วิธีรักษาความปลอดภัยเว็บไซต์ WordPress

คุณรู้หรือไม่ว่าการรักษาความปลอดภัยเว็บไซต์ WordPress มีความสำคัญมากขึ้นกว่าเดิมเนื่องจากความถี่และความซับซ้อนของการโจมตีทางไซเบอร์ที่เพิ่มขึ้น มันเป็นความจริงอันโหดร้ายที่ไม่มีธุรกิจออนไลน์ใดที่จะเพิกเฉยได้

ตามรายงานของ Colorlib เว็บไซต์ WordPress มากกว่า 13,000 แห่งถูกแฮ็กในแต่ละวันในปี 2023

นั่นเป็นตัวเลขที่น่าตกใจ และนั่นหมายความว่าคุณต้องระมัดระวังเป็นพิเศษในการรักษาตัวตนบนโลกออนไลน์ของคุณ

แต่ไม่จำเป็นต้องตื่นตระหนก

ในโพสต์นี้ เราจะพูดถึงขั้นตอนที่คุณสามารถทำได้เพื่อรักษาเว็บไซต์ของคุณให้ปลอดภัยและป้องกันจากภัยคุกคามทางไซเบอร์ เพื่อให้คุณสามารถมุ่งเน้นไปที่การขยายธุรกิจของคุณโดยไม่ต้องกังวล

ดังนั้น หากคุณพร้อมที่จะยกระดับความปลอดภัยของเว็บไซต์ไปอีกขั้นแล้ว มาเริ่มกันเลย!

1 เหตุใดจึงต้องรักษาความปลอดภัยเว็บไซต์ WordPress?

เว็บไซต์ของคุณทำหน้าที่เป็นบ้านออนไลน์ของคุณ และ WordPress เป็นแพลตฟอร์มที่อยู่เบื้องหลัง อย่างไรก็ตาม เช่นเดียวกับบ้านทั่วไป ไซต์ WordPress ของคุณจำเป็นต้องมีกำแพงที่แข็งแกร่งเพื่อต้านทานภัยคุกคามที่อาจเกิดขึ้น

นี่คือเหตุผลว่าทำไมการรักษาความปลอดภัยเว็บไซต์ของคุณจึงเป็นสิ่งสำคัญ:

การรักษาความปลอดภัยเว็บไซต์และความเป็นส่วนตัวของผู้เยี่ยมชมของคุณ

จากข้อมูลพบว่าไซต์ WordPress ที่ถูกแฮ็กโดยเฉลี่ย 69% ตกเป็นเหยื่อของซอฟต์แวร์ที่ล้าสมัยและรหัสผ่านที่อ่อนแอ นี่เหมือนกับการเปิดประตูหน้าบ้านไว้พร้อมกับปูเสื่อต้อนรับสำหรับขโมยทางไซเบอร์

การสูญเสียอาชญากรรมทางไซเบอร์สำหรับธุรกิจทะลุล้านล้านต่อปี และ WordPress ก็เป็นเป้าหมายที่พบบ่อย

ดังนั้นการปกป้องข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน อีเมล และรายละเอียดทางการเงินจึงเป็นสิ่งสำคัญ เว็บไซต์ที่ปลอดภัยส่งเสริมความไว้วางใจและการมีส่วนร่วมของผู้ใช้ และผู้ใช้มีแนวโน้มที่จะกลับมาที่ไซต์ที่ปลอดภัยมากขึ้น ซึ่งเพิ่มความภักดีและการเปลี่ยนแปลงของผู้เข้าชม

การป้องกันการละเมิดข้อมูลและการแทรกมัลแวร์

การละเมิดข้อมูลอาจทำให้เกิดความเสียหายต่อชื่อเสียง ปัญหาทางกฎหมาย และสูญเสียความไว้วางใจของลูกค้า ส่งผลให้ธุรกิจต้องสูญเสียเงินโดยเฉลี่ย 9.44 ล้านดอลลาร์สหรัฐฯ ในการฟื้นตัวจากในสหรัฐอเมริกา

นอกจากนี้ การฉีดมัลแวร์บนเว็บไซต์ WordPress ที่ถูกแฮ็กสามารถเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่เป็นอันตราย ทำลายอันดับ SEO และประสบการณ์ผู้ใช้ของคุณ ดังนั้นคุณจะต้องรักษาเว็บไซต์ของคุณให้ปลอดภัยเพื่อป้องกันสถานการณ์ดังกล่าว

เพิ่มประสิทธิภาพ SEO ของเว็บไซต์ของคุณ

Google ให้ความสำคัญกับความปลอดภัย และเว็บไซต์ที่ปลอดภัยมักจะได้รับการจัดอันดับ SEO ที่ดีกว่า การรักษาความปลอดภัยไซต์ WordPress ของคุณสามารถปรับปรุงอันดับของเครื่องมือค้นหา และดึงดูดปริมาณการเข้าชมทั่วไปได้มากขึ้น

นอกจากนี้ สคริปต์และปลั๊กอินที่เป็นอันตรายอาจทำให้เว็บไซต์ของคุณชะงัก ลากเวลาในการโหลดหน้าเว็บ และทำให้ผู้ใช้หงุดหงิด เว็บไซต์ที่ปลอดภัยทำงานได้อย่างราบรื่น ทำให้ผู้เยี่ยมชมของคุณมีความสุขและมีส่วนร่วม

การปฏิบัติตามกฎระเบียบความเป็นส่วนตัวของข้อมูล

กฎระเบียบด้านความเป็นส่วนตัวของข้อมูลจำเป็นต้องมีมาตรการรักษาความปลอดภัยเว็บไซต์ที่เข้มงวดเพื่อปกป้องข้อมูลผู้ใช้ GDPR และ CCPA คือข้อบังคับบางประการที่ธุรกิจจำเป็นต้องปฏิบัติตาม

ดังนั้นการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณจึงเป็นสิ่งสำคัญเพื่อหลีกเลี่ยงค่าปรับจำนวนมากและปัญหาทางกฎหมาย

โปรดจำไว้ว่าการรักษาความปลอดภัยของเว็บไซต์ไม่ใช่การลงทุนเพียงครั้งเดียว แต่เป็นกระบวนการต่อเนื่อง

ด้วยการใช้มาตรการเชิงรุก คุณสามารถเปลี่ยนไซต์ WordPress ของคุณจากเป้าหมายที่มีช่องโหว่เป็นป้อมปราการที่ปลอดภัย ปกป้องข้อมูล ชื่อเสียง และความสำเร็จทางออนไลน์ของคุณ

2 วิธีในการรักษาความปลอดภัยเว็บไซต์ WordPress

ให้เราหารือถึงวิธีการต่าง ๆ เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress

2.1 มาตรการรักษาความปลอดภัยขั้นพื้นฐานที่จำเป็น

ให้เราหารือเกี่ยวกับหลักปฏิบัติด้านความปลอดภัยที่สำคัญเพื่อปกป้องเว็บไซต์ WordPress ของคุณจากความเสี่ยงที่อาจเกิดขึ้น

ให้ทุกอย่างอัปเดต

การปกป้องไซต์ WordPress ของคุณนั้นตรงไปตรงมา – อัปเดตอยู่เสมอ ซึ่งรวมถึง WordPress และไฟล์หลัก เช่น ธีมและปลั๊กอิน

การอัปเดตเป็นประจำมีความสำคัญเนื่องจากมักมีแพตช์รักษาความปลอดภัยสำหรับช่องโหว่ที่พบในเวอร์ชันก่อนหน้า

นอกเหนือจากความปลอดภัยแล้ว การอัปเดตยังแนะนำคุณสมบัติและการปรับปรุงใหม่ๆ ให้กับเว็บไซต์ของคุณอีกด้วย

หากต้องการตรวจสอบและอัปเดตไซต์ WordPress และไฟล์หลัก ให้ลงชื่อเข้าใช้แดชบอร์ดและไปที่ แดชบอร์ด → อัปเดต

หากมีการอัปเดตให้คลิกปุ่ม อัปเดตเป็นเวอร์ชัน สำหรับธีมและปลั๊กอิน ให้ไปที่ส่วน ธีม หรือ ปลั๊กอิน เลือกธีมและปลั๊กอินที่ต้องการอัปเดต แล้วคลิกปุ่มอัปเดตถัดจากแต่ละรายการ

