6 เหตุผลที่เว็บไซต์ WordPress ของคุณเสี่ยงต่อแฮกเกอร์
เผยแพร่แล้ว: 2019-04-26ด้วยคุณสมบัติที่ยอดเยี่ยมและตัวเลือกการปรับแต่งที่ WordPress มีให้ จึงไม่น่าแปลกใจที่เว็บไซต์เกือบ 33% ใช้ WordPress CMS อย่างไรก็ตาม ปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นคือสิ่งที่สามารถกลับมาทำร้ายเจ้าของไซต์ได้
ในความเป็นจริง จาก 8,000 เว็บไซต์ที่ถูกแฮ็กวิเคราะห์ในการศึกษาเมื่อเร็ว ๆ นี้ 74% ใช้ WordPress
หากคุณกำลังใช้เว็บไซต์ WordPress สิ่งสำคัญคือต้องแน่ใจว่าความปลอดภัยของคุณได้รับการตั้งค่าอย่างเหมาะสมเพื่อลดความเสี่ยง
ดังนั้นแนวทางปฏิบัติที่ดีที่สุดคืออะไร?
ปัญหาด้านความปลอดภัยต่อไปนี้เป็นปัญหาที่สำคัญที่สุดและอาจทำให้ไซต์ WordPress ของคุณเสี่ยงต่อแฮกเกอร์ เป็นสิ่งสำคัญที่คุณจะต้องระบุปัญหาเหล่านี้และแก้ไข ทันที.
1. บริการโฮสติ้งที่ไม่ปลอดภัย
หนึ่งในแหล่งข้อมูลหลักที่ใช้ในการสร้างเว็บไซต์คือเว็บโฮสติ้ง
ตั้งแต่ประสิทธิภาพของไซต์ไปจนถึงความปลอดภัย บริการโฮสติ้งของคุณอาจส่งผลกระทบได้ทั้งหมด ดังนั้น การเลือกผู้ให้บริการโฮสติ้งที่มีความปลอดภัยเพียงพอจึงเป็นสิ่งสำคัญ
ขณะที่คุณพิจารณาและวิเคราะห์ตัวเลือกโฮสติ้ง คำแนะนำต่อไปนี้จะช่วยคุณได้
- ดูคุณสมบัติความปลอดภัยทั้งหมดที่มีให้
- เข้าใจว่าเมื่อพูดถึงโฮสติ้ง ราคาแพงไม่ได้แปลว่าดีกว่าเสมอไป
- ผู้ให้บริการบางรายมีแผนระดับเริ่มต้นซึ่งมีต้นทุนเท่ากับแผนระดับไฮเอนด์ของผู้ให้บริการโฮสติ้งรายอื่น ไม่ได้หมายความว่าจะเปรียบเทียบกันได้เสมอไป
- ทราบความแตกต่างระหว่างบริการโฮสติ้งสองประเภทที่ได้รับความนิยมมากที่สุด
แชร์โฮสติ้ง:
บริการโฮสติ้งที่ใช้ร่วมกันนำเสนอการสแกนความปลอดภัยขั้นพื้นฐานที่สามารถตรวจจับมัลแวร์ WordPress ได้
นอกจากนี้ยังช่วยให้คุณสามารถติดตามผู้เยี่ยมชมที่มายังไซต์ของคุณได้ วิธีนี้จะช่วยให้คุณระบุผู้เยี่ยมชมที่เป็นอันตรายและบล็อกที่อยู่ IP ของพวกเขาได้
จุดเด่นหลักของบริการโฮสติ้งที่ใช้ร่วมกันคือความสามารถในการโฮสต์มากกว่าหนึ่งเว็บไซต์ ซึ่งทำให้ราคาถูกกว่าโฮสติ้งประเภทอื่นมาก
โฮสติ้งที่มีการจัดการ:
นี่คือบริการโฮสต์ที่ให้ไฟร์วอลล์เพื่อความปลอดภัยพร้อมกับการสแกนมัลแวร์ตามปกติ
ผู้ให้บริการบางรายเสนอ 'บริการโฮสติ้งที่มีการจัดการ' ซึ่งจำกัดการเข้าถึงไฟล์และโฟลเดอร์ของ WordPress เพื่อให้ปลอดภัย
ตัวอย่างเช่น WP-Engine จะป้องกันการเปลี่ยนแปลงใน ไฟล์ PHP ทั้งหมด ในขณะที่ Pantheon ไม่อนุญาตให้เขียนในโฟลเดอร์ ยกเว้นในโฟลเดอร์ที่มีข้อมูลธีมและปลั๊กอิน
- ทดสอบการสนับสนุนลูกค้า:
การสนับสนุนลูกค้าเป็นอีกปัจจัยหนึ่งที่คุณต้องพิจารณาในขณะที่เปรียบเทียบผู้ให้บริการโฮสติ้ง
ไม่ว่าจะเป็นปัญหาเล็กน้อยหรือรายละเอียดทั้งหมด ถ้าเกี่ยวกับบริการโฮสติ้ง ผู้ให้บริการควรให้การสนับสนุนลูกค้าอย่างเต็มที่
หากต้องการทราบว่าระบบสนับสนุนของผู้ให้บริการมีคุณสมบัติเพียงใด เพียงรับรายละเอียดการติดต่อและติดต่อพวกเขา ถามคำถามของคุณกับพวกเขาทั้งหมดและดูว่าพวกเขามีความอดทนและให้ความร่วมมืออย่างไรในขณะที่จัดการกับข้อกังวลของคุณ
จากประสบการณ์นี้ คุณจะทราบได้ว่าพวกเขาจะตอบสนองอย่างไรในกรณีที่มีการละเมิดความปลอดภัย สิ่งนี้จะช่วยคุณตัดสินใจว่าคุณต้องการซื้อจากพวกเขาหรือไม่
หากคุณซื้อแผนบริการโฮสติ้งจากผู้ให้บริการที่ไม่ถูกต้องแล้ว ไม่ต้องกังวล คุณไม่จำเป็นต้องรอให้แผนของคุณหมดอายุ บริการต่างๆ เช่น BlogVault และ Migrate Guru สามารถช่วยให้คุณย้ายไปยังผู้ให้บริการโฮสติ้งต่างๆ ได้โดยไม่ต้องยุ่งยาก
2. การอัปเดตระบบ
เช่นเดียวกับ CMS อื่น ๆ WordPress ต้องมีการอัปเดตเป็นประจำ การเพิกเฉยอาจทำให้ไซต์ WordPress ของคุณมีความเสี่ยงด้านความปลอดภัย
อันที่จริง 80% ของเว็บไซต์ WordPress ที่ถูกแฮ็กนั้นใช้ธีมและ/หรือปลั๊กอินที่ล้าสมัย ตาสว่างใช่มั้ย?
การเป็น CMS โอเพ่นซอร์สที่มีนักพัฒนาหลายพันคนที่ทำงานในธีมและปลั๊กอินที่แตกต่างกัน หมายความว่าแดชบอร์ด WordPress ของคุณอาจได้รับการอัปเดตมากมายตามปลั๊กอินและธีมที่คุณใช้
คุณต้องตรวจสอบให้แน่ใจว่าธีมหลักและปลั๊กอินทั้งหมดได้รับการอัปเดตเป็นเวอร์ชันล่าสุด
ขั้นตอนในการอัปเดตปลั๊กอิน:
- เปิดแดชบอร์ด WordPress ของคุณและไปที่ Plugins > Installed Plugins
- แดชบอร์ดจะนำคุณไปยังหน้าที่แสดงปลั๊กอินที่คุณได้ติดตั้งไว้
ระบุปลั๊กอินที่รอดำเนินการและอัปเดต แล้วคลิก 'อัปเดตทันที'
ในทำนองเดียวกัน คุณสามารถอัปเดตธีมบนไซต์ของคุณได้ในลักษณะเดียวกันโดยไปที่ ลักษณะที่ปรากฏ > ธีม
การดำเนินการนี้จะปลดล็อกคุณลักษณะล่าสุดที่เพิ่มลงในธีม/ปลั๊กอิน/ระบบด้วย ซึ่งช่วยในการรักษาความปลอดภัยและความเสถียรของเว็บไซต์ของคุณในเวลาเดียวกัน
3. ธีมหรือปลั๊กอินละเมิดลิขสิทธิ์
ในขณะที่การตั้งค่าเว็บไซต์ WordPress จะไม่ทำให้กระเป๋าของคุณเสียหาย การทำให้เว็บไซต์ดูสวยงามและเต็มไปด้วยคุณสมบัติต่างๆ มากมาย อาจเป็นเพราะ ธีม/ปลั๊กอิน WordPress ที่ดี อาจทำให้คุณต้องเสียค่าใช้จ่ายระหว่าง $10-$200
เพื่อหลีกหนีจากค่าใช้จ่ายที่ 'คาดว่า' ไม่ได้รับเชิญเหล่านี้ ผู้ดูแลเว็บมักจะใช้เส้นทางที่ถูกกว่าและใช้ปลั๊กอิน/ธีมที่เป็นโมฆะ/ละเมิดลิขสิทธิ์ ซึ่งมีให้ใช้งานฟรีหรือมีราคาเพียงเล็กน้อย
ผลลัพธ์ของสิ่งนี้คืออะไร?
