คู่มือฉบับสมบูรณ์เกี่ยวกับวิธีการรักษาความปลอดภัยไซต์ WordPress ของคุณ

เผยแพร่แล้ว: 2018-10-16
คนส่วนใหญ่ในตอนแรกที่เริ่มออกแบบและพัฒนาเว็บไซต์ ส่วนใหญ่กังวลเกี่ยวกับการทำให้สิ่งต่างๆ เป็นไปตามที่ต้องการและทำให้เว็บไซต์ดูดี ความปลอดภัยของ WordPress ไม่ได้เป็นหนึ่งในข้อกังวลหลักของพวกเขา

เรื่องนี้เป็นเรื่องตลกเพราะเกือบทุกคนเคยได้ยินหรืออ่านเกี่ยวกับการแฮ็กข้อมูล แต่เมื่อพูดถึงไซต์ของเรา เราคาดหวังว่าสิ่งนี้จะไม่เกิดขึ้นกับเรา เพราะเหตุใดแฮ็กเกอร์จึงสนใจส่วนเล็กๆ ของธุรกิจในท้องถิ่นของเราใช่ไหม ผิด. ความปลอดภัยของ WordPress มีความสำคัญอย่างมาก ดังนั้นเว็บไซต์ WordPress ของคุณจึงต้องได้รับการรักษาความปลอดภัยและยึดไว้อย่างเพียงพอ มาดูสาเหตุกัน!

เหตุใดแฮ็กเกอร์จึงแฮ็คเว็บไซต์ของคุณ?

สิ่งสำคัญคือต้องเข้าใจเหตุผลที่อยู่เบื้องหลังการแฮ็กเว็บไซต์ ก่อนที่เราจะหารือถึงวิธีการป้องกันไม่ให้เกิดขึ้น อาจมีสาเหตุหลายประการที่แฮ็กเกอร์จะสนใจเว็บไซต์ของคุณ แม้ว่าจะเป็นเว็บไซต์ธุรกิจขนาดเล็กหรือแม้แต่บล็อกส่วนตัวก็ตาม

สาเหตุหลัก 2 ประการที่ว่าทำไมไซต์จึงถูกแฮ็ก ได้แก่ - หนึ่ง ด้วยเหตุผลทางการเมือง เช่น ทำให้เว็บไซต์เสียโฉมเพื่อนำเสนอและแจกจ่ายเนื้อหาที่สนับสนุนอุดมการณ์หรือกลุ่มใดกลุ่มหนึ่ง

อีกประการหนึ่งมุ่งเป้าไปที่การทำเงินด้วยวิธีการฉ้อโกง วิธีการทำงาน เว็บไซต์ที่ถูกแฮ็กถูกใช้เป็นตัวกลางในการเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย และในกรณีส่วนใหญ่ เจ้าของเว็บไซต์จะไม่รู้เรื่องนี้ด้วยซ้ำ

นี่คือตลาดมืดออนไลน์ที่ทำงานผ่านไซต์ที่ถูกแฮ็ก เว็บไซต์ของคุณมีศักยภาพที่จะเป็นผู้มีส่วนร่วมในกิจกรรมทางอาญา!

ผลกระทบด้านลบอื่นๆ นอกเหนือจากนี้ ได้แก่:

  • เว็บไซต์ที่ถูกแฮ็กและทำให้เสียโฉมจะส่งผลให้ชื่อเสียงของแบรนด์คุณมัวหมองและยังทำให้เกิดความอับอายอย่างร้ายแรง
  • ไซต์ที่ถูกแฮ็กมักจะถูกบล็อกโดยเซิร์ฟเวอร์โฮสต์ ส่งผลให้สูญเสียธุรกิจ
  • ไซต์ของคุณหากถูกตัดออก สามารถใช้เป็นพร็อกซีการส่งสแปมได้
  • ค่าใช้จ่ายในการกู้คืนอาจสูงมากหากเว็บไซต์ของคุณไม่ได้สำรองไว้

ตอนนี้เราได้สรุปคร่าวๆ แล้วว่าเหตุใดไซต์ของคุณจึงอาจถูกแฮ็ก เรามาดูกันว่าแฮ็กเกอร์จะค้นหาและกำหนดเป้าหมายไซต์ของคุณได้อย่างไรจากจำนวนนับล้านที่มีอยู่ออนไลน์

ไม่น่าจะเป็นไปได้สูงที่แฮ็กเกอร์จะกำหนดเป้าหมายไซต์ของคุณใช่ไหม ท้ายที่สุด เป็นเพียงส่วนเล็กๆ ของเว็บไซต์ต่างๆ ขอโทษที่ทำให้ฟองสบู่แตก แต่มันผิด!

