วิธีการตรวจสอบความปลอดภัยของเว็บไซต์ WordPress ของคุณ

ครั้งสุดท้ายที่คุณทำการตรวจสอบความปลอดภัยของ WordPress คือเมื่อไหร่? ครั้งหนึ่งคุณอาจได้เรียนรู้และทำการตรวจสอบความปลอดภัยของ WordPress อย่างเต็มรูปแบบบนไซต์ WordPress ของคุณ เป็นไปได้ว่าอาจไม่ใช่กระบวนการที่คุณชอบ แต่คุณทำมันโดยไม่จำเป็นเพื่อป้องกันไม่ให้แฮ็กเกอร์ที่เป็นอันตราย

ขออภัย ความพยายามเพียงครั้งเดียวในการแก้ไขปัญหาความปลอดภัยของไซต์ WordPress ของคุณไม่เพียงพอ การแฮ็กที่เป็นอันตรายมีความก้าวหน้าอย่างต่อเนื่อง ข่าวดีก็คือว่ามาตรการป้องกันและเครื่องมือรักษาความปลอดภัยที่คุณมีนั้นก้าวหน้าไปพร้อมกับภัยคุกคาม

การตรวจสอบความปลอดภัย WordPress แบบเต็มเป็นวิธีที่ดีที่สุดในการค้นหาว่ามาตรการรักษาความปลอดภัยใดที่ได้ผลในไซต์ของคุณ และมาตรการใดที่ยังไม่ได้ผล นี่เป็นกระบวนการที่ควรทำทุกๆ สามเดือน หากคุณต้องการจำกัดโอกาสที่แฮ็กเกอร์จะเข้าถึงไซต์ของคุณโดยไม่ได้รับอนุญาต

บุ๊คมาร์คคู่มือนี้เพราะคุณจะได้เรียนรู้ทุกขั้นตอนของการดำเนินการตรวจสอบความปลอดภัย WordPress ที่ประสบความสำเร็จบนไซต์ของคุณ

ลองมาดูกัน

การตรวจสอบความปลอดภัยของ WordPress คืออะไร?

การดำเนินการตรวจสอบความปลอดภัยที่สมบูรณ์นั้นเกี่ยวข้องกับขั้นตอนค่อนข้างน้อย และจะยุ่งยากมาก หากคุณไม่ปฏิบัติตามกระบวนการเฉพาะและเตรียมรายการตรวจสอบให้พร้อม

แม้ว่าคุณจะเคยทำการตรวจสอบความปลอดภัยมาก่อนแล้วก็ตาม คู่มือนี้จะช่วยคุณในการตั้งค่ากระบวนการที่คุณจะสามารถทำซ้ำได้ทุกๆ สามเดือน ในโลกที่สมบูรณ์แบบ คุณจะต้องดำเนินการตรวจสอบความปลอดภัยทุกวัน แต่ถ้าคุณไม่มีเวลาแบบนั้น ทุกๆ สามเดือนก็เป็นจุดเริ่มต้นที่ดี

ทำไมต้องเรียกใช้การตรวจสอบความปลอดภัยของ WordPress?

เนื่องจากเว็บไซต์ของคุณมีภัยคุกคามมากมาย การทำให้เว็บไซต์ WordPress ของคุณปลอดภัยมากที่สุดจึงเป็นสิ่งสำคัญ การตรวจสอบความปลอดภัยของเว็บไซต์ WordPress จะช่วยให้คุณเตรียมพร้อมและป้องกันการโจมตีที่ประสบความสำเร็จบนไซต์ของคุณ คุณไม่สามารถปกป้องไซต์ของคุณจากทุกปัญหาที่อาจเกิดขึ้นได้ แต่คุณสามารถมั่นใจได้ว่าคุณพร้อมสำหรับภัยคุกคามที่พบบ่อยที่สุดโดยการเรียกใช้การตรวจสอบความปลอดภัยของ WordPress

ในบางช่วงเวลา เกือบทุกเว็บไซต์ที่ทำงานบน WordPress จะประสบปัญหาด้านความปลอดภัย ตัวอย่างเช่น ธีมและปลั๊กอินอาจมีช่องโหว่ที่แฮ็กเกอร์สามารถใช้ประโยชน์และเข้าถึงไซต์ของคุณด้วยเจตนาร้าย

เมื่อเข้ามาแล้ว พวกเขาจะสามารถแสดงโฆษณาและเนื้อหาที่ไม่ได้รับอนุญาต โอนการเข้าชมไซต์ของคุณไปยังเว็บไซต์อื่น ฉ้อฉลลูกค้าของคุณ หรือแม้แต่ขโมยข้อมูลส่วนบุคคล สถานการณ์เหล่านี้เป็นเพียงจุดเริ่มต้นของสิ่งที่แฮ็กเกอร์สามารถทำได้เมื่อเข้าถึงแบ็กเอนด์ของไซต์ของคุณ

การดำเนินการตรวจสอบความปลอดภัย WordPress เต็มรูปแบบจะช่วยคุณในการระบุปัญหาประเภทนี้ทันที เพื่อให้คุณสามารถปิดช่องว่างด้านความปลอดภัยบนเว็บไซต์ของคุณได้

วิธีดำเนินการตรวจสอบความปลอดภัยของ WordPress: 14 คำถามที่ต้องตอบ

เพื่อให้สิ่งต่าง ๆ เรียบง่ายที่สุด นี่คือขั้นตอนที่คุณจะต้องดำเนินการทุกครั้งที่คุณเรียกใช้การตรวจสอบความปลอดภัยเต็มรูปแบบของเว็บไซต์ของคุณ

1. ซอฟต์แวร์ทั้งหมดบนเว็บไซต์ของคุณทันสมัยหรือไม่?

