วิธีปกป้องไซต์ WordPress ของคุณ: รายการตรวจสอบความปลอดภัยของ WordPress ขั้นสูง

WordPress ปลอดภัยแค่ไหน?

โดย WordPress เราหมายถึงไฟล์ WordPress หลัก WordPress มีความปลอดภัยสูงหากผู้ใช้ตรวจสอบพารามิเตอร์ความปลอดภัยอื่น ๆ ทั้งหมดและปฏิบัติตามขั้นตอนความปลอดภัยทั้งหมด สิ่งสำคัญสำหรับผู้ดูแลระบบ WordPress คือการเก็บไฟล์หลักทั้งหมดให้เป็นเวอร์ชันล่าสุด และอัปเดตธีมและปลั๊กอินทั้งหมดอยู่เสมอ

ปลั๊กอินความปลอดภัย WordPress

ขอแนะนำให้ใช้ปลั๊กอินความปลอดภัย WP ที่เชื่อถือได้ เช่น Wordfence, Sucuri หรือ All in One WordPress Security และ Firewall มีปลั๊กอินเหล่านี้ทั้งแบบฟรีและแบบชำระเงิน ปลั๊กอินความปลอดภัยเหล่านี้จับตาดูกิจกรรมที่น่าสงสัยทั้งหมดและบล็อกการโจมตี คุณสามารถกำหนดค่าปลั๊กอินเหล่านี้ได้อย่างง่ายดายโดยใช้แดชบอร์ดที่เกี่ยวข้อง

เซิร์ฟเวอร์ WPOven มาพร้อมกับคุณสมบัติทั้งหมดของปลั๊กอินความปลอดภัยเหล่านี้ และคุณสามารถกำหนดค่าและตรวจสอบได้จากแดชบอร์ดของ WPOven

5 ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด 2023

ปลั๊กอินเหล่านี้มีราคาถูก แต่สามารถใช้ราคาที่ถูกกว่าได้ในช่วง Black Friday

มัลแคร์

เราขอแนะนำ Malcare เนื่องจากมาพร้อมกับการสแกนและล้างข้อมูลมัลแวร์ทันที คุณสามารถล้างเว็บไซต์ของคุณโดยอัตโนมัติในขั้นตอนที่ง่ายที่สุดโดยใช้ปลั๊กอินนี้ นอกจากนี้ยังมีการแสดงละครในตัวและการสนับสนุนที่ดีมาก ราคาเริ่มต้นเพียง $99 ต่อปี

ดาวน์โหลดเดี๋ยวนี้

ซูคูริ ซิเคียวริตี้

Sucuri Security เป็นปลั๊กอิน WP Security ที่มีประสิทธิภาพมากพร้อมคุณสมบัติที่รวมถึงการตรวจสอบกิจกรรมความปลอดภัย การตรวจสอบความสมบูรณ์ของไฟล์ การสแกนมัลแวร์ระยะไกล และการตรวจสอบบัญชีดำ พร้อมการแจ้งเตือนทางอีเมล มีตัวเลือกฟรีและแบบชำระเงินพร้อมการสมัครสมาชิกรายเดือนเริ่มต้นที่ $9.99/เดือน

ดาวน์โหลดเดี๋ยวนี้

ความปลอดภัยของ iThemes

Itheme Security เป็นปลั๊กอินความปลอดภัยอเนกประสงค์ที่มีตัวเลือกต่างๆ เช่น การสแกนมัลแวร์ การบันทึกการกระทำของผู้ใช้ และการเปรียบเทียบไฟล์ออนไลน์ เป็นต้น นอกจากนี้ยังมีตัวเลือกอื่น ๆ มากมายในตัวปลั๊กอินนี้ เช่น การเปลี่ยน URL สำหรับแดชบอร์ด WordPress, การลบข้อมูลส่วนหัวของ RSD, การเปลี่ยนเส้นทางเนื้อหา wp เป็นต้น มีตัวเลือกฟรีและแบบชำระเงินพร้อมการสมัครสมาชิกรายปีโดยเริ่มจาก $99 ต่อ ปี

ดาวน์โหลดเดี๋ยวนี้

ความปลอดภัยของ WordFence

Wordfence มีกฎไฟร์วอลล์มัลแวร์ที่เป็นปัจจุบันและรายการที่อยู่ IP ที่เป็นอันตราย พร้อมด้วยคุณสมบัติเช่น Country Blocking และการปิดใช้งานหรือเพิ่ม 2FA ให้กับ XML-RPC มีเวอร์ชันพิเศษสำหรับหลายไซต์ที่เรียกว่า Wordfence Central เป็นวิธีการที่ได้รับการพิสูจน์แล้วในการรักษาความปลอดภัยหลายไซต์ภายในสภาพแวดล้อมแบบหลายไซต์ของคุณ มีตัวเลือกฟรีและชำระเงินพร้อมการสมัครสมาชิกรายปีเริ่มต้นที่ $119 ต่อ ปี

ดาวน์โหลดเดี๋ยวนี้

SecuPress

SecuPress เป็นปลั๊กอินความปลอดภัย WordPress ที่เรียบง่ายพร้อมการสแกนมัลแวร์ ที่บล็อกบอทและ IP ที่น่าสงสัย เป็นการติดตั้ง WordPress ที่เรียบง่ายแต่มีประสิทธิภาพและจะให้รายงานความปลอดภัยในรูปแบบ PDF นอกจากนี้ยังดูแลการใช้ชื่อผู้ใช้และรหัสผ่านที่ปลอดภัยด้วยคุณสมบัติต่างๆ เช่น การตั้งรหัสผ่านตลอดชีพ และห้ามใช้ชื่อผู้ใช้ที่คาดเดาได้ง่าย มีตัวเลือกฟรีและแบบชำระเงินพร้อมการสมัครสมาชิกรายปีเริ่มต้นที่ 60€ ต่อ ปี