เพื่อเพิ่มความปลอดภัย ให้พิจารณาเปิดใช้งานการอัปเดตอัตโนมัติสำหรับ WordPress, ปลั๊กอิน และธีม สิ่งนี้ทำให้มั่นใจได้ว่าไซต์ของคุณปลอดภัย แม้ว่าคุณจะไม่ได้ติดตามดูก็ตาม

ก่อนเปิดใช้งานการอัปเดตอัตโนมัติ ตรวจสอบให้แน่ใจว่าได้สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ ข้อควรระวังนี้ทำให้แน่ใจได้ว่าคุณสามารถกู้คืนไซต์ของคุณได้อย่างง่ายดายหากมีข้อผิดพลาดเกิดขึ้นระหว่างหรือหลังการอัปเดต

ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน

คุณยังสามารถรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณได้โดยใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน รหัสผ่านที่ไม่รัดกุมและคาดเดาได้ง่ายทำให้แฮกเกอร์เข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาตได้ง่ายขึ้น

หากต้องการสร้างรหัสผ่านที่รัดกุมและปลอดภัย ให้ปฏิบัติตามคำแนะนำเหล่านี้:

• เลือกใช้อักขระอย่างน้อย 12 ตัวขึ้นไป
• ผสมตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษ
• หลีกเลี่ยงการใช้ตัวเลขต่อเนื่อง อักขระซ้ำ หรือรหัสผ่านทั่วไป เช่น “password123”
• ใช้รหัสผ่านที่แตกต่างกันสำหรับบัญชีออนไลน์แต่ละบัญชี รวมถึงไซต์ WordPress ของคุณ
• พิจารณาใช้เครื่องมือจัดการรหัสผ่านที่เชื่อถือได้เพื่อสร้างและจัดเก็บรหัสผ่านของคุณอย่างปลอดภัย
• หากเป็นไปได้ ให้หลีกเลี่ยงรหัสผ่านที่มีชื่อผู้ใช้หรือชื่อเว็บไซต์ของคุณ

โปรดจำไว้ว่า เมื่อติดตั้งไซต์ WordPress ใหม่ ให้แทนที่ตัวอย่างรหัสผ่านเริ่มต้นด้วยรหัสผ่านที่รัดกุมกว่าเสมอ

แต่หากเว็บไซต์ WordPress ของคุณได้รับการตั้งค่าไว้แล้ว ให้เปลี่ยนรหัสผ่านโดยไปที่ Users → Profile เลื่อนลงและคลิกปุ่ม Set New Password เพื่อรับรหัสผ่านที่รัดกุมและสุ่ม

นอกจากนี้ ให้เปลี่ยนรหัสผ่านของคุณด้วยรหัสผ่านที่รัดกุมทุกครั้ง

ติดตั้งใบรับรอง SSL

เมื่อรักษาความปลอดภัยไซต์ WordPress ของคุณ การติดตั้งใบรับรอง SSL เป็นสิ่งสำคัญ ใบรับรองนี้ช่วยให้แน่ใจว่าข้อมูลที่แลกเปลี่ยนระหว่างเว็บไซต์ของคุณและผู้เยี่ยมชมได้รับการเข้ารหัส ช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

การขอรับใบรับรอง SSL สามารถทำได้โดยการซื้อจากผู้ให้บริการที่มีชื่อเสียงหรือรับใบรับรองฟรีผ่านผู้ให้บริการโฮสติ้งของคุณ

อย่างไรก็ตาม หากคุณได้ติดตั้งใบรับรอง SSL สำหรับเว็บไซต์ WordPress ของคุณแล้ว แต่ไม่ปรากฏบน URL เว็บไซต์ของคุณ ก็มีวิธีเปิดใช้งานได้

เพียงไปที่ การตั้งค่า → ทั่วไป ในแดชบอร์ด WordPress ของคุณ และแก้ไข “ที่อยู่ WordPress (URL)” และ “ที่อยู่เว็บไซต์ (URL)” โดยการเพิ่ม 'https://' ที่จุดเริ่มต้นแทน 'http://'

แต่ถ้าคุณพบปัญหาที่เกี่ยวข้องกับ SSL บนเว็บไซต์ของคุณ คุณสามารถใช้ปลั๊กอิน เช่น Really Simple SSL หรือ SSL Insecure Content Fixer เพื่อแก้ไขปัญหาเหล่านั้นได้

เลือกโฮสติ้งที่ปลอดภัย

เพื่อเพิ่มความปลอดภัย ให้เลือกผู้ให้บริการโฮสติ้งที่มีชื่อเสียงซึ่งเป็นที่รู้จักในด้านมาตรการรักษาความปลอดภัยและความน่าเชื่อถือ มองหาฟีเจอร์ต่างๆ เช่น ไฟร์วอลล์ การสแกนมัลแวร์ และการป้องกัน DDoS

ตรวจสอบให้แน่ใจว่าพวกเขามีการสำรองข้อมูลเป็นประจำ รองรับโปรโตคอลที่ปลอดภัย เช่น SFTP หรือ SSH และอัปเดตโครงสร้างพื้นฐานและซอฟต์แวร์อยู่เสมอ ผู้ให้บริการโฮสติ้งที่ปลอดภัยจะสร้างรากฐานที่แข็งแกร่งสำหรับการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

เพื่อดำเนินการนี้ ให้ค้นคว้าผู้ให้บริการโฮสติ้ง อ่านบทวิจารณ์ และเลือกผู้ให้บริการที่มีชื่อเสียงด้านความปลอดภัยที่ดี

ตรวจสอบคุณสมบัติ การสนับสนุน และตัวเลือกการสำรองข้อมูล เมื่อคุณจัดลำดับความสำคัญของสภาพแวดล้อมโฮสติ้งที่ปลอดภัย มันจะช่วยปกป้องเว็บไซต์และข้อมูลของคุณ

2.2 รักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ

ตอนนี้ให้เรามาพูดถึงวิธีที่มีประสิทธิภาพที่สุดในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ รวมถึงวิธีป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ปกป้องข้อมูลของคุณ และลดความเสี่ยงจากการโจมตีทางไซเบอร์

ใช้ธีมและปลั๊กอินที่ปลอดภัย

เมื่อเลือกธีมและปลั๊กอินสำหรับไซต์ WordPress ของคุณ สิ่งสำคัญคือต้องเลือกจากแหล่งที่เชื่อถือได้ เช่น ที่เก็บ WordPress อย่างเป็นทางการหรือ MyThemeShop

แหล่งข้อมูลเหล่านี้ดำเนินการตรวจสอบความปลอดภัยอย่างละเอียดและให้การอัปเดตอย่างสม่ำเสมอเพื่อให้มั่นใจในความปลอดภัยของผลิตภัณฑ์ของตน

อย่างไรก็ตาม สิ่งสำคัญคือต้องหลีกเลี่ยงการใช้ธีมหรือปลั๊กอินจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ โดยเฉพาะธีมหรือปลั๊กอินที่ไม่มีค่า สิ่งเหล่านี้อาจมีช่องโหว่หรือโค้ดที่เป็นอันตรายซึ่งอาจเป็นอันตรายต่อความปลอดภัยของเว็บไซต์ของคุณ

ก่อนที่จะติดตั้งธีมหรือปลั๊กอิน โปรดใช้เวลาตรวจสอบการให้คะแนน อ่านคำติชมของผู้ใช้ และประเมินความถี่ในการอัปเดตเพื่อให้แน่ใจว่ามีความน่าเชื่อถือและคงไว้ซึ่งความกระตือรือร้น

สิ่งนี้ทำให้มั่นใจได้ว่าเว็บไซต์ของคุณยังคงปลอดภัยและทันสมัยด้วยมาตรการรักษาความปลอดภัยล่าสุด

สำรองข้อมูลเว็บไซต์ WordPress ของคุณเป็นประจำ

การสำรองข้อมูลเว็บไซต์ของคุณเป็นประจำถือเป็นสิ่งสำคัญในการป้องกันเหตุการณ์ด้านความปลอดภัย ข้อมูลสูญหาย และปัญหาเว็บไซต์ ด้วยการสำรองข้อมูลล่าสุด คุณสามารถกู้คืนไซต์ของคุณได้อย่างรวดเร็วในกรณีที่ถูกโจมตีทางไซเบอร์และลดเวลาหยุดทำงานให้เหลือน้อยที่สุด

