• โฮมเพจ
  • บทความ
  • ธีม
  • 15 เคล็ดลับความปลอดภัยของ WordPress เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

15 เคล็ดลับความปลอดภัยของ WordPress เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

เผยแพร่แล้ว: 2017-03-17

มีข่าวมากมายเกี่ยวกับเว็บไซต์ WordPress ที่ถูกแฮ็กเมื่อเร็วๆ นี้ และหลายคนเริ่มตั้งคำถามถึงความปลอดภัยของ WordPress เนื่องจากการโจมตีครั้งล่าสุด

ดังนั้น หากคุณเป็นเจ้าของเว็บไซต์ WordPress คุณต้องดำเนินการตามเทคนิคการรักษาความปลอดภัย 15 WordPress เหล่านี้ที่ฉันจะสอนคุณในคู่มือนี้

ก่อนที่เราจะกระโดดลงไปฉันขอเตือนคุณล่วงหน้า

ในขณะที่คุณยุ่งอยู่กับการอ่านบทความนี้ สคริปต์ตัวเล็กอาจพยายามแฮ็คเข้าสู่เว็บไซต์ของคุณ (WordPress หรือไม่)

อย่างจริงจัง?

ใช่.

“ทำไมผู้ชายบางคนถึงเสียเวลากับฉัน? ไม่ใช่ว่าฉันเป็นธุรกิจขนาดใหญ่”

ฉันไม่ต้องการที่จะทำให้คุณกังวลใจ แต่แฮกเกอร์ชอบเว็บไซต์เล็ก ๆ เพราะพวกเขาเป็นเป้าหมายที่ง่าย

สารบัญ

  • เหตุใดการรักษาความปลอดภัยของเว็บไซต์จึงเป็นเรื่องใหญ่
  • WordPress ถูกแฮ็ก คุณควรหาแพลตฟอร์มอื่นหรือไม่?
  • 1. ใช้ชื่อผู้ใช้และรหัสผ่านที่ไม่ซ้ำ
  • 2. ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
  • 3. ยืนยันผู้ใช้เป็นมนุษย์
  • 4. อัปเดต WordPress
    • วิธีอัปเดต WordPress
  • 5. ปิดใช้งานการแก้ไขไฟล์
  • 6. จำกัดความพยายามในการเข้าสู่ระบบ
  • 7. การป้องกันการโจมตีด้วยเดรัจฉาน
  • 8. การป้องกันการโจมตี DDoS
  • 9. สแกนหามัลแวร์และลบออก
  • 10. เว็บโฮสต์ที่ดี
  • 11. เลือกปลั๊กอินและธีมอย่างชาญฉลาด
  • 12. ลบธีมและปลั๊กอินที่ไม่จำเป็น/ล้าสมัย
  • 13. ปลอดภัย .htaccess และ wp-content.php
  • 14. ซ่อนข้อมูลที่ละเอียดอ่อน
  • 15. อยู่ข้างหน้าและอัปเดต
  • บทสรุป

เหตุใดการรักษาความปลอดภัยของเว็บไซต์จึงเป็นเรื่องใหญ่

โอเค มีคนพยายามบุกเข้าไปในเว็บไซต์ของฉัน แต่ทำไมฉันต้องสนใจด้วยล่ะ โดยเฉพาะอย่างยิ่งเนื่องจากฉันมีข้อมูลสำรองทุกอย่าง ฉันสามารถลบ WordPress และติดตั้งใหม่ได้

คำถามของคุณถูกต้อง แต่ถ้าแฮ็กเกอร์ได้เข้าถึงข้อมูลสำรองและโฮสต์เว็บของคุณล่ะ

นอกจากนี้ ยังมีความเสี่ยงอื่นๆ หากโจรสลัดคอมพิวเตอร์เข้าควบคุมเว็บไซต์ของคุณ บางส่วนอาจ...

  1. แฮกเกอร์อาจขโมยข้อมูลของคุณและผู้เข้าชมของคุณและใช้เพื่อจุดประสงค์ที่ผิดกฎหมาย
  2. หากคุณเพิ่งเริ่มมีผู้เข้าชม การหยุดทำงานจะส่งผลต่อคุณในระยะยาว
  3. ผู้คนจะเริ่มตั้งคำถามถึงคุณภาพของเว็บไซต์ของคุณ
  4. ผู้โจมตีอาจโพสต์สิ่งที่ไม่เหมาะสมหรือผิดกฎหมายบนเว็บไซต์ของคุณ ซึ่งคุณอาจต้องเผชิญผลที่ตามมา (ถูกกฎหมายหรืออย่างอื่น)

