วิธีป้องกันเว็บไซต์ WordPress ของคุณจากการแฮ็กในปี 2021
เผยแพร่แล้ว: 2020-12-17ข้อมูลแนะนำว่า 30,000 เว็บไซต์ใหม่ถูกแฮ็กทุกวัน และ 90% ของเว็บไซต์ที่ถูกแฮ็กทั้งหมดในปี 2019 นั้นทำงานบน WordPress
ในตอนนี้ เป็นการง่ายที่จะสรุปว่า WordPress เป็น CMS ที่ค่อนข้างไม่ปลอดภัย และแฮกเกอร์มุ่งเป้าไปที่ WordPress แต่นั่นไม่ใช่กรณี
WordPress มีอำนาจมากกว่าหนึ่งในสามของเว็บ
เว็บไซต์ WordPress จำนวนมากมายเมื่อเทียบกับตัวเลือก CMS อื่น ๆ ทำให้ข้อมูลดูเบ้กับ WordPress
แฮกเกอร์ไม่ได้กำหนดเป้าหมายเว็บไซต์ WordPress
พวกเขากำหนดเป้าหมายเว็บไซต์ที่มีความปลอดภัยต่ำ
ที่มา: wordfence.com
และการค้นหาช่องโหว่และช่องโหว่ใน WordPress ทำให้ง่ายต่อการแฮ็คหลายเว็บไซต์ เนื่องจากไซต์ WordPress ส่วนใหญ่จะมีช่องโหว่เหมือนกัน
แม้ว่าจะไม่มีทางสรุปได้ว่าแพลตฟอร์มเว็บไซต์อื่นปลอดภัยหรือไม่ แต่การทำตามขั้นตอนที่เหมาะสมเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ของคุณนั้นเป็นเรื่องที่ชาญฉลาดเสมอ
ก่อนที่เราจะเริ่มต้น เราต้องการทำให้ชัดเจนว่าการโต้แย้งเช่น "ใครจะสนใจเว็บไซต์ธุรกิจขนาดเล็กของฉัน" และ "เว็บไซต์ของฉันไม่มีข้อมูลที่น่าสนใจสำหรับแฮ็กเกอร์" อย่ายืน
แฮกเกอร์ไม่คิดว่าเว็บไซต์ของคุณเป็นเว็บไซต์ธุรกิจขนาดเล็กที่มีข้อมูลที่ละเอียดอ่อนเพียงเล็กน้อย
สิ่งที่แฮ็กเกอร์เห็นคือศักยภาพในการแพร่เชื้อเว็บไซต์ของคุณด้วยมัลแวร์และสร้างรายได้จากมัน
และเมื่อเกิดเหตุการณ์นี้ขึ้น นอกจากชื่อเสียง เงิน ข้อมูลส่วนบุคคลของลูกค้า และข้อมูลเกี่ยวกับธุรกิจของคุณแล้ว เวลาที่คุณเสียไปในการทำความสะอาดเว็บไซต์ของคุณหลังจากการโจมตียังเป็นความเสี่ยงอีกด้วย
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากการแฮ็กในปี 2021
เพื่อช่วยให้คุณรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัย เราได้วิเคราะห์สาเหตุที่ทำให้เว็บไซต์ของคุณถูกแฮ็ก และเราได้กล่าวถึงโซลูชันที่จะช่วยปกป้องเว็บไซต์ของคุณด้วย
1. เลือกเว็บโฮสติ้งที่ปลอดภัย
สาเหตุหลักประการหนึ่งที่อยู่เบื้องหลังการแฮ็ก WordPress คือเว็บโฮสติ้งที่ไม่ปลอดภัย บริษัทเว็บโฮสติ้งขนาดเล็กไม่มีระบบรักษาความปลอดภัยเพื่อปกป้องเว็บไซต์ของคุณ
