ความปลอดภัยของ WordPress – เคล็ดลับที่จำเป็นสำหรับเจ้าของเว็บไซต์ทุกคน

คุณรู้หรือไม่ว่ามี การโจมตีมากกว่า 90,978 ไซต์ WordPress ทุกนาที? โชคดีที่แม้ว่าตัวเลขนี้จะฟังดูใหญ่โต แต่หากคุณปฏิบัติตามกฎความปลอดภัยพื้นฐาน คุณสามารถป้องกันการโจมตีส่วนใหญ่ที่อาจเกิดขึ้นและสร้างหลักฐานการโจมตีเว็บไซต์ของคุณได้

หรืออย่างน้อยก็ทำให้มันยากมากที่จะเจาะเข้าไปในที่แฮ็กเกอร์ต้องการกำหนดเป้าหมายหนึ่งในพันตัวที่มีความปลอดภัยต่ำ ซึ่งไม่ยากที่จะทำ โดยเฉพาะอย่างยิ่งหากคุณพิจารณาว่ามีการโจมตีหลายครั้งหลังจากเครื่องสแกนช่องโหว่อัตโนมัติค้นหาวิธีที่เป็นไปได้ ดังนั้นจะเพิ่มความปลอดภัยให้กับไซต์ WordPress ของคุณได้อย่างไร นี่คือเคล็ดลับสำคัญ 6 ข้อ

1. อัปเดตการติดตั้ง ธีม และปลั๊กอิน WP ของคุณอยู่เสมอ

ไม่ใช่เกมง่ายๆ แต่มักถูกละเลย ตาม WordPress.org 1/3 ของเว็บไซต์ WordPress ทั้งหมดไม่ได้รับการอัปเดตเป็นเวอร์ชันล่าสุด ยิ่งไปกว่านั้น เกือบ 2/3 ของโฮสต์เว็บทั้งหมดใช้ PHP ที่เก่ากว่า 7.0 การติดตั้ง WordPress ที่ล้าสมัยและเฟรมเวิร์กเซิร์ฟเวอร์เป็นภัยคุกคามร้ายแรงต่อไซต์ของคุณ และเพิ่มความเสี่ยงของการละเมิดที่ประสบความสำเร็จ เนื่องจากแฮ็กเกอร์จะพยายามเข้าถึงเว็บไซต์ของคุณโดยใช้ช่องโหว่ที่ไม่ได้รับการแพตช์

ที่จริงแล้ว หากคุณอัปเดตธีม ปลั๊กอิน และ WordPress ทั้งหมด คุณจะได้รับ ความปลอดภัยมากกว่า 75% ของไซต์ที่ถูกกฎหมายทั้งหมด - เนื่องจากคาดว่าสามในสี่ของไซต์มีช่องโหว่ที่ไม่ได้รับการแพตช์ โชคดีที่การได้รับปลั๊กอิน WP เวอร์ชันล่าสุด ธีม และ WP นั้นตรงไปตรงมา – ทั้งหมดที่คุณต้องมีก็คือการคลิกปุ่มเพียงไม่กี่ครั้ง

ในขณะเดียวกัน การตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ของคุณใช้งาน PHP เวอร์ชันล่าสุดอาจใช้เวลานานขึ้นเล็กน้อย นั่นเป็นเหตุผลที่ดีที่สุดที่จะติดต่อฝ่ายสนับสนุนโฮสติ้งของคุณและขอให้พวกเขาแนะนำคุณเกี่ยวกับวิธีอัปเกรดด้วยตนเองหรือขอให้พวกเขาอัปเกรดให้กับคุณ

2. ติดตั้งเครื่องสแกนมัลแวร์และไฟร์วอลล์

หากคุณคิดว่ามีเพียงพีซีของคุณเท่านั้นที่ได้รับผลกระทบจากมัลแวร์ ไวรัส และการโจมตีแบบเดรัจฉาน คุณจะไม่ผิดพลาดไปมากกว่านี้ ไม่เพียงแต่ WordPress จะได้รับผลกระทบเท่านั้น แต่แท้จริงแล้วมันคือ CMS เว็บไซต์ที่ติดไวรัสมาก ที่สุด ซึ่งน่าจะเกี่ยวข้องกับความนิยมอย่างมาก

