คู่มือความปลอดภัยของ WordPress: เรียนรู้วิธีรักษาไซต์ WP ของคุณให้ปลอดภัย
เผยแพร่แล้ว: 2019-05-20เนื่องจากคุณวางแผนที่จะสร้างไซต์ด้วย WordPress คุณจึงต้องให้ความสำคัญกับปัญหาด้านความปลอดภัยมากขึ้นด้วยเหตุผลบางประการ เจ้าของเว็บไซต์จำนวนมากใช้เพื่อบ่นเกี่ยวกับความปลอดภัยของเว็บไซต์ WordPress ของตน เป็นหัวข้อที่ต้องพูดคุยกันเนื่องจากมีเว็บไซต์นับล้านที่สร้างด้วยระบบจัดการเนื้อหายอดนิยมนี้สำหรับฟังก์ชันที่ใช้งานง่าย ตอนนี้ คำถามคือ- จะรักษาความปลอดภัยเว็บไซต์ WordPress จากแฮกเกอร์ได้อย่างไร? ดี! วันนี้ เราวางแผนที่จะนำเสนอคู่มือความปลอดภัย WordPress ทีละขั้นตอนซึ่งอาจช่วยคุณลดความเสี่ยงที่จะถูกแฮ็ก หวังว่ามันจะช่วยให้คุณเพิ่มระดับความปลอดภัยของเว็บไซต์ที่คุณรัก
คู่มือความปลอดภัย WordPress ทีละขั้นตอน
คุณรู้เปอร์เซ็นต์ของการใช้ WordPress หรือไม่? มีมากกว่า 33 เปอร์เซ็นต์ของอินเทอร์เน็ตทั้งหมด! ฉันหวังว่าคุณจะได้รับคะแนนเพื่อรับทราบปัญหาด้านความปลอดภัย ดังนั้น เราจะนำเสนอรายการตรวจสอบความปลอดภัยของ WordPress ที่เรียบง่ายแต่มีความสำคัญ เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณ ย้ายไปติดตามกัน!
1. ใช้โฮสติ้งที่เชื่อถือได้
การโฮสต์เป็นสิ่งสำคัญเสมอเพื่อรับรองความปลอดภัยของไซต์ เจ้าของหลายคนพยายามเลือกแผนโฮสติ้งราคาถูกแทนที่จะคิดถึงภัยคุกคามทางอินเทอร์เน็ต คุณควรเลือกผู้ให้บริการโฮสติ้งที่คอยอัปเดตซอฟต์แวร์เซิร์ฟเวอร์และฮาร์ดแวร์ของตน ผู้ให้บริการโฮสติ้งที่ดีควรมีคุณสมบัติของใบรับรอง SSL ซึ่งเป็นสิ่งสำคัญ มันรักษาความปลอดภัยการเชื่อมต่อระหว่างเว็บไซต์และผู้เยี่ยมชม ผู้ให้บริการโฮสติ้งหลายรายเสนอใบรับรอง SSL ฟรี บริษัทยอดนิยมบางแห่งที่ให้บริการแผนโฮสติ้งที่ปลอดภัย ได้แก่ SiteGround, Bluehost, HostGator เป็นต้น
เราขอแนะนำ SiteGround
2. มีความละเอียดอ่อนในการใช้รหัสผ่าน
รหัสผ่านเป็นสิ่งที่ละเอียดอ่อนและเป็นปัญหาด้านความปลอดภัยที่สำคัญอย่างหนึ่งของ WordPress ไม่ว่าคุณจะใช้ไซต์ WordPress ก็ตาม อย่าใช้รหัสผ่านที่ง่ายและธรรมดาเหมือนผู้ใช้ส่วนใหญ่ ขั้นแรก พยายามทำให้ยาวขึ้นอย่างน้อย 10 ตัวอักษร ทำไม? หากคุณเลือกรหัสผ่านอักขระ 6 หรือ 8 หลัก แฮกเกอร์จะทำลายได้ง่าย จากนั้นลองใช้เคล็ดลับถัดไป ทำให้มีเอกลักษณ์ซึ่งจะทำให้คุณแตกต่างจากคนอื่นๆ เคล็ดลับสำคัญอีกประการหนึ่งคือการผสมกับอักขระพิเศษ ตัวเลข คุณยังสามารถผสมผสานกับตัวพิมพ์ใหญ่และตัวพิมพ์เล็กเพื่อทำให้รหัสผ่านของคุณปลอดภัยยิ่งขึ้น ผู้ใช้หลายคนใช้เครื่องมือสร้างรหัสผ่านเพื่อทำให้กระบวนการง่ายขึ้น คุณสามารถลองสิ่งนี้ได้เช่นกัน
