• โฮมเพจ
  • บทความ
  • แนะนำ
  • วิธีรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ: เคล็ดลับความปลอดภัยในการทำงาน

วิธีรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ: เคล็ดลับความปลอดภัยในการทำงาน

เผยแพร่แล้ว: 2021-11-30
โลโก้ wpmudev

ส่วนลด 20% สำหรับ WPMU Dev

สำหรับบทความนี้ เราจะใช้โฮสติ้งและเครื่องมือ WPMU DEV คุณสามารถรับส่วนลด 20% สำหรับ WPMU DEV สำหรับการเป็นสมาชิก

ลิงค์เปิดใช้งานคูปอง

ความปลอดภัยของ WordPress เป็นหัวข้อใหญ่ มีหลายสิ่งที่คุณทำได้เพื่อรักษาความปลอดภัยให้กับไซต์ WordPress และป้องกันแฮกเกอร์และช่องโหว่จากการทำลายไซต์อีคอมเมิร์ซหรือบล็อกของคุณ

แม้ว่าซอฟต์แวร์หลักของ WordPress จะค่อนข้างปลอดภัย และมักได้รับการตรวจสอบโดยวิศวกรหลายร้อยคน แต่ก็ยังมีอีกมากที่คุณสามารถทำได้เพื่อให้ไซต์ของคุณปลอดภัย

คุณคงไม่อยากตื่นเช้าวันหนึ่งเพื่อค้นหาเว็บไซต์ของคุณที่วุ่นวาย ดังนั้น วันนี้ เราจะมาพูดถึงวิธีการ กลวิธี และแนวทางต่างๆ ที่คุณสามารถใช้เพื่อปรับปรุงความปลอดภัย WordPress ของคุณและคงไว้ซึ่งความปลอดภัย

เหตุใดการรักษาความปลอดภัยของเว็บไซต์จึงมีความสำคัญ

เว็บไซต์ WordPress ที่ถูกบุกรุกอาจเป็นอันตรายต่อกระแสเงินสดและความน่าเชื่อถือของคุณอย่างมาก ผู้โจมตีสามารถรับข้อมูลลูกค้า รหัสผ่าน ใส่โปรแกรมที่เป็นอันตราย หรือแม้แต่ทำให้ผู้ใช้ของคุณติดมัลแวร์

กรณีสถานการณ์เลวร้าย บริษัทต่างๆ อาจถูกบังคับให้ใช้แรนซัมแวร์กับผู้โจมตีเพื่อกู้คืนการเข้าถึงเว็บไซต์ ผู้ใช้เว็บไซต์กว่า 50 ล้านคนได้รับคำเตือนว่าหน้าเว็บที่พวกเขากำลังเข้าชมอาจมีมัลแวร์หรือขโมยข้อมูลตาม Google

นี่คือเว็บไซต์สถิติสดที่ถูกแฮ็กในหนึ่งวัน

วันนี้เว็บโดนแฮก
วันนี้เว็บโดนแฮก

นอกจากนี้ ในแต่ละสัปดาห์ Google จะขึ้นบัญชีดำเว็บไซต์ประมาณ 20,000 เว็บไซต์สำหรับมัลแวร์ และประมาณ 50,000 เว็บไซต์สำหรับฟิชชิ่ง หากคุณกำลังใช้งานเพจของบริษัท คุณจะต้องให้ความสำคัญกับการรักษาความปลอดภัยของเว็บไซต์

เป็นหน้าที่ของคุณในฐานะเจ้าของธุรกิจออนไลน์ ในการรักษาความปลอดภัยเว็บไซต์ธุรกิจของคุณ ในลักษณะเดียวกับความรับผิดชอบของคุณในการปกป้องสถานที่จัดเก็บจริงของคุณ

WordPress เป็นแพลตฟอร์มที่ปลอดภัยหรือไม่?

WordPress ปลอดภัยหรือไม่?

นั่นอาจเป็นคำถามแรกในใจของคุณ ใช่ส่วนใหญ่

WordPress ปลอดภัยตราบใดที่เจ้าของเว็บไซต์ให้ความสำคัญกับความปลอดภัยและปฏิบัติตามแนวทางที่แนะนำ การใช้ปลั๊กอินและธีมที่ปลอดภัย การรักษากระบวนการเข้าสู่ระบบที่รับผิดชอบ การใช้ปลั๊กอินความปลอดภัยเพื่อตรวจสอบไซต์ของคุณ และการอัปเดตเป็นระยะเป็นแนวทางปฏิบัติที่ดีทั้งหมด

ในทางกลับกัน WordPress มีชื่อเสียงในด้านข้อบกพร่องด้านความปลอดภัยและไม่เป็นแพลตฟอร์มที่ปลอดภัยสำหรับธุรกิจ ส่วนใหญ่เป็นเพราะผู้ใช้ยังคงปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่แย่ที่สุดที่ได้รับการพิสูจน์แล้วในอุตสาหกรรมอย่างต่อเนื่อง