โดยทั่วไปแนะนำให้สร้างการสำรองข้อมูลทุกวัน โดยเฉพาะเว็บไซต์ที่มีเนื้อหาจำนวนมากและมีการเข้าชมสูง

นอกจากนี้ สิ่งสำคัญคือต้องทดสอบการสำรองข้อมูลของคุณเป็นระยะเพื่อให้มั่นใจถึงความน่าเชื่อถือ วิธีหนึ่งในการทำให้กระบวนการสำรองข้อมูลง่ายขึ้นคือการใช้ปลั๊กอินที่นำเสนอคุณสมบัติ เช่น การสำรองข้อมูลตามกำหนดเวลาและตัวเลือกการจัดเก็บข้อมูลระยะไกล

คุณสามารถดูโพสต์โดยละเอียดของเราเกี่ยวกับการสำรองข้อมูลเว็บไซต์ WordPress ของคุณ

จำกัดความพยายามในการเข้าสู่ระบบ

อีกวิธีในการรักษาความปลอดภัยเว็บไซต์ของคุณคือการจำกัดความพยายามในการเข้าสู่ระบบบนเว็บไซต์ของคุณ ซึ่งจะจำกัดจำนวนการพยายามเข้าสู่ระบบที่ล้มเหลวจากที่อยู่ IP เดียว

สิ่งนี้ทำให้แฮกเกอร์เข้าถึงโดยไม่ได้รับอนุญาตได้ยากขึ้นโดยการเดาข้อมูลรับรองการเข้าสู่ระบบของคุณ

เมื่อคุณจำกัดความพยายามในการเข้าสู่ระบบ คุณสามารถเพิ่มชั้นการป้องกันการโจมตีแบบ brute-force บนเว็บไซต์ WordPress ของคุณได้

ต่อไปนี้คือวิธีที่คุณสามารถจำกัดความพยายามในการเข้าสู่ระบบไซต์ของคุณ:

• ติดตั้งและเปิดใช้งานปลั๊กอิน เช่น จำกัดความพยายามในการเข้าสู่ระบบที่โหลดซ้ำจากไดเรกทอรีปลั๊กอิน WordPress ของคุณ สำหรับรายละเอียดเพิ่มเติม โปรดดูคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีติดตั้งปลั๊กอิน WordPress
• หลังจากเปิดใช้งานแล้ว ให้ไปที่หน้าการตั้งค่า จากนั้นเลื่อนไปที่ส่วน "การตั้งค่าแอป"
• ในตัวเลือก การล็อก ให้กำหนดค่าจำนวนครั้งสูงสุดในการพยายามเข้าสู่ระบบก่อนที่จะบล็อกที่อยู่ IP

• กำหนดระยะเวลาการล็อกสำหรับที่อยู่ IP ที่ถูกบล็อก
• คุณสามารถเลือกเปิดใช้งานการแจ้งเตือนทางอีเมลเพื่อรับการแจ้งเตือนเกี่ยวกับการล็อกเอาต์หรือความพยายามเข้าสู่ระบบที่น่าสงสัย คุณสามารถดูตัวเลือกนี้ได้ใน การตั้งค่าทั่วไป

หลังจากการตั้งค่าที่เหมาะสม ความพยายามในการเข้าสู่ระบบเว็บไซต์ของคุณจะถูกจำกัด และที่อยู่ IP ใดๆ ที่เกินจำนวนการพยายามเข้าสู่ระบบที่ล้มเหลวที่คุณระบุไว้จะถูกบล็อกชั่วคราวไม่ให้เข้าถึงหน้าเข้าสู่ระบบ

เปิดใช้งาน 2FA (การตรวจสอบสิทธิ์แบบสองปัจจัย)

การเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) จะเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับไซต์ WordPress ของคุณ โดยกำหนดให้ผู้ใช้ต้องมีการยืนยันสองรูปแบบเพื่อเข้าสู่ระบบ

เช่นเดียวกับ Google, Facebook และ Twitter คุณสามารถเสริมความแข็งแกร่งให้กับเว็บไซต์ WordPress ของคุณด้วยฟีเจอร์นี้ ซึ่งช่วยลดความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างมาก แม้ว่ารหัสผ่านของคุณจะถูกบุกรุกก็ตาม

มีวิธีดังนี้:

• ติดตั้งและเปิดใช้งานปลั๊กอิน “Wordfence Login Security” เมื่อเปิดใช้งานแล้ว ให้ไปที่เมนู 'ความปลอดภัยในการเข้าสู่ระบบ'
• ค้นหารหัส QR และป้อนในแท็บ "การตรวจสอบสิทธิ์แบบสองปัจจัย" ดังนั้นคุณจะต้องสแกนเพื่อเปิดใช้งานตัวตรวจสอบความถูกต้องบนเว็บไซต์ของคุณ

• จากนั้น ให้ดาวน์โหลดและติดตั้งแอป Google Authenticator บนโทรศัพท์ของคุณ คุณจะใช้มันเพื่อสแกนรหัส QR เพื่อเปิดใช้งานบนเว็บไซต์ของคุณ
• เปิดแอปแล้วเลือก "สแกนโค้ด QR" เพื่อสแกนโค้ดหรือป้อนคีย์การตั้งค่าด้วยตนเอง
• หลังจากที่แอปตรวจสอบรหัสแล้ว แอปจะให้รหัสเฉพาะ คัดลอกรหัสนี้ไปยังฟิลด์ที่กำหนดภายใต้ส่วนรหัสกู้คืน
• คลิกที่ปุ่ม ACTIVATE เพื่อเสร็จสิ้นการตั้งค่า

อย่าลืมดาวน์โหลดรหัสกู้คืนทั้งห้ารหัสโดยใช้ปุ่ม ดาวน์โหลด รหัสเหล่านี้มีความสำคัญในกรณีที่คุณทำโทรศัพท์หาย เพื่อให้สามารถเข้าถึงเว็บไซต์ของคุณได้อย่างต่อเนื่อง

ใช้โซลูชั่นป้องกันสแปมที่แข็งแกร่ง

สแปมอาจสร้างความรำคาญและก่อให้เกิดความเสี่ยงด้านความปลอดภัย ประนีประนอมประสบการณ์ผู้ใช้ และส่งผลเสียต่อประสิทธิภาพการทำงานของเว็บไซต์ของคุณ

ดังนั้น เพื่อป้องกันสแปมบนเว็บไซต์ของคุณอย่างมีประสิทธิภาพ คุณสามารถใช้ปลั๊กอิน WordPress “Akismet Anti-spam” ได้

Akismet เป็นปลั๊กอินกรองสแปมอันทรงพลังที่พัฒนาโดย Automattic บริษัทเบื้องหลัง WordPress โดยปกติแล้วจะติดตั้ง WordPress ไว้ล่วงหน้า และคุณเพียงแค่ต้องเปิดใช้งานและรับคีย์ API

หากต้องการรับคีย์ API คุณจะต้องลงทะเบียนบนเว็บไซต์ Akismet จากนั้นป้อนลงในช่องคีย์ API บนหน้าปลั๊กอินในแดชบอร์ด WordPress ของคุณ

เมื่อคุณเชื่อมต่อคีย์ API สำเร็จแล้ว ปลั๊กอิน Akismet จะใช้อัลกอริธึมขั้นสูงเพื่อวิเคราะห์ความคิดเห็นและการส่งแบบฟอร์มบนเว็บไซต์ของคุณโดยอัตโนมัติ เพื่อกรองสแปมออกอย่างมีประสิทธิภาพ

หรือคุณสามารถเลือกใช้ปลั๊กอิน “Antispam Bee” ซึ่งมีจุดประสงค์คล้ายกันได้

เปลี่ยนชื่อผู้ใช้ผู้ดูแลระบบเริ่มต้น

ในระหว่างการติดตั้งเว็บไซต์ WordPress โดยทั่วไปชื่อผู้ใช้เริ่มต้นจะถูกตั้งเป็น 'ผู้ดูแลระบบ' อย่างไรก็ตาม มีกรณีที่ผู้ใช้เผลอปล่อยชื่อผู้ใช้นี้ไว้โดยไม่มีการเปลี่ยนแปลง