แต่ทำไมทุกคนถึงพยายามสร้างปัญหาให้กับเว็บไซต์เล็กๆ อย่างฉัน

  1. เว็บไซต์ขนาดเล็กแฮ็คได้ง่าย
  2. แฮกเกอร์ทดสอบเครื่องมือของพวกเขาบนเว็บไซต์ขนาดเล็กสำหรับโครงการที่ใหญ่กว่า
  3. พวกเขาใช้โฮสต์เว็บของคุณเพื่อส่งอีเมลขยะได้
  4. ผู้บุกรุกใช้ทรัพยากรของเว็บไซต์ขนาดเล็กเพื่อโจมตี “พวกใหญ่” เว็บเซิร์ฟเวอร์ของคุณสามารถเป็นส่วนหนึ่งของบ็อตเน็ตสำหรับการโจมตี DDoS
  5. แฮกเกอร์สามารถใช้เว็บไซต์ของคุณเพื่อแพร่กระจายมัลแวร์ได้ เว็บไซต์ขนาดเล็กหลายพันแห่งเป็นวิธีที่ดีในการแพร่กระจายมัลแวร์ เนื่องจากเจ้าของเว็บไซต์ขนาดเล็กไม่สามารถจ่ายเงินให้ผู้เชี่ยวชาญด้านความปลอดภัยตรวจสอบความปลอดภัยได้
  6. แฮกเกอร์อาจใช้เว็บไซต์ของคุณเพื่อเพิ่มการเข้าชมและอันดับ Google ของเว็บไซต์ของตนโดยการโพสต์ลิงก์ย้อนกลับ

ดังนั้น แม้ว่าคุณจะเพิ่งเริ่มสร้างเว็บไซต์ คุณต้องระมัดระวังเรื่องความปลอดภัยให้มาก มันไม่ได้เกี่ยวกับคุณเท่านั้น ความประมาทของคุณอาจส่งผลกระทบต่อผู้อื่นเช่นกัน (การโจมตี DDoS)

WordPress ถูกแฮ็ก คุณควรหาแพลตฟอร์มอื่นหรือไม่?

wordpress แฮ็ค usain bolt.jpg

ประการแรก ไม่มีระบบใด (เว็บไซต์หรือคอมพิวเตอร์ส่วนบุคคล) ที่ปลอดภัย ผู้คนได้ค้นพบวิธีการแฮ็คเข้าสู่ระบบช่องว่างอากาศ (คอมพิวเตอร์ที่แยกออกมาต่างหาก)

ไม่ว่าคุณจะเลือกแพลตฟอร์มใดก็ตาม แฮกเกอร์จะหาทางเข้าไป

สาเหตุที่เว็บไซต์ WordPress จำนวนมากถูกแฮ็กเนื่องจาก WordPress เป็นที่นิยมอย่างมาก เว็บไซต์ประมาณ 27% ใช้ WordPress และกำลังเติบโต ดังนั้น WordPress จึงกลายเป็นเหมืองทองคำสำหรับแฮกเกอร์และนักส่งสแปม

Cyberpunks โจมตี WordPress อย่างต่อเนื่อง เพราะหากพวกเขาพบช่องโหว่ พวกเขาสามารถควบคุมอินเทอร์เน็ตได้ 27%

อีกสาเหตุหนึ่งที่ไซต์ WordPress ถูกแฮ็กก็เพราะเป็นสภาพแวดล้อมแบบเปิด ผู้ใช้สามารถเขียนโค้ดและแก้ไขเว็บไซต์ได้ด้วยตนเอง พวกเขาสามารถเพิ่มปลั๊กอินของบุคคลที่สามได้

คุณควรหา CMS อื่นสำหรับเว็บไซต์ของคุณหรือไม่

ไม่.

ปัญหานี้ไม่ได้อยู่ที่โค้ดหลักของ WordPress แต่เป็นปลั๊กอินและธีมที่คุณติดตั้ง แต่อย่างที่ฉันพูดไปก่อนหน้านี้ไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์

ถ้า WordPress เองไม่ปลอดภัย ทำไม 27% ของเว็บถึงใช้มัน?

อาสาสมัครจำนวนมากใช้ความระมัดระวังเป็นพิเศษในการดูแลระบบหลักและที่เก็บ WordPress ธีมและปลั๊กอินที่มีอยู่ในที่เก็บ WordPress ได้รับการทดสอบอย่างละเอียดเพื่อความปลอดภัยและความน่าเชื่อถือ

นอกจากนี้ ทีมงาน WordPress ยังจัดการปัญหาด้านความปลอดภัยทุกประการอย่างชำนาญ พวกเขาเผยแพร่การอัปเดตด้วยแพตช์ความปลอดภัยอย่างต่อเนื่อง ดังนั้น คุณสามารถไว้วางใจ WordPress สำหรับเว็บไซต์ของคุณได้

อย่างไรก็ตาม คุณในฐานะเจ้าของเว็บไซต์ควรระมัดระวังเป็นพิเศษเช่นกัน คุณควรตรวจสอบเว็บไซต์ของคุณอย่างสม่ำเสมอ

ต่อไปนี้คือมาตรการรักษาความปลอดภัย 15 ประการของ WordPress ที่คุณควรปฏิบัติตามเพื่อลดความเสี่ยงที่เว็บไซต์ของคุณจะถูกแฮ็ก!