มีหลายกรณีที่เว็บไซต์ที่ใช้ธีมว่างเปล่าได้รับสิทธิ์เข้าถึงแบ็คดอร์ให้กับแฮกเกอร์ผ่าน URL โดยไม่ได้ตั้งใจ: http://www.example.xyz?backdoor=go
แฮกเกอร์สามารถเข้าถึงไซต์ได้เนื่องจาก URL เรียกแบ็คดอร์ไปยังเว็บไซต์ สร้างบัญชีผู้ดูแลระบบ WordPress ใหม่ด้วยข้อมูลประจำตัวต่อไปนี้:
ชื่อผู้ใช้: backdooradmin
รหัสผ่าน: Pa55W0rd
โดยทั่วไปเป็นผลจากรหัสสั้นเพิ่มเติมที่ เจ้าของธีมตัวจริงเพิ่มลงในไฟล์ functions.php
เพื่อบันทึกไซต์ของคุณจากความเสี่ยงดังกล่าว รับธีมและปลั๊กอินจากที่ เก็บ WordPress อย่างเป็นทางการ หรือแหล่งที่เชื่อถือได้อื่นๆ เช่น Theme Forest หรือ Themeisle เสมอ
4. รายละเอียดการเข้าสู่ระบบจำลอง
หน้าเข้าสู่ระบบเริ่มต้น:
การใช้ชื่อผู้ใช้เดิมและรหัสผ่านที่เดาง่ายทำให้ชีวิตง่ายขึ้นมากสำหรับแฮกเกอร์ที่พยายามเข้าสู่ส่วนหลังของเว็บไซต์ของคุณ
วิธีแก้ไข?
- ปัญหาชื่อผู้ใช้และรหัสผ่าน:
พยายามสร้างชื่อผู้ใช้และรหัสผ่านที่คุณไม่ได้ใช้ในบัญชีอื่น
โปรดทราบว่าการมีชื่อผู้ใช้ที่ไม่ซ้ำกันเป็นสิ่งสำคัญ หากชื่อผู้ใช้นั้นเดาได้ง่าย สิ่งเดียวที่แฮ็กเกอร์จะต้องค้นหาคือรหัสผ่านของคุณ
อย่าลืมแสดงชื่อผู้ใช้ของคุณบนเว็บไซต์ของคุณ การทำเช่นนี้จะเหมือนกับการเชิญแฮกเกอร์เป็นการส่วนตัวเพื่อร่วมงานเลี้ยงบนแดชบอร์ด WordPress ของคุณ ให้ใช้ชื่อเล่นหรือชื่อที่แตกต่างจากชื่อผู้ใช้แทน ปัญหา URL หน้าเข้าสู่ระบบเริ่มต้น: www.yoursite.com/wp-admin
นี่เป็นตัวเลือก URL ของหน้าเข้าสู่ระบบ WordPress ที่ง่ายและสะดวกที่สุด ซึ่งทำให้ไซต์ของคุณเสี่ยงต่อแฮกเกอร์
แฮกเกอร์ส่วนใหญ่ไม่โจมตีด้วยตนเอง พวกเขาตั้งโปรแกรมบอทเพื่อเข้าถึงหน้าเข้าสู่ระบบและถอดรหัสข้อมูลรับรองการเข้าสู่ระบบของไซต์เป้าหมาย
การใช้ URL หน้าเข้าสู่ระบบเริ่มต้นจะลดการทำงานของบอทและแฮกเกอร์ที่พยายามเข้าสู่เว็บไซต์ของคุณ
ทางออกที่ดีที่สุดคือการเปลี่ยน URL ล็อกอินเริ่มต้น
ตัวอย่างเช่น เปลี่ยน – www.yoursite.com/wp-admin เป็น www.yoursite.com/welcometomysite
โดยทำตามขั้นตอนง่าย ๆ เหล่านี้
– ขั้นแรก สำรองข้อมูลไซต์ WordPress ของคุณ โดยใช้ UpdraftPlus– จากนั้นติดตั้งและเปิดใช้งานปลั๊กอิน 'ซ่อนการเข้าสู่ระบบอย่างง่าย' (ฟรี)
