คู่มือความปลอดภัยของ WordPress: ทำให้ WordPress ปลอดภัย 2022

เผยแพร่แล้ว: 2022-02-17

รูปภาพนี้:

คุณเปิดไซต์ WordPress ของคุณ ตาสว่าง หางเป็นพวง และพร้อมที่จะอัปโหลดโพสต์บล็อกล่าสุดของคุณ...เพียงเพื่อจะพบกับเนื้อหาแปลก ๆ ที่ชี้นำผู้คนให้ซื้อยาจากเว็บไซต์ที่ไม่ซับซ้อน

เป็นฝันร้ายที่สุดของผู้ดูแลเว็บส่วนใหญ่ แต่เป็นสิ่งที่สามารถเกิดขึ้นได้กับไซต์ WordPress ของคุณ...หากคุณไม่ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่เหมาะสม

เราไม่ ได้ พยายามทำให้คุณตกใจ – WordPress ปลอดภัย มีทีมรักษาความปลอดภัยโดยเฉพาะและกองทัพของผู้สนับสนุนและนักพัฒนาที่มีความรู้ที่จะช่วยคงไว้ซึ่งวิธีการดังกล่าว

แต่ถ้าคุณไม่ได้สร้างบนพื้นฐานที่ปลอดภัยนั้นโดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress คุณอาจเปิดประตูให้ผู้ประสงค์ร้ายนำเขี้ยวของพวกเขาเข้ามาในเว็บไซต์ของคุณ

ในโพสต์นี้ เราอยู่ที่นี่เพื่อช่วยให้คุณเรียนรู้ว่าแนวปฏิบัติที่ดีที่สุดคืออะไร เพื่อที่คุณจะได้หยุดสถานการณ์ฝันร้ายไม่ให้กลายเป็นจริงได้

ในตอนท้าย เราจะกล่าวถึงส่วนต่างๆ ต่อไปนี้:

  • WordPress ปลอดภัยหรือไม่?
  • ทำไมคุณไม่ควรรอเพื่อรับการรักษาความปลอดภัยตามลำดับ
  • 21 สิ่งที่คุณสามารถทำได้เกี่ยวกับการรักษาความปลอดภัย ในขณะนี้
  • ความเสี่ยงจากการละเมิดความปลอดภัย
  • จะทราบได้อย่างไรว่าไซต์ของคุณถูกแฮ็ก
  • ปลั๊กอินความปลอดภัย WordPress ชั้นนำสามตัว
  • กลยุทธ์ความปลอดภัยที่สำคัญที่สุดสามประการในการนำไปใช้
  • การตรวจสอบและแก้ไขการละเมิดความปลอดภัยของ WordPress

แม้ว่าอาจต้องใช้เวลาสองสามชั่วโมงในการทำงานตามแนวทางปฏิบัติที่ดีที่สุดในบทความนี้ แต่การลงทุนเพียงเล็กน้อยในขณะนี้จะจ่ายเงินปันผลในอนาคตในรูปแบบของไซต์ WordPress ที่ปลอดภัยและกันกระสุนได้

WordPress ปลอดภัยหรือไม่?

WordPress มีอำนาจมากกว่า 43% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต ซึ่งหมายความว่าเป็นเป้าหมายที่น่าสนใจสำหรับผู้กระทำผิด

ความจริงที่ว่า WordPress ได้รับความนิยมอย่างมากก็หมายความว่ามีคนใช้หลากหลายรวมถึงผู้ที่มีระดับความรู้ต่างกันมาก คิดว่านักพัฒนาที่มีประสบการณ์ vs คนที่เพิ่งเปิดตัวบล็อกแรกของพวกเขา…และทุกคนในระหว่างนั้น

มีข่าวดีและข่าวร้ายอยู่ที่นี่...

ข่าวดี:

WordPress มี ความปลอดภัย นั่นเป็นสาเหตุที่คนทั่วไปจำนวนมากใช้ รวมถึงองค์กรขนาดใหญ่เช่น US White House และ Facebook

WordPress ถูกใช้โดยแบรนด์ใหญ่ที่ให้ความสำคัญกับความปลอดภัย

Facebook และทำเนียบขาวไม่ไว้วางใจเว็บไซต์ของตนให้เป็นแพลตฟอร์มที่ไม่ปลอดภัย ยิ่งไปกว่านั้น 43% ของเว็บไซต์บนอินเทอร์เน็ตจะไม่ทำงานบน WordPress หากไม่ปลอดภัย

ข่าวร้าย :

ไซต์ WordPress จำนวน มาก ถูกแฮ็ก ในรายงานเว็บไซต์ที่ถูกแฮ็กของ Sucuri นั้น WordPress เป็นแพลตฟอร์มที่ถูกแฮ็กมากที่สุดเป็นประจำ ( จำไว้ว่า – เป็นที่นิยมมาก )

ดังนั้น – WordPress จะปลอดภัยได้อย่างไร และ มีการแฮ็กไซต์ด้วย สิ่งเหล่านี้ไม่ใช่สิ่งพิเศษร่วมกันใช่หรือไม่?

คำตอบอยู่ที่ วิธี ที่ผู้คนใช้ WordPress ทั้งหมด

หากคุณมีความกระตือรือร้นในการปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด เช่นเดียวกับที่เราจะกล่าวถึงในบทความนี้ คุณสามารถ รักษา ไซต์ WordPress ของคุณให้ปลอดภัยและหลีกเลี่ยงปัญหาได้

WordPress มีเครื่องมือรักษาความปลอดภัยขนาดใหญ่ รวมถึงทีมรักษาความปลอดภัยอย่างเป็นทางการของสมาชิกกว่า 50 คนและนักพัฒนาที่มีประสบการณ์มากมายที่สร้างส่วนขยายที่ปลอดภัยและตั้งค่าสถานะปัญหาที่อาจเกิดขึ้น

คนเหล่านั้นทำงานได้อย่างยอดเยี่ยมในการทำให้ WordPress ปลอดภัย – แต่คุณยังต้องทำส่วน ของคุณ หากต้องการคงไว้อย่างนั้น

