ความปลอดภัยของ WordPress: วิธีระบุและกำจัดภัยคุกคาม

ข้อแก้ตัว เช่น “เราเล็กเกินไปสำหรับการโจมตี” หรือ “เราไม่ประมวลผลข้อมูลที่ละเอียดอ่อน เช่น รายงานทางการเงิน” จะไม่เกี่ยวข้องอีกต่อไป มีการพิสูจน์หลายครั้งแล้วว่าเว็บไซต์ทั้งหมด โดยไม่คำนึงถึงขนาด มีความเสี่ยงและสามารถตกหลุมพรางของแฮกเกอร์ได้

หากคุณเข้าหาเว็บไซต์ของคุณอย่างมืออาชีพ คุณควรใส่ใจกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับ WordPress เราจะแบ่งปันรายการเคล็ดลับในการปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์และมัลแวร์

ในฐานะเจ้าของเว็บไซต์ คุณมีความสามารถในการปรับปรุงความปลอดภัยของ WordPress แม้ว่าคุณจะไม่ทราบวิธีเขียนโค้ดและไม่ต้องการเข้าไปยุ่งเกี่ยวกับความยุ่งยากของมันก็ตาม

เราได้เตรียมคำแนะนำทีละขั้นตอนและสร้างการนำทางเพื่อให้คุณไม่มีปัญหาในการดูเนื้อหา คุณสามารถไปยังส่วนที่ถูกต้องของข้อความได้อย่างรวดเร็ว และเมื่ออ่านจบ เว็บไซต์ของคุณจะมีความปลอดภัยมากกว่าแหล่งข้อมูลส่วนใหญ่บนเว็บ

เหตุใดการรักษาความปลอดภัยจึงมีความสำคัญ

ไซต์ WordPress ที่ถูกแฮ็กสามารถสร้างความเสียหายให้กับธุรกิจและชื่อเสียงของคุณได้อย่างมาก แฮกเกอร์สามารถขโมยข้อมูลผู้ใช้ รหัสผ่าน ติดตั้งมัลแวร์ และแจกจ่ายโทรจันให้กับผู้ใช้ของคุณ

ในปี 2560 Google รายงานว่าผู้ใช้มากกว่า 55 ล้านคนได้รับคำเตือนเกี่ยวกับการเยี่ยมชมเว็บไซต์ที่มีมัลแวร์ ทุกสัปดาห์ Google จัดทำรายการโปรแกรมที่เป็นอันตรายมากกว่า 20,000 รายการ

หากไซต์ของคุณคือธุรกิจของคุณ คุณต้องให้ความสำคัญกับความปลอดภัยมากขึ้น มีเพียงคุณเท่านั้นที่รับผิดชอบในการปกป้องทรัพยากรของคุณจากผู้บุกรุก ตามที่ระบุไว้ใน WordPress Security Codex: “ โดยพื้นฐานแล้ว ความปลอดภัยไม่ได้เกี่ยวกับระบบที่ปลอดภัยอย่างสมบูรณ์ สิ่งนั้นอาจใช้งานไม่ได้ หรือไม่สามารถค้นหาและ/หรือบำรุงรักษาได้ การรักษาความปลอดภัยคือการลดความเสี่ยง ไม่ใช่การกำจัดความเสี่ยง มันเกี่ยวกับการใช้การควบคุมที่เหมาะสมทั้งหมดที่มีให้คุณ ด้วยเหตุผลที่ช่วยให้คุณปรับปรุงท่าทางโดยรวมของคุณโดยลดโอกาสที่จะทำให้ตัวเองตกเป็นเป้าหมาย และจะถูกแฮ็กในภายหลัง”

ใช้เวลาของคุณและปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดต่อไปนี้ รวมทั้งตรวจสอบกลยุทธ์ด้านความปลอดภัยของ WordPress ที่ได้รับการพิสูจน์แล้วในอุตสาหกรรม เช่น การใช้ซอฟต์แวร์ WordPress ที่ทันสมัย ​​นโยบายข้อมูลประจำตัวที่เข้มงวด และการดูแลระบบที่เน้นการรักษาความปลอดภัย

ประเภทของช่องโหว่

ช่องโหว่ทั่วไปใน WordPress คือการรักษาความปลอดภัยต่ำของธีม ช่องโหว่ของเซิร์ฟเวอร์ ฐานข้อมูล การอนุญาตไฟล์ FTP และส่วนประกอบเฉพาะของไฟล์ เช่น wp-admin, wp-config และ wp-includes พวกมันมีแนวโน้มที่จะถูกโจมตีมากที่สุด

เหตุการณ์การแฮ็กจำนวนมากแสดงให้เห็นว่าผู้บุกรุกสามารถใช้ลิงก์ที่ไม่มีการป้องกันในบริการความปลอดภัยของ WordPress เพื่อประโยชน์ของตนได้ง่ายเพียงใด ช่องโหว่เดียวอาจทำให้เว็บไซต์ของคุณถูกโจมตีนับพัน ตัวอย่างเช่น ในต้นเดือนกุมภาพันธ์ อาชญากรไซเบอร์ได้เปิดตัวแคมเปญขนาดใหญ่โดยที่ไซต์ WordPress ที่ถูกบุกรุกได้เปลี่ยนเส้นทางผู้เยี่ยมชมไปยังโดเมนด้วยชุดของ การ หาประโยชน์

Exploit เป็นโค้ดที่สามารถใช้ช่องโหว่ในไซต์ WordPress ของคุณและอนุญาตให้แฮกเกอร์แฮ็คระบบได้ กล่าวคือ เป็นซอฟต์แวร์ที่ค้นหาองค์ประกอบที่ไม่มีการป้องกันบนเว็บไซต์ของคุณและโจมตีองค์ประกอบเหล่านั้น

การเอารัดเอาเปรียบเกิดขึ้นจากข้อผิดพลาดของโปรแกรมเมอร์ที่ไม่สนใจความปลอดภัยของทรัพยากรอย่างเหมาะสม เมื่อมีการค้นพบช่องโหว่ คุณต้องสร้างโปรแกรมแก้ไขเพื่อลบช่องโหว่นี้

