เหตุใดไซต์ WordPress ที่ถูกแฮ็กและวิธีป้องกัน

เผยแพร่แล้ว: 2019-10-07

ปรับปรุงล่าสุด - 8 กรกฎาคม 2021

WordPress เป็น ระบบจัดการเนื้อหา (CMS) ยอดนิยมที่ ใช้สำหรับสร้างเว็บไซต์หรือบล็อก สิ่งหนึ่งที่ทำให้ WordPress เป็นที่นิยมคือความเรียบง่าย ผู้ใช้สามารถใช้ WordPress เพื่อสร้าง แก้ไข และจัดการเนื้อหาบนเว็บไซต์ของพวกเขาได้อย่างง่ายดายโดยไม่ต้องมีประสบการณ์ในการเขียนโค้ด สิ่งนี้ผลักดันให้บริษัทและบุคคลจำนวนมากใช้ WordPress เพื่อสร้างไซต์ของตน

รายงาน ล่าสุด โดย W3techs ระบุว่ามีการใช้ WordPress ใน 34.5% ของเว็บไซต์ทั้งหมด นั่นหมายความว่าทุกเว็บไซต์ที่สามที่คุณใช้สร้างขึ้นด้วย WordPress ในบรรดาโซลูชัน CMS ส่วนแบ่งการตลาดของ WordPress นั้นสูงกว่าด้วยมากกว่า 60% ของเว็บไซต์ทั้งหมดที่ทำงานบน WordPress Joomla มาเป็นอันดับสอง แต่มีอัตรากำไรมหาศาล—มีการใช้งาน 5-10% ของจำนวนเว็บไซต์

ทำไมไซต์ WordPress ถูกแฮ็ก?

แม้ว่าจะไม่เสี่ยงต่อการถูกโจมตีมากกว่าเว็บไซต์อื่น ๆ บนอินเทอร์เน็ต แต่ไซต์ WordPress มักจะถูกแฮ็กเนื่องจากพบได้บ่อยกว่ามาก เนื่องจาก WordPress ได้รับความนิยมอย่างมหาศาล ผู้โจมตีจึงมีแรงจูงใจที่จะพยายามค้นหาวิธีใช้ประโยชน์จากช่องโหว่ที่พบในเว็บไซต์เหล่านี้

เมื่อผู้โจมตีพบช่องโหว่ใน WordPress พวกเขามีเป้าหมายมากกว่าระบบอื่นๆ บนอินเทอร์เน็ต นอกจากนี้ เนื่องจาก WordPress ดึงดูดผู้ใช้จำนวนมากที่ไม่มีประสบการณ์ในการเขียนโปรแกรม พวกเขาจึงมีโอกาสน้อยที่จะใช้มาตรการที่จำเป็นในการรักษาความปลอดภัยเว็บไซต์ของตนจากช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้ อีกเหตุผลหนึ่งที่ไซต์ WordPress ถูกแฮ็กคือเพื่อ "กีฬา" และการฝึกฝน ผู้เริ่มต้นหลายคนพยายามค้นหาไซต์ที่มีความปลอดภัยต่ำเพื่อฝึกทักษะการแฮ็กและหาวิธีปรับปรุง

7 วิธีที่เว็บไซต์ WordPress ถูกแฮ็กและวิธีป้องกัน

คุณต้องเข้าใจสาเหตุทั่วไปบางประการที่ทำให้ไซต์ WordPress ถูกแฮ็กและปฏิบัติตามข้อควรระวัง

รหัสผ่านที่อ่อนแอ

รหัสผ่านของคุณทำหน้าที่เป็นกุญแจสู่เว็บไซต์ WordPress ของคุณ ซึ่งหมายความว่าคุณต้องแน่ใจว่ารหัสผ่านแข็งแรงพอที่จะป้องกันได้ จากการศึกษาพบว่าประมาณ 80% ของการละเมิดข้อมูลทั้งหมด เกิดขึ้นเนื่องจากรหัสผ่านที่ไม่รัดกุม

วิธีแก้ไข : การแก้ไขช่องโหว่นี้ตรงไปตรงมา—ใช้รหัสผ่านที่คาดเดายาก คุณยังสามารถใช้ตัวจัดการรหัสผ่านบุคคลที่สาม เช่น LastPass เป็นต้น