ข่าวดีก็คือมีไฟร์วอลล์และสแกนเนอร์มัลแวร์ฟรีและจ่ายเงินจำนวนมากสำหรับ WordPress หนึ่งในโปรแกรมที่ได้รับความนิยมมากที่สุดคือ Wordfence Security ซึ่งมีทั้งการสแกนมัลแวร์และไฟร์วอลล์ โดยมีทั้งเวอร์ชันฟรีและจ่ายเงิน

3. รับ VPS และเปลี่ยนเป็นป้อมปราการ

เมื่อเทียบกับโฮสติ้งที่ใช้ร่วมกัน VPS ช่วยให้คุณสามารถควบคุมการกำหนดค่าได้ทุกด้าน ต้องขอบคุณการที่คุณไม่เพียงทำให้เว็บไซต์ของคุณเร็วขึ้นเท่านั้น แต่ยังทำให้มั่นใจได้ว่าสภาพแวดล้อมการโฮสต์ - เซิร์ฟเวอร์ - มีการรักษาความปลอดภัยอย่างเหมาะสม

บน VPS ที่ไม่มีการจัดการ ขึ้นอยู่กับคุณว่าจะเลือกระบบปฏิบัติการ (เช่น CentOS ถือว่าปลอดภัยกว่าเมื่อเทียบกับ Ubuntu) ไฟร์วอลล์และซอฟต์แวร์อื่นๆ ที่คุณติดตั้ง เช่น เครื่องสแกนมัลแวร์ (ซึ่งคุณควรติดตั้งทั้งบน WordPress และ เซิร์ฟเวอร์เอง)

นอกจากนี้ ด้วยการติดตั้ง WordPress ของคุณบน VPS ที่คุณมีสิทธิ์เข้าถึงรูท คุณสามารถเปลี่ยนสิ่งต่างๆ เช่น รหัสผ่าน MySQL หรือเปลี่ยนชื่อโฟลเดอร์ WordPress และกำหนดค่าไฟล์ใหม่เพื่อลดโอกาสที่จะถูกโจมตีได้อย่างง่ายดาย แม้ว่าบางอย่างสามารถทำได้โดยใช้ปลั๊กอินความปลอดภัย

โดยปกติ ในการเก็บเกี่ยวผลประโยชน์ทั้งหมดของเซิร์ฟเวอร์ส่วนตัวเสมือน (ความเร็ว ความยืดหยุ่น และความสามารถในการปรับขนาดได้) คุณควรเช่าเซิร์ฟเวอร์จากบริษัทที่นำเสนอแพ็คเกจราคาที่แตกต่างกันซึ่งง่ายต่อการอัปเกรดหากคุณต้องการทรัพยากรเพิ่มเติม คุณสามารถดูตัวอย่างที่ดีของข้อเสนอดังกล่าวได้ ที่ นี่

4. ซ่อน /wp-admin และการติดตั้ง WordPress ของคุณ

ทำไมต้องบอกโลกว่าคุณกำลังใช้งาน WordPress ตั้งแต่แรก? แม้ว่าจะเป็นระบบจัดการเนื้อหาที่ยอดเยี่ยม แต่คุณไม่จำเป็นต้องอวดอ้างสิทธิ์ในการใช้งาน โดยเฉพาะอย่างยิ่งที่ให้ข้อมูลที่มีค่าแก่ผู้บุกรุกที่อาจเกิดขึ้น ตัวอย่างเช่น เว้นแต่คุณจะซ่อน WordPress เว็บไซต์เช่น What WordPress Theme is That? เปิดเผยข้อมูลไม่เพียงแค่เกี่ยวกับธีมที่คุณใช้ แต่ยังเกี่ยวกับปลั๊กอินบางตัวด้วย มันเหมือนกับบอกแฮ็กเกอร์ว่า เฮ้ คุณสามารถเข้าไปข้างในได้ดังนี้:

ดังนั้นคุณจะซ่อนข้อมูลไซต์ WP ของคุณจากการสอดรู้สอดเห็นของผู้บุกรุกได้อย่างไร โชคดีที่คุณไม่จำเป็นต้องมีทักษะทางเทคนิคใดๆ เลย เมื่อมีความต้องการมีปลั๊กอิน WordPress ซึ่งคุณสามารถใช้ทำสิ่งนี้ได้ – ความนิยมสูงสุดคือ Hide My WP โดย wave ซึ่งสามารถซ่อนหน้าเข้าสู่ระบบของคุณและทำให้รายละเอียดเกี่ยวกับเว็บไซต์ WordPress ของคุณมองไม่เห็น (น่าเสียดายที่มี ไม่มีเวอร์ชันฟรี)