แฮกเกอร์มักจะกำหนดเป้าหมายไปที่ชื่อผู้ใช้ “ผู้ดูแลระบบ” เนื่องจากเป็นที่รู้จักอย่างกว้างขวาง ซึ่งเอื้อต่อความพยายามที่เป็นอันตรายของพวกเขา เพื่อเพิ่มความปลอดภัยให้กับไซต์ของคุณ การเปลี่ยนแปลงชื่อผู้ใช้ของผู้ดูแลระบบเป็นสิ่งสำคัญ ทำให้ผู้โจมตีคาดเดาและเข้าถึงโดยไม่ได้รับอนุญาตได้ยากขึ้น

น่าเสียดายที่ WordPress ไม่มีตัวเลือกโดยตรงในการแก้ไขชื่อผู้ใช้เมื่อการติดตั้งเสร็จสมบูรณ์

ดังนั้นเพื่อหลีกเลี่ยงสิ่งนี้ คุณควรติดตั้งและเปิดใช้งานปลั๊กอิน “เปลี่ยนชื่อผู้ใช้” เมื่อเปิดใช้งานแล้ว ให้ไปที่ ผู้ใช้ → ผู้ใช้ทั้งหมด เลือกผู้ใช้ด้วยชื่อผู้ใช้ “ผู้ดูแลระบบ” แล้วคลิก “แก้ไข”

ในหน้าโปรไฟล์ ให้ค้นหาตัวเลือก 'ชื่อผู้ใช้' และคลิก เปลี่ยน จากนั้นเลือกชื่อผู้ใช้ใหม่สำหรับบัญชีผู้ดูแลระบบ โดยควรเป็นชื่อผู้ใช้ที่ไม่ซ้ำใครและไม่เกี่ยวข้องกับชื่อเว็บไซต์ของคุณ

สุดท้ายเลื่อนไปที่ด้านล่างของหน้าแล้วคลิกปุ่ม อัปเดตโปรไฟล์ เพื่อบันทึกการเปลี่ยนแปลง WordPress จะอัปเดตชื่อผู้ใช้ของผู้ดูแลระบบโดยอัตโนมัติ

การเปลี่ยนชื่อผู้ใช้ของผู้ดูแลระบบจะไม่ส่งผลกระทบต่อเนื้อหาหรือการตั้งค่าเว็บไซต์ของคุณ การเปลี่ยนแปลงเพียงอย่างเดียวคือชื่อผู้ใช้สำหรับการเข้าถึงแดชบอร์ดของผู้ดูแลระบบ

เปลี่ยน URL เริ่มต้น "wp-login"

ทุกคนรู้ดีว่า URL เข้าสู่ระบบเริ่มต้นของเว็บไซต์ที่ขับเคลื่อนด้วย WordPress มักจะลงท้ายด้วย “wp-login”

อย่างไรก็ตาม คุณจะต้องเปลี่ยนรูปแบบ URL นี้เพื่อให้ผู้อื่นเข้าถึง URL เข้าสู่ระบบของคุณได้ยากขึ้น ไม่ต้องพูดถึงความพยายามในการใช้รายละเอียดการเข้าสู่ระบบของคุณ

หากต้องการเปลี่ยน URL เริ่มต้น "wp-login" ให้ทำตามขั้นตอนเหล่านี้:

• ติดตั้งและเปิดใช้งานปลั๊กอิน “WPS Hide Login” จากไดเร็กทอรีปลั๊กอิน WordPress
• หลังจากเปิดใช้งาน ให้ไปที่ การตั้งค่า → WPS ซ่อนการเข้าสู่ระบบ จากนั้นระบบจะนำคุณไปที่ด้านล่างของการตั้งค่าทั่วไปของไซต์ WordPress
• จากนั้น ให้เพิ่ม URL สำหรับเข้าสู่ระบบที่กำหนดเองซึ่งไม่ซ้ำกันและคาดเดาได้ยาก

• จากนั้นให้บันทึกการเปลี่ยนแปลง จากนั้นปลั๊กอินจะอัปเดต URL สำหรับเข้าสู่ระบบโดยอัตโนมัติ

เมื่อตั้งค่า URL เข้าสู่ระบบที่กำหนดเองแล้ว คุณจะต้องเข้าถึง URL ใหม่เพื่อเข้าสู่ระบบแดชบอร์ดผู้ดูแลระบบ WordPress URL เริ่มต้น "wp-login" จะไม่สามารถเข้าถึงได้อีกต่อไป

แนะนำให้เลือก URL เข้าสู่ระบบที่กำหนดเองเพื่อให้จดจำได้ง่าย แต่ผู้อื่นคาดเดาได้ยาก

สแกนเว็บไซต์ของคุณเป็นประจำ

เพื่อให้ไซต์ WordPress ของคุณปลอดภัย การสแกนหาภัยคุกคามด้านความปลอดภัย มัลแวร์ หรือกิจกรรมที่น่าสงสัยเป็นประจำจึงเป็นสิ่งสำคัญ มาตรการเชิงรุกนี้ช่วยรักษาความสมบูรณ์ของเว็บไซต์ของคุณ

ติดตั้งและเปิดใช้งานปลั๊กอินความปลอดภัย เช่น Sucuri Security จากไดเร็กทอรีปลั๊กอิน WordPress เพื่อทำการสแกนเป็นประจำ

หลังจากเปิดใช้งานแล้ว ให้ไปที่ Sucuri Security → Dashboard ซึ่งคุณสามารถเริ่มการสแกนได้ ปลั๊กอินจะทำการสแกนรายวันตามค่าเริ่มต้น แต่คุณสามารถปรับแต่งความถี่ได้ในการตั้งค่า

หลังจากการสแกนแต่ละครั้ง ให้ตรวจสอบผลลัพธ์ที่ได้รับจากปลั๊กอินและดำเนินการที่จำเป็นตามผลการวิจัย การตรวจสอบเป็นประจำนี้ช่วยให้มั่นใจถึงความปลอดภัยอย่างต่อเนื่องของไซต์ WordPress ของคุณ

ผลลัพธ์การสแกนบางอย่างอาจเกี่ยวข้องกับการลบมัลแวร์ การอัปเดตปลั๊กอินหรือธีม หรือการจัดการช่องโหว่ที่ระบุ

ตรวจสอบกิจกรรมของไซต์และกิจกรรมผู้ใช้เสมอ

การตรวจสอบไซต์และกิจกรรมของผู้ใช้เป็นสิ่งสำคัญในการรับรองความปลอดภัยของเว็บไซต์ WordPress ของคุณ

ด้วยการติดตามการดำเนินการบนไซต์ของคุณ คุณสามารถตรวจจับกิจกรรมที่น่าสงสัยหรือไม่ได้รับอนุญาตได้ทันที และดำเนินการที่จำเป็นเพื่อแก้ไขปัญหาเหล่านั้นอย่างมีประสิทธิภาพ

ในการตรวจสอบกิจกรรมของไซต์ คุณสามารถใช้คุณสมบัติ บันทึกการตรวจสอบ ของปลั๊กอิน Sucuri เข้าถึงแดชบอร์ด Sucuri และเลื่อนลงจนกว่าคุณจะพบแท็บ บันทึกการตรวจสอบ

บันทึกเหล่านี้จะแสดงรายละเอียดต่างๆ เช่น ความพยายามในการเข้าสู่ระบบ การแก้ไขไฟล์ การติดตั้งปลั๊กอิน และอื่นๆ

นอกจากนี้ คุณยังสามารถไปที่ส่วน การเข้าสู่ระบบครั้งล่าสุด เพื่อตรวจสอบและติดตามกิจกรรมการเข้าสู่ระบบเว็บไซต์ของคุณ รวมถึงความพยายามที่สำเร็จและไม่สำเร็จ

หากคุณตรวจพบกิจกรรมที่น่าสงสัย ให้ดำเนินการทันทีเพื่อตรวจสอบและลดความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น

อีกทางเลือกหนึ่งคือการใช้ปลั๊กอินแบบสแตนด์อโลนที่เรียกว่า 'Simple History' เพื่อตรวจสอบบันทึกกิจกรรมเว็บไซต์ของคุณ เครื่องมือนี้ให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับการกระทำของผู้ใช้และช่วยรักษาสภาพแวดล้อม WordPress ที่ปลอดภัย

