19 วิธีในการรักษาความปลอดภัยเว็บไซต์ (7 เป็นกุญแจสำคัญ!)

กังวลเกี่ยวกับความปลอดภัยของ WordPress หรือไม่?

คุณควรจะ! แต่อย่ากังวล มากเกินไป หากคุณใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเว็บไซต์ WordPress ในเว็บไซต์ของคุณ คุณจะรู้สึกมั่นใจว่าเว็บไซต์ของคุณจะไม่ประสบปัญหา

WordPress มี ความปลอดภัย แต่การกระทำที่ผู้ใช้ทำ (และปลั๊กอินที่ผู้ใช้ติดตั้ง) สามารถแนะนำช่องโหว่ของ WordPress ได้ทุกประเภท

เพื่อหลีกเลี่ยงความผิดพลาด สิ่งที่คุณต้องทำคือปฏิบัติตามคำแนะนำในโพสต์นี้

เพื่อให้โพสต์นี้ดำเนินการได้มากที่สุด เราจะแบ่งคำแนะนำด้านความปลอดภัยของ WordPress ออกเป็นสองประเภท:

เจ็ดต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress

หากคุณไม่รับสิ่งใดจากโพสต์นี้ เราขอแนะนำให้คุณใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress อย่างน้อยเจ็ดข้อนี้ในเว็บไซต์ของคุณ

หากคุณไม่ได้ทำเจ็ดสิ่งนี้ แสดงว่าคุณกำลังเปิดไซต์ของคุณให้มีช่องโหว่จำนวนมาก

1. ใช้ Core และ Plugin Updates โดยเร็วที่สุด

สิ่งที่ดีที่สุดอย่างหนึ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยของ WordPress คือการใช้การอัปเดตกับแกนหลัก ปลั๊กอิน และธีมของ WordPress อย่างทันท่วงที

ไม่ว่าซอฟต์แวร์จะดีขนาดไหน ก็เป็นเรื่องปกติที่จะมีการค้นพบช่องโหว่ใหม่ๆ อย่างไรก็ตาม ด้วยทีมพัฒนาคุณภาพ ช่องโหว่เหล่านี้จะได้รับการแก้ไขก่อนที่จะถูกโจมตีโดยผู้ประสงค์ร้าย... ตราบใดที่คุณใช้การอัปเดตในทันที!

ช่องโหว่ WordPress ที่แพร่หลายล่าสุดจำนวนมากสามารถหลีกเลี่ยงได้ หากผู้คนเพิ่งจะอัปเดตไซต์ของตน

หากต้องการรับการแจ้งเตือนเกี่ยวกับการอัปเดตใหม่ โปรดใส่ใจกับ แดชบอร์ด → พื้นที่อัปเดต ในผู้ดูแลระบบ WP ของคุณ

หากคุณกังวลเกี่ยวกับปัญหาความเข้ากันได้ คุณสามารถทดสอบการอัปเดตบนไซต์การแสดงละครก่อนที่จะนำไปใช้กับไซต์ที่ใช้งานจริงของคุณ คุณจะต้องสำรองข้อมูลก่อนที่จะใช้การอัปเดต – เพิ่มเติมในภายหลัง

หมายเหตุ – ข้อยกเว้นประการหนึ่งสำหรับกฎนี้คือการอัปเดตที่สำคัญ ซึ่งมุ่งเน้นที่การเพิ่มคุณลักษณะใหม่เท่านั้น และไม่มีการแก้ไขด้านความปลอดภัยใดๆ คุณสามารถรอสองสามสัปดาห์ได้อย่างปลอดภัยเพื่อใช้การอัปเดตที่สำคัญเหล่านี้

• รุ่นหลัก (คุณสมบัติ) – 5.0, 5.1, 6.0 เป็นต้น – คุณสามารถรอเพื่อใช้การอัปเดตเหล่านี้
• รุ่นย่อย (การรักษาความปลอดภัย/การแก้ไขข้อบกพร่อง ) – 5.0.1, 5.1.2, 6.0.4 เป็นต้น – คุณจำเป็นต้องใช้สิ่งเหล่านี้โดยเร็ว เสมอ

