แนวทางปฏิบัติและเคล็ดลับด้านความปลอดภัยที่ดีที่สุด 28 อันดับแรกของ WordPress
เผยแพร่แล้ว: 2024-01-05WordPress เป็นระบบจัดการเนื้อหา (CMS) ที่ทรงพลัง แต่ความนิยมหมายถึงความสนใจที่เท่าเทียมกันในฐานะที่เป็นเป้าหมายในหมู่แฮกเกอร์ หากไม่มีมาตรการรักษาความปลอดภัยที่จำเป็น เว็บไซต์ของคุณก็อาจเสี่ยงต่อการถูกโจมตีได้
โชคดีที่มีหลายสิ่งที่คุณสามารถทำได้เพื่อรักษาไซต์ของคุณให้ปลอดภัย มีตั้งแต่งานง่ายๆ เช่น การอัปเดตปลั๊กอินและการสำรองข้อมูล ไปจนถึงกลยุทธ์ที่เกี่ยวข้องมากขึ้น เช่น การย้ายไปยังผู้ให้บริการโฮสติ้งที่มีมาตรการรักษาความปลอดภัยที่แข็งแกร่งยิ่งขึ้น
ในบทความนี้ เราจะแนะนำคุณเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย 28 ข้อเพื่อช่วยให้คุณมั่นใจได้ว่าเว็บไซต์ของคุณได้รับการปกป้อง
1. อัปเดต WordPress ปลั๊กอิน และธีมอยู่เสมอ
ซอฟต์แวร์ที่ล้าสมัยก่อให้เกิดภัยคุกคามอย่างมากต่อเว็บไซต์ เมื่อปลั๊กอินหรือธีมไม่ได้รับการอัปเดตเป็นเวลาหลายเดือนหรือหลายปี แฮกเกอร์จะมีเวลามากขึ้นในการค้นหาช่องโหว่ในซอฟต์แวร์และหาทางเข้าไปในไซต์ที่ใช้งาน
พูดง่ายๆ ก็คือ: หากคุณใช้ WordPress เวอร์ชันเก่า ไซต์ของคุณเสี่ยงต่อการถูกโจมตี นอกจากนี้ยังใช้กับปลั๊กอินหรือธีมบนเว็บไซต์ของคุณด้วย
สิ่งสำคัญคือต้องจำไว้ว่า WordPress ได้รับความนิยมอย่างมาก ขับเคลื่อนประมาณร้อยละ 43 ของเว็บไซต์ที่รู้จักทั้งหมด นั่นหมายความว่าปลั๊กอินตัวเดียวที่มีปัญหาด้านความปลอดภัยสามารถนำไปสู่ไซต์นับร้อยหรือหลายพันแห่งที่เปิดโอกาสให้อาชญากรไซเบอร์ได้
วิธีที่ง่ายที่สุดในการป้องกันตัวเองจากช่องโหว่เหล่านี้คือการทำให้ WordPress และส่วนประกอบทั้งหมดทันสมัยอยู่เสมอ ซึ่งทำได้ง่ายเพียงแค่ตรวจสอบแดชบอร์ดทุกวันเพื่อดูว่ามีการอัปเดตใดบ้างและดำเนินการได้
ในกรณีของปลั๊กอิน คุณสามารถกำหนดค่าให้อัปเดตอัตโนมัติทีละรายการได้ ในการดำเนินการนี้ ให้ไปที่ ปลั๊กอิน → ปลั๊กอินที่ติดตั้ง แล้วคลิก เปิดใช้งานการอัปเดตอัตโนมัติ สำหรับปลั๊กอินที่คุณต้องการอัปเดตโดยอัตโนมัติ
2. เปลี่ยนชื่อผู้ใช้เริ่มต้น “ผู้ดูแลระบบ”
หนึ่งในข้อผิดพลาดด้านความปลอดภัยที่ใหญ่ที่สุดที่ผู้ใช้ WordPress สามารถทำได้คือการเลือกชื่อผู้ใช้เช่น “ผู้ดูแลระบบ” หรือ “ผู้ดูแลระบบ” นี่คือชื่อผู้ใช้เริ่มต้นที่ WordPress กำหนดไว้สำหรับคุณ และการคงชื่อผู้ใช้ไว้จะทำให้ผู้โจมตีสามารถบังคับเข้ามาได้ง่ายขึ้น
แฮกเกอร์จำนวนมากพยายามเจาะเข้าไปในเว็บไซต์โดยลองใช้ชื่อผู้ใช้และรหัสผ่านผสมกันให้ได้มากที่สุด นี่เรียกว่าการโจมตีด้วยกำลังดุร้าย หากมีคนรู้ชื่อผู้ใช้ของคุณแล้ว นั่นหมายความว่าพวกเขาต้องเดาปัจจัยการเข้าสู่ระบบเพียงปัจจัยเดียวเท่านั้น
WordPress ไม่อนุญาตให้คุณเปลี่ยนชื่อผู้ใช้สำหรับบัญชีผู้ดูแลระบบเมื่อคุณตั้งค่าแล้ว หากต้องการเปลี่ยนแปลง คุณจะต้องสร้างบัญชีใหม่ มอบบทบาท ผู้ดูแลระบบ ให้กับบัญชี และลบบัญชีเก่า
คุณสามารถทำได้โดยไปที่ ผู้ใช้ → เพิ่มใหม่ จากนั้น ป้อนรายละเอียดของบัญชี รวมถึงชื่อผู้ใช้ที่คาดเดายาก และเลือก ผู้ดูแลระบบ จากเมนู บทบาท
ครั้งต่อไปที่คุณสร้างเว็บไซต์ WordPress คุณจะต้องตั้งชื่อผู้ใช้ของผู้ดูแลระบบเป็นอย่างอื่น การเปลี่ยนแปลงง่ายๆ นี้จะทำให้ผู้โจมตีเข้าถึงบัญชีได้ยากขึ้นมาก
3. ใช้รหัสผ่านที่รัดกุมและเปลี่ยนรหัสผ่านเป็นประจำ
หากคุณใช้รหัสผ่านง่ายๆ เช่น "1234" หรือมีรหัสผ่านเดียวกันสำหรับทุกบัญชี ก็เป็นเพียงเรื่องของเวลาจนกว่าจะมีคนเข้าถึงไซต์ของคุณได้
แม้ว่าจะมีหลายวิธีในการเข้าถึงบัญชีที่ถูกขโมยได้อีกครั้ง แต่กระบวนการนี้อาจยุ่งยาก นอกจากนี้ แฮ็กเกอร์ยังอาจสร้างความเสียหายให้กับเนื้อหาและชื่อเสียงของคุณอย่างไม่อาจซ่อมแซมได้
เมื่อคุณสร้างบัญชีใหม่ใน WordPress CMS จะสร้างรหัสผ่านที่คาดเดายากสำหรับคุณ โดยทั่วไปจะเป็นการผสมระหว่างตัวอักษร ตัวเลข และอักขระพิเศษ
คุณสามารถใช้รหัสผ่านนี้หรือเปลี่ยนรหัสผ่านให้น่าจดจำยิ่งขึ้น (โดยยังคงรักษาทั้งตัวอักษรและตัวเลขผสมกัน)
คุณสามารถใช้ตัวจัดการข้อมูลรับรองได้หากคุณมีปัญหาในการจดจำ ผู้จัดการรหัสผ่านสามารถช่วยคุณสร้างรหัสผ่านที่ปลอดภัยสำหรับบัญชีทั้งหมดของคุณและรักษาความปลอดภัยให้
เพื่อเพิ่มความปลอดภัย คุณจะต้องเปลี่ยนรหัสผ่านเป็นระยะ ด้วยวิธีนี้ หากมีข้อมูลประจำตัวรั่วไหล บัญชีของคุณจะปลอดภัย
4. ใช้การรับรองความถูกต้องด้วยสองปัจจัย (2FA)
เช่นเดียวกับเว็บไซต์อื่น ๆ WordPress จำเป็นต้องมีชื่อผู้ใช้และรหัสผ่านในการเข้าสู่ระบบ ซึ่งหมายความว่าความปลอดภัยในการเข้าสู่ระบบส่วนใหญ่ขึ้นอยู่กับความแข็งแกร่งของข้อมูลประจำตัวของคุณ
แม้จะมีรหัสผ่านที่รัดกุมที่สุด แต่ก็ยังมีโอกาสที่ใครบางคนอาจเข้าถึงบัญชีของคุณหรือผู้อื่นบนไซต์ของคุณได้ วิธีที่มีประสิทธิภาพในการหลีกเลี่ยงการละเมิดนี้คือการใช้การรับรองความถูกต้องด้วยสองปัจจัย (2FA)
เมื่อคุณเปิดใช้งาน 2FA เว็บไซต์ของคุณจะต้องมีวิธีการยืนยันเพิ่มเติมเพื่อให้ผู้ใช้เข้าสู่ระบบ โดยปกติแล้ว รหัสนี้เป็นรหัสแบบครั้งเดียวที่ส่งทาง SMS อีเมล หรือแอปตรวจสอบสิทธิ์
เนื่องจากแฮกเกอร์ไม่สามารถเข้าถึงอุปกรณ์มือถือหรืออีเมลของคุณ พวกเขาจึงไม่สามารถเข้าสู่ระบบบัญชีของคุณได้ เว็บไซต์บางแห่งเสนอตัวเลือกในการใช้ 2FA ในขณะที่บางเว็บไซต์บังคับใช้
