12 วิธีสำคัญในการเพิ่มความปลอดภัยของ WordPress

WordPress เป็นหนึ่งในผู้สร้างเว็บไซต์ที่ได้รับความนิยมมากที่สุดในโลก มีผู้ใช้หลายล้านคน รวมถึงแบรนด์และองค์กรที่ใหญ่ที่สุดในโลก

อย่างไรก็ตาม ความรับผิดชอบที่ยิ่งใหญ่มาพร้อมกับพลังอันยิ่งใหญ่ ซึ่งรวมถึงการทำให้ไซต์ WordPress ของคุณปลอดภัยที่สุด ไซต์ WordPress ที่มีชื่อเสียงหลายแห่งถูกแฮ็กในช่วงไม่กี่ปีที่ผ่านมา ดังนั้นจึงจำเป็นต้องทำตามขั้นตอนเพื่อปกป้องไซต์ของคุณ

การศึกษาโดย Sucuri พบว่า 43% ของไซต์ WordPress เสี่ยงต่อการถูกโจมตี

ต่อไปนี้เป็นวิธีเพิ่มความปลอดภัยของ WordPress

อัพเดท WordPress อยู่เสมอ

สิ่งสำคัญที่สุดอย่างหนึ่งที่คุณสามารถทำได้เพื่อเพิ่มความปลอดภัยของ WordPress คือการทำให้ไซต์ WordPress ของคุณทันสมัยอยู่เสมอ

นั่นหมายถึงการอัปเดต WordPress เอง รวมถึงธีมและปลั๊กอินที่คุณติดตั้งไว้ WordPress เวอร์ชันใหม่ออกเป็นประจำ และเวอร์ชันใหม่แต่ละเวอร์ชันมีการแก้ไขด้านความปลอดภัยสำหรับช่องโหว่ที่ค้นพบ

หากต้องการอัปเดต WordPress ให้ไปที่หน้าแดชบอร์ด > อัปเดต แล้วคลิกปุ่ม "อัปเดตทันที"

การอัปเดตธีมและปลั๊กอินของคุณเป็นสิ่งสำคัญเช่นกัน ผู้พัฒนาธีมและปลั๊กอินส่วนใหญ่เผยแพร่การอัปเดตเป็นประจำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย

คุณสามารถอัปเดตธีมและปลั๊กอินได้จากหน้าแดชบอร์ด > อัปเดต หรือติดตั้งปลั๊กอินแจ้งการอัปเดต WP ซึ่งจะส่งอีเมลถึงคุณเมื่อมีการอัปเดต

ซ่อนหมายเลขเวอร์ชันของ WordPress

เนื่องจาก WordPress ได้รับความนิยมมากขึ้น แฮกเกอร์จึงมุ่งเป้าไปที่มันมากขึ้น

หนึ่งในสิ่งที่พวกเขามองหาคือหมายเลขเวอร์ชันของ WordPress ซึ่งแสดงในซอร์สโค้ดของไซต์ WordPress ทุกแห่ง แฮกเกอร์สามารถกำหนดเป้าหมายช่องโหว่เฉพาะได้ด้วยการรู้ว่าคุณกำลังใช้ WordPress เวอร์ชันใด นอกจากนี้ ปลั๊กอินความปลอดภัย WordPress บางตัวจะใช้งานได้กับ WordPress บางรุ่นเท่านั้น

ดังนั้น จำเป็นต้องซ่อนหมายเลขเวอร์ชัน WordPress ของคุณ ธีม WordPress ส่วนใหญ่มีตัวเลือกในการดำเนินการนี้ หรือคุณสามารถติดตั้งปลั๊กอิน เช่น ปลั๊กอิน WP-Hardening

คุณยังสามารถซ่อนได้ด้วยตนเองโดยวางโค้ดนี้ในไฟล์ functions.php ของคุณ:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


ใช้รหัสผ่านที่รัดกุม

อีกวิธีที่สำคัญในการเพิ่มความปลอดภัยของ WordPress คือการใช้รหัสผ่านที่รัดกุม

รหัสผ่านที่รัดกุมควรมีความยาวอย่างน้อยแปดอักขระ และประกอบด้วยตัวอักษรตัวพิมพ์เล็กและตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ผสมกัน การใช้รหัสผ่านที่แตกต่างกันสำหรับแต่ละเว็บไซต์ที่คุณเยี่ยมชมก็เป็นสิ่งสำคัญเช่นกัน ด้วยวิธีนี้ บัญชีอื่นๆ ของคุณจะปลอดภัยหากไซต์หนึ่งถูกแฮ็ก คุณสามารถใช้ตัวจัดการรหัสผ่าน เช่น LastPass หรือ KeePass เพื่อช่วยคุณสร้างและจดจำรหัสผ่านที่รัดกุม