ในการโจมตีอีกชุดหนึ่ง แฮกเกอร์ใช้ช่องโหว่ในไฟล์ XML-RPC

XML-RPC เป็นโปรโตคอลการเรียกขั้นตอนระยะไกล (RPC) ที่ใช้ XML เพื่อเข้ารหัสการเรียกและ HTTP เพื่อส่งคำขอหรือคำสั่งซื้อไปยังเว็บไซต์จากระยะไกล หากคุณไม่ต้องการให้โอกาสพิเศษแก่แฮ็กเกอร์ในการแฮ็กทรัพยากรของคุณ คุณสามารถลบออกได้ เมื่อมีความจำเป็น คุณสามารถกู้คืนได้

การฉีด SQL เป็นวิธีที่พบได้บ่อยที่สุดในการโจมตีฐานข้อมูลโดยข้ามไฟร์วอลล์เมื่อแฮกเกอร์ส่งคำขอ SQL พิเศษไปยังเว็บไซต์ การฉีดรหัสเหล่านี้สามารถสร้างบัญชีผู้ดูแลระบบใหม่ที่สามารถเชื่อมโยงไปยังไซต์ที่เป็นอันตรายหรือหลอกลวงจากทรัพยากรของคุณ

จะป้องกันการฉีด SQL ได้อย่างไร?

ข้อความแสดงข้อผิดพลาดส่วนใหญ่จะใช้เพื่อดึงข้อมูลที่สำคัญเกี่ยวกับเว็บไซต์ ดังนั้นควรปิดใช้งานหรือต้องสร้างข้อความแสดงข้อผิดพลาดที่กำหนดเอง ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริการพัฒนา WordPress กล่าวว่าควรใช้การเข้ารหัส SHA1 หรือ SHA สำหรับข้อมูลและรหัสผ่านที่เป็นความลับทั้งหมด การจำกัดจำนวนการอนุญาตจะลดโอกาสในการโจมตีที่ประสงค์ร้ายดังกล่าว

การโจมตีด้วยกำลังดุร้าย

การโจมตีด้วยกำลังเดรัจฉานประกอบด้วยความพยายามที่จะรับการเข้าสู่ระบบและรหัสผ่านที่ถูกต้องโดยใช้วิธีการลองผิดลองถูก เป็นวิธีที่ง่ายที่สุดที่แฮ็กเกอร์พยายามเข้าถึงข้อมูลเข้าสู่ระบบ การโจมตีประเภทนี้สามารถทำได้หลายวิธี แต่ละวิธีพยายามเดาการเข้าสู่ระบบและรหัสผ่านซ้ำๆ เป็นกลวิธีทั่วไปที่ใช้โดยบอท เนื่องจากไม่มีการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ WordPress หากการโจมตีสำเร็จ ข้อมูลที่ละเอียดอ่อนของเว็บไซต์และธุรกิจของคุณอาจตกอยู่ในอันตราย แม้ว่าจะล้มเหลว แต่ระบบของคุณก็ยังโอเวอร์โหลดได้

วิธีจัดการกับการโจมตีด้วยกำลังเดรัจฉาน?

วิธีที่ดีที่สุดคือเปิดใช้งานนโยบายการล็อกที่กำจัดการพยายามเข้าสู่ระบบแบบไม่จำกัด นอกจากนี้ยังสามารถใช้การหน่วงเวลาแบบก้าวหน้าเมื่อบัญชีถูกล็อคในช่วงระยะเวลาหนึ่ง เครื่องมือต่างๆ เช่น Captcha จะช่วยได้ แม้ว่าจะส่งผลต่อการใช้งานเว็บไซต์ก็ตาม การสร้างรหัสผ่านที่ซับซ้อนเพื่อต่อสู้กับการโจมตีประเภทนี้ก็มีประโยชน์เช่นกัน

การเขียนสคริปต์ข้ามไซต์

เกือบ 84% ของการละเมิดความปลอดภัยทั้งหมดใน WordPress เป็น Cross-Site Script หรือ XSS-attacks ช่องโหว่ประเภทนี้มักพบในปลั๊กอิน WordPress ในที่นี้ ผู้บุกรุกใช้เว็บแอปพลิเคชันเพื่อส่งสคริปต์และโค้ดที่เป็นอันตรายไปยังไซต์ที่ปลอดภัยและเชื่อถือได้ ซึ่งอาจเป็นของคุณก็ได้ ด้วยเหตุนี้ ไฟล์ JavaScript ที่เป็นอันตรายจึงถูกดาวน์โหลดไปยังหน้าเว็บและใช้เพื่อขโมยข้อมูลที่เป็นความลับ

จะป้องกันการเขียนสคริปต์ข้ามไซต์ได้อย่างไร

มีหลายวิธีในการป้องกันการโจมตี XSS:

1. ไม่อนุญาตให้ข้อมูลที่ไม่น่าเชื่อถือเข้าถึงเอกสาร HTML ของคุณ
2. ใช้ Sanitization API WordPress และ Escaping API WordPress (ฟังก์ชันการล้างโค้ดเพื่อปกป้องข้อมูลที่เป็นความลับและไม่แสดงต่อสาธารณะ ตัวอย่างเช่น ในบรรทัดที่อยู่ลิงก์ของเบราว์เซอร์)
3. ก่อนป้อนข้อมูลที่ไม่น่าเชื่อถือลงในสตริงคำขอ URL ตรวจสอบให้แน่ใจว่าได้เข้ารหัสไว้ใน URL แล้ว
4. ก่อนที่คุณจะวางข้อมูลที่ไม่น่าเชื่อถือในหน้า HTML ตรวจสอบให้แน่ใจว่าได้เข้ารหัสใน HTML โดยแทนที่รูปแบบโค้ด

การโจมตีเว็บเซิร์ฟเวอร์และระบบปฏิบัติการ

นอกจากนี้ยังมีช่องโหว่ด้านความปลอดภัยบนเว็บเซิร์ฟเวอร์และระบบปฏิบัติการอีกด้วย ภัยคุกคามด้านความปลอดภัยดังกล่าวถูกสร้างขึ้นเมื่อมีการบันทึกข้อผิดพลาดใน OpenSSL ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลและข้อมูลที่เป็นความลับได้ ช่องโหว่ที่รุนแรงนี้ส่งผลกระทบต่อเกือบสองในสามของเว็บไซต์ทั้งหมด

จะป้องกันการโจมตีบนเว็บเซิร์ฟเวอร์ได้อย่างไร?