ดาวน์โหลดเดี๋ยวนี้

อ่าน: 5 ปลั๊กอินกำจัดมัลแวร์ WordPress ที่ดีที่สุดเพื่อรักษาความปลอดภัยเว็บไซต์

ประตูหลัง

• แฮ็กเกอร์มักกำหนดเป้าหมายไปที่ช่องโหว่ที่ไม่ธรรมดาใน WordPress เช่น ไฟล์ที่มีช่องโหว่ในแพ็คเกจหลักของ WordPress ไฟล์ธีมหรือปลั๊กอิน และการเข้าถึง FTP จากคอมพิวเตอร์ที่ไม่ปลอดภัย
• ไฟล์ที่เป็นอันตรายอาจคล้ายกับไฟล์ WordPress ที่ถูกต้อง ทำให้ยากต่อการระบุและลบออก
• ไฟล์แบ็คดอร์สามารถใช้เพื่อใช้ประโยชน์จากไซต์ WordPress โดยการสร้างผู้ใช้ WP ที่ผิดกฎหมายและขโมยข้อมูลผู้ใช้
• การอัปเดตและสแกนไฟล์ของคุณเป็นประจำโดยใช้ปลั๊กอิน เช่น WordFence, SiteCheck หรือ Sucuri สามารถช่วยป้องกันการโจมตีประเภทนี้และปรับปรุงความปลอดภัยของ WordPress

การปฏิเสธการให้บริการ

• การใช้ธีมและปลั๊กอินจากนักพัฒนาที่เชื่อถือได้เป็นสิ่งสำคัญในการหลีกเลี่ยงจุดบกพร่องที่มีช่องโหว่ในโค้ด
• ในการโจมตีประเภทนี้ แฮ็กเกอร์ใช้ประโยชน์จากจุดอ่อนในโค้ดเพื่อเพิ่มการใช้ RAM ของเซิร์ฟเวอร์โดยส่งคำขอซ้ำ ซึ่งอาจทำให้เว็บไซต์หยุดตอบสนองต่อผู้เยี่ยมชมรายอื่น
• สามารถใช้หลายระบบเพื่อครอบครองทรัพยากรเดียว ทำให้ปัญหารุนแรงขึ้นและอาจนำไปสู่การสูญเสียทางธุรกิจขนาดใหญ่
• ช่องโหว่ของ WordPress สามารถลดลงได้โดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดและเคล็ดลับสำหรับการเข้ารหัสที่ปลอดภัยและการจัดการเว็บไซต์

การเขียนสคริปต์ข้ามไซต์ (XSS):

• แฮ็กเกอร์สามารถใส่ไฟล์ที่มีช่องโหว่ในการติดตั้ง WordPress เพื่อขโมยข้อมูลจากผู้เยี่ยมชมเว็บไซต์ รวมถึงรหัสผ่านที่สำคัญ
• การโจมตีเหล่านี้มักพบในปลั๊กอินที่พัฒนาโดยนักพัฒนาใหม่หรือที่ไม่น่าเชื่อถือ
• การโจมตีด้วยสคริปต์ข้ามไซต์ (XSS) ดำเนินการผ่าน JavaScript และ CSS และอาจเป็นอันตรายต่อผู้เยี่ยมชมเว็บไซต์ได้หลายวิธี เช่น การขโมยคุกกี้ การสร้างโทรจัน การล็อกคีย์ ฟิชชิง และการโจรกรรมข้อมูลประจำตัว
• ผลที่ตามมาของการโจมตี XSS อาจรุนแรง เนื่องจากผู้เยี่ยมชมเว็บไซต์อาจไม่รู้ด้วยซ้ำว่าข้อมูลของตนถูกบุกรุก
• เพื่อป้องกันการโจมตี XSS สิ่งสำคัญคือต้องใช้เฉพาะปลั๊กอินที่เชื่อถือได้และเพื่อให้การติดตั้ง WordPress และปลั๊กอินอัปเดตเป็นเวอร์ชันล่าสุดอยู่เสมอ

อ่าน: ข้อผิดพลาด WordPress ที่พบบ่อยที่สุด

การเปลี่ยนเส้นทางที่เป็นอันตราย

• แฮ็กเกอร์สามารถใช้รหัสเปลี่ยนเส้นทางเพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ไปยังเว็บไซต์อื่น
• รหัสการเปลี่ยนเส้นทางนี้มักถูกแทรกลงในไฟล์ ซึ่งโดยทั่วไปคือไฟล์ .htaccess
• เมื่อผู้เยี่ยมชมพยายามเข้าถึงเว็บไซต์ของคุณหรือหน้าใดหน้าหนึ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย
• สิ่งนี้อาจทำให้ธุรกิจของคุณสูญเสียความไว้วางใจจากผู้มีโอกาสเป็นลูกค้า

ความพยายามเข้าสู่ระบบแบบดุร้าย

• แฮ็กเกอร์มักใช้สคริปต์อัตโนมัติเพื่อระบุรหัสผ่านที่ไม่รัดกุมและเข้าถึงแดชบอร์ดของ WordPress
• การโจมตีแบบ Brute Force เป็นวิธีการทั่วไปอีกวิธีหนึ่งที่แฮ็กเกอร์ใช้เพื่อเข้าถึงแบ็กเอนด์ของเว็บไซต์ ซึ่งอาจส่งผลให้เกิดการขโมยข้อมูลส่วนตัวและธุรกิจ การลบไฟล์เว็บไซต์ และความเสียหายในรูปแบบอื่นๆ
• การโจมตีแบบ Brute Force สามารถป้องกันได้โดยใช้มาตรการต่างๆ เช่น การจำกัดความพยายามในการเข้าสู่ระบบ การใช้ Captcha บนหน้าจอการเข้าสู่ระบบ และการเปิดใช้งานการเข้าสู่ระบบด้วยการตรวจสอบสิทธิ์แบบสองปัจจัย
• มาตรการเหล่านี้มีความสำคัญต่อการรับรองความปลอดภัยของเว็บไซต์ WordPress ของคุณ