เมื่อทำการตรวจสอบความปลอดภัยของ WordPress สิ่งหนึ่งที่ง่ายแต่สำคัญมากที่ต้องตรวจสอบว่าทุกอย่างบนเว็บไซต์ของคุณเป็นปัจจุบันหรือไม่ ซึ่งรวมถึงปลั๊กอิน ธีม และ WordPress ทั้งหมดด้วย คุณมีการอัปเดตที่รอดำเนินการบนเว็บไซต์ของคุณสำหรับปลั๊กอิน ธีม หรือ WordPress หรือไม่?

โดยเฉพาะอย่างยิ่ง WordPress การอัปเดตเวอร์ชันมักมีการแก้ไขและปรับปรุงความปลอดภัย หากคุณใช้เวอร์ชันเก่า ปัญหาด้านความปลอดภัยใดๆ มักจะเป็นที่ทราบและสามารถใช้ประโยชน์ได้ การอัปเดตทุกอย่างในไซต์ WordPress ของคุณจึงเป็นเรื่องสำคัญมาก

การอัปเดตจะอยู่ในแดชบอร์ดผู้ดูแลระบบ WordPress ของคุณในที่ต่างๆ (นี่น่าจะเป็นความตั้งใจ เนื่องจากการอัปเดตมีความสำคัญต่อสุขภาพและความปลอดภัยของไซต์ของคุณ)

คุณสามารถอัปเดตไซต์ของคุณโดยอัตโนมัติโดยใช้คุณลักษณะการจัดการเวอร์ชัน iThemes Security Pro WordPress การอัปเดตอัตโนมัติช่วยให้คุณได้รับแพตช์ความปลอดภัยที่สำคัญซึ่งปกป้องไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยของ WordPress และในฐานะโบนัส จะช่วยลดระยะเวลาที่คุณใช้ในการดูแลไซต์ WordPress ของคุณ

เคล็ดลับ: ใช้บริการเช่น iThemes Sync เพื่อเรียกใช้การอัปเดตอย่างรวดเร็วหากคุณจัดการเว็บไซต์ WordPress หลายแห่ง

2. ใครบ้างที่มีสิทธิ์เข้าถึงไซต์ของคุณในระดับผู้ดูแลระบบ

WordPress ให้ผู้ใช้หลายคนมีส่วนร่วมและทำงานร่วมกันในการบำรุงรักษาและพัฒนาไซต์ แต่ไม่ใช่ว่าผู้ใช้ทุกคนของคุณจะต้องมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในเว็บไซต์ของคุณ รู้จักบทบาทของผู้ใช้ที่เหมาะสมสำหรับผู้ใช้แต่ละคน ไม่ใช่ทุกคนที่ต้องการสิทธิ์เข้าถึงแบบเต็ม การจำกัดการเข้าถึงจะจำกัดปัญหาด้านความปลอดภัยจากผู้ใช้

ตัวอย่างที่สำคัญคือนักเขียน พวกเขาต้องการการเข้าถึงที่อนุญาตให้เขียนและเผยแพร่เนื้อหาเท่านั้น อย่างไรก็ตาม พวกเขาไม่ต้องการการเข้าถึงที่อนุญาตให้ทำการเปลี่ยนแปลงไซต์อื่นๆ เช่น การอัปเดตธีมหรือการติดตั้งปลั๊กอิน

เพื่อช่วยให้คุณจัดหมวดหมู่ผู้ใช้ไซต์ของคุณได้อย่างถูกต้อง WordPress นำเสนอบทบาทผู้ใช้ที่แตกต่างกันหกบทบาทซึ่งคุณสามารถกำหนดให้กับผู้ใช้แต่ละคนได้

• ผู้ดูแลระบบขั้นสูง
• ผู้ดูแลระบบ
• บรรณาธิการ
• ผู้เขียน
• ผู้ร่วมให้ข้อมูล
• สมาชิก

โปรดทราบว่าแต่ละบทบาทเหล่านี้มีสิทธิ์ไซต์ที่ไม่ซ้ำกัน

เมื่อคุณทำการตรวจสอบความปลอดภัยของ WordPress ก่อนอื่น คุณต้องวิเคราะห์ผู้ใช้แต่ละรายที่คุณเพิ่มไปยังส่วนหลังของไซต์ของคุณ

• มีผู้ใช้จำนวนเท่าใดที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบเต็มรูปแบบ
• มีผู้ใช้กี่คนที่ต้องการสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ?
• คุณสามารถจำกัดการเข้าถึงไซต์โดยให้สิทธิ์ที่ต่ำกว่าสำหรับผู้ที่ไม่ต้องการการเข้าถึงของผู้ดูแลระบบได้หรือไม่
• คุณรู้จักผู้ใช้ทุกคนที่มีสิทธิ์เข้าถึงแดชบอร์ดหรือไม่ หากไม่เป็นเช่นนั้น ให้ลบผู้ใช้ที่คุณไม่รู้จักเพราะอาจเป็นบัญชีปลอมที่แฮ็กเกอร์สร้างขึ้นบนไซต์ของคุณ

