่ง

เช่นเดียวกับบัญชีผู้ใช้ของคุณ คุณต้องการรหัสผ่านที่รัดกุมสำหรับบัญชีฐานข้อมูลของคุณ

บันทึกการตรวจสอบและตรวจสอบ

WordPress และ MySQL บันทึกทุกอย่าง หากคุณต้องการดูว่าเกิดอะไรขึ้นกับเว็บไซต์ของคุณ คุณสามารถดูไฟล์บันทึกเหล่านี้ได้ ด้วยวิธีนี้ คุณจะรู้ว่าสิ่งที่เปลี่ยนแปลงไปและใครเป็นผู้เปลี่ยนแปลง

รักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ

โซลูชันการโฮสต์เว็บไซต์ของคุณอาจมีโครงสร้างพื้นฐานเครือข่ายที่ปลอดภัย แต่คุณไม่ควรรับฟังอย่างเต็มที่ สิ่งสำคัญคือต้องพิจารณาการรักษาความปลอดภัยข้อมูลผู้ใช้ของคุณและวิธีที่พวกเขาเข้าถึงไฟล์ส่วนตัวของคุณ.. ตรวจสอบให้แน่ใจเสมอว่าเว็บไซต์ของคุณมีความปลอดภัยเท่าที่คุณจะทำได้

ปลอดภัย Wp-config.php

ไฟล์นี้มีการตั้งค่าเริ่มต้นและข้อมูลฐานข้อมูลของเว็บไซต์ของคุณ ดังนั้นจึงเป็นไฟล์ที่สำคัญที่สุดในไดเร็กทอรีรากของไซต์ของคุณ ดังนั้นคุณต้องการทำให้ไม่สามารถเข้าถึงได้

ไม่อนุญาตให้แก้ไขไฟล์

ใครก็ตามที่เข้าถึงแดชบอร์ด WordPress ของคุณสามารถเปลี่ยนแปลงไฟล์ WordPress รวมถึงปลั๊กอินและธีมของคุณได้ คุณสามารถหยุดสิ่งนี้ได้โดยการตั้งค่า “define('DISALLOW_FILE_EDIT', true);” ตั้งค่าสถานะในไฟล์ wp-config

ใช้การเข้าถึง FTP ที่ปลอดภัย

คุณควรใช้ SFTP หรือ SSH เพื่ออัปโหลดไฟล์ไปยังไซต์ของคุณเท่านั้น FTP ที่ปลอดภัยช่วยให้มั่นใจได้ว่าการถ่ายโอนไฟล์ของคุณปลอดภัยเสมอ หากโฮสต์ของคุณจัดเตรียมไว้แล้ว ถือว่าดีมาก อย่างไรก็ตาม คุณสามารถดำเนินการด้วยตนเองได้ตามต้องการ

สิทธิ์ไดเรกทอรีที่ปลอดภัย

สิทธิ์ที่ไม่ถูกต้องนำไปสู่การละเมิด ดังนั้น คุณต้องการ rescript พวกเขาเป็นสิ่งที่จำเป็นสำหรับเว็บไซต์ของคุณในการทำงาน โดยปกติ คุณต้องการตั้งค่าการอนุญาตไดเรกทอรีเป็น "755" และไฟล์ของคุณเป็น "644"

ปิดการใช้งานรายการไดเรกทอรี

บนเว็บเซิร์ฟเวอร์ส่วนใหญ่ ถ้าไดเร็กทอรีไม่มี index.html หรือหน้า "เริ่มต้น" อื่นที่ลงทะเบียนไว้ เซิร์ฟเวอร์จะสร้างรายการไดเร็กทอรีแบบเต็มหากมีใครเข้าถึงไดเร็กทอรี คุณต้องปิดสิ่งนี้ด้วยตนเองในไฟล์ .htaccess ของเว็บไซต์ของคุณ

บล็อกฮอตลิงค์

Hotlinking ให้คุณคัดลอกและโพสต์ภาพและสื่อจากเว็บไซต์หนึ่งไปยังอีกที่หนึ่ง แม้ว่าจะทำให้การแชร์เป็นไปได้ แต่ก็ขโมยแบนด์วิดท์จากเซิร์ฟเวอร์เดิมด้วย คุณสามารถเพิ่มประสิทธิภาพไซต์และลดค่าธรรมเนียมการโฮสต์ได้เพียงแค่บล็อกคุณลักษณะนี้ในไซต์ของคุณ

ป้องกันการโจมตี DDoS

การโจมตี DDoS เป็นการโจมตีที่เกี่ยวข้องกับเซิร์ฟเวอร์ที่พบบ่อยที่สุดบนเว็บไซต์ใดๆ ผู้โจมตีใช้หลายโปรแกรมและระบบเพื่อโอเวอร์โหลดเซิร์ฟเวอร์ของคุณ แม้ว่าจะช่วยให้ไฟล์ของคุณปลอดภัย แต่ก็อาจทำให้ไซต์ของคุณเสียหายได้หากไม่ได้รับการแก้ไข

วิธีอื่นในการรักษาความปลอดภัยบล็อก WordPress ของคุณ

นี่เป็นเพียงวิธีบางส่วนในการรักษาความปลอดภัยให้กับบล็อกหรือเว็บไซต์ WordPress ของคุณ เมื่อมีภัยคุกคามใหม่ๆ เกิดขึ้น กลุ่มพัฒนา WordPress และนักพัฒนาทั่วโลกก็ก้าวไปสู่ความท้าทายเพื่อให้แน่ใจว่าข้อมูลและเพจของคุณ คุณเพียงแค่ต้องคอยอัปเดตการติดตั้ง ธีม และปลั๊กอินของ WordPress ด้วยรุ่นล่าสุด วิธีอื่นๆ ได้แก่ การใช้โฮสติ้ง WordPress ที่มีการจัดการ การซ่อนหมายเลขเวอร์ชันของคุณ และรับทราบข้อมูลการพัฒนาด้านความปลอดภัยในชุมชน WordPress ชุมชนเปิดโอกาสให้คุณถามคำถามและรับคำตอบที่คุณไม่สามารถหาได้จากโพสต์บนบล็อกง่ายๆ ด้วยคำแนะนำนี้ คุณสามารถมั่นใจได้ว่าเว็บไซต์ของคุณปลอดภัยที่สุด