1. ทำการตรวจสอบความปลอดภัยเป็นประจำบนซอฟต์แวร์ OpenSSL
2. ดำเนินการตรวจสอบฝั่งเซิร์ฟเวอร์
3. อย่าเชื่อถืออินพุตจากภายนอก
4. อัปเดตลายเซ็น IPS และไฟร์วอลล์และเปิดใช้งานลายเซ็น Heartbleed
5. ยกเลิกใบรับรอง SSL ที่มีอยู่และสร้างใหม่
6. อย่าสร้างใบรับรองใหม่ด้วยคีย์เก่า

โปรแกรมที่เป็นอันตราย ได้รับการออกแบบมาเพื่อทำลายและสร้างความเสียหายให้กับระบบหรือเข้าถึงฐานข้อมูล ซอฟต์แวร์ดังกล่าวเป็นรูปแบบของโค้ดและสคริปต์ที่ปฏิบัติการได้ซึ่งเจาะระบบโดยไม่ได้รับความยินยอมจากผู้ใช้

เมื่อใดก็ตามที่ไซต์ WordPress ของคุณถูกแฮ็ก ให้ตรวจดูไฟล์ที่แก้ไขล่าสุด การติดมัลแวร์ที่พบบ่อยที่สุด ได้แก่ แบ็คดอร์ ดิสก์ที่ดาวน์โหลดได้ และการเปลี่ยนเส้นทางที่เป็นอันตราย

วิธีจัดการกับการโจมตีที่เป็นอันตราย?

1. ลบไฟล์ที่เป็นอันตรายด้วยตนเอง
2. กู้คืนไซต์ WordPress จากข้อมูลสำรอง
3. อัปเดต WordPress และปลั๊กอินเสมอ
4. ลบบัญชี "ผู้ดูแลระบบ" และใช้ชื่อผู้ใช้ที่ไม่ซ้ำกันอื่น

การตรวจจับการแฮ็ก

มีการพยายามแฮ็กข้อมูลในระดับต่ำซึ่งตรวจจับได้ยากอย่างยิ่ง แต่โดยทั่วไปแล้ว คุณสามารถระบุความพยายามใดๆ ได้ไม่ว่าจะสำเร็จหรือไม่ก็ตาม

ตัวบ่งชี้สำหรับการตรวจจับช่องโหว่:

• การเข้าชมที่เพิ่มขึ้นอย่างกะทันหันโดยไม่คาดคิด โดยเฉพาะอย่างยิ่งจากต่างประเทศ (มักไม่ได้มาจากภูมิภาคของคุณ ซึ่งความน่าจะเป็นในการค้นหากลุ่มเป้าหมายของคุณนั้นต่ำมาก)
• โดเมนของคุณจะถูกเปลี่ยนเส้นทางโดยอัตโนมัติไปยังเว็บไซต์บุคคลที่สาม (มักจะเป็นสแปม)
• หน้าแรกและหน้าภายในของคุณเปลี่ยนไปอย่างกะทันหันหรือเนื้อหาหายไป
• แบนด์วิดท์ขาออกจำนวนมากสามารถบ่งชี้ว่าเซิร์ฟเวอร์ของคุณถูกจับและใช้สำหรับการโจมตี DDoS;
• การเข้าชมโดยตรงและแบบออร์แกนิกลดลงเนื่องจากเครื่องมือค้นหาเช่น Google, Yandex, Bing และเบราว์เซอร์ (Firefox และ Chrome) เตือนเกี่ยวกับอันตรายจากการเยี่ยมชมไซต์ของคุณโดยผู้ใช้

หากคุณสังเกตเห็นหนึ่งในกิจกรรมที่แสดงบนเว็บไซต์ของคุณ ให้ดำเนินการวินิจฉัยความปลอดภัยของเว็บไซต์ WordPress ของคุณอย่างรวดเร็ว ที่ นี่ เพียงแทนที่ www.example.com ด้วยโดเมนของเว็บไซต์ของคุณในแถบที่อยู่ อีกทางเลือกหนึ่งสำหรับบริการคือการตรวจสอบชื่อเสียงของไซต์ด้วยความช่วยเหลือของ เครื่องมือ URLVoid ฟรี

ขจัดการละเมิดความปลอดภัย

ตรวจสอบทรัพยากรของคุณอย่างรอบคอบและเป็นกลางสำหรับการพยายามแฮ็ก ในกรณีที่มีปัญหาด้านความปลอดภัย คุณควรเริ่มกำจัดการละเมิด

หากคุณแน่ใจว่าไซต์ของคุณตกเป็นเป้าหมายของอาชญากรไซเบอร์ คุณควรแจ้งให้ผู้เยี่ยมชมทราบเกี่ยวกับไซต์ของคุณ จัดระเบียบการแจกจ่ายอีเมลโดยอัตโนมัติไปยังผู้ใช้ของคุณ เนื่องจากอาจเสี่ยงต่อการถูกแฮ็กเกอร์ แจ้งพวกเขาว่าไซต์ของคุณอาจตกเป็นเหยื่อของการละเมิดความปลอดภัย และควรระงับการเยี่ยมชมไซต์ของคุณชั่วขณะหนึ่ง ระบุวันที่ที่จะแก้ไขปัญหา

หากการโจมตีแพร่กระจายออกไป การปิดไซต์และทำงานในโหมดออฟไลน์ก็เป็นเรื่องที่สมเหตุสมผล จนกว่าคุณจะพบและแก้ไขปัญหา สำหรับช่วงเวลาของการทำงาน ขอแนะนำให้วางหน้า "ไซต์ในการสร้างใหม่" จะทำให้ผู้ใช้เข้าใจได้ชัดเจนว่าปัญหาเกิดขึ้นชั่วคราวและจะไม่ทำให้พวกเขาหวาดกลัวตลอดไป