หลังจากที่คุณทำเสร็จแล้ว ตรวจสอบให้แน่ใจว่าบุคคลที่เป็นผู้ดูแลไซต์ไม่ได้ใช้ชื่อ ผู้ดูแลระบบ นี่เป็นชื่อผู้ใช้ WordPress ทั่วไปที่อยู่ห่างไกลออกไป ซึ่งแฮกเกอร์ใช้ประโยชน์จากเพื่อพยายามเข้าถึงไซต์โดยไม่ได้รับอนุญาต

ถ้ามีใครมีบัญชีผู้ดูแลระบบ ก่อนอื่นคุณต้องสร้างบัญชีใหม่สำหรับบุคคลนั้นและกำหนดเนื้อหาที่มีอยู่ให้กับบัญชีผู้ใช้ใหม่

เสร็จแล้วก็แค่ลบบัญชีที่ชื่อว่า Admin

3. คุณใช้การรับรองความถูกต้องด้วยสองปัจจัยหรือไม่

การเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress เป็นหนึ่งในวิธีที่ดีที่สุดในการรักษาความปลอดภัยการเข้าถึงการเข้าสู่ระบบในเว็บไซต์ของคุณ การตรวจสอบสิทธิ์แบบสองปัจจัยกำหนดให้ผู้ใช้ใช้โทเค็นการตรวจสอบสิทธิ์เพิ่มเติมจากชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่ระบบ WordPress

แม้ว่าชื่อผู้ใช้และรหัสผ่านที่ถูกต้องจะถูกฟิชชิ่งโดยตรงจากอีเมลของผู้ใช้ การพยายามเข้าสู่ระบบที่เป็นอันตรายยังคงสามารถป้องกันได้หากผู้ใช้ใช้แอปพลิเคชันมือถือเพื่อรับโทเค็นการตรวจสอบสิทธิ์ การรับรองความถูกต้องด้วยสองปัจจัยเพิ่มชั้นความปลอดภัยที่แข็งแกร่งอย่างเหลือเชื่อให้กับไซต์ WordPress ของคุณและสามารถเพิ่มได้อย่างง่ายดายโดยใช้ปลั๊กอิน เช่น iThemes Security

อันที่จริง การวิจัยล่าสุดจาก Google ยืนยันว่าการใช้การรับรองความถูกต้องด้วยสองปัจจัยสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% ฉันชอบอัตราต่อรองเหล่านั้น iThemes Security Pro ทำให้ง่ายต่อการเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยไปยังเว็บไซต์ WordPress

4. คุณมีโซลูชันสำรองสำหรับไซต์ WordPress ของคุณหรือไม่?

หากมีสิ่งผิดปกติเกิดขึ้นระหว่างการตรวจสอบความปลอดภัย คุณจะยินดีที่มีข้อมูลสำรองของไซต์ของคุณอย่างครบถ้วนซึ่งคุณสามารถนำมาใช้ได้ทันที วิธีนี้ทำให้คุณสามารถกู้คืนไซต์ของคุณได้อย่างรวดเร็วและกลับสู่สภาวะปกติหากมีสิ่งผิดปกติเกิดขึ้น

แต่คุณได้พิจารณาแล้วว่าจะทำอย่างไรถ้าสำเนาสำรองของคุณล้มเหลว คุณจะทำอย่างไรถ้าไม่สามารถกู้คืนเว็บไซต์ของคุณได้เลย

นี่คือเหตุผลที่ไม่เพียงต้องมีโซลูชันสำรองเท่านั้น แต่ยังต้องทดสอบด้วย หากสิ่งที่คุณใช้สำหรับการสำรองข้อมูลไซต์คือเครื่องมือจากโฮสต์ของคุณ หลายๆ อย่างจะไม่อนุญาตให้คุณทำการทดสอบ

ให้ดาวน์โหลดและติดตั้งปลั๊กอินสำรองของ WordPress ที่เรียกว่า BackupBuddy แทน ปลั๊กอินนี้จะทำการสำรองข้อมูลทั้งหมดของเว็บไซต์ของคุณโดยอัตโนมัติ

โปรดทราบว่าการสำรองข้อมูลครั้งแรกที่คุณใช้ในไซต์ของคุณอาจใช้เวลาสักครู่ เนื่องจากจะคัดลอกไซต์ทั้งหมดของคุณไปยังเซิร์ฟเวอร์สำรอง อย่างไรก็ตาม การสำรองข้อมูลในอนาคตจะเร็วกว่ามาก เนื่องจากจะสำรองเฉพาะการเปลี่ยนแปลงที่คุณทำกับไซต์ของคุณตั้งแต่การสำรองข้อมูลครั้งก่อนเท่านั้น

เมื่อคุณใช้ BackupBuddy เพื่อสำรองข้อมูลไซต์ของคุณเรียบร้อยแล้ว คุณจะสามารถเข้าสู่แดชบอร์ดและทดสอบวิธีการคืนค่าได้

5. คุณมีปลั๊กอิน WordPress ที่ไม่ได้ใช้งานหรือไม่?