การศึกษาวิจัยโดย Imperva พบว่าการใช้รหัสผ่านที่รัดกุมเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการป้องกันการโจมตีด้วยกำลังเดรัจฉาน ซึ่งเป็นการแฮ็ก WordPress ทั่วไป

ใช้เว็บไซต์ตัวสร้างรหัสผ่านเพื่อสร้างรหัสผ่านที่รัดกุมมาก นี่คือเครื่องมือสร้างรหัสผ่านที่ดีที่สุดบางส่วน:

• Lastpass
• นอร์ตัน
• 1รหัสผ่าน

ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

การรับรองความถูกต้องด้วยสองปัจจัย (หรือที่เรียกว่าการตรวจสอบสองขั้นตอน) เป็นชั้นความปลอดภัยเพิ่มเติมที่สามารถช่วยปกป้องไซต์ WordPress ของคุณได้

ด้วยการตรวจสอบสิทธิ์แบบสองปัจจัย คุณจะต้องป้อนรหัสผ่านและรหัสที่สอง ซึ่งมักจะสร้างโดยแอปบนสมาร์ทโฟนของคุณ ด้วยวิธีนี้ แม้ว่าจะมีใครบางคนสามารถเดารหัสผ่านของคุณได้ แต่พวกเขาจะไม่สามารถเข้าสู่ระบบได้เว้นแต่พวกเขาจะมีสมาร์ทโฟนของคุณด้วย

WordPress ไม่ได้รวมการตรวจสอบสิทธิ์แบบสองปัจจัยโดยค่าเริ่มต้น แต่คุณสามารถติดตั้งปลั๊กอิน เช่น Google Authenticator หรือ Duo Security ได้

อย่างไรก็ตาม โปรดจำไว้ว่า การตรวจสอบสิทธิ์แบบสองปัจจัยจะไม่ทำงานหากคุณทำสมาร์ทโฟนหาย ดังนั้นจึงจำเป็นต้องมีวิธีสำรองข้อมูล เช่น ที่อยู่อีเมลสำรองหรือหมายเลขโทรศัพท์

จำกัดความพยายามในการเข้าสู่ระบบ

อีกวิธีหนึ่งในการเพิ่มความปลอดภัยของ WordPress คือการจำกัดความพยายามในการเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress อนุญาตให้พยายามเข้าสู่ระบบได้ไม่จำกัดจำนวน ซึ่งทำให้แฮกเกอร์มีโอกาสมากมายในการเดารหัสผ่านของคุณ คุณสามารถช่วยป้องกันการโจมตีแบบเดรัจฉานด้วยการจำกัดความพยายามในการเข้าสู่ระบบ ปลั๊กอินบางตัวช่วยให้คุณทำสิ่งนี้ได้ เช่น จำกัดความพยายามในการเข้าสู่ระบบและการล็อคการเข้าสู่ระบบ

การวิจัยโดย Wordfence แสดงให้เห็นว่าการจำกัดความพยายามในการเข้าสู่ระบบสามารถบล็อกการโจมตีด้วยกำลังเดรัจฉานได้ 99.99%

นอกจากนี้ ให้เลือกปลั๊กอินที่ไม่ล็อกผู้ใช้ที่ถูกต้อง เช่น ตัวคุณเอง หากคุณลืมรหัสผ่าน

ใช้ SSL

SSL (Secure Sockets Layer) เป็นโปรโตคอลที่เข้ารหัสข้อมูลที่ส่งระหว่างเว็บไซต์และเว็บเบราว์เซอร์ของผู้ใช้ นั่นหมายความว่า ถ้ามีคนพยายามสกัดกั้นข้อมูล พวกเขาจะไม่สามารถอ่านได้ ในอดีต เว็บไซต์อีคอมเมิร์ซใช้ SSL เป็นหลักในการปกป้องข้อมูลบัตรเครดิต

แต่ในปัจจุบันนี้ ไซต์ WordPress จำนวนมากขึ้นเรื่อยๆ ใช้ SSL เพื่อปกป้องข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบและการส่งแบบฟอร์มการติดต่อ คุณสามารถเพิ่ม SSL ให้กับไซต์ WordPress ของคุณได้หลายวิธี ตัวอย่างเช่น บริษัทเว็บโฮสติ้งบางแห่งเสนอใบรับรอง SSL ฟรี หรือคุณสามารถซื้อใบรับรองจากบริษัทเช่น Symantec หรือ Comodo เมื่อคุณมีใบรับรอง SSL แล้ว คุณจะต้องติดตั้งและเปิดใช้งานปลั๊กอิน WordPress SSL