การแฮ็กไม่ได้ทำด้วยตนเอง แฮกเกอร์ใช้หุ่นยนต์/โปรแกรมที่ทำหน้าที่ตามล่าหาเว็บไซต์ที่มีช่องโหว่เท่านั้น โปรแกรมเหล่านี้มักจะทำงานบนเซิร์ฟเวอร์คลาวด์ ซึ่งจะมีการตั้งค่าและทำลายตามความจำเป็น โดยทิ้งร่องรอยไว้เพียงเล็กน้อยหรือไม่มีเลย สร้างขึ้นเพื่อค้นหาเว็บไซต์นับพันทุกชั่วโมง ในการค้นหาไซต์ จะมีการค้นหาช่องโหว่ ซึ่งพบอย่างต่อเนื่องใน WordPress และปลั๊กอิน นอกจากนี้ยังอาจเกิดจากข้อผิดพลาดของมนุษย์ เช่น การใช้รหัสผ่านที่เดาง่าย หรือการโฮสต์ที่ไม่น่าเชื่อถือหรือเชื่อถือไม่ได้

การรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณจึงไม่ใช่ทางเลือก แต่เป็นสิ่งจำเป็น และเราพร้อมให้ความช่วยเหลือคุณตลอดกระบวนการ!

คำแนะนำของคุณในการรักษาความปลอดภัย WordPress

ในตอนท้ายของรายการมาตรการความปลอดภัยที่ตามมา คุณจะพร้อมที่จะรับประกันเว็บไซต์ WordPress ของคุณอย่างเต็มที่ เมื่อพูดถึงการรักษาความปลอดภัยของเว็บไซต์ ทุกคนต้องมีมาตรการหลักเฉพาะ

สิ่งเหล่านี้เป็นสิ่งที่ไม่สำคัญและส่วนใหญ่จะเป็นแนวทางที่ยาวไกลและทำให้ WordPress ของคุณปลอดภัยพอสมควร จากนั้นมีมาตรการอีกชุดหนึ่งสำหรับผู้ที่หวาดระแวงเกี่ยวกับความปลอดภัยของเว็บไซต์ของคุณและไม่รังเกียจที่จะรักษาให้ปลอดภัยที่สุด

อันดับแรก มาพูดถึงชุดของมาตรการเดิม กล่าวคือ งานรักษาความปลอดภัยที่จำเป็นที่เจ้าของเว็บไซต์ทุกคนควรทำ:

เปลี่ยนชื่อผู้ใช้เริ่มต้น

หนึ่งในวิธีที่ง่ายและรวดเร็วที่สุดในการรักษาความปลอดภัย WordPress ของคุณคือการเปลี่ยนชื่อผู้ใช้ "ผู้ดูแลระบบ" เริ่มต้นเป็นสิ่งที่คาดเดาได้ยาก ตามหลักการแล้ว คุณควรเปลี่ยนชื่อผู้ใช้ของผู้ดูแลระบบในระหว่างการติดตั้ง WordPress แต่ถ้าคุณยังไม่ได้ดำเนินการดังกล่าว คุณสามารถเปลี่ยนชื่อโดยใช้ phpMyAdmin หรือโดยการเรียกใช้สคริปต์ Standardized Query Language ในฐานข้อมูลของคุณ

ไม่ว่าจะด้วยวิธีใด แฮ็คความปลอดภัย WordPress แบบง่ายๆ นี้จะช่วยให้เว็บไซต์ของคุณหลบเลี่ยงการพยายามแฮ็คแบบสุ่มได้มากมาย

ใช้รหัสผ่านที่รัดกุมและอย่าใช้ซ้ำในแพลตฟอร์มต่างๆ

เป็นที่ทราบกันดีของแฮ็กเกอร์ว่าในขณะที่มนุษย์พยายามรักษารหัสผ่านที่ปลอดภัยและเหมือนกันเพราะเรามักจะลืมรหัสผ่าน โจรสลัดรู้วิธีใช้ประโยชน์จากสิ่งนี้ และโดยทั่วไปแล้วพวกเขามีรายการรหัสผ่านที่ใช้บ่อยที่สุดซึ่งพวกเขาจะลองครั้งแล้วครั้งเล่าจนกว่าจะพบรหัสผ่านนั้น เทคนิคนี้เรียกว่าการบังคับรหัสผ่านแบบเดรัจฉาน ดังนั้นการรักษารหัสผ่านให้ปลอดภัยและซับซ้อนจึงเป็นขั้นตอนง่ายๆ ในการรักษาความปลอดภัยให้กับ WordPress ของคุณ