ฟาร์มาแฮ็กส์

• อัปเดตไฟล์หลัก ไฟล์ธีม และไฟล์ปลั๊กอินของ WordPress เป็นเวอร์ชันล่าสุดอยู่เสมอ
• แฮ็กเกอร์สามารถใช้ประโยชน์จากไฟล์ที่ล้าสมัยได้โดยการแทรกโค้ดที่แสดงโฆษณายาแก่ผู้เข้าชมของคุณ ซึ่งมักจะส่งเสริมยาที่ผิดกฎหมาย เช่น ไวอากร้า
• โฆษณาเหล่านี้อาจปรากฏในหน้าเว็บหรือเป็นป๊อปอัป ทำให้ผู้เยี่ยมชมเว็บไซต์ของคุณสูญเสียความไว้วางใจ

ฟิชชิ่ง

• แฮ็กเกอร์ใช้อีเมลฟิชชิ่งเพื่อหลอกลวงผู้ใช้ให้คลิกลิงก์ที่เปิดเผยรหัสผ่าน อีเมลดูเหมือนมาจากแหล่งที่เชื่อถือได้ แต่ไม่ใช่
• แฮ็กเกอร์สามารถใช้เซิร์ฟเวอร์และการติดตั้ง WordPress เพื่อส่งอีเมลที่เป็นอันตรายไปยังรายชื่ออีเมลของเหยื่อได้
• เป็นการยากที่จะระบุว่าเว็บไซต์ของคุณติดไวรัสจากสคริปต์ฟิชชิ่งหรือไม่ แต่การสแกนเป็นประจำสามารถช่วยหลีกเลี่ยงปัญหานี้ได้

25 รายการตรวจสอบความปลอดภัย WordPress ที่ดีที่สุด

• ค้นหาโฮสติ้ง WordPress ที่ปลอดภัย เชื่อถือได้ และเชื่อถือได้
• ทำการสำรองข้อมูลบ่อยๆ
• เก็บ PHP เวอร์ชันล่าสุดไว้บนเซิร์ฟเวอร์
• ชื่อผู้ใช้และรหัสผ่านที่รัดกุม
• การป้องกัน DDOS
• ใบรับรอง HTTPS SSL
• ปิดใช้งาน XML-RPC
• ปิดการใช้งานไฟล์ PHP
• ผู้ใช้ที่ไม่ใช้งานออกจากระบบ
• ลบไฟล์ธีมและปลั๊กอินที่ไม่ได้ใช้
• ใช้ปลั๊กอินที่เป็นไปได้น้อยที่สุดเท่าที่จะเป็นไปได้
• เพิ่ม Captcha หรือคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ
• การอนุญาตไฟล์และโฟลเดอร์ที่แข็งแกร่ง
• จำกัดความพยายามในการเข้าสู่ระบบ
• การรับรองความถูกต้องด้วยสองปัจจัย
• เปลี่ยน URL เข้าสู่ระบบเริ่มต้น
• รักษาความปลอดภัย URL เข้าสู่ระบบ
• ปรับปรุงคำนำหน้าฐานข้อมูล
• ปิดใช้งานการแก้ไขไฟล์
• ไฟล์ wp-config ที่ปลอดภัย
• ซ่อนเวอร์ชัน WP

1. ค้นหาโฮสติ้ง WordPress ที่ปลอดภัย เชื่อถือได้ และเชื่อถือได้

ตามที่กล่าวไว้ก่อนหน้านี้ สิ่งสำคัญคือต้องเลือกผู้ให้บริการโฮสติ้งที่ให้ความสำคัญกับความปลอดภัยเป็นพิเศษ ปฏิบัติตามมาตรการรักษาความปลอดภัยที่มีมาตรฐานสูง และมีระบบสนับสนุนที่ดี

ผู้ให้บริการโฮสติ้งที่ดีมักจะ:

• จับตาดูกิจกรรมที่น่าสงสัยโดยแฮ็กเกอร์ และมีจุดตรวจเพื่อป้องกันการโจมตีทุกประเภท
• ใช้เครื่องมือที่ล้ำสมัยเพื่อระบุการโจมตีทั้งขนาดเล็กและขนาดใหญ่ โดยการตรวจสอบเซิร์ฟเวอร์อย่างต่อเนื่อง คุณสามารถตรวจสอบการตรวจสอบเว็บไซต์ได้ฟรีที่นี่
• มีสคริปต์ทั้งหมด (รวมถึง PHP เวอร์ชันล่าสุด) ซอฟต์แวร์และฮาร์ดแวร์ที่ใช้ตามเทคโนโลยีล่าสุดและได้รับการอัปเดตบ่อยครั้ง
• ไฟร์วอลล์ของผู้ใช้และระบบตรวจจับการบุกรุก
• สำรองข้อมูลเป็นประจำและจัดเตรียมตัวเลือกการสำรองและกู้คืนอัตโนมัติที่ง่ายและอัตโนมัติ
• สแกนไฟล์ทั้งหมดเพื่อต่อต้านมัลแวร์ แรนซัมแวร์ และไวรัสอื่นๆ
• ให้การสนับสนุน HTTPS
• มีเจ้าหน้าที่ช่วยเหลือที่ดีเยี่ยมในการดำเนินการในกรณีที่มีเหตุการณ์ต่างๆ
• เสนอแผนโฮสติ้ง WordPress ภายใต้การจัดการ สร้างขึ้นเป็นพิเศษสำหรับความต้องการของ WordPress