ติดตั้งระบบแจ้งเตือนความปลอดภัย

การตั้งค่าระบบสำหรับการแจ้งเตือนความปลอดภัยทำให้มั่นใจได้ว่าคุณจะได้รับการแจ้งเตือนอย่างทันท่วงทีเกี่ยวกับปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นหรือการเปลี่ยนแปลงบนเว็บไซต์ WordPress ของคุณ

เมื่อได้รับการแจ้งเตือนทันที คุณสามารถจัดการกับภัยคุกคามหรือช่องโหว่ได้ทันที

คุณสามารถใช้คุณสมบัติ การแจ้งเตือน ในปลั๊กอิน Sucuri เพื่อรับการแจ้งเตือนกิจกรรมเว็บไซต์ของคุณ ไปที่ส่วน การตั้งค่า และเลือกแท็บ การแจ้งเตือน

ในแท็บ การแจ้งเตือน ให้เพิ่มอีเมลสำหรับรับการแจ้งเตือน ตั้งค่าความถี่ และระบุประเภทของการแจ้งเตือนความปลอดภัย

ตรวจสอบว่ารายละเอียดการติดต่อที่ให้ไว้สำหรับการแจ้งเตือนนั้นถูกต้องและเป็นปัจจุบัน คุณลักษณะนี้ยังพบได้ทั่วไปในปลั๊กอินความปลอดภัยอื่นๆ

2.3 มาตรการรักษาความปลอดภัยขั้นสูง

ให้เราสำรวจมาตรการรักษาความปลอดภัยขั้นสูงที่คุณสามารถใช้เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ

ตั้งค่าการบล็อกทางภูมิศาสตร์เพื่อบล็อก IP

การใช้การบล็อก GEO บนเว็บไซต์ WordPress ของคุณทำให้คุณสามารถจำกัดการเข้าถึงจากบางประเทศหรือภูมิภาคได้โดยการบล็อกที่อยู่ IP ที่เกี่ยวข้องกับสถานที่เหล่านั้น

วิธีนี้สามารถช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณโดยป้องกันการเข้าถึงจากผู้ที่อาจเป็นอันตรายหรือภูมิภาคที่มีความเสี่ยงสูง

คุณสามารถบล็อก IP ผ่านทางแดชบอร์ด WordPress, cPanel, ปลั๊กอิน WordPress, .htaccess และไฟล์ config.php

การบล็อก GEO สามารถบล็อกการเข้าถึงจากบางภูมิภาคได้อย่างมีประสิทธิภาพ แต่อาจไม่สามารถป้องกันความผิดพลาดได้

ที่อยู่ IP บางแห่งอาจถูกกำหนดแบบไดนามิกหรือปลอมแปลงได้ง่าย ดังนั้นเราขอแนะนำให้ใช้การบล็อก GEO ร่วมกับมาตรการรักษาความปลอดภัยอื่นๆ

เปิดใช้งานการป้องกันไฟร์วอลล์เว็บแอปพลิเคชัน

ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) ทำหน้าที่เป็นเกราะป้องกันระหว่างไซต์ของคุณกับภัยคุกคามที่อาจเกิดขึ้น โดยการกรองการรับส่งข้อมูลที่เป็นอันตรายออก และบล็อกรูปแบบการโจมตีที่ทราบ

คุณสามารถเปิดใช้งานตัวเลือกการป้องกัน WAF ได้ฟรีโดยใช้ปลั๊กอิน Wordfence Security ดังนั้นคุณจะต้องติดตั้งและเปิดใช้งานปลั๊กอินบนเว็บไซต์ WordPress ของคุณ

หลังจากเปิดใช้งานแล้ว ให้ไปที่ Wordfence → Firewall และเปิดใช้งาน Wordfence Firewall จากนั้น จัดการการตั้งค่าไฟร์วอลล์ตามความต้องการของคุณ เช่น การเปิดใช้งานกฎ WAF และตัวเลือกไฟร์วอลล์ขั้นสูง

หลังจากนั้น ให้บันทึกการตั้งค่า จากนั้นปลั๊กอิน Wordfence จะเริ่มให้การป้องกัน WAF สำหรับเว็บไซต์ของคุณ

เมื่อเปิดใช้งาน Wordfence WAF เว็บไซต์ของคุณจะได้รับการปกป้องจากภัยคุกคามความปลอดภัยทั่วไป เช่น การแทรก SQL, การโจมตีด้วยสคริปต์ข้ามไซต์ (XSS) และการพยายามเข้าสู่ระบบแบบดุร้าย

WAF ตรวจสอบและกรองการรับส่งข้อมูลขาเข้าอย่างต่อเนื่องเพื่อบล็อกคำขอที่เป็นอันตรายก่อนที่จะเข้าถึงเว็บไซต์ของคุณ

ปิดการใช้งาน Trackbacks และ Pingbacks

Trackbacks และ Pingbacks เป็นวิธีการที่ WordPress ใช้เพื่อแจ้งเตือนเว็บไซต์อื่นเมื่อเว็บไซต์ของคุณเชื่อมโยงไปยังเนื้อหาของพวกเขา อย่างไรก็ตาม ผู้ส่งอีเมลขยะสามารถนำไปใช้ในทางที่ผิดเพื่อจุดประสงค์ที่เป็นอันตรายได้

หากต้องการปิดใช้งาน trackbacks และ pingbacks ให้ทำตามขั้นตอนเหล่านี้:

• เข้าสู่ระบบแดชบอร์ดผู้ดูแลระบบ WordPress ของคุณ
• ไปที่ส่วน "การตั้งค่า" และคลิก "การสนทนา"
• ในส่วน "การตั้งค่าโพสต์เริ่มต้น" ให้ยกเลิกการทำเครื่องหมายที่ช่องถัดจาก "อนุญาตการแจ้งเตือนลิงก์จากบล็อกอื่น (pingbacks และ trackbacks) ในโพสต์ใหม่"

• เลื่อนลงและคลิกปุ่ม บันทึกการเปลี่ยนแปลง

การปิดใช้งานแทร็กแบ็คและ Pingback จะป้องกันไม่ให้ไซต์ WordPress ของคุณส่งหรือรับการแจ้งเตือนเหล่านี้

ซึ่งจะช่วยลดภาระของเซิร์ฟเวอร์ที่ไม่จำเป็นและความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นที่เกี่ยวข้องกับสแปมหรือคำขอ trackback/pingback ที่เป็นอันตราย

ตั้งค่าการอนุญาตไฟล์ที่แม่นยำ

สิทธิ์ของไฟล์จะกำหนดระดับการเข้าถึงและควบคุมผู้ใช้หรือกระบวนการต่างๆ ที่มีเหนือไฟล์และไดเร็กทอรีของไซต์ของคุณ

เมื่อกำหนดค่าการอนุญาตไฟล์อย่างถูกต้อง คุณสามารถจำกัดการเข้าถึงโดยไม่ได้รับอนุญาตและป้องกันการละเมิดความปลอดภัยที่อาจเกิดขึ้นได้

หากต้องการตั้งค่าการอนุญาตไฟล์ที่ถูกต้องสำหรับไซต์ WordPress ของคุณ ให้ปฏิบัติตามหลักเกณฑ์ทั่วไปเหล่านี้:

• ใช้ไคลเอนต์ FTP หรือแผงควบคุมโฮสติ้งเพื่อเข้าถึงไฟล์ของเว็บไซต์ของคุณ
• ระบุไดเร็กทอรีหลักและไฟล์ที่ต้องมีการปรับเปลี่ยนสิทธิ์ เช่น ไดเร็กทอรี wp-content, ไฟล์ wp-config.php และไฟล์ .htaccess
• ตั้งค่าการอนุญาต 'ไดเร็กทอรี' เป็น 755 ซึ่งอนุญาตให้เจ้าของสามารถอ่าน เขียน และดำเนินการไฟล์ได้ในขณะที่จำกัดผู้อื่นให้อ่านและดำเนินการเท่านั้น

