วิธีรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

เผยแพร่แล้ว: 2019-08-06

WordPress บ้าน 35% ของเว็บไซต์ในโลกอินเทอร์เน็ต และในขณะที่พวกเขากล่าวว่า "พลังที่ยิ่งใหญ่กว่ามาพร้อมกับความรับผิดชอบที่มากขึ้น" WordPress ก็มีสิ่งต่างๆ มากมายให้ดูแลเช่นกัน ด้วยการเติบโตของ WordPress ในตลาดเว็บ แฮ็กเกอร์จึงได้รับทราบ โดยเฉพาะการกำหนดเป้าหมายไซต์ WordPress โดยไม่คำนึงถึงเนื้อหาและบริการที่ไซต์ของคุณนำเสนอ หากไม่มีมาตรการป้องกันความปลอดภัยที่เหมาะสม คุณมีความเสี่ยงอยู่เสมอ

ความพยายามของคุณในการเปิดเว็บไซต์ที่มีประสิทธิภาพนั้นไร้ประโยชน์หากพบวิธีที่จะทำร้ายตัวเอง การแฮ็กทางอินเทอร์เน็ตและการโจมตีแบบสุ่มในบางครั้งสามารถคาดเดาได้มากจนไซต์ของคุณสามารถขัดข้องได้ในเสี้ยววินาที ดังนั้นจึงควรรักษาความปลอดภัย WordPress ของคุณให้ดีที่สุดเท่าที่จะเป็นไปได้ ต่อไปนี้คือเคล็ดลับบางประการในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

1. อัพเดท WordPress ธีมและปลั๊กอินเป็นประจำ

อัพเดท WordPress

การอัปเดตทุกครั้งหมายถึงการเปลี่ยนแปลงสองสามอย่างซึ่งมักจะมีการอัปเดตคุณลักษณะด้านความปลอดภัย การอัปเดต WordPress, ธีม และปลั๊กอินด้วยเวอร์ชันล่าสุดช่วยให้คุณได้รับการปกป้องจากช่องโหว่ที่ระบุล่วงหน้าและหาประโยชน์จากแฮกเกอร์

โชคดีที่ WordPress ดาวน์โหลดการอัปเดตเล็กน้อยโดยอัตโนมัติ แต่คุณจะต้องทำการอัปเดตเพิ่มเติมจากแดชบอร์ดผู้ดูแลระบบ WordPress สำหรับรุ่นหลัก

2. เปลี่ยนคำนำหน้าตาราง WordPress

การติดตั้ง WordPress ด้วยคำนำหน้าเริ่มต้น เช่น "wp_" ทำให้ข้อมูลไซต์ของคุณมีแนวโน้มที่จะถูกโจมตีด้วยการฉีด SQL ดังนั้น สิ่งแรกและสำคัญที่สุดที่ต้องทำคือเปลี่ยน wp_ ของคุณเป็น wpmy_ หรือ wpnew_ หรือแม้แต่บางอย่างแบบสุ่ม

เปลี่ยนคำนำหน้าตาราง

แต่ถ้าคุณติดตั้งเว็บไซต์ WordPress ด้วยคำนำหน้า wp_ ให้ใช้ปลั๊กอินเพื่อเปลี่ยน ปลั๊กอินเช่น Change Table Prefix, iThemes Security และ WP-DB Manager ทำงานได้ด้วยการคลิกปุ่มเพียงปุ่มเดียว

3. เปลี่ยนชื่อผู้ใช้ "admin" เริ่มต้น

เปลี่ยนชื่อผู้ใช้ผู้ดูแลระบบ

ห้ามใช้ชื่อผู้ใช้ "admin" สำหรับบัญชีผู้ดูแลระบบของคุณเด็ดขาด ชื่อผู้ใช้ที่คาดเดาได้ง่ายดังกล่าวจะเปิดประตูให้แฮกเกอร์ได้อย่างง่ายดาย หากชื่อผู้ใช้นั้นคาดเดาได้ง่าย พวกเขาเพียงแค่ต้องคิดรหัสผ่านเท่านั้น คุณคงไม่ต้องการทำให้สิ่งต่าง ๆ ง่ายขึ้นสำหรับพวกเขาใช่ไหม

WordPress ไม่อนุญาตให้คุณเปลี่ยนชื่อผู้ใช้ตามค่าเริ่มต้น ดังนั้นจึงมีหลายวิธีที่คุณสามารถใช้เพื่อเปลี่ยนชื่อผู้ใช้ - สร้างชื่อผู้ใช้ผู้ดูแลระบบใหม่และลบชื่อผู้ใช้เก่า ใช้ปลั๊กอินเปลี่ยนชื่อผู้ใช้ หรืออัปเดตชื่อผู้ใช้จาก phpMyAdmin

