การตรวจสอบความปลอดภัยของ WordPress: 7 ขั้นตอนง่าย ๆ ในการปกป้องเว็บไซต์ของคุณ

เผยแพร่แล้ว: 2020-07-06

เว็บไซต์ของคุณมีความเสี่ยงมากกว่าที่คุณคิด ไม่ต้องกังวล! คุณไม่ได้อยู่คนเดียวในการแข่งขันนี้ คนส่วนใหญ่เชื่อว่าเว็บไซต์ของตนปลอดภัยทั้งๆ ที่จริงแล้วไม่ปลอดภัย

ไม่น่าแปลกใจเลยที่เว็บไซต์ WordPress ของคุณอาจถูกแฮ็กจากข้อผิดพลาดทั่วไปบางประการ กรณีนี้อาจเกิดขึ้นได้หากไม่ได้อัปเดตเป็นเวอร์ชันใหม่ของ WordPress และไม่มีคุณลักษณะด้านความปลอดภัยที่สำคัญ

การติดตั้ง WordPress มากกว่า 70% มีความเสี่ยงที่จะถูกโจมตีจากแฮ็กเกอร์

– WP White Security

อย่างไรก็ตาม มีวิธีที่มีประสิทธิภาพในการจัดการกับความเสี่ยงด้านความปลอดภัยที่จะเกิดขึ้นกับเว็บไซต์ของคุณตลอดเวลา เช่นเดียวกับภัยคุกคามที่เคยมีมา คุณจะต้องตรวจสอบเว็บไซต์ของคุณโดยทำการตรวจสอบความปลอดภัยเป็นประจำ มันสามารถช่วยคุณประหยัดจากภัยคุกคามที่อาจเกิดขึ้นมากมายตั้งแต่การละเมิดข้อมูลไปจนถึงแรนซัมแวร์

ในบทความนี้ เราจะสาธิตวิธีง่ายๆ ในการทำให้เว็บไซต์ของคุณปลอดภัยจากแฮกเกอร์หรืออินสแตนซ์ที่ไม่ต้องการใดๆ

สารบัญ

  • การตรวจสอบความปลอดภัยของ WordPress คืออะไร?
  • เหตุใดการตรวจสอบความปลอดภัยเป็นประจำจึงมีความสำคัญสำหรับเว็บไซต์ของคุณ
  • ดำเนินการตรวจสอบความปลอดภัยของ WordPress
    • ดำเนินการตรวจสอบความปลอดภัยของ WordPress ด้วยตนเอง
      • ตรวจสอบการอัปเดตใด ๆ
      • เก็บและตรวจสอบการสำรองข้อมูล WordPress
      • ประเมินช่องโหว่ของบัญชีผู้ดูแลระบบ
      • ตรวจสอบผู้ใช้และบัญชี
      • ลบปลั๊กอินที่ไม่จำเป็น
      • ถอนการติดตั้งธีมที่ไม่ได้ใช้
      • เรียกใช้การสแกนความปลอดภัย
    • ดำเนินการตรวจสอบความปลอดภัยของ WordPress โดยใช้ปลั๊กอิน
      • บันทึกกิจกรรม WP
      • ความปลอดภัยของ Wordfence

การตรวจสอบความปลอดภัยของ WordPress คืออะไร?

How to Perform WordPress Security Audit

เว็บไซต์ของคุณอาจถูกคุกคามด้วยเหตุผลหลายประการ ตัวอย่างเช่น แฮกเกอร์สามารถใช้ปลั๊กอินหรือธีมที่ล้าสมัยได้ หรือหนึ่งในผู้ดูแลระบบของเว็บไซต์ของคุณอาจตั้งรหัสผ่านที่ไม่รัดกุมซึ่งบุคคลภายนอกสามารถละเมิดได้ นั่นเป็นเหตุผลที่คุณต้องมีรายการตรวจสอบเพื่อตรวจสอบช่องโหว่ด้านความปลอดภัยทั้งหมดที่เว็บไซต์ WordPress อันมีค่าของคุณอาจมี

กล่าวโดยย่อ การตรวจสอบความปลอดภัยของ WordPress คือการดำเนินการตรวจสอบเว็บไซต์ของคุณเป็นประจำสำหรับกิจกรรมที่เป็นอันตรายหรือความเสี่ยงด้านความปลอดภัยใดๆ