เคล็ดลับสำหรับมือโปร: สำรองไฟล์ WordPress ของคุณเสมอ รวมถึงฐานข้อมูลก่อนทำการเปลี่ยนแปลงไฟล์ และติดตั้งปลั๊กอินความปลอดภัย

หมายเหตุ: ลิงค์บางส่วนในคู่มือนี้เป็นลิงค์พันธมิตร เราได้รับค่าคอมมิชชั่นจำนวนหนึ่งหากคุณซื้อบริการ/ผลิตภัณฑ์ผ่านลิงก์ โดยไม่มีค่าใช้จ่ายเพิ่มเติมใดๆ แก่คุณ อย่างที่บอก เราไม่แนะนำสินค้าที่ไม่คุ้ม

1. ใช้ชื่อผู้ใช้และรหัสผ่านที่ไม่ซ้ำ

เมื่อคุณติดตั้ง WordPress WordPress จะสร้างชื่อผู้ใช้ที่เรียกว่า “admin” โดยอัตโนมัติ ฉันคิดว่ามันเป็นคุณสมบัติที่ยอดเยี่ยมเพราะมันช่วยฉันจากงานยุ่งยากในการป้อนชื่อผู้ใช้ของฉันเอง ฉันสามารถจดจ่อกับสิ่งสำคัญอื่นๆ ได้ ขอบคุณเวิร์ดเพรส!

ฉันรู้ว่าฉันรู้ว่า. นั่นเป็นข้อแก้ตัวที่โง่ แต่คุณเปลี่ยนชื่อผู้ใช้ "admin" เริ่มต้นขณะติดตั้ง WordPress หรือไม่ ยินดีต้อนรับสู่คลับ!

เมื่อแฮ็กเกอร์พยายามลงชื่อเข้าใช้แผงการดูแลระบบ อันดับแรกจะลองใช้ "admin" เป็นชื่อผู้ใช้

อะไรคือเรื่องใหญ่เกี่ยวกับชื่อผู้ใช้เมื่อคุณมีรหัสผ่านที่รัดกุม?

ฉันรู้ว่าการมีรหัสผ่านที่รัดกุมเป็นสิ่งที่ดี แต่ถ้าคุณยังคงใช้ “admin” เป็นชื่อผู้ใช้ คุณกำลังลดความพยายามของแฮ็กเกอร์ลงครึ่งหนึ่ง การเรียงสับเปลี่ยนจะลดลง

แฮกเกอร์สามารถลองใช้รหัสผ่านต่างๆ ร่วมกันได้ เนื่องจากพวกเขารู้ชื่อผู้ใช้ของคุณอยู่แล้ว

แต่ที่แย่ไปกว่านั้นคือ คุณไม่สามารถเปลี่ยนชื่อผู้ใช้ใน WordPress ได้!

แม้ว่าคุณจะสามารถติดตั้งปลั๊กอินเพื่อเปลี่ยนชื่อผู้ใช้ได้ แต่ฉันไม่แนะนำให้ใช้ปลั๊กอินสำหรับงานง่ายๆ

ดังนั้น เพียงแค่สร้างผู้ใช้ใหม่ที่มีสิทธิ์ระดับผู้ดูแล แล้วลบผู้ใช้ที่เป็นผู้ดูแลระบบเก่า ไม่ต้องกังวล WordPress จะถามคุณว่าคุณต้องการทำอะไรกับโพสต์ที่ผู้ใช้สร้างขึ้น

ขณะสร้างผู้ใช้ใหม่ ให้ใช้ชื่อผู้ใช้ที่ไม่ชัดเจนเกินไป เช่น “myname” หรือ “mysitename”

เปลี่ยนผู้ใช้ wordpress.png

สำหรับรหัสผ่าน กฎง่ายๆ คือ รหัสผ่านของคุณควร ซับซ้อน ยาว และ ไม่ซ้ำกัน

ซับซ้อน: รหัสผ่านของคุณควรมีตัวเลข อย่างน้อย 1 ตัว อักษรตัวใหญ่ 1 ตัว และอักขระพิเศษ 1 ตัว

ยาว: รหัสผ่านของคุณควรมีความยาว อย่างน้อย 10 อักขระ

ไม่ซ้ำกัน: รหัสผ่านของคุณไม่ควรมีคำหรือวลีทั่วไป และคุณควรใช้รหัสผ่านที่แตกต่างกันสำหรับทุกเว็บไซต์

หลังจากที่คุณใช้กฎรหัสผ่านข้างต้น รหัสผ่านของคุณควรมีลักษณะดังนี้: LTwYgrsewDhw@ertzK9#M!K%

นั่นเป็นรหัสผ่านที่รัดกุม แต่ปัญหาคือ เราเป็นมนุษย์ ซึ่งจำยาก

ดังนั้น ใช้เครื่องมืออย่าง LastPass และ KeePass ใช้งานได้ฟรี และคุณสามารถใช้บนอุปกรณ์หลายเครื่องได้

หากคุณยังคิดว่าคุณสามารถใช้รหัสผ่านง่ายๆ ได้เพราะคุณมีความคิดสร้างสรรค์ ฉันหวังว่าสิ่งนี้จะเปลี่ยนความคิดของคุณ

2. ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

ตอนนี้คุณได้ใช้ชื่อผู้ใช้ที่ไม่ซ้ำกันและรหัสผ่านที่รัดกุมสำหรับแผงการดูแลระบบ WordPress ของคุณแล้ว

ยอดเยี่ยม!