4. เพิ่มการรับรองความถูกต้องด้วยสองปัจจัย

ด้วยโมดูลการตรวจสอบสิทธิ์แบบสองปัจจัย ผู้ใช้ให้รายละเอียดการเข้าสู่ระบบสำหรับสององค์ประกอบที่แตกต่างกัน และผู้ดูแลเว็บไซต์สามารถตัดสินใจได้ว่าทั้งสองคืออะไร เช่น รหัสผ่านปกติที่ตามด้วยคำถาม รหัส ชุดอักขระ หรือการให้รหัสลับ ไปยังโทรศัพท์ของคุณโดยใช้แอป Google Authenticator

ซึ่งหมายความว่าเฉพาะผู้ที่ใช้โทรศัพท์ของคุณเท่านั้นที่สามารถเข้าสู่ระบบไซต์ของคุณได้ ขั้นแรก ติดตั้งและเปิดใช้งานปลั๊กอินการพิสูจน์ตัวตนสองปัจจัย จากนั้นคลิกลิงก์ 'การตรวจสอบสิทธิ์สองปัจจัย' บนแถบด้านข้างของผู้ดูแลระบบ WordPress

ปลั๊กอินบางตัวที่คุณสามารถใช้เพื่อดำเนินการตรวจสอบสิทธิ์แบบสองปัจจัย:

  • Google Authenticator – การรับรองความถูกต้องของ WordPress สองปัจจัย (2FA, MFA)
  • การรับรองความถูกต้องด้วยสองปัจจัย
  • การตรวจสอบสิทธิ์ Duo Two-Factor

5. ติดตั้งใบรับรอง SSL

Single Sockets Layer หรือที่รู้จักกันทั่วไปในชื่อ SSL ก่อนหน้านี้ถูกใช้เพื่อรักษาความปลอดภัยสำหรับธุรกรรมเฉพาะ เช่น การชำระเงินตามกระบวนการ แต่ตอนนี้ เนื่องจาก Google ได้เล็งเห็นถึงความสำคัญของ SSL ไซต์ที่ได้รับใบรับรอง SSL ได้ย้ายค่าในผลการค้นหา

ติดตั้งใบรับรอง SSL

บริษัทโฮสติ้งที่ดีเสนอใบรับรอง Let?s Encrypt SSL ฟรี มิฉะนั้น สำหรับเว็บไซต์ที่ยอมรับข้อมูลที่ละเอียดอ่อน พวกเขาควรจ่ายในราคา SSL ประมาณ $70-$199/ ปี SSL จำเป็นสำหรับหน้าเว็บที่ประมวลผลข้อมูลที่ละเอียดอ่อน มิฉะนั้น ข้อมูลระหว่างเว็บเซิร์ฟเวอร์ของคุณและเว็บเบราว์เซอร์ของผู้ใช้จะถูกส่งเป็นข้อความธรรมดาซึ่งแฮกเกอร์สามารถอ่านได้

6. ติดตั้งปลั๊กอินความปลอดภัย WordPress

การตรวจสอบความปลอดภัยของไซต์ของคุณเป็นประจำอาจเป็นเรื่องที่ยุ่งยาก และถึงกระนั้น คุณอาจไม่สังเกตเห็นมัลแวร์ เว้นแต่คุณจะได้รับการอัปเดตเป็นประจำด้วยแนวทางการเข้ารหัสล่าสุด โชคดีที่มีปลั๊กอินความปลอดภัยบางตัวของ WordPress ที่ออกแบบมาเพื่อทำงานให้กับคุณ

ปลั๊กอินความปลอดภัย WordPress สแกนหามัลแวร์เพื่อดูแลความปลอดภัยของไซต์และตรวจสอบไซต์ของคุณทุกวันตลอด 24 ชั่วโมง พัฒนาชอบปลั๊กอินความปลอดภัยของ Wordfence เป็นไฟร์วอลล์ปลายทางและเครื่องสแกนมัลแวร์ ประเมินสถานะความปลอดภัยทั้งหมดของเว็บไซต์ของคุณอย่างมีประสิทธิภาพในมุมมองเดียว

7. ปกป้อง wp-config.php . ของคุณ

คุณสามารถป้องกัน wp-config.php ได้ด้วยการซ่อนไฟล์ wp-config.php ซึ่งจะป้องกันไม่ให้แฮ็กเกอร์เข้าถึงไซต์ของคุณ แม้ว่าขั้นตอนนี้จะแนะนำเป็นอย่างยิ่งสำหรับนักพัฒนาที่มีประสบการณ์ แต่ก็อาจเป็นเรื่องยุ่งยากสำหรับผู้มาใหม่