หากคุณไม่ได้ต่อยอดจากการทำงานหนักของผู้ร่วมเขียนข้อความใน WordPress และปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด คุณสามารถทำผิดพลาดที่ทำให้เกิดช่องโหว่ในซอฟต์แวร์ WordPress ได้ ไม่ว่าจะเป็นการใช้รหัสผ่านที่ไม่รัดกุม การติดตั้งปลั๊กอินที่มีช่องโหว่ หรืออย่างอื่น

ทำไมคุณไม่ควรรอให้จริงจังเกี่ยวกับความปลอดภัยของ WordPress

ความปลอดภัยของ WordPress เป็นหนึ่งในสิ่งที่รู้สึกเหมือนไม่ใช่เรื่องใหญ่...จนกว่าจะ เป็นเรื่องใหญ่จริงๆ

คุณมีข้อมูลมากมายในด้านการตลาดและการขยายไซต์ของคุณ ดังนั้นจึงง่ายที่จะผลักดันความปลอดภัยไปทางด้านหลัง เนื่องจากเป็นการยากที่จะผูกมัดการปรับปรุงความปลอดภัยกับเมตริกการเติบโต เช่น การเข้าชมหรือรายได้

เราค่อนข้างจะตรงไปตรงมา แต่แนวความคิดนั้นสั้นอย่างไม่น่าเชื่อ การนำรายการตรวจสอบความปลอดภัยของ WordPress ไปใช้ด้านล่างอาจต้องใช้เวลาพอสมควรและอาจต้องใช้เงินเพียงเล็กน้อย แต่ค่าใช้จ่ายเหล่านั้นค่อนข้างต่ำเมื่อเทียบกับสิ่งที่คุณจะ "จ่าย" หากไซต์ของคุณถูกละเมิด

การละเมิดความปลอดภัยเพียงครั้งเดียวจะทำให้คุณ "เสียค่าใช้จ่าย" มากขึ้นในแง่ของเวลาที่เสียไป รายได้ การเข้าชม SEO และความไว้วางใจจากผู้เยี่ยมชมของคุณ

โดยพื้นฐานแล้ว คุณไม่ต้องการเดิมพันด้วยการรักษาความปลอดภัยของเว็บไซต์ของคุณ ใช้เวลา ในขณะนี้ เพื่อป้องกันตัวเองจากค่าใช้จ่ายมหาศาลในภายหลัง

20 สิ่งที่คุณสามารถทำได้ ตอน นี้เกี่ยวกับความปลอดภัยของ WordPress

จนถึงตอนนี้ เราได้พูดถึงทฤษฎีแล้ว ตอนนี้ มาเริ่มเปลี่ยนกลยุทธ์ในการดำเนินการบางอย่างเพื่อล็อกไซต์ของคุณ เริ่มต้นด้วยรายการตรวจสอบความปลอดภัยของ WordPress ที่คุณสามารถนำมาใช้เพื่อปกป้องไซต์ของคุณ ได้ตั้งแต่วันนี้

1. ทำความเข้าใจธีมความปลอดภัยของ WordPress ขั้นพื้นฐาน

ก่อนทำการเปลี่ยนแปลงใดๆ บนไซต์ของคุณ คุณจะต้องเข้าใจธีมพื้นฐานของความปลอดภัยของ WordPress:

  • จำกัดการเข้าถึง – จำกัดการเข้าถึงเว็บไซต์ของคุณ ทั้งผ่านวิธีการที่ตั้งใจไว้ (บัญชีผู้ใช้) และวิธีการที่ไม่ได้ตั้งใจ (ช่องโหว่)
  • มีปัญหา – หากผู้ประสงค์ร้ายเข้าถึงได้ คุณต้องการจำกัดความเสียหายที่พวกเขาสามารถทำได้
  • ใช้เฉพาะบุคคลที่สามที่เชื่อถือได้ – แม้ว่าแกนหลักของ WordPress จะปลอดภัย แต่ทุกส่วนขยายที่คุณเพิ่มลงในไซต์ของคุณก็มีช่องโหว่ที่อาจเกิดขึ้น

2. ใช้ WordPress Updates ทันที

เพื่อป้องกันไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยที่เกิดขึ้น จำเป็นต้องใช้การอัปเดตหลักของ WordPress การอัปเดตปลั๊กอิน และการอัปเดตธีมโดยทันที โดยเฉพาะอย่างยิ่ง การอัปเดตความปลอดภัย ซึ่งคุณควรสมัครทันที*

*การอัปเดตความปลอดภัยมีจุดสองจุดในหมายเลขเวอร์ชัน – เช่น 5.9.1 คุณสามารถรอเพื่อใช้การอัปเดตคุณสมบัติหลัก ซึ่งมีเพียงจุดเดียว เช่น 5.9

3. ใช้รหัสผ่านที่รัดกุมสำหรับทุกอย่าง

การใช้รหัสผ่านที่รัดกุมและไม่ซ้ำใครสำหรับบัญชีผู้ดูแลระบบ WordPress ของคุณ บัญชีโฮสติ้ง และเครื่องมืออื่นๆ (เช่น ข้อมูลประจำตัว SFTP) สามารถช่วยป้องกันการโจมตีแบบเดรัจฉานและการโจมตีประเภทอื่นๆ

ในการจัดเก็บรหัสผ่านอย่างปลอดภัย คุณสามารถใช้ตัวจัดการรหัสผ่าน เช่น Bitwarden หรือ LastPass ผู้จัดการรหัสผ่านเหล่านี้ยังสามารถช่วยคุณสร้างรหัสผ่านที่ไม่ซ้ำได้อีกด้วย

4. ใช้ปลั๊กอินที่เชื่อถือได้

ติดตั้งเฉพาะปลั๊กอินจากนักพัฒนาที่เชื่อถือได้ซึ่งยังคงรักษาปลั๊กอินเพื่อบัญชีสำหรับ WordPress รุ่นใหม่และช่องโหว่ที่ค้นพบใหม่