นั่นเป็นขั้นตอนสู่การรักษาความปลอดภัย WordPress ที่ดีขึ้น

แต่ไม่ว่าจะแข็งแกร่งแค่ไหน รหัสผ่านก็พังได้! แฮกเกอร์ใช้การโจมตีแบบเดรัจฉาน (เราจะพูดถึงในภายหลัง) เพื่อเจาะเว็บไซต์ของคุณ การโจมตีด้วยกำลังดุร้ายสามารถถอดรหัสรหัสผ่านได้

นั่นเป็นเหตุผลที่คุณควรเริ่มใช้การรับรองความถูกต้องด้วยสองปัจจัยบนเว็บไซต์ของคุณ จะช่วยเพิ่มความปลอดภัย

การตรวจสอบสิทธิ์แบบสองปัจจัยกำหนดให้คุณต้องป้อนรหัสความปลอดภัยนอกเหนือจากชื่อผู้ใช้และรหัสผ่านสำหรับการเข้าสู่ระบบ เมื่อคุณเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยแล้ว คุณจะได้รับรหัสบางส่วน (แบบใช้ครั้งเดียว) บนสมาร์ทโฟนของคุณ คุณจะสามารถเข้าสู่ระบบได้หลังจากที่คุณป้อนรหัสเท่านั้น

ฉันรู้ มันเป็นเรื่องยุ่งยาก แต่จำไว้ว่า ปลอดภัยดีกว่าเสียใจ เว้นแต่ว่าผู้เชี่ยวชาญด้านความปลอดภัยจะพบตัวเลือกการเข้าสู่ระบบ DNA ปัจจัยสองประการคือวิธีการรักษาความปลอดภัยที่ดีที่สุด

น่าเสียดายที่ WordPress ไม่มีการตั้งค่าในตัวสำหรับเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัย คุณจะต้องใช้ปลั๊กอินที่เรียกว่า Google Authenticator

หากคุณไม่คุ้นเคยกับการยืนยันแบบสองขั้นตอนของ Google Evanto tuts+ มีบทแนะนำที่ยอดเยี่ยมเกี่ยวกับการใช้ Google 2 factor Authenticator กับ WordPress

3. ยืนยันผู้ใช้เป็นมนุษย์

แฮกเกอร์ใช้บอทเน็ตเพื่อโจมตีระบบด้วยกำลังดุร้าย และวิธีหนึ่งในการสร้างปัญหาให้กับแฮกเกอร์ก็คือการใช้แบบฟอร์ม reCAPTCHA

โดยทั่วไป บ็อตเน็ตไม่สามารถตรวจสอบ reCAPTCHA ได้ ดังนั้นแฮกเกอร์จึงต้องพยายามป้อนชื่อผู้ใช้และรหัสผ่านด้วยตนเอง นั่นเพื่อนของฉันเป็นความเจ็บปวดใน ... คุณรู้ว่าที่ไหน

แต่ reCAPTCHA แบบเก่าซึ่งใช้ข้อความที่บิดเบี้ยวนั้นไม่มีประสิทธิภาพ เราทุกคนเคยมาที่นี่เมื่อคุณต้องเดาตัวอักษรบางตัว

reCAPTCHA_OldAPI.png

เพื่อให้ประสบการณ์ใช้งาน reCAPTCHA เป็นมิตรกับมนุษย์และต่อต้านบอทมากขึ้น Google ได้เปิดตัว “No CAPTCHA reCAPTCHA” ใหม่ reCAPTCHA ใหม่ที่มองไม่เห็นสามารถตรวจจับมนุษย์ได้โดยอัตโนมัติ

Recaptcha_anchor@2x.gif

คุณสามารถเพิ่ม reCAPTCHA ในการเข้าสู่ระบบ WordPress แสดงความคิดเห็นและ/หรือแบบฟอร์มการลงทะเบียนด้วยตนเองหรือโดยใช้ปลั๊กอิน No CAPTCHA reCAPTCHA

แต่ก่อนอื่น คุณต้องรับคีย์ reCAPTCHA จาก Google หลังจากที่คุณได้รับคีย์แล้ว ให้ป้อนลงในรหัสของคุณหากคุณดำเนินการด้วยตนเอง หรือในการตั้งค่าปลั๊กอินหากคุณใช้ปลั๊กอิน

google recaptcha.png

4. อัปเดต WordPress

คุณควรอัปเดต WordPress เสมอ การอัปเดต WordPress ไม่ได้เป็นเพียงการเพิ่มคุณสมบัติเท่านั้น การอัปเดตดังกล่าวได้รับการเผยแพร่ ที่สำคัญที่สุดคือเพื่อแก้ไขจุดบกพร่องและช่องโหว่ด้านความปลอดภัย

แต่ถ้าฉันพบปัญหาความเข้ากันได้กับธีมและปลั๊กอินของฉันหลังจากที่ฉันอัปเดต WordPress โดยปกติแล้ว ธีมและปลั๊กอินที่ดีจะปล่อยการอัปเดตทันทีที่ WordPress หลักได้รับการอัปเดต