ปลั๊กอินที่มีช่องโหว่เป็นจุดอ่อนสำหรับการแฮ็ก WordPress ต่างๆ มากมาย ปลั๊กอินเป็นเครื่องมือที่สร้างขึ้นโดยนักพัฒนาที่ดูแลและอัปเดตอยู่เสมอ แต่เช่นเดียวกับซอฟต์แวร์ทุกรูปแบบ ช่องโหว่ด้านความปลอดภัยที่แตกต่างกันอาจกลายเป็นปัญหาได้เมื่อเวลาผ่านไป

นักพัฒนาปลั๊กอินส่วนใหญ่แก้ไขปัญหาเหล่านี้อย่างรวดเร็วและเผยแพร่การอัปเดตเพื่อให้ผู้ใช้ดาวน์โหลดและติดตั้ง การอัปเดตมักเป็นแพตช์ความปลอดภัยเฉพาะที่ลบช่องโหว่ออกจากเว็บไซต์ของคุณ

สิ่งสำคัญคือต้องดาวน์โหลดการอัปเดตเหล่านี้ทันทีที่พร้อมใช้งาน

ระหว่างการตรวจสอบความปลอดภัยของ WordPress ให้ดูรายการปลั๊กอินที่ติดตั้งบนไซต์ของคุณ เจ้าของไซต์ WordPress ส่วนใหญ่ชอบลองใช้ปลั๊กอินใหม่เพื่อดูว่าจะทำอะไรได้บ้าง แต่เรามักจะไม่ใช้อย่างถาวรและลืมไปว่าเราได้ติดตั้งไว้

ใช้เวลาในการลบปลั๊กอินที่คุณไม่ได้ใช้ การดำเนินการนี้จะกำจัดองค์ประกอบที่ไม่จำเป็นทั้งหมดบนไซต์ของคุณและลดความเสี่ยงที่แฮ็กเกอร์จะบุกรุก

ตรวจสอบให้แน่ใจว่าปลั๊กอินทั้งหมดที่คุณใช้อยู่นั้นคุ้นเคยและคุณรู้จักปลั๊กอินเหล่านั้น หากคุณไม่รู้จักปลั๊กอินที่ทำงานอยู่ และคุณแน่ใจว่าทีมของคุณไม่ได้ติดตั้งไว้ ทางที่ดีควรกำจัดทิ้งหลังจากเร่งรีบ อาจมีมัลแวร์ที่ติดเว็บไซต์ของคุณ

แฮกเกอร์มักจะใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์เพื่อแจกจ่ายมัลแวร์ที่เป็นอันตราย

6. คุณมีธีม WordPress ที่ไม่ได้ใช้หรือไม่?

ในฐานะเจ้าของไซต์ WordPress เป็นเรื่องปกติที่จะติดตั้งธีมต่างๆ มากมายเพื่อค้นหาธีมที่เราต้องการใช้ อย่างไรก็ตาม หากคุณลืมลบรายการที่คุณไม่ได้ใช้ แสดงว่าคุณได้เปิดไซต์ของคุณขึ้นสู่ช่องโหว่ที่เป็นอันตราย

ด้วยเหตุนี้ การลบธีมทั้งหมดที่ไม่ได้ใช้งานจึงเป็นเรื่องสำคัญและเก็บเฉพาะธีมที่กำลังทำงานอยู่เท่านั้น

ตรวจสอบให้แน่ใจด้วยว่าธีมของคุณได้รับการอัปเดตเป็นเวอร์ชันล่าสุด

7. คุณมีผู้ใช้ที่ไม่ได้ใช้งานบนไซต์ของคุณหรือไม่?

เช่นเดียวกับปลั๊กอินและธีมที่ล้าสมัยในไซต์ของคุณ ผู้ใช้ที่ไม่ใช้งานอาจถูกโจมตีเพื่อโจมตีไซต์ของคุณ

คุณมีคนสนับสนุนที่ทำงานในไซต์ของคุณซึ่งคุณสร้างผู้ใช้ให้หรือไม่? ดำเนินการต่อและลบผู้ใช้รายนั้น หากพวกเขาไม่ได้ใช้งานบนไซต์ของคุณ พวกเขาไม่จำเป็นต้องมีบัญชีผู้ใช้

8. โฮสต์เว็บของคุณทำอะไรเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ?

ด้วยเทคโนโลยีโฮสติ้งที่ใช้ร่วมกัน ผู้คนจำนวนมากขึ้นกว่าเดิมจึงสามารถสร้างเว็บไซต์ของตนเองด้วยการลงทุนเพียงเล็กน้อย แผนโฮสติ้งที่ใช้ร่วมกันเหล่านี้มีราคาไม่แพงมากและเหมาะสำหรับเว็บไซต์ขนาดเล็กเป็นส่วนใหญ่

เมื่อคุณเปิดตัวไซต์ WordPress เป็นครั้งแรก คุณอาจใช้แผนโฮสติ้งที่ใช้ร่วมกันเหล่านี้ แต่เมื่อไซต์ของคุณเติบโตขึ้น ความต้องการโฮสติ้งของคุณก็เช่นกัน

โฮสติ้งที่ใช้ร่วมกันหมายความว่าคุณกำลังแชร์เซิร์ฟเวอร์กับไซต์อื่นๆ มากมาย คุณไม่สามารถควบคุมสิ่งที่ไซต์อื่นๆ เหล่านี้ที่แชร์เซิร์ฟเวอร์ของคุณทำอยู่ได้ หากไซต์ใดไซต์หนึ่งของพวกเขาถูกแฮ็ก ไซต์นั้นอาจใช้ทรัพยากรเซิร์ฟเวอร์จำนวนมาก