จำกัดการเข้าถึงไดเรกทอรีปลั๊กอินของคุณ

ไดเร็กทอรีปลั๊กอินของ WordPress คือโฟลเดอร์บนเซิร์ฟเวอร์ของคุณที่มีปลั๊กอินทั้งหมดที่คุณติดตั้งบนไซต์ของคุณ

ตามค่าเริ่มต้น ทุกคนสามารถเข้าถึงโฟลเดอร์นี้และดูว่าใช้ปลั๊กอินใด และหากแฮ็กเกอร์รู้ว่าคุณกำลังใช้ปลั๊กอินใดอยู่ พวกเขาก็สามารถกำหนดเป้าหมายช่องโหว่ใดๆ ในปลั๊กอินเหล่านั้นได้ ดังนั้น จำเป็นต้องจำกัดการเข้าถึงไดเรกทอรีของปลั๊กอิน คุณสามารถทำได้โดยเพิ่มบรรทัดโค้ดง่ายๆ ลงในไฟล์ .htaccess ของคุณ

หากคุณไม่สะดวกที่จะแก้ไขไฟล์บนเซิร์ฟเวอร์ของคุณ คุณสามารถติดตั้งปลั๊กอิน เช่น iThemes Security ซึ่งจะเพิ่มรหัสให้กับคุณ หากคุณแก้ไขไฟล์ .htaccess อย่าลืมสร้างข้อมูลสำรองก่อนที่จะทำการเปลี่ยนแปลงใดๆ

เปลี่ยนชื่อผู้ใช้ผู้ดูแลระบบ

เมื่อคุณติดตั้ง WordPress ชื่อผู้ใช้ของผู้ดูแลระบบเริ่มต้นคือ “admin” มันไม่ปลอดภัยนักเพราะแฮกเกอร์เดาได้ง่าย

ดังนั้น สิ่งแรกที่คุณควรทำหลังจากติดตั้ง WordPress คือการเปลี่ยนชื่อผู้ดูแลระบบ คุณสามารถสร้างผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบแล้วลบผู้ใช้ "admin" เก่า หรือคุณสามารถติดตั้งปลั๊กอิน เช่น WP Security Scan ซึ่งจะสแกนไซต์ของคุณเพื่อหาการตั้งค่าที่ไม่ปลอดภัย รวมถึงชื่อผู้ใช้ของผู้ดูแลระบบที่เป็นค่าเริ่มต้น

หลังจากเปลี่ยนชื่อผู้ดูแลระบบแล้ว ให้ออกจากระบบบัญชี WordPress ของคุณและกลับเข้าสู่ระบบใหม่ด้วยชื่อผู้ใช้ใหม่ หลายคนลืมทำเช่นนี้และสงสัยว่าทำไมพวกเขาไม่สามารถเข้าถึงไซต์ WordPress ของตนได้

ใช้ CAPTCHA หรือ reCAPTCHA บนหน้าจอเข้าสู่ระบบของคุณ

CAPTCHA (การทดสอบ Public Turing แบบอัตโนมัติโดยสมบูรณ์เพื่อบอก Computers and Humans Apart) เป็นการทดสอบการตอบสนองต่อความท้าทายที่ใช้เพื่อให้แน่ใจว่ามีเพียงมนุษย์เท่านั้นที่สามารถเข้าถึงเว็บไซต์หรือดำเนินการบางอย่างได้ reCAPTCHA คือเวอร์ชันของ CAPTCHA ที่ Google เป็นเจ้าของ มีความปลอดภัยมากกว่า CAPTCHA แบบเดิม เนื่องจากใช้เทคนิคการวิเคราะห์ความเสี่ยงขั้นสูงเพื่อป้องกันไม่ให้ซอฟต์แวร์อัตโนมัติมีส่วนร่วมในกิจกรรมที่ไม่เหมาะสมบนเว็บไซต์ของคุณ หากต้องการเพิ่ม CAPTCHA หรือ reCAPTCHA ลงในหน้าจอเข้าสู่ระบบ WordPress คุณสามารถติดตั้งปลั๊กอิน เช่น WP-reCAPTCHA

เมื่อติดตั้งและเปิดใช้งานปลั๊กอินแล้ว คุณจะต้องลงชื่อสมัครใช้บัญชีฟรีด้วย reCAPTCHA จากนั้น คุณจะได้รับ Site Key และ Secret Key ซึ่งคุณจะต้องป้อนในการตั้งค่าปลั๊กอิน

ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ

เมื่อคุณลงชื่อเข้าใช้ไซต์ WordPress ของคุณ คุณสามารถอยู่ในระบบได้ไม่มีกำหนด แม้ว่าคุณจะปิดหน้าต่างเบราว์เซอร์หรือเดินออกจากคอมพิวเตอร์ของคุณ นั่นไม่ปลอดภัยนักเพราะหมายความว่าใครก็ตามที่เข้าถึงคอมพิวเตอร์ของคุณได้สามารถเข้าถึงไซต์ WordPress ของคุณได้

คุณสามารถติดตั้งปลั๊กอินเช่น Idle User Logout เพื่อแก้ปัญหานี้ได้ ปลั๊กอินนี้จะออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติในช่วงระยะเวลาหนึ่ง

ตัวอย่างเช่น คุณสามารถตั้งค่าให้ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานเป็นเวลา 15 นาที ด้วยวิธีนี้ แม้ว่าบางคนจะสามารถเข้าถึงคอมพิวเตอร์ของคุณได้ แต่พวกเขาจะไม่สามารถอยู่ในระบบในไซต์ WordPress ของคุณได้ ปลั๊กอินเป็นสิ่งจำเป็นหากคุณมีคอมพิวเตอร์ที่ใช้ร่วมกันหรือใช้ Wi-Fi สาธารณะ

ใช้ SFTP เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ

เมื่อคุณเชื่อมต่อกับไซต์ WordPress แสดงว่าคุณกำลังเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ

ตามค่าเริ่มต้น คนส่วนใหญ่เชื่อมต่อกับเซิร์ฟเวอร์โดยใช้ FTP (File Transfer Protocol) แต่ FTP เป็นโปรโตคอลที่ไม่ปลอดภัยเพราะไม่ได้เข้ารหัสข้อมูลของคุณ นั่นหมายความว่าใครก็ตามที่ตรวจสอบการเชื่อมต่อสามารถเห็นชื่อผู้ใช้และรหัสผ่านของคุณได้

ดังนั้น การใช้ SFTP (Secure File Transfer Protocol) จึงเป็นสิ่งจำเป็น SFTP เป็นโปรโตคอลที่ปลอดภัยที่เข้ารหัสข้อมูลของคุณ ดังนั้นจึงยากกว่ามากสำหรับคนที่จะสกัดกั้นการเชื่อมต่อของคุณและขโมยข้อมูลประจำตัวของคุณ หากต้องการใช้ SFTP คุณจะต้องสร้างคู่คีย์ SSH และเพิ่มคีย์สาธารณะลงในเซิร์ฟเวอร์ของคุณ ผู้ให้บริการโฮสติ้งส่วนใหญ่มีคำแนะนำเกี่ยวกับวิธีการทำเช่นนี้

ตรวจสอบมัลแวร์

มัลแวร์เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งสามารถติดไซต์ WordPress ของคุณและทำให้เกิดปัญหามากมาย

ตัวอย่างเช่น มัลแวร์สามารถเปลี่ยนเส้นทางผู้เยี่ยมชมของคุณไปยังเว็บไซต์อื่น หรืออาจแสดงโฆษณาบนไซต์ของคุณโดยไม่ได้รับอนุญาตจากคุณ มัลแวร์ยังสามารถขโมยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านและหมายเลขบัตรเครดิต ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องสแกนไซต์ WordPress ของคุณเป็นประจำเพื่อหามัลแวร์และลบสิ่งที่คุณพบ มีหลายวิธีในการทำเช่นนี้ ตัวอย่างเช่น คุณสามารถใช้ปลั๊กอินเช่น Wordfence Security ซึ่งจะสแกนไซต์ของคุณเพื่อหามัลแวร์และลบสิ่งที่พบออกโดยอัตโนมัติ

อีกวิธีหนึ่ง คุณสามารถใช้บริการเช่น Sucuri SiteCheck ซึ่งจะสแกนไซต์ของคุณ จากนั้นให้รายงานเกี่ยวกับมัลแวร์ที่พบ

บทสรุป

นี่เป็นเพียงไม่กี่วิธีที่คุณสามารถเพิ่มความปลอดภัยของ WordPress ด้วยการใช้มาตรการเหล่านี้ คุณสามารถช่วยปกป้องไซต์ WordPress ของคุณจากแฮกเกอร์และผู้ใช้ที่เป็นอันตรายอื่นๆ เคล็ดลับมากมายเหล่านี้นำไปใช้ได้ง่าย ดังนั้นจึงไม่มีข้อแก้ตัวที่จะไม่ดำเนินการ จำไว้ว่าไซต์ WordPress ของคุณมีความปลอดภัยเท่ากับที่คุณสร้างเท่านั้น ดังนั้น โปรดอย่ารอจนกว่าจะสายเกินไปที่จะเริ่มคิดถึงความปลอดภัย ดำเนินการทันทีและช่วยรักษาไซต์ WordPress ของคุณให้ปลอดภัย