หากปลั๊กอินหรือธีมที่คุณใช้ยังไม่ได้รับการอัปเดต ก็ถึงเวลาต้องหาทางเลือกอื่นแทน

เว็บไซต์ส่วนใหญ่ที่ถูกแฮ็กใช้ WordPress หรือปลั๊กอินหรือธีมที่ล้าสมัย ปลั๊กอินที่ล้าสมัยอาจทำให้เว็บไซต์ของคุณตกอยู่ในความเสี่ยง

ดังนั้น อัปเดตธีมและปลั๊กอินของคุณโดยเร็ว! หากไม่มีการอัปเดตให้เปลี่ยน คุณสามารถค้นหาธีมและปลั๊กอินล่าสุดมากมายในที่เก็บ WordPress

คุณสามารถลองใช้ธีม WordPress ของเราได้ เราอัปเดตเป็นประจำเพื่อให้คุณไม่ต้องกังวลเกี่ยวกับปัญหาด้านความปลอดภัยจากธีม

วิธีอัปเดต WordPress

การอัปเดต WordPress เป็นเรื่องง่าย WordPress จะแสดงการแจ้งเตือนบนแดชบอร์ดโดยอัตโนมัติ หากมีการอัปเดตใดๆ สำหรับระบบหลัก ธีม หรือปลั๊กอิน

ไปที่ Dashboard> Updates และคลิกที่ปุ่มอัพเดท

wordpress update.png

คุณยังสามารถเปิดใช้งานการอัปเดตอัตโนมัติเพื่อให้ WordPress, ปลั๊กอิน และธีมหลักของคุณอัปเดตตัวเองโดยอัตโนมัติสำหรับรุ่นย่อย คุณจะได้รับอีเมลแจ้งเตือนเมื่อเว็บไซต์ของคุณได้รับการอัปเดตโดยอัตโนมัติ

5. ปิดใช้งานการแก้ไขไฟล์

คุณสามารถปรับแต่งเว็บไซต์ของคุณได้อย่างง่ายดายด้วยโปรแกรมแก้ไขโค้ด inbuilt ใน WordPress

ตัวแก้ไข wordpress.png

อย่างไรก็ตาม ลองนึกภาพว่าแฮกเกอร์สามารถเข้าสู่เว็บไซต์ของคุณได้ ตอนนี้พวกเขายังสามารถแก้ไขเว็บไซต์ของคุณได้อย่างง่ายดายโดยใช้ตัวแก้ไข ดังนั้นจึงเป็นแนวปฏิบัติที่ปลอดภัยในการปิดใช้งานการแก้ไข WordPress ผ่านตัวแก้ไข

หากต้องการปิดใช้งานตัวแก้ไข ให้สำรองข้อมูล WordPress ของคุณก่อน จากนั้นค้นหา ไฟล์ wp-config.php ที่ส่วนหลังของเว็บไซต์ของคุณ คุณสามารถค้นหา wp-config.php ในโฟลเดอร์รูทของเว็บไซต์ของคุณพร้อมกับโฟลเดอร์อื่นๆ เช่น wp-admin และ wp-content

คุณสามารถใช้ไคลเอนต์ FTP เพื่อเชื่อมต่อกับส่วนหลังของเว็บไซต์ หรือถ้าคุณมีการเข้าถึง cPanel คุณสามารถใช้ตัวจัดการไฟล์ที่มีอยู่ใน cPanel

ตอนนี้ เพิ่มโค้ดบรรทัดต่อไปนี้ใน ไฟล์ wp-config.php และบันทึกไฟล์

// ไม่อนุญาตให้แก้ไขไฟล์
กำหนด ('DISALLOW_FILE_EDIT', จริง);

หลังจากอัปเดตไฟล์แล้ว คุณจะไม่สามารถแก้ไขเทมเพลตธีมโดยใช้แดชบอร์ดของ WordPress ได้ คุณยังคงแก้ไขธีมได้โดยใช้ FTP หรือ File Manager ของ cPanel

6. จำกัดความพยายามในการเข้าสู่ระบบ

เมื่อคุณติดตั้ง WordPress WordPress จะถามคุณว่าจะติดตั้งปลั๊กอินจำกัดความพยายามในการเข้าสู่ระบบหรือไม่

จำกัดการเข้าสู่ระบบ wordpress install.png

การจำกัดความพยายามในการเข้าสู่ระบบเป็นวิธีที่ยอดเยี่ยมในการปกป้องเว็บไซต์ของคุณจากการโจมตีแบบเดรัจฉาน

แฮกเกอร์จะพยายามเข้าสู่เว็บไซต์ของคุณโดยใช้รูปแบบการเข้าสู่ระบบที่แตกต่างกัน อย่างไรก็ตาม หากคุณเปิดใช้งานการจำกัดการพยายามเข้าสู่ระบบ คุณจะอนุญาตให้ผู้ใช้ลองเข้าสู่ระบบในจำนวนครั้งที่กำหนดเท่านั้น หลังจากนั้นผู้ใช้จะถูกบล็อก

หากคุณลืมตรวจสอบตัวเลือกนี้ระหว่างการติดตั้ง WordPress ไม่ต้องกังวล คุณสามารถค้นหาปลั๊กอินในที่เก็บ WordPress