ปัญหานี้จะทำให้ไซต์ของคุณช้าลงและทำให้ประสิทธิภาพการทำงานลดลง

นอกจากนี้ยังมีโอกาสที่การติดมัลแวร์สามารถแพร่กระจายไปยังไซต์ของคุณจากไซต์อื่นที่ทำงานบนเซิร์ฟเวอร์ที่ใช้ร่วมกันของคุณ กล่าวอีกนัยหนึ่ง หากคุณสามารถอัพเกรดโฮสติ้งที่ใช้ร่วมกันในอดีตได้ อาจถึงเวลาที่ต้องใช้งานเซิร์ฟเวอร์เฉพาะ

โปรดจำไว้ว่าโฮสติ้งคุณภาพปกติไม่ได้มาที่ $4 ต่อเดือน ดูแผนการโฮสต์เฉพาะที่ iThemes นำเสนอ หากคุณต้องการเพิ่มพลังให้ไซต์ของคุณและตรวจสอบให้แน่ใจว่าไซต์ของคุณปลอดภัยอย่างเต็มที่

9. คุณจำกัดความพยายามในการเข้าสู่ระบบหรือไม่?

ตามค่าเริ่มต้น ไม่มีอะไรใน WordPress ที่จะจำกัดจำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลว โดยไม่จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวที่ผู้โจมตีสามารถทำได้ พวกเขาสามารถลองใช้ชื่อผู้ใช้และรหัสผ่านต่างๆ ร่วมกันได้จนกว่าจะพบชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้

ด้วยการจำกัดความพยายามในการเข้าสู่ระบบ คุณจะลดโอกาสในการโจมตีด้วยกำลังเดรัจฉานอย่างมาก การโจมตีด้วยกำลังเดรัจฉานหมายถึงวิธีการทดลองและข้อผิดพลาดที่ใช้เพื่อค้นหาชื่อผู้ใช้และรหัสผ่านเพื่อแฮ็คเข้าสู่เว็บไซต์ WordPress ไม่ได้ติดตามกิจกรรมการเข้าสู่ระบบของผู้ใช้ใด ๆ ดังนั้นจึงไม่มีอะไรใน WordPress ที่จะปกป้องคุณจากการโจมตีแบบเดรัจฉาน

ข่าวดีก็คือคุณสามารถจำกัดความพยายามในการเข้าสู่ระบบด้วยปลั๊กอิน iTheme Security คุณสมบัติ iThemes Security Pro Local Brute Force Protection ช่วยติดตามการพยายามเข้าสู่ระบบที่ไม่ถูกต้องโดยโฮสต์หรือที่อยู่ IP และชื่อผู้ใช้ เมื่อ IP หรือชื่อผู้ใช้พยายามเข้าสู่ระบบที่ไม่ถูกต้องติดต่อกันหลายครั้งเกินไป พวกเขาจะถูกล็อคและจะป้องกันไม่ให้พยายามอีกในช่วงระยะเวลาหนึ่ง

10. เว็บไซต์ของคุณเป็น HTTPS หรือไม่

วิธีง่ายๆ ที่จะบอกว่าเว็บไซต์ที่คุณกำลังเยี่ยมชมมีใบรับรอง SSL ติดตั้งอยู่หรือไม่ ให้ดูในแถบที่อยู่ของเบราว์เซอร์เพื่อดูว่า URL ขึ้นต้นด้วย HTTP หรือ HTTPS หรือไม่ หาก URL ขึ้นต้นด้วย HTTPS แสดงว่าคุณกำลังท่องเว็บไซต์โดยใช้ SSL อย่างปลอดภัย

ประโยชน์ด้านความปลอดภัยที่คุณได้รับจากการมีใบรับรอง SSL บนเว็บไซต์ของคุณก็เพียงพอแล้วที่จะทำให้เว็บไซต์นั้นจำเป็นต้องมี อย่างไรก็ตาม เพื่อเป็นการสนับสนุนให้ทุกคนปกป้องผู้เข้าชมเว็บไซต์ เว็บเบราว์เซอร์และเครื่องมือค้นหาจึงสร้างแรงจูงใจเชิงลบเพื่อสนับสนุนให้ทุกคนใช้ SSL

นี่คือข้อมูลเพิ่มเติมเกี่ยวกับ SSL คืออะไรและจะติดตั้งบนเว็บไซต์ของคุณได้อย่างไร

11. ผู้ใช้รายใดบ้างที่มีการเข้าถึง FTP/sFTP ในไซต์ของคุณ

FTP หรือ File Transfer Protocol เป็นเทคโนโลยีที่ให้คุณเชื่อมต่อเวิร์กสเตชันในพื้นที่ของคุณกับเซิร์ฟเวอร์ของเว็บไซต์ของคุณ ด้วยเครื่องมือนี้ คุณจะสามารถเข้าถึงโฟลเดอร์และไฟล์ทั้งหมดในไซต์ของคุณ และทำการเปลี่ยนแปลงที่จำเป็นได้

เนื่องจากการเข้าถึง FTP ทำให้ผู้ใช้สามารถลบและแก้ไขไฟล์ไซต์ได้ คุณจึงควรให้สิทธิ์การเข้าถึง FTP แก่บุคคลที่คุณไว้วางใจเท่านั้นและต้องการการเข้าถึงไซต์ประเภทนี้

ทางที่ดีควรตรวจสอบรายชื่อผู้ใช้ของคุณ จากนั้นรีเซ็ตรหัสผ่าน FTP หากคุณต้องการ

หากต้องการเปลี่ยนรหัสผ่าน ให้ไปที่บัญชีโฮสติ้ง WordPress แล้วไปที่ cPanel > บัญชี FTP

อย่าลืมลบผู้ใช้ที่ไม่ต้องการการเข้าถึง FTP ในไฟล์ไซต์ของคุณ

12. คุณกำลังติดตามกิจกรรมความปลอดภัยหรือไม่?