ก่อนอื่น ให้สำรองไฟล์ทั้งหมดของคุณแล้วเพิ่มโค้ดต่อไปนี้ในไฟล์ . htaccess ของคุณ:

 # protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>

8. เปลี่ยนชื่อ URL เข้าสู่ระบบของคุณ

“yoursite.com/wp-admin” เป็นการเข้าสู่ระบบเริ่มต้นของเว็บไซต์ การเข้าสู่ระบบดังกล่าวมีเป้าหมายสำหรับการโจมตีแบบเดรัจฉานเพื่อถอดรหัสชื่อผู้ใช้และรหัสผ่านร่วมกัน หรือคุณอาจได้รับการลงทะเบียนสแปม

ดังนั้นจึงควรเปลี่ยน URL ล็อกอินของผู้ดูแลระบบ คุณยังสามารถเพิ่มปลั๊กอินการตรวจสอบสิทธิ์หรือคำถามเพื่อความปลอดภัยในหน้าการลงทะเบียนและเข้าสู่ระบบ นอกจากนี้ ให้ตรวจสอบ IP ที่พยายามเข้าสู่ระบบที่ล้มเหลวมากที่สุดและบล็อกพวกเขา

9. เลือกบริษัทโฮสติ้งที่ดี

โฆษณาที่เปล่งประกายสำหรับผู้ให้บริการโฮสติ้งราคาถูกนั้นน่าดึงดูดอยู่เสมอ แต่มักทำให้เกิดฝันร้ายตามท้องถนน มีการบันทึกกรณีที่ URL ของคุณถูกเปลี่ยนเส้นทางไปที่อื่นหรือข้อมูลของคุณถูกลบอย่างสมบูรณ์

หากการใช้จ่ายเพิ่มอีกสองสามเหรียญสามารถรักษาไซต์ของคุณให้ปลอดภัยได้ อย่าลังเลใจ ฟังนะ ฉันเข้าใจว่าคุณต้องการการเริ่มต้นทางเศรษฐกิจ แต่ถ้าบริษัทโฮสติ้งที่ดีสามารถสร้างชั้นการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บของคุณได้ ทำไมล่ะ

10. ใส่ใจกับการอนุญาตไฟล์

WordPress ช่วยให้เว็บเซิร์ฟเวอร์สามารถเขียนไฟล์ต่างๆ ได้ แต่การอนุญาตให้เขียนการเข้าถึงไฟล์ของคุณนั้นเป็นอันตราย เป็นการดีที่จะจำกัดการอนุญาตไฟล์ของคุณเพื่อคลายข้อ จำกัด เหล่านั้นเมื่อคุณต้องการอนุญาตให้เข้าถึงการเขียน ปกป้องไฟล์สำคัญสำหรับส่วนเกินของผู้อื่น

11. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ

คุณอาจมีหลายร้อยวิธีในการปกป้องเว็บไซต์ WordPress ของคุณ แต่มีโอกาสที่ข้อมูลจะถูกลบอยู่เสมอ ดังนั้น ในท้ายที่สุด วิธีที่ดีที่สุดคือสำรองข้อมูลนอกสถานที่ไว้ที่อื่น ด้วยข้อมูลสำรอง คุณสามารถกู้คืนเว็บไซต์ WordPress ของคุณได้ทุกเมื่อที่ต้องการ

คุณสามารถใช้ปลั๊กอินเช่น UpdraftPlus, VaultPress, BlogVault, BackWPup เป็นต้น

สรุป:

การรักษาความปลอดภัย WordPress ของคุณเป็นส่วนสำคัญในการมีเว็บไซต์ คุณสามารถตกเป็นเหยื่อของเรื่องราวที่แฮ็กเกอร์ระบายข้อมูลส่วนบุคคลทั้งหมดและลบข้อมูล แต่การรักษาความปลอดภัยของไซต์ของคุณไม่ใช่ว่าคุณใช้เทคนิคการป้องกันแบบง่ายๆ เพียงทำตามขั้นตอนที่ระบุไว้ข้างต้นอย่างระมัดระวัง คุณก็จะสามารถรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณได้อย่างง่ายดาย

อ้อ ตรวจสอบให้แน่ใจว่าคุณได้สำรองไฟล์ของคุณไว้ ก่อนที่คุณจะทำการเปลี่ยนแปลงเพียงเล็กน้อย