ไปที่ ปลั๊กอิน> เพิ่มใหม่ จากเมนูแดชบอร์ด WordPress ของคุณ ค้นหา "Loginizer" จากนั้นติดตั้งและเปิดใช้งานปลั๊กอิน

ตัวเข้าสู่ระบบ install.png

หลังจากเปิดใช้งานปลั๊กอินแล้ว ให้ไปที่ Loginizer Security> Brute Force จากเมนูผู้ดูแลระบบ WordPress เพื่อตั้งค่าการป้องกันการเข้าสู่ระบบ

loginizer bruteforce settings.png

7. การป้องกันการโจมตีด้วยเดรัจฉาน

แฮกเกอร์ใช้การโจมตีแบบ Brute Force เพื่อเข้าถึงแผงการดูแลระบบหรือบัญชี FTP ของเว็บไซต์ของคุณ โดยทั่วไป การโจมตีด้วยกำลังเดรัจฉานเป็นวิธีการทดลองและข้อผิดพลาด เหมือนกับลองใช้คีย์ผสมต่างๆ เพื่อเปิดล็อค ผู้บุกรุกสามารถใช้บ็อตเน็ตเพื่อโจมตีโดยอัตโนมัติ

เพื่อปกป้องเว็บไซต์ของคุณจากการตกเป็นเป้าหมายของการโจมตีแบบเดรัจฉาน ให้ปฏิบัติตามคำแนะนำที่ 1, 2, 3 และ 6

คุณยังสามารถเปลี่ยน URL การเข้าสู่ระบบเริ่มต้น (www.mywebsite.com/wp-admin/) เพื่อให้แฮกเกอร์หาแบบฟอร์มการเข้าสู่ระบบได้ยากตั้งแต่แรก

คุณสามารถสร้าง URL เข้าสู่ระบบที่กำหนดเองได้โดยใช้ปลั๊กอินที่เรียกว่า All In One WordPress Security & Firewall หลังจากที่คุณติดตั้งปลั๊กอินแล้ว ให้ไปที่ส่วน Brute Force เพื่อเปิดใช้งาน URL การเข้าสู่ระบบที่กำหนดเอง ปลั๊กอินนี้มีคุณสมบัติมากมายที่คุณไม่จำเป็นต้องมีปลั๊กอินความปลอดภัย WordPress อื่น ๆ หากคุณติดตั้งปลั๊กอินนี้

8. การป้องกันการโจมตี DDoS

ด้วยอุปกรณ์ที่เปิดใช้งานอินเทอร์เน็ตจำนวนมาก ความถี่ของการโจมตี DDoS จึงเพิ่มขึ้น

DDoS เป็นวิธีการล้นเว็บไซต์/บริการที่มีทราฟฟิกปลอมโดยมีจุดประสงค์เพื่อให้บริการลดลง แฮกเกอร์ใช้ระบบที่ติดไวรัส (ที่มีมัลแวร์) เพื่อทำการโจมตี DDoS ในปี 2559 แฮ็กเกอร์ยู่ยี่ DYN ทำให้เว็บไซต์ที่มีชื่อเสียงมากมาย เช่น Twitter, Amazon, Reddit และ Netflix ออฟไลน์

ดังนั้น คุณควรพร้อมที่จะรับมือกับการโจมตี DDoS เสมอ

การปฏิบัติตามมาตรการรักษาความปลอดภัยที่กล่าวถึงข้างต้น (1, 2, 3, 4, 6 และ 7) แสดงว่าคุณพร้อมสำหรับการโจมตี DDoS แล้ว

นอกจากนั้น ฉันขอแนะนำให้ใช้บริการคลาวด์เช่น CloudFlare หรือ MaxCDN พวกเขาสามารถช่วยคุณลดการโจมตี DDoS

ในทำนองเดียวกัน การแคชเว็บไซต์ของคุณยังช่วยปกป้องเว็บไซต์ของคุณจากการรับส่งข้อมูลที่มากเกินไป คุณสามารถแคชเว็บไซต์ของคุณโดยใช้ปลั๊กอินเช่น WP Super Cache

9. สแกนหามัลแวร์และลบออก

เนื่องจากคุณกำลังอ่านคำแนะนำด้านความปลอดภัยของฉันอย่างระมัดระวัง (ฉันหวังว่าคุณจะเป็นอย่างนั้นจริงๆ) ให้ฉันบอกคุณบางอย่างที่น่ากลัวกว่านี้ถ้าคุณยังไม่ตื่นตระหนก!

แฮกเกอร์เป็นส่อเสียด! พวกเขาอาจวางมัลแวร์ไว้ในไฟล์เว็บของคุณแล้ว

ดังนั้น คุณต้องสแกนเว็บเซิร์ฟเวอร์ของคุณเพื่อหาไฟล์ที่เป็นอันตรายโดยเร็วที่สุด! และลบออก

ทำอย่างไร?