การตรวจสอบกิจกรรมความปลอดภัยบนไซต์ WordPress ของคุณเป็นวิธีที่ดีในการติดตามกิจกรรมที่น่าสงสัยในไซต์ของคุณ นั่นคือที่มาของบันทึกการรักษาความปลอดภัยของ WordPress บันทึกการรักษาความปลอดภัยของ WordPress ให้ข้อมูลโดยละเอียดและข้อมูลเชิงลึกเกี่ยวกับกิจกรรมบนเว็บไซต์ WordPress ของคุณ หากคุณรู้ว่าต้องค้นหาอะไรในบันทึกของคุณ คุณสามารถระบุและหยุดพฤติกรรมที่เป็นอันตรายบนไซต์ของคุณได้อย่างรวดเร็ว

บันทึกการรักษาความปลอดภัยของ WordPress มีประโยชน์หลายประการในกลยุทธ์ความปลอดภัยโดยรวมของคุณ หากไซต์ของคุณถูกแฮ็ก คุณจะต้องมีข้อมูลที่ดีที่สุดเพื่อช่วยในการตรวจสอบและกู้คืนอย่างรวดเร็ว

• 1. ระบุตัวตนและหยุดพฤติกรรมที่เป็นอันตราย
• 2. พบกิจกรรมที่สามารถเตือนคุณถึงการละเมิด
• 3. ประเมินความเสียหายที่เกิดขึ้น
• 4. ผู้ช่วยในการซ่อมแซมไซต์ที่ถูกแฮ็ก

ต่อไปนี้คือกิจกรรมบางอย่างที่คุณต้องตรวจสอบด้วยบันทึกการรักษาความปลอดภัยของ WordPress:

1. WordPress Brute Force Attacks – ขึ้นอยู่กับคุณที่จะตรวจสอบความปลอดภัยในการเข้าสู่ระบบเพื่อปกป้องไซต์ WordPress ของคุณ โชคดีที่การโจมตีด้วยกำลังเดรัจฉานไม่ซับซ้อนมากนัก และค่อนข้างง่ายที่จะระบุในบันทึกของคุณ คุณจะต้องบันทึกชื่อผู้ใช้และ IP ที่พยายามเข้าสู่ระบบและการเข้าสู่ระบบสำเร็จหรือไม่ หากคุณเห็นว่าชื่อผู้ใช้หรือ IP เดียวมีการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งติดต่อกัน โอกาสที่คุณกำลังอยู่ภายใต้การโจมตีแบบเดรัจฉาน
2. การเปลี่ยนแปลงไฟล์ – แม้ว่าคุณจะปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress แต่ก็ยังมีโอกาสที่เว็บไซต์ของคุณจะถูกบุกรุก การประนีประนอมหมายความว่าไซต์มีการเปลี่ยนแปลงที่เป็นอันตราย และด้วยเหตุนี้จึงเป็นเรื่องสำคัญมากที่จะต้องคอยติดตามการเปลี่ยนแปลงไฟล์ในไซต์ของคุณโดยการบันทึกลงในบันทึกการรักษาความปลอดภัยของ WordPress รายการการเปลี่ยนแปลงไฟล์รวมถึงไฟล์ที่เพิ่มและลบออกและการแก้ไขไฟล์ที่มีอยู่ เมื่อคุณมีการเปลี่ยนแปลงที่บันทึกไว้ในบันทึกการรักษาความปลอดภัยของคุณแล้ว คุณควรกำหนดเวลาเพื่อตรวจสอบการเปลี่ยนแปลงเหล่านั้น หากคุณเป็นผู้ใช้ iThemes Security Pro อย่าลืมเปิดใช้งานการแจ้งเตือนการเปลี่ยนแปลงไฟล์เพื่อรับการแจ้งเตือนเมื่อไฟล์มีการเปลี่ยนแปลง
3. การสแกนมัลแวร์ – ไม่เพียงแต่คุณควรเรียกใช้การสแกนมัลแวร์ WordPress เท่านั้น คุณควรบันทึกผลลัพธ์ของการสแกนมัลแวร์ทุกครั้งในบันทึกการรักษาความปลอดภัยของ WordPress บันทึกการรักษาความปลอดภัยบางรายการจะบันทึกเฉพาะผลการสแกนที่ให้เงินทุนกับมัลแวร์ แต่ยังไม่เพียงพอ จำเป็นอย่างยิ่งที่จะต้องได้รับการแจ้งเตือนอย่างรวดเร็วถึงการละเมิดไซต์ของคุณ ยิ่งคุณทราบเกี่ยวกับการแฮ็กนานเท่าไร ก็ยิ่งเกิดความเสียหายมากขึ้นเท่านั้น จำเป็นอย่างยิ่งที่จะต้องได้รับการแจ้งเตือนอย่างรวดเร็วถึงการละเมิดไซต์ของคุณ ยิ่งคุณทราบเกี่ยวกับการแฮ็กนานเท่าไร ก็ยิ่งเกิดความเสียหายมากขึ้นเท่านั้น
4. กิจกรรมของผู้ใช้ – การเก็บบันทึกกิจกรรมของผู้ใช้ในบันทึกการรักษาความปลอดภัยของ WordPress สามารถช่วยให้คุณประหยัดได้หลังจากการโจมตีสำเร็จ หากคุณกำลังตรวจสอบกิจกรรมของผู้ใช้ที่ถูกต้อง กิจกรรมนี้จะแนะนำคุณตลอดไทม์ไลน์ของการแฮ็กและแสดงทุกอย่างที่แฮ็กเกอร์เปลี่ยนแปลงไป ตั้งแต่การเพิ่มผู้ใช้ใหม่ไปจนถึงการเพิ่มโฆษณายาที่ไม่ต้องการในไซต์ของคุณ