ติดต่อเว็บโฮสติ้งของคุณ

บริษัทที่ให้บริการเว็บโฮสติ้งทำงานทุกวันกับเว็บไซต์นับพันและประสบปัญหาด้านความปลอดภัยบนอินเทอร์เน็ตทุกประเภท เมื่อคุณรู้ว่าความปลอดภัยของไซต์ของคุณตกอยู่ในความเสี่ยง ให้ติดต่อบริษัทโฮสติ้งและอธิบายปัญหาของคุณ

บริษัทเว็บโฮสติ้งส่วนใหญ่มีผู้เชี่ยวชาญด้านไอทีและความปลอดภัย พวกเขาสามารถช่วยในการระบุและแก้ไขการโจมตีที่เป็นอันตราย แม้ว่าบริษัทโฮสติ้งของคุณจะไม่ให้ความช่วยเหลือ แต่ผู้เชี่ยวชาญก็สามารถติดต่อเจ้าของเว็บไซต์รายอื่นที่ประสบปัญหาคล้ายกันได้ จะช่วยให้คุณเข้าใจว่าคุณควรทำอย่างไรเพื่อแก้ปัญหา

ผู้ให้บริการโฮสติ้งที่ดีจะใช้มาตรการพิเศษเพื่อปกป้องเซิร์ฟเวอร์ของตนจากภัยคุกคามทั่วไป แต่ในโฮสติ้งที่ใช้ร่วมกัน คุณแบ่งปันทรัพยากรกับเจ้าของเว็บไซต์รายอื่น มันเพิ่มความเสี่ยงของการโจมตีแบบสคริปต์ข้ามไซต์เมื่อแฮ็กเกอร์สามารถใช้เว็บไซต์ใกล้เคียงเพื่อโจมตีเว็บไซต์ของคุณ

การใช้โฮสติ้งที่มีการจัดการของ WordPress ช่วยให้เว็บไซต์ของคุณทำงานได้อย่างปลอดภัยยิ่งขึ้น เนื่องจากมีคุณสมบัติเพิ่มเติม เช่น การสำรองข้อมูลอัตโนมัติ การอัปเดต และการกำหนดค่าความปลอดภัยที่ซับซ้อนมากขึ้น เพื่อปกป้องทรัพยากรของคุณ

รับความช่วยเหลือจากผู้เชี่ยวชาญด้านความปลอดภัยของเว็บ

โดยทั่วไป ไฟล์เว็บไซต์ที่มีช่องโหว่มากที่สุด ได้แก่ ไฟล์มีเดีย ไฟล์ .php และไฟล์ที่จัดเก็บไว้ในที่ที่ไม่ปลอดภัย แฮกเกอร์แทรกโค้ดที่เป็นอันตรายลงในไฟล์เหล่านี้ และสร้างความเสียหายให้กับเว็บไซต์ของคุณโดยใช้การโจมตีแบบลับๆ เนื่องจากพื้นที่เหล่านี้เป็นเขตเสี่ยงทั่วไป คุณต้องตรวจสอบพื้นที่ดังกล่าวก่อน จากนั้นจึงไปที่พื้นที่อื่นๆ ของไซต์เพื่อเริ่มกระบวนการทำความสะอาด

การล้างโค้ดที่เป็นอันตรายจากไฟล์ที่ติดไวรัส คุณต้องดาวน์โหลดจากเซิร์ฟเวอร์ ลบโค้ดที่ได้รับผลกระทบ และอัปโหลดไฟล์ใหม่ทั้งหมดไปยังเซิร์ฟเวอร์

บางครั้งการล้างไฟล์ที่ติดไวรัสไม่เพียงพอ บางทีแฮกเกอร์อาจเข้าถึงไฟล์ของคุณได้ และพวกเขาจะทำการเปลี่ยนแปลงต่อไปและลบข้อมูลโค้ด แนวทางปฏิบัติที่ถูกต้องคือการเปรียบเทียบไฟล์ที่ติดไวรัสในเวอร์ชันที่ล้างแล้วกับไฟล์ต้นฉบับของนักพัฒนาเว็บของคุณ เพื่อดูว่าคุณทำโค้ดส่วนสำคัญหายหรือไม่

โปรดจำไว้ว่า โดยปกติแฮกเกอร์จะติดตั้งแบ็กเอนด์เชลล์ที่อนุญาตให้แฮ็คไซต์ของคุณได้ แม้ว่าจะลบไฟล์ที่ติดไวรัสทั้งหมดแล้วก็ตาม เชลล์เหล่านี้มักจะปลอมตัวเป็นไฟล์ปกติ หากไซต์ของคุณถูกบุกรุก เมื่อคุณกลับมาที่ข้อมูลสำรอง ให้จ้างงานภายนอกเพื่อให้บริการรักษาความปลอดภัยเพื่อให้แน่ใจว่าเว็บไซต์ของคุณปลอดภัยอย่างสมบูรณ์และสามารถทำงานได้ต่อไป

เปลี่ยนรหัสผ่าน

การล้างไฟล์ที่ติดไวรัสเป็นเพียงส่วนหนึ่งของงานการลบช่องโหว่ คุณต้องตรวจสอบให้แน่ใจว่าแฮกเกอร์ไม่สามารถเข้าถึงข้อมูลของคุณได้อีก วิธีที่ง่ายที่สุดแต่ได้ผลคือเปลี่ยนรหัสผ่าน รหัสผ่านทั้งหมดของคุณจาก:

• อีเมล;
• บัญชี FTP;
• บัญชีโฮสติ้ง;
• แผงผู้ดูแลระบบ WordPress

คุณต้องแน่ใจว่ารหัสผ่านใหม่ของคุณมีความน่าเชื่อถือและไม่สามารถถอดรหัสได้โดยใช้วิธีการเดรัจฉาน โปรดจำไว้ว่า การขโมยรหัสผ่านเป็นประเภทที่พบบ่อยที่สุดในการแฮ็กเว็บไซต์ WordPress ดังนั้น เราขอแนะนำให้คุณสร้างรหัสผ่านที่ซับซ้อนมากขึ้นซึ่งไม่เคยใช้มาก่อน