การเปรียบเทียบการติดเชื้อ cms

แฮกเกอร์อยู่เหนือเกมอาชญากรรมในโลกไซเบอร์โดยใช้ซอฟต์แวร์ WordPress เก่า ปลั๊กอินที่ไม่มีข้อมูล การดูแลระบบที่ไม่ดี การจัดการข้อมูลประจำตัว และการขาดความเชี่ยวชาญด้านเว็บและความปลอดภัยที่จำเป็นในหมู่ผู้ใช้ WordPress ที่ไม่ใช่เทคโนโลยี แม้แต่แนวปฏิบัติที่ดีที่สุดก็ไม่ได้ถูกติดตามโดยผู้นำในอุตสาหกรรมเสมอไป เนื่องจากพวกเขาใช้ WordPress เวอร์ชันเก่า Reuters จึงถูกแฮ็ก

นี่ไม่ใช่การโต้แย้งว่าไม่มีช่องโหว่ WordPress ยังคงครองเว็บไซต์ที่ติดไวรัส Sucuri ซึ่งเป็นธุรกิจการรักษาความปลอดภัยแบบหลายแพลตฟอร์ม ทำงานในแบบสำรวจไตรมาสที่ 3 ปี 2017 (ที่ 83 เปอร์เซ็นต์) ซึ่งเพิ่มขึ้นจากปีก่อนหน้าซึ่งอยู่ที่ 74%

ด้วย WordPress ที่ขับเคลื่อนเว็บไซต์มากกว่า 42% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต และมีชุดรูปแบบและปลั๊กอินให้เลือกหลายแสนรายการ จึงไม่น่าแปลกใจที่ช่องโหว่ต่างๆ ยังคงมีอยู่และได้รับการระบุอย่างต่อเนื่อง อย่างไรก็ตาม มีชุมชนที่เข้มแข็งรอบ ๆ แพลตฟอร์ม WordPress ซึ่งช่วยให้มั่นใจว่าปัญหาเหล่านี้ได้รับการแก้ไขโดยเร็วที่สุด ในปี 2564 ทีมรักษาความปลอดภัยของ WordPress ประกอบด้วยผู้เชี่ยวชาญประมาณ 50 คน ซึ่งรวมถึงหัวหน้านักพัฒนาและนักวิจัยด้านความปลอดภัย (เพิ่มขึ้นจาก 25 คนในปี 2560) ประมาณครึ่งหนึ่งเป็นพนักงานของ Automattic และอีกสองสามคนทำงานในด้านความปลอดภัยของเว็บ

เริ่มต้นกับ Proper Hosting

การใช้โฮสต์ที่มีการรักษาความปลอดภัยหลายชั้นเป็นวิธีที่ง่ายที่สุดในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ

การประหยัดเงินในการโฮสต์เว็บไซต์หมายความว่าคุณสามารถใช้จ่ายเงินที่อื่นภายในองค์กรของคุณได้ ดังนั้นจึงเป็นเรื่องน่าดึงดูดใจที่จะลงทะเบียนกับผู้ให้บริการโฮสติ้งราคาถูก แต่คุณควรต่อต้านการทดลองนี้

โฮสต์ราคาถูกอาจทำให้ปวดหัวได้ในอนาคต ข้อมูลที่เชื่อมโยงกับ URL ของคุณอาจถูกลบออกอย่างสมบูรณ์ และ URL ของคุณอาจเริ่มเปลี่ยนเส้นทางไปที่อื่น เพียงตัวอย่างเล็กๆ น้อยๆ ยังมีอีกหลายเหตุผลที่คุณควรหลีกเลี่ยงการจ่ายสำหรับโฮสติ้งราคาถูกที่ไม่คู่ควรกับธุรกิจของคุณ

การรักษาความปลอดภัยเพิ่มเติมโดยโฮสต์คุณภาพจะมาจากเว็บไซต์ของคุณโดยอัตโนมัติหากคุณจ่ายเพิ่มอีกนิด นอกจากนี้ คุณสามารถปรับปรุงประสิทธิภาพของไซต์ WordPress ได้โดยใช้บริการโฮสติ้ง WordPress ที่ดี

สร้างการสำรองข้อมูลไซต์

ในการเริ่มต้น ให้สำรองข้อมูลสำรองของ WordPress ก่อนทำการแก้ไขใดๆ ในเว็บไซต์ของคุณ