อ่าน: บริการและแผนบำรุงรักษา WordPress ที่ดีที่สุด – WPOven

2. เก็บ PHP เวอร์ชันล่าสุดไว้บนเซิร์ฟเวอร์

• การใช้ PHP เวอร์ชันล่าสุดเป็นสิ่งสำคัญในการรักษารากฐานของเว็บไซต์ WordPress ของคุณให้แข็งแกร่ง เนื่องจากไฟล์ทั้งหมดได้รับการพัฒนาโดยใช้โค้ด PHP
• เวอร์ชัน PHP ได้รับการสนับสนุนสูงสุด 2 ปีสำหรับปัญหาด้านความปลอดภัยและจัดเตรียมแพตช์ความปลอดภัยที่จำเป็นในช่วงเวลานี้
• เวอร์ชันที่ต่ำกว่า PHP 7.0 นั้นไม่ปลอดภัย ในขณะที่เวอร์ชันล่าสุดคือ PHP 7.3 ได้รับการปรับให้เหมาะสมสำหรับความเร็วและความปลอดภัย
• WPOven ใช้เฉพาะ PHP เวอร์ชัน 7.0 ขึ้นไป และอนุญาตให้ผู้ใช้เลือกเวอร์ชัน PHP ที่ต้องการใช้ ซึ่งช่วยลดช่องโหว่ของ WordPress

3. ทำการสำรองข้อมูลบ่อยๆ

• ขอแนะนำให้สำรองไฟล์และฐานข้อมูลเว็บไซต์ WordPress ของคุณบ่อยๆ
• คุณสามารถสำรองข้อมูลด้วยตนเองหรือใช้ปลั๊กอิน WordPress เช่น UpdraftPlus, VaultPress, BackupBuddy หรือปลั๊กอินสำรองข้อมูลอื่นๆ
• คุณสามารถตั้งเวลาสำรองข้อมูลอัตโนมัติได้โดยใช้ปลั๊กอินเหล่านี้ และตรวจสอบให้แน่ใจว่ามีตัวเลือกการคืนค่าที่ง่ายดายด้วย
• เพื่อรักษาการสำรองข้อมูลให้ปลอดภัยในกรณีที่เกิดปัญหาใดๆ กับเซิร์ฟเวอร์ จะเป็นการดีกว่าหากเก็บไว้นอกเซิร์ฟเวอร์

บริการสำรองข้อมูล WordPress:

มีบางบริการสำรองข้อมูล WordPress ภายนอกที่พร้อมใช้งานซึ่งจัดเก็บข้อมูลสำรองไว้ในระบบคลาวด์ บริการชำระเงินบางส่วนมีดังนี้:

• VaultPress: เป็นบริการสำรองข้อมูลแบบสมัครรับข้อมูล และโซลูชันด้านความปลอดภัยโดยรวม รวมถึงการสแกนปกติ ระบบป้องกันสแปม การตรวจสอบเวลาทำงาน และคุณสมบัติด้านความปลอดภัยอื่นๆ
• WPOven : ภายในบริการของพวกเขา พวกเขาสำรองไฟล์หลักและฐานข้อมูลไปยัง Amazon S3 และมีความสามารถในการกู้คืนได้ในคลิกเดียวขึ้นอยู่กับแพ็คเกจที่เลือก คุณสามารถเลือกความถี่ในการสำรองข้อมูล (แม้กระทั่ง 2 ครั้งต่อวัน) และเลือกระหว่างเซิร์ฟเวอร์ของสหรัฐอเมริกาหรือสหภาพยุโรป
• BlogVault: เป็นผู้ให้บริการโซลูชันการสำรองข้อมูล การโยกย้าย การจัดเตรียม การคืนค่า และการจัดการของ WordPress ด้วยอัตราการคืนค่า 100%

ปลั๊กอินสำรอง WordPress:

คุณสามารถใช้ปลั๊กอินฟรีและเชื่อถือได้เช่นกัน ปลั๊กอินบางตัวให้การสำรองข้อมูลบนเซิร์ฟเวอร์ ในขณะที่บางตัวให้การสำรองข้อมูลนอกเซิร์ฟเวอร์ที่เก็บไฟล์สำรองในตำแหน่งนอกเซิร์ฟเวอร์ เช่น AmazonS3, Google Cloud, Dropbox, MS Azure, Rackspace เป็นต้น

อ่าน: 10 ปลั๊กอินสำรอง WordPress ที่ดีที่สุดสำหรับปี 2023 (ฟรี & จ่ายเงิน)

4. ใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุม

• ใช้ชื่อผู้ใช้และรหัสผ่านที่รัดกุมและคาดเดาได้ยากเพื่อให้เว็บไซต์ WordPress ของคุณปลอดภัย
• เปลี่ยนรหัสผ่านทุกสองสามเดือนหรือหลายสัปดาห์เพื่อเพิ่มความปลอดภัยของเว็บไซต์ WordPress ของคุณ
• หลีกเลี่ยงการใช้ชื่อผู้ใช้เริ่มต้นและเป็นที่นิยม 'admin' เป็นชื่อผู้ใช้สำหรับ WordPress
• ใช้กระบวนการติดตั้งด้วยคลิกเดียวเพื่อสร้างรายละเอียดการเข้าสู่ระบบที่ปลอดภัยอย่างยิ่งสำหรับ WordPress Admin Dashboard
• รักษารหัสผ่านอื่นๆ ทั้งหมดที่เชื่อมโยงกับเว็บไซต์ WordPress ของคุณให้ปลอดภัย รวมถึง FTP, CPanel, อีเมล (เชื่อมโยงกับบัญชีผู้ใช้ WordPress), รหัสผ่านฐานข้อมูล เป็นต้น