5. รักษาความปลอดภัยคอมพิวเตอร์ของคุณ

ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ที่คุณใช้เพื่อเข้าถึงไซต์ WordPress ของคุณสะอาด ใช้ซอฟต์แวร์ป้องกันไวรัสที่มีคุณภาพและทำการสแกนมัลแวร์เป็นประจำ

6. ล็อคหน้าเข้าสู่ระบบของคุณ

นอกจากการใช้รหัสผ่านที่รัดกุมแล้ว คุณยังสามารถปกป้องหน้าเข้าสู่ระบบของคุณโดยใช้กลวิธีต่างๆ เช่น การจำกัดความพยายามในการเข้าสู่ระบบและการตรวจสอบสิทธิ์แบบสองปัจจัย คุณสามารถทำสิ่งนี้ให้สำเร็จได้ด้วยปลั๊กอินเฉพาะคุณสมบัติฟรี เช่น การจำกัดความพยายามในการเข้าสู่ระบบซ้ำ และการตรวจสอบสิทธิ์แบบสองปัจจัย หรือคุณสามารถใช้ปลั๊กอินความปลอดภัย WordPress แบบกว้าง ๆ ที่เราจะพูดถึงในโพสต์นี้ในภายหลัง

คุณยังสามารถเปลี่ยน URL ล็อกอินของ WordPress ได้อีกด้วย แม้ว่าจะไม่ได้เพิ่มความปลอดภัยในการเข้าสู่ระบบเป็นพิเศษมากนักหากคุณใช้เคล็ดลับข้างต้น แต่ก็สามารถลดปริมาณการใช้บอทได้

7. ทำการสำรองข้อมูลเป็นประจำ

การสำรองข้อมูลเป็นประจำและเก็บไว้ในที่ที่ยาวเป็นองค์ประกอบสำคัญของความปลอดภัยของ WordPress หากคุณมีการสำรองข้อมูลล่าสุด การละเมิดความปลอดภัยในกรณีที่เลวร้ายที่สุดคือความไม่สะดวกแทนที่จะเป็นหายนะเมื่อพูดถึงข้อมูลเว็บไซต์ของคุณ

โฮสต์ WordPress ที่มีการจัดการส่วนใหญ่เสนอการสำรองข้อมูลอัตโนมัตินอกสถานที่ในปัจจุบัน ถ้าไม่ คุณสามารถใช้ปลั๊กอินเช่น UpdraftPlus

8. ใช้โฮสติ้งที่ปลอดภัย

ใช้โฮสต์ WordPress คุณภาพสูงที่ใช้โปรโตคอลความปลอดภัยที่มั่นคง เช่น ไฟร์วอลล์และการสแกนมัลแวร์ ในขณะที่คุณไม่ควรพึ่งพาโฮสต์ของคุณเพียงอย่างเดียว แต่โฮสต์ WordPress ที่มีคุณภาพสามารถช่วยรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณได้

9. ติดตั้งใบรับรอง SSL และใช้ HTTPS

ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งใบรับรอง SSL และตั้งค่าไซต์ของคุณเพื่อบังคับการรับส่งข้อมูลทั้งหมดไปยังเวอร์ชัน HTTPS ที่ปลอดภัย เพื่อให้แน่ใจว่าข้อมูลที่ส่งผ่านระหว่างเว็บเบราว์เซอร์ของผู้เข้าชมและเซิร์ฟเวอร์ของไซต์ของคุณได้รับการเข้ารหัส

คุณสามารถปรึกษาทีมสนับสนุนของโฮสต์หรือเอกสารประกอบเพื่อเรียนรู้วิธีติดตั้งใบรับรอง SSL และปลั๊กอิน เช่น Really Simple SSL สามารถช่วยบังคับการรับส่งข้อมูล HTTPS บนไซต์ของคุณได้

10. ใช้ SFTP และอย่าเก็บรหัสผ่าน

ตรวจสอบให้แน่ใจว่าคุณใช้ SFTP เมื่อคุณเชื่อมต่อกับเซิร์ฟเวอร์ของไซต์ แทนที่จะใช้ FTP ธรรมดา (ซึ่งไม่มีการเข้ารหัส) นอกจากนี้ พยายามหลีกเลี่ยงการจัดเก็บรหัสผ่าน SFTP ในไคลเอนต์ FTP ของคุณ เว้นแต่จะได้รับการเข้ารหัสและป้องกันด้วยรหัสผ่าน

11. ปิดใช้งาน XML-RPC

XML-RPC ช่วยให้บางแอป เช่น แอป iPhone เชื่อมต่อกับไซต์ WordPress ของคุณ คนส่วนใหญ่ไม่เคยใช้แอปเหล่านี้ในการเชื่อมต่อ ซึ่งหมายความว่า XML-RPC เป็นเพียงเวกเตอร์ช่องโหว่ที่ไม่จำเป็นสำหรับการโจมตีด้วยกำลังดุร้ายหรือการโจมตี DDoS

ด้วยเหตุผลดังกล่าว คนส่วนใหญ่จึงปิดการใช้งาน XML-RPC ซึ่งคุณสามารถทำได้โดยใช้ปลั๊กอิน เช่น ปิดใช้งาน XML-RPC หรือปลั๊กอินความปลอดภัยทั่วไปตัวใดตัวหนึ่งที่เราจะพูดถึงในภายหลัง

12. ปิดใช้งานการแก้ไขไฟล์

ตามค่าเริ่มต้น WordPress อนุญาตให้ผู้ใช้ผู้ดูแลระบบแก้ไขไฟล์ธีมและปลั๊กอินจากแดชบอร์ด WordPress ได้โดยตรง ซึ่งเป็นช่องโหว่ขนาดใหญ่หากผู้ไม่ประสงค์ดีเข้าถึงแดชบอร์ดของคุณ

คุณสามารถปิดใช้งานได้โดยเพิ่มบรรทัดลงใน ไฟล์ wp-config.php ของคุณ

13. ตรวจสอบปัญหาด้านความปลอดภัย

การวางนโยบายการตรวจสอบความปลอดภัยเป็นประจำสามารถช่วยให้คุณตรวจจับปัญหาได้ก่อนที่จะกลายเป็นปัญหาใหญ่ เราจะพูดถึงแนวทางปฏิบัติในการตรวจสอบที่เหมาะสมในภายหลังในโพสต์นี้

