3 วิธีในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจากการโจมตี

ทุกวันนี้ ทุกเว็บไซต์จำเป็นต้องให้ความสำคัญกับความปลอดภัยอย่างจริงจัง โดยเฉพาะอย่างยิ่งหากใช้ระบบจัดการเนื้อหา (CMS) เช่น WordPress แพลตฟอร์มประเภทนี้มักจะจัดเก็บข้อมูลที่ละเอียดอ่อนจำนวนมาก ซึ่งทำให้เป็นเป้าหมาย หากมีคนบุกรุกเว็บไซต์ของคุณ คุณจะต้องใช้เวลาอันมีค่าเพื่อค้นหาว่าพวกเขาเข้ามาได้อย่างไร และซ่อมแซมความเสียหาย

ข่าวดีก็คือ WordPress มีความยืดหยุ่นสูงในการเพิ่มมาตรการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ ตัวอย่างเช่น มีหลายวิธีที่คุณสามารถปกป้องหน้าเข้าสู่ระบบของคุณจากการโจมตีและซ่อนจากบุคคลที่คุณไม่รู้จัก ด้วยการปรับแต่งเล็กน้อยที่นี่และที่นั่น เว็บไซต์ของคุณสามารถกลายเป็นป้อมปราการได้อย่างรวดเร็ว

ในบทความนี้ เราจะพูดถึงความสำคัญของความปลอดภัยของ WordPress จากนั้นเราจะแนะนำวิธีการสามวิธีที่คุณสามารถใช้เพื่อทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้น ไปกันเถอะ!

เหตุใดความปลอดภัยของ WordPress จึงมีความสำคัญ

เพื่อให้ชัดเจน WordPress เป็นแพลตฟอร์มที่ปลอดภัยมากอยู่แล้ว อย่างไรก็ตาม มันเป็นซอฟต์แวร์ชิ้นใหญ่ที่มีผู้ใช้หลายล้านคน และตัวเลือกปลั๊กอินและธีมอีกนับพัน เมื่อมีเหตุการณ์มากมายเกิดขึ้น เป็นเรื่องปกติที่ผู้ใช้บางรายจะต้องจัดการกับปัญหาด้านความปลอดภัย ในกรณีส่วนใหญ่ คุณสามารถติดตามปัญหาเหล่านี้กลับไปยังข้อมูลประจำตัวที่แตกง่าย ความล้มเหลวในการอัปเดตอย่างสม่ำเสมอ และข้อผิดพลาดอื่นๆ ของผู้ใช้

ในทางกลับกัน คุณจะปลอดภัยขึ้นมาก หากคุณเป็นคนที่คอยติดตาม WordPress เวอร์ชันล่าสุด และตรวจสอบปลั๊กอินและธีมทั้งหมดที่คุณใช้ การรักษาความปลอดภัยของเว็บไซต์ของคุณอาจดูเหมือนเป็นงานหนัก แต่การระมัดระวังเป็นแนวทางปฏิบัติที่ดีที่สุด นี่คือเหตุผล:

• WordPress เป็นเป้าหมายของการโจมตี ความนิยมของระบบจัดการเนื้อหา (CMS) ทำให้เป็นที่นิยมของผู้โจมตีออนไลน์ ท้ายที่สุด การค้นหาช่องโหว่ในปลั๊กอินหรือธีมเดียวสามารถช่วยให้เข้าถึงเว็บไซต์นับพันได้
• คุณต้องปกป้องข้อมูลที่ละเอียดอ่อนของผู้ใช้ แม้ว่าคุณจะไม่ได้จัดการกับหมายเลขบัตรเครดิตใดๆ ผ่านทางเว็บไซต์ของคุณ แต่ก็ไม่ได้หมายความว่าคุณไม่ควรปกป้องความเป็นส่วนตัวของผู้ใช้ของคุณ
• ไฮแจ็คเกอร์สามารถแพร่กระจายมัลแวร์ผ่านเว็บไซต์ของคุณได้ ทุกวันนี้ เป็นเรื่องปกติที่ผู้โจมตีจะใช้ไซต์ที่ถูกแฮ็กเพื่อให้บริการมัลแวร์แก่ผู้เยี่ยมชม จำเป็นต้องพูด คุณไม่ต้องการให้อุปกรณ์ของผู้ใช้ติดไวรัสเนื่องจากแนวทางปฏิบัติด้านความปลอดภัยที่หละหลวมในฝั่งของคุณ