สาเหตุหลักที่มือใหม่ไม่ชอบใช้รหัสผ่านที่คาดเดายากคือจำยาก ขณะนี้มีวิธีแก้ปัญหานี้ - เพียงแค่ใช้ตัวจัดการรหัสผ่าน

วิธีที่มีประสิทธิภาพในการลดความเสี่ยงคือการมีบทบาทหลายอย่างในการเข้าถึงบัญชี WordPress ของคุณ หากคุณมีผู้เขียนรับเชิญ ตรวจสอบให้แน่ใจว่าคุณเข้าใจบทบาทและความสามารถของทุกคนก่อนที่จะเพิ่มผู้ใช้ใหม่ในเว็บไซต์ของคุณ

วิธีรักษาความปลอดภัยไซต์ WordPress ของคุณ

โดยปกติ การรักษาความปลอดภัยของเว็บไซต์ถือเป็นงานที่ซับซ้อน และจำเป็นต้องมีพนักงานมืออาชีพที่ได้รับค่าตอบแทนสูง ในกรณีของ WordPress สิ่งต่าง ๆ ไม่ได้น่ากลัวขนาดนั้น เราจะแสดงวิธีปกป้องไซต์ WordPress ของคุณโดยไม่ต้องมีความรู้ด้านเทคนิคในเชิงลึก คุณไม่จำเป็นต้องรู้วิธีเขียนโค้ด ดำเนินการที่ซับซ้อน ยืนหยัด หรือทำพิธีกรรมวูดูที่เป็นความลับ

เริ่มกันเลย!

ขั้นตอนที่ 1. ตั้งค่าตัวเลือกการสำรองข้อมูล

การสำรองข้อมูลเป็นเกราะป้องกันของคุณจากการโจมตี WordPress จำไว้ว่าไม่มีเว็บไซต์ใดที่ปลอดภัยได้ 100% แม้แต่เว็บไซต์ของรัฐบาลก็ถูกแฮ็กเป็นครั้งคราว ดังนั้นทรัพยากรของคุณก็อาจกลายเป็นเป้าหมายได้เช่นกัน

ข้อมูลสำรองออกแบบมาเพื่อกู้คืนเว็บไซต์ที่มีช่องโหว่อย่างรวดเร็ว ดังนั้น เราขอแนะนำให้ใช้ปลั๊กอิน WordPress สำเร็จรูปเพื่อการนี้ มีมากมาย: มีตัวเลือกแบบชำระเงินและฟรี

สิ่งสำคัญที่สุดคือต้องสำรองข้อมูลอย่างสม่ำเสมอ มีกฎสำคัญข้อหนึ่ง – กฎเหล่านี้ต้องสร้างขึ้นบนบริการจัดเก็บข้อมูลของบริษัทอื่น (เช่น ใน Dropbox cloud, Amazon) และไม่ใช่ในบัญชีโฮสติ้งของคุณ

ยิ่งคุณอัปเดตเว็บไซต์ของคุณบ่อยเท่าใด คุณก็ยิ่งต้องทำสำเนาสำรองของเว็บไซต์บ่อยขึ้นเท่านั้น หากคุณอัปเดตบล็อกทุกวัน เราขอแนะนำให้คุณสำรองข้อมูลอย่างน้อยวันละครั้ง

ทำอย่างไร?

ดาวน์โหลดปลั๊กอิน เช่น VaultPress หรือ BackupBuddy มีความน่าเชื่อถือและที่สำคัญที่สุดคือใช้งานง่าย ตั้งค่าได้ง่าย และรองรับฟังก์ชันสำรองข้อมูลหลักได้อย่างสมบูรณ์แบบ

ใช้ปลั๊กอินและบริการด้านความปลอดภัยของ WordPress

การมีโครงสร้างพื้นฐานด้านความปลอดภัยขั้นพื้นฐานเป็นสิ่งจำเป็นสำหรับเว็บไซต์ใดๆ โดยไม่คำนึงถึงขนาด ตัวอย่างเช่น เครื่องมือง่าย ๆ Login Lockdown สำหรับผู้ใช้ WordPress มีประโยชน์ในการป้องกันการโจมตีเบื้องต้นของการพยายามเข้าสู่ระบบโดยใช้กำลังเดรัจฉาน

ดังนั้น หากคุณยังไม่มีไฟร์วอลล์หรือระบบรักษาความปลอดภัยที่ปกป้องเว็บไซต์ของคุณ ให้เปิดใช้งานโดยไม่ชักช้า เนื่องจากเป้าหมายของเราคือการป้องกันการโจมตีและไม่กู้คืนหลังจากความเสียหายเสร็จสิ้น เราจึงแนะนำให้ใช้ไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF) เป็นวิธีแก้ปัญหา

ไฟร์วอลล์ คือ โซลูชัน ซอฟต์แวร์สำเร็จรูปที่เพิ่มระดับการป้องกันพิเศษและควบคุมการรับส่งข้อมูลทั้งหมดที่เข้ามาในเว็บไซต์ของคุณ บล็อกภัยคุกคามที่เป็นอันตรายมากมาย

มันต่อสู้กับภัยคุกคามที่พบบ่อยและก้าวร้าวที่สุด รวมถึง Open Web Application Security Project, SQL Injections, Cross-Site Scripting และ Invalidated Redirects ไฟร์วอลล์หรือไฟร์วอลล์มักสร้างขึ้นในระบบปฏิบัติการสมัยใหม่หรือรวมอยู่ในระบบป้องกันไวรัสแบบชำระเงิน

ไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF) เป็นวิธีที่ง่ายที่สุดในการปกป้องไซต์และมั่นใจในความปลอดภัย มันบล็อกทราฟฟิกที่เป็นอันตรายทั้งหมดก่อนที่จะแซงทรัพยากรของคุณ

ผู้ให้บริการโฮสติ้งที่ดีเสนอการป้องกัน WAF ในตัวโดยใช้โมดูลเซิร์ฟเวอร์ mod_security Apache พร้อมโอเพ่นซอร์ส แต่เราเข้าใจดีว่าการบล็อกภัยคุกคามที่ตรวจพบล่าสุดนั้นไม่เพียงพอ โมดูลนี้ไม่ค่อยได้รับการอัปเดตโดยเว็บโฮสติ้งซึ่งมีทรัพยากรไม่เพียงพอที่จะติดตามภูมิทัศน์ภัยคุกคามที่พัฒนาอย่างรวดเร็ว