2. ใช้เฉพาะปลั๊กอินและธีมจากนักพัฒนาที่มีชื่อเสียงเท่านั้น (และไม่มีปลั๊กอินที่เป็นโมฆะ)

แม้ว่าซอฟต์แวร์หลักของ WordPress จะปลอดภัย แต่ก็ไม่สามารถพูดถึงปลั๊กอินและธีมทุกตัวได้เช่นเดียวกัน ( ส่วนใหญ่เป็นปลั๊กอิน )

การเพิ่มโค้ดใหม่และแก้ไขฟังก์ชันการทำงานของไซต์ของคุณ ทำให้ปลั๊กอินสามารถแนะนำช่องโหว่ได้ทุกประเภท

ในขณะเดียวกัน การ ไม่ ใช้ปลั๊กอินก็ไม่ใช่ตัวเลือกจริงๆ เนื่องจากปลั๊กอินเป็นส่วนสำคัญของไซต์ WordPress ทุกแห่ง

ดังนั้น สิ่งสำคัญคือต้องมุ่งเน้นเฉพาะการใช้ปลั๊กอินและธีมจากนักพัฒนาที่มีชื่อเสียงซึ่งมีประวัติด้านคุณภาพของโค้ดที่ดีและการบำรุงรักษาที่รวดเร็ว

นั่นคือ ระวังเกี่ยวกับปลั๊กอินที่คุณติดตั้งบนไซต์ของคุณ

ต่อไปนี้คือเคล็ดลับบางส่วนที่จะช่วยให้คุณใช้เฉพาะปลั๊กอินและธีมคุณภาพสูงเท่านั้น:

• อ่านบทวิจารณ์ บทวิจารณ์ที่ไม่ดีอาจบ่งบอกถึงคุณภาพของโค้ดที่ไม่ดี
• ตรวจสอบจำนวนการติดตั้งที่ใช้งานอยู่ แม้ว่าจะไม่ใช่เรื่องยาก แต่ปลั๊กอินยอดนิยมมักจะได้รับความสนใจมากกว่า
• ตรวจสอบการอัปเดตล่าสุด การมีนักพัฒนาที่มีความกระตือรือร้นเป็นสิ่งสำคัญในการแก้ไขช่องโหว่ที่ค้นพบใหม่
• อย่าติดตั้งปลั๊กอินที่ไม่จำเป็น เนื่องจากทุกปลั๊กอินที่คุณติดตั้งเป็นเวกเตอร์การโจมตี คุณควรติดตั้งเฉพาะปลั๊กอินที่มีความสำคัญต่อไซต์ของคุณเท่านั้น

เรายังมีคู่มือฉบับสมบูรณ์เกี่ยวกับการเลือกปลั๊กอิน WordPress

สุดท้าย คุณจะต้องหลีกเลี่ยงปลั๊กอินที่ไม่มีค่าว่าง เนื่องจากคุณไม่ทราบว่ามีการเพิ่มโค้ดใดลงในปลั๊กอิน

3. ใช้โฮสติ้ง WordPress ที่ปลอดภัย

การเลือกผู้ให้บริการโฮสติ้ง WordPress ที่มีคุณภาพสามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

ก่อนอื่น ผู้ให้บริการโฮสติ้ง WordPress ที่มีคุณภาพจะรับรองว่าสภาพแวดล้อมของคุณได้รับการปรับให้เหมาะสมสำหรับการรักษาความปลอดภัย WordPress เช่น การอนุญาตไฟล์ที่เหมาะสมและไฟล์ wp-config.php ที่ปลอดภัย

โฮสต์ WordPress จำนวนมากจะสร้างการป้องกันเชิงรุกเพิ่มเติม เช่น ไฟร์วอลล์ในตัวหรือการสแกนมัลแวร์

โฮสต์ WordPress ที่มีการจัดการบางรายจะทำความสะอาดไซต์ของคุณได้ฟรีหากมีสิ่งใดเกิดขึ้น