มีปลั๊กอินสำรองของ WordPress มากมายที่สามารถใช้เพื่อบรรลุเป้าหมายเดียวกันได้

มีทั้งแบบฟรีและเสียเงิน อย่างไรก็ตาม มีเพียงไม่กี่รายการที่แนะนำฟรี

  • UpdraftPlus
  • BackWPup

ฉันคิดว่าคุณได้ติดตั้งและใช้หนึ่งในปลั๊กอินสำรองของ WordPress ตอนนี้คุณพร้อมที่จะไปยังขั้นตอนต่อไป

ฉันขอแนะนำให้กำหนดเวลาสำรองข้อมูลเมื่อมีการเผยแพร่แต่ละโพสต์ หลังจากแก้ไขข้อความหรือฐานข้อมูลของบล็อกแล้ว

สร้างรหัสผ่านที่รัดกุม

คุณสามารถทำสิ่งต่างๆ มากมายเพื่อปกป้องเว็บไซต์ WordPress ของคุณ แต่มีเพียงไม่กี่คนที่ให้ความสนใจกับพื้นฐาน

การสร้างรหัสผ่านที่ปลอดภัยเป็นสิ่งที่คุณควรทำสำหรับไซต์โซเชียลมีเดียและบัญชีอีเมลทั้งหมดของคุณ

ในทำนองเดียวกัน เนื่องจากไซต์ WordPress ถูกแฮ็กเหมือนอย่างอื่น ดังนั้นจึงเป็นเรื่องสำคัญที่ต้องใช้มาตรการป้องกันเดียวกันสำหรับไซต์ WordPress ของคุณ ไม่สำคัญว่าบล็อกของคุณจะใหญ่แค่ไหนอีกต่อไป ทั้งหมดกระตุ้นความอยากรู้อยากเห็นของแฮกเกอร์ ฮ่าๆ!

การใช้รหัสผ่านที่รัดกุมหมายถึงการไม่ใช้สิ่งใดก็ตามที่เป็นส่วนตัวสำหรับคุณ ควรหลีกเลี่ยงเกือบทุกอย่าง รวมทั้งชื่อของคุณ วันเกิด รหัสพนักงาน ชื่อแฟน และสิ่งอื่น ๆ ที่อาจคาดเดาได้

เวลาที่ใช้ในการถอดรหัสรหัสผ่าน

ได้เวลาถอดรหัสลับ
ได้เวลาถอดรหัสลับ

คุณมีปัญหาในการคิดรหัสผ่านที่สร้างสรรค์หรือไม่? ในการสร้างรหัสผ่านที่ปลอดภัย คุณสามารถใช้เครื่องมือสร้างรหัสผ่านออนไลน์ได้ตลอดเวลา ฉันใช้เครื่องมือสร้างรหัสผ่าน LastPass

เปลี่ยน URL เข้าสู่ระบบ WP

“yoursite.com/wp-admin” คือ URL เริ่มต้นสำหรับการเข้าสู่ระบบ WordPress

หากคุณปล่อยให้เป็นเช่นนั้น คุณอาจเสี่ยงที่จะตกเป็นเหยื่อของการจู่โจมด้วยกำลังเดรัจฉานโดยมุ่งเป้าไปที่การถอดรหัสชื่อผู้ใช้/รหัสผ่านของคุณ

คุณอาจได้รับการลงทะเบียนสแปมจำนวนมากหากคุณอนุญาตให้ผู้ใช้ลงทะเบียนสำหรับบัญชีการสมัครสมาชิก เปลี่ยน URL ล็อกอินของผู้ดูแลระบบหรือเพิ่มคำถามเพื่อความปลอดภัยในการลงทะเบียนและหน้าเข้าสู่ระบบเพื่อหลีกเลี่ยงปัญหานี้

เปลี่ยน url ล็อกอิน

คุณสามารถติดตั้งปลั๊กอินเช่น URL การเข้าสู่ระบบแบบกำหนดเองหรือ WPS ซ่อนการเข้าสู่ระบบเพื่อเปลี่ยน wp-login URL

เปลี่ยนชื่อผู้ใช้ WordPress

เมื่อคุณสร้างบล็อก คุณจะได้รับตัวเลือกในการป้อนชื่อผู้ใช้ ซึ่งจะใช้เพื่อเข้าสู่บล็อกหรือเว็บไซต์ของคุณ

คนส่วนใหญ่ปล่อยให้เป็น " ผู้ดูแลระบบ " โดยค่าเริ่มต้นและลืมเปลี่ยนในภายหลัง

พิจารณาว่ามันง่ายแค่ไหนที่แม้แต่แฮ็กเกอร์ที่น่าสงสารจะคาดเดาสิ่งนั้นได้ ฮาฮา! ฉันสังเกตเห็นรอยยิ้มบนใบหน้าของคุณ

คุณต้องทำให้มันไม่เหมือนใครและคาดเดาไม่ได้ หากคุณไม่แน่ใจว่าต้องทำอย่างไร ฉันได้จัดทำบทแนะนำง่ายๆ เกี่ยวกับการเปลี่ยนชื่อผู้ใช้ WordPress ของคุณ