วิธีแก้ปัญหาง่ายๆ คือการทำวิจัยอย่างครอบคลุมก่อนที่จะสรุปผู้ให้บริการเว็บโฮสติ้ง ผู้ให้บริการโฮสติ้งที่มีการจัดการและโฮสติ้ง Virtual Private Server (VPS) ไม่เพียงแต่เพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณเท่านั้น แต่ยังเพิ่มความเสถียรอีกด้วย
2. ใช้รหัสผ่านที่รัดกุม
รหัสผ่าน เช่น site1234 ชื่อของคุณ ชื่อธุรกิจ ฯลฯ จำได้ง่ายอย่างแน่นอน แต่ยังง่ายต่อการถอดรหัสสำหรับแฮกเกอร์
รหัสผ่านที่รัดกุมจะช่วยลดความเสี่ยงที่เว็บไซต์ของคุณจะถูกแฮ็ก
ตัวอย่างเช่น sItE1@3$ เป็นเพียง site1234 ในขณะที่ใช้ Shift-Tab สำหรับอักขระสำรองทุกตัว จำง่าย. แต่เดายาก
คุณต้องมีรหัสผ่านที่ไม่ซ้ำกันและคาดเดายากสำหรับบัญชีต่อไปนี้ที่เกี่ยวข้องกับเว็บไซต์ WordPress ของคุณ –
- บัญชีอีเมลที่ใช้สำหรับ WordPress และโฮสติ้ง
- บัญชีผู้ดูแลระบบ WordPress
- บัญชี FTP
- บัญชีโฮสติ้ง
- ฐานข้อมูล MySQL ที่ใช้สำหรับ WordPress
เพื่อป้องกันเว็บไซต์ WordPress ของคุณจากการแฮ็ ก คุณสามารถเพิ่มระดับความปลอดภัยเพิ่มเติมโดยเปิดใช้งานการตรวจสอบสิทธิ์แบบ 2 ปัจจัยเช่นกัน
3. เข้าถึงพื้นที่ผู้ดูแลระบบ WordPress อย่างปลอดภัย
แผงการดูแลระบบของเว็บไซต์ WordPress ส่วนใหญ่สามารถเข้าถึงได้โดยใช้ /wp-admin หรือ /wp-login slug ที่เป็นค่าเริ่มต้น เจ้าของเว็บไซต์ส่วนใหญ่ไม่เคยเปลี่ยน ทำให้แฮกเกอร์เข้าถึงหน้าเข้าสู่ระบบได้ง่ายขึ้น
นี่คือสิ่งที่คุณควรทำ:
- เปลี่ยนที่อยู่หน้าล็อกอินจาก /wp-admin หรือ /wp-log เป็นอย่างอื่น (อย่าลืมว่าอย่าลืมคั่นหน้า URL ใหม่)
- จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ (สูงสุดห้าครั้ง) โดยค่าเริ่มต้น มันถูกตั้งค่าเป็นความพยายามที่ไม่มีที่สิ้นสุด
- เปลี่ยนชื่อผู้ใช้ของคุณจาก 'admin' (ตั้งค่าโดยค่าเริ่มต้น) เป็นสิ่งที่ซับซ้อน
- เปิดใช้งานการแจ้งเตือนทางอีเมลสำหรับการเข้าสู่ระบบทั้งหมด
4. อัปเดตเป็นเวอร์ชันล่าสุดของ WordPress หรือปลั๊กอิน
เมื่อ WordPress เวอร์ชันปัจจุบันของคุณทำงานได้อย่างสมบูรณ์ คุณอาจพิจารณาว่าไม่จำเป็นต้องอัปเดต และเต็มไปด้วยความยุ่งยาก
เป็นเรื่องปกติที่จะสมมติว่าเว็บไซต์ของคุณอาจเผชิญกับการเปลี่ยนแปลงโครงสร้างหรือการออกแบบที่ไม่ต้องการหากคุณอัปเดต WordPress หรือแม้แต่ปลั๊กอิน การอัปเดตมีขึ้นเพื่อสนับสนุนการรักษาความปลอดภัยของเว็บไซต์และแก้ไขข้อบกพร่อง