ข่าวดีก็คือคุณสามารถเริ่มตรวจสอบกิจกรรมความปลอดภัยบนไซต์ของคุณด้วยปลั๊กอินเช่น iThemes Security iThemes Security ทำงานทั้งหมดให้คุณโดยการติดตามเหตุการณ์สำคัญเหล่านี้บนไซต์ของคุณ

เรียนรู้วิธีเพิ่มบันทึกการรักษาความปลอดภัยของ WordPress ในเว็บไซต์ของคุณ

13. คุณกำลังใช้มาตรการเสริมความแข็งแกร่งของ WordPress หรือไม่?

แพลตฟอร์ม WordPress ให้มาตรการเฉพาะแก่คุณเพื่อทำให้ไซต์ของคุณปลอดภัยมากขึ้นจากการแฮ็กที่เป็นอันตราย

มาตรการเหล่านี้รวมถึง:

• ปิดการติดตั้งปลั๊กอิน
• รีเซ็ตเกลือและคีย์ WordPress
• ปิดการใช้งานตัวแก้ไขไฟล์ในธีมและปลั๊กอิน
• บังคับใช้รหัสผ่านที่รัดกุม
• ใช้ 2FA (การอนุญาตสองปัจจัย)
• จำกัดการพยายามเข้าสู่ระบบ

ในระหว่างการตรวจสอบความปลอดภัย สิ่งสำคัญคือต้องตรวจสอบว่ารายการมาตรการนี้พร้อมใช้แล้ว ตัวอย่างเช่น หากคุณกำลังใช้ปลั๊กอินที่จำกัดความพยายามในการเข้าสู่ระบบของผู้ใช้และให้ 2FA ให้ลองดูว่าปลั๊กอินยังคงทำงานอยู่และเป็นเวอร์ชันล่าสุดหรือไม่

ดูว่ามีตัวเลือกปลั๊กอินปัจจุบันที่ดีกว่าหรือดีกว่าหรือไม่

มาตรการชุบแข็งบางอย่างต้องใช้ความรู้ด้านเทคนิคเล็กน้อยเพื่อนำมาใช้ แต่ถ้าคุณใช้ปลั๊กอิน iThemes Security คุณจะสามารถวางมาตรการการชุบแข็งเข้าที่ด้วยการคลิกง่ายๆ เพียงไม่กี่ครั้ง

14. คุณใช้ปลั๊กอินความปลอดภัย WordPress หรือไม่?

การตรวจสอบครั้งสุดท้ายและครั้งสุดท้ายคือการประเมินปลั๊กอินความปลอดภัยในไซต์ของคุณ งานมากมายในรายการตรวจสอบความปลอดภัยของ WordPress นี้สามารถทำได้ด้วยปลั๊กอินความปลอดภัย WordPress เช่น iThemes Security

หากคุณไม่ได้ใช้งานปลั๊กอินความปลอดภัย WordPress ก็ถึงเวลาดาวน์โหลดและติดตั้งปลั๊กอินทันที ปลั๊กอินความปลอดภัยที่มีประสิทธิภาพ เช่น iThemes Security จะทำได้มากมายเพื่อปกป้องไซต์ของคุณจากบอทและแฮกเกอร์ แม้ว่าจะมีปลั๊กอินความปลอดภัยที่แตกต่างกันมากมายในตลาด แต่บางตัวก็มีประสิทธิภาพมากกว่าตัวอื่นๆ

ดูรายการฟีเจอร์ที่ปลั๊กอินความปลอดภัยที่มีประสิทธิภาพต้องนำมาไว้ในตาราง:

• การสแกนมัลแวร์ – แฮกเกอร์ที่มีทักษะมักจะมองหาปลั๊กอินที่มีช่องโหว่อยู่เสมอ สิ่งสำคัญคือต้องใช้ปลั๊กอินความปลอดภัยที่จะเรียกใช้การสแกนไซต์ของคุณทุกวันในขณะที่ทำการตรวจสอบอย่างละเอียดและสแกนทุกโฟลเดอร์และไฟล์ในไซต์ของคุณ รวมถึงฐานข้อมูล
• จาก การสแกนภายนอก – คุณจะใช้ทรัพยากรจำนวนมากเมื่อคุณเรียกใช้การสแกนความปลอดภัย หากปลั๊กอินที่คุณใช้ใช้เซิร์ฟเวอร์ของคุณ การสแกนแต่ละครั้งอาจทำให้ไซต์ WordPress ของคุณทำงานหนักเกินไปและทำให้หยุดชะงักได้ ค้นหาปลั๊กอินความปลอดภัยที่ใช้เซิร์ฟเวอร์ของตัวเองเมื่อสแกนเว็บไซต์ของคุณ
• การป้องกันการเข้าสู่ระบบ – แฮกเกอร์มักจะพยายามโจมตีหน้าเข้าสู่ระบบ WP ของคุณและพยายามรวมชื่อผู้ใช้และรหัสผ่านหลายพันรายการเพื่อเข้าถึงไซต์ของคุณโดยไม่ได้รับอนุญาต สิ่งนี้เรียกว่าการโจมตีด้วยกำลังเดรัจฉาน และปลั๊กอินความปลอดภัยที่คุณใช้จำเป็นต้องบล็อกการโจมตีเหล่านี้หรือซ่อนหน้าเข้าสู่ระบบของคุณ
• การแจ้งเตือนความปลอดภัยแบบเรียลไทม์ – เมื่อใดก็ตามที่มีกิจกรรมที่น่าสงสัยหรือเป็นอันตรายในไซต์ WordPress ของคุณ ปลั๊กอินความปลอดภัยของคุณจะต้องตรวจจับได้อย่างมีประสิทธิภาพ จากนั้นจะแจ้งให้คุณทราบทันที จากนั้นคุณจะสามารถดำเนินการอย่างรวดเร็วเพื่อหยุดความเสียหายใดๆ
• บันทึกกิจกรรมการรักษาความปลอดภัย – บันทึก การตรวจสอบจะติดตามกิจกรรมของผู้ใช้แต่ละคนบนเว็บไซต์ของคุณ รวมถึงผู้ที่เข้าสู่ระบบ รายละเอียดของความพยายามในการเข้าสู่ระบบที่ล้มเหลวซ้ำแล้วซ้ำเล่า และฟังก์ชันที่ผู้ใช้ดำเนินการบนไซต์ของคุณ การมีบันทึกกิจกรรมมีประโยชน์เมื่อคุณพยายามระบุว่าไซต์ของคุณถูกบุกรุกอย่างไร หรือมีการอัปเดตใดบ้างที่ทำให้ไซต์ทำงานผิดพลาด

หากคุณจัดการไซต์ WordPress หลายแห่งและตัดสินใจใช้ iThemes Security สำหรับโซลูชันของคุณ ตรวจสอบให้แน่ใจว่าคุณได้ดาวน์โหลดและติดตั้งปลั๊กอิน iThemes Sync ด้วย

การตรวจสอบความปลอดภัยของ WordPress เป็นประจำมีความสำคัญอย่างยิ่ง

เราได้กล่าวถึงงานตรวจสอบความปลอดภัยที่สำคัญที่สุดแปดงานที่คุณควรดำเนินการเป็นประจำ แม้ว่าคุณจะใช้ปลั๊กอินความปลอดภัย คุณก็ยังต้องการเรียกใช้รายการตรวจสอบนี้ทุกๆ สามเดือน

ทำไมไม่เพิ่มการเตือนความจำซ้ำๆ ในปฏิทินของคุณตอนนี้ล่ะ

เราเชื่อว่าคู่มือนี้ช่วยให้คุณสร้างกระบวนการที่คุณสามารถทำซ้ำได้เพื่อให้ทันกับการตรวจสอบความปลอดภัยของ WordPress หากคุณยังคงดำเนินการตามกระบวนการนี้อย่างต่อเนื่อง คุณจะก้าวข้ามอันตรายที่แฮ็กเกอร์สามารถนำมาสู่เว็บไซต์ของคุณได้ คุณได้เพิ่มการเตือนความจำในปฏิทินของคุณเพื่อเรียกใช้การตรวจสอบความปลอดภัยหรือไม่

แม้ว่าการตรวจสอบอย่างเต็มรูปแบบอาจเป็นกระบวนการที่ยาวนาน แต่เวลาและความปวดหัวที่จะช่วยประหยัดได้ด้วยการป้องกันการแฮ็กนั้นคุ้มค่ากว่าปัญหา

อย่าลืมดาวน์โหลดและติดตั้งปลั๊กอิน iThemes Security เพื่อช่วยให้คุณดำเนินการตรวจสอบไซต์ของคุณโดยอัตโนมัติเพื่อความปลอดภัย ต่างจากปลั๊กอินความปลอดภัยอื่นๆ ส่วนใหญ่ มันมาพร้อมกับชุดเครื่องมือที่เข้าใจง่ายและครอบคลุม ซึ่งจะช่วยรักษาความปลอดภัยไซต์ของคุณได้มากกว่าแค่การตรวจสอบ

iThemes Security จะทำให้กิจกรรมที่น่าเบื่อและต้องทำด้วยตนเองหลายอย่างเป็นอัตโนมัติ เช่น การสแกนมัลแวร์ การป้องกันบอท และ WordPress ที่แข็งกระด้าง เครื่องมือทั้งหมดที่คุณต้องการอยู่ในแดชบอร์ดปลั๊กอินที่มีประสิทธิภาพ

ดาวน์โหลด iThemes Security ฟรีทันที

คริสเตน ไรท์

Kristen ได้เขียนบทช่วยสอนเพื่อช่วยเหลือผู้ใช้ WordPress มาตั้งแต่ปี 2011 โดยปกติแล้ว คุณจะพบว่าเธอทำงานเกี่ยวกับบทความใหม่ๆ สำหรับบล็อก iThemes หรือการพัฒนาทรัพยากรสำหรับ #WPprosper นอกเวลางาน คริสเตนชอบจดบันทึก (เธอเขียนหนังสือสองเล่ม!) เดินป่าและตั้งแคมป์ ทำอาหาร และผจญภัยทุกวันกับครอบครัวของเธอ โดยหวังว่าจะมีชีวิตที่เป็นปัจจุบันมากขึ้น