การรับรองความถูกต้องด้วยสองปัจจัย

คุณเคยใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับบัญชี Gmail ของคุณมาก่อนหรือไม่ ถ้าคุณคุ้นเคยกับมัน คุณคงเข้าใจแล้วว่าฉันกำลังพูดถึงอะไร

การรับรองความถูกต้องด้วยสองปัจจัยเป็นเทคนิคง่ายๆ ในการทำให้ไซต์ WordPress ของคุณปลอดภัยจากแฮกเกอร์

คุณจะได้รับ OTP ขณะเข้าสู่ระบบหากคุณเชื่อมต่อบล็อกของคุณกับโทรศัพท์มือถือสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย คุณจะสามารถเข้าสู่ระบบได้โดยป้อนหมายเลขนั้น

การดำเนินการนี้จะนำความปลอดภัยไปสู่ระดับใหม่และเพิ่มเลเยอร์อื่นในการมิกซ์ บทเรียนสั้น ๆ เกี่ยวกับการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress สามารถพบได้ที่นี่

รหัสผ่านป้องกันผู้ดูแลระบบ WordPress และหน้าเข้าสู่ระบบ

โดยทั่วไป แฮกเกอร์จะสามารถเข้าถึงโฟลเดอร์ wp-admin และหน้าเข้าสู่ระบบได้ไม่จำกัด สิ่งนี้ทำให้พวกเขามีโอกาสทดสอบทักษะการแฮ็กหรือเปิดการโจมตี DDoS

ที่ฝั่งเซิร์ฟเวอร์ คุณสามารถใช้การป้องกันด้วยรหัสผ่านเพิ่มเติม ซึ่งจะหยุดคำขอเหล่านั้น

ทำตามขั้นตอนทีละขั้นตอนเพื่อรักษาความปลอดภัย WordPress wp-admin ของคุณด้วยรหัสผ่าน

จำกัดความพยายามในการเข้าสู่ระบบ

ใน WordPress โดยค่าเริ่มต้น ผู้ใช้สามารถพยายามเข้าสู่ระบบได้หลายครั้งตามต้องการ หากคุณมักจะลืมว่าตัวอักษรใดเป็นตัวพิมพ์ใหญ่ สิ่งนี้อาจช่วยได้ แต่ก็เปิดโอกาสให้คุณได้รับการโจมตีด้วยกำลังเดรัจฉาน

คุณสามารถจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบได้จนกว่าผู้ใช้จะถูกบล็อกชั่วคราว มันลดโอกาสที่จะถูกโจมตีโดยกำลังดุร้ายเนื่องจากแฮ็กเกอร์ถูกล็อคก่อนที่การโจมตีจะเสร็จสิ้น

การใช้ปลั๊กอินจำกัดความพยายามในการเข้าสู่ระบบ WordPress คุณสามารถเปิดใช้งานคุณลักษณะนี้ได้อย่างง่ายดาย

จำกัดความพยายามในการเข้าสู่ระบบ

เมื่อใช้การตั้งค่า > ความพยายามจำกัดการเข้าสู่ระบบ คุณสามารถเปลี่ยนจำนวนครั้งในการเข้าสู่ระบบเมื่อคุณติดตั้งปลั๊กอินแล้ว

ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานใน WordPress

ผู้ใช้ที่เข้าสู่ระบบอาจหลงทางจากหน้าจอเป็นครั้งคราว ทำให้เกิดความเสี่ยงด้านความปลอดภัย บางคนสามารถควบคุมเซสชั่นของตน เปลี่ยนรหัสผ่าน และแก้ไขบัญชีของตนได้

นี่คือเหตุผลที่เว็บไซต์ธนาคารและการเงินหลายแห่งล็อคผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ ฟังก์ชันที่คล้ายกันนี้สามารถนำไปใช้กับไซต์ WordPress ของคุณได้เช่นกัน

ต้องติดตั้งและเปิดใช้งานปลั๊กอิน Inactive Logout ในการกำหนดการตั้งค่าปลั๊กอิน ให้คลิกที่ การตั้งค่า » ออกจากระบบที่ไม่ได้ใช้งานหลังจากเปิดใช้งาน

ตั้งเวลาและข้อความออกจากระบบและคุณทำเสร็จแล้ว อย่าลืมบันทึกการเปลี่ยนแปลงของคุณโดยคลิกปุ่มบันทึกการเปลี่ยนแปลง

เพิ่มคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ WordPress

การเพิ่มคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ WordPress ทำให้การเข้าถึงโดยไม่ได้รับอนุญาตทำได้ยากขึ้นมาก