โดยพื้นฐานแล้ว ด้วยโฮสต์ที่มีคุณภาพ (โดยเฉพาะโฮสต์ WordPress ที่มีการจัดการ) พวกเขาจะดูแลแนวทางปฏิบัติที่ดีที่สุดมากมายเหล่านี้ เพื่อให้คุณสามารถมุ่งเน้นที่การขยายไซต์ของคุณ

หากต้องการค้นหาตัวเลือกคุณภาพ โปรดดูโพสต์ของเราที่มีโฮสติ้ง WordPress ที่มีการจัดการที่ดีที่สุดและโฮสติ้ง WordPress ที่ดีที่สุดโดยทั่วไป

หากคุณสามารถจ่ายได้ ลองพิจารณาตัวเลือกต่างๆ เช่น มู่เล่ (สิ่งที่เราใช้สำหรับ WPKube - รีวิวมู่เล่ของเรา) หรือ Kinsta (รีวิว Kinsta ของเรา)

4. ล็อคหน้าเข้าสู่ระบบและการเข้าถึงบัญชีของคุณ

เคล็ดลับความปลอดภัยของ WordPress ทั้งหมดในโลกนี้ไม่สามารถช่วยคุณได้หากผู้ประสงค์ร้ายสามารถเข้าถึงบัญชีผู้ใช้ WordPress ที่ถูกต้องตามกฎหมายของคุณ ( โดยเฉพาะบัญชีผู้ดูแลระบบ )

ลองนึกดูในโลกแห่งความเป็นจริง คุณอาจมีระบบรักษาความปลอดภัยภายในบ้านที่ดีที่สุดในโลก แต่มันจะไม่ช่วยอะไรถ้าโจรมีกุญแจบ้านและรหัสความปลอดภัยของคุณ

ซึ่งหมายความว่าคุณ จำเป็น ต้องหาวิธีป้องกันกระบวนการเข้าสู่ระบบและบัญชีผู้ใช้ของไซต์ WordPress ของคุณ

ในการเริ่มต้น คุณจะต้องใช้ข้อมูลรับรองบัญชีที่รัดกุม:

• ชื่อผู้ใช้ – ห้ามใช้ “admin” เป็นชื่อผู้ใช้ ให้เลือกชื่อผู้ใช้ที่ไม่ซ้ำกันซึ่งคุณไม่ได้ใช้ในที่อื่นแทน
• รหัสผ่าน – ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน เพื่อผลลัพธ์ที่ดีที่สุด ให้ใช้ตัวจัดการรหัสผ่าน เช่น LastPass หรือ Bitwarden เพื่อสร้างรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละไซต์

นอกจากนั้น คุณยังสามารถใช้กลยุทธ์เพื่อป้องกันหน้าเข้าสู่ระบบ WordPress:

• เปลี่ยน URL ล็อกอิน - สิ่งนี้ยังช่วยลดทราฟฟิกบอทจำนวนมาก ยังไง? ใช้ปลั๊กอิน WPS Hide Login ฟรี
• จำกัดความพยายามในการเข้าสู่ระบบ – ปิดกั้นที่อยู่ IP ชั่วคราวหากมีการพยายามเข้าสู่ระบบที่ไม่ถูกต้องหลายครั้งเกินไป (เช่นเดียวกับที่ธนาคารทำ) ยังไง? ใช้ปลั๊กอินจำกัดการพยายามเข้าสู่ระบบโหลดซ้ำฟรี
• ต้องมีการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) – ให้ผู้ใช้ป้อนรหัสจากแอปตรวจสอบความถูกต้อง, SMS หรืออีเมล นอกเหนือจากข้อมูลประจำตัว ยังไง? ใช้ปลั๊กอินฟรี เช่น WP 2FA หรือ Two-Factor

ไซต์ทั้งหมดควรเปลี่ยน URL สำหรับเข้าสู่ระบบและจำกัดความพยายามในการเข้าสู่ระบบ แต่การใช้การรับรองความถูกต้องด้วยสองปัจจัยของ WordPress จำเป็นจริงๆ สำหรับไซต์ที่มีความสำคัญต่อภารกิจเท่านั้น