สิ่งที่ควรทราบอีกอย่างหนึ่งคืออย่าใช้รหัสผ่านซ้ำ การนำรหัสผ่านมาใช้ซ้ำนั้นทำให้แฮกเกอร์สามารถเข้าถึงบัญชีที่เหลือทั้งหมดของคุณได้ แม้ว่าจะมีการบุกรุกบัญชีใดบัญชีหนึ่งก็ตาม ใช่ อาจไม่สะดวกและลำบากสำหรับคุณที่จะจำรหัสผ่านที่แตกต่างกันและซับซ้อนจำนวนมาก แต่เพื่อช่วยคุณในเรื่องนี้ ผู้จัดการรหัสผ่านจำนวนมากในตลาดจะช่วยคุณจัดเก็บและรักษาความปลอดภัยให้รหัสผ่านของคุณ เราแนะนำให้ใช้สิ่งเหล่านี้

เรียกใช้ WordPress เวอร์ชันล่าสุดเสมอ

จำเป็นต้องอัปเดต WordPress ของคุณอยู่เสมอ เนื่องจากทุกการอัปเดตหลัก WordPress จะแก้ไขปัญหาด้านความปลอดภัยที่เพิ่งค้นพบ หลายครั้งที่ผู้คนปิดการใช้งานการอัปเดตหลักของ WordPress เนื่องจากเวอร์ชันล่าสุดอาจเข้ากันไม่ได้กับปลั๊กอินบางตัว สิ่งสำคัญที่ต้องจำไว้คือเว็บไซต์ที่ถูกแฮ็กนั้นมีปัญหามากกว่าปลั๊กอินที่ใช้งานไม่ได้ชั่วคราว

อย่าเปลี่ยน WordPress Core

การแก้ไขไฟล์ต้นทางหลักของ WordPress เป็นความคิดที่แย่มาก เพราะจะทำให้การอัปเดต WordPress ของคุณเป็นเวอร์ชันล่าสุดโดยอัตโนมัติไม่ได้ง่ายนัก ซึ่งเราเคยพูดถึงความสำคัญในประเด็นก่อนหน้านี้แล้ว หากคุณเปลี่ยนคอร์ของ WordPress การอัปเดตเป็นเวอร์ชันใหม่ล่าสุดจะทำให้คุณสูญเสียการเปลี่ยนแปลงเหล่านี้

คุณควรทำอย่างไรหากต้องการเปลี่ยนฟังก์ชันการทำงานของ WordPress?

การเขียนปลั๊กอินคือคำตอบ มันให้อิสระแก่คุณในการทำสิ่งที่คุณต้องการโดยไม่ต้องประนีประนอมกับแกนหลักของ WordPress

เช่นเดียวกับธีมและปลั๊กอินเช่นกัน ความพยายามในการปรับแต่งหลักจะทำให้สูญเสียความสามารถในการอัปเดตเป็นเวอร์ชันล่าสุด โดยรวมแล้ว มีวิธีอื่นในการรับฟังก์ชันที่คุณต้องการอยู่เสมอ และการเปลี่ยนแกนกลางไม่ใช่วิธีที่จะไป

ตรวจสอบให้แน่ใจว่าได้อัปเดตปลั๊กอินและธีมทั้งหมดของคุณแล้ว

เหตุผลเบื้องหลังความจำเป็นในการอัปเดตปลั๊กอินและแนวคิดของคุณนั้นเหมือนกับสาเหตุที่ทำให้ WordPress อัปเดตอยู่เสมอ เป็นความรับผิดชอบของคุณในการอัปเดตให้เป็นเวอร์ชันล่าสุด ไม่ว่าคุณจะดำเนินการด้วยตนเองหรือโดยอัตโนมัติ เพื่อให้ไซต์ของคุณปลอดภัยจากการถูกแฮ็ก

หากคุณกำลังใช้ ปลั๊กอิน ที่ดาวน์โหลดจาก WordPress.org คุณสามารถเปิดใช้งานการอัปเดตพื้นหลังอัตโนมัติ และสำหรับการอัปเดตปลั๊กอินเชิงพาณิชย์อื่น ๆ คุณจะต้องจัดการผ่านกลไกปลั๊กอิน นอกจากนี้ ตรวจสอบให้แน่ใจว่าการเป็นสมาชิกปลั๊กอินของคุณใช้งานได้เสมอเพื่อรับการอัปเดตล่าสุด

ในตอนนี้ เมื่อพูดถึงการอัปเดต ธีม คุณอาจกังวลว่าจะเกิดอะไรขึ้นกับการเปลี่ยนแปลงทั้งหมดที่คุณทำกับธีมเมื่อคุณทำการอัปเดต สิ่งที่คุณควรทำขณะทำการเปลี่ยนแปลงธีมคือทำผ่าน "ธีมย่อย" แทนที่จะทำการเปลี่ยนแปลงโดยตรงกับธีมจริง