5. การป้องกัน DDOS

ความจริงที่รุนแรงเกี่ยวกับการโจมตี DDOS คือแม้แต่ WordPress เวอร์ชันอัปเดตล่าสุดก็ไม่สามารถป้องกันการโจมตีดังกล่าวได้ สามารถป้องกันได้โดยการรักษาความปลอดภัยเซิร์ฟเวอร์โฮสติ้งเท่านั้น มีเครื่องมือของบุคคลที่สามที่คุณสามารถติดตั้งบนเว็บไซต์ WordPress ของคุณเพื่อป้องกันได้

หมายเหตุ : หากคุณใช้พันธมิตรที่เชื่อถือได้และเชื่อถือได้ เช่น WPOven คุณสามารถใช้เครื่องมือของพวกเขาเพื่อตรวจสอบการวิเคราะห์เว็บไซต์ ประสิทธิภาพของเซิร์ฟเวอร์ และข้อมูลการใช้ทรัพยากร

สิ่งสำคัญคือต้องระบุการเพิ่มขึ้นอย่างผิดปกติของการใช้ทรัพยากรและแจ้งผู้ให้บริการของคุณ

ผู้ให้บริการของคุณสามารถตรวจสอบบันทึกที่จำเป็นทั้งหมดและใช้มาตรการที่จำเป็นเพื่อหยุดการโจมตีแบบปฏิเสธการให้บริการ

6. ใบรับรอง HTTPS SSL

เจ้าของเว็บไซต์มักมองข้ามความสำคัญของ SSL โดยส่วนใหญ่คิดว่าเป็นเพียงสัญญาณที่จำเป็นหากเว็บไซต์ของคุณเกี่ยวข้องกับธุรกรรมทางการเงินเท่านั้น ใบรับรอง SSL บนเว็บไซต์เป็นเครื่องมือในการสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเว็บไซต์ของคุณและเบราว์เซอร์ของผู้ใช้

ประโยชน์เพิ่มเติมอีกประการของการใช้ HTTPS คือการได้รับการจัดอันดับของเครื่องมือค้นหาที่ดีขึ้น

WPOven ให้ใบรับรอง HTTPS ฟรี ผ่าน One-click LetsEncrypt ติดตั้งพร้อมต่ออายุอัตโนมัติสำหรับทุกไซต์

7. ปิดใช้งาน XML-RPC

• XML-RPC อนุญาตให้ดำเนินการหลายกระบวนการด้วยคำสั่งเดียว แต่แฮ็กเกอร์สามารถใช้ในทางที่ผิดเพื่อแฮ็กเว็บไซต์ได้
• วิธีแก้ปัญหาที่มีประสิทธิภาพที่สุดในการป้องกันปัญหานี้คือการปิดใช้งาน XML-RPC สำหรับเว็บไซต์ WordPress ของคุณโดยสมบูรณ์
• คุณสามารถใช้ปลั๊กอินที่มีอยู่เพื่อปิดใช้งาน XML-RPC เช่น ปลั๊กอินฟรี “ปิดใช้งาน XML-RPC” หรือปลั๊กอินแบบชำระเงินจาก “Perfmait”

แต่ถ้าคุณใช้ WPOven คุณไม่จำเป็นต้องกังวลเกี่ยวกับมัน เพราะมันถูกปิดใช้งานโดยค่าเริ่มต้นบนเซิร์ฟเวอร์สำหรับเว็บไซต์ที่โฮสต์ทั้งหมด

8. ปิดการใช้งานไฟล์ PHP

มีไดเร็กทอรีบางอย่างในสภาพแวดล้อมการติดตั้ง WordPress ซึ่งไม่จำเป็นต้องเรียกใช้ PHP ใดๆ ตัวอย่างหนึ่งของไดเร็กทอรีดังกล่าวคือไดเร็กทอรีย่อยอัพโหลดภายใต้ wp-content

หากต้องการปิดใช้งานไดเร็กทอรี ให้สร้างไฟล์ .htaccess ใหม่ภายใต้ไดเร็กทอรีนั้น และวางโค้ดต่อไปนี้ลงไป:

<Files *.php> Deny from all </Files>

9. ผู้ใช้ที่ไม่ใช้งานออกจากระบบ

บางครั้งผู้ใช้สามารถปิดเบราว์เซอร์โดยไม่ได้ออกจากระบบอย่างถูกต้อง แฮ็กเกอร์สามารถใช้โอกาสนี้เพื่อเจาะเข้าสู่แดชบอร์ดของ WordPress และแซงหน้าข้อมูลประจำตัวของผู้ใช้ คุณสามารถใช้ปลั๊กอินเพื่อออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติหลังจากระยะเวลาที่กำหนด สิ่งนี้สำคัญมากสำหรับการรักษาความปลอดภัย wp ของคุณ

10. ลบไฟล์ธีมและปลั๊กอินที่ไม่ได้ใช้

• ระบุปลั๊กอินที่ไม่จำเป็นและลบออกจากระบบ
• ลบธีมเริ่มต้น เช่น Twenty Seventeen และ Twenty Nineteen
• เก็บธีมเริ่มต้นเพียงธีมเดียวไว้เป็นตัวเลือกสำรองในกรณีที่ธีมหลักล้มเหลว
• ตรวจสอบให้แน่ใจว่าธีมสำรองได้รับการอัปเดตเป็นประจำแม้ว่าจะไม่ได้ใช้งานก็ตาม