14. ไฟล์และโฟลเดอร์ WordPress คีย์ความปลอดภัย

ไฟล์และโฟลเดอร์ WordPress บางไฟล์มีความเสี่ยงเป็นพิเศษ ดังนั้นคุณจะต้องให้ความสนใจเป็นพิเศษกับการรักษาความปลอดภัยให้กับ ไฟล์ wp-config.php และโฟลเดอร์ wp-admin และ wp-includes

15. ใช้สิทธิ์ไฟล์ที่เหมาะสม

สิทธิ์ของไฟล์จะควบคุมการเข้าถึงที่ผู้ใช้และโปรแกรมมีต่อไฟล์และโฟลเดอร์บนเซิร์ฟเวอร์โฮสต์ของคุณ หากมีการกำหนดค่าไม่ถูกต้อง พวกเขาสามารถให้ผู้ประสงค์ร้ายเข้าถึงไฟล์สำคัญ เช่น ไฟล์ wp-config.php หรือไฟล์ . htaccess

หากต้องการเรียนรู้การอนุญาตที่เหมาะสมสำหรับ WordPress คุณสามารถอ่านหน้านี้ WordPress.org

16. พิจารณาการบันทึกกิจกรรม

การบันทึกกิจกรรมช่วยให้คุณติดตามสิ่งที่เกิดขึ้นบนไซต์ของคุณ ซึ่งสามารถช่วยให้คุณตรวจจับพฤติกรรมที่น่าสงสัยได้ก่อนที่จะกลายเป็นปัญหาใหญ่

ในการตั้งค่าการบันทึกกิจกรรม คุณสามารถใช้ปลั๊กอินพิเศษ เช่น บันทึกกิจกรรม WP หรือปลั๊กอินความปลอดภัย WordPress อเนกประสงค์บางตัวมีฟังก์ชันการบันทึกด้วย

17. เพิ่มส่วนหัวความปลอดภัยล่าสุด

ส่วนหัวการรักษาความปลอดภัย HTTP สามารถช่วยรักษาความปลอดภัยให้กับไซต์ของคุณด้วยการควบคุมวิธีที่เว็บเบราว์เซอร์มีส่วนร่วมกับเนื้อหาในไซต์ของคุณ โดยทั่วไป คุณจะกำหนดค่าเหล่านี้ที่ระดับเซิร์ฟเวอร์ – KeyCDN มีโพสต์ที่ยอดเยี่ยมซึ่งอธิบายหัวข้อความปลอดภัยที่สำคัญที่สุด

18. รักษาความปลอดภัยฐานข้อมูลของคุณ

การใช้คำนำหน้าตารางฐานข้อมูลเฉพาะและชื่อฐานข้อมูลเฉพาะอาจทำให้ผู้ประสงค์ร้ายแทรกเนื้อหาที่เป็นอันตรายลงในฐานข้อมูลของคุณได้ยากขึ้น เล็กน้อย แม้ว่าผู้เชี่ยวชาญบางคนจะถกเถียงถึงประโยชน์ของมันก็ตาม เนื่องจากการเปลี่ยนแปลงนี้ใช้ง่าย แต่ก็ยังคุ้มค่าแม้ว่าจะเป็น "ความปลอดภัยจากความมืดมน" เพียงเล็กน้อย

19. ปิดการใช้งาน Hotlinking

การมีไซต์อื่นฮอตลิงก์รูปภาพของคุณอาจไม่ใช่ความเสี่ยงด้านความปลอดภัยโดยตรง แต่อาจส่งผลเสียต่อเซิร์ฟเวอร์ของคุณในแง่ของทรัพยากรที่สูญเปล่า ดังนั้นจึงเป็นแนวปฏิบัติด้านความปลอดภัยที่ดีในการปิดใช้ฮอตลิงก์

20. ตั้งค่าการป้องกัน DDoS ล่วงหน้า

มีแผนในการจัดการกับการโจมตีแบบกระจายการปฏิเสธการบริการ คุณสามารถถามโฮสต์ของคุณเกี่ยวกับการป้องกันที่พวกเขามีอยู่หรือเพิ่มเว็บไซต์ของคุณใน Cloudflare เพื่อให้คุณสามารถเปิดใช้งานโหมด "ฉันอยู่ภายใต้การโจมตี" ของ Cloudflare ได้อย่างรวดเร็วหากจำเป็น

อะไรคือความเสี่ยงเมื่อไซต์ถูกละเมิด?

มีความเสี่ยงหลักสามประเภทหากไซต์ของคุณถูกละเมิด...

ความเสี่ยงต่อผู้เข้าชมเว็บของคุณ

หากคุณเก็บข้อมูลเกี่ยวกับผู้เยี่ยมชมของคุณ ผู้ประสงค์ร้ายอาจเข้าถึงข้อมูลนั้นทั้งหมด ซึ่งอาจทำให้เกิดปัญหากับการโจรกรรมข้อมูลประจำตัวหรือการโจรกรรมทางการเงิน ขึ้นอยู่กับข้อมูลที่คุณจัดเก็บ

ผู้มุ่งร้ายอาจพยายามหลอกล่อให้ผู้ใช้ดาวน์โหลดไฟล์ที่เป็นอันตรายและทำให้คอมพิวเตอร์ติดไวรัส

ความเสี่ยงต่อเจ้าของเว็บไซต์

การละเมิดความปลอดภัยอาจทำให้เกิดปัญหาโดยตรงในรูปแบบของข้อมูลที่สูญหาย เสียเวลา และไซต์ไม่พร้อมใช้งาน หากคุณไม่ดูแลการสำรองข้อมูลเป็นประจำ ( ซึ่งหวังว่าจะไม่ใช่กรณีนี้หลังจากที่คุณได้อ่านคู่มือนี้ แล้ว) คุณอาจสูญเสียทั้งไซต์และจำเป็นต้องสร้างใหม่ทั้งหมด