เมื่อเวอร์ชัน WordPress ของคุณไม่ใช่เวอร์ชันล่าสุด เว็บไซต์ของคุณอาจเสี่ยงต่อการละเมิดความปลอดภัย สำรองข้อมูลเว็บไซต์ของคุณก่อนอัปเดต ในกรณีที่คุณยังกลัวอยู่
หลังจากอัปเดต ให้ลบเวอร์ชันเก่าออกจากเซิร์ฟเวอร์ของคุณ WordPress และปลั๊กอินเวอร์ชันที่ไม่ได้ใช้สามารถใช้ประโยชน์ได้
คุณสามารถใช้ปลั๊กอินเช่น Advanced Database Cleaner เพื่อล้างขยะออกจากฐานข้อมูลของคุณ
- อย่าดาวน์โหลดธีมและปลั๊กอินจากแหล่งที่ร่มรื่น
เป็นการยากที่จะปฏิเสธเมื่อคุณได้รับธีมพรีเมียมหรือปลั๊กอินฟรีใช่ไหม ปลั๊กอินและธีมที่เป็นโมฆะเหล่านี้อาจช่วยคุณประหยัดเงินได้สองสามเหรียญ
แต่คุณต้องเสียความปลอดภัยของเว็บไซต์ของคุณ
ค้นหาข้อเสนอและส่วนลดออนไลน์ หรือใช้ทางเลือกอื่นฟรี หากคุณไม่ต้องการชำระเงินสำหรับปลั๊กอินหรือธีม
การเลือกเวอร์ชันที่ดาวน์โหลดจากเว็บไซต์ที่ไม่ได้รับอนุญาตไม่ควรเป็นตัวเลือก
ดาวน์โหลดปลั๊กอินและธีมจากที่เก็บของ WordPress หรือเว็บไซต์อย่างเป็นทางการของธีม/ปลั๊กอินเท่านั้น
5. ปกป้องไฟล์สำคัญ
ไฟล์ .htaccess ที่อยู่ในไดเร็กทอรีรากของฐานข้อมูลของคุณมีคำแนะนำหลักบางประการ
การควบคุมวิธีแสดงลิงก์ถาวรของเว็บไซต์ของคุณเป็นงานหลักที่ทำ
แต่ยังสามารถใช้เพื่อรักษาความปลอดภัยเว็บไซต์ของคุณได้ด้วยการจำกัดการเข้าถึงเว็บไซต์
เพื่อป้องกันการแฮ็ ก WordPress คุณสามารถอัปเดตไฟล์ .htaccess พร้อมคำแนะนำเฉพาะ คำแนะนำเหล่านี้จะให้สิทธิ์ผู้ดูแลระบบในการเข้าสู่ระบบไปยังที่อยู่ IP ที่ระบุเท่านั้น
เพื่อรักษาความปลอดภัยไฟล์ .htaccess ของคุณ –
- ล็อกอินเข้าสู่ฐานข้อมูล FTP
- ค้นหาไฟล์ .htaccess ในไดเร็กทอรีราก
- ดาวน์โหลดไฟล์
- ใช้โปรแกรมแก้ไขข้อความเพื่อเปิดไฟล์
- เพิ่มรหัสต่อไปนี้ในไฟล์
ที่มา: https://www.reliablesoft.net
เพิ่มที่อยู่ IP หรือที่อยู่ในพื้นที่สีส้ม
- บันทึกไฟล์และอัปโหลดและแทนที่ในไดเร็กทอรีราก
โฟลเดอร์สำคัญอีกโฟลเดอร์หนึ่งที่คุณควรรักษาความปลอดภัยคือ wp-admin
ไฟล์ในโฟลเดอร์นี้ขับเคลื่อนแดชบอร์ด WordPress และตรวจสอบข้อมูลรับรองการเข้าสู่ระบบเมื่อคุณเข้าสู่ระบบ
ในการรักษาความปลอดภัย wp-admin ให้เพิ่มรหัสที่ให้ไว้ด้านล่างโดยทำตามขั้นตอนเดิมเหมือนเมื่อก่อน
ที่มา: https://www.reliablesoft.net
เพิ่ม CAPTCHA เพื่อแสดงความคิดเห็นและการตั้งค่าแบบฟอร์ม
ที่มา: templatemonster.com
