• โฮมเพจ
  • บทความ
  • แนะนำ
  • 7 วิธีที่ได้รับการพิสูจน์แล้วในการรักษาความปลอดภัยเว็บไซต์ WordPress - คำแนะนำด้านความปลอดภัย

7 วิธีที่ได้รับการพิสูจน์แล้วในการรักษาความปลอดภัยเว็บไซต์ WordPress - คำแนะนำด้านความปลอดภัย

เผยแพร่แล้ว: 2017-06-15

WordPress อยู่ภายใต้การโจมตีเสมอ! ใช่ คุณเคยได้ยินมาถูกต้องแล้ว และในฐานะบล็อกเกอร์และนักพัฒนา เป็นหน้าที่ของคุณที่จะต้องรักษาความปลอดภัยให้กับ WordPress มากกว่า 25% ของเว็บไซต์ทั้งหมดขับเคลื่อนโดย WordPress ณ จุดนี้ สิ่งสำคัญคือต้องเรียนรู้ว่าผู้คนเชื่อถือ CMS ที่คู่ควรหรือไม่

นักพัฒนาเว็บไซต์หลายคนยอมรับแล้วว่า WordPress มีปัญหาด้านความปลอดภัย แต่จะมีอะไรขยายออกไปอีก? คุณจะเสริมความปลอดภัยของ WordPress ได้อย่างไร? เราจะแสดงให้คุณเห็น 7 ขั้นตอนสุดท้ายในการรักษาความปลอดภัยเว็บไซต์ WordPress

WordPress ปลอดภัยหรือไม่?

เหตุการณ์การละเมิดความปลอดภัยของ WordPress ได้ออกอากาศแล้ว การละเมิดความปลอดภัยที่สำคัญสองประการของ WordPress ได้รายงานไปแล้วภายในไม่กี่ปีที่ผ่านมา

อย่างไรก็ตาม WordPress อาจปลอดภัยพอๆ กับ CMS อื่นๆ กล่าวคือ Drupal หรือ Magento และความรับผิดชอบส่วนใหญ่ตกเป็นของเจ้าของเว็บไซต์ นักพัฒนา และผู้ให้บริการบำรุงรักษา WordPress

หากคุณไม่รับผิดชอบ ไม่มีใครสามารถรับรองความปลอดภัยของไซต์ WordPress ของคุณได้

ใครกำลังโจมตีไซต์ WordPress?

เมื่อคุณพยายามป้องกันการแฮ็ค WordPress คุณต้องได้รับแนวคิดเกี่ยวกับแฮกเกอร์เว็บไซต์ ใครแสดงความสนใจในเว็บไซต์ของคุณ? ใครคือผู้โจมตีที่เป็นไปได้ของเว็บไซต์? โดยทั่วไปมีเอนทิตีสามประเภทที่โจมตีไซต์ WordPress

บอทตัวเดียว: บอทเป็นโปรแกรมเดียวที่ออกแบบโดยแฮกเกอร์ ค้นหาช่องโหว่ที่ทราบภายในเว็บไซต์ WordPress วิธีการของบอทคือประเภทของการโจมตีที่ไม่ซับซ้อนซึ่งสามารถโจมตีไซต์จำนวนน้อยได้

บ็อตเน็ต: บ็อตเน็ตเป็นโปรแกรมหลายเวอร์ชันที่ทำงานบนเครื่องจำนวนมากเพื่อแฮ็คเว็บไซต์จำนวนมากในเวลาเดียวกัน การแฮ็ก WordPress ส่วนใหญ่เกิดจากบ็อตเน็ต

มนุษย์: ผู้โจมตีที่เป็นมนุษย์หรือแฮ็กเกอร์ที่เป็นมนุษย์สนใจเฉพาะเว็บไซต์ที่มีข้อมูลส่วนตัวที่ละเอียดอ่อนหรือเว็บไซต์ที่ให้ผลกำไรทางการเงินเท่านั้น ผู้โจมตีที่เป็นมนุษย์นั้นซับซ้อนและอันตรายมาก ต่างจากบอท

7 ขั้นตอนในการรักษาความปลอดภัยไซต์ WordPress

ต่อไปนี้คือรายการ 7 ขั้นตอนสุดท้ายในการรักษาความปลอดภัยไซต์ WordPress ของคุณ

1. การเปิดใช้งานกระบวนการตรวจสอบสิทธิ์แบบสองขั้นตอน

กระบวนการตรวจสอบสิทธิ์แบบสองขั้นตอนถูกนำมาใช้โดยเว็บไซต์เกือบทุกประเภทที่ให้ความสำคัญกับความปลอดภัย