การติดตั้ง ปลั๊กอิน WP Security Questions จะช่วยให้คุณเพิ่มคำถามเพื่อความปลอดภัยได้ หากต้องการกำหนดการตั้งค่าปลั๊กอิน ให้ไปที่การตั้งค่า » คำถามเพื่อความปลอดภัย หลังจากเปิดใช้งาน

การตั้งค่าคำถามรักษาความปลอดภัย wp

ดูบทแนะนำเกี่ยวกับวิธีเพิ่มคำถามเพื่อความปลอดภัยใน WordPress สำหรับข้อมูลเพิ่มเติม

ปิดใช้งานการเรียกดูไดเรกทอรี

อีกขั้นที่เว็บมาสเตอร์ตรวจสอบคือสิ่งนี้ เมื่อพูดถึงความปลอดภัยของเว็บไซต์ นี่เป็นข้อเท็จจริงที่ไม่ค่อยมีใครรู้จัก

เรียกดูไดเรกทอรี

อย่างไรก็ตาม หากเปิดใช้งานการเรียกดูไดเรกทอรีรากของคุณ ไฟล์ต่างๆ เช่น ธีม ปลั๊กอิน รูปภาพ และอื่นๆ อีกมากมายสามารถเข้าถึงได้โดยผู้อ่าน ผู้เยี่ยมชม หรือแฮ็กเกอร์

ต่อไปนี้คือวิธีป้องกันการเรียกดูไดเรกทอรีใน WordPress โดยใช้ไฟล์ .htaccess

ปิดใช้งานการแก้ไขไฟล์

ในแดชบอร์ด WordPress ของคุณ มีเครื่องมือแก้ไขโค้ดที่ให้คุณเปลี่ยนธีมและปลั๊กอินขณะที่คุณตั้งค่าไซต์ของคุณ

ลักษณะที่ปรากฏ>ตัวแก้ไขเป็นที่ที่คุณจะพบ คุณยังสามารถเข้าถึงตัวแก้ไขปลั๊กอินได้โดยไปที่ Plugins>Editor

เราขอแนะนำให้คุณปิดใช้งานฟังก์ชันนี้เมื่อไซต์ของคุณออนไลน์ แฮกเกอร์สามารถแนะนำโค้ดที่ละเอียดอ่อนและเป็นอันตรายในธีมและปลั๊กอินของคุณ หากพวกเขาเข้าถึงแผงการดูแลระบบ WordPress ของคุณ

การเข้ารหัสมักจะละเอียดมากจนคุณไม่รู้ว่ามีอะไรผิดปกติจนกว่าจะสายเกินไป
เพียงป้อนรหัสต่อไปนี้ลงในไฟล์ wp-config.php ของคุณ

 define('DISALLOW_FILE_EDIT', true);

กระบวนการนี้จะช่วยป้องกันไม่ให้คุณแก้ไขปลั๊กอินและไฟล์ธีมจากแดชบอร์ด

ปิดการใช้งาน XML-RPC ใน WordPress

ตั้งแต่ WordPress 3.5, XML-RPC ถูกเปิดใช้งานโดยค่าเริ่มต้นเพื่อช่วยให้คุณเชื่อมต่อไซต์ WordPress ของคุณกับแอพมือถือและบริการเว็บ

การโจมตีด้วยกำลังเดรัจฉานสามารถขยายได้อย่างมากโดย XML-RPC เนื่องจากลักษณะที่ทรงพลัง

ในอดีต หากแฮ็กเกอร์ต้องการลองใช้รหัสผ่านที่แตกต่างกัน 500 รหัสในเว็บไซต์ของคุณ พวกเขาจะต้องเข้าสู่ระบบ 500 ครั้ง ปลั๊กอินล็อคการเข้าสู่ระบบจะตรวจจับและบล็อกความพยายามเหล่านี้

อย่างไรก็ตาม ด้วย XML-RPC แฮ็กเกอร์สามารถใช้ฟังก์ชัน system.multcall เพื่อลองรหัสผ่านนับพันด้วยคำขอเพียง 20 หรือ 50 คำขอ

ดังนั้น หากคุณไม่ได้ใช้ XML-RPC คุณควรปิดการใช้งาน ไฟร์วอลล์สามารถจัดการได้หากคุณใช้ไฟร์วอลล์ของเว็บแอปพลิเคชันที่กล่าวถึงข้างต้น

ซ่อนไฟล์ wp-config.php และ .htaccess

แม้ว่าการซ่อนไฟล์ .htaccess และ wp-config.php ของไซต์ของคุณเพื่อป้องกันไม่ให้แฮกเกอร์เข้าถึงไฟล์เหล่านี้เป็นวิธีการที่ซับซ้อนในการเพิ่มความปลอดภัยให้กับไซต์ของคุณ หากคุณจริงจังกับความปลอดภัยถือเป็นแนวทางปฏิบัติที่ชาญฉลาด