ปลั๊กอินปลั๊กอินความปลอดภัย Sucuri Security เป็นปลั๊กอินฟรีที่ดีที่สุดสำหรับการตรวจจับและลบมัลแวร์บน WordPress

หากคุณไม่ต้องการเพิ่มปลั๊กอินหรือต้องการสแกนฝั่งเซิร์ฟเวอร์โดยสมบูรณ์ สมัคร Sucuri บริการนี้มีค่าใช้จ่าย

ถ้าคุณไม่สามารถซื้อ Sucuri ได้ (ฉันรู้ว่ามันแพง) มีทางด่วนอยู่ เนื่องจากฉันได้เทศนาให้คุณเกี่ยวกับเทคโนโลยีล้ำสมัยนี้ ฉันคิดว่าคุณสมควรได้รับการปฏิบัติ

นี่คือวิธีการสแกนและลบมัลแวร์ออกจากเว็บไซต์ของคุณฟรี!

ขั้นแรก ดาวน์โหลดโฟลเดอร์ public_html จากเซิร์ฟเวอร์ของคุณโดยใช้ ไคลเอนต์ FTP ที่ คุณเลือก จากนั้นสแกนโฟลเดอร์ที่ดาวน์โหลดโดยใช้ซอฟต์แวร์ป้องกันไวรัส (Norton, Kaspersky หรืออย่างอื่น) บนคอมพิวเตอร์ของคุณ ตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันไวรัสเป็นเวอร์ชันล่าสุด

หลังจากนั้น ให้แทนที่ไฟล์ public_html เก่าด้วยไฟล์ที่เพิ่งล้างใหม่โดยใช้ FTP ง่ายขนาดนั้น!

10. เว็บโฮสต์ที่ดี

โฮสต์เว็บมีบทบาทสำคัญในการรักษาความปลอดภัยของเว็บไซต์

เว็บโฮสต์ที่ดีจะให้การสนับสนุนและเครื่องมือเพื่อจัดการกับการโจมตี DDoS การโจมตีแบบ Brute-Force และมัลแวร์ ดังนั้นฉันจึงแนะนำโฮสติ้ง SiteGround เพราะพวกเขาให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก

โดยทั่วไป แผนโฮสติ้งที่ใช้ร่วมกันจะมีความเสี่ยงมากกว่าเนื่องจากเซิร์ฟเวอร์แชร์กับเว็บไซต์อื่น แฮกเกอร์สามารถใช้เว็บไซต์อื่นบนเซิร์ฟเวอร์เดียวกันเพื่อโจมตีเว็บไซต์ของคุณบนโฮสติ้งที่ใช้ร่วมกันได้ แนวคิดนี้เรียกว่าการปนเปื้อนข้ามไซต์

การพิจารณาเลือกใช้โฮสติ้งเฉพาะหรือโฮสติ้ง VPS นั้นถือว่าดีที่สุด แต่ก็มีราคาแพง ในการเริ่มต้น คุณอาจไม่มีงบประมาณสำหรับมัน

หมายความว่าคุณเสี่ยงตัวเอง? ไม่ แม้แต่โฮสติ้งที่ใช้ร่วมกันก็สามารถป้องกันได้

บริษัทเว็บโฮสติ้งที่ดีเช่น SiteGround ติดตั้งไฟร์วอลล์เช่น ModSecurity แม้แต่ในแผนโฮสติ้งที่ใช้ร่วมกัน นอกจากนี้ยังจำกัดจำนวนเว็บไซต์บนเซิร์ฟเวอร์ และสแกนเซิร์ฟเวอร์เพื่อหามัลแวร์เป็นประจำ

ในทำนองเดียวกัน หากโฮสต์เว็บของคุณสามารถให้ Sucuri Security แก่คุณได้ ก็ถือเป็นข้อดี

11. เลือกปลั๊กอินและธีมอย่างชาญฉลาด

เลือกปลั๊กอินและธีมอย่างชาญฉลาด นั่นคือทั้งหมดที่คุณต้องรู้ในหัวข้อนี้

ตัวเลือกในการติดตั้งปลั๊กอินและธีมของบุคคลที่สามคือสิ่งที่ทำให้ WordPress เสี่ยงต่อแฮกเกอร์

ปลั๊กอินและธีม WordPress ที่มีอยู่ในที่เก็บ WordPress นั้นปลอดภัย แต่ถ้าคุณต้องการเพิ่มปลั๊กอินหรือธีมด้วยตนเอง ให้ตรวจหามัลแวร์เสมอ โดยใช้ซอฟต์แวร์ป้องกันไวรัส ก่อนที่คุณจะอัปโหลดบน WordPress ของคุณ

นอกจากนี้ ก่อนติดตั้งปลั๊กอินหรือธีม ให้ตรวจสอบคำวิจารณ์และวันที่อัปเดตล่าสุด

12. ลบธีมและปลั๊กอินที่ไม่จำเป็น/ล้าสมัย

รักษา WordPress ของคุณให้สะอาดอยู่เสมอ

หากคุณไม่ได้ใช้ปลั๊กอินหรือธีมใด ๆ และล้าสมัย ให้ลบออก พวกเขาอาจเชิญแฮกเกอร์

ในทำนองเดียวกัน ไปที่ส่วนท้ายของ WordPress และตรวจสอบว่าคุณมีไฟล์ที่ไม่จำเป็นหรือไม่โดยเปรียบเทียบกับไฟล์ WordPress เริ่มต้น