อีกทางหนึ่ง คุณสามารถรับ iThemes Security เวอร์ชันฟรี ซึ่งไม่ได้มีตัวเลือกการซ่อนมากมาย (แม้ว่าจะช่วยให้คุณสามารถซ่อนหน้าการเข้าสู่ระบบได้) แต่มาพร้อมกับคุณสมบัติด้านความปลอดภัยอื่นๆ อีกมากมาย

5. เปลี่ยนชื่อผู้ใช้ WP ของคุณและซ่อนไว้

เช่นเดียวกับที่คุณไม่ควรใช้รหัสผ่านของคำ เป็น รหัสผ่าน จริงของคุณ การปล่อยให้ผู้ ดูแลระบบ ชื่อผู้ใช้ WordPress เริ่มต้น อาจมีผลที่เลวร้าย ในท้ายที่สุด อาจเป็นสิ่งแรกที่ผู้บุกรุกจะพยายามคาดเดา ดังนั้นเมื่อใช้สิ่งนี้ คุณจะทำให้พวกเขาเข้าใจรายละเอียดของบัญชีผู้ดูแลระบบของคุณได้ง่ายอย่างเหลือเชื่อ

จะเปลี่ยนได้อย่างไร? มีสองวิธีที่คุณสามารถทำได้ คุณสามารถค้นหาปลั๊กอินที่สามารถทำเพื่อคุณหรือดำเนินการด้วยตนเอง โดยส่วนตัวแล้ว ฉันชอบแบบหลังมากกว่า เพราะมันง่ายและรวดเร็ว และทุกคนสามารถทำได้ แต่เนื่องจาก WordPress ไม่ได้ให้ตัวเลือกสำเร็จรูปแก่คุณในการเปลี่ยนแปลง คุณจึงต้องใช้วิธีแก้ปัญหาเล็กน้อย ขั้นแรก ลงชื่อเข้าใช้เว็บไซต์ของคุณแล้วไปที่ ผู้ใช้ > เพิ่มใหม่

เมื่อถึงที่นั่นแล้ว ให้ใส่ชื่อผู้ใช้ของบัญชีผู้ดูแลระบบใหม่ของคุณ และตรวจสอบให้แน่ใจว่าคุณได้ตั้งค่าบทบาทของผู้ใช้เป็นผู้ ดูแลระบบ เมื่อเสร็จแล้ว คลิก แสดงรหัสผ่าน และเปลี่ยนหรือคัดลอกรหัสผ่านเริ่มต้น (ปลอดภัย)

หลังจากที่สร้างผู้ใช้แล้ว ให้ออกจากระบบและเข้าสู่ระบบโดยใช้ผู้ใช้ใหม่ ไปที่ ผู้ใช้ > ผู้ใช้ทั้งหมด และลบบัญชีผู้ดูแลระบบ WordPress เก่า แต่นั่นไม่ใช่ทั้งหมด คุณต้องมีบัญชีเพื่อเผยแพร่โพสต์ของคุณด้วยใช่ไหม แทนที่จะเผยแพร่โดยใช้ผู้ดูแลระบบซึ่งทำให้ชื่อผู้ใช้คาดเดาได้ง่าย (เว้นแต่คุณจะลองเล่นดู) ให้สร้างบัญชีแยกต่างหาก คราวนี้ แทนที่จะตั้งค่าบทบาทเป็นผู้ดูแลระบบ ให้ตั้งค่าเป็นบทบาทที่ไม่มีความสามารถของผู้ดูแลระบบ (เช่น ของผู้เขียนหรือผู้แก้ไข)

เมื่อเสร็จแล้ว ให้ตั้งค่าผู้เขียนโพสต์ที่มีอยู่ทั้งหมดเป็นผู้ใช้ใหม่ (คุณสามารถทำได้ในโพสต์ทั้งหมด > แก้ไขด่วน ในแต่ละบทความ)