เมื่อคุณทำเช่นนี้ คุณสามารถอัปเดตธีมของคุณเป็นเวอร์ชันล่าสุดได้อย่างง่ายดายโดยไม่สูญเสียการเปลี่ยนแปลงใดๆ ที่คุณได้ทำไว้ หากต้องการตรวจสอบว่าธีมใดต้องอัปเดต ให้ไปที่ "ลักษณะที่ปรากฏ" จากนั้นเลือก "ธีม" ใน WordPress คุณยังสามารถเปิดใช้งานการอัปเดตพื้นหลังอัตโนมัติได้ในลักษณะเดียวกับที่ทำกับปลั๊กอิน

ดาวน์โหลดปลั๊กอิน ธีม และสคริปต์จากแหล่งที่เป็นทางการเท่านั้น

การซื้อธีมและปลั๊กอินจากแหล่งที่ไม่เป็นทางการอาจเป็นเรื่องน่าดึงดูดใจในราคาที่ดีกว่าหรือฟรีๆ แต่ก็ไม่ใช่ความคิดที่ดีที่จะทำเช่นนั้น เนื่องจากธีมและปลั๊กอินละเมิดลิขสิทธิ์จำนวนมากเหล่านี้ได้รับการปรับแต่งอย่างไม่ถูกต้องโดยแฮกเกอร์เพื่อใช้เป็นแบ็คดอร์สำหรับพวกเขาในการดำเนินการตามแผนชั่วร้าย

คุณควรพึ่งพาไซต์ที่ปลอดภัยเพื่อค้นหาปลั๊กอินและธีมที่มีคุณภาพเพื่อให้แน่ใจว่า WordPress ของคุณปลอดภัย ที่พบมากที่สุดคือ WordPress.org เว็บไซต์อื่นๆ ที่น่าเชื่อถือ ได้แก่ WordPress.com, ThemeForest.net, CodeCanyon.net เป็นต้น

เว็บไซต์ของคุณควรใช้ PHP . เวอร์ชันล่าสุดเสมอ

PHP เป็นเอ็นจิ้นพื้นฐานของ WordPress และมีการอัปเดตเวอร์ชันต่างๆ ค่อนข้างน้อย

แต่ตามหน้า Global WordPress Statistics เกือบ 80% ของการติดตั้ง WordPress ทำงานบนเวอร์ชันของ PHP ที่ไม่รองรับอีกต่อไป! นี่เป็นสาเหตุของข้อกังวลเพราะประการแรก เว็บไซต์ของคุณไม่ได้รับประโยชน์จากคุณลักษณะด้านประสิทธิภาพที่ออกมาพร้อมกับเวอร์ชันล่าสุด และยังนำไปสู่การไม่แก้ไขข้อบกพร่องด้านความปลอดภัยใดๆ ที่พบในเวอร์ชันก่อนหน้า

นี่คือเหตุผลที่จำเป็นต้องตรวจสอบให้แน่ใจว่าไซต์ของคุณใช้งาน PHP เวอร์ชันล่าสุด

ขณะอัปเดตคอร์ของ WordPress ปลั๊กอินและธีมเป็นงานที่ค่อนข้างชัดเจน การอัปเดตเวอร์ชัน PHP ขึ้นอยู่กับเซิร์ฟเวอร์โฮสต์ของคุณเป็นส่วนใหญ่ นี่คือเหตุผลหนึ่งว่าทำไมจึงจำเป็นต้องเลือก เซิร์ฟเวอร์โฮสติ้งที่ปลอดภัย มันจะทำให้ PHP เวอร์ชันล่าสุดพร้อมใช้งานสำหรับคุณด้วยการติดตั้ง WordPress ของคุณ บริการโฮสติ้ง WordPress ที่ปลอดภัยจะมีทีมงานเชิงรุกซึ่งมีหน้าที่ตรวจสอบช่องโหว่ล่าสุดที่เว็บไซต์ของคุณถูกเปิดเผยและดำเนินการเพื่อบรรเทาปัญหาเหล่านั้น

อัปเดตเว็บไซต์ของคุณผ่านเครือข่ายที่เชื่อถือได้เท่านั้น

ใครไม่ชอบใช้อินเทอร์เน็ต Wifi ฟรีในสถานที่ต่างๆ เช่น สนามบิน หรือแม้แต่ร้านกาแฟในท้องถิ่นใช่ไหม? แต่โปรดทราบว่าการเชื่อมต่อ Open Wifi เหล่านี้ง่ายต่อการสอดแนม คุณควรหลีกเลี่ยงการเข้าถึงไซต์ผู้ดูแลระบบ WordPress ของคุณผ่านเครือข่ายดังกล่าว และโดยเฉพาะอย่างยิ่งเมื่อพูดถึงการอัปเดตเว็บไซต์ของคุณ ให้ใช้ระบบที่เชื่อถือได้เสมอเช่นเดียวกับที่บ้านหรือที่ทำงานของคุณ