เราขอแนะนำอย่างยิ่งให้นักพัฒนาซอฟต์แวร์ที่มีประสบการณ์ใช้ตัวเลือกนี้ เนื่องจากการสำรองข้อมูลไซต์ของคุณก่อนและดำเนินการด้วยความระมัดระวังเป็นสิ่งสำคัญ ข้อผิดพลาดใดๆ อาจทำให้เว็บไซต์ของคุณใช้งานไม่ได้

หลังจากที่คุณได้สำรองข้อมูลแล้ว มีสองสิ่งที่คุณต้องทำเพื่อซ่อนไฟล์:
ในการเริ่มต้น ให้เพิ่มโค้ดต่อไปนี้ในไฟล์ wp-config.php ของคุณ:

 <Files wp-config.php> order allow,deny deny from all </Files>

คุณจะต้องเพิ่มรหัสต่อไปนี้ในไฟล์ .htaccess ในลักษณะเดียวกัน

 <Files .htaccess> order allow,deny deny from all </Files>

แม้ว่าขั้นตอนจะตรงไปตรงมา แต่คุณควรตรวจสอบให้แน่ใจว่าคุณมีข้อมูลสำรองในกรณีที่มีสิ่งผิดปกติเกิดขึ้น

ลบเวอร์ชัน WP

ก่อนหน้านี้เราได้พูดถึงการอัปเกรด WordPress ตอนนี้ก็ยังมีเหตุผลที่จะซ่อนเวอร์ชัน WordPress ของคุณจากแฮกเกอร์

ฉันอยากรู้ว่าพวกเขาจะดูเวอร์ชัน WordPress ของคุณได้อย่างไร เนื่องจากคุณมีข้อมูลรับรองการเข้าสู่ระบบ

แฮกเกอร์สามารถตรวจสอบเวอร์ชัน WordPress ได้อย่างง่ายดายโดยดูที่หน้าแหล่งที่มา สิ่งที่พวกเขาต้องทำตอนนี้คือ

CTRL F – คลิกขวา (บนหน้าเว็บ) – ดูที่มาของหน้า (ค้นหาเวอร์ชัน) มันจะคล้ายกับแท็กที่แสดงด้านล่าง

เปิดใช้งานไฟร์วอลล์แอปพลิเคชันเว็บ

คุณอาจทราบแนวคิดของไฟร์วอลล์ซึ่งเป็นโปรแกรมที่ช่วยปกป้องคอมพิวเตอร์ของคุณจากการโจมตีที่เป็นอันตรายประเภทต่างๆ คุณเกือบจะมีไฟร์วอลล์ติดตั้งอยู่บนพีซีของคุณแล้ว

Web Application Firewall (WAF) เป็นไฟร์วอลล์ประเภทหนึ่งที่ออกแบบมาเพื่อปกป้องเว็บไซต์โดยเฉพาะ เซิร์ฟเวอร์ เว็บไซต์บางแห่ง หรือเว็บไซต์กลุ่มใหญ่สามารถป้องกันได้ทั้งหมด

ไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF) บนไซต์ WordPress ของคุณจะทำหน้าที่เป็นไฟร์วอลล์ระหว่างไซต์ของคุณกับส่วนอื่นๆ ของอินเทอร์เน็ต ไฟร์วอลล์เฝ้าสังเกตพฤติกรรมที่น่าสงสัย ตรวจจับการจู่โจม ไวรัส และเหตุการณ์ไม่พึงประสงค์อื่นๆ และบล็อกสิ่งที่เห็นว่าเป็นอันตราย

ติดตั้งใบรับรอง SSL

SSL หรือ Secure Sockets Layer ถูกใช้อย่างกว้างขวางสำหรับเว็บไซต์ทุกประเภท ในขั้นต้น จำเป็นต้องมี SSL เพื่อทำให้เว็บไซต์ปลอดภัยสำหรับกระบวนการเฉพาะ เช่น การประมวลผลการชำระเงิน อย่างไรก็ตาม วันนี้ Google ได้ตระหนักถึงความสำคัญและให้เว็บไซต์ที่เปิดใช้งาน SSL มีอันดับที่สูงขึ้นในผลการค้นหา

SSL เป็นสิ่งจำเป็นสำหรับไซต์ใดๆ ที่จัดการข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือหมายเลขบัตรเครดิต ข้อมูลทั้งหมดระหว่างเว็บเบราว์เซอร์ของผู้ใช้และเว็บเซิร์ฟเวอร์ของคุณจะถูกถ่ายโอนเป็นข้อความธรรมดา หากคุณไม่มีใบรับรอง SSL