การละเมิดยังสามารถทำให้เกิดปัญหาที่จับต้องได้น้อยลง เช่น การสูญเสียความไว้วางใจกับผู้เยี่ยมชมของคุณหรือความเสียหายต่อชื่อเสียงโดยทั่วไป

ความเสี่ยงต่อเว็บไซต์อื่น

หากคุณกำลังใช้โฮสติ้งที่ใช้ร่วมกันและ/หรือโฮสต์ไซต์อื่นๆ บางส่วนของคุณในบัญชีโฮสติ้งเดียวกัน ไซต์หนึ่งที่ถูกละเมิดสามารถแพร่กระจายไปยังไซต์อื่นได้อย่างรวดเร็ว หากไซต์ไม่ได้แยกจากกันอย่างแน่นหนา ด้วยวิธีนี้ การมีไซต์ที่ติดไวรัสสามารถทำหน้าที่เหมือนโดมิโนเพื่อนำไซต์อื่นออกไป แม้ว่าไซต์เหล่านั้นจะปลอดภัยก็ตาม

จะบอกได้อย่างไรว่าไซต์ WordPress ของคุณถูกแฮ็ก

มีสองวิธีที่คุณสามารถค้นหาว่าไซต์ของคุณถูกแฮ็ก:

  • สัญญาณปฏิกิริยา – คุณพบปัญหาเนื่องจากคุณเห็นปัญหาในไซต์ของคุณ
  • สัญญาณเชิงรุก – โปรโตคอลการตรวจสอบความปลอดภัยของคุณจะแจ้งเตือนคุณถึงปัญหาก่อนที่จะปรากฏบนไซต์ของคุณ

ตามหลักการแล้ว คุณต้องการใช้เครื่องมือที่ช่วยให้คุณแก้ไขปัญหาในเชิงรุก แทนที่จะรอให้เกิดปัญหา ด้วยวิธีนี้ คุณสามารถลดความเสียหายให้กับไซต์ของคุณได้

สัญญาณปฏิกิริยาของการแฮ็ก

  • การแจ้งเตือนของเบราว์เซอร์ – เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนหากคุณไปที่หน้าที่ติดไวรัส หากสิ่งนั้นเกิดขึ้นเมื่อคุณเยี่ยมชมไซต์ของคุณเอง คุณรู้ว่าคุณมีปัญหา
  • การแจ้งเตือนของเครื่องมือค้นหา – Google จะแจ้งเตือนผู้เยี่ยมชมด้วยหากพวกเขาคลิกลิงก์ที่นำไปสู่ไซต์ที่ติดไวรัส มีข้อความว่า "ไซต์นี้อาจถูกแฮ็ก"
  • บริการของผู้ดูแลเว็บ – หากคุณใช้ Google Search Console Google จะแจ้งเตือนคุณถึงปัญหาด้านความปลอดภัย หากคุณไปที่การ รักษาความปลอดภัยและการดำเนินการโดยเจ้าหน้าที่ → ปัญหาด้านความปลอดภัย
  • ผู้เยี่ยมชมเว็บ – หากผู้เยี่ยมชมเว็บพบเนื้อหาที่เป็นอันตราย พวกเขาอาจบอกคุณโดยตรง
Google Chrome จะแสดงคำเตือนหากเว็บไซต์ติดมัลแวร์

สัญญาณเชิงรุกของการแฮ็ก

  • เครื่องสแกนมัลแวร์ – เครื่องสแกน มัลแวร์สามารถตรวจจับโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ของคุณได้ แม้ว่าจะไม่ได้เริ่มส่งผลกระทบต่อส่วนหน้าของเว็บไซต์ของคุณก็ตาม
  • การตรวจสอบความสมบูรณ์ของไฟล์ – หากไฟล์ WordPress หลักไม่ตรงกับเวอร์ชันที่เป็นทางการ นั่นเป็นสัญญาณว่ามีบางอย่างผิดปกติในเว็บไซต์ของคุณ ปลั๊กอินความปลอดภัยส่วนใหญ่จะแจ้งเตือนคุณโดยอัตโนมัติหากมีการแก้ไขไฟล์หลัก
  • ตัวตรวจสอบการเข้า ชม – การตรวจสอบปริมาณการใช้งานไซต์ WordPress ของคุณจะช่วยให้คุณตรวจจับสิ่งผิดปกติที่เกิดขึ้นได้
ปลั๊กอิน Wordfence มีการสแกนความปลอดภัยของ WordPress

ปลั๊กอินและเครื่องมือรักษาความปลอดภัย WordPress ที่ดีที่สุดสามตัว

หากคุณต้องการความอุ่นใจเป็นพิเศษเมื่อพูดถึงความปลอดภัยของ WordPress คุณสามารถพิจารณาใช้ปลั๊กอินหรือบริการการรักษาความปลอดภัย WordPress โดยเฉพาะ

แม้ว่าเครื่องมือเหล่านี้ไม่ได้ขจัดความจำเป็นในการระมัดระวังอย่างสมบูรณ์ แต่ก็สามารถจัดการแนวทางปฏิบัติด้าน ความ ปลอดภัยของ WordPress ได้ดีที่สุดสำหรับคุณ

นี่คือสามสิ่งที่ดีที่สุด:

1. รั้วคำ

Wordfence เป็นหนึ่งในปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด

Wordfence เป็นปลั๊กอินความปลอดภัย WordPress ที่ได้รับความนิยมสูงสุดที่ WordPress.org มีชุดคุณลักษณะที่ครอบคลุมซึ่งสามารถป้องกันและตรวจสอบความปลอดภัยของไซต์ของคุณได้ทั้งหมด:

  • ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) เพื่อบล็อกภัยคุกคามในเชิงรุกก่อนที่จะเป็นอันตรายต่อไซต์ของคุณ รวมชุดคำจำกัดความที่อัปเดตอย่างต่อเนื่องเพื่อบล็อกภัยคุกคามที่เกิดขึ้นใหม่
  • การสแกนมัลแวร์และความปลอดภัย เพื่อตรวจจับการติดไวรัสหรือช่องโหว่ด้านความปลอดภัย
  • คุณสมบัติความปลอดภัยในการเข้าสู่ระบบ รวมถึงการจำกัดความพยายามในการเข้าสู่ระบบ การตรวจสอบสิทธิ์สองปัจจัย การป้องกันรหัสผ่านที่รั่วไหล การปิดใช้งาน/การทำให้แข็งของ XML-RPC และอื่นๆ
  • การบันทึกตามเวลาจริง เพื่อตรวจจับผู้ประสงค์ร้าย
  • การแจ้งเตือน เพื่อแจ้งเตือนคุณถึงปัญหาที่อาจเกิดขึ้นในไซต์ของคุณทันที
  • กลยุทธ์การชุบแข็งขนาดเล็กอื่น ๆ อีกมากมาย รวมถึงการตรวจจับการเปลี่ยนแปลงไฟล์
  • แดชบอร์ด ความปลอดภัยส่วนกลาง ที่ให้คุณจัดการความปลอดภัยของหลาย ๆ ไซต์ได้จากที่เดียว

มีรุ่นฟรีที่ WordPress.org และ Wordfence Premium เริ่มต้นที่ 99 เหรียญ

2. ซูคูริ

Sucuri เป็นปลั๊กอินและไฟร์วอลล์

Sucuri เป็นสองสิ่ง:

  1. ปลั๊กอินฟรีที่ WordPress.org ที่ใช้แนวทางปฏิบัติด้านความปลอดภัยขั้นพื้นฐาน
  2. บริการไฟร์วอลล์แบบชำระเงินซึ่งอยู่หน้าเซิร์ฟเวอร์ของคุณและบล็อกทราฟฟิกที่ประสงค์ร้ายก่อนที่จะเข้าสู่ไซต์ของคุณ

เพื่อการป้องกันที่ดีที่สุด คุณจะต้องใช้เครื่องมือทั้งสอง

ปลั๊กอิน Sucuri ฟรีใช้คุณสมบัติเสริมความปลอดภัยดังต่อไปนี้:

  • การตรวจสอบความสมบูรณ์ของไฟล์
  • บันทึกการตรวจสอบ
  • การตรวจสอบบัญชีดำอัตโนมัติ
  • ตัวเลือกการชุบแข็งพื้นฐาน เช่น การปิดใช้งานการแก้ไขไฟล์และการบล็อกไฟล์ PHP บางไฟล์
  • การตรวจสอบการเข้าสู่ระบบล้มเหลวเพื่อตรวจจับการโจมตีด้วยกำลังเดรัจฉาน
  • แจ้งเตือนความปลอดภัยอัตโนมัติทางอีเมล

ในการใช้บริการไฟร์วอลล์ คุณจะต้องเปลี่ยนเนมเซิร์ฟเวอร์ของโดเมนเป็น Sucuri และไฟร์วอลล์ของ Sucuri จะปกป้องไซต์ของคุณในระดับเครือข่าย

ปลั๊กอิน Sucuri ฟรี แต่ไฟร์วอลล์เริ่มต้นที่ 10 เหรียญต่อเดือน คุณยังสามารถชำระเงินสำหรับแผนการรักษาความปลอดภัยของเว็บไซต์เต็มรูปแบบซึ่งรวมถึงการล้างและกำจัดมัลแวร์ แผนเหล่านั้นเริ่มต้นที่ 200 ดอลลาร์ต่อปี

3. ความปลอดภัยของ iThemes

iThemes Security Pro สำหรับ WordPress

iThemes Security เป็นเครื่องมือยอดนิยมอีกตัวหนึ่งที่สามารถช่วยคุณทำให้ไซต์ของคุณแข็งแกร่งขึ้นและตรวจสอบปัญหาด้านความปลอดภัย

นี่คือสิ่งที่สามารถช่วยได้:

  • เครื่องสแกนเว็บไซต์ จะตรวจหาช่องโหว่ที่ทราบในเว็บไซต์ของคุณโดยอัตโนมัติ
  • การป้องกันการเข้าสู่ระบบ รวมถึงการตรวจสอบสิทธิ์สองปัจจัย การจำกัดความพยายามในการเข้าสู่ระบบ อุปกรณ์ที่เชื่อถือได้ ข้อกำหนดรหัสผ่านที่รัดกุม และอื่นๆ
  • บันทึก ความปลอดภัยรวมถึงการบันทึกเหตุการณ์ความปลอดภัยและการบันทึกกิจกรรมของผู้ใช้
  • การตรวจจับการเปลี่ยนแปลงไฟล์ เพื่อดูว่าไฟล์หลักได้รับการแก้ไขหรือไม่
  • การ แจ้งเตือนทางอีเมล เพื่อแจ้งเตือนคุณทันทีถึงปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น
  • การแข็งตัวของ WordPress ทั่วไป รวมถึงการปิดใช้งาน XML-RPC การปิดใช้งานการแก้ไขไฟล์ การตรวจสอบสิทธิ์ของไฟล์ และอื่นๆ

ฟีเจอร์หนึ่งที่ iThemes Security ไม่มี ให้คือไฟร์วอลล์ – นักพัฒนาแนะนำให้จับคู่กับบริการไฟร์วอลล์ของ Sucuri หากคุณต้องการไฟร์วอลล์

แม้ว่าจะมี iThemes Security เวอร์ชันฟรีจำนวนจำกัดที่ WordPress.org คุณจะต้องการ iThemes Security Pro เพื่อการป้องกันที่ดีที่สุด เริ่มต้นที่ $80

มุ่งเน้นไปที่สามสิ่งนี้สำหรับ ROI ความปลอดภัย WordPress ที่ใหญ่ที่สุด

เช่นเดียวกับหลายๆ อย่างในชีวิต การรักษาความปลอดภัย WordPress เป็นไปตามหลักการ 80/20 Pareto กล่าวคือ การมุ่งเน้นไปที่กลยุทธ์ความปลอดภัยขั้นพื้นฐานของ WordPress จะช่วยให้คุณ มี เว็บไซต์ที่ปลอดภัยได้มากที่สุด