ใช้แอนตี้ไวรัส

หากมีไวรัสเกิดขึ้นบนเดสก์ท็อปของคุณ ไวรัสสามารถแพร่กระจายได้อย่างรวดเร็วโดยการจำลองตัวเองบนเว็บไซต์ของคุณ นี่เป็นโครงการที่ไวรัสมักใช้เพื่อแพร่ระบาดในไซต์ของคุณ มันสามารถสอดแนมและเข้าถึงรหัสผ่านของคุณ หรือแม้แต่ธนาคารและรายละเอียดส่วนบุคคลของคุณ นี่คือเหตุผลที่คุณควรตรวจสอบให้แน่ใจว่าเวิร์กสเตชันของคุณใช้โปรแกรมป้องกันไวรัสที่เชื่อถือได้และได้รับการอัปเดต

รักษาความปลอดภัยเว็บไซต์ของคุณโดยใช้ปลั๊กอินความปลอดภัย WordPress

ปลั๊กอินความปลอดภัยช่วยให้คุณทราบว่าไซต์ของคุณมีช่องโหว่ใดบ้าง และให้คำแนะนำเกี่ยวกับวิธีการแก้ไข การใช้ปลั๊กอินเป็นวิธีที่ตรงไปตรงมาแต่ปลอดภัยในการรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ และต้องการความช่วยเหลือเพียงเล็กน้อยหรือไม่ต้องใช้ความพยายามใดๆ จากคุณเลย พวกเขาทำการสแกนและให้การตรวจสอบโดยละเอียดเกี่ยวกับปัญหาใดๆ ที่ติดตามภายในเว็บไซต์ของคุณ

ปลั๊กอินความปลอดภัยที่เชื่อถือได้บางตัว ได้แก่ Total Security, Vulnerable Plugin Checker, iThemes Security Pro และ Plugin Inspector

สำรองข้อมูลเว็บไซต์ของคุณ

หากมาตรการทั้งหมดข้างต้นล้มเหลวและการรักษาความปลอดภัยของไซต์ของคุณยังคงถูกบุกรุก ขั้นตอนนี้จะช่วยคุณได้

การสร้างและกำหนดเวลาการสำรองข้อมูลสำหรับไซต์ของคุณเป็นสิ่งสำคัญ การสำรองข้อมูลที่วางแผนไว้เหล่านี้เป็นส่วนสำคัญของนโยบายความปลอดภัยของไซต์ เนื่องจากจะทำให้แน่ใจว่าหากไซต์ของคุณถูกบุกรุก ไซต์จะได้รับการกู้คืนเป็นเวอร์ชันก่อนที่ความเสียหายจะเกิดได้ง่าย

ไม่เพียงแค่ในกรณีของการแฮ็กเท่านั้น แต่ยังรวมถึงในกรณีที่เกิดอุบัติเหตุหรือข้อผิดพลาดทางเทคนิคด้วย การสำรองข้อมูลจะช่วยให้แน่ใจว่าคุณสามารถนำไซต์ของคุณกลับมาทำงานได้อีกครั้งในเวลาไม่นาน

รายการมาตรการรักษาความปลอดภัยหลักที่สำคัญของเราสิ้นสุดที่นี่!

ตอนนี้เรามาถึงส่วนที่สองที่เราจะพูดถึงเคล็ดลับความปลอดภัยของ WordPress สำหรับผู้คลั่งไคล้ความปลอดภัยของเรา นี่สำหรับผู้ดูแลระบบที่ต้องการการป้องกันหลายชั้นสำหรับเว็บไซต์ของตน  

ตรวจสอบให้แน่ใจว่าคุณได้ตั้งค่า WordPress Secret Authentication Keys

คุณจะพบคีย์ความปลอดภัยและการรับรองความถูกต้องของ WordPress 8 รายการใน wp-config.php ของคุณ สิ่งเหล่านี้ไม่ใช่ตัวแปรใดๆ เลย ซึ่งทำให้ยากต่อการอนุมานรหัสผ่าน WordPress ของคุณโดยการเพิ่มองค์ประกอบของการสุ่มไปยังวิธีการจัดเก็บไว้ในฐานข้อมูล

มาดูกันว่าคุณจะใช้งานมันได้อย่างไร

  • ขั้นแรก ใช้ WordPress Random Generator เพื่อสร้างชุดคีย์
  • จากนั้น แก้ไขไฟล์ wp.config ของคุณ คุณจะพบที่สำหรับเพิ่มคีย์เฉพาะที่สร้างในขั้นตอนก่อนหน้าในส่วน "Authentication Unique Keys"