5. ติดตั้งใบรับรอง SSL และใช้ HTTPS

ใบรับรอง SSL ให้คุณใช้ HTTPS บนไซต์ของคุณแทน HTTP

ด้วย HTTPS ข้อมูลใดๆ ที่ส่งผ่านระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ของคุณจะถูกเข้ารหัส นอกเหนือจากการรักษาความเป็นส่วนตัวโดยทั่วไปแล้ว ยังจำเป็นสำหรับการปกป้องข้อมูลสำคัญ เช่น ชื่อผู้ใช้และรหัสผ่านของคุณ

หากไม่มี HTTPS ผู้ประสงค์ร้ายในเครือข่ายอินเทอร์เน็ตของคุณสามารถดูข้อมูลทั้งหมดที่ส่งผ่านระหว่างเบราว์เซอร์และไซต์ของคุณได้ ตัวอย่างเช่น หากคุณลงชื่อเข้าใช้ไซต์ของคุณที่ร้านกาแฟในพื้นที่ของคุณโดยใช้ HTTP ใครบางคนในเครือข่ายนั้นจะสามารถเห็นชื่อผู้ใช้และรหัสผ่านของคุณในรูปแบบข้อความธรรมดา

เมื่อคุณใช้ HTTPS ชื่อผู้ใช้และรหัสผ่านของคุณ (พร้อมกับข้อมูลอื่น ๆ ทั้งหมด) จะได้รับการเข้ารหัสอย่างปลอดภัย ซึ่งหมายความว่าผู้ประสงค์ร้ายจะมองเห็นเพียงกลุ่มอักขระสุ่มเท่านั้น

ปัจจุบันผู้ให้บริการโฮสติ้ง WordPress ที่มีคุณภาพส่วนใหญ่เสนอใบรับรอง SSL ฟรี

เมื่อคุณติดตั้งใบรับรอง SSL ผ่านแดชบอร์ดโฮสต์ของคุณแล้ว คุณสามารถกำหนดค่าไซต์ของคุณให้ใช้ HTTPS ได้ หากคุณต้องการความช่วยเหลือในการย้ายไซต์ของคุณไปยัง HTTPS ปลั๊กอิน Really Simple SSL ฟรีจะมีการตั้งค่าเพียงคลิกเดียว

ปฏิบัติตามคำแนะนำ WordPress HTTPS ของเราสำหรับรายละเอียดเพิ่มเติม

6. ใช้เวอร์ชัน PHP ที่รองรับ

WordPress เขียนด้วยภาษาการเขียนโปรแกรม PHP อย่างไรก็ตาม มี PHP เวอร์ชันต่างๆ ที่คุณสามารถใช้กับบัญชีโฮสติ้งของคุณได้

PHP เวอร์ชันเก่าไม่ได้รับการบำรุงรักษาอีกต่อไป ซึ่งหมายความว่าอาจมีปัญหาด้านความปลอดภัยที่ไม่ได้รับการแก้ไข

ในปี 2022 เวอร์ชัน PHP ที่เก่าที่สุดที่ได้รับการอัพเดตความปลอดภัยคือ PHP 7.4 อย่างไรก็ตาม เริ่มต้นในปี 2023 คุณจะต้องใช้ PHP 8.0 เป็นอย่างน้อย

คุณสามารถตรวจสอบการรองรับเวอร์ชัน PHP ปัจจุบันได้ในหน้านี้

เป็นโบนัสเพิ่มเติม PHP เวอร์ชันใหม่กว่ายังมีการปรับปรุงประสิทธิภาพอย่างมาก ซึ่งหมายความว่าเว็บไซต์ของคุณจะโหลดเร็วขึ้นนอกจากจะมีความปลอดภัยมากขึ้น

หากคุณไม่แน่ใจว่าจะอัปเดต PHP อย่างไร คุณสามารถขอการสนับสนุนจากโฮสต์ของคุณได้ เรายังมีคำแนะนำเกี่ยวกับวิธีการอัปเดต PHP ที่โฮสต์ WordPress ยอดนิยมอีกด้วย

7. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ

การสำรองข้อมูลไซต์ของคุณจะไม่ ป้องกัน ปัญหาด้านความปลอดภัยที่เกิดขึ้นบนไซต์ของคุณ อย่างไรก็ตาม จะป้องกันไม่ให้ปัญหาด้านความปลอดภัยกลายเป็นปัญหาที่ใหญ่ขึ้น

หากไม่มี การสำรองข้อมูล เหตุการณ์ด้านความปลอดภัยใดๆ บนไซต์ของคุณอาจสร้างความเสียหายได้อย่างแน่นอน คุณอาจสูญเสียข้อมูล มีการหยุดทำงานเป็นจำนวนมาก และอื่นๆ

ด้วยการสำรองข้อมูลล่าสุด แม้ว่ากรณีที่เลวร้ายที่สุดของเหตุการณ์ด้านความปลอดภัยคือคุณเพียงแค่ต้องกู้คืนข้อมูลสำรองที่สะอาดของไซต์ของคุณ ยังคงน่ารำคาญ - แต่มีหายนะน้อยกว่ามาก

หากโฮสต์ของคุณไม่มีการสำรองข้อมูลอัตโนมัติที่ปลอดภัย เครื่องมือแบบชำระเงิน เช่น Jetpack Backup หรือ BlogVault เสนอวิธีที่ง่ายที่สุดในการเปิดใช้งานการสำรองข้อมูลนอกไซต์ที่ปลอดภัย

หากคุณไม่มีงบประมาณที่จะซื้อเครื่องมือ UpdraftPlus ก็เป็นตัวเลือกฟรีที่ดีเช่นกัน เพียงตรวจสอบให้แน่ใจว่าได้เชื่อมต่อกับผู้ให้บริการพื้นที่จัดเก็บนอกสถานที่ เช่น Google Drive หรือ Amazon S3

นี่คือโพสต์ทั้งหมดของเราเกี่ยวกับปลั๊กอินสำรอง WordPress ที่ดีที่สุด

เคล็ดลับการรักษาความปลอดภัย WordPress เพิ่มเติมสิบสองข้อ

หากคุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยเว็บไซต์ WordPress ที่ต้องทำตามอย่างเคร่งครัด คุณจะหลีกเลี่ยงปัญหา 99% ในเว็บไซต์ของคุณ

อย่างไรก็ตาม หากคุณต้องการปรับปรุงสิ่งต่างๆ ให้ดียิ่งขึ้นไปอีก มีเคล็ดลับเพิ่มเติมบางประการที่คุณสามารถนำไปใช้เพื่อปกป้องไซต์ของคุณต่อไปได้

8. ตั้งค่าไฟร์วอลล์

ไฟร์วอลล์สามารถป้องกันไซต์ของคุณในเชิงรุกจากการคุกคามโดยการปิดกั้นการรับส่งข้อมูลหรือการกระทำที่เป็นอันตรายก่อนที่จะส่งผลกระทบต่อไซต์หรือเซิร์ฟเวอร์ของคุณ

โฮสต์จำนวนมากใช้ไฟร์วอลล์ของตนเองอยู่แล้ว ดังนั้นจึงอาจไม่จำเป็นสำหรับไซต์หากคุณใช้โฮสติ้ง WordPress ที่มีคุณภาพ ( ดูด้านบน )

หากโฮสต์ของคุณไม่มี (หรือถ้าคุณต้องการการป้องกันเพิ่มเติม) คุณสามารถเพิ่มไฟร์วอลล์ที่ระดับแอปพลิเคชันด้วยปลั๊กอิน เช่น Wordfence หรือที่ระดับ DNS ด้วยบริการเช่น Cloudflare หรือ Sucuri

9. ใช้ปลั๊กอินความปลอดภัย WordPress

คุณสามารถสร้างไซต์ WordPress ที่ปลอดภัยได้ โดยไม่ต้อง ใช้ปลั๊กอินความปลอดภัยเฉพาะ ดังนั้นจึงไม่จำเป็นต้องใช้ปลั๊กอินความปลอดภัยในการสร้างไซต์ที่ปลอดภัย