11. ย่อขนาดการติดตั้งปลั๊กอิน

ลองอธิบายสิ่งนี้ด้วยตัวอย่าง ธีมและเครื่องมือสร้างเพจที่ทันสมัยมากมาย (Avia, Thrive, Elementor ฯลฯ) หากธีมของคุณหรือตัวสร้างเพจที่คุณใช้มีองค์ประกอบแบบฟอร์มการติดต่ออยู่แล้ว คุณไม่จำเป็นต้องใช้ปลั๊กอินแบบฟอร์มการติดต่อแยกต่างหากสำหรับแบบฟอร์มธรรมดา ขอแนะนำให้หลีกเลี่ยงการใช้ปลั๊กอินเพิ่มเติม เว้นแต่จะมีความจำเป็นพิเศษบางอย่าง เราควรให้ความสำคัญกับความปลอดภัย WP เนื่องจาก

12. เพิ่ม Captcha หรือคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ

อีกวิธีที่ได้รับความนิยมในการปรับปรุงความปลอดภัยของ WordPress คือวิธีง่ายๆ ในการเพิ่ม captcha หรือคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ คุณสามารถใช้ปลั๊กอินที่มีอยู่เพื่อทำสิ่งนี้

13. การอนุญาตไฟล์และโฟลเดอร์ที่มีประสิทธิภาพ

เป็นขั้นตอนที่สำคัญมากในการป้องกันเว็บไซต์ของคุณจากการถูกโจมตี การอนุญาตไฟล์โดยทั่วไปมีสามประเภท (อ่าน เขียน ดำเนินการ) เพื่อประสิทธิภาพเว็บไซต์ที่เหมาะสมและมีประสิทธิภาพ สิ่งสำคัญคือต้องเข้าใจว่าไฟล์ใดต้องการสิทธิ์ในระดับใด คุณสามารถตั้งค่าการอนุญาตไฟล์และโฟลเดอร์เหล่านี้ผ่านตัวจัดการไฟล์หรือใช้ซอฟต์แวร์ FTP

แต่ที่ WPOven การรักษาความปลอดภัย wp แบบ all-in-one ให้สิทธิ์ไฟล์แบบคลิกเดียวผ่านแดชบอร์ด

14. จำกัดความพยายามในการเข้าสู่ระบบ

แฮ็กเกอร์พยายามอย่างต่อเนื่องเพื่อเข้าสู่ระบบ WordPress ของคุณโดยใช้การเดารหัสผ่าน คุณสามารถควบคุมได้โดยใช้ปลั๊กอินเพื่อจำกัดความพยายามในการเข้าสู่ระบบ

โฮสติ้ง WordPress ภายใต้การจัดการของ WPOven ครอบคลุมสิ่งนี้ในแผนทั้งหมดแล้ว

15. การรับรองความถูกต้องด้วยสองปัจจัย

• เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อเพิ่มความปลอดภัยในการเข้าสู่ระบบ
• การรับรองความถูกต้องด้วยสองปัจจัยจำเป็นต้องมีรหัส OTP เพิ่มเติมก่อนที่จะเข้าสู่ระบบ
• ได้รับรหัส OTP บนโทรศัพท์ของคุณผ่านทาง SMS หรือโทรศัพท์
• ใช้ปลั๊กอินเช่น Google Authenticator หรือ Duo Two-Factor Authentication
• ปลั๊กอินทั้งสองมีแอพ Android และ iPhone ตามลำดับ
• เมื่อเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยแล้ว หน้าจอการเข้าสู่ระบบจะมีตัวเลือกเพิ่มเติมในการส่งรหัสการรับรองความถูกต้อง
• ป้อนรหัสที่สร้างขึ้นในโทรศัพท์ของคุณให้ถูกต้องเพื่อเข้าสู่ระบบ
• การรับรองความถูกต้องด้วยสองปัจจัยเป็นวิธีการที่ดีในการป้องกันการโจมตีแบบเดรัจฉาน

16. เปลี่ยน URL เข้าสู่ระบบเริ่มต้น

แฮ็กเกอร์มองหา URL เข้าสู่ระบบเริ่มต้นสำหรับแดชบอร์ดของ WordPress ซึ่งก็คือ websitename.com/wp-login.php หรือ websitename.com/wp-admin/ หนึ่งในวิธีแก้ปัญหาที่ชัดเจนคือเปลี่ยน URL เข้าสู่ระบบเป็นอย่างอื่น คุณสามารถทำได้โดยใช้หนึ่งในปลั๊กอิน เช่น ปลั๊กอินWPS Hide loginหรือปลั๊กอินPerfmattersระดับพรีเมียม

17. รักษาความปลอดภัย URL เข้าสู่ระบบ

คุณสามารถรักษาความปลอดภัย URL เข้าสู่ระบบของผู้ดูแลระบบ WordPress โดยใช้การตรวจสอบสิทธิ์ HTTP เมื่อใดก็ตามที่มีคนพยายามเข้าถึง URL ของผู้ดูแลระบบ เขา/เธอจะต้องใช้ชื่อผู้ใช้และรหัสผ่านเพิ่มเติมเพื่อเข้าถึงลิงก์นี้ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับ Anchor Links ได้ที่นี่

หมายเหตุ: อย่าใช้สิ่งนี้กับอีคอมเมิร์ซหรือไซต์ใด ๆ ที่มีสมาชิกซึ่งจะต้องเข้าสู่ระบบ

18. อัปเดตคำนำหน้าฐานข้อมูล:

ตามค่าเริ่มต้น การติดตั้ง WordPress ใช้คำนำหน้าตารางเช่น wp_ ซึ่งทำให้แฮ็กเกอร์คาดเดาได้ง่ายขึ้น วิธีการหลีกเลี่ยงปัญหานี้อย่างชัดเจนคือการเปลี่ยนคำนำหน้าตารางเป็นอย่างอื่น ซึ่งแฮ็กเกอร์เดาได้ไม่ยาก