คุณไม่ควรแชร์หรือทำให้คีย์เหล่านี้เป็นสาธารณะ

จำกัดความพยายามในการเข้าสู่ระบบ

เราได้พูดคุยกันแล้วเกี่ยวกับการบังคับเดรัจฉานและวิธีที่แฮกเกอร์ใช้เพื่อค้นหารหัสผ่านของคุณ การวางกลไกเพื่อจำกัดความพยายามในการเข้าสู่ระบบเป็นสิ่งสำคัญเนื่องจากเหตุผลนี้เอง

โชคดีที่มีปลั๊กอินที่ทำสิ่งนี้ให้คุณ ปลั๊กอิน "จำกัดการเข้าสู่ระบบ WordPress" ตรวจจับการพยายามใช้รหัสผ่านผิดหลายครั้ง และปิดใช้งานการพยายามเพิ่มเติมในระยะเวลาที่กำหนด ซึ่งส่งผลให้ความพยายามในการบังคับเดรัจฉานไม่ประสบผลสำเร็จ และปรับปรุงความปลอดภัยของไซต์ของคุณ

เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

การรับรองความถูกต้องด้วยสองปัจจัยหรือ 2FA เป็นวิธีที่มีประสิทธิภาพมากในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ ในการเปิดใช้งาน 2FA ทุกครั้งที่คุณเข้าสู่ระบบผู้ดูแลระบบ WordPress คุณจะต้องใช้โทเค็นการรักษาความปลอดภัยตามเวลา (ไม่ซ้ำกันสำหรับผู้ใช้ทุกคน) นอกเหนือจากรหัสผ่านปกติของคุณ โทเค็นความปลอดภัยนี้จะหมดอายุภายในระยะเวลาสั้นๆ ซึ่งโดยทั่วไปจะอยู่ที่ 60 วินาที

ซึ่งทำให้ยากต่อการเข้าถึงข้อมูลการเข้าสู่ระบบของคุณ แม้ว่าพวกเขาจะมีข้อมูลรับรองการเข้าสู่ระบบของคุณก็ตาม (เพราะพวกเขาไม่มีโทเค็นการรักษาความปลอดภัยในปัจจุบัน)

การเปิดใช้งาน 2FA จึงเป็นวิธีการพิสูจน์ที่สมบูรณ์ในการเสริมความแข็งแกร่งให้กับการเข้าสู่ระบบของคุณและหลบหนีการโจมตีที่ดุร้ายในรายละเอียดการเข้าสู่ระบบของคุณ

ปิดการทำงานของ PHP

เมื่อแฮกเกอร์เข้าถึงเว็บไซต์ของคุณ สิ่งแรกที่พวกเขาทำคือเรียกใช้ PHP จากภายในไดเร็กทอรี สิ่งที่ควรทำคือปิดการใช้งานสิ่งนี้ทั้งหมด จากนั้น แม้ว่าจะมีช่องโหว่บางอย่างในเว็บไซต์ WordPress ของคุณ การป้องกันนี้จะทำลายความพยายามที่เหลือของแฮ็กเกอร์ในการขัดขวางไซต์ของคุณในเชิงรุก

นี่เป็นขั้นตอนอันยิ่งใหญ่ในการรักษาความปลอดภัยของ WordPress และอาจนำไปสู่การแตกหักของธีมและปลั๊กอินบางอย่างที่อาจต้องใช้ แต่ก็ยังแนะนำให้ติดตั้งในไดเร็กทอรีที่มีความเสี่ยงที่สุด wp-includes และอัพโหลด

คุณสามารถใช้การป้องกันนี้ผ่านไฟล์ .htaccess ของคุณโดยเพิ่มโค้ดต่อไปนี้ลงไป:

  • <ไฟล์ *.php>
  • สั่งอนุญาต ปฏิเสธ
  • ปฏิเสธทั้งหมด
  • </Files>

ปิดใช้งานการแก้ไขไฟล์

โดยทั่วไปเราจะเล่นซอกับไฟล์ปลั๊กอินและธีมในขณะที่เรายังอยู่ในขั้นเริ่มต้นของการสร้างเว็บไซต์ เนื่องจากโดยค่าเริ่มต้น ผู้ดูแลระบบ WordPress จะได้รับอนุญาตให้แก้ไขไฟล์ PHP อย่างไรก็ตาม เมื่อเว็บไซต์ของเราได้รับการพัฒนา เราจะใช้ตัวเลือกการแก้ไขนี้น้อยมาก