ดังนั้น ผู้ใช้ควรจัดการงานด้วยตนเอง โดยใช้ไฟร์วอลล์ที่ผู้ให้บริการรักษาความปลอดภัยระบบคลาวด์จัดเตรียมไว้ให้ WAF บนคลาวด์ดังกล่าวเป็นโซลูชัน Plug-and-play ที่ควบคุมการรับส่งข้อมูลขาเข้าทั้งหมด และประมวลผลกระบวนการตรวจจับและกำจัดภัยคุกคามทั้งหมดโดยอัตโนมัติเพื่อตอบสนองต่อภัยคุกคามใหม่และที่มีอยู่อย่างรวดเร็ว

นอกจากนี้ บริการคลาวด์ดังกล่าวมักจะมาพร้อมกับเครือข่ายการจัดส่งเนื้อหา CDN บริการเฟลโอเวอร์ DDoS และแม้แต่โซลูชันการโหลดบาลานซ์เพื่อปรับปรุงประสิทธิภาพ ความปลอดภัย และความพร้อมใช้งาน

ในฐานะที่เป็นไฟร์วอลล์ที่ดีที่สุดสำหรับเว็บแอปพลิเคชันสำหรับ WordPress เราขอ แนะนำ Sucuri ข้อดีของไฟร์วอลล์ Sucuri คือมันมาพร้อมกับการรับประกันการลบมัลแวร์ นักพัฒนารับประกันว่าพวกเขาจะแก้ไขเว็บไซต์ของคุณ (ไม่ว่าคุณจะมีกี่หน้าก็ตาม) ผู้เชี่ยวชาญด้านความปลอดภัยมักจะประเมินงานของพวกเขาที่ 250 ดอลลาร์ต่อชั่วโมง ขณะที่คุณสามารถรับความปลอดภัยอย่างเต็มรูปแบบด้วย Sucuri ในราคา 199 ดอลลาร์ต่อปี

Sucuri ไม่ใช่ผู้จำหน่ายไฟร์วอลล์เพียงรายเดียว คู่แข่งที่มีชื่อเสียงของเขาที่เหยียบส้นเท้าอยู่แล้ว คือ Cloudflare

อะไรคือความแตกต่างระหว่าง Sucuri และ Cloudflare?

บริการทั้งสองมีแผนที่แตกต่างกัน ซึ่งมาพร้อมกับชุดคุณลักษณะที่แตกต่างกัน

คุณสมบัติ Cloudflare

Cloudflare ได้รับชื่อเสียงจากบริการ CDN ฟรี มันเชี่ยวชาญในการป้องกันการโจมตี DDoS Cloudflare ช่วยให้ไซต์ของคุณสามารถเข้าถึงได้โดยผู้ใช้ระหว่างการโจมตีหรือเมื่อมีทราฟฟิกหนาแน่นเมื่อเซิร์ฟเวอร์ของคุณหยุดตอบสนอง

ไฟร์วอลล์ยังครอบคลุมถึงแบบฟอร์มและปกป้องเว็บไซต์ของคุณจากความคิดเห็นที่เป็นสแปมและการลงทะเบียนสแปม Cloudflare ยังมีใบรับรอง SSL ฟรีในแผนชำระเงินทั้งหมด แผนบริการฟรีอนุญาตให้คุณใช้ใบรับรอง Cloudflare เท่านั้น หากต้องการรับใบรับรองที่กำหนดเอง คุณต้องอัปเกรดเป็นแผนธุรกิจหรือองค์กร

แม้ว่า Cloudflare จะมีเวอร์ชันฟรีที่ให้ CDN ฟรี แต่ฟังก์ชันอื่นๆ ส่วนใหญ่ รวมถึงไฟร์วอลล์ของเว็บแอปพลิเคชันจำเป็นต้องเปลี่ยนไปใช้แผนชำระเงิน

Cloudflare ไม่มีบริการสำหรับสแกนเซิร์ฟเวอร์เพื่อตรวจจับมัลแวร์ นอกจากนี้ยังไม่มีการรับประกันสำหรับการลบมัลแวร์

คุณสมบัติ Sucuri

Sucuri เป็นหนึ่งในบริการรักษาความปลอดภัยที่น่าเชื่อถือที่สุดสำหรับการตรวจสอบเว็บไซต์ มีการตรวจสอบและสแกนหามัลแวร์ที่ครอบคลุม การป้องกันจาก DDoS และการลบซอฟต์แวร์ที่เป็นอันตราย

Sucuri นำเสนอ CloudProxy ไฟร์วอลล์เว็บไซต์ และบริการโหลดบาลานซ์ มันบล็อกทราฟฟิกที่น่าสงสัย รหัสที่ติดไวรัส บอท และภัยคุกคามอื่นๆ Sucuri สแกนเว็บไซต์ของคุณเป็นประจำ

เลือกอะไรดี?

เห็นได้ชัดว่า Sucuri มีข้อได้เปรียบมากกว่า เพราะมีการผสมผสานเครื่องมือและบริการที่ดีที่สุด (ไซต์ไฟร์วอลล์ + การทำโหลดบาลานซ์ + การล้างมัลแวร์/การกู้คืนการแฮ็ก)

ราคา

Cloudflare เสนอบริการ CDN ฟรีสำหรับทุกคน พวกเขาไม่คิดค่าแบนด์วิดท์ กล่าวคือ คุณสามารถใช้ CDN ได้ฟรีโดยไม่คำนึงถึงปริมาณการรับส่งข้อมูล

อย่างไรก็ตาม แผนบริการฟรีไม่ได้มาพร้อมกับไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน เว็บไซต์ของคุณสามารถใช้ CDN ได้ แต่จะไม่ได้รับการปกป้องอย่างเหมาะสมจากการโจมตี DDoS สแปม ฯลฯ