คุณสามารถทำได้ในขณะติดตั้ง:

การติดตั้ง WordPress ของ WPOven จะสร้างคำนำหน้าตารางแบบสุ่มสำหรับแต่ละเว็บไซต์ สิ่งนี้จะลดปัญหาด้านความปลอดภัย WordPress ของคุณ

19. ปิดการแก้ไขไฟล์

• ผู้ดูแลระบบของเว็บไซต์ WordPress สามารถเข้าถึงไฟล์ธีมผ่านตัวแก้ไขในแดชบอร์ด
• ทำให้ไฟล์ธีมมีความเสี่ยงต่อการเปลี่ยนแปลงโดยไม่ได้ตั้งใจและการโจมตีโดยเจตนา
• เพื่อป้องกันสิ่งนี้ คุณสามารถปิดใช้งานการแก้ไขไฟล์
• คุณสามารถทำได้โดยเพิ่มบรรทัดโค้ดต่อไปนี้ในไฟล์ wp-config.php:

define('DISALLOW_FILE_EDIT',true);

ผู้ใช้ WPOven สามารถใช้คุณลักษณะการล็อกไซต์เพื่อทำสิ่งนี้ได้ด้วยคลิกเดียว

20. ไฟล์ wp-config ที่ปลอดภัย:

ไฟล์ wp-config.php ภายใต้การติดตั้ง WordPress ของคุณประกอบด้วยรายละเอียดการเข้าสู่ระบบฐานข้อมูลและคีย์การรับรองความถูกต้องอื่นๆ ตลอดจนรายละเอียดอื่นๆ เกี่ยวกับฐานข้อมูลของคุณ (เช่น คำนำหน้าตาราง และ URL โฮสต์ DB)

มีหลายวิธีในการรักษาความปลอดภัยตามที่อธิบายไว้ดังนี้:

• เปลี่ยนตำแหน่งของไฟล์ wp-config.php
• เปลี่ยนคีย์ความปลอดภัย WP เริ่มต้นในไฟล์ wp-config
• การปฏิเสธการเข้าถึง wp-config.php โดยการอนุญาตไฟล์ที่เหมาะสม

เปลี่ยนตำแหน่ง wp-config: โดยค่าเริ่มต้น ไฟล์ wp-config จะอยู่ในไดเรกทอรีรากของการติดตั้ง WordPress ของคุณคุณต้องสร้างไฟล์ wp-config อีกไฟล์หนึ่งซึ่งไม่ได้อยู่ในตำแหน่งที่เข้าถึงได้ง่าย และใช้เป็นข้อมูลอ้างอิงในไฟล์ wp-config ดั้งเดิม

เปลี่ยนคีย์ความปลอดภัย WP เริ่มต้น: มีคีย์ตัวอักษรและตัวเลขที่สร้างขึ้นแบบสุ่ม 4 ประเภทในทุก wp-config:AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEYและNONCE_KEYคุณสามารถสร้างคีย์สุ่มใหม่โดยใช้เครื่องมือคีย์ความปลอดภัย WP นี้

เปลี่ยนสิทธิ์ของไฟล์ : ขอแนะนำให้เปลี่ยนสิทธิ์ของไฟล์เป็น 400 เพื่อไม่ให้แหล่งภายนอกอ่านได้หรือคุณสามารถตั้งค่าเป็น 440 ได้หาก 400 สร้างปัญหาบางอย่างเพื่อให้การติดตั้ง WP ทำงานได้อย่างถูกต้อง

21. ซ่อนเวอร์ชัน WP

หากผู้โจมตีรู้ว่าคุณใช้ WordPress เวอร์ชันใด เขาสามารถใช้ประโยชน์จากช่องโหว่เฉพาะของเวอร์ชันนั้นได้ ดังนั้นจึงแนะนำให้ซ่อนไว้อย่างสมบูรณ์ คุณสามารถทำได้โดยเพิ่มโค้ดเล็กๆ ลงในไฟล์ functions.phpสิ่งนี้จะลดช่องโหว่ WordPress ของคุณ

function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');

นอกจากที่ปรากฏในส่วนหัวแล้ว คุณยังสามารถระบุรุ่นของ WordPress ผ่านไฟล์ข้อความ readme คุณสามารถลบไฟล์นี้ (readme.html) จากการติดตั้งของคุณ

22. การสแกนปกติ:

คุณสามารถเรียกใช้การสแกนในช่วงเวลาปกติโดยใช้ปลั๊กอินความปลอดภัย และสังเกตว่ามีการเปลี่ยนแปลงใดๆ กับไฟล์ต้นฉบับหรือไม่ มีเครื่องมือออนไลน์เช่นกัน คุณสามารถค้นหาไฟล์ที่น่าสงสัยได้ ตัวอย่างเช่น การใช้เครื่องมือฟรีที่เรียกว่า WPSec คุณสามารถค้นหาผลการสแกนความปลอดภัยออนไลน์ได้

23. อัปเดตธีมและปลั๊กอินอยู่เสมอ

• WordPress ผู้พัฒนาธีม และผู้พัฒนาปลั๊กอินออกเวอร์ชันใหม่บ่อยครั้ง
• ขอแนะนำให้อัปเดตทุกอย่างด้วยการติดตั้ง WordPress เวอร์ชันล่าสุด
• เวอร์ชันที่ใหม่กว่ามาพร้อมกับแพตช์ความปลอดภัยเพื่อป้องกันไวรัสและมัลแวร์ใหม่ๆ
• เวอร์ชันที่ล้าสมัยมีความเสี่ยงที่จะถูกโจมตีและขาดการสนับสนุนจากผู้พัฒนา