เจ้าของเว็บไซต์หลายคนไม่รู้ด้วยซ้ำว่าการตั้งค่าความคิดเห็นและแบบฟอร์มต้องทำอะไรบางอย่างกับความปลอดภัยของเว็บไซต์ และนั่นคือสิ่งที่ทำให้พวกเขาไวต่อการโจมตีจากแฮกเกอร์มากขึ้น
คุณควรอนุมัติความคิดเห็นทั้งหมดด้วยตนเองและเพิ่ม CAPTCHA ให้กับทั้งแบบฟอร์มและความคิดเห็น
ทำไม
ดี CAPTCHA ป้องกันการแฮ็กการโจมตีโดยใช้กำลังเดรัจฉาน
การโจมตีด้วยกำลังเดรัจฉานเป็นวิธีการลองผิดลองถูกอัตโนมัติเพื่อคาดเดารหัสผ่านหรือ PIN และการเพิ่ม CAPTCHA ก่อนเข้าสู่ระบบทำให้แน่ใจได้ว่าบอทจะไม่สามารถลดระดับ QoS (คุณภาพของบริการ) หรือเข้าสู่เว็บไซต์ของคุณได้
CAPTCHA รับรู้ถึงกำลังเดรัจฉานและบอท และบล็อกการเข้าถึงสำหรับแฮกเกอร์
เคล็ดลับเพิ่มเติมเพื่อปกป้องเว็บไซต์ WordPress ของคุณจากการแฮ็ก
ตอนนี้คุณรู้พื้นฐานของความปลอดภัยของ WordPress แล้ว
แต่เพื่อให้เว็บไซต์ของคุณปลอดภัยจากการถูกแฮ็ก คุณควรตรวจสอบให้แน่ใจว่าคุณปฏิบัติตามคำแนะนำเพิ่มเติมบางประการ –
- ติดตั้ง Sucuri Sucuri ให้บริการรักษาความปลอดภัยเว็บไซต์ ทั้ง Google และ WordPress แนะนำ
- ใช้ปลั๊กอินความปลอดภัยของ WordPress เช่น MalCare
- ติดตั้งใบรับรอง SSL และใช้ https:// นอกจากนี้ เว็บไซต์ที่ปลอดภัยด้วย https:// URL อยู่ในอันดับที่สูงกว่าใน SERP สิ่งนี้จะช่วยเพิ่มความพยายามในการทำ SEO ของคุณในขณะที่เพิ่มความปลอดภัย
- ใช้ไฟร์วอลล์และโปรแกรมป้องกันไวรัสสำหรับคอมพิวเตอร์ของคุณ เมื่อคุณลงชื่อเข้าใช้เว็บไซต์ของคุณจากแล็ปท็อปหรือพีซี คุณอาจเสี่ยงที่จะเปิดเผยรายละเอียดการเข้าสู่ระบบของคุณโดยไม่ได้ตั้งใจ มัลแวร์ติดตามการกดแป้นพิมพ์สามารถแทรกซึมอุปกรณ์ของคุณได้ โปรแกรมป้องกันไวรัสและไฟร์วอลล์จะป้องกันไม่ให้เกิดขึ้น
อะไรต่อไป?
คุณรู้วิธีป้องกันเว็บไซต์ WordPress ของคุณจากการแฮ็ก และไว้วางใจเรา ไม่ยากที่จะใช้เคล็ดลับทั้งหมดที่เรากล่าวถึง
อย่างน้อยก็ไม่ยากเท่ากับการพยายามกู้คืนหรือล้างเว็บไซต์ที่ถูกแฮ็ก
การมองข้ามความปลอดภัยเป็นเรื่องง่ายเมื่อคุณมีสิ่งอื่นที่ต้องให้ความสำคัญ ตั้งแต่ SEO ไปจนถึงการเพิ่มเนื้อหาไปจนถึงการจัดการคอนเวอร์ชั่นและการขาย มีหลายสิ่งหลายอย่างที่ทำให้เว็บไซต์ใช้งานได้จริงและมีประโยชน์
แต่ก่อนหน้านั้น รักษาความปลอดภัยเว็บไซต์ของคุณ
จำไว้ว่าการป้องกันดีกว่าการรักษาเสมอ
คุณอาจชอบ:
- ปลั๊กอินความปลอดภัย WordPress ฟรี
- 7 วิธีที่ชาญฉลาดในการดูแลเว็บไซต์ WordPress