เราใช้ WordPress Google Authenticator Plugin โดย Henrik Schack มาเป็นเวลานานแล้วและได้ผลดีจริงๆ คุณต้องติดตั้งปลั๊กอินนี้บนเว็บไซต์ WordPress ของคุณ แล้วติดตั้งแอป Google Authenticator บนสมาร์ทโฟนของคุณ โดยไม่เสียค่าใช้จ่ายใดๆ และคุณสามารถดาวน์โหลดได้จาก play store

การยืนยันสองขั้นตอน WordPress ด้วย Google Authenticator
การยืนยันสองขั้นตอน WordPress ด้วย Google Authenticator

แล้วทำไมมันถึงไม่ใช่สำหรับ WordPress? ในการยืนยันแบบสองขั้นตอนหรือกระบวนการตรวจสอบสิทธิ์แบบสองปัจจัย ผู้ใช้จะถูกขอให้ใส่ OTP ที่ไม่ใช่รหัสผ่านของบัญชี

ผู้ใช้สามารถรับ OTP นี้ผ่านหมายเลขโทรศัพท์มือถือส่วนตัวที่ลงทะเบียนใน WordPress นี่เป็นการรักษาความปลอดภัยอีกชั้นหนึ่งเพื่อปกป้องไซต์จากแฮกเกอร์

มีปลั๊กอินการตรวจสอบสิทธิ์สองปัจจัยของ WordPress ฟรีมากมายเพื่อเพิ่มการตรวจสอบสิทธิ์สองปัจจัยใน WordPress

2. WordPress Update

ผู้เชี่ยวชาญ CMS แนะนำให้อัปเดต WordPress อย่างสม่ำเสมอ ทำไม เช่นเดียวกับ CMS อื่น ๆ WordPress กำลังพัฒนาและเพิ่มคุณสมบัติใหม่รวมถึงการแก้ไขแบ็คดอร์ที่เป็นไปได้ของแฮกเกอร์

อัปเดตเพื่อรักษาความปลอดภัย WordPress
อัปเดตเพื่อรักษาความปลอดภัย WordPress

ดังนั้น หากคุณไม่อัปเดต WordPress คุณจะเสี่ยงต่อแฮกเกอร์ นอกจากนี้ WordPress ยังเสนอการอัปเดตเพียงสองครั้งในหนึ่งปี และใช้เวลาเพียงไม่กี่นาทีในการอัปเดต WordPress

3. สร้างรหัสผ่านที่รัดกุม

เพื่อปกป้องไซต์ WordPress ของคุณ คุณต้องเลือกรหัสผ่านที่คาดเดายากเสมอ รหัสผ่านใน WordPress คำนึงถึงขนาดตัวพิมพ์ ซึ่งดีสำหรับความปลอดภัย

หากต้องการเปลี่ยนรหัสผ่าน ให้ไปที่ ผู้ใช้ > โปรไฟล์ของคุณ และภายใต้ส่วนการจัดการบัญชี ให้คลิกปุ่มสร้างรหัสผ่าน คัดลอกและบันทึกรหัสผ่านที่คาดเดายากนี้ที่ WordPress จะสร้างให้คุณ

ใช้รหัสผ่านที่รัดกุมเพื่อรักษาความปลอดภัย WordPress
ใช้รหัสผ่านที่รัดกุมเพื่อรักษาความปลอดภัย WordPress

ในการสร้างรหัสผ่านที่คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ คุณต้องใส่ตัวอักษร (สุ่ม) ทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก นอกจากนั้น คุณต้องใส่อักขระพิเศษและตัวเลขด้วย

รหัสผ่านควรมีอักขระขั้นต่ำ 12 ถึง 14 ตัว คุณไม่ควรแชร์รหัสผ่านกับใครหรือเขียนไว้ที่ไหนสักแห่งที่ผู้อื่นเข้าถึงได้ง่าย

อันนี้ Gwl#73FLp4@B2J เป็นตัวอย่างของรหัสผ่านในอุดมคติ

4. เปลี่ยนชื่อผู้ใช้ “แอดมิน”

Admin คือชื่อผู้ใช้เริ่มต้นสำหรับบัญชี WordPress ซึ่งทำให้แฮกเกอร์ง่ายขึ้น ในขณะที่คงชื่อผู้ใช้เริ่มต้นไว้ แฮ็กเกอร์จะมีสิทธิ์ไม่เดาชื่อผู้ใช้และย้ายรหัสผ่านโดยตรง

คุณสามารถเปลี่ยนชื่อผู้ใช้ด้วยตนเองจากการตั้งค่า WordPress หรือใช้ปลั๊กอินเพื่อเปลี่ยนชื่อผู้ใช้ เป็นขั้นตอนง่าย ๆ (ข้อควรระวัง) ในการขัดขวางแฮกเกอร์