WPOven ในแดชบอร์ดความปลอดภัย wp เดียวมีอินเทอร์เฟซเพื่อดูปลั๊กอินและธีมที่ติดตั้งไว้ และสามารถอัปเดตได้โดยตรงจากแดชบอร์ด:

24. ใช้ธีมและปลั๊กอินที่เชื่อถือได้:

• ก่อนติดตั้งธีมหรือปลั๊กอินใหม่ ให้ตรวจสอบคะแนน บทวิจารณ์ และจำนวนการติดตั้งเพื่อให้แน่ใจว่ามีคุณภาพ
• ตรวจสอบบันทึกการเปลี่ยนแปลงเพื่อดูว่านักพัฒนาอัปเดตเวอร์ชันบ่อยเพียงใด
• ตรวจสอบว่าปลั๊กอินหรือธีมเข้ากันได้กับ WordPress เวอร์ชันของคุณหรือไม่ก่อนทำการติดตั้ง
• ตรวจสอบประวัติของผู้พัฒนาและผลิตภัณฑ์อื่น ๆ ที่พวกเขาสร้างขึ้นเพื่อให้แน่ใจว่าประสบการณ์และคุณภาพของผลิตภัณฑ์ของพวกเขา
• ด้วยการสมัคร WPOven คุณจะได้รับธีมและปลั๊กอิน WordPress ระดับพรีเมียมฟรี

25. ปกป้องไฟล์สื่อ WordPress

ปกป้องไฟล์มีเดีย WordPress จากการจัดทำดัชนีของ Google และเข้าถึง URL ของไฟล์โดยตรงด้วยการคลิกเพียงไม่กี่ครั้งโดยใช้ Prevent Direct Access (PDA) Gold ในความเป็นจริง ปลั๊กอินมีการป้องกันไฟล์จำนวนมากที่อัปโหลดไปยังไลบรารี WordPress Media รวมถึงแต่ไม่จำกัดเพียง PDF, DOCX, PPTX, PNG, JPG, MP4 และ MP3

PDA Gold ช่วยให้คุณสามารถ จำกัดการเข้าถึงไฟล์โดยตรง สำหรับผู้ใช้ที่ได้รับอนุญาตเท่านั้น ซึ่งหมายความว่าสิทธิ์ในการเข้าถึงไฟล์สามารถตั้งค่าเป็นผู้ดูแลระบบ ผู้ใช้ที่เข้าสู่ระบบ หรือแม้แต่ผู้ใช้เฉพาะรายและการเป็นสมาชิกแบบกำหนดเอง

นอกจากนี้ คุณสามารถสร้างลิงก์ดาวน์โหลดที่ไม่มีวันหมดอายุได้ไม่จำกัด แล้วแชร์กับกลุ่มผู้ใช้และผู้ติดตาม ลิงก์ดาวน์โหลดเหล่านี้จะหมดอายุโดยอัตโนมัติหลังจากช่วงเวลาหนึ่งหรือการคลิก

สุดท้าย แต่ไม่ท้ายสุด PDA Gold มีส่วนต่อประสานผู้ใช้ที่ใช้งานง่ายเพื่อรักษาความปลอดภัยไซต์ WordPress ของคุณทันที:

• ซ่อนเวอร์ชัน WordPress
• ป้องกันการเชื่อมโยงรูปภาพ
• ป้องกันโฟลเดอร์อัพโหลด WordPress
• บล็อกการเข้าถึงโดยตรงไปยังไฟล์ที่ไวต่อ WordPress เช่น readme.html และ license.txt
• ปกป้องไฟล์ใด ๆ ภายใต้การอัพโหลดและ/หรือไดเร็กทอรีรูทด้วยคุณสมบัติการป้องกันโฟลเดอร์

มีแหล่งข้อมูลอื่นๆ ที่คุณสามารถดูรายละเอียดเกี่ยวกับปัญหาด้านความปลอดภัยล่าสุดได้ พวกเขาอยู่ที่นี่:

• ฐานข้อมูลช่องโหว่ WPScan: นี่คือแคตตาล็อกของช่องโหว่ที่ระบุทั้งหมดใน WordPress, ธีม, ปลั๊กอิน และ API ผู้ใช้สามารถส่งเหตุการณ์ของตนเองไปยังสิ่งนี้เพื่อให้ผู้ใช้รายอื่นทราบถึงปัญหา
• ThreatPress: เป็นอีกหนึ่งฐานข้อมูลของช่องโหว่ที่ได้รับการอัปเดตทุกวันโดยทีม R&D ของพวกเขา

บทสรุป:

บทความข้างต้นต้องให้ข้อมูลเชิงลึกที่ดีเกี่ยวกับการทำให้ WordPress ของคุณปลอดภัย แต่สิ่งสำคัญคือต้องเข้าใจและตระหนักว่าผู้ให้บริการโฮสติ้งที่ดีคือพันธมิตรของคุณในการทำให้เว็บไซต์ของคุณปลอดภัย เว็บไซต์ของคุณมีความหมายเหมือนกันกับธุรกิจของคุณ และเว็บไซต์ที่ปลอดภัยจะฝังความไว้วางใจไว้ในผู้มีโอกาสเป็นลูกค้าของคุณ ซึ่งเป็นสิ่งสำคัญสำหรับการเติบโตของธุรกิจ

คุณตัดสินใจถูกต้องแล้วหากคุณเลือก WPOven เป็นพาร์ทเนอร์โฮสติ้งของคุณ หากยังไม่ได้ดำเนินการ ให้เริ่มขั้นตอนแรกเพื่อโฮสต์เว็บไซต์ของคุณกับ WPOven และเสริมความแข็งแกร่งให้เว็บไซต์ของคุณด้วยเทคโนโลยีล้ำสมัย ซึ่งในขณะเดียวกันก็ดีมาก สะดวกในการใช้งาน

คำถามที่พบบ่อย