จากที่กล่าวมา ปลั๊กอินความปลอดภัยยังคงมีประโยชน์ด้วยเหตุผลบางประการ:

1. ปลั๊กอินความปลอดภัยสามารถเสนอไฟร์วอลล์แบบเรียลไทม์เพื่อป้องกันภัยคุกคามที่เกิดขึ้นใหม่
2. ปลั๊กอินการรักษาความปลอดภัยที่มีคุณภาพจะทำให้ง่ายต่อการใช้งานเคล็ดลับการเสริมความแข็งแกร่งอื่นๆ มากมายในรายการนี้ ซึ่งจะทำให้สิ่งต่างๆ ง่ายขึ้นสำหรับคุณและประหยัดเวลา

หากมีข้อสงสัย ปลั๊กอิน Wordfence เป็นตัวเลือกที่ดีในการเริ่มต้น คุณสามารถค้นหาตัวเลือกเพิ่มเติมได้ในคอลเล็กชันปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดของเรา

10. ซ่อนเวอร์ชัน WordPress

การซ่อนหมายเลขเวอร์ชันของ WordPress จะเพิ่ม "ความปลอดภัยจากความสับสน" เล็กน้อย โดยทำให้ผู้ประสงค์ร้ายตรวจจับหมายเลขเวอร์ชันของไซต์ได้ยากขึ้น เล็กน้อย

หากต้องการซ่อน คุณสามารถเพิ่มโค้ดต่อไปนี้ในไฟล์ functions.php ของธีมลูกหรือปลั๊กอิน เช่น Code Snippets

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

หากคุณต้องการดำเนินการต่อ เรามีคำแนะนำเกี่ยวกับวิธีการซ่อนว่าไซต์ของคุณใช้ WordPress

11. ตรวจสอบสิทธิ์ของไฟล์

หากคุณกำลังใช้โฮสต์ที่มีคุณภาพ การอนุญาตไฟล์ของไซต์ควรถูกต้องแล้ว อย่างไรก็ตาม การตรวจสอบซ้ำอาจคุ้มค่าเพราะการอนุญาตไฟล์ที่ถูกต้องเป็นสิ่งสำคัญ

หากต้องการเรียนรู้เพิ่มเติม โปรดดูคู่มือฉบับสมบูรณ์เกี่ยวกับการอนุญาตไฟล์ WordPress

12. ใช้เฉพาะการเชื่อมต่อที่ปลอดภัยสำหรับ FTP

เมื่อใดก็ตามที่คุณเชื่อมต่อกับไซต์ของคุณผ่าน FTP หรือเทคโนโลยีอื่นๆ ตรวจสอบให้แน่ใจว่าคุณใช้โปรโตคอลที่ปลอดภัย เช่น SFTP

เช่นเดียวกับ HTTPS ที่ปกป้องข้อมูลที่ย้ายระหว่างเบราว์เซอร์และเว็บไซต์ของคุณ SFTP ก็ปกป้องการเชื่อมต่อระหว่างไคลเอนต์ FTP และเซิร์ฟเวอร์ของคุณ

คุณควรหลีกเลี่ยงการเก็บรหัสผ่าน FTP ในไคลเอนต์ FTP ของคุณ เว้นแต่ว่ารหัสผ่านเหล่านั้นจะได้รับการเข้ารหัสอย่างปลอดภัย

13. ตั้งค่าการบันทึกกิจกรรม

การบันทึกกิจกรรมช่วยให้คุณติดตามสิ่งที่ผู้ใช้ทำในแดชบอร์ดของคุณ ซึ่งสามารถช่วยให้คุณตรวจจับกิจกรรมที่น่าสงสัยได้ (โดยเฉพาะหากคุณให้สิทธิ์การเข้าถึงแดชบอร์ดแก่ผู้ใช้รายอื่น)

ในการตั้งค่านี้ คุณสามารถใช้ปลั๊กอินเช่น WP Activity Log เรามีบทช่วยสอนเกี่ยวกับวิธีการตั้งค่าการบันทึกกิจกรรม รวมถึงคูปองบันทึกกิจกรรม WP สุดพิเศษเพื่อช่วยให้คุณประหยัดเงินได้บ้าง