ในการใช้ไฟร์วอลล์ คุณต้องมีแผน Pro ที่ราคา $20 ต่อเดือน แต่แผนนี้ไม่รวมการลดการโจมตี DDoS ขั้นสูงและ SSL แบบกำหนดเอง ในการรับคุณสมบัติเหล่านี้ คุณจะต้องซื้อแผนธุรกิจซึ่งมีค่าใช้จ่าย $200 ต่อเดือน

Sucuri ไม่ได้เสนอแผนฟรี แผนความปลอดภัยของพวกเขาเริ่มต้นที่ 199 ดอลลาร์ต่อปี ซึ่งกลายเป็นราคาที่ถูกกว่าแผน Pro ของ CloudFlare แผนพื้นฐานนี้ประกอบด้วยการตรวจสอบเว็บไซต์เต็มรูปแบบ ไฟร์วอลล์แอปพลิเคชันเว็บ การป้องกัน DDoS การลบมัลแวร์ และใบรับรอง SSL ฟรี

แทนที่จะยกเว้นคุณลักษณะที่สำคัญจากแผนระดับล่าง Sucuri ใช้ลำดับความสำคัญของเวลาเป็นสิ่งจูงใจสำหรับแผนราคาแพงกว่า ตัวอย่างเช่น เวลาในการลบมัลแวร์ในแผนราคาพื้นฐานคือ 12 ชั่วโมง 6 ชั่วโมงสำหรับแผนมืออาชีพ และ 4 ชั่วโมงสำหรับแผนธุรกิจ ในขณะเดียวกัน เวลาทำความสะอาดจริงจะเร็วกว่าที่ระบุไว้ในแผน

Sucuri ให้การสนับสนุนตลอด 24 ชั่วโมงสำหรับทุกแผน สมาชิกแผนธุรกิจของพวกเขายังสามารถใช้การสนับสนุนทางแชทได้อีกด้วย

เลือกอะไรดี?

Sucuri เป็นตัวเลือกที่ชัดเจนสำหรับธุรกิจขนาดเล็กเมื่อพูดถึงเรื่องราคา Cloudflare Pro มีค่าใช้จ่าย 240 เหรียญต่อปีเทียบกับ Sucuri ที่เรียกเก็บเงิน 199 เหรียญต่อปีพร้อมคุณสมบัติที่หลากหลาย หากต้องการใช้ฟังก์ชันเดียวกัน คุณจะต้องไปที่แผน Cloudflare ในราคา $2,400 ต่อปี แผน Sucuri ที่แพงที่สุดคือ $499 ต่อปี

การลบมัลแวร์

มัลแวร์และโค้ดที่ติดไวรัสเป็นภัยคุกคามที่พบบ่อยที่สุดที่เจ้าของเว็บไซต์ต้องเผชิญ

Sucuri และ Cloudflare ปกป้องไซต์จากภัยคุกคามทั่วไปเหล่านี้อย่างไร

Cloudflare เวอร์ชันฟรีมักจะดีพอๆ กับเครือข่ายการจัดส่งเนื้อหาที่จะทำให้เว็บไซต์ของคุณดาวน์โหลดเร็วขึ้น

ความปลอดภัยของไฟร์วอลล์สำหรับเว็บไซต์ (มีให้ในเวอร์ชันที่ต้องชำระเงิน) รวมถึงการป้องกันไซต์จากโค้ดที่เป็นอันตราย การเจาะช่องโหว่ใน XSS JavaScript และรูปแบบต่างๆ ไม่มีการตรวจจับการเปลี่ยนแปลงในไฟล์ การสแกนมัลแวร์ การตรวจสอบบัญชีดำ และคุณลักษณะด้านความปลอดภัยอื่นๆ คุณสามารถเพิ่มแอปพลิเคชันของบริษัทอื่นเพื่อสแกนมัลแวร์ได้ แต่บริการเหล่านี้จะมีค่าใช้จ่ายเพิ่มเติม

Sucuri เชี่ยวชาญในการตรวจสอบไซต์และปกป้องไซต์จากซอฟต์แวร์ที่เป็นอันตรายและการโจมตีอื่นๆ ไฟร์วอลล์ Sucuri ปกป้องคุณจาก DDoS, การฉีด SQL, การฉีด XSS JavaScript, ความคิดเห็น และแบบฟอร์มการติดต่อสแปม

อย่างไรก็ตาม หากผู้โจมตีทำลายอุปสรรคเหล่านี้ด้วย Sucuri จะเสนอให้ทำความสะอาดไซต์ของคุณ (ฟรี) หากตอนนี้คุณมีเว็บไซต์ที่ได้รับผลกระทบจากซอฟต์แวร์ที่เป็นอันตราย Sucuri ก็สามารถทำความสะอาดได้

เลือกอะไรดี?

ในการใช้ไฟร์วอลล์ของเว็บแอปพลิเคชันที่มีการตรวจสอบ การป้องกันมัลแวร์ และบริการทำความสะอาด Sucuri เหมาะสมที่สุด อย่างไรก็ตาม ในด้านการส่งเนื้อหา ควรใช้ Cloudflare

ขั้นตอนที่ 2 ถ่ายโอนไปยัง HTTPS หากคุณยังไม่ได้ดำเนินการ

ปัจจัยการจัดอันดับใหม่ล่าสุดที่ Google ประกาศอย่างเป็นทางการคือข้อกำหนดในการเปลี่ยนไปใช้ HTTPS การเน้นที่ความปลอดภัยของเว็บไซต์แสดงให้เห็นว่า Google จริงจังกับความจริงที่ว่าเว็บไซต์ที่ไม่น่าเชื่อถือหรือถูกแฮ็กถูกลดระดับในการจัดอันดับของเครื่องมือค้นหา ตามคำบอกของ Google นี่เป็นความพยายามที่จะทำให้อินเทอร์เน็ตปลอดภัยยิ่งขึ้น

HTTPS เป็นโปรโตคอลสำหรับการรักษาความลับของการแลกเปลี่ยนข้อมูลระหว่างผู้ใช้กับเว็บไซต์ ช่วยให้มั่นใจถึงความปลอดภัยในการถ่ายโอนข้อมูลสำคัญระหว่างไซต์และเซิร์ฟเวอร์ ตรงกันข้ามกับโปรโตคอล HTTP แบบเก่า

