Tips

10 เทคนิค Lockdown ความปลอดภัยให้ WordPress ก่อนจะสายเกินแก้

ความปลอดภัยของ WordPress เป็นสิ่งที่สำคัญมากหากไม่มีระบบ Security ที่ดีและเหมาะสม คุณจะไม่สามารถมั่นใจได้เลยว่าเว็บนั้นจะโดนแฮกไปเมื่อไร สำหรับสถิติการใช้งานอินเทอร์เน็ตรายวันระบุว่าโดยเฉลี่ยมีเว็บไซต์ประมาณ 70,000 เว็บไซต์ถูกแฮ็กทุกวัน วันนี้เราจึงจะมาพูดถึงขั้นตอนสำคัญในการล็อคดาวน์ WordPress ไม่ให้ใครมาแฮคได้

WordPress ปลอดภัยหรือไม่

คำตอบคือไม่ครับ ตัวอย่างเช่น รายงานการโจมตีเว็บไซต์ที่ถูกแฮ็กของ Sucuri ปี 2017 ระบุว่า 39.3% ของเว็บไซต์ WordPress ที่ถูกโจมตีมีการใช้เวอร์ชันของซอฟต์แวร์ WordPress ที่ล้าสมัยเวลาที่ถูกโจมตี ดังนั้นจึงไม่ปลอดภัยแน่นอน

A graph of different sizes and numbers Description automatically generated with medium confidence

และฐานข้อมูลช่องโหว่ WPScan พบว่ามีช่องโหว่มากกว่า 70% เกิดขึ้นเนื่องจากซอฟต์แวร์ที่ล้าสมัย รุ่นของ WordPress ที่มีช่องโหว่มากที่สุดคือทุกเวอร์ชั่นก่อนหน้า WordPress เวอร์ชั่น 3.X

A colorful chart with text Description automatically generated with medium confidence

โพสนี้ยาว มีหัวข้ออะไรบ้าง แสดงหัวข้อทั้งหมด

10 วิธีการล็อกดาวน์ WordPress ในกรณีฉุกเฉิน

บางครั้งการล็อกดาวน์ WordPress ก็เป็นไอเดียที่ดี โดยเฉพาะเมื่อคุณรู้ว่าคุณอาจมีความเสี่ยงสูงที่จะถูกแฮ็กได้ ผู้เชี่ยวชาญด้าน WordPress ของเราแนะนำว่าคุณควรล็อกดาวน์ WordPress ไว้สักพักด้วยวิธีที่เราจะแนะนำดังต่อไปนี้

ใช้คำสั่ง DISALLOW FILE EDIT บน wp-config.php

ง่ายๆ หากคุณต้องการป้องกันเว็บไซต์ WordPress ของคุณจากการแทรกข้อมูลทางหน้าบ้าน คุณต้องเพิ่มพารามิเตอร์ ‘DISALLOW_FILE_EDIT’, true ในไฟล์ wp-config.php สิ่งนี่มีประโยชน์มากๆ เมื่อมีโอกาศที่เว็บไซต์จะถูกแฮ็กหรืออยู่ในอันตราย

แค่ทำตามขั้นตอนดังนี้ เปิดไฟล์ wp-config.php ของคุณและเพิ่มบรรทัดต่อไปนี้หลังจาก <?php tag

ใช้เวอร์ชัน PHP ล่าสุด

ปัจจัยที่สำคัญที่สุดในการรักษาความปลอดภัยของเว็บไซต์ WordPress คือ PHP ตัว PHP เป็นส่วนหลักของเว็บไซต์ WordPress มันสำคัญและจำเป็นอย่