14. เรียกใช้การสแกนมัลแวร์/ความปลอดภัยเป็นประจำ

แม้ว่าไซต์ของคุณจะไม่มีปัญหาใดๆ หากคุณได้ใช้แนวทางปฏิบัติที่ดีที่สุดข้างต้นแล้ว แต่ยังคงเป็นแนวปฏิบัติที่ดีในการเรียกใช้การสแกนมัลแวร์/ความปลอดภัยบนไซต์ของคุณเป็นระยะ

ในการตรวจสอบปัญหาใดๆ ที่ส่วนหน้าของไซต์ของคุณ คุณสามารถใช้เครื่องมือ Sucuri SiteCheck ได้ฟรี

ในการเรียกใช้การสแกนไฟล์ของเซิร์ฟเวอร์แบบเต็ม คุณสามารถใช้เครื่องมือต่างๆ เช่น MalCare หรือ Wordfence

โฮสต์ WordPress ของคุณอาจเรียกใช้การสแกนมัลแวร์ทุกวันด้วย ซึ่งอาจทำให้เครื่องมือเหล่านี้ซ้ำซ้อน

15. ปิดใช้งาน XML-RPC

XML-RPC ช่วยให้เครื่องมือภายนอกเชื่อมต่อกับไซต์ WordPress ของคุณ เช่น แอป WordPress บนเดสก์ท็อป

อย่างไรก็ตาม หากคุณไม่ได้ใช้เครื่องมือเหล่านี้ มันก็แค่เพิ่มเวกเตอร์โจมตีที่ไม่จำเป็นลงในไซต์ของคุณ หากต้องการปิดใช้งานอย่างสมบูรณ์ คุณสามารถใช้ปลั๊กอิน Disable XML-RPC ได้ฟรี

16. บล็อกฮอตลิงค์

Hotlinking คือเมื่อมีคนฝังเนื้อหาจากเซิร์ฟเวอร์ของคุณบนไซต์ของพวกเขา (เช่น รูปภาพ) มันสามารถส่งผลกระทบต่อความปลอดภัยของไซต์ของคุณโดยการใช้ทรัพยากรของเซิร์ฟเวอร์ของคุณโดยไม่ได้รับอนุญาต

หากต้องการบล็อกฮอตลิงก์ คุณสามารถเพิ่มโค้ดลงในไฟล์ .htaccess ของไซต์ได้

หากต้องการสร้างรหัส .htaccess ที่จำเป็นในการบล็อกฮอตลิงก์ คุณสามารถใช้เครื่องมือฟรีนี้ได้ มันจะช่วยให้คุณปลอดภัยจากผู้ให้บริการฮอตลิงค์บางราย (เช่น Google Image Search) ในขณะที่บล็อกผู้อื่น

17. เปลี่ยนคำนำหน้าฐานข้อมูล WordPress

การเปลี่ยนคำนำหน้าฐานข้อมูล WordPress เพิ่ม "ความปลอดภัยโดยความสับสน" เล็กน้อย แม้ว่าผู้เชี่ยวชาญบางคน (รวมถึง Wordfence) กล่าวว่าประโยชน์ด้านความปลอดภัยนั้นค่อนข้างน้อย

หากคุณมีไซต์ WordPress อยู่แล้ว ฉันไม่แนะนำให้ทำเช่นนี้เพราะความเสี่ยงของการทำลายไซต์ของคุณมีค่ามากกว่าผลประโยชน์ด้านความปลอดภัยที่อาจเกิดขึ้น

อย่างไรก็ตาม หากคุณกำลังตั้งค่าไซต์ WordPress ใหม่ คุณอาจใช้คำนำหน้าฐานข้อมูลที่กำหนดเองด้วย แม้ว่าจะไม่ได้มีผลอย่างมากก็ตาม

18. ปิดการใช้งาน PHP File Execution ใน wp-content/uploads Folder

คุณสามารถบล็อกการโจมตี edge case ได้ด้วยการปิดใช้งานการเรียกใช้ไฟล์ PHP ในโฟลเดอร์ wp-content/uploads