ดังนั้นในขณะที่เราคิดว่าการปฏิบัติตามรายการตรวจสอบความปลอดภัยของ WordPress ที่เราได้แชร์ไว้ข้างต้นเป็นสิ่งสำคัญ แต่การมุ่งเน้นเพียงสามด้านจะช่วยปกป้องคุณจากปัญหา ส่วนใหญ่ เกี่ยวกับความปลอดภัยของ WordPress

ผ่านพวกเขาไปกันเถอะ…

1. ปลั๊กอิน

แม้ว่าซอฟต์แวร์หลักของ WordPress จะปลอดภัย ( ตราบใดที่คุณอัปเดตอยู่ เสมอ) ปลั๊กอินจะแนะนำตัวแปรที่ทีมหลักไม่สามารถควบคุมได้ ซึ่งทำให้เป็นหนึ่งในเวกเตอร์การโจมตีที่ใหญ่ที่สุดสำหรับผู้กระทำผิด

อย่างไรก็ตาม ปลั๊กอินก็เป็นส่วนสำคัญของ WordPress ดังนั้นการไม่ใช้ปลั๊กอินจึงไม่ใช่ตัวเลือกที่สมจริง

สามวิธีในการรับประโยชน์จากปลั๊กอินต่อไปในขณะที่ลดความเสี่ยงของคุณลงอย่างมาก:

  • หลีกเลี่ยงปลั๊กอินที่ถูกละทิ้ง – หากไม่มีการดูแลปลั๊กอินอีกต่อไป แสดงว่าไม่มีใครอยู่ที่นั่นเพื่อแก้ไขปัญหาที่เพิ่งค้นพบ และรักษาให้เข้ากันได้กับ WordPress เวอร์ชันใหม่กว่า
  • ซื้อจากนักพัฒนาที่มีชื่อเสียงเท่านั้น - ใช้นักพัฒนาที่เชื่อถือได้เช่น HeroThemes ที่ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress และอยู่เหนือภัยคุกคามที่เกิดขึ้นใหม่
  • อัปเดตเป็นประจำ – แม้แต่ปลั๊กอินที่ดีที่สุดจากนักพัฒนาที่ดีที่สุดก็อาจมีช่องโหว่ที่เพิ่งค้นพบในบางครั้ง นักพัฒนาที่มีคุณภาพจะแก้ไขช่องโหว่เหล่านี้ก่อนที่จะกลายเป็นปัญหา ตราบใดที่คุณอัปเดตในทันที

2. การโจมตีด้วยกำลังดุร้าย

การโจมตีด้วยกำลังดุร้ายเป็นเวกเตอร์การโจมตีทั่วไปที่ต้องอาศัยการเข้าสู่ไซต์ของคุณผ่านหน้าเข้าสู่ระบบ ไม่สำคัญหรอกว่าส่วนที่เหลือของไซต์ของคุณจะปลอดภัยแค่ไหน หากผู้ประสงค์ร้ายสามารถเดาชื่อผู้ใช้และรหัสผ่านของคุณได้ พวกเขาก็จะมีกุญแจสำหรับประตูหน้า

นี่คือวิธีการป้องกันตัวเอง:

  • ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน เลือกรหัสผ่านที่รัดกุมสำหรับบัญชีทั้งหมดของคุณและอย่าใช้รหัสผ่านเดียวกันซ้ำในหลายๆ ที่
  • จำกัดการพยายามเข้าสู่ระบบ – ป้องกันไม่ให้ผู้อื่นบังคับหน้าเข้าสู่ระบบของคุณอย่างดุร้ายโดยการจำกัดการพยายามเข้าสู่ระบบที่ล้มเหลว และ/หรือเพิ่ม CAPTCHA
  • พิจารณาการรับรองความถูกต้องด้วยสองปัจจัย – เพื่อความปลอดภัยที่มากยิ่งขึ้น คุณสามารถพิจารณาใช้การตรวจสอบสิทธิ์แบบสองปัจจัยผ่าน SMS หรือแอปสมาร์ทโฟนหรือคีย์ฮาร์ดแวร์ในอุดมคติ
  • ชื่อผู้ใช้ที่ไม่ซ้ำ – อย่าใช้ “admin” เป็นชื่อผู้ใช้ของคุณและพยายามทำให้ชื่อผู้ใช้ของคุณเดาได้ยาก
ตัวอย่างของการจำกัดความพยายามในการเข้าสู่ระบบบน WordPress

3. บัญชีโฮสติ้ง

ไซต์ WordPress ของคุณอาจถูกล็อคอย่างสมบูรณ์ แต่ถ้าผู้ประสงค์ร้ายเข้าถึงบัญชีโฮสติ้งของคุณ พวกเขาสามารถทำอะไรก็ได้ที่พวกเขาต้องการในไซต์ของคุณ

เพื่อหยุดสิ่งนี้ จำเป็นต้องล็อคบัญชีโฮสติ้งและเซิร์ฟเวอร์ของคุณด้วย:

  • ใช้รหัสผ่านที่รัดกุม เช่นเดียวกับบัญชี WordPress ของคุณ ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับบัญชีโฮสติ้งและบัญชี SFTP ของคุณ
  • เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย – ผู้ให้บริการโฮสต์ส่วนใหญ่รองรับการตรวจสอบสิทธิ์แบบสองปัจจัย – ใช้ประโยชน์จากมัน
  • ใช้ SFTP – เชื่อมต่อผ่าน SFTP เสมอ ไม่ใช่ FTP ที่ไม่ได้เข้ารหัส
  • อย่าเก็บรหัสผ่าน SFTP – อย่าเก็บรหัสผ่าน SFTP ที่ไม่ได้เข้ารหัสไว้ในไคลเอนต์ FTP ของคุณ

การตรวจสอบ ระบุ และแก้ไขการละเมิดความปลอดภัยของ WordPress

หากคุณใช้กลยุทธ์ความปลอดภัย WordPress ทั้งหมดข้างต้น หวังว่าคุณจะไม่ต้องจัดการกับการละเมิดความปลอดภัย