แฮกเกอร์อาจสามารถอ่านข้อความนี้ได้ การใช้ SSL จะเข้ารหัสข้อมูลสำคัญก่อนที่จะส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ของคุณ ทำให้อ่านและเพิ่มความปลอดภัยให้กับไซต์ของคุณได้ยากขึ้น

ssl ทำงานอย่างไร
ssl ทำงานอย่างไร

ราคา SSL เฉลี่ยสำหรับเว็บไซต์ที่ยอมรับข้อมูลที่ละเอียดอ่อนอยู่ที่ประมาณ 70-199 ดอลลาร์ต่อปี คุณไม่จำเป็นต้องจ่ายค่าใบรับรอง SSL ถ้าคุณไม่ยอมรับข้อมูลที่ละเอียดอ่อน ผู้ให้บริการโฮสติ้งเกือบทุกรายมีใบรับรอง Let's Encrypt SSL ฟรี ที่คุณสามารถใช้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ

บอกว่าไม่มีธีมที่เป็นโมฆะ

ธีม WordPress ระดับพรีเมียมดูเป็นมืออาชีพและมีตัวเลือกการปรับแต่งมากกว่าธีมฟรี อย่างไรก็ตาม เป็นการยากที่จะโต้แย้งว่าคุณได้รับสิ่งที่คุณจ่ายด้วยธีมฟรี

ธีมพรีเมียมทั้งหมดได้รับการออกแบบโดยนักพัฒนาที่มีประสบการณ์สูงและผ่านการทดสอบก่อนเผยแพร่ หากมีสิ่งผิดปกติเกิดขึ้นกับเว็บไซต์ของคุณ คุณจะได้รับการสนับสนุนอย่างเต็มที่ ไม่มีข้อจำกัดในการปรับแต่งธีม นอกจากนี้ การอัปเดตธีมยังเป็นเรื่องปกติ

มีบางไซต์ที่มีธีมที่เป็นโมฆะหรือแตกเช่นกัน ธีมที่เป็นโมฆะคือเวอร์ชันของธีมพรีเมียมที่ถูกแฮ็กและสามารถใช้ได้อย่างผิดกฎหมาย ซึ่งอาจทำให้ไซต์ของคุณมีความเสี่ยง รหัสที่เป็นอันตรายที่ซ่อนอยู่ภายในธีมเหล่านี้อาจทำลายเว็บไซต์และฐานข้อมูลของคุณ หรือขโมยข้อมูลรับรองการเข้าสู่ระบบของคุณ

แม้ว่าใคร ๆ อาจประหยัดเงินได้เล็กน้อย แต่สิ่งสำคัญคือเจ้าของเว็บไซต์ทุกคนหลีกเลี่ยงการใช้ธีม WordPress ที่เป็นโมฆะ

การอัปเดตเวอร์ชัน WordPress เป็นประจำ

วิธีที่มีประสิทธิภาพที่สุดในการทำให้เว็บไซต์ WordPress ของคุณปลอดภัยคือปรับปรุงให้ทันสมัยอยู่เสมอ มักจะมีการเปลี่ยนแปลงเล็กน้อยในการอัปเดตทุกครั้ง รวมถึงการอัปเดตด้านความปลอดภัย การอัปเดตซอฟต์แวร์ของคุณเป็นประจำสามารถป้องกันไม่ให้คุณตกเป็นเป้าหมายของการเจาะระบบและช่องโหว่ที่แฮ็กเกอร์รู้จักใช้ประโยชน์จากการเข้าถึงไซต์ของคุณ

เหตุผลเดียวกันกับการอัปเดตปลั๊กอินและธีม

การอัปเดตเล็กน้อยจะถูกดาวน์โหลดโดยอัตโนมัติโดย WordPress โดยค่าเริ่มต้น อย่างไรก็ตาม การอัปเดตที่จำเป็นต้องมีการเปลี่ยนแปลงที่สำคัญจะต้องดำเนินการโดยตรงผ่านแดชบอร์ดผู้ดูแลระบบ WordPress ของคุณ

อัพเดทเวิร์ดเพรส

เปลี่ยนคำนำหน้าตารางฐานข้อมูล

คุณอาจสังเกตเห็นหน้าต่างโต้ตอบที่ขอคำนำหน้าเพื่อเริ่มต้นบางอย่าง เช่น wp_ ขณะติดตั้ง WordPress บนเซิร์ฟเวอร์ของคุณ นั่นคือสิ่งที่มันหมายถึง นี่คือฐานข้อมูลสำหรับไซต์ WordPress ของคุณ ชื่อโฟลเดอร์คือ wp_

คำนำหน้าตาราง wp

ไม่น่าแปลกใจเลยที่สิ่งที่เป็นเรื่องธรรมดาสามารถอนุมานได้โดยแฮ็กเกอร์ที่เรียกว่า เป็นความคิดที่ดีที่จะแก้ไขคำนำหน้าของสิ่งที่คุณสร้างขึ้น อะไรก็ได้ใน mywpsite_, friendswp_ และอื่นๆ