ไม่เปลี่ยนชื่อผู้ใช้ WordPress ของคุณ

เมื่อคุณเปิดบัญชี WordPress ชื่อผู้ใช้ของคุณคือ "ผู้ดูแลระบบ" และทุกคนก็รู้เรื่องนี้ ด้วยเหตุผลนี้ นี่เป็นชื่อผู้ใช้แรกที่ผู้คุกคามจะพยายามแฮ็กเว็บไซต์ของคุณ บัญชีนี้ให้สิทธิ์การรูท และสามารถใช้เพื่อทิ้งไซต์ของคุณ เข้าถึงเครือข่ายที่เชื่อมต่อ และขโมยหรือลบหรือเรียกค่าไถ่ข้อมูล

วิธีแก้ไข : หากชื่อผู้ใช้ของคุณคือผู้ดูแลระบบ ให้เปลี่ยนเป็นชื่อผู้ใช้อื่นโดยเร็วที่สุด

เว็บโฮสติ้งที่ไม่ปลอดภัย

เว็บไซต์ WordPress โฮสต์บนเซิร์ฟเวอร์เหมือนกับเว็บไซต์อื่นๆ ทั้งหมด การเลือกผู้ให้บริการที่เหมาะสมคือกุญแจสำคัญในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ แม้ว่าคุณจะใช้เคล็ดลับอื่นๆ ทั้งหมดที่กล่าวถึงในคู่มือนี้ หากผู้ให้บริการของคุณมีการป้องกันที่อ่อนแอ เว็บไซต์ของคุณก็อาจถูกแฮ็กได้

วิธีแก้ไข : เลือกผู้ให้บริการโฮสติ้ง WordPress ที่ดีที่สุดในงบประมาณของคุณ และตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณโฮสต์บนแพลตฟอร์มที่ปลอดภัย

เรียนรู้ WordPress และ WooCommerce
Kinsta เสนอโฮสติ้ง WordPress ที่มีการจัดการและทรัพยากรที่ยอดเยี่ยมในการเรียนรู้ WordPress และ WooCommerce

สิทธิ์ของไฟล์ไม่ถูกต้อง

การอนุญาตไฟล์เป็นกฎที่ใช้โดยเซิร์ฟเวอร์โฮสต์ของคุณเพื่อช่วยให้เว็บเซิร์ฟเวอร์ของคุณควบคุมการเข้าถึงไฟล์ที่จัดเก็บและใช้งานโดยเว็บไซต์ของคุณ การให้สิทธิ์แก่ไฟล์เหล่านี้อย่างไม่ถูกต้องอาจทำให้แฮกเกอร์สามารถเข้าถึงและแก้ไขไฟล์ของคุณได้ ซึ่งอาจทำให้เกิดปัญหากับเว็บไซต์ของคุณได้ทุกประเภท

วิธีแก้ไข : ตรวจสอบให้แน่ใจว่าไฟล์ WordPress ทั้งหมดของคุณได้รับการตั้งค่าให้เป็นค่าการอนุญาตที่ 644 และโฟลเดอร์ทั้งหมดของคุณถูกตั้งค่าเป็น 755

ความปลอดภัยที่อ่อนแอต่อภัยคุกคามทางไซเบอร์ทั่วไป

แม้ว่าคุณจะมีรหัสผ่านที่รัดกุมที่สุดและใช้โฮสต์ที่ปลอดภัยที่สุด คุณก็ยังเสี่ยงที่จะถูกโจมตีทางไซเบอร์ ตัวอย่างเช่น การฉีด SQL เป็นการโจมตีทั่วไปที่ใช้สำหรับการติดมัลแวร์เว็บไซต์

วิธีแก้ไข : เรียนรู้เกี่ยวกับภัยคุกคามที่พบบ่อยที่สุด และวิธีรักษาความปลอดภัยเว็บไซต์ของคุณจากภัยคุกคามเหล่านี้ จุดเริ่มต้นที่ดีคือรายการ OWASP (Open Web Application Security Project) 10 อันดับ แรกที่มีรายละเอียด 10 ช่องโหว่ที่เร่งด่วนที่สุด OWASP ยังมีทรัพยากรทางการศึกษา ซึ่งคุณสามารถใช้เพื่อปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของคุณ

การใช้ WordPress เวอร์ชันที่ล้าสมัย

ผู้ใช้ WordPress บางคนกลัวที่จะอัปเดตเว็บไซต์ของตนเป็น WordPress เวอร์ชันล่าสุด เนื่องจากอาจทำให้เกิดข้อผิดพลาดกับเว็บไซต์ของตนได้ อย่างไรก็ตาม การหลีกเลี่ยงการอัปเดตถือเป็นปัญหาร้ายแรง เนื่องจากการอัปเดตเหล่านี้จำนวนมากได้รับการเผยแพร่เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย

วิธีแก้ไข : คุณควรอัปเดตเป็นเวอร์ชันล่าสุดเสมอเพื่อให้แน่ใจว่าคุณได้รับการแก้ไขข้อบกพร่องและแพตช์ความปลอดภัยล่าสุด หากคุณกลัวว่าการอัปเดตอาจทำให้เว็บไซต์ของคุณยุ่งเหยิง การสร้างการสำรองข้อมูล WordPress แบบสมบูรณ์ถือเป็นแนวทางปฏิบัติที่ดีเสมอ โดยเฉพาะอย่างยิ่งก่อนการอัปเดตเวอร์ชัน

การใช้ธีมหรือปลั๊กอินที่ล้าสมัย

ธีมและปลั๊กอินของ WordPress ไม่ได้แตกต่างจากซอฟต์แวร์หลักที่ใช้งานมากนัก และการอัพเดทให้ทันสมัยอยู่เสมอก็มีความสำคัญไม่แพ้กัน เวอร์ชันที่ล้าสมัยอาจมีช่องโหว่

วิธีแก้ไข : ตรวจสอบให้แน่ใจว่าคุณมีเวอร์ชันล่าสุดของธีมและปลั๊กอินทั้งหมดของคุณ

สรุป

เว็บไซต์ WordPress ถูกแฮ็กตลอดเวลา นี่เป็นข้อเท็จจริงและจำเป็นต้องได้รับการแก้ไขเช่นนี้ เว็บไซต์อีคอมเมิร์ซมีความเสี่ยงที่จะถูกโจมตีเป็นพิเศษ เพราะพวกเขาให้รางวัลมากกว่าเว็บไซต์ปกติ แพลตฟอร์มอีคอมเมิร์ซที่ประสบความสำเร็จซึ่งประมวลผลธุรกรรมจำนวนมากมักจะจัดเก็บข้อมูลที่ละเอียดอ่อน

หากเว็บไซต์ถูกละเมิด ผู้โจมตีสามารถขโมยข้อมูลได้ ซึ่งจะทำให้เว็บไซต์ตกอยู่ในสถานการณ์ที่เลวร้าย โดยเฉพาะอย่างยิ่งหากเว็บไซต์ให้บริการผู้ใช้ที่เกี่ยวข้องกับสหภาพยุโรป ข้อมูลนี้ได้รับการคุ้มครองโดยกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (EU GDPR) ซึ่งปกป้องข้อมูลที่ละเอียดอ่อนของ “พลเมืองทุกคนในสหภาพยุโรปและเขตเศรษฐกิจยุโรป” การไม่ปฏิบัติตาม GDPR อาจนำไปสู่การสูญเสียทางการเงินและชื่อเสียง

หน่วยงานการปฏิบัติตามข้อกำหนดอีกประการหนึ่งที่ต้องคำนึงถึงคือมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ซึ่งปกป้องข้อมูลที่ละเอียดอ่อนและข้อมูลทางการเงินของผู้ถือบัตรเครดิต PCI ใช้กับผู้ค้าที่ประมวลผล จัดเก็บ ส่ง และติดต่อกับข้อมูลบัตรเครดิต นั่นหมายความว่าแพลตฟอร์มอีคอมเมิร์ซต้องสอดคล้องกับ PCI PCI ได้รับการดูแลและควบคุมโดยบริษัทบัตรเครดิตรายใหญ่ ซึ่งบังคับใช้การปฏิบัติตามข้อกำหนดด้วยค่าปรับ