โชคดีที่คุณสามารถปกป้องเว็บไซต์ WordPress ของคุณไว้ก่อนได้หลายอย่าง ตัวอย่างเช่น การใช้ธีมที่มีโค้ดอย่างดีซึ่งได้รับการอัพเดตอย่างต่อเนื่องนั้นเป็นแนวคิดที่ฉลาด ธีม Uncode ของเรามีการให้คะแนนและคุณลักษณะด้านความปลอดภัยที่ยอดเยี่ยม ตัวอย่างเช่น เราพร้อมเสมอที่จะตอบคำถามใดๆ ที่คุณอาจมีเกี่ยวกับวิธีการปกป้องเว็บไซต์ของคุณเพิ่มเติม หลังจากที่คุณได้แยกแยะธีมของคุณแล้ว คุณสามารถใช้มาตรการง่ายๆ อื่นๆ อีกสองสามอย่าง

3 วิธีในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจากการโจมตี

ในส่วนนี้ เราจะสอนคุณสามวิธีในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจากการโจมตี ทั้งที่มีและไม่มีปลั๊กอิน เนื่องจากคุณจะทำการเปลี่ยนแปลงที่สำคัญบางอย่างในฟังก์ชันการทำงานของเว็บไซต์ คุณจึงควรสร้างข้อมูลสำรองก่อนเริ่มต้น ด้วยวิธีนี้ หากมีสิ่งผิดปกติเกิดขึ้น (ซึ่งไม่ควร!) คุณจะสามารถกู้คืนไซต์ของคุณได้ภายในไม่กี่นาทีและลองอีกครั้ง

1. ใช้การตรวจสอบสิทธิ์สองปัจจัย (2FA)

โดยปกติทั้งหมดที่ใช้ในการเข้าสู่ระบบเว็บไซต์คือชื่อผู้ใช้และรหัสผ่านของคุณ อย่างไรก็ตาม บางไซต์ได้ก้าวไปอีกขั้นหนึ่ง และขอให้คุณป้อนรหัสแบบใช้ครั้งเดียวที่ส่งไปยังอีเมลหรือสมาร์ทโฟนของคุณ สิ่งนี้เรียกว่าการตรวจสอบสิทธิ์สองปัจจัย (2FA) การใช้วิธีนี้ แม้ว่าจะมีใครก็ตามที่ได้รับข้อมูลประจำตัวของคุณ พวกเขาจะยังไม่สามารถเข้าถึงบัญชีของคุณได้

WordPress ไม่รองรับ 2FA ทันที อย่างไรก็ตาม คุณ สามารถ ใช้เครื่องมือที่เหมาะสมได้ มีปลั๊กอิน 2FA ที่ยอดเยี่ยมมากมาย แต่เราเป็นส่วนหนึ่งของการตรวจสอบสิทธิ์แบบสองปัจจัยของ miniOrange เนื่องจากคุณสมบัติทั้งหมดที่มีให้:

ในการเริ่มต้นใช้เทคนิคนี้ คุณจะต้องติดตั้งและเปิดใช้งานปลั๊กอินก่อน จากนั้น คุณจะสามารถเข้าถึงแท็บ miniOrange 2-Factor ใหม่ได้จากแดชบอร์ดของคุณ ในครั้งแรกที่คุณคลิก คุณจะต้องกรอกข้อมูลสองสามฟิลด์เพื่อลงทะเบียนบัญชี miniOrange:

หลังจากนั้น คุณจะได้รับรหัสแบบใช้ครั้งเดียวผ่านอีเมลหรือข้อความ ซึ่งคุณสามารถใช้เพื่อเปิดใช้งานปลั๊กอินได้

เมื่อเสร็จแล้ว คุณสามารถข้ามไปที่แท็บการ ตั้งค่าสองปัจจัย ที่ด้านบนของหน้าจอ และเลือกประเภทของ 2FA ที่ผู้เยี่ยมชมของคุณจะสามารถใช้ได้ เพื่อให้ผู้ใช้มีตัวเลือกมากที่สุด เราขอแนะนำให้ใช้การ ยืนยันอีเมล เป็นวิธีเริ่มต้นของคุณ:

หลังจากเลือกวิธีการที่คุณต้องการแล้ว คุณสามารถออกจากระบบได้ ครั้งต่อไปที่คุณพยายามเข้าถึงแดชบอร์ด คุณจะเห็นตัวเลือกเพื่อเปิดใช้งาน 2FA สำหรับบัญชีของคุณ ตอนนี้ ผู้ใช้ไซต์ของคุณทั้งหมดจะสามารถเลือกใช้ 2FA ได้ เว็บไซต์ WordPress ของคุณจะปลอดภัยกว่า!