– ไปที่การตั้งค่าของปลั๊กอินและส่งตัวเลือกการเข้าสู่ระบบของคุณ (เช่น “welcometomysite”)
– สิ่งนี้จะเปลี่ยนที่อยู่เข้าสู่ระบบ WordPress ของคุณจาก yoursite.com/wp-admi n เป็น yoursite.com/welcometomysite และทำให้ผู้คนแฮ็คไซต์ของคุณยากขึ้นมาก
5. ไฟล์ PHP ที่เขียนได้
เช่นเดียวกับโปรแกรมคอมพิวเตอร์อื่น ๆ ในหรือนอกเว็บ เว็บไซต์ WordPress ยังประกอบด้วยไฟล์และโฟลเดอร์
หนึ่งในโฟลเดอร์เหล่านี้คือโฟลเดอร์ "อัปโหลด" โฟลเดอร์นี้เก็บข้อมูลธีมและปลั๊กอินทั้งหมดสำหรับไซต์ของคุณ
แฮกเกอร์ที่อาจเป็นแฮ็กเกอร์สามารถหาวิธีอัปโหลดโค้ด PHP ไปยังโฟลเดอร์นี้เพื่อเข้าถึงเว็บไซต์ของคุณได้
เมื่อแฮ็กเกอร์เข้าถึงด้วยวิธีนี้ พวกเขาสามารถขโมยเนื้อหาที่คุณวางแผนจะเผยแพร่ในอนาคตพร้อมกับแหล่งข้อมูลสำคัญอื่นๆ เช่น ที่อยู่อีเมลจากรายชื่ออีเมลของคุณ พวกเขาอาจขายลิงก์ย้อนกลับจากไซต์ของคุณหรือใช้เนื้อหาของคุณเพื่อสร้างลิงก์ไปยังเว็บไซต์ของตนโดยที่คุณไม่รู้ตัว หรือที่แย่ที่สุดคือพวกเขาสามารถทำลายเว็บไซต์ทั้งหมดและลบออกได้
ส่วนที่แย่ที่สุดของการแฮ็กประเภทนี้คือคุณจะไม่รู้เรื่องนี้จนกว่าผู้ให้บริการโฮสต์หรือเสิร์ชเอ็นจิ้นของคุณจะแบนเว็บไซต์ของคุณ
เพื่อช่วยตัวเองให้รอดพ้นจากสิ่งนี้ คุณสามารถปิดการทำงานของ PHP ได้โดยใช้ขั้นตอนต่อไปนี้
- สร้างไฟล์ .htaccess ในโฟลเดอร์ "อัปโหลด" ในไดเรกทอรีรากของเว็บไซต์ใน cPanel
- สร้างไฟล์ใหม่ด้วย Notepad (บน Windows) หรือ TextEdit (บน Mac)
- วางโค้ดต่อไปนี้ในไฟล์นี้และบันทึกเป็น .htaccess (ไม่ใช่ .htaccess.txt)
# BEGIN WordPress
RewriteEngine บน
รีไรท์เบส /
RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
เขียนกฎใหม่ /index.php [L]
# END WordPress
- อัปโหลดไฟล์นี้ไปยังโฟลเดอร์ "อัปโหลด"
- ตอนนี้ คุณมีไฟล์ .htaccess ใหม่สำหรับโฟลเดอร์ "อัปโหลด" โดยเฉพาะ คลิกขวาเพื่อแก้ไขและวางโค้ดต่อไปนี้
สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด
หลังจากดำเนินการตามขั้นตอนข้างต้นแล้ว เว็บไซต์ของคุณจะป้องกันการดำเนินการกับไฟล์ต่างประเทศที่ประกอบด้วย 'PHP' การเปลี่ยนแปลงนี้จะเพิ่มอิฐอีกก้อนให้กับกำแพงความปลอดภัยของเว็บไซต์ของคุณ