• ตั้งค่าการอนุญาต 'ไฟล์' เป็น 644 ซึ่งอนุญาตให้เจ้าของอ่านและเขียนไฟล์ในขณะที่จำกัดให้ผู้อื่นอ่านอย่างเดียว
• สำหรับไฟล์ที่ละเอียดอ่อนมากขึ้น เช่น ไฟล์ wp-config.php ให้ตั้งค่าการอนุญาตเป็น 600 ซึ่งจะให้สิทธิ์การเข้าถึงแบบอ่านและเขียนแก่เจ้าของเท่านั้น

นี่เป็นเพียงการตั้งค่าทั่วไป ดังนั้นโปรดติดต่อฝ่ายสนับสนุนของผู้ให้บริการโฮสติ้งของคุณเพื่อขอคำแนะนำที่เฉพาะเจาะจง เนื่องจากการอนุญาตไฟล์ที่แนะนำอาจแตกต่างกันไปในสภาพแวดล้อมการโฮสต์ที่แตกต่างกัน

ปิดใช้งานการรายงานข้อผิดพลาด

การปิดใช้งานการรายงานข้อผิดพลาดเป็นแนวทางปฏิบัติด้านความปลอดภัยที่สำคัญซึ่งช่วยปกป้องเว็บไซต์ WordPress ของคุณโดยป้องกันการเปิดเผยข้อมูลที่ละเอียดอ่อนต่อผู้โจมตี

บันทึกข้อผิดพลาดสามารถเปิดเผยรายละเอียดเกี่ยวกับการกำหนดค่าไซต์หรือโค้ดที่สำคัญของคุณโดยไม่ได้ตั้งใจ ซึ่งสามารถนำไปใช้โดยบุคคลที่ประสงค์ร้ายได้

หากต้องการปิดใช้งานการรายงานข้อผิดพลาด ให้ทำตามขั้นตอนเหล่านี้:

• เข้าถึงไดเรกทอรีรากของเว็บไซต์ของคุณผ่านไคลเอนต์ FTP หรือ cPanel
• ในไดเร็กทอรีรากหรือ public_html ให้ค้นหาไฟล์ wp-config.php
• ดาวน์โหลดสำเนาสำรองของไฟล์ wp-config.php เพื่อความปลอดภัย
• คลิกขวาที่ไฟล์ wp-config.php แล้วเลือก 'แก้ไข' เพื่อเปิด
• ค้นหาบรรทัดที่ระบุว่า define('WP_DEBUG', true);
• แทนที่ 'true' ด้วย 'false' ทำให้ define('WP_DEBUG,' false); ตามที่แสดงด้านล่าง

• ตรวจสอบให้แน่ใจว่าคุณบันทึกการเปลี่ยนแปลงหลังจากแก้ไขไฟล์ wp-config.php

การปิดใช้งานการรายงานบันทึกข้อผิดพลาดจะป้องกันไม่ให้แสดงข้อความแสดงข้อผิดพลาดหรือคำเตือนแก่ผู้ใช้ รวมถึงข้อมูลที่ละเอียดอ่อนที่อาจเป็นประโยชน์ต่อผู้โจมตี

อย่างไรก็ตาม การปิดใช้งานการรายงานข้อผิดพลาดไม่ได้หมายความว่าคุณควรเพิกเฉยต่อข้อผิดพลาดทั้งหมด คุณยังควรตรวจสอบเว็บไซต์ของคุณเพื่อหาปัญหาและแก้ไขปัญหาทันที

รักษาความปลอดภัยไฟล์ wp-config.php ของคุณ

ไฟล์ wp-config.php เป็นองค์ประกอบสำคัญของการติดตั้ง WordPress ของคุณ เนื่องจากมีข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองฐานข้อมูลและคีย์ความปลอดภัย

การทำตามขั้นตอนเพื่อรักษาความปลอดภัยไฟล์นี้ถือเป็นสิ่งสำคัญในการปกป้องเว็บไซต์ WordPress ของคุณจากการละเมิดความปลอดภัยที่อาจเกิดขึ้น

ต่อไปนี้เป็นมาตรการที่แนะนำเพื่อรักษาความปลอดภัยไฟล์ wp-config.php ของคุณ:

1. ลองย้ายไฟล์ wp-config.php ไปยังไดเร็กทอรีภายนอกโฟลเดอร์รูทของเว็บ วิธีนี้จะป้องกันการเข้าถึงไฟล์โดยตรงจากอินเทอร์เน็ต ทำให้ผู้โจมตีเจาะช่องโหว่ต่างๆ ได้ยากขึ้น
2. ตรวจสอบให้แน่ใจว่าสิทธิ์ของไฟล์สำหรับ wp-config.php ได้รับการกำหนดค่าอย่างถูกต้องโดยใช้สิทธิ์ที่แนะนำที่กล่าวถึงก่อนหน้านี้
3. เมื่อตั้งค่าไซต์ WordPress ของคุณ ให้ใช้ข้อมูลรับรองฐานข้อมูลที่แข็งแกร่ง ไม่ซ้ำใคร และซับซ้อน ซึ่งรวมถึงการใช้ชื่อผู้ใช้และรหัสผ่านฐานข้อมูลที่รัดกุม
4. เพิ่มการป้องกันให้กับไฟล์ wp-config.php มากขึ้นโดยเพิ่มกฎต่อไปนี้ลงในไฟล์ .htaccess ของเว็บไซต์ของคุณ

 <files wp-config.php> order allow,deny deny from all </files>

กฎเหล่านี้สามารถปฏิเสธการเข้าถึงไฟล์สำหรับที่อยู่ IP ทั้งหมด

ปิดใช้งานการดำเนินการไฟล์ PHP ในไดเรกทอรี WordPress บางรายการ

คุณยังสามารถเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณได้ด้วยการปิดการใช้งานไฟล์ PHP ในไดเร็กทอรีเฉพาะ ซึ่งจะช่วยป้องกันไม่ให้ไฟล์ PHP ภายในไดเร็กทอรีเหล่านั้นถูกเรียกใช้หรือรันบนเว็บไซต์ของคุณ

หากต้องการปิดใช้งานการดำเนินการไฟล์ PHP ให้แก้ไขไฟล์ .htaccess ในไดเร็กทอรีเป้าหมาย ซึ่งมักจะมีเนื้อหาที่ผู้ใช้สร้างขึ้น เช่น ไดเร็กทอรี wp-content/uploads

คุณสามารถทำได้โดยการเปิดไฟล์ .htaccess ในโปรแกรมแก้ไขข้อความ และเพิ่มบรรทัดต่อไปนี้:

 <Files *.php> deny from all </Files>

จากนั้น ให้บันทึกไฟล์นี้เป็น .htaccess และอัพโหลดไปยังโฟลเดอร์ /wp-content/uploads/ บนเว็บไซต์ของคุณโดยใช้ไคลเอนต์ FTP หรือตัวจัดการไฟล์

บรรทัดเหล่านี้แนะนำให้เซิร์ฟเวอร์ปฏิเสธการเข้าถึงไฟล์ใดๆ ที่มีนามสกุล .php ภายในไดเร็กทอรีที่ระบุ

หรือคุณสามารถทำสิ่งนี้ได้ด้วยการคลิก 1 ครั้งโดยใช้คุณสมบัติ Hardening ในปลั๊กอิน Sucuri ที่กล่าวถึงข้างต้น

2.4 มาตรการรักษาความปลอดภัยเพิ่มเติม

ให้เราหารือเกี่ยวกับมาตรการรักษาความปลอดภัยเพิ่มเติมที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress เพิ่มเติม

ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานใน WordPress โดยอัตโนมัติ

เมื่อผู้ใช้ยังคงเข้าสู่ระบบแต่ไม่ได้ใช้งานในช่วงระยะเวลาหนึ่ง อาจทำให้เกิดความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตหรือการปลอมแปลงบัญชี

ดังนั้นคุณจะต้องออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานเพื่อลดความเสี่ยงด้านความปลอดภัยนี้

ในการดำเนินการนี้ คุณจะต้องติดตั้งและเปิดใช้งานปลั๊กอินการออกจากระบบที่ไม่ใช้งาน เมื่อเปิดใช้งาน ให้ไปที่ การตั้งค่า → การออกจากระบบที่ไม่ได้ใช้งาน เพื่อกำหนดการตั้งค่าปลั๊กอิน

ด้วยการออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ คุณจะลดความเสี่ยงที่เซสชันของพวกเขาจะถูกไฮแจ็กหรือทำการเปลี่ยนแปลงบัญชีโดยไม่ได้รับอนุญาต

นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับเว็บไซต์ที่จัดการข้อมูลที่ละเอียดอ่อนหรือมีบัญชีผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ

ซ่อนเวอร์ชัน WordPress

การแสดงเวอร์ชัน WordPress ต่อสาธารณะช่วยให้ผู้โจมตีกำหนดเป้าหมายช่องโหว่ที่เกี่ยวข้องกับ WordPress เวอร์ชันนั้นได้ง่ายขึ้น

หากต้องการซ่อนเวอร์ชัน WordPress ให้แก้ไขไฟล์ ฟังก์ชั่น.php ของธีมของคุณ หรือใช้ปลั๊กอินความปลอดภัย

มีวิธีการที่แตกต่างกันสองสามวิธี แต่เราแนะนำให้อ่านคำแนะนำโดยละเอียดเกี่ยวกับวิธีซ่อนเวอร์ชัน WordPress

ซ่อนชื่อธีมไซต์ WordPress ของคุณ

เมื่อผู้โจมตีสามารถระบุธีม WordPress ที่คุณใช้บนเว็บไซต์ของคุณได้อย่างง่ายดาย พวกเขาจะใช้ประโยชน์จากช่องโหว่ที่ทราบที่เกี่ยวข้องกับธีมนั้นได้ง่ายขึ้น

การซ่อนชื่อธีมทำให้ผู้โจมตีรวบรวมข้อมูลเกี่ยวกับการตั้งค่าไซต์ของคุณเป็นเรื่องยากมากขึ้น และอาจหาประโยชน์จากจุดอ่อนต่างๆ ได้ นี่เป็นการเพิ่มความปลอดภัยอีกชั้นหนึ่งให้กับเว็บไซต์ WordPress ของคุณ

หากต้องการซ่อนชื่อธีมของเว็บไซต์ของคุณ ให้ทำตามคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีซ่อนชื่อธีม WordPress

ปิดใช้งานการแก้ไขไฟล์ในแดชบอร์ด WordPress

WordPress มีโปรแกรมแก้ไขโค้ดในตัวที่ช่วยให้คุณสามารถแก้ไขธีมและไฟล์ปลั๊กอินได้จากพื้นที่ผู้ดูแลระบบ WordPress ของคุณ

หากแฮกเกอร์เข้าถึงแดชบอร์ด WordPress ของคุณโดยไม่ได้รับอนุญาต พวกเขาอาจพยายามแก้ไขไฟล์บางไฟล์โดยการแทรกโค้ดที่เป็นอันตราย

ดังนั้นเราขอแนะนำให้ปิดการใช้งานคุณสมบัตินี้เนื่องจากอาจก่อให้เกิดภัยคุกคามด้านความปลอดภัยได้ ในการดำเนินการนี้ คุณจะต้องเพิ่มโค้ดต่อไปนี้ลงในไฟล์ wp-config.php ของเว็บไซต์ของคุณ

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

เมื่อนำการเปลี่ยนแปลงนี้ไปใช้ ผู้ใช้ที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบจะไม่สามารถเข้าถึงตัวแก้ไขธีมและปลั๊กอินในแผงผู้ดูแลระบบ WordPress ของคุณได้อีกต่อไป

แต่แม้จะปิดการใช้งานการแก้ไขไฟล์นี้แล้ว คุณยังคงสามารถเปลี่ยนแปลงธีมและไฟล์ปลั๊กอินของคุณได้โดยการเข้าถึงผ่าน FTP หรือตัวจัดการไฟล์

เปลี่ยนคำนำหน้าตารางฐานข้อมูลเริ่มต้นของคุณ

ตามค่าเริ่มต้น WordPress จะใช้คำนำหน้า “wp_” สำหรับตารางฐานข้อมูล ซึ่งช่วยให้ผู้โจมตีระบุและกำหนดเป้าหมายไซต์ของคุณได้ง่ายขึ้น

เพื่อเพิ่มความปลอดภัย ให้พิจารณาเปลี่ยนคำนำหน้าตาราง ซึ่งจะทำให้การหาประโยชน์ที่อาจเกิดขึ้นมีความท้าทายมากขึ้น

การปรับคำนำหน้าเกี่ยวข้องกับการแก้ไขไฟล์ wp-config.php และ phpMyAdmin กระบวนการที่ต้องดำเนินการด้วยตนเองนี้มีความเสี่ยงที่จะทำให้เว็บไซต์ของคุณเสียหายหากกำหนดค่าไม่ถูกต้อง

ดังนั้นเราขอแนะนำให้ใช้วิธีปลั๊กอิน

ดังนั้น ติดตั้งและเปิดใช้งานปลั๊กอิน Brozzme DB Prefix & Tools Addons หลังจากเปิดใช้งาน ให้ไปที่ Tools → DB PREFIX

เปลี่ยนคำนำหน้าตารางฐานข้อมูลภายในปลั๊กอินเป็นชุดตัวอักษร ตัวเลข และขีดล่างที่ไม่ซ้ำใครและคาดเดาได้ยาก หลีกเลี่ยงอักขระพิเศษหรือการเว้นวรรค

ก่อนทำการเปลี่ยนแปลง ให้สำรองฐานข้อมูลเว็บไซต์ของคุณ ตรวจสอบให้แน่ใจว่า wp-config.php สามารถเขียนได้บนเซิร์ฟเวอร์ของคุณ และตรวจสอบว่าได้เปิดใช้งานสิทธิ์ MySQL ALTER เพื่อหลีกเลี่ยงปัญหาที่อาจเกิดขึ้น

แนวทางที่ระมัดระวังนี้ช่วยให้มั่นใจได้ว่าการเปลี่ยนแปลงจะราบรื่นยิ่งขึ้นโดยมีความเสี่ยงน้อยที่สุดต่อการทำงานของไซต์ของคุณ

หลังจากทำการปรับเปลี่ยนที่จำเป็นแล้ว ให้บันทึกการเปลี่ยนแปลงของคุณโดยคลิกปุ่ม เปลี่ยนคำนำหน้าฐานข้อมูล

ปิดการใช้งาน XML-RPC ใน WordPress

XML-RPC เป็นคุณลักษณะ WordPress ที่อำนวยความสะดวกในการเชื่อมต่อระหว่างไซต์ของคุณกับเว็บหรือแอปพลิเคชันบนมือถือ เปิดใช้งานโดยอัตโนมัติตั้งแต่ WordPress 3.5

อย่างไรก็ตาม มันยังสามารถใช้เป็นเครื่องมือที่มีศักยภาพในการขยายการโจมตีแบบ brute-force หรือ DDoS บนเว็บไซต์ของคุณอีกด้วย

เมื่อเปิดใช้งาน XML-RPC แฮ็กเกอร์สามารถใช้ฟังก์ชันเดียวเพื่อพยายามเข้าสู่ระบบหลายครั้งด้วยรหัสผ่านหลายพันรหัส ซึ่งแตกต่างจากที่ไม่มีฟังก์ชันดังกล่าว ซึ่งจะต้องพยายามแยกกันสำหรับรหัสผ่านแต่ละรหัส สิ่งนี้ก่อให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญ

เพื่อหลีกเลี่ยงความเสี่ยงนี้ ขอแนะนำให้ปิดการใช้งาน XML-RPC หากคุณไม่ได้ใช้งานโดยการเพิ่มโค้ดลงในไฟล์ .htaccess ของเว็บไซต์ของคุณ

เข้าถึงไฟล์ของเว็บไซต์ของคุณโดยใช้ไคลเอนต์ FTP หรือแผงควบคุมโฮสติ้งของคุณ ค้นหาไฟล์ .htaccess ในไดเร็กทอรีราก และเพิ่มโค้ดต่อไปนี้:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

แต่ถ้าคุณไม่ต้องการใช้วิธีนี้ คุณสามารถใช้ปลั๊กอินความปลอดภัย WordPress เช่น Simple Disable XML-RPC ได้

ติดตั้งและเปิดใช้งานปลั๊กอิน ไปที่ Simple Disable XML-RPC หลังจากเปิดใช้งาน ทำเครื่องหมายที่ตัวเลือก Disable XML-RPC และบันทึกการเปลี่ยนแปลงของคุณ