6. รักษาความปลอดภัยบัญชีผู้ใช้ WordPress ที่มีอยู่

คุณทำงานกับผู้ช่วยเสมือนหรือมีพนักงานที่สามารถเข้าถึงเว็บไซต์ WordPress ของคุณหรือไม่? ในกรณีนี้ ไม่ควรให้พวกเขาเข้าถึงปลั๊กอินและข้อมูลทั้งหมด ในท้ายที่สุด พวกเขาอาจไม่จำเป็นต้องสามารถกำหนดค่าปลั๊กอินทั้งหมดบนไซต์ของคุณได้ และหากพวกเขาไม่ใช่นักพัฒนาที่เชื่อถือได้ พวกเขาไม่ควรมีสิทธิ์เข้าถึงตัวแก้ไขธีมอย่างแน่นอน จะ จำกัด การเข้าถึงได้อย่างไร? วิธีหนึ่งคือสร้างบัญชีและตั้งค่าบทบาทเป็นค่าเริ่มต้นของผู้ร่วมให้ข้อมูล ผู้เขียน หรือบรรณาธิการ

แต่ถ้าคุณต้องการบล็อกพวกเขาจากมากกว่าที่จำกัดบทบาทเหล่านี้ในขณะที่ให้พวกเขาเข้าถึงส่วนต่างๆ ของเว็บไซต์ที่การตั้งค่าเริ่มต้นไม่ได้ให้ไว้ ในกรณีนี้ คุณสามารถใช้ปลั๊กอินฟรี เช่น ตัวแก้ไขบทบาทผู้ใช้ ซึ่ง ช่วยให้คุณสร้างบทบาทใหม่ และตั้งค่าองค์ประกอบต่างๆ ของเว็บไซต์ที่สามารถเข้าถึงได้

7. ตรวจสอบกิจกรรมผ่านบันทึกการตรวจสอบ

และถ้าคุณไม่สามารถจำกัดผู้ใช้ของคุณไม่ให้เข้าถึงองค์ประกอบที่มีช่องโหว่ส่วนใหญ่บนเว็บไซต์ของคุณ แต่อย่างน้อยต้องการรู้ว่าใครเปลี่ยนแปลงหรือแก้ไขอะไร เผื่อมีข้อผิดพลาดเกิดขึ้น หากต้องการรับภาพรวมในรูปแบบของบันทึกการตรวจสอบที่ครอบคลุม คุณสามารถติดตั้ง WP Security Audit Log เวอร์ชันฟรีนั้นมากเกินพอที่จะให้ภาพรวมที่สะดวกเกี่ยวกับกิจกรรมของพนักงานและ VAs ของคุณ:

8. ทำให้การเข้าสู่ระบบปลอดภัยยิ่งขึ้นโดยใช้ Google Authenticator

เมื่อพูดถึงผู้ใช้ มีอีกสิ่งหนึ่งที่คุณสามารถทำได้เพื่อทำให้ไซต์ของคุณปลอดภัยยิ่งขึ้น ลองนึกภาพว่าข้อมูลประจำตัว WordPress ของคุณ (หรือข้อมูลของพนักงานของคุณ) ถูกขโมย ในกรณีนี้ ขึ้นอยู่กับบทบาทผู้ใช้ของพนักงานของคุณ ผู้บุกรุกสามารถเข้าถึงเว็บไซต์ WP ทั้งหมดได้ เพื่อป้องกันไม่ให้เกิดขึ้น ให้พิจารณาเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยในการเข้าสู่ระบบ วิธีที่ง่ายที่สุดคือ ปลั๊กอิน Google Authenticator เมื่อเสร็จแล้ว แม้ว่าจะมีใครได้รับชื่อผู้ใช้และรหัสผ่านของคุณ พวกเขาจะไม่สามารถเข้าสู่ระบบได้หากไม่มีรหัสที่แอป Google Authenticator ให้มา

อย่างที่คุณเห็น แม้ว่า WordPress ถือเป็นระบบจัดการเนื้อหาที่มีช่องโหว่มากที่สุดในบรรดาระบบยอดนิยมทั้งหมด แต่ก็ไม่ยากที่จะลดหรือกำจัดความเสี่ยงที่พบบ่อยที่สุดและรักษาความปลอดภัยให้กับองค์ประกอบที่ใกล้สูญพันธุ์มากที่สุดในเว็บไซต์ของคุณ

หากคุณปฏิบัติตามคำแนะนำข้างต้น ให้ระมัดระวังในการให้ผู้อื่นเข้าถึงไซต์ของคุณ และรักษาองค์ประกอบของไซต์ของคุณให้เป็นปัจจุบัน เว็บไซต์ของคุณ และด้วยสิ่งนี้ ธุรกิจของคุณจะปลอดภัยจากผู้บุกรุกที่อาจเกิดขึ้น ไม่ต้องพูดถึงว่าคุณสามารถบันทึกได้มากเพียงใดเพื่อป้องกันการละเมิดความปลอดภัย