หรือคุณสามารถติดตั้ง WordPress ใหม่ได้

ขั้นแรก สำรองฐานข้อมูลและ WordPress ของคุณ จากนั้นลบ WordPress และติดตั้ง WordPress ที่อัปเดตใหม่

ตรวจสอบให้แน่ใจว่าคุณได้แจ้งให้ผู้เยี่ยมชมทราบระหว่างการบำรุงรักษาโดยการแสดงหน้าการบำรุงรักษา

13. ปลอดภัย .htaccess และ wp-content.php

มีเพียงผู้ทรงอำนาจเท่านั้นที่รู้ว่าแฮกเกอร์สามารถทำอะไรได้บ้างหากพวกเขาเข้าถึงไฟล์ .htaccess หรือ wp-content.php ของคุณ

ดังนั้น คุณควรซ่อนไฟล์ .htaccess และ wp-content.php เสมอ แม้ว่าคุณจะไม่ทราบวิธีการโค้ด คุณก็รักษาความปลอดภัย .htaccess และ wp-content.php ได้ง่ายๆ โดยการใส่โค้ดบางโค้ดลงในไฟล์ .htaccess

โปรดสำรองข้อมูลไฟล์ .htaccess ไว้ก่อนทำการเปลี่ยนแปลง

ค้นหาไฟล์ . htaccess จากรูทของเว็บไซต์ของคุณ และเพิ่มโค้ดต่อไปนี้ลงไป

รหัสซ่อน wp-config.php

<ไฟล์ wp-config.php>
อนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด
</Files>

รหัสเพื่อซ่อน .htaccess file

<ไฟล์ .htaccess>
อนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด
</Files>

14. ซ่อนข้อมูลที่ละเอียดอ่อน

ตรวจสอบให้แน่ใจว่าคุณได้ลบ (หรืออย่างน้อยเปลี่ยนชื่อ) ไฟล์ readme.html หลังจากติดตั้ง WordPress ไฟล์ Readme จะบอกแฮกเกอร์ว่าคุณกำลังใช้ WordPress เวอร์ชันใดอยู่

นอกจากนี้ หากคุณได้สร้างไฟล์ phpinfo.php หรือ i.php เราขอแนะนำให้คุณลบหรือเปลี่ยนชื่อไฟล์ ไฟล์นี้มีข้อมูลทั้งหมดเกี่ยวกับเซิร์ฟเวอร์ของคุณ

นอกจากนี้ ปิดใช้งานการจัดทำดัชนีไดเรกทอรี ผู้โจมตีสามารถดูโครงสร้างของโฟลเดอร์และไฟล์ของคุณได้ด้วยการเรียกดูไดเร็กทอรี คุณไม่จำเป็นต้องมีความชำนาญด้านเทคโนโลยีจึงจะทำได้ เพียงไปที่ไฟล์ .htaccess และเพิ่มรหัสต่อไปนี้ที่ส่วนท้ายของไฟล์

ตัวเลือก -ดัชนี

15. อยู่ข้างหน้าและอัปเดต

แฮกเกอร์นำหน้าผู้เชี่ยวชาญด้านความปลอดภัยอยู่เสมอ อันที่จริง ผู้เชี่ยวชาญด้านความปลอดภัยจะไม่รู้ด้วยซ้ำเกี่ยวกับช่องโหว่ด้านความปลอดภัย จนกว่าจะมีผู้บุกรุกเข้าสู่ระบบ

ดังนั้นควรแจ้งข้อมูลและอัปเดตเกี่ยวกับข่าวและปัญหาด้านความปลอดภัยอยู่เสมอ ติดตามบริษัทรักษาความปลอดภัยบน Twitter หรือ Facebook หรือแม้แต่สมัครรับจดหมายข่าว

Kerbsonsecurity เป็นบล็อกที่ยอดเยี่ยมในการอัปเดตตัวเองเกี่ยวกับปัญหาด้านความปลอดภัย

บทสรุป

ทำให้เกมเดายากสำหรับแฮกเกอร์!

คุณไม่สามารถหยุดแฮกเกอร์จากการแฮ็คได้ สิ่งที่คุณทำได้คือเตรียมพร้อมสำหรับการโจมตี

คนดีกำลังทำงานอย่างหนักเพื่อปกป้อง WordPress จากแฮกเกอร์ แต่เกิดข้อผิดพลาดขึ้น

สำรองข้อมูลเว็บไซต์ของคุณไว้เสมอ เผื่อในกรณีที่แฮ็กเกอร์เข้ายึดเว็บไซต์ของคุณ สำรองข้อมูลไว้ในที่ปลอดภัย (หลายที่ ถ้าเป็นไปได้)

สุดท้าย ปฏิบัติตามคำแนะนำ 15 ข้อในการรักษาความปลอดภัยเว็บไซต์ WordPress และปรับปรุงตัวเอง ธีม ปลั๊กอิน และ WordPress!

ขอพลังจงอยู่กับท่าน.