นอกจากนี้ โปรดทราบว่าการใช้วิธีนี้ค่อนข้างเสี่ยง แม้แต่ความผิดพลาดเล็กน้อยก็สามารถสร้างความเสียหายให้กับไซต์ของคุณได้ ดังนั้น หากคุณไม่แน่ใจเกี่ยวกับการใช้ cPanel ให้ปรึกษาคนที่ใช่
6. ขาดใบรับรอง SSL
แม้ว่า http://yoursite.com และ https://yoursite.com จะโหลดหน้าเว็บเดียวกัน แต่ก็มีความแตกต่างเล็กน้อยที่สามารถทำลายข้อตกลงได้
ใบรับรอง SSL
URL แรกในตัวอย่างด้านบนไม่ได้ใช้ใบรับรอง SSL ในขณะที่ตัวอย่างที่สองคือ
ซึ่งอาจส่งผลกระทบอย่างมากต่อความปลอดภัยของเว็บไซต์โดยทำให้การสื่อสารระหว่างอุปกรณ์ของผู้เยี่ยมชมและเว็บเซิร์ฟเวอร์ของคุณตกอยู่ในความเสี่ยง
ใบรับรอง SSL จะเข้ารหัสข้อมูลเพื่อไม่ให้ใครเข้าถึงได้นอกจากผู้รับที่ต้องการ เพื่อป้องกันเว็บไซต์ของคุณจากการรั่วไหลดังกล่าว ขอแนะนำให้ติดตั้งใบรับรอง SSL โดยเร็วที่สุด
การติดตั้งใบรับรอง SSL มักจะตรงไปตรงมาและทำได้ง่าย โดยปกติคุณสามารถซื้อใบรับรอง SSL จากผู้ให้บริการโฮสต์ของคุณได้ แต่หากพวกเขาไม่ขายบริการ SSL คุณควรพิจารณาซื้อจากผู้ให้บริการรายอื่น
การรับใบรับรอง SSL จากผู้ให้บริการโฮสต์ของคุณจะช่วยให้คุณไม่ต้องยุ่งยากในการติดตั้ง พวกเขาจะตั้งค่าทุกอย่างและคุณเพียงแค่ต้องเปลี่ยนเส้นทางหน้า 'http' ของคุณไปที่ 'https'
สรุป
การไม่รักษาความปลอดภัยไซต์ WordPress ของคุณจากภัยคุกคามด้านความปลอดภัยอาจส่งผลเสียต่อธุรกิจของคุณได้หลายวิธี ไม่น่าแปลกใจเลยที่เว็บมาสเตอร์ทุกคนต้องให้ความสำคัญกับความปลอดภัยของเว็บไซต์และมีปลั๊กอินและระบบสำรองที่เพียงพอ แม้ว่าคุณจะพยายามอย่างเต็มที่แล้ว หากสิ่งเลวร้ายที่สุดเกิดขึ้นและเว็บไซต์ของคุณประสบกับการโจมตีที่มุ่งร้าย UpdraftPlus สามารถให้ตัวเลือกการสำรองและกู้คืนที่ปลอดภัย วิธีนี้จะช่วยให้แน่ใจว่าเว็บไซต์ของคุณมีเครือข่ายความปลอดภัยที่สำคัญทั้งหมดเสมอ แม้ในกรณีที่มีการแฮ็ก
ในบทความนี้ คุณได้อ่าน 6 ช่องโหว่ที่อาจทำให้ความปลอดภัยของเว็บไซต์ WordPress ของคุณตกอยู่ในความเสี่ยงเนื่องจากแฮกเกอร์ หวังว่าบทความนี้จะช่วยให้คุณรักษาความปลอดภัยให้กับเว็บไซต์ของคุณและยกระดับความปลอดภัยไปอีกระดับ
โดย ไวภาว กะกะร
โพสต์ 6 เหตุผลที่ว่าทำไมเว็บไซต์ WordPress ของคุณอาจเสี่ยงต่อแฮกเกอร์ได้ปรากฏขึ้นเป็นอันดับแรกใน UpdraftPlus UpdraftPlus – ปลั๊กอินสำรอง กู้คืน และย้ายข้อมูลสำหรับ WordPress