3. อัปเดตไฟล์ WordPress อยู่เสมอ
เป็นอีกขั้นตอนที่จำเป็นในการทำให้ไซต์ WordPress ของคุณปลอดภัย คุณจะทำอย่างนั้นได้อย่างไร? ดี! WordPress ติดตั้งการอัปเดตเล็กน้อยโดยอัตโนมัติ แต่ไฟล์สำคัญอื่นๆ ควรได้รับการอัปเดตให้ทันเวลา อัปเดตธีมและปลั๊กอินจากเว็บไซต์ทางการเสมอ สิ่งหนึ่งที่ต้องจำไว้คือ อย่าพยายามใช้ไฟล์เวอร์ชัน null หรือแคร็ก ผู้ใช้หลายคนทำเช่นนี้เพื่อประหยัดเงินเพียงเล็กน้อยและได้รับผลกระทบจากแฮกเกอร์อย่างง่ายดาย
4. เปลี่ยนชื่อผู้ใช้ผู้ดูแลระบบและ URL เข้าสู่ระบบ
คุณจะได้รับชื่อผู้ใช้และ URL ล็อกอินทั่วไปเมื่อคุณติดตั้ง WordPress ลงในเซิร์ฟเวอร์ของคุณเป็นครั้งแรก ดังนั้นจึงไม่ใช่เรื่องยากที่จะลองแฮ็คไซต์ของคุณด้วยวิธีเหล่านี้ ผู้ใช้ใหม่หลายคนเคยถามว่าเปลี่ยนได้ไหม! บางคนไม่แม้แต่จะพยายามเปลี่ยนแปลง ใช้ชื่อผู้ใช้ที่ไม่ซ้ำกันและลบชื่อก่อนหน้า ตรวจสอบให้แน่ใจว่าคุณได้อัปเดตชื่อผู้ใช้จาก phpMyAdmin หากต้องการเปลี่ยน URL สำหรับเข้าสู่ระบบ คุณสามารถใช้ปลั๊กอินยอดนิยมใดก็ได้จากที่เก็บ WordPress มันจะลดโอกาสที่จะได้รับผลกระทบจากผู้ส่งอีเมลขยะ
5. จำกัดความพยายามในการเข้าสู่ระบบ
โดยปกติ WordPress จะไม่บล็อกผู้ใช้ที่พยายามเข้าสู่ระบบหลายครั้ง คุณต้องทำด้วยตัวเองหรือด้วยความช่วยเหลือของปลั๊กอิน มันจะแจ้งให้คุณทราบเมื่อมีคนพยายามบังคับให้พยายามเข้าสู่แดชบอร์ดของคุณ คุณจะได้รับแจ้งถึงกิจกรรมที่ไม่ได้รับอนุญาตเมื่อถึงเวลา
ความพยายามในการจำกัดการเข้าสู่ระบบของปลั๊กอินที่ เราแนะนำ โหลดซ้ำโดย WPChef
6. เพิ่มคำถามเพื่อความปลอดภัย
บางทีคุณอาจเคยได้ยินเกี่ยวกับเรื่องนี้แล้ว คุณไม่จำเป็นต้องเป็นผู้เชี่ยวชาญด้านความปลอดภัยของ WordPress เพื่อเพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบของคุณ มันจะทำหน้าที่เป็นรหัสผ่านเพิ่มเติมซึ่งจะรับรองความปลอดภัยในการเข้าสู่ระบบ WordPress คุณสามารถใช้ปลั๊กอินสำหรับสิ่งนั้น จะทำให้แฮกเกอร์เข้าถึงโดยไม่ได้รับอนุญาตได้ยากขึ้น
ปลั๊กอินที่เราแนะนำ: คำถามเกี่ยวกับความปลอดภัย WP
7. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ
เกิดอะไรขึ้นถ้าเกิดอะไรขึ้นซึ่งทำให้ฐานข้อมูลเว็บไซต์ของคุณสูญหาย? ในฐานะผู้ดูแลเว็บที่ชาญฉลาด คุณต้องสำรองข้อมูลไซต์ของคุณเป็นประจำ อาจต้องการด้วยเหตุผลหลายประการ ข้อมูลอาจเสียหายได้หากการอัปเดตของคุณผิดพลาด หรือมีไวรัสและมัลแวร์โจมตีระบบของคุณ การแก้ปัญหาการติดมัลแวร์และป้องกันแฮกเกอร์เป็นสิ่งสำคัญเช่นกัน ดังนั้น อย่าละเลยการสำรองข้อมูลไซต์ที่มีค่าของคุณเป็นประจำ
ปลั๊กอินที่เราแนะนำ: Backup & Staging – BlogVault Backups By Backup by BlogVault
8. ใช้ปลั๊กอินความปลอดภัย
หลังจากตั้งค่าไฟล์ WP ของคุณเสร็จเรียบร้อยแล้ว คุณต้องเพิ่มระบบตรวจสอบเพื่อติดตามไซต์ของคุณ ระบบที่จะช่วยให้คุณตรวจสอบความพยายามในการเข้าสู่ระบบและการสแกนมัลแวร์ จะตรวจสอบการเปลี่ยนแปลง DNS บล็อกเครือข่ายที่เป็นอันตราย และสร้างรหัสผ่านที่รัดกุมสำหรับเว็บไซต์ของคุณ
ผู้เริ่มต้นหลายคนสามารถคิดได้ - ฉันต้องการปลั๊กอินความปลอดภัย WordPress หรือไม่? ไม่ต้องสงสัยเลย การใช้ปลั๊กอินความปลอดภัยถือเป็นแนวทางปฏิบัติที่ดีสำหรับทั้งมือใหม่และมืออาชีพเช่นกัน คุณต้องค้นหาสิ่งที่ดีที่สุด ปลั๊กอินยอดนิยมบางตัว ได้แก่ WordFence Security, Securi Security, iThemes Security เป็นต้น คุณจะได้รับสิ่งอำนวยความสะดวกเช่นเดียวกับการรักษาความปลอดภัยที่เดียวโดยใช้ปลั๊กอินเหล่านี้
ปลั๊กอินที่เราแนะนำ:
ความปลอดภัยของ Wordfence – การสแกนไฟร์วอลล์และมัลแวร์โดย
Sucuri Security – การตรวจสอบ การสแกนมัลแวร์ และการเพิ่มความปลอดภัย
9. ใช้การรับรองความถูกต้องด้วยสองปัจจัย
เทคนิคการพิสูจน์ตัวตนแบบสองปัจจัยเป็นอีกหนึ่งมาตรการรักษาความปลอดภัยสำหรับไซต์ WordPress โดยปกติ เราจะลงชื่อเข้าใช้แดชบอร์ดเว็บไซต์ของเราโดยใช้ชื่อผู้ใช้และรหัสผ่าน แต่วิธีนี้ต้องใช้อุปกรณ์หรือแอปอื่นในการตรวจสอบสิทธิ์การเข้าถึงของคุณ ซึ่งให้การป้องกันอีกระดับหนึ่ง ในกรณีนี้ คุณจะได้รับรหัสความปลอดภัยไปยังโทรศัพท์ของคุณเสมอเมื่อคุณพยายามเข้าสู่ระบบ คุณสามารถใช้ปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัยที่เป็นที่นิยมสำหรับสิ่งนั้น โปรดจำไว้ว่า นี่เป็นหนึ่งในส่วนที่สำคัญที่สุดของคู่มือความปลอดภัย WordPress ของเรา
10. ไม่อนุญาตให้แก้ไขไฟล์
หากคุณให้สิทธิ์การเข้าถึงแก่ผู้ใช้ในไซต์ของคุณ ตรวจสอบให้แน่ใจว่าได้ไม่อนุญาตตัวเลือกการแก้ไขไฟล์ โดยจะไม่มีใครสามารถแก้ไขหรือแก้ไขไฟล์ที่มีอยู่ได้ เพียงทำการเปลี่ยนแปลงอย่างง่ายในไฟล์ wp-config.php เพื่อทำสิ่งนี้ นี่คือบรรทัดด้านล่าง:
define ('DISALLOW_FILE_EDIT', true);
11. ใช้ SSL เพื่อเข้ารหัสข้อมูล