นี่คือวิธี:

1. ใช้ Notepad เพื่อสร้างไฟล์ .htaccess ใหม่
2. เพิ่มข้อมูลโค้ดด้านล่าง
3. อัปโหลดไฟล์นั้นไปยังโฟลเดอร์ wp-content/uploads

 <Files *.php> deny from all </Files>

19. ปิดใช้งานการแก้ไขโค้ดในแดชบอร์ด

ตามค่าเริ่มต้น WordPress ให้คุณแก้ไขไฟล์ธีมและปลั๊กอินจากแดชบอร์ดของ WordPress ซึ่งจะทำให้ผู้โจมตีเพิ่มโค้ดที่เป็นอันตรายได้หากพวกเขาเคยเข้าถึงบัญชีผู้ดูแลระบบ

เพื่อป้องกันสิ่งนี้ คุณสามารถปิดการแก้ไขไฟล์โดยเพิ่มข้อมูลโค้ดนี้ใน ไฟล์ wp-config.php ของคุณ:

define( 'DISALLOW_FILE_EDIT', true );

คำถามที่พบบ่อยเกี่ยวกับความปลอดภัยของเว็บไซต์ WordPress

เพื่อจบสิ่งต่าง ๆ ต่อไปนี้คือคำถามทั่วไปสองสามข้อเกี่ยวกับความปลอดภัยของ WordPress

WordPress มีปัญหาด้านความปลอดภัยหรือไม่?

WordPress เองไม่มีปัญหาด้านความปลอดภัย แต่การติดตั้งปลั๊กอินบนไซต์ของคุณอาจทำให้เกิดช่องโหว่ด้านความปลอดภัย โดยเฉพาะอย่างยิ่งในกรณีของปลั๊กอินที่มีการเข้ารหัสและ/หรือบำรุงรักษาไม่ดี

WordPress ถูกแฮ็กได้ง่ายหรือไม่?

ไซต์ WordPress ส่วนใหญ่ถูกแฮ็กเนื่องจากข้อผิดพลาดของผู้ใช้ ไม่ใช่เพราะตัวซอฟต์แวร์เอง การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่จำเป็นจะทำให้ไซต์ของคุณแฮ็คได้ยากมาก

คุณสามารถทำให้ WordPress ปลอดภัยได้หรือไม่?

ใช่อย่างแน่นอน ตราบใดที่คุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด WordPress ก็มีความปลอดภัยสูง มีเหตุผลที่แบรนด์ใหญ่ๆ มากมายไว้วางใจ WordPress

คุณต้องการปลั๊กอินความปลอดภัย WordPress หรือไม่?

คุณสามารถสร้างเว็บไซต์ WordPress ที่ปลอดภัยโดยไม่ต้องใช้ปลั๊กอินความปลอดภัยที่ครอบคลุม อย่างไรก็ตาม ปลั๊กอินเหล่านี้สามารถลดความซับซ้อนของกระบวนการปรับใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย และให้คุณเข้าถึงคุณลักษณะที่มีประโยชน์ เช่น ไฟร์วอลล์และการสแกนความปลอดภัย

ใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress วันนี้

หากคุณไม่รับอะไรจากโพสต์นี้ ฉันหวังว่าคุณจะใช้คำแนะนำด้านความปลอดภัย WordPress อย่างน้อยเจ็ดข้อจากด้านบน

หากคุณทำเพียงเจ็ดสิ่งนี้ คุณสามารถมั่นใจได้ว่าจะหลีกเลี่ยงปัญหาด้านความปลอดภัย 99.9% บนไซต์ของคุณ

หากคุณต้องการการปกป้องที่ดียิ่งขึ้นไปอีก คุณสามารถดำเนินการต่อและใช้คำแนะนำทั้ง 19 ข้อในรายการนี้ได้

คุณยังมีคำถามใด ๆ เกี่ยวกับความปลอดภัยของ WordPress หรือไม่? แจ้งให้เราทราบในความคิดเห็น!