อย่างไรก็ตาม เป็น ไปได้ เสมอที่บางสิ่งจะลอดผ่านรอยแตกได้ ซึ่งเป็นสาเหตุสำคัญที่จะต้องมีแผนในการตรวจจับและแก้ไขปัญหาด้านความปลอดภัย

การตรวจสอบช่องโหว่

  • สแกนไซต์ของคุณ - ใช้เครื่องมือเช่น Sucuri SiteCheck เพื่อตรวจจับปัญหาบัญชีดำและสแกนเซิร์ฟเวอร์ของคุณด้วยปลั๊กอินความปลอดภัย
  • Google Search Console – ให้ความสนใจกับคำเตือนในส่วนปัญหาด้านความปลอดภัย
  • ใช้คำสั่ง Google site ในการค้นหา – ค้นหา site:yoursite.com เพื่อดูว่า Google ได้จัดทำดัชนีเนื้อหาที่ดูเป็นอันตรายหรือไม่ นี่อาจเป็นเนื้อหาที่คุณไม่ได้สร้างหรือเนื้อหาที่มีชื่อ/คำอธิบายเมตาแปลก ๆ
  • บันทึกกิจกรรม – เรียกดูบันทึกกิจกรรมของไซต์ของคุณเพื่อตรวจจับกิจกรรมที่น่าสงสัย
  • ตรวจสอบการวิเคราะห์ - มองหาการลดลงหรือจุดสูงสุดที่ไม่สามารถอธิบายได้ในการวิเคราะห์การเข้าชมของคุณ
  • .htaccess file – ให้ความสนใจกับการเปลี่ยนแปลงในไฟล์ .htaccess ของคุณ เนื่องจากเป็นที่ที่ผู้กระทำผิดจำนวนมากจะทำการ redirects ที่เป็นอันตราย หรือตั้งกฎ user-agent เพื่อซ่อนสแปม SEO จากผู้เข้าชมที่เป็นมนุษย์
ตัวอย่างการตรวจสอบบัญชีดำใน Sucuri SiteCheck

ระบุปัญหา

เมื่อความพยายามตรวจสอบของคุณตรวจพบสิ่งผิดปกติ ก็ถึงเวลาระบุปัญหาเฉพาะบนไซต์ของคุณ เพื่อให้คุณสามารถแก้ไขได้และทำให้ไซต์ของคุณทำงานได้ ในการดำเนินการนี้ คุณสามารถใช้ปลั๊กอินความปลอดภัยเพื่อสแกนไซต์ของคุณและระบุไฟล์ที่เป็นอันตรายและแบ็คดอร์

แก้ไขเว็บไซต์ของคุณ

เมื่อคุณระบุปัญหาเฉพาะแล้ว ก็ถึงเวลาแก้ไขไซต์ของคุณ

มีเส้นทางต่างๆ สองสามเส้นทางที่คุณสามารถใช้ที่นี่ ขึ้นอยู่กับความรุนแรงของการติดเชื้อและระดับความรู้ของคุณ:

  • ใช้ปลั๊กอินความปลอดภัย – ปลั๊กอิน ความปลอดภัยจำนวนมากเสนอการแก้ไขในคลิกเดียว ทั้งโดยการล้างไฟล์หรือย้อนกลับไซต์ของคุณเป็นเวอร์ชันที่สะอาด
  • จ้างผู้เชี่ยวชาญ – หากคุณรู้สึกว่าถูกครอบงำ คุณสามารถชำระค่าบริการจากผู้เชี่ยวชาญ เช่น การรักษาความปลอดภัยเว็บไซต์ของ Sucuri หรือบริการทำความสะอาดเว็บไซต์ Wordfence
  • ดำเนินการล้างข้อมูลด้วยตนเอง หากคุณมีความรู้ด้านเทคนิค คุณสามารถทำความสะอาดไซต์ด้วยตนเองได้ MalCare มีคำแนะนำโดยละเอียดเกี่ยวกับวิธีการทำความสะอาดด้วยตนเอง

หากไซต์ของคุณถูกขึ้นบัญชีดำโดย Google คุณจะต้องขอรับการตรวจทานหลังจากทำความสะอาดไซต์แล้ว คุณสามารถทำได้จากส่วน ปัญหาด้านความปลอดภัย ใน Google Search Console

รักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัย

WordPress มี ความปลอดภัย แต่วิธีที่ผู้คนใช้ WordPress นั้นไม่ปลอดภัยเสมอไป

การใช้เวลาเล็กน้อยในการสร้างแผนเชิงรุกสำหรับการรักษาความปลอดภัย WordPress จะจ่ายเงินปันผลในรูปแบบของเว็บไซต์ที่ปลอดภัยและหลีกเลี่ยงความจำเป็นในการจัดการกับการละเมิดในอนาคต

คุณสามารถใช้เคล็ดลับจากโพสต์นี้และทำตามรายการตรวจสอบความปลอดภัยของ WordPress เช่น รายการตรวจสอบของ Wordfence หากคุณต้องการความช่วยเหลือ คุณสามารถขอความช่วยเหลือจากนักพัฒนาซอฟต์แวร์หรือจ้างบริการบำรุงรักษา WordPress

การรักษาความปลอดภัย WordPress ไม่ใช่สิ่งที่คุณทำคนเดียว คุณมีชุมชน WordPress ทั้งหมดบนไซต์ของคุณ ซึ่งช่วยให้คุณสร้างไซต์ที่ปลอดภัยยิ่งขึ้น

ที่ HeroThemes เรามุ่งเน้นที่การสร้างปลั๊กอินและธีมที่ปลอดภัยและเชื่อถือได้ ซึ่งช่วยให้คุณขยายไซต์ WordPress ของคุณในขณะที่รักษาให้ปลอดภัย มีนักพัฒนารายอื่นจำนวนมากที่ทำเช่นเดียวกัน

หากคุณยึดติดกับส่วนขยายเหล่านี้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยอื่นๆ คุณก็จะได้รับประโยชน์จากไซต์ WordPress ที่ปลอดภัย