เพื่อให้แน่ใจว่าการถ่ายโอนข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ของผู้ใช้มีความปลอดภัย จำเป็นต้องใช้ SSL (Secure Socket Layer) นี่เป็นเหมือนการป้องกันจากแฮกเกอร์ที่พยายามละเมิดการเชื่อมต่อ เป็นปัจจัยสำคัญอันดับ 1 ของ Google เช่นกัน คุณสามารถรับใบรับรอง SSL ได้ฟรีจากผู้ให้บริการโฮสติ้งส่วนใหญ่ อีกทางเลือกหนึ่งคือการขอรับบริการจากบริษัทบุคคลที่สาม
12. เปลี่ยนคำนำหน้าตารางฐานข้อมูล WordPress
หากคุณเพิ่งติดตั้งไฟล์ WordPress คุณจะเห็นคำนำหน้าตารางฐานข้อมูลเป็น wp- คุณควรเปลี่ยนชื่อเริ่มต้นเป็นชื่อที่ไม่ซ้ำ ช่วยกำจัดการแทรกฐานข้อมูลของไซต์ของคุณโดยไม่ได้รับอนุญาต มีปลั๊กอินสองสามตัวที่จะทำงานนี้ หากคุณไม่คุ้นเคยกับกระบวนการแบบแมนนวลมากพอ
13. ตั้งรหัสผ่านที่รัดกุมสำหรับฐานข้อมูลของคุณ
ผู้ใช้ WordPress ระดับเริ่มต้นส่วนใหญ่ใช้รหัสผ่านทั่วไปเพื่อจดจำสำหรับฐานข้อมูล ไม่ใช่วิธีที่เหมาะสมในการทำให้ไซต์ของคุณปลอดภัย ตั้งรหัสผ่านที่รัดกุมสำหรับฐานข้อมูลของคุณไว้เสมอ เพื่อที่แฮ็กเกอร์จะไม่ทราบเบาะแสที่จะทำลายสิ่งนี้ คุณสามารถใช้ตัวสร้างรหัสผ่านแบบสุ่มใดก็ได้หากคุณไม่มีเวลาเพียงพอในการดำเนินการด้วยตนเอง
14. ป้องกันไฟล์ wp-config.php
wp-config.php เป็นไฟล์ที่สำคัญที่สุดในไดเร็กทอรีรากของไซต์ของคุณ แฮกเกอร์พยายามควบคุมมันเสมอ เราแนะนำให้เปลี่ยนไดเร็กทอรีรากของไฟล์นี้เป็นโฟลเดอร์อื่น คุณสามารถทำให้มันอยู่ในระดับที่สูงกว่าไดเร็กทอรีปัจจุบันและ WordPress ก็ไม่ทำให้ยุ่งยากสำหรับเรื่องนี้
15. ตั้งค่าการอนุญาตไดเรกทอรีอย่างระมัดระวัง
จำเป็นต้องตั้งค่าการอนุญาตไดเรกทอรีอย่างระมัดระวังเพื่อรักษาความปลอดภัยไซต์ WordPress ของคุณ ทำด้วยตนเองหรือโดยปลั๊กอินง่ายๆ คุณสามารถตั้งค่าการอนุญาตไดเร็กทอรี '755' หรือ '750' และไฟล์เป็น '644' หรือ 640 หากคุณกำลังใช้งานแผนโฮสติ้งที่ใช้ร่วมกัน คุณต้องระวังให้มากกว่านี้
สรุป
ดี! เรามาถึงจุดสิ้นสุดของการสนทนาของเราแล้ว อย่างที่คุณเห็น เราได้กล่าวถึงหลายวิธีในคู่มือความปลอดภัย WordPress นี้ เพื่อปกป้องไซต์ของคุณ ผลลัพธ์บางส่วนสามารถรับได้ด้วยความช่วยเหลือของปลั๊กอิน WordPress และบางส่วนสามารถทำได้ด้วยตนเอง หากคุณดีพอที่จะทำงานเป็นนักพัฒนา WordPress ที่มีประสบการณ์ การทำด้วยตนเองจะดีกว่า มิฉะนั้น ให้ใช้ปลั๊กอินแทนการขัดขวางไซต์ของคุณ หวังว่าคำแนะนำจะช่วยคุณได้หลายวิธี คุณมีเคล็ดลับความปลอดภัย WordPress อื่น ๆ เพื่อกำจัดภัยคุกคามปกติหรือไม่? รู้สึกอิสระที่จะแบ่งปันความคิดของคุณ