หากคุณใช้ไฟร์วอลล์เว็บแอปพลิเคชันที่กล่าวถึงข้างต้น ไฟร์วอลล์ก็สามารถจัดการเรื่องนี้ได้

ปิดการใช้งานฮอตลิงค์

การปิดใช้งานฮอตลิงก์เป็นมาตรการรักษาความปลอดภัยที่ช่วยปกป้องแบนด์วิดท์ของเว็บไซต์ของคุณ และป้องกันไม่ให้ผู้อื่นลิงก์ไปยังรูปภาพและไฟล์สื่ออื่นๆ ของเว็บไซต์ของคุณโดยตรง

Hotlinking หมายถึงการใช้รูปภาพหรือ URL สื่อที่โฮสต์บนเว็บไซต์ของคุณบนเว็บไซต์อื่น ๆ โดยใช้ทรัพยากรของเซิร์ฟเวอร์ของคุณโดยไม่ได้รับอนุญาตจากคุณ

หากต้องการปิดใช้งานฮอตลิงก์อย่างง่ายดาย ให้ติดตั้งและเปิดใช้งานปลั๊กอิน WordPress All-In-One Security (AIOS)

เมื่อเปิดใช้งานแล้ว ให้ไปที่ WP Security → Filesystem Security และเลือกแท็บ File Protection เลื่อนลงและเปิดส่วน ป้องกันการเชื่อมโยงรูปภาพ ดัง ที่แสดงด้านล่าง

อย่าลืมบันทึกการตั้งค่าของคุณ

ปิดใช้งานการสร้างดัชนีและการเรียกดูไดเรกทอรี

การปิดใช้งานการจัดทำดัชนีและการเรียกดูไดเรกทอรีเป็นมาตรการรักษาความปลอดภัยที่สำคัญที่ป้องกันการเข้าถึงเนื้อหาของไดเรกทอรีเว็บไซต์ของคุณโดยไม่ได้รับอนุญาต

ตามค่าเริ่มต้น เว็บเซิร์ฟเวอร์บางแห่งอนุญาตให้มีการจัดทำดัชนีไดเร็กทอรี ซึ่งหมายความว่าหากไม่มีไฟล์ดัชนี (เช่น index.html หรือ index.php) อยู่ในไดเร็กทอรี เซิร์ฟเวอร์จะแสดงรายการไฟล์และโฟลเดอร์ในไดเร็กทอรีนั้น

สิ่งนี้สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนและทำให้ผู้โจมตีระบุช่องโหว่ได้ง่ายขึ้น

เพื่อป้องกันการเข้าถึงไฟล์ของคุณ การคัดลอกรูปภาพ และการเปิดเผยโครงสร้างไดเรกทอรีของคุณโดยไม่ได้รับอนุญาต ขอแนะนำอย่างยิ่งให้ปิดการใช้งานการสร้างดัชนีและการเรียกดูไดเรกทอรี

เข้าถึงไฟล์เว็บไซต์ของคุณผ่านไคลเอนต์ FTP หรือแผงควบคุมโฮสติ้ง ในไดเรกทอรีรากของการติดตั้ง WordPress ให้ค้นหาไฟล์ .htaccess

เปิดไฟล์. htaccess ในตัวแก้ไขข้อความและผนวกรหัสต่อไปนี้ในตอนท้าย:

 # Disable Directory Indexing and Browsing Options -Indexes

บันทึกการเปลี่ยนแปลงของไฟล์. htaccess และอัปโหลดกลับไปยังเซิร์ฟเวอร์ของคุณแทนที่ไฟล์ที่มีอยู่หากจำเป็น

ใช้ส่วนหัวความปลอดภัย

ส่วนหัวความปลอดภัยสั่งให้เบราว์เซอร์จัดการกับบางแง่มุมของเว็บไซต์ของคุณให้การป้องกันเพิ่มเติมจากช่องโหว่ด้านความปลอดภัยทั่วไป

นี่คือส่วนหัวความปลอดภัยทั่วไปและประโยชน์ของพวกเขา:

• ส่วนหัวการป้องกัน X-XSS บล็อกการฉีดสคริปต์ที่เป็นอันตรายเพื่อป้องกันการโจมตีสคริปต์ข้ามไซต์ (XSS)
• ส่วนหัวของ X-content-type-options ป้องกันช่องโหว่ด้านความปลอดภัยที่เกิดจากการดมกลิ่นประเภท MIME
• ส่วนหัวอย่างเข้มงวดการขนส่ง (HSTS) ช่วยให้มั่นใจได้ว่าการเชื่อมต่อที่ปลอดภัยโดยการบังคับใช้ HTTPS
• ส่วนหัวของนโยบายความปลอดภัยของเนื้อหา (CSP) ช่วยให้กำหนดนโยบายความปลอดภัยเพื่อป้องกันการโจมตีที่หลากหลาย

ดังนั้นในการใช้ส่วนหัวความปลอดภัยเหล่านี้บนเว็บไซต์ WordPress ของคุณคุณจะต้องติดตั้งและเปิดใช้งานปลั๊กอินส่วนหัวความปลอดภัย

หลังจากการติดตั้งนำทางไปยังส่วนส่วน หัวความปลอดภัย ที่นั่นคุณสามารถหาเวลาและกำหนดค่าปลั๊กอินตามความต้องการของคุณ

เมื่อใช้ส่วนหัวความปลอดภัยจำเป็นต้องทดสอบเว็บไซต์ของคุณอย่างละเอียดเพื่อให้แน่ใจว่าพวกเขาจะไม่ขัดแย้งกับฟังก์ชันการทำงานที่มีอยู่เนื่องจากพวกเขามักจะทำลายเว็บไซต์

นอกจากนี้คุณสามารถใช้เครื่องมือออนไลน์เช่น SecurityHeaders.com เพื่อตรวจสอบประสิทธิภาพและการดำเนินการที่ถูกต้องของส่วนหัวความปลอดภัยของคุณ

หากคุณใช้ปลั๊กอินความปลอดภัยเช่น“ All-in-One Security (AIOS)” หรือ“ WordFence” คุณสามารถกำหนดค่าส่วนหัวความปลอดภัยของเว็บไซต์ของคุณได้อย่างง่ายดายโดยใช้ตัวเลือกของพวกเขาโดยไม่จำเป็นต้องใช้ปลั๊กอินก่อนหน้านี้

3 บทสรุป

การรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณเป็นสิ่งสำคัญในการปกป้องจากภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้น

ดังนั้นการติดตั้งปลั๊กอินความปลอดภัยที่แข็งแกร่งเช่น“ All-in-One Security (AIOS)” จะมีประโยชน์เนื่องจากมีคุณสมบัติที่หลากหลายซึ่งครอบคลุมมาตรการรักษาความปลอดภัยส่วนใหญ่ที่กล่าวถึงในโพสต์นี้

อย่างไรก็ตามเพียงแค่ติดตั้งปลั๊กอินความปลอดภัยก็ไม่เพียงพอ คุณต้องใช้เวลาในการตรวจสอบตัวเลือกที่มีอยู่ทั้งหมดและปรับแต่งการตั้งค่าปลั๊กอินให้เหมาะกับความต้องการของคุณ

แต่ถ้าคุณมีข้อกำหนดด้านความปลอดภัยที่ไม่ซ้ำกันที่ไม่ครอบคลุมโดยปลั๊กอินให้พิจารณาการติดตั้งปลั๊กอินเพิ่มเติมหรือใช้รหัสที่กำหนดเองเพื่อตอบสนองความต้องการเหล่านั้น

เป็นวิธีปฏิบัติที่ดีในการสำรองเว็บไซต์ของคุณก่อนที่จะทำการเปลี่ยนแปลงรหัสหรือเปิดใช้งานปลั๊กอินใหม่เพื่อลดความเสี่ยง

นอกจากนี้การอัปเดตปลั๊กอิน WordPress ของคุณเป็นประจำการตรวจสอบประกาศหรือผลลัพธ์และการติดตามข่าวสารด้านความปลอดภัยล่าสุดและแนวทางปฏิบัติที่ดีที่สุดสามารถลดความเสี่ยงของการละเมิดความปลอดภัยได้อย่างมาก

โพสต์นี้ช่วยคุณในการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณหรือไม่? ถ้ามีโปรดแบ่งปันความคิดของคุณโดยทวีต @rankmathseo