ดังนั้นจึงแนะนำให้ปิดการแก้ไขไฟล์สำหรับผู้ดูแลระบบ WordPress เมื่อเว็บไซต์พร้อมใช้งาน เนื่องจากแม้ว่าแฮ็กเกอร์จะสามารถล็อกอินเข้าสู่ไซต์ของคุณได้ พวกเขาจะปราศจากสิทธิ์ในการแก้ไขและจะไม่สามารถเปลี่ยนไฟล์เพื่อดำเนินการตามแผนชั่วร้ายได้ หากต้องการปิดการแก้ไขไฟล์ ให้แทรกคำสั่งต่อไปนี้ในไฟล์ wp-config.php: define('DISALLOW_FILE_EDIT', true);

แยกฐานข้อมูล WordPress ของคุณ

หากคุณสร้างไซต์ทั้งหมดของคุณในฐานข้อมูลเดียวกันและแม้แต่ไซต์ใดไซต์หนึ่งก็ถูกบุกรุก ไซต์ WordPress อื่น ๆ ทั้งหมดที่โฮสต์บนฐานข้อมูลเดียวกันก็มีความเสี่ยงสูงที่จะถูกแฮ็กเช่นกัน ขณะติดตั้ง WordPress คุณควรสร้างฐานข้อมูลใหม่และตั้งชื่อฐานข้อมูล ฐานข้อมูล และรหัสผ่านแยกต่างหาก ตรวจสอบให้แน่ใจว่าสิ่งเหล่านี้แตกต่างจากไซต์หรือการเข้าสู่ระบบอื่น ๆ ที่คุณใช้

สิ่งนี้ทำคือ หากไซต์ใดไซต์หนึ่งของคุณถูกแฮ็ก การติดไวรัสจะหยุดแพร่กระจายไปยังที่อื่นๆ ของคุณ แม้แต่ในบัญชีโฮสติ้งที่ใช้ร่วมกันเดียวกัน

หากไม่ได้ใช้งาน ให้ปิดใช้งาน XML-RPC

แอปพลิเคชันสามารถเข้าถึง WordPress ของคุณผ่านสิ่งที่เรียกว่า API (Application Programming Interface) เพื่ออธิบายให้คุณฟังอย่างตรงไปตรงมา ตัวอย่างของ XML-RPC กำลังใช้แอปพลิเคชันโทรศัพท์ของคุณเพื่ออัปเดตไซต์ของคุณ นอกจากนี้ยังมีปลั๊กอินเฉพาะที่ใช้ฟังก์ชัน XML-RPC

อย่างไรก็ตาม หากคุณไม่ได้ใช้แอปพลิเคชันของบริษัทอื่น และแน่ใจว่าไม่มีปลั๊กอิน WordPress ใดใช้เว็บไซต์ของคุณผ่าน XML-RPC ได้ ก็ควรที่จะปิดการใช้งาน เนื่องจากสามารถใช้ XML-RPC เป็นเครื่องมือในการแฮ็กของคุณได้ เว็บไซต์.

รักษาความปลอดภัยไฟล์ wp-config.php ของคุณ

ไฟล์ wp-config.php เป็นหนึ่งในข้อมูลที่สำคัญที่สุดที่เก็บการตั้งค่าคอนฟิกที่จำเป็นไว้มากมาย เช่น รายละเอียดการเข้าสู่ระบบฐานข้อมูล การแฮชรหัสผ่านเกลือ ฯลฯ คุณจะไม่ต้องการให้ใครมาบุกรุกที่นี่ และด้วยเหตุนี้จึงมีมาตรการรักษาความปลอดภัย เพื่อป้องกันไฟล์กำหนดค่า WordPress ที่สำคัญนี้จะต้องดำเนินการ

หากคุณไม่ได้ปิดการใช้งาน PHP Execution (กล่าวถึงในจุดที่ 15) ให้เพิ่มคำสั่งนี้ในไฟล์ .htaccess ของคุณ:

  • <ไฟล์ wp-config.php>
  • อนุญาต, ปฏิเสธ
  • ปฏิเสธจากทั้งหมด
  • </files>

ติดตั้งไฟร์วอลล์

เพื่อให้ง่ายมาก Software Fireballs จะป้องกันไม่ให้สิ่งของเข้ามาหรือหยุดไม่ให้ออกไป ในกรณีนี้ จะช่วยป้องกันแฮ็กเกอร์ไม่ให้เข้าใกล้เว็บไซต์ของคุณ (หรือปาร์ตี้ของเว็บไซต์ของคุณ) คุณจำเป็นต้องใช้ Web Application Firewall (WAF) และหนึ่งในไฟร์วอลล์โอเพ่นซอร์สที่พึ่งพาได้มากที่สุดซึ่งโดยทั่วไปแล้วจะพร้อมใช้งานกับบริการโฮสติ้ง WordPress ได้ฟรีคือไฟร์วอลล์ "ModSecurity"
คุณสามารถตรวจสอบได้ว่าบริการโฮสติ้งของคุณมีข้อเสนอนี้หรือไม่ และหากมี คุณสามารถใช้ประโยชน์และเปิดใช้งานได้