2. อนุญาตที่อยู่ IP ที่สามารถเข้าถึงแดชบอร์ดของคุณได้

แดชบอร์ดของ WordPress เป็นที่ที่เวทมนตร์ส่วนใหญ่เกิดขึ้น ดังนั้น คุณไม่ต้องการให้ใครก็ตามเข้าถึงได้ เฉพาะสมาชิกในทีมที่เชื่อถือได้เท่านั้นที่จะสามารถเข้าสู่แดชบอร์ดของไซต์และใช้ประโยชน์จากคุณลักษณะหลักของไซต์ได้

หน้าเข้าสู่ระบบของคุณเป็นแนวป้องกันหลักจากการบุกรุกที่ไม่ต้องการ อย่างไรก็ตาม บางครั้งผู้โจมตีสามารถเข้าถึงข้อมูลประจำตัวของสมาชิกในทีมของคุณได้ หากเป็นเช่นนั้น คุณจะต้องมีแนวป้องกันที่สองเพื่อหยุดพวกเขา นั่นคือที่มาของไฟล์ . htaccess

ไฟล์นี้ช่วยให้คุณสามารถจัดเตรียมคำแนะนำเฉพาะให้กับเซิร์ฟเวอร์ของคุณ ตัวอย่างเช่น คุณสามารถบอกให้บล็อกการเข้าถึงแดชบอร์ดของคุณสำหรับทุกคนที่มี IP ไม่อยู่ในรายการที่ได้รับการอนุมัติล่วงหน้า เมื่อคุณเพิ่มที่อยู่ IP ลงในรายการนั้น คุณกำลัง 'อนุญาตพิเศษ' ที่อยู่นั้น วิธีนี้ต้องทำงานล่วงหน้าเล็กน้อย แต่สามารถเปลี่ยนเว็บไซต์ของคุณให้เป็นป้อมปราการได้

ก่อนอื่น คุณจะต้องทราบที่อยู่ IP ของเพื่อนร่วมงานทั้งหมดของคุณ เพื่อผลลัพธ์ที่ดีที่สุด คุณจะต้องแน่ใจว่า IP เหล่านั้นเป็นแบบคงที่ สมาชิกในทีมสามารถใช้ไซต์เช่น What is My IP เพื่อค้นหาว่าที่อยู่ของพวกเขาคืออะไร และติดต่อผู้ให้บริการอินเทอร์เน็ตของตนเพื่อให้พวกเขาสามารถกำหนดที่อยู่คงที่ได้หากยังไม่มี

เป็นการดีที่สุดที่จะกำจัดงานเหล่านี้ให้หมดก่อน เพื่อให้คุณสามารถป้อน IP ที่อนุญาตพิเศษทั้งหมดได้ในคราวเดียว เมื่อคุณมีรายการที่อยู่พร้อมแล้ว คุณจะต้องค้นหาและเข้าถึงไฟล์ . htaccess ของเว็บไซต์ของคุณ ในการทำเช่นนั้น เราแนะนำให้ใช้ File Transfer Protocol (FTP) และเครื่องมือ เช่น FileZilla

เพียงลงชื่อเข้าใช้เว็บไซต์ของคุณโดยใช้ข้อมูลประจำตัว FTP และเข้าถึงโฟลเดอร์ public_html ของคุณ จากนั้นค้นหาไฟล์ . htaccess ภายใน:

ตอนนี้ คลิกขวาที่ไฟล์แล้วเลือกตัวเลือก ดู/แก้ไข การทำเช่นนี้จะเปิดไฟล์ในคอมพิวเตอร์ของคุณโดยใช้โปรแกรมแก้ไขข้อความเริ่มต้น ข้างในควรมีโค้ดสองสามบรรทัดอยู่แล้ว ซึ่งคุณไม่ต้องการเปลี่ยนแปลง ให้เลื่อนไปที่ด้านล่างของไฟล์และมองหา #END WordPress บรรทัด

คุณจะต้องวางข้อมูลโค้ดต่อไปนี้ก่อนบรรทัดนั้น:

 <IfModule mod_rewrite.c>
RewriteEngine บน
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

โค้ดห้าบรรทัดนี้บอกให้ WordPress ตรวจสอบที่อยู่ IP ของใครก็ตามที่พยายามเข้าถึงแดชบอร์ดของคุณ หากที่อยู่ไม่ตรงกับที่อยู่ในรายการที่อนุญาตพิเศษของคุณ (ในตัวอย่างด้านบนมีอยู่สองรายการ) พวกเขาจะได้รับข้อผิดพลาด 403:

คุณสามารถเพิ่มที่อยู่ได้มากเท่าที่คุณต้องการโดยใช้รูปแบบเดียวกัน และบล็อกหน้าอื่นๆ ด้วย ตัวอย่างเช่น หากคุณต้องการบล็อกหน้าเข้าสู่ระบบสำหรับทุกคน ยกเว้นผู้ที่อยู่ในรายการที่อนุญาต สิ่งที่คุณต้องทำคือเพิ่มรหัสพิเศษหนึ่งบรรทัด:

 <IfModule mod_rewrite.c>
RewriteEngine บน
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

เมื่อคุณทำการเปลี่ยนแปลง . htaccess เสร็จแล้ว ให้บันทึกไฟล์และปิดโปรแกรมแก้ไขข้อความของคุณ คุณควรจะยังสามารถเข้าถึงแดชบอร์ดและหน้าเข้าสู่ระบบได้ตามปกติ เว้นแต่คุณจะลืมไวท์ลิสต์ที่อยู่ IP ของคุณเอง!

3. ใช้ปลั๊กอินความปลอดภัย WordPress ที่ครอบคลุม

หากคุณเลือกที่จะใช้มาตรการเดียวในการปกป้องเว็บไซต์ WordPress ของคุณ การใช้ปลั๊กอินความปลอดภัยจะช่วยให้คุณใช้งานได้นานที่สุด มีปลั๊กอินความปลอดภัยยอดนิยมมากมาย และหลายตัวสามารถปกป้องเว็บไซต์ของคุณจากการโจมตีแทบทุกประเภท

หนึ่งในรายการโปรดของเราคือ All In One WP Security & Firewall มีคุณสมบัติหลากหลาย และ อินเทอร์เฟซที่ใช้งานง่าย:

จนถึงตอนนี้ เราได้พูดคุยกันมากมายเกี่ยวกับการรักษาความปลอดภัยหน้าเข้าสู่ระบบและแดชบอร์ดของ WordPress ปลั๊กอินนี้ช่วยให้คุณทำทั้งสองอย่างได้ โดยใช้ฟังก์ชันในตัวที่คุณสามารถเปิดได้ด้วยการคลิกเพียงไม่กี่ครั้ง ตัวอย่างเช่น คุณสามารถจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบก่อนที่จะถูกล็อกไม่ให้ออกจากไซต์ชั่วคราว คุณลักษณะนี้มีอยู่ใน WP Security > User Login tab:

คุณยังสามารถกำหนดค่าปลั๊กอินเพื่อแจ้งให้คุณทราบเมื่อมีคนถูกล็อกไม่ให้ออกจากหน้าเข้าสู่ระบบ และ บล็อกที่อยู่ IP ทั้งหมด All In One WP Security & Firewall ยังมีไฟร์วอลล์ที่ครอบคลุม ซึ่งคุณสามารถกำหนดค่าได้จากแท็บ WP Security > Firewall :

ทันทีที่คุณเปิดใช้งานปลั๊กอิน สิ่งแรกที่คุณควรทำคือดูเอกสารประกอบ มีการตั้งค่ามากมายที่คุณต้องรู้วิธีใช้งาน แต่หลักสูตรเร่งรัดแบบด่วนจะบอกทุกสิ่งที่คุณจำเป็นต้องรู้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ

สุดท้ายแต่ไม่ท้ายสุด Kinsta มีข้อมูลเชิงลึกที่ยอดเยี่ยมสำหรับการล็อกไซต์ของคุณ ตรวจสอบว่าคุณต้องการคำแนะนำเพิ่มเติมเกี่ยวกับความปลอดภัยของ WordPress หรือไม่

บทสรุป

ความปลอดภัยของ WordPress เป็นสิ่งที่คุณต้องการเป็นเชิงรุก ความพยายามเพียงเล็กน้อยในการปกป้องเว็บไซต์ของคุณตั้งแต่เริ่มต้น จะช่วยให้คุณไม่ต้องปวดหัวมากมาย หากคุณโชคดี คุณจะไม่ต้องจัดการกับผลกระทบของการบุกรุกที่ไม่ต้องการไปยังเว็บไซต์ของคุณ และคุณจะสามารถมุ่งเน้นไปที่การปรับปรุงแทนได้

ข่าวดีก็คือมีวิธีง่าย ๆ มากมายในการรักษาความปลอดภัยเว็บไซต์ของคุณ อีกครั้ง นี่คือรายการโปรดของเราสามรายการ:

1. ใช้ 2FA ในหน้าเข้าสู่ระบบของคุณ
2. อนุญาตที่อยู่ IP ของสมาชิกในทีมของคุณ
3. ใช้ปลั๊กอินความปลอดภัย WordPress ที่ครอบคลุม

คุณมีคำถามเกี่ยวกับวิธีปกป้องเว็บไซต์ WordPress ของคุณหรือไม่? ถามออกไปในส่วนความคิดเห็นด้านล่าง!