ฉันสามารถทำได้โดยการเข้าถึงฐานข้อมูลของเว็บไซต์ของคุณ อย่างไรก็ตาม หากคุณไม่คุ้นเคยกับรายละเอียดทางเทคนิคทั้งหมด ปลั๊กอินจะพร้อมใช้งานเสมอ

ติดตั้งปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด

มีปลั๊กอินความปลอดภัยหลายตัวสำหรับ WordPress ทั้งแบบฟรีและแบบพรีเมียม และเป็นทางเลือกที่ดีในการติดตั้งปลั๊กอินสำหรับเว็บไซต์ WordPress ของคุณ

ในคู่มือนี้ เราจะมาดูกันว่าเราสามารถสร้างสภาพแวดล้อมการรักษาความปลอดภัยที่แข็งแกร่งรอบ ๆ ไซต์ WordPress ของเราผ่าน Defender Pro ที่สร้างโดย WPMU DEV ได้อย่างไร

คุณสมบัติเด่นของ Defender Pro

อุปสรรคด้านความปลอดภัย WordPress อันทรงพลังของ Defender และเทคโนโลยีการปิดบังจากแฮกเกอร์ ผู้บังคับสัตว์ดุร้าย และบอทที่เป็นอันตราย

  • ตรวจสอบความปลอดภัยเป็นประจำ
  • การล็อก IP ตำแหน่งทางภูมิศาสตร์
  • การกำบังและปกป้องการเข้าสู่ระบบ
  • การบันทึกการตรวจสอบ
  • การตรวจสอบสิทธิ์โดยใช้สองปัจจัย
  • การตรวจสอบรายการบล็อก
  • รายงานช่องโหว่
  • การกู้คืนและซ่อมแซมไฟล์ที่เปลี่ยนแปลง

ติดตั้งปลั๊กอิน Defender Pro WordPress

คุณสมบัติผู้พิทักษ์โปร

หลังจากติดตั้ง Defender Pro คุณจะพบตัวเลือกที่จัดหมวดหมู่ไว้ ซึ่งง่ายต่อการเข้าใจแม้กระทั่งสำหรับมือใหม่

แดชบอร์ด คำแนะนำ การสแกนมัลแวร์ บันทึกการตรวจสอบ ไฟร์วอลล์ WAF เครื่องมือ 2FA การตั้งค่า บทช่วยสอน

เมื่อคุณสแกนเสร็จแล้ว คุณจะเห็นหน้าจอแบบนี้ใน Defender Pro Dashboard

แดชบอร์ดผู้พิทักษ์โปร

เมื่อเว็บไซต์พบปัญหาด้านความปลอดภัย ปลั๊กอินจะให้คำแนะนำเกี่ยวกับวิธีการดำเนินการแก้ไข ที่น่าสนใจอย่างหนึ่ง

Defender Pro ก้าวไปอีกขั้นด้วยการให้คำแนะนำอย่างละเอียดและนำไปดำเนินการได้ ซึ่งปรับให้เหมาะกับไซต์และจัดการกับความเสี่ยงในปัจจุบันและอนาคต

กองหลังมืออาชีพดำเนินการ

สิ่งที่ทำให้คำแนะนำเหล่านี้โดดเด่นคือคุณปรับแต่งการดำเนินการได้

หากคุณเปิดใช้งาน “ อัปเดตคีย์ความปลอดภัยเก่า ” โดยไม่ได้ตั้งใจ คุณยังสามารถปิดใช้งานหรือเปลี่ยนความถี่การแจ้งเตือนได้ สิ่งนี้จะดูแลเว็บไซต์ให้ปลอดภัยและเป็นปัจจุบัน

บทสรุป – WordPress Security

วิธีการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณอาจใช้เวลาสักครู่ แต่ในที่สุดก็จะคุ้มค่า แทนที่จะจบลงด้วยการบอกว่าเว็บไซต์ WordPress ของฉันถูกแฮ็ก

ฉันได้แสดงให้คุณเห็นทั้งวิธีการสำหรับผู้ใช้ DIY และปลั๊กอินแล้ว ไม่ว่าจะด้วยวิธีใด คุณเลือกใช้ การรักษาความปลอดภัยเว็บไซต์ WordPress เป็นสิ่งสำคัญสำหรับผู้ใช้ทุกคน

โลโก้ wpmudev

ส่วนลด 20% สำหรับ WPMU Dev

Defender Pro เป็นปลั๊กอินความปลอดภัยที่ยอดเยี่ยมในการปกป้องเว็บไซต์ WordPress ของคุณ คุณสามารถรับส่วนลด 20% สำหรับ WPMU DEV สำหรับการเป็นสมาชิก

ลิงค์เปิดใช้งานคูปอง