คุณควรใช้ ไฟร์วอลล์เครือข่ายการจัดส่งเนื้อหา (CDN) เพื่อปรับปรุงประสิทธิภาพของไซต์ของคุณด้วยการให้บริการทรัพยากรจำนวนมากอย่างรวดเร็ว CDN ยังปกป้องเว็บไซต์ของคุณจากปัญหาด้านความปลอดภัยมากมายของ WordPress

หยุดการรายงานข้อผิดพลาด PHP

การรายงานข้อผิดพลาดมีประโยชน์ในขณะที่พัฒนาเว็บไซต์ เนื่องจากทำให้คุณตระหนักถึงข้อผิดพลาดและสามารถแก้ไขได้ทันที แต่เมื่อเปิดใช้งานการรายงานข้อผิดพลาดบนเว็บไซต์ที่ใช้งานได้และใช้งานได้จริง จะทำหน้าที่เป็นเบาะแสที่สำคัญมากสำหรับแฮ็กเกอร์ และทำให้งานของพวกเขาสะดวกสบายกว่าที่ควรจะเป็น รายงานข้อผิดพลาดสามารถให้ข้อมูลที่สำคัญแก่ทุกคนที่กำลังมองหามัน

​การ ปิด ใช้งานการรายงานข้อผิดพลาด PHP เมื่อไซต์ใช้งานได้จริง จะช่วยลดความเสี่ยงด้านความปลอดภัยของ WordPress ที่เกิดจากการเปิดเผยข้อมูลที่ละเอียดอ่อนเกี่ยวกับเว็บไซต์ของคุณเป็นอย่างน้อย หากต้องการปิดใช้งานการรายงานข้อผิดพลาด PHP ให้ทำการเปลี่ยนแปลงไฟล์ php.ini ตามที่ระบุไว้ด้านล่าง:

  • error_reporting = 4339
  • display_errors = ปิด
  • display_startup_errors = ปิด
  • log_errors = เปิด
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ละเว้น_repeated_errors = เปิด
  • ละเว้น_repeated_source = ปิด
  • html_errors = ปิด

ใช้การบันทึกความปลอดภัยเพื่อตรวจสอบความปลอดภัยของ WordPress

การดูบันทึกของคุณจะช่วยให้คุณทราบว่าการโจมตีใดกำลังเกิดขึ้นบนไซต์ของคุณ และเตรียมให้คุณหยุดยั้งการโจมตีเหล่านี้ได้ เป็นวิธีที่ค่อนข้างดีในการปรับปรุงความปลอดภัย WordPress ของคุณ เพื่อยกตัวอย่างเล็กน้อย หากคุณพบว่าความพยายามในการแฮ็กส่วนใหญ่มาจากพื้นที่ใดพื้นที่หนึ่ง อาจเป็นเพราะเว็บไซต์ของคุณไม่รองรับ คุณสามารถบล็อกพื้นที่นั้นโดยใช้ไฟร์วอลล์ของคุณ ขอแนะนำให้ใช้ปลั๊กอินการตรวจสอบความปลอดภัยเพื่อเก็บบันทึกการตรวจสอบเป็นประจำ

นั่นคือทั้งหมด!

ด้วยเหตุนี้ เราจึงได้สิ้นสุดคำแนะนำที่ครอบคลุมและยาวเพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณอย่างเต็มที่ ไม่ต้องสงสัยเลยว่ารายการตรวจสอบนี้อาจทำให้คุณรู้สึกหนักใจเล็กน้อย หากคุณไม่เคยคิดมากในการสร้างความมั่นใจให้กับเว็บไซต์ของคุณมาก่อน แต่ข้อดีคือ ขั้นตอนส่วนใหญ่ไม่ต้องใช้ความพยายามมากจากคุณในการดำเนินการ และเมื่อเวลาผ่านไป มันจะกลายเป็นส่วนปกติของกิจวัตรการบำรุงรักษา WordPress ของคุณ เพื่อความเป็นธรรม พวกคุณส่วนใหญ่จะไม่ดึงขั้นตอนทั้งหมดที่กล่าวมาข้างต้น และก็ไม่เป็นไร แต่ยิ่งคุณใช้มาตรการรักษาความปลอดภัยเหล่านี้มากเท่าไหร่ เว็บไซต์ของคุณก็จะยิ่งปลอดภัยมากขึ้นเท่านั้น ความพยายามเพิ่มเติมเล็กน้อยจากคุณตอนนี้จะไปไกล!