  1. หากชื่อผู้ใช้ปัจจุบันของคุณคือ "ผู้ดูแลระบบ" ให้ไปที่ผู้ใช้ > เพิ่มใหม่ และสร้างบัญชีผู้ใช้ใหม่ด้วยชื่อผู้ใช้ใหม่และรหัสผ่านที่คาดเดายาก และให้บทบาท "ผู้ดูแลระบบ" แก่ผู้ใช้ใหม่นี้
  2. ออกจากระบบบัญชี WordPress และเข้าสู่ระบบด้วยบัญชีผู้ใช้ใหม่และลบผู้ใช้เก่าด้วยชื่อผู้ใช้ "admin" หรือเปลี่ยนบทบาทของผู้ใช้เป็น Subscriber

5. ปลั๊กอินความปลอดภัย WordPress

การใช้ปลั๊กอินความปลอดภัย เช่น การรักษาความปลอดภัย WP แบบ all-in-one เป็นขั้นตอนที่มีประสิทธิภาพในการปกป้องเว็บไซต์จากแฮกเกอร์

ติดตั้งปลั๊กอินความปลอดภัย WordPress
ติดตั้งปลั๊กอินความปลอดภัย WordPress

คุณสามารถข้ามภัยคุกคามด้านความปลอดภัยที่สำคัญๆ หลายรายการรวมถึงปัญหามัลแวร์ได้อย่างง่ายดายด้วยการใช้ปลั๊กอินความปลอดภัยที่เหมาะสม

หากคุณสับสนว่าปลั๊กอินความปลอดภัยใดดีที่สุดสำหรับไซต์ของคุณ เราขอแนะนำให้คุณใช้ปลั๊กอินดังกล่าว Sucuri เป็นหนึ่งในปลั๊กอินความปลอดภัยที่ดีที่สุดที่ใช้โดยผู้ใช้ WordPress จำนวนมากทั่วโลก

6. จำกัดการพยายามเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress อนุญาตให้เปิดการเข้าสู่ระบบได้ไม่จำกัด อย่างไรก็ตาม คุณลักษณะนี้ไม่ใช่คุณลักษณะที่ดีเมื่อพิจารณาถึงเรื่องความปลอดภัย

คุณสามารถใช้ปลั๊กอินต่างๆ เพื่อจำกัดจำนวนครั้งในการเข้าสู่ระบบ ปลั๊กอินอย่าง LockDown ได้รับการพิสูจน์แล้วว่าดีมาก นอกจากนี้ หากคุณสามารถใช้ Web Application Firewall (WAF) ได้

Cerber Security เป็นปลั๊กอินฟรีและเป็นปัจจุบันเพื่อจำกัดความพยายามในการเข้าสู่ระบบ

7. เพิ่มคำถามเพื่อความปลอดภัยในการเข้าสู่ระบบ WordPress

หากคุณกำลังใช้ปลั๊กอิน JetPack ให้ไปที่ Jetpack > การตั้งค่า > ความปลอดภัย แท็บและเปิดใช้งานการป้องกันการโจมตีด้วยกำลังดุร้าย คุณยังสามารถเปิดใช้งานการเข้าสู่ระบบ WordPress.com เพื่อให้การเข้าสู่ระบบ WordPress ของคุณปลอดภัยและง่ายขึ้น

Jetpack WordPress การป้องกันกำลังดุร้าย
Jetpack WordPress การป้องกันกำลังดุร้าย

การเพิ่มคำถามเพื่อความปลอดภัยเป็นขั้นตอนที่ค่อนข้างมีประสิทธิภาพ ด้วยความช่วยเหลือของปลั๊กอินบางตัว เช่น WP Security Questions Plugin คุณสามารถเพิ่มคำถามเพื่อความปลอดภัย ซึ่งจะต้องตอบในขณะที่ลงชื่อเข้าใช้เว็บไซต์

อย่างไรก็ตาม พยายามเลือกคำถามที่เป็นส่วนตัวมากขึ้น ซึ่งไม่ง่ายที่จะเดาโดยบุคคลภายนอกหรือผู้ที่มีปฏิสัมพันธ์กับคุณอย่างจำกัด เคล็ดลับนี้จะได้ผลก็ต่อเมื่อคุณสามารถเลือกคำถามส่วนตัวได้อย่างชาญฉลาด

สรุปความคิด

หากคุณมีเว็บไซต์ WordPress คุณต้องพิจารณาปัญหาด้านความปลอดภัยอย่างจริงใจ คุณสมบัติมากมายของ WordPress ทำให้เสี่ยงต่อการถูกแฮกเกอร์

อย่างไรก็ตาม การใช้มาตรการป้องกันต่างๆ และการใช้ปลั๊กอินที่เหมาะสม ช่องโหว่ต่างๆ อาจลดลงได้ ลองทำตามคำแนะนำที่เราระบุไว้สำหรับคุณ หากคุณชอบคำแนะนำของเรา โปรดคอยติดตามการอัปเดตเพิ่มเติม!