เหตุใดการตรวจสอบความปลอดภัยเป็นประจำจึงมีความสำคัญสำหรับเว็บไซต์ของคุณ

ผู้คนมักไม่ให้ความสำคัญกับความปลอดภัยของเว็บไซต์อย่างจริงจัง เจ้าของเว็บไซต์ส่วนใหญ่เชื่อว่า WordPress มีความสามารถเพียงพอที่จะดูแลความปลอดภัยของเว็บไซต์ทั้งหมดที่สร้างขึ้นบนแพลตฟอร์มของตน คนอื่น ๆ ดูเหมือนจะคิดว่าเว็บไซต์ของตนไม่มีอะไรพิเศษโดยเฉพาะที่ควรค่าแก่การแฮ็ก ดังนั้นใครจะแฮ็กเว็บไซต์ของตน

Hackers Can use Your Site in Many Ways
แฮกเกอร์สามารถใช้เว็บไซต์ของคุณได้หลายวิธี

แต่แฮกเกอร์ไม่ได้เจาะเว็บไซต์เพื่อรับข้อมูลของคุณเสมอไป เมื่อเว็บไซต์ของคุณถูกแฮ็ก แฮกเกอร์สามารถใช้สำหรับกิจกรรมที่เป็นอันตรายมากมาย เช่น –

  • การขุด cryptocurrency
  • โฮสติ้งเพจฟิชชิ่ง
  • ส่งอีเมลสแปม
  • เพื่อเรียกใช้โปรแกรมของตนเองผ่านเว็บไซต์ของคุณ
  • เรียกค่าไถ่หรือเรียกอีกอย่างว่าแรนซัมแวร์
  • เปลี่ยนเส้นทางการรับส่งข้อมูลของคุณไปยังเว็บไซต์ที่อาจทำให้ความปลอดภัยของพวกเขาตกอยู่ในอันตราย

ดังนั้น หากคุณคิดว่าเว็บไซต์ของคุณปลอดภัยเพราะไม่มีข้อมูลที่ละเอียดอ่อน คิดให้รอบคอบ!

แม้ว่า WordPress จะเป็นแพลตฟอร์มที่ปลอดภัย แต่ก็ไม่สามารถปกป้องเว็บไซต์ของคุณได้ เว้นแต่ผู้ใช้จะร่วมมือกับพวกเขา จากข้อมูลของ WordPress มีเพียง 41% ของผู้ใช้ที่ใช้แพลตฟอร์มเวอร์ชันล่าสุด เนื่องจากเวอร์ชันที่ใหม่กว่ามาพร้อมกับการอัปเดตความปลอดภัยพร้อมกับคุณสมบัติอื่นๆ เวอร์ชันเก่าจึงมีแนวโน้มที่จะละเมิดความปลอดภัยมากกว่า

WordPress Versions in Use Right Now
เวอร์ชัน WordPress ที่ใช้งานอยู่ในขณะนี้ (เครดิต: WordPress)

เมื่อพิจารณาจากข้อเท็จจริงทั้งหมดข้างต้นแล้ว เป็นที่ชัดเจนว่าการรักษาความปลอดภัยของเว็บไซต์ของคุณจะไม่แตกหัก เว้นแต่คุณจะทำการตรวจสอบเว็บไซต์ WordPress เป็นประจำ

วิธีดำเนินการตรวจสอบความปลอดภัยของ WordPress (7 ขั้นตอนง่าย ๆ สำหรับการตรวจสอบด้วยตนเอง)

เว็บไซต์ของคุณอาจถูกละเมิดด้วยเหตุผลหลายประการ ดังนั้น คุณจึงไม่สามารถทิ้งข้อมูลใดๆ ไว้ในขณะที่ทำการตรวจสอบความปลอดภัย ขณะทำการตรวจสอบความปลอดภัย ให้รักษารายการตรวจสอบตามปกติเพื่อให้แน่ใจว่าช่องโหว่ที่อาจเกิดขึ้นทั้งหมดได้รับการครอบคลุม เพื่อความสะดวกของคุณ เราได้จัดทำรายการสิ่งที่คุณต้องตรวจสอบขณะดำเนินการตรวจสอบความปลอดภัย

คุณสามารถดำเนินการได้ด้วยตนเองหรือใช้ปลั๊กอินตรวจสอบ WordPress ฉันจะแสดงวิธีการด้วยตนเองก่อน และต่อจากนั้น ฉันจะพูดถึงปลั๊กอินบางตัวที่คุณสามารถใช้ทางเลือกอื่นเพื่อทำการตรวจสอบความปลอดภัยโดยอัตโนมัติ

หากคุณไม่ต้องการใช้ปลั๊กอิน เนื่องจากส่วนใหญ่ดูเหมือนจะลดความเร็วหน้าเว็บของคุณ คุณสามารถตรวจสอบความปลอดภัยด้วยตนเองบนเว็บไซต์ WordPress ของคุณได้ เพียงทำตามขั้นตอนด้านล่างเพื่อให้แน่ใจว่าเว็บไซต์ของคุณอยู่ในแนวทางที่ถูกต้อง

1. ตรวจสอบการอัปเดตล่าสุด

อัปเดตไซต์ของคุณอยู่เสมอเป็นวิธีที่ดีที่สุดวิธีหนึ่งในการปกป้องไซต์ คุณอาจคิดว่าการอัปเดตของ WordPress นั้นเกี่ยวกับคุณสมบัติใหม่ทั้งหมด และคุณอาจไม่ชอบคุณสมบัติบางอย่างด้วยซ้ำ แต่ไม่ว่าอย่างไร คุณควรตรวจสอบและติดตั้งการอัปเดตในขณะที่ทำการตรวจสอบความปลอดภัยบนไซต์ของคุณ

เหตุผลเบื้องหลังการอัปเดตเวอร์ชัน WordPress ของคุณคือเวอร์ชันที่ใหม่กว่ามาพร้อมกับแพตช์ความปลอดภัยใหม่เสมอ ทีมรักษาความปลอดภัยของ WordPress ทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยชั้นนำทั่วโลกเพื่อรักษาแพลตฟอร์มให้ปลอดภัย

คุณสามารถตรวจสอบการอัปเดต WordPress ได้จาก WP Admin Dashboard > Dashboard > Updates

WordPress Updates


นอกจากการอัปเดต WordPress แล้ว คุณควรตรวจสอบว่ามีการอัปเดตใด ๆ สำหรับปลั๊กอินและธีมของคุณหรือไม่ โปรดจำไว้ว่า แฮกเกอร์ยังสามารถหาช่องโหว่บนปลั๊กอินหรือธีมของคุณเพื่อเข้าสู่ไซต์ของคุณได้ ดังนั้น เราขอแนะนำให้คุณตรวจสอบและอัปเดตปลั๊กอินและธีมทั้งหมดเป็นประจำ คุณสามารถค้นหาตัวเลือกการอัปเดตปลั๊กอินและธีมได้ในหน้าเดียวกับการอัปเดตของ WordPress

2. เก็บและตรวจสอบการสำรองข้อมูลของ WordPress

การสำรองข้อมูลเว็บไซต์ของคุณเป็นประจำอาจมีประโยชน์ในกรณีที่เว็บไซต์ของคุณถูกแฮ็กหรือคุณสูญเสียข้อมูลใด ๆ อันเนื่องมาจากมัลแวร์

ผู้ให้บริการโฮสติ้งที่มีคุณภาพมักจะให้บริการสำรองข้อมูลอัตโนมัติ แม้ว่าผู้ให้บริการโฮสต์ของคุณจะให้บริการสำรองข้อมูลอัตโนมัติ คุณควรติดตั้งปลั๊กอินสำรองที่มีคุณภาพสำหรับ WordPress เพื่อให้แน่ใจว่ามีการสำรองข้อมูลเว็บไซต์และข้อมูลทั้งหมดของคุณเป็นประจำ

หลังจากติดตั้งปลั๊กอินสำรอง ในระหว่างการตรวจสอบความปลอดภัยทุกครั้ง ให้ตรวจสอบว่าการสำรองข้อมูลทำงานเป็นประจำหรือไม่

3. ประเมินช่องโหว่ของบัญชีผู้ดูแลระบบ

12345, 123456, 123456789 รหัสผ่านทั้งสามนี้เป็นรหัสผ่านที่ได้รับความนิยมสูงสุดในปี 2019 รายการที่รวบรวมโดย NordPass จากรหัสผ่านรั่วไหล 500 ล้านครั้งทางออนไลน์ จัดอันดับรหัสผ่านยอดนิยมทั้งหมด และ 10 อันดับแรกอยู่ในรูปภาพด้านล่าง

Most Popular Password in 2019
รหัสผ่านยอดนิยมในปี 2019 (เครดิต: NordPass)

หากผู้ดูแลระบบคนใดคนหนึ่งของคุณตั้งรหัสผ่านแบบนั้น มีโอกาสที่เว็บไซต์ของคุณจะถูกพบเห็นการละเมิดในไม่ช้า เลือกรหัสผ่านที่รัดกุม ดีกว่าที่ WordPress แนะนำ หากคุณเป็นคนที่มักจะลืมสิ่งต่าง ๆ มีแอพตัวจัดการรหัสผ่านมากมายสำหรับเก็บรหัสผ่านของคุณ

สิ่งสำคัญอีกประการหนึ่งที่ต้องแน่ใจว่าในระหว่างการตรวจสอบความปลอดภัยของคุณคือไม่มีผู้ดูแลระบบตั้งค่าชื่อผู้ใช้ admin เป็นชื่อผู้ใช้ทั่วไปบน WordPress และไม่ควรใช้อย่างแน่นอน

4. ตรวจสอบผู้ใช้และบัญชี

หากคุณมีฟอรัมหรือเว็บไซต์อีคอมเมิร์ซที่ต้องการให้ผู้ใช้ลงชื่อสมัครใช้ คุณต้องตรวจสอบว่ามีผู้ใช้ที่น่าสงสัยหรือไม่ในระหว่างการตรวจสอบความปลอดภัย คุณสามารถค้นหารายชื่อผู้ใช้ทั้งหมดได้จาก WP Admin Dashboard > ผู้ใช้ > ผู้ใช้ทั้งหมด

แต่ถ้าคุณมีเว็บไซต์ประเภทอื่นและไม่ต้องการให้ผู้เยี่ยมชมสมัคร เราขอแนะนำให้คุณปิดตัวเลือก "ใครก็ตามที่สามารถลงทะเบียนได้" จาก WP Admin Dashboard > ทั่วไป > ทุกคนสามารถลงทะเบียนได้

Turning Off Anyone Can Register Option


5. ลบปลั๊กอินที่ไม่จำเป็น

การติดตั้งปลั๊กอินจำนวนมากบนเว็บไซต์ไม่เพียงแต่กินพื้นที่แต่ยังก่อให้เกิดภัยคุกคามด้านความปลอดภัยอีกด้วย เป็นการดีกว่าที่จะถอนการติดตั้งปลั๊กอินเมื่อคุณไม่ต้องการใช้อีกต่อไป

Removing Unnecessary Plugins


ปลั๊กอินเก่ามักจะเปิดช่องโหว่ด้านความปลอดภัยบนเว็บไซต์ของคุณ จะดีกว่าที่จะลบทั้งหมด แทนที่จะเพียงแค่ปิดการใช้งาน

6. ถอนการติดตั้งธีมที่ไม่ได้ใช้

ขณะติดตั้ง WordPress พวกเขาแพ็คธีมเริ่มต้นเพื่อเริ่มต้นไซต์ แต่หลังจากนั้น เราทุกคนก็เปลี่ยนธีมตามชอบใจ บางครั้งเราติดตั้งธีม WordPress หลายชุดที่เราไม่เคยใช้ เช่นเดียวกับปลั๊กอินเก่า ธีมเก่าเหล่านี้อาจทำให้เกิดปัญหาได้ในภายหลัง เพื่อจุดประสงค์ในการสำรองข้อมูล ปกติฉันจะเก็บธีมเดียวเท่านั้นที่ไม่ใช่ธีมที่ฉันใช้

7. เรียกใช้การสแกนความปลอดภัย

เราเกือบเสร็จแล้ว ถึงเวลาตรวจสอบมัลแวร์ขั้นสุดท้ายด้วยปลั๊กอินความปลอดภัย มีปลั๊กอินความปลอดภัยมากมายสำหรับ WordPress ที่จะช่วยคุณในเรื่องนี้

หลังจากติดตั้งปลั๊กอินความปลอดภัยบนเว็บไซต์ของคุณ เรียกใช้การสแกนแบบเต็มและดูว่ามีมัลแวร์บนเว็บไซต์ของคุณหรือไม่ เลือกปลั๊กอินที่สามารถจัดการกับความพยายามในการเข้าสู่ระบบแบบเดรัจฉานเพื่อป้องกันการโจมตีแบบสดบนเว็บไซต์ของคุณ

วิธีดำเนินการตรวจสอบความปลอดภัยของ WordPress โดยใช้ปลั๊กอิน

หากคุณไม่ต้องการทำงานทั้งหมดด้วยตนเอง มีวิธีอื่นในการตรวจสอบความปลอดภัยของ WordPress ที่จำเป็น มีปลั๊กอินความปลอดภัยที่ดีมากสำหรับเว็บไซต์ WordPress ที่สามารถทำงานทั้งหมดที่กล่าวมาข้างต้นได้โดยอัตโนมัติ

บันทึกกิจกรรม WP

wordpress security audit plugin

บันทึกกิจกรรม WP เป็นหนึ่งในปลั๊กอินที่ได้รับความนิยมมากที่สุดในการตรวจสอบความปลอดภัยบนเว็บไซต์ของคุณ จะตรวจสอบทุกการเปลี่ยนแปลงที่เกิดขึ้นบนเว็บไซต์ของคุณและเตือนกิจกรรมที่น่าสงสัยใดๆ

คุณสามารถตรวจสอบจำนวนผู้ใช้ที่เข้าสู่ระบบ กิจกรรมของพวกเขา และที่อยู่ IP ของพวกเขา คุณสามารถจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ และยังสามารถแก้ไขปัญหาบนเว็บไซต์ของคุณได้ โดยรวมแล้ว นี่เป็นปลั๊กอินที่เชื่อถือได้ในการส่งต่อความรับผิดชอบของคุณ

ความปลอดภัยของ Wordfence

wordpress security audit plugin

Wordfence Security เป็นปลั๊กอินความปลอดภัยที่ดาวน์โหลดมากที่สุดตลอดกาลสำหรับ WordPress มีคุณลักษณะด้านความปลอดภัยมากมายที่จะปกป้องเว็บไซต์ของคุณอย่างแน่นอน

Wordfence Security มีเครื่องสแกนมัลแวร์แบบเรียลไทม์ สามารถตรวจสอบไฟล์หลัก ธีม และปลั๊กอินสำหรับมัลแวร์, URL ที่ไม่ดี, แบ็คดอร์, สแปม SEO, การเปลี่ยนเส้นทางที่เป็นอันตราย และการฉีดโค้ด

คุณยังสามารถตรวจสอบการรับส่งข้อมูลสดด้วยปลั๊กอินนี้พร้อมกับคุณสมบัติที่มีประโยชน์อื่นๆ

ห่อ

WordPress เป็นหนึ่งในแพลตฟอร์มที่ปลอดภัยที่สุดในการสร้างเว็บไซต์ของคุณ หากคุณจับตาดูช่องโหว่ด้านความปลอดภัยทั่วไป การแฮ็กไซต์ของคุณจะเป็นไปไม่ได้ ด้วยการตรวจสอบความปลอดภัยเป็นประจำ คุณสามารถติดตามช่องโหว่ด้านความปลอดภัยทั้งหมดที่เว็บไซต์ของคุณอาจมี

หากคุณตั้งใจแน่วแน่เกี่ยวกับความปลอดภัยของเว็บไซต์ของคุณและต้องการทราบข้อมูลเพิ่มเติม ต่อไปนี้คือบล็อกอื่นที่จะช่วยให้คุณทราบถึงสิ่งที่ใช้ได้ผลสำหรับการรักษาความปลอดภัยของ WordPress

หากคุณมีคำถามใด ๆ เกี่ยวกับบล็อกนี้ โปรดแสดงความคิดเห็นด้านล่าง เรายินดีที่จะตอบคำถามของคุณ