ก่อนหน้านี้ HTTPS ถูกใช้อย่างกว้างขวางสำหรับธุรกรรมทางการเงินบนไซต์อีคอมเมิร์ซ เพื่อปกป้องกล่องจดหมาย กล่าวอีกนัยหนึ่ง มันถูกนำไปใช้กับธุรกรรมที่ต้องการความปลอดภัยและความน่าเชื่อถือ

การโอนไซต์ของคุณไปยังโปรโตคอล HTTPS ไม่เพียงแต่ทำให้ไซต์มีความปลอดภัยมากขึ้นเท่านั้น คุณจะเพิ่มโอกาสในการได้รับตำแหน่งสูงในผลการค้นหาในข้อความค้นหาเฉพาะของ Google และ Bing

ขั้นตอนที่ 3: ติดตั้งปลั๊กอินความปลอดภัย WordPress

สิ่งสำคัญคือต้องตั้งค่าระบบการตรวจสอบและติดตามที่ติดตามทุกกิจกรรมที่เกิดขึ้นบนไซต์ของคุณ

คุณต้องมีปลั๊กอินความปลอดภัยเพื่อ:

• ตรวจสอบความสมบูรณ์ของไฟล์
• ติดตามความพยายามเข้าสู่ระบบที่ไม่สำเร็จ
• สแกนไซต์เพื่อหามัลแวร์
• กำจัดภัยคุกคามใด ๆ
• ปกป้องไซต์ของคุณจากภัยคุกคาม
• มีผู้ช่วยสากลในการต่อสู้กับช่องโหว่ทุกประเภท

ปลั๊กอินฟรี Sucuri Scanner สามารถจัดการงานเหล่านี้ได้

จะกำหนดค่า Sucuri Scanner ได้อย่างไร?

1. สร้างคีย์ API ฟรี จะช่วยเก็บบันทึกร่องรอย ตรวจสอบความสมบูรณ์ของเว็บไซต์ แจ้งเตือนทางอีเมลเมื่อมีภัยคุกคามเกิดขึ้น
2. ไปที่แท็บ Hardening ในเมนู Sucuri บนแดชบอร์ด WordPress ทำเครื่องหมายแต่ละตัวเลือกแล้วคลิกปุ่ม "เพิ่มความแข็งแกร่ง"

การตั้งค่าเหล่านี้ช่วยบล็อกโซนความเสี่ยงที่แฮกเกอร์มักใช้ในการโจมตี

3. กำหนดค่าการแจ้งเตือนภัยคุกคามทางอีเมล เพื่อให้แน่ใจว่าอีเมลของคุณจะไม่ทำให้จดหมายของคุณยุ่งเหยิง เราขอแนะนำให้คุณตั้งค่าการรับอีเมลเฉพาะเกี่ยวกับการดำเนินการที่สำคัญ เช่น การลงทะเบียนผู้ใช้ใหม่ การเปลี่ยนแปลงในปลั๊กอิน

Wordfence Security เป็นหนึ่งในปลั๊กอินความปลอดภัยที่มีชื่อเสียงที่สุด โดยมีการติดตั้งที่ใช้งานอยู่มากกว่า 2 ล้านครั้งและไฟร์วอลล์ในตัว ให้การปกป้องเว็บไซต์อย่างครอบคลุมในทุกด้าน:

• การป้องกันไซต์สากล
• การป้องกันภัยคุกคามใหม่
• การป้องกันจากการโจมตีด้วยกำลังเดรัจฉาน
• การตรวจจับการรับส่งข้อมูลที่เป็นอันตราย
• การปิดกั้นผู้บุกรุกก่อนที่จะไปถึงไซต์
• การป้องกันจากบอท
• การบล็อกเครือข่ายที่เป็นอันตราย
• การป้องกันอินพุตจากรหัสผ่านที่ดุร้าย, การโจมตี DDoS;
• การสแกนไซต์เพื่อตรวจจับภัยคุกคาม
• การสแกนแบ็คดอร์;
• การสแกนหาโทรจัน รหัสที่น่าสงสัย
• การสแกนข้อความและความคิดเห็น

เพื่อให้ได้ไฟร์วอลล์ที่น่าเชื่อถือมากขึ้น คุณจะต้องซื้อเวอร์ชันพรีเมียม (จาก $99 สำหรับปี) คุณลักษณะปลั๊กอินพื้นฐานมีอยู่ในเวอร์ชันฟรี

ส่งคำขอไปยัง Google, Bing เป็นต้น

ผลลัพธ์เชิงลบของการถูกแฮ็กคือเสิร์ชเอ็นจิ้น เบราว์เซอร์ และซอฟต์แวร์ความปลอดภัยจำนวนมากระบุทรัพยากรของคุณว่าเป็นปัญหาและแจ้งเตือนผู้ใช้ที่ต้องการเยี่ยมชมไซต์ ดังนั้นพวกเขาจึงพยายามรักษาความปลอดภัยของผู้ใช้ป้องกันไม่ให้เกิดอันตราย

เพื่อให้ไซต์ของคุณใช้งานได้โดยเร็วที่สุด โปรดติดต่อ Google, Bing, Yahoo, Mozilla และบริการอื่นๆ เพื่อลบไซต์ของคุณออกจากบัญชีดำ

สรุป

เช่นเดียวกับสิ่งอื่น ๆ ส่วนใหญ่ที่ผิดพลาดอย่างกะทันหัน ให้ระมัดระวังและตรวจสอบให้แน่ใจว่าคุณได้ใช้ความระมัดระวังทุกวิถีทางเพื่อปกป้องไซต์ WordPress ของคุณจากการถูกโจมตี หากเป็นสิ่งที่หลีกเลี่ยงไม่ได้และคุณถูกแฮ็กไปแล้ว อย่าท้อแท้

เพียงใช้ประสบการณ์เชิงลบ (ซึ่งมักจะหลีกเลี่ยงได้) เป็นกระดิ่งเตือน ทำตามขั้นตอนที่อธิบายไว้ข้างต้น และใช้มาตรการรักษาความปลอดภัยเพื่อหลีกเลี่ยงเหตุการณ์ดังกล่าวในอนาคต