หากคุณใช้ Jetpack คุณสามารถเปิดให้ผู้ใช้เข้าสู่ระบบด้วยบัญชี WordPress.com ของตนได้ นอกจากนี้ยังมีตัวเลือกสำหรับการใช้ฟังก์ชัน 2FA ของ WordPress.com
คุณสามารถค้นหาการตั้งค่าเหล่านี้ได้โดยไปที่ Jetpack → การตั้งค่า และค้นหาส่วน เข้าสู่ระบบ WordPress.com จากนั้นเพียงสลับสวิตช์ที่เกี่ยวข้อง
5. ใช้การเข้ารหัส HTTPS ผ่านใบรับรอง SSL
ใบรับรอง Secure Sockets Layer (SSL) ช่วยให้เว็บไซต์ของคุณโหลดผ่าน HTTPS ซึ่งเป็นเวอร์ชัน HTTP ที่ปลอดภัยได้ ใบรับรองจะตรวจสอบว่าเว็บไซต์ของคุณเป็นของแท้และมีการเข้ารหัสการสื่อสารระหว่างเบราว์เซอร์และเซิร์ฟเวอร์
คุณสามารถรับใบรับรอง SSL ได้ฟรีจากหลายหน่วยงาน เช่น Let's Encrypt โฮสต์เว็บ WordPress จำนวนมากจะตั้งค่าใบรับรอง SSL สำหรับเว็บไซต์ของคุณโดยอัตโนมัติ โฮสต์เว็บอื่นจะช่วยให้คุณสามารถตั้งค่าใบรับรองด้วยตนเองผ่าน cPanel
6. ติดตั้งปลั๊กอินความปลอดภัยที่มีชื่อเสียง
ปลั๊กอินความปลอดภัย WordPress มักมาพร้อมกับชุดคุณสมบัติและเครื่องมือที่ช่วยคุณปกป้องเว็บไซต์ของคุณ โดยทั่วไปจะรวมถึง:
- การป้องกันสแปม
- การป้องกันการโจมตีแบบปฏิเสธการให้บริการ (DDoS)
- ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF)
- การสแกนและล้างมัลแวร์
- การสำรองข้อมูลอัตโนมัติ
คุณสามารถค้นหาปลั๊กอิน WordPress แต่ละตัวที่ทำงานแยกจากกัน แต่ถ้าคุณเลือกใช้เครื่องมือรักษาความปลอดภัยที่ครอบคลุม คุณจะสามารถจัดการคุณสมบัติต่างๆ ได้จากที่เดียวกัน ซึ่งจะทำให้งานของคุณง่ายขึ้น
ในความเป็นจริง การใช้ปลั๊กอินที่เหมาะสมสามารถช่วยให้คุณตรวจสอบหลายรายการในรายการแนวทางปฏิบัติด้านความปลอดภัย WordPress ที่ดีที่สุดได้ Jetpack Security มีฟีเจอร์ทั้งหมดที่เพิ่งกล่าวถึงและอื่นๆ อีกมากมาย
7. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ
การสำรองข้อมูลของคุณเป็นประจำถือเป็นสิ่งที่สำคัญที่สุดที่คุณสามารถทำได้เพื่อรักษาข้อมูลให้ปลอดภัย เมื่อพูดถึงเว็บไซต์ การสำรองข้อมูลเต็มรูปแบบสามารถช่วยชีวิตได้ในกรณีที่เกิดการละเมิดความปลอดภัยหรือการทำงานผิดพลาด
หากไซต์ของคุณถูกแฮ็กหรือหยุดทำงานตามปกติ วิธีที่ง่ายที่สุดในการแก้ปัญหาอาจเป็นการคืนค่าข้อมูลสำรองล่าสุด ยิ่งสำรองข้อมูลล่าสุด โอกาสที่คุณจะสูญเสียข้อมูลสำคัญก็จะยิ่งน้อยลงเท่านั้น
เมื่อไซต์ทำงานได้อย่างถูกต้องอีกครั้ง คุณสามารถดำเนินการตามขั้นตอนที่จำเป็นเพื่อรักษาความปลอดภัยไม่ให้ถูกโจมตีเพิ่มเติม
มีตัวเลือกการสำรองข้อมูลมากมายสำหรับ WordPress โฮสต์เว็บบางแห่งเสนอการสำรองข้อมูลอัตโนมัติเป็นส่วนหนึ่งของแผนโฮสติ้งของคุณ (โดยทั่วไปหากเป็นบริการที่มีการจัดการ) อย่างไรก็ตาม ทางที่ดีที่สุดคืออย่าพึ่งพาการสำรองข้อมูลเหล่านี้เพียงอย่างเดียว หากเซิร์ฟเวอร์ของคุณถูกบุกรุก — จากข้อผิดพลาดในการเขียนโค้ด ข้อผิดพลาดของโฮสต์ หรือการแฮ็ก การสำรองข้อมูลก็สามารถทำได้เช่นกัน
ตัวเลือกที่ดีกว่าคือการใช้ปลั๊กอินที่จัดเก็บข้อมูลสำรองนอกไซต์ Jetpack VaultPress Backup เป็นหนึ่งในตัวเลือกดังกล่าว เครื่องมือนี้มีให้ใช้งานในรูปแบบปลั๊กอินเดี่ยวและเป็นส่วนหนึ่งของชุด Jetpack Security ที่กล่าวถึงก่อนหน้านี้ จะสำรองข้อมูลไซต์ของคุณโดยอัตโนมัติทุกครั้งที่คุณทำการเปลี่ยนแปลง
การสำรองข้อมูลแบบเรียลไทม์เหล่านี้เหมาะอย่างยิ่งหากคุณเพิ่มเนื้อหาใหม่ลงในเว็บไซต์ของคุณอย่างต่อเนื่อง หมายความว่าคุณจะมีสำเนาเวอร์ชันล่าสุดอยู่เสมอ นอกจากนี้ ข้อมูลสำรองจะถูกเก็บไว้นอกสถานที่ ดังนั้นคุณจึงสามารถเข้าถึงได้เสมอ แม้ว่าเว็บไซต์ของคุณจะล่มก็ตาม
8. ใช้ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF)
WAF คือไฟร์วอลล์ประเภทหนึ่งที่ออกแบบมาเพื่อกรองการรับส่งข้อมูลเข้าและออกจากเว็บไซต์ ใช้กฎเพื่อกรองการรับส่งข้อมูลประเภทเฉพาะและสามารถบล็อกรายการ IP ที่เป็นอันตรายที่รู้จักได้
WAF ได้รับการออกแบบมาเพื่อช่วยคุณหยุดการโจมตีทางไซเบอร์ประเภททั่วไป รวมถึงการแทรก SQL, การเขียนสคริปต์ข้ามไซต์ (XSS) และการปลอมแปลงคำขอข้ามไซต์ (CSRF) พวกเขาสามารถทำเช่นนี้ได้ด้วยระบบกฎที่ซับซ้อน
ยิ่งกฎของไฟร์วอลล์ครอบคลุมมากเท่าใดก็ยิ่งมีประสิทธิภาพมากขึ้นเท่านั้น ปลั๊กอินความปลอดภัยจำนวนมาก (รวมถึง Jetpack Security) มี WAF ที่ซับซ้อนพร้อมชุดกฎที่ออกแบบจากประสบการณ์หลายปีในการจัดการกับการโจมตี WordPress
แม้ว่าคุณจะสามารถตั้งค่าและกำหนดค่า WAF ได้ด้วยตนเอง แต่วิธีที่ดีที่สุดคือใช้โฮสต์เว็บหรือปลั๊กอินความปลอดภัยที่ตั้งค่าไว้สำหรับคุณ ด้วยวิธีนี้ คุณสามารถใช้ประโยชน์จากฐานข้อมูลภัยคุกคามที่มีอยู่และเพียงแค่เปิดไฟร์วอลล์
9. สแกนหามัลแวร์เป็นประจำ
การสแกนเว็บไซต์ของคุณเพื่อหามัลแวร์เกี่ยวข้องกับการใช้เครื่องมือของบุคคลที่สามหรือปลั๊กอินความปลอดภัย ซอฟต์แวร์นี้จะตรวจสอบไฟล์ ปลั๊กอิน และธีมของไซต์ของคุณเพื่อค้นหาการติดมัลแวร์ หากตรวจพบสิ่งผิดปกติจะแจ้งให้คุณทราบว่าปัญหาอยู่ที่ไหน
จำได้ไหมเมื่อคุณเคยทำการสแกนไวรัสบนคอมพิวเตอร์ของคุณ และมันจะใช้เวลานานตลอดไป? ตอนนี้ซอฟต์แวร์แอนตี้ไวรัสส่วนใหญ่จะทำงานในเบื้องหลังและจะรบกวนคุณเมื่อมีปัญหาเท่านั้น การสแกนมัลแวร์ด้วย Jetpack Security ทำงานได้อย่างราบรื่นเช่นกัน
และแตกต่างจากเครื่องมืออื่น ๆ ที่ บอก คุณว่ามีปัญหาเกิดขึ้น หาก Jetpack พบบางสิ่งบางอย่าง มันก็มักจะเสนอวิธีแก้ปัญหาเพื่อแก้ไขปัญหา ซึ่งมักจะทำได้ด้วยการคลิกเพียงครั้งเดียว
หากคุณดำเนินการเพื่อรักษาความปลอดภัยไซต์ของคุณ การติดมัลแวร์น่าจะเกิดขึ้นได้ยากอย่างยิ่ง ถึงกระนั้นก็ตาม การตั้งค่าการสแกนมัลแวร์อัตโนมัติไว้ก็ไม่เสียหายอะไร ในกรณีที่คุณโดนโจมตีแบบซีโรเดย์หรือการโจมตีประเภทอื่น ๆ ที่ยากจะหยุดยั้ง
10. บล็อกแบบฟอร์มและสแปมความคิดเห็น
ไซต์ WordPress ใด ๆ ที่มีส่วนความคิดเห็นหรือแบบฟอร์มแบบเปิดอาจพบสแปม อาจมีตั้งแต่คู่แข่งโพสต์ลิงก์ไปยังไซต์ของตนไปจนถึงผู้โจมตีที่แชร์ URL ที่เป็นอันตรายหรือพยายามใช้สคริปต์เพื่อเข้าถึงโดยไม่ได้รับอนุญาต
วิธีแก้ไขง่ายๆ สำหรับปัญหานี้คือการกลั่นกรองความคิดเห็นในไซต์ของคุณ แต่เมื่อไซต์ของคุณเติบโตขึ้น การกรองความคิดเห็นที่เป็นสแปมอาจกลายเป็นงานเต็มเวลาได้ ไม่ใช่เรื่องแปลกที่จะมีข้อความนับพันที่รอการกลั่นกรอง
คุณสามารถลองใช้ CAPTCHA เพื่อหยุดการส่งโรบ็อตสแปม แต่คุณจะหลีกเลี่ยงไม่ได้ที่จะสร้างความรำคาญให้กับผู้ใช้บางราย และลดการมีส่วนร่วมและ Conversion ที่ถูกต้องตามกฎหมายที่ไซต์ของคุณต้องการเพื่อให้เจริญเติบโต
ทางเลือกที่ดีที่สุดคือใช้ Akismet เครื่องมือนี้ทำงานโดยสมบูรณ์ในเบื้องหลังเพื่อหยุดการส่งสแปมในความคิดเห็นและแบบฟอร์ม ดังนั้นคุณจึงไม่สังเกตเห็นด้วยซ้ำว่ามันเกิดขึ้น ผู้ใช้ที่ถูกกฎหมายจะได้รับอนุญาตให้เล่นต่อได้โดยไม่จำเป็นต้องไขปริศนา ตอบปริศนา หรือแม้แต่คลิกกล่อง
ทั้งหมดนี้เกิดขึ้นด้วยความแม่นยำ 98%
Akismet ยังสามารถปรับแต่งได้ เพื่อลบความคิดเห็นบางรายการทันทีและเก็บความคิดเห็นอื่นๆ ไว้เพื่อให้คุณตรวจสอบและอนุมัติหรือปฏิเสธด้วยตนเอง
คุณสามารถรับ Akismet เป็นปลั๊กอินของตัวเองได้ แต่ถ้าคุณมุ่งมั่นที่จะปรับปรุงความปลอดภัยโดยรวมและประสบการณ์ผู้ใช้โดยใช้ความพยายาม (และค่าใช้จ่าย) ให้น้อยที่สุด คุณก็สามารถรับมันได้โดยเป็นส่วนหนึ่งของแผน Jetpack Security
11. ใช้การอนุญาตไฟล์ที่ปลอดภัยโดยใช้ FTP
ทุกไฟล์และโฟลเดอร์ในระบบที่ใช้ UNIX มีชุดสิทธิ์อนุญาต การอนุญาตเหล่านี้แสดงด้วยชุดตัวเลขสามตัว ตัวอย่างเช่น “777” หมายความว่าผู้ใช้ทุกคนมีสิทธิ์ในการเขียน อ่าน และดำเนินการเต็มรูปแบบสำหรับไฟล์หรือไดเร็กทอรี
ตัวเลขตัวแรกจากสามตัวแสดงถึงใครเป็นเจ้าของไฟล์หรือไดเร็กทอรี หมายเลขที่สองหมายถึงบัญชีในกลุ่มเจ้าของ และหมายเลขที่สามสำหรับผู้ใช้รายอื่น
ในตัวอย่างข้างต้น แต่ละเจ็ดหมายความว่าผู้ใช้แต่ละประเภทมีสิทธิ์อ่าน (สี่) เขียน (2) และดำเนินการ (1) หากคุณบวกค่าเหล่านั้นเข้าด้วยกัน คุณจะได้เจ็ด
สิทธิ์อนุญาตไฟล์ที่คุณกำหนดให้กับไฟล์และไดเร็กทอรี WordPress จะกำหนดผู้ที่สามารถเข้าถึง อ่าน และแก้ไขได้ สิทธิ์อนุญาตไฟล์ที่แนะนำสำหรับ WordPress คือ 755 สำหรับไดเร็กทอรีและ 644 สำหรับไฟล์
หากต้องการตั้งค่าสิทธิ์เหล่านี้ คุณจะต้องเชื่อมต่อกับเว็บไซต์ของคุณผ่านเครื่องมือ File Transfer Protocol (FTP) เช่น FileZilla คุณสามารถรับข้อมูลรับรอง FTP ได้จากบัญชีโฮสติ้งของคุณ
เมื่อคุณเชื่อมต่อกับไซต์ของคุณแล้ว ให้ไปที่ไดเร็กทอรีราก (ซึ่งโดยปกติจะมีป้ายกำกับ public_html ) ภายในโฟลเดอร์นี้ คุณสามารถเลือกไดเร็กทอรีย่อยหรือไฟล์ที่ต้องการ คลิกขวาที่ไฟล์แล้วเลือกตัวเลือกที่ระบุว่า File Permissions
หน้าต่างใหม่จะปรากฏขึ้นโดยคุณสามารถตั้งค่าการอนุญาตสำหรับไฟล์หรือไดเร็กทอรีที่คุณเลือกผ่านช่อง ค่าตัวเลข
หากคุณเปลี่ยนการอนุญาตสำหรับไดเรกทอรี คุณจะเห็นตัวเลือกที่ระบุว่า Recurse into subdirectories ด้วย ซึ่งจะช่วยให้คุณสามารถตั้งค่าการอนุญาตเดียวกันสำหรับไดเรกทอรีย่อยหรือไฟล์ทั้งหมดได้
โปรดทราบว่ามีข้อยกเว้นบางประการสำหรับกฎเกี่ยวกับการอนุญาตที่เหมาะสมที่สุดสำหรับไฟล์ WordPress หนึ่งในนั้นคือไฟล์ wp-config.php ซึ่งเราจะพูดถึงในหัวข้อถัดไป
12. รักษาความปลอดภัยไฟล์ wp-config.php ของคุณ
ไฟล์ wp-config.php มีข้อมูลสำคัญเกี่ยวกับเว็บไซต์และฐานข้อมูลของคุณ เป็นหนึ่งในไฟล์หลักของ WordPress ที่สำคัญที่สุด ซึ่งหมายความว่าคุณควรดำเนินการเพิ่มเติมเพื่อรักษาความปลอดภัย
ในแง่ของการอนุญาต ทางที่ดีควรตั้ง ค่า wp-config.php เป็น 400 หรือ 440 หากคุณจำรายละเอียดจากส่วนก่อนหน้าได้ คุณจะรู้ว่าค่าการอนุญาตเหล่านั้นแปลเป็น:
- 400: มีเพียงเจ้าของเท่านั้นที่สามารถอ่านไฟล์ได้
- 440: เฉพาะเจ้าของและผู้ใช้ในกลุ่มของเจ้าของเท่านั้นที่สามารถอ่านไฟล์ได้
สิ่งนี้จะลบสิทธิ์การเขียนออกจาก wp-config.php โดยสิ้นเชิง โดยปกตินี่จะเป็นตัวเลือกที่ปลอดภัย เนื่องจากจะป้องกันไม่ให้ใครก็ตามสามารถแก้ไขการตั้งค่าของไฟล์ได้
อีกวิธีหนึ่งที่คุณสามารถรักษาความปลอดภัย ของ wp-config.php ได้คือการย้ายระดับเหนือไดเร็กทอรีรากหนึ่งระดับ WordPress จะค้นหาไฟล์หนึ่งไดเร็กทอรีหากไม่พบในตำแหน่งเริ่มต้น
นั่นหมายความว่า WordPress จะยังคงทำงานตามปกติ แต่ผู้โจมตีอาจถูกหลอกเนื่องจากไม่พบไฟล์
13. ปิดการแก้ไขไฟล์ในไฟล์ wp-config.php ของคุณ
WordPress มีตัวเลือกมากมายสำหรับการแก้ไขไฟล์ หนึ่งในนั้นคือการใช้ตัวแก้ไขไฟล์ปลั๊กอินและธีมซึ่งมีให้จากแดชบอร์ด
โปรแกรมแก้ไขไฟล์เหล่านี้ช่วยให้คุณสามารถเปลี่ยนแปลงโค้ดของไซต์ได้โดยไม่ต้องเชื่อมต่อผ่าน FTP ข้อเสียของแนวทางนี้คือหากแฮกเกอร์เข้าถึงบัญชีที่ได้รับอนุญาตให้ใช้โปรแกรมแก้ไขเหล่านี้ พวกเขาสามารถสร้างความเสียหายให้กับเว็บไซต์ของคุณได้
ดังนั้น คุณอาจต้องการพิจารณาปิดการใช้งานการแก้ไขไฟล์ใน WordPress คุณสามารถทำได้โดยการเปิดไฟล์ wp-config.php และเพิ่มโค้ดบรรทัดต่อไปนี้:
define('DISALLOW_FILE_EDIT', true);
โปรดทราบว่าธีมและปลั๊กอินบางตัวจะปิดการแก้ไขไฟล์โดยอัตโนมัติ หากคุณไม่เห็นตัวแก้ไขไฟล์หรือธีมในแดชบอร์ด อาจเป็นไปได้ว่าคุณกำลังใช้เครื่องมืออย่างใดอย่างหนึ่งเหล่านี้
14. จำกัดการเรียกดูไดเรกทอรีในไฟล์ .htaccess ของคุณ
หากเปิดใช้งานการเรียกดูไดเรกทอรี คุณสามารถไปที่ yourwebsite.com/content/ แทนที่จะได้รับข้อผิดพลาด 403 forbidden คุณจะเห็นรายการไดเรกทอรีย่อยและไฟล์ภายในโฟลเดอร์นั้น
การปิดใช้งานการเรียกดูไดเรกทอรีเป็นสิ่งจำเป็นหากคุณต้องการปกป้องไซต์ของคุณ หากใครก็ตามสามารถเห็นเนื้อหาในโฟลเดอร์ของเว็บไซต์ของคุณ พวกเขาจะได้รับข้อมูลมากมาย เช่น ธีมและปลั๊กอินที่คุณใช้ พวกเขายังสามารถนำทางไฟล์มีเดียได้ไม่จำกัด ซึ่งถือว่าแย่มากในแง่ของความเป็นส่วนตัว
โฮสต์เว็บ WordPress ส่วนใหญ่ปิดใช้งานการเรียกดูไดเรกทอรีตามค่าเริ่มต้น หากคุณไม่มีคุณสมบัตินี้ คุณสามารถเปิดใช้งานได้ด้วยตัวเองโดยแก้ไขไฟล์ .htaccess ในไดเร็กทอรี ราก
เมื่อต้องการทำเช่นนี้ ให้เปิดแฟ้มและเพิ่มบรรทัดโค้ดต่อไปนี้:
Options -Indexes
บันทึกการเปลี่ยนแปลงและปิดไฟล์ ตอนนี้ หากคุณลองนำทางไปยังไดเร็กทอรีผ่านเบราว์เซอร์ คุณจะได้รับข้อผิดพลาดแจ้งว่าคุณไม่สามารถเข้าถึงได้
15. จำกัดการเข้าถึงไดเรกทอรี wp-admin
wp-admin เป็นตำแหน่งเริ่มต้นสำหรับไดเร็กทอรี WordPress หากคุณเยี่ยมชมหน้าแรกของเว็บไซต์ของคุณและเพิ่ม /wp-admin ต่อท้าย URL คุณจะไปที่แดชบอร์ด WordPress (หลังจากผ่านหน้าเข้าสู่ระบบแล้ว)
โครงสร้างนี้เป็นมาตรฐานสำหรับเว็บไซต์ WordPress ทำให้ง่ายต่อการค้นหาและเข้าถึงแดชบอร์ดทั้งสำหรับคุณและผู้โจมตี
วิธีหนึ่งในการปกป้องผู้ดูแลระบบ WordPress คือการรักษาความปลอดภัยด้วยรหัสผ่าน ด้วยวิธีนี้ ผู้ใช้จะต้องป้อนรหัสผ่านอื่นหลังจากผ่านหน้าเข้าสู่ระบบแล้ว
หากโฮสต์เว็บของคุณใช้ cPanel คุณสามารถเพิ่มรหัสผ่านลงในไดเร็กทอรี wp-admin ได้โดยใช้ Directory Privacy เครื่องมือ.
เมื่อคุณเข้าไปในเครื่องมือนี้แล้ว ให้เรียกดูโฟลเดอร์ต่างๆ จนกว่าคุณจะพบไดเร็กทอรี wp-admin คลิกที่ แก้ไข ถัดจากนั้น และในหน้าถัดไป ให้ทำเครื่องหมายที่ตัวเลือกที่ระบุว่า รหัสผ่านป้องกันไดเร็กทอรีนี้
ตอนนี้เครื่องมือความเป็นส่วนตัวของไดเรกทอรีจะขอให้คุณตั้งรหัสผ่านสำหรับ wp-admin หลังจากที่คุณบันทึกรหัสผ่านแล้ว ให้ลองเข้าถึงแดชบอร์ด WordPress ป๊อปอัปรหัสผ่านควรปรากฏขึ้นโดยตรงภายในเบราว์เซอร์
16. ซ่อน URL เข้าสู่ระบบ wp-admin ของคุณ
อีกวิธีในการปกป้องผู้ดูแลระบบ WordPress คือการเปลี่ยน URL ที่นำไปสู่หน้าเข้าสู่ระบบ หากคุณรวมกลยุทธ์นี้เข้ากับการป้องกันรหัสผ่านเพิ่มเติมที่กล่าวถึงในส่วนด้านบน ผู้โจมตีไม่ควรสามารถเข้าถึงแดชบอร์ดของเว็บไซต์ของคุณได้
คุณสามารถเปลี่ยน URL เข้าสู่ระบบ wp ได้ด้วยตนเอง แต่การใช้ปลั๊กอินจะทำให้กระบวนการง่ายขึ้น WPS Hide Login เป็นเครื่องมือง่ายๆ ที่ช่วยให้คุณสามารถตั้งค่า URL เข้าสู่ระบบใหม่โดยไม่จำเป็นต้องแก้ไขโค้ดใดๆ ของไซต์ของคุณ
เมื่อคุณติดตั้งปลั๊กอินแล้ว ให้ไปที่ การตั้งค่า → WPS ซ่อนการเข้าสู่ระบบ และมองหาส่วนที่ระบุว่า URL การเข้าสู่ระบบ ใช้ฟิลด์ถัดจากตัวเลือกนั้นและแทนที่ URL เข้าสู่ระบบเริ่มต้นด้วย URL ที่กำหนดเอง
คุณอาจต้องการใช้ตัวอักษรและตัวเลขผสมกันแบบสุ่ม ซึ่งจะทำให้ผู้โจมตีคาดเดาได้ยากขึ้น เพียงตรวจสอบให้แน่ใจว่าได้บุ๊กมาร์กหน้าเข้าสู่ระบบใหม่หรือตั้งค่า URL ที่คุณจำได้
17. จำกัดความพยายามในการเข้าสู่ระบบ
ตามที่กล่าวไว้ข้างต้น ผู้โจมตีสามารถเข้าถึงเว็บไซต์ของคุณได้โดยลองใช้ชื่อผู้ใช้และรหัสผ่านหลายชุดรวมกัน การตั้งรหัสผ่านที่คาดเดายากอาจเป็นวิธีที่มีประสิทธิภาพในการบล็อกความพยายามของพวกเขา แต่มีอีกวิธีหนึ่งที่คุณสามารถทำได้เพื่อหยุดการโจมตีแบบดุร้าย
ซึ่งเกี่ยวข้องกับการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ผู้ใช้สามารถทำได้ในช่วงเวลาที่กำหนด ข้อจำกัดนี้จะไม่ส่งผลกระทบต่อผู้ใช้ทั่วไป แต่ควรจะเพียงพอที่จะสกัดกั้นการโจมตีแบบ bruteforce ที่ใช้บอท ด้วยการจำกัดอัตราที่พวกเขาสามารถลองใช้ข้อมูลประจำตัวใหม่ คุณสามารถลดโอกาสที่จะประสบความสำเร็จได้
มีเครื่องมือมากมายที่คุณสามารถใช้เพื่อจำกัดความพยายามในการเข้าสู่ระบบใน WordPress หากคุณใช้ Jetpack คุณจะสามารถเข้าถึงฟีเจอร์การป้องกันแบบ Brute Force ได้ วิธีนี้จะจำกัดความพยายามในการเข้าสู่ระบบที่ Jetpack ระบุว่าเป็นอันตรายโดยอัตโนมัติ
Jetpack ยังสามารถช่วยคุณแสดงรายการที่อยู่ IP ที่อนุญาตได้ ดังนั้นจึงไม่ถูกบล็อกโดยเครื่องมือป้องกันแบบ Brute Force คุณสามารถใช้สิ่งนี้สำหรับที่อยู่ IP ของคุณและของเพื่อนร่วมงานของคุณเพื่อป้องกันการตั้งค่าสถานะเท็จ
18. ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ
เว็บไซต์จำนวนมากจะนำคุณออกจากระบบบัญชีของคุณหลังจากช่วงระยะเวลาหนึ่ง นี่เป็นมาตรการรักษาความปลอดภัยที่ออกแบบมาเพื่อป้องกันไม่ให้ผู้อื่นขโมยเซสชันของคุณหากพวกเขาเข้าถึงคอมพิวเตอร์ของคุณ
นี่อาจไม่เป็นปัญหาขึ้นอยู่กับว่าคุณเข้าสู่ระบบจากที่ใด แต่ก็ยังเป็นมาตรการรักษาความปลอดภัยที่คุ้มค่าที่จะนำไปใช้ โดยเฉพาะอย่างยิ่งหากมีบุคคลอื่นสามารถเข้าถึงแดชบอร์ดของไซต์ของคุณได้
WordPress จะไม่ออกจากระบบผู้ใช้โดยอัตโนมัติ หากต้องการเพิ่มฟังก์ชันนี้ คุณจะต้องใช้ปลั๊กอิน เช่น การออกจากระบบที่ไม่ใช้งาน
เมื่อคุณติดตั้งปลั๊กอินแล้ว ให้ไปที่ การตั้งค่า → การออกจากระบบที่ไม่ใช้งาน → การตั้งค่าทั่วไป มองหาตัวเลือก Idle Timeout และตั้งค่าเป็นตัวจับเวลาตามที่คุณต้องการในหน่วยนาที
ตอนนี้ผู้ใช้จะถูกออกจากระบบโดยอัตโนมัติหากไม่มีการใช้งานเป็นระยะเวลาดังกล่าว ปลั๊กอินยังช่วยให้คุณสามารถกำหนดค่าข้อความที่แจ้งว่าทำไมเซสชั่นของพวกเขาจึงถูกปิด ดังนั้นพวกเขาจึงไม่สับสนเมื่อพวกเขากลับมา
19. เปลี่ยนคำนำหน้าฐานข้อมูล WordPress เริ่มต้น
ทุกฐานข้อมูล WordPress มีชื่อ ตามค่าเริ่มต้น ชื่อนั้นคือ wp_something โดยมี “บางสิ่ง” แทนชื่อจริงของฐานข้อมูล
สิ่งที่สำคัญจริงๆที่นี่คือคำนำหน้า ตามค่าเริ่มต้น WordPress จะใช้คำนำหน้า wp_ ซึ่งหมายความว่าผู้โจมตีสามารถเดาชื่อเต็มของฐานข้อมูลได้อย่างง่ายดาย
เพียงเปลี่ยนคำนำหน้าก็จะทำให้งานนั้นยากขึ้นสำหรับผู้โจมตี น่าเสียดายที่การเปลี่ยนคำนำหน้าฐานข้อมูล WordPress ไม่ใช่เรื่องง่าย
กระบวนการนี้ต้องการให้คุณแก้ไขไฟล์หลักทั้งสองไฟล์และทำการเปลี่ยนแปลงฐานข้อมูลเอง ดังนั้นก่อนที่คุณจะดำเนินการใดๆ คุณจะต้องสำรองข้อมูลเว็บไซต์ทั้งหมด ซึ่งรวมถึงไฟล์ทั้งหมดและฐานข้อมูล ด้วยวิธีนี้ หากมีสิ่งผิดปกติเกิดขึ้น คุณสามารถกู้คืนข้อมูลสำรองได้
ในการเริ่มต้น ให้เข้าถึงเว็บไซต์ผ่าน FTP และไปที่ไฟล์ wp-config.php เปิดไฟล์และมองหาบรรทัดนี้ภายใน:
$table_prefix = 'wp_';
คุณสามารถแทนที่คำนำหน้า "wp_" ด้วยคำอื่นได้ เช่น "newprefix_" นั่นเป็นเพียงตัวอย่างเท่านั้น คุณจะต้องเลือกสิ่งที่คาดเดายาก
ตอนนี้ให้บันทึกไฟล์และเข้าถึงฐานข้อมูลโดยใช้ phpMyAdmin เลือกฐานข้อมูล WordPress จากรายการทางด้านซ้ายแล้วคลิก SQL ในเมนูที่ด้านบนของหน้าจอเหนือรายการตาราง
นี่จะเป็นการเปิดเพจที่คุณสามารถรันคำสั่ง SQL ที่ส่งผลต่อฐานข้อมูลได้ สิ่งที่คุณต้องทำตอนนี้คือแทนที่คำนำหน้าตารางที่มีอยู่สำหรับตาราง ทั้งหมด ในฐานข้อมูล ตามค่าเริ่มต้น นั่นหมายถึงตารางต่อไปนี้:
- wp_options
- wp_postmeta
- wp_posts
- wp_term_relationships
- wp_term_taxonomy
- wp_terms
- wp_commentmeta
- wp_comments
- wp_links
โปรดทราบว่าปลั๊กอินบางตัวอาจเพิ่มตารางใหม่ลงในฐานข้อมูลด้วย คุณจะต้องอัปเดตคำนำหน้าของตารางเหล่านี้ด้วย
สำหรับแต่ละตาราง คุณจะต้องเรียกใช้คำสั่ง SQL ต่อไปนี้:
RENAME table wp_xxxx TO newname_xxxx;
ตัวยึดตำแหน่ง “xxxx” ย่อมาจากชื่อของแต่ละตารางหลังเครื่องหมายขีดล่าง ในทำนองเดียวกัน คุณจะต้องเปลี่ยนคำนำหน้า newname_ เป็นค่าที่คุณตั้งไว้ก่อนหน้านี้เมื่อแก้ไข wp-config.php
ทำซ้ำขั้นตอนนี้ตามที่จำเป็นสำหรับแต่ละตารางในฐานข้อมูล เมื่อพร้อมแล้วก็สามารถกลับไปที่แดชบอร์ดได้
การเปลี่ยนคำนำหน้าฐานข้อมูลอาจทำให้ปลั๊กอินและธีมที่ใช้งานอยู่บนไซต์ของคุณเสียหายได้ เครื่องมือเหล่านี้จะไม่รู้จักฐานข้อมูลที่อัปเดตจนกว่าคุณจะปิดใช้งานและเปิดใช้งานอีกครั้ง
ดังนั้น คุณจะต้องอ่านปลั๊กอินและธีมแต่ละรายการบนเว็บไซต์ของคุณและทำตามขั้นตอนนั้น เมื่อเสร็จแล้ว ให้ตรวจสอบไซต์ของคุณเพื่อให้แน่ใจว่าทุกอย่างทำงานได้ตามปกติ
20. ซ่อนเวอร์ชัน WordPress ของคุณ
ในอดีต WordPress เคยแสดงเวอร์ชันของซอฟต์แวร์ที่ไซต์ใช้ในส่วนท้าย แนวคิดก็คือข้อมูลนี้อาจเป็นประโยชน์สำหรับวัตถุประสงค์ในการแก้ไขปัญหา และจะง่ายกว่ามากที่จะค้นหาว่าข้อมูลดังกล่าวพร้อมสำหรับผู้เข้าชมส่วนหน้าหรือไม่
ปัญหาของแนวทางดังกล่าวคือการแสดงหมายเลขเวอร์ชันหมายความว่าผู้โจมตีสามารถค้นหาช่องโหว่เฉพาะสำหรับรุ่นนั้นได้ สิ่งนี้ทำให้ผู้ประสงค์ร้ายได้รับข้อมูลมากมายที่พวกเขาสามารถใช้เพื่อโจมตีเว็บไซต์ของคุณได้
นอกจากนี้ฟีเจอร์นี้ไม่มีประโยชน์ในทางปฏิบัติสำหรับคุณเลย ท้ายที่สุด คุณสามารถตรวจสอบเวอร์ชัน WordPress ของเว็บไซต์ของคุณได้จากแดชบอร์ด
WordPress เวอร์ชันใหม่กว่าจะไม่แสดงข้อมูลดังกล่าวที่ส่วนหน้าอีกต่อไป หากคุณเห็นหมายเลขเวอร์ชันในส่วนท้าย แสดงว่าเว็บไซต์ของคุณเกินกำหนดการอัปเดต WordPress
21. อัปเดตเวอร์ชัน PHP ของคุณให้เป็นปัจจุบันอยู่เสมอ
ดังที่คุณคงทราบแล้วว่า WordPress สร้างขึ้นจาก PHP เป็นส่วนใหญ่ มันอาศัยภาษาการเขียนโปรแกรมนี้เพื่อทำงานผู้ดูแลระบบส่วนใหญ่
PHP ก็เป็นซอฟต์แวร์เช่นกัน ซึ่งหมายความว่าจะได้รับการอัพเดตเป็นประจำด้วยคุณสมบัติและฟังก์ชันใหม่ๆ และประสิทธิภาพที่ได้รับการปรับปรุง
WordPress ต้องการให้เซิร์ฟเวอร์ของคุณใช้งาน PHP เวอร์ชัน 7.4 หรือสูงกว่า มี PHP เวอร์ชันล่าสุดและแต่ละเวอร์ชันนำการอัปเกรดประสิทธิภาพและความปลอดภัยมาสู่ซอฟต์แวร์ การอัพเกรดเหล่านั้นยังส่งผลต่อ WordPress อีกด้วย
โฮสต์เว็บที่มีชื่อเสียงส่วนใหญ่จะอัปเดต PHP บนเซิร์ฟเวอร์เมื่อมีเวอร์ชันใหม่ออกมา ผู้ให้บริการบางรายยังอนุญาตให้คุณสลับระหว่างเวอร์ชันต่างๆ ด้วยตนเอง (ซึ่งอาจจำเป็นสำหรับการแก้ไขปัญหาข้อผิดพลาดบนไซต์ WordPress ของคุณ)
คุณสามารถตรวจสอบเวอร์ชันของ PHP ที่ไซต์ของคุณใช้งานอยู่ได้โดยไปที่ การตั้งค่า → ความสมบูรณ์ของไซต์ → ข้อมูล → เซิร์ฟเวอร์ ในแดชบอร์ด WordPress ของคุณ ที่นี่คุณจะเห็นภาพรวมของการกำหนดค่าเซิร์ฟเวอร์ของคุณ รวมถึงเวอร์ชันของ PHP ที่เซิร์ฟเวอร์ใช้
หากเวอร์ชันนั้นล้าสมัย คุณอาจต้องติดต่อโฮสต์เว็บของคุณ พวกเขาอาจสามารถอัปเดต PHP ให้คุณได้ ถึงกระนั้น นี่คือสิ่งที่คุณไม่ควร จำเป็นต้องดำเนินการหากคุณใช้ผู้ให้บริการโฮสติ้งที่มีชื่อเสียง เนื่องจากพวกเขาจะดูแลคุณเอง
22. ปิดการรายงานข้อผิดพลาด PHP
WordPress มาพร้อมกับเครื่องมือแก้ไขข้อบกพร่องที่ช่วยให้ CMS บันทึกข้อผิดพลาด PHP คุณสามารถใช้รายงานข้อผิดพลาดเหล่านี้เพื่อแก้ไขปัญหาทางเทคนิคบนเว็บไซต์ของคุณได้
น่าเสียดายที่รายงานเหล่านี้อาจทำให้เกิดปัญหาด้านความปลอดภัยได้เช่นกัน หากผู้โจมตีสามารถเข้าถึงบันทึกข้อผิดพลาด PHP พวกเขาจะได้รับข้อมูลมากมายเกี่ยวกับวิธีการทำงานของไซต์ของคุณ พวกเขาอาจสามารถดูได้ว่ามีปลั๊กอินใดบ้างที่ทำงานอยู่บนไซต์ของคุณ (หากแสดงข้อผิดพลาด) รวมถึงไฟล์สำคัญบนไซต์ของคุณที่มีปัญหาเกี่ยวกับ PHP
คุณไม่จำเป็นต้องเปิดใช้งานการรายงานข้อผิดพลาด PHP เว้นแต่ว่าคุณกำลังแก้ไขปัญหาข้อผิดพลาดใน WordPress อยู่ หากคุณใช้เพื่อวินิจฉัยปัญหา คุณจะต้องปิดการใช้งานโหมดแก้ไขข้อบกพร่องของ WordPress ทันทีที่คุณได้รับข้อมูลที่ต้องการ
การปิดใช้งานการรายงานข้อผิดพลาด PHP จำเป็นต้องแก้ไขไฟล์ wp-config.php ซึ่งอยู่ในรากของ WordPress ไดเรกทอรี คุณสามารถเข้าถึงไดเร็กทอรีผ่าน FTP ดังที่แสดงไว้ก่อนหน้านี้
จากนั้น เปิดไฟล์ wp-config.php และเพิ่มบรรทัดโค้ดต่อไปนี้:
define ( 'WP_DEBUG', true );
เปลี่ยน ความจริง ค่าเป็น เท็จ และบันทึกไฟล์ สิ่งนี้จะปิดใช้งานบันทึกข้อผิดพลาดใน WordPress
คุณสามารถเปิดใหม่ได้ทุกเมื่อตามต้องการ คุณเพียงแค่ต้องเปลี่ยนค่ากลับเป็น true
23. ลบปลั๊กอินและธีมที่ไม่จำเป็นออก
ปลั๊กอินและธีมคือสิ่งที่ทำให้ WordPress เป็นแพลตฟอร์มอเนกประสงค์ พวกเขาเพิ่มคุณสมบัติใหม่ให้กับเว็บไซต์ของคุณและช่วยให้คุณสามารถปรับแต่งการออกแบบได้
ปัญหาคือบางคนติดตั้งปลั๊กอินและธีมหลายสิบรายการ แต่ใช้เพียงบางส่วนเท่านั้น ตัวอย่างเช่น คุณอาจลองใช้ธีมต่างๆ มากมายก่อนที่จะตัดสินใจเลือกธีมที่คุณชื่นชอบ แต่อย่าถอนการติดตั้งส่วนที่เหลือเลย
ปลั๊กอินที่ใช้งานอยู่ทุกตัวบนเว็บไซต์ของคุณมีความเสี่ยงด้านความปลอดภัย โดยทั่วไปแล้ว ความเสี่ยงนี้จะน้อยมากสำหรับปลั๊กอินที่ได้รับการอัพเดตเป็นประจำและมีทีมพัฒนาที่มีชื่อเสียงอยู่เบื้องหลัง สำหรับปลั๊กอินที่ล้าสมัยหรือปลั๊กอินที่ไม่ได้รับการอัปเดตอีกต่อไป ความเสี่ยงดังกล่าวจะเพิ่มขึ้นอย่างมาก
เช่นเดียวกับธีม การมีธีมที่คุณไม่ได้ใช้บนไซต์ของคุณอาจทำให้เกิดช่องโหว่ได้
หากคุณไม่ได้ใช้ธีมหรือปลั๊กอินใดเป็นพิเศษ ทางออกที่ปลอดภัยที่สุดคือถอนการติดตั้ง (ไม่ใช่แค่ปิดการใช้งาน) ขั้นตอนนี้ใช้เวลาเพียงไม่กี่นาที แต่สามารถสร้างความแตกต่างอย่างมากให้กับความปลอดภัยของเว็บไซต์ของคุณได้ นอกจากนี้ หากคุณเปลี่ยนใจ คุณยังสามารถติดตั้งปลั๊กอินหรือธีมที่ถูกลบออกไปใหม่ได้ตลอดเวลา
อย่างไรก็ตาม มีข้อยกเว้นอยู่ที่นี่ คุณอาจต้องการเก็บธีมเริ่มต้นเช่น Twenty Twenty-Three ไว้ แต่ไม่มีการใช้งาน เพื่อวัตถุประสงค์ในการแก้ไขปัญหา
24. ลบบัญชีผู้ใช้ที่ไม่จำเป็นออก
ตามหลักทั่วไปแล้ว ไม่มีใครควรสามารถเข้าถึงเว็บไซต์ของคุณได้ เว้นแต่จะมีความจำเป็นจริงๆ หากคุณจำเป็นต้องให้สิทธิ์การเข้าถึงแก่ผู้อื่น (เพื่อเผยแพร่เนื้อหา บำรุงรักษา หรืออัปเดตไซต์) คุณจะต้องตรวจสอบให้แน่ใจว่าคุณไม่ได้มอบหมายบทบาทผู้ใช้ที่มีสิทธิ์มากกว่าที่พวกเขาต้องการ
เมื่อบุคคลไม่ต้องการการเข้าถึงเว็บไซต์อีกต่อไป คุณสามารถลบบัญชีของพวกเขาได้ วิธีนี้จะป้องกันไม่ให้พวกเขาแก้ไขเว็บไซต์โดยไม่ได้รับการอนุมัติจากคุณ
บัญชีผู้ใช้เหล่านี้ก่อให้เกิดความเสี่ยงอื่น บางคนอาจใช้ข้อมูลประจำตัวจากบัญชีส่วนตัวของตนซ้ำเพื่อเข้าสู่ระบบเว็บไซต์ของคุณ หากข้อมูลประจำตัวเหล่านี้รั่วไหลจากการละเมิดความปลอดภัย ผู้โจมตีจะสามารถใช้เพื่อเข้าถึงเว็บไซต์ของคุณได้
การลบบัญชีผู้ใช้ใน WordPress เป็นเรื่องง่าย โดยไปที่ ผู้ใช้ → ผู้ใช้ทั้งหมด และเลือกบัญชี เมื่อคุณระบุบัญชีที่คุณต้องการลบแล้ว ให้วางเมาส์เหนือบัญชีนั้นแล้วคลิก ลบ
โปรดทราบว่าตัวเลือกนี้จะปรากฏเฉพาะเมื่อคุณเป็นผู้ดูแลระบบเท่านั้น ตราบใดที่ไม่มีใครสามารถเข้าถึงบัญชีผู้ดูแลระบบได้ คุณควรเป็นคนเดียวที่สามารถลบบัญชีผู้ใช้ได้
25. ติดตามกิจกรรมของผู้ใช้
หากคุณใช้งานเว็บไซต์ WordPress โดยที่บุคคลอื่นสามารถเข้าถึงแดชบอร์ดเพื่อเผยแพร่เนื้อหา ทำการเปลี่ยนแปลงเว็บไซต์ และอัปเดต คุณจะพบปัญหาด้านความปลอดภัยไม่ช้าก็เร็ว ตัวอย่างเช่น บางคนอาจถูกขโมยข้อมูลประจำตัวของตนหรือติดตั้งปลั๊กอินที่สร้างความเสี่ยงด้านความปลอดภัยให้กับไซต์
ด้วยเหตุนี้ ผู้ดูแลระบบจึงควรจับตาดูสิ่งที่ผู้อื่นทำเมื่อพวกเขาใช้งานไซต์
บันทึกกิจกรรมเป็นเครื่องมือที่ติดตามเหตุการณ์เฉพาะและจดบันทึกเมื่อเหตุการณ์ดังกล่าวเกิดขึ้น คุณสามารถเข้าถึงบันทึกนั้นและดูว่าใครทำอะไรและเมื่อไหร่ ซึ่งช่วยให้คุณมองเห็นเหตุการณ์และการกระทำที่อาจส่งผลเสียต่อความปลอดภัยของเว็บไซต์ของคุณ
คุณลักษณะนี้ไม่สามารถใช้งานได้ใน WordPress ตามค่าเริ่มต้น แต่คุณสามารถเพิ่มได้ด้วยปลั๊กอิน Jetpack Security มีบันทึกกิจกรรมที่เก็บข้อมูลในช่วง 30 วันที่ผ่านมา
บันทึกนี้โฮสต์นอกสถานที่ ดังนั้น หากคุณสูญเสียการเข้าถึงไซต์ คุณสามารถตรวจสอบบันทึกเพื่อดูว่าเกิดอะไรขึ้น ก่อนที่จะกู้คืนข้อมูลสำรองล่าสุด
26. ใช้ CDN เพื่อลดความเสี่ยงของการโจมตี DDoS
เครือข่ายการจัดส่งเนื้อหา (CDN) สามารถช่วยคุณลดเวลาในการโหลดได้อย่างมาก พวกเขาทำได้โดยการแคชเว็บไซต์ของคุณโดยใช้เครือข่ายศูนย์ข้อมูลที่กระจายอยู่ทั่วโลก เมื่อมีคนเยี่ยมชมไซต์ CDN จะสกัดกั้นคำขอและโหลดสำเนาจากเซิร์ฟเวอร์ที่ใกล้ที่สุด
การใช้ CDN ให้ประโยชน์มากมายนอกเหนือจากการลดเวลาในการโหลด ตัวอย่างเช่น เซิร์ฟเวอร์ของคุณมีความตึงเครียดน้อยลง ซึ่งหมายความว่าเว็บไซต์ของคุณจะอยู่ในตำแหน่งที่ดีกว่าเพื่อรองรับปริมาณการเข้าชมที่เพิ่มขึ้นอย่างรวดเร็ว นอกจากนี้ CDN ยังสามารถทำหน้าที่เป็นเกราะป้องกันในกรณีที่มีการโจมตีได้
หากเว็บไซต์ของคุณเป็นเป้าหมายของการโจมตี DDoS CDN ก็สามารถปิดระบบได้อย่างรวดเร็ว CDN จำนวนมากอาจขอให้ผู้เยี่ยมชมตรวจสอบว่าพวกเขาเป็นมนุษย์หรือไม่ หากเครือข่ายตรวจพบสิ่งแปลก ๆ ในการเชื่อมต่อ เนื่องจากการโจมตี DDoS ต้องอาศัยบอท จึงมักจะไม่สามารถข้ามการตรวจสอบความปลอดภัยประเภทนี้ได้
แม้ว่าการโจมตี DDoS จะสามารถเข้าถึง CDN ได้ แต่ศูนย์ข้อมูลก็ถูกสร้างขึ้นเพื่อจัดการปริมาณการรับส่งข้อมูลจำนวนมหาศาล ในระหว่างนี้ เว็บไซต์ของคุณจะได้รับการคุ้มครองโดย CDN
คุณสามารถรวม CDN ที่คุณต้องการเข้ากับ WordPress ได้ Jetpack CDN ติดตั้งง่ายมาก คุณสามารถเปิดใช้งานได้ฟรีในปลั๊กอิน Jetpack และ CDN จะเริ่มแคชไฟล์สื่อจากเว็บไซต์ของคุณ
27. ย้ายไปยังผู้ให้บริการโฮสติ้งที่เน้นความปลอดภัย
ทุกโฮสต์เว็บมีจุดขายของตัวเอง ตัวอย่างเช่น ผู้ให้บริการโฮสติ้งบางรายให้ความสำคัญกับความปลอดภัยและประสิทธิภาพมากกว่า ในขณะที่ผู้ให้บริการรายอื่นให้ความสำคัญกับราคาที่เอื้อมถึงได้
ตามหลักการแล้ว คุณจะต้องเลือกโฮสต์เว็บที่รับประกันประสิทธิภาพและความปลอดภัยระดับสูงสุด (และไม่คิดค่าใช้จ่ายในอัตราที่ไม่ยุติธรรม) มีโฮสต์เว็บจำนวนมากที่เหมาะกับเกณฑ์เหล่านี้และจัดการงานด้านความปลอดภัยที่จำเป็นสำหรับคุณ งานเหล่านั้นอาจรวมถึง:
- การสำรองข้อมูล
- การตั้งค่า WAF
- ปกป้องคุณจากการโจมตี DDoS
- การสแกนและล้างมัลแวร์
หากคุณต้องการใช้เวลาและพลังงานมากขึ้นในการใช้งานเว็บไซต์ของคุณและน้อยลงในการป้องกันการโจมตีคุณจะต้องเลือกโฮสต์ที่ให้ความปลอดภัย ในการเริ่มต้นคุณอาจต้องการรับรายการโฮสต์ WordPress ที่แนะนำ
โฮสต์เว็บที่จัดทำแผนโฮสติ้งที่มีการจัดการมีแนวโน้มที่จะเสนอเพิ่มเติมในแง่ของความปลอดภัย แน่นอนว่าบริการเหล่านี้จะมีราคาแพงกว่าแผนการที่ไม่มีการจัดการ แต่พวกเขาสามารถช่วยให้คุณสบายใจ
28. พิจารณาโซลูชันความปลอดภัยขององค์กร
หากคุณเรียกใช้เว็บไซต์ระดับองค์กรมาตรการรักษาความปลอดภัยของคุณควรไปนอกเหนือจากการอัปเดตปลั๊กอินและทำการสำรองข้อมูล คุณจะต้องมีโซลูชันความปลอดภัยที่ให้การป้องกันแบบครบวงจรสำหรับเว็บไซต์ของคุณ
WPSCAN มีฐานข้อมูลที่ใหญ่ที่สุดของช่องโหว่ความปลอดภัยของ WordPress ในตลาด
WPSCAN นำเสนอโซลูชันความปลอดภัยที่เน้นองค์กร สิ่งนี้สามารถปรับให้เหมาะกับความต้องการของ บริษัท และเว็บไซต์ที่คุณมี คุณสามารถติดต่อ WPSCAN โดยตรงเพื่อรับการประเมินความปลอดภัยของเว็บไซต์ของคุณและขอใบเสนอราคา
คำถามที่พบบ่อย
รายการเคล็ดลับการรักษาความปลอดภัย WordPress นี้ครอบคลุมมาตรการที่สำคัญที่สุดในการปกป้องเว็บไซต์ของคุณ หากคุณยังมีคำถามใด ๆ เกี่ยวกับวิธีการปรับปรุงความปลอดภัยของเว็บไซต์ส่วนนี้จะมีจุดมุ่งหมายเพื่อตอบคำถามเหล่านั้น
ภัยคุกคามทั่วไปใดที่สามารถบรรเทาได้โดยแนวทางปฏิบัติที่ดีที่สุดของ WordPress Security
คู่มือนี้ครอบคลุมทุกอย่างตั้งแต่มาตรการป้องกันขั้นพื้นฐานไปจนถึงแนวทางปฏิบัติด้านความปลอดภัยขั้นสูง หากคุณใช้เวลาในการใช้ทุกมาตรการที่ระบุไว้ในบทความนี้เว็บไซต์ของคุณควรได้รับการปกป้องจากภัยคุกคามที่พบบ่อยที่สุด สิ่งเหล่านี้รวมถึงการโจมตีด้วยพลังเดรัจฉานการขโมยข้อมูลและมัลแวร์
เป้าหมายสูงสุดของมาตรการเหล่านี้คือเพื่อให้แน่ใจว่าไม่มีนักแสดงที่เป็นอันตรายสามารถเข้าถึงไซต์ของคุณและก่อให้เกิดความเสียหายได้ พวกเขายังสามารถป้องกันข้อผิดพลาดโดยผู้ใช้ที่ไม่มีประสบการณ์เช่นการติดตั้งปลั๊กอินที่ไม่ดี
วิธีที่ง่ายที่สุดในการปรับปรุงความปลอดภัยของ WordPress คืออะไร?
หากคุณไม่มีเวลาใช้ทุกมาตรการในคู่มือนี้สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือการตั้งค่าปลั๊กอินความปลอดภัยของ WordPress เครื่องมือเหล่านี้จะเปิดใช้งานคุณสมบัติมากมายที่ช่วยปกป้องเว็บไซต์ของคุณโดยอัตโนมัติ
Jetpack Security เป็นโซลูชัน all-in-one ที่ทำงานโดยอัตโนมัติหลายงานที่จำเป็น มันทำการสำรองข้อมูลแบบเรียลไทม์ตั้งค่าไฟร์วอลล์สแกนและให้การแก้ไขอย่างรวดเร็วสำหรับมัลแวร์ปกป้องไซต์ของคุณจากสแปมและอื่น ๆ นอกจากนี้ยังช่วยให้คุณเข้าถึงบันทึกกิจกรรมเพื่อให้คุณสามารถระบุการกระทำใด ๆ ในเว็บไซต์ของคุณที่อาจทำให้เกิดปัญหาด้านความปลอดภัย (และผู้ที่ดำเนินการ)
ปลั๊กอินความปลอดภัยที่ดีที่สุดสำหรับ WordPress คืออะไร?
มีปลั๊กอินความปลอดภัย WordPress มากมายให้เลือก แต่ Jetpack Security เป็นหนึ่งในโซลูชั่นที่ครอบคลุมมากที่สุดในตลาด มันจัดการกับแนวทางปฏิบัติด้านความปลอดภัยส่วนใหญ่ที่กล่าวถึงในโพสต์นี้รวมถึงการสำรองข้อมูลการสแกนมัลแวร์และการกำจัดและการป้องกันสแปม
ฉันจะสำรองไซต์ WordPress ของฉันได้อย่างไรและฉันควรเก็บข้อมูลสำรองไว้ที่ไหน
มีหลายวิธีในการสำรองเว็บไซต์ WordPress คุณสามารถสำรองไฟล์ทั้งหมดและฐานข้อมูลด้วยตนเองใช้ปลั๊กอินที่ทำเพื่อคุณหรือลงทะเบียนสำหรับแผนโฮสติ้งที่มีการสำรองข้อมูลที่ จำกัด
ในกรณีส่วนใหญ่คุณไม่ต้องการจัดเก็บการสำรองข้อมูลในพื้นที่หรือในที่เดียว นี่คือเหตุผลว่าทำไมจึงไม่แนะนำให้พึ่งพาการโฮสต์การสำรองข้อมูลเพียงอย่างเดียว การสำรองข้อมูลคลาวด์มีแนวโน้มที่จะปลอดภัยมากขึ้นเนื่องจากผู้ให้บริการส่วนใหญ่เก็บสำเนาหลายชุดเพื่อประโยชน์ของความซ้ำซ้อน
Jetpack Security รวมการสำรองข้อมูลคลาวด์แบบเรียลไทม์ ทุกอย่างถูกเก็บไว้นอกสถานที่และมีการสำรองข้อมูลใหม่ทุกครั้งที่คุณเปลี่ยนแปลงเว็บไซต์ของคุณ
ฉันควรอัปเดตไซต์ WordPress บ่อยแค่ไหน?
เป็นการดีที่คุณควรอัปเดต WordPress และส่วนประกอบของมันทันทีที่มีการอัปเดต การใช้ซอฟต์แวร์เวอร์ชันล่าสุดจะช่วยเพิ่มความปลอดภัยและประสิทธิภาพของเว็บไซต์ของคุณ นอกจากนี้ยังช่วยให้คุณสามารถเข้าถึงคุณสมบัติล่าสุดได้
การอัปเดตจำนวนมากมุ่งเน้นไปที่การแก้ไขช่องโหว่ด้านความปลอดภัย เป็นการดีที่คุณจะต้องตรวจสอบเว็บไซต์ของคุณสำหรับการอัปเดตทุกวัน คุณสามารถเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอิน ทั้งหมดนี้และอื่น ๆ เป็นไปได้ด้วย Jetpack Security ซึ่งเป็นปลั๊กอินความปลอดภัยแบบเรียลไทม์และปลั๊กอินสำรอง
ฉันควรสแกนไซต์ WordPress สำหรับมัลแวร์บ่อยแค่ไหน?
หากทำได้คุณควรสแกนเว็บไซต์ของคุณสำหรับมัลแวร์ทุกวัน เนื่องจากนี่เป็นงานที่สำคัญเช่นนี้จึงทำให้รู้สึกเป็นไปโดยอัตโนมัติ ด้วยวิธีนี้ปลั๊กอินความปลอดภัยหรือเครื่องสแกนมัลแวร์ของคุณจะยังคงมองหาช่องโหว่แม้ว่าคุณจะไม่พร้อมก็ตาม
Jetpack Security รวมถึงการสแกนมัลแวร์อัตโนมัติ ปลั๊กอินสแกนไซต์ของคุณเป็นระยะและแจ้งให้คุณทราบหากพบสิ่งที่น่าสงสัยหรือไม่
Jetpack Security: การป้องกัน WordPress ตลอดเวลาและการสำรองข้อมูล
การปกป้องเว็บไซต์ WordPress อาจเป็นงานได้มากมาย คุณจะต้องทำการสำรองข้อมูลปกติดำเนินการอัปเดตสแกนไซต์ของคุณสำหรับมัลแวร์และอื่น ๆ นอกจากนี้คุณจะต้องมั่นใจว่าทุกคนที่เข้าถึงไซต์ของคุณกำลังใช้ชื่อผู้ใช้และรหัสผ่านที่แข็งแกร่ง
โซลูชัน all-in-one เช่น Jetpack Security สามารถจัดการงานเหล่านี้ส่วนใหญ่ให้คุณได้ คุณจะได้รับการสำรองข้อมูลอัตโนมัติและการสแกนการป้องกันสแปมไฟร์วอลล์ที่ทรงพลังและอื่น ๆ สิ่งที่คุณต้องทำคือติดตั้งปลั๊กอินและเปิดใช้งานคุณสมบัติเหล่านี้
คุณพร้อมที่จะเพิ่มความปลอดภัยของเว็บไซต์ของคุณหรือไม่? เริ่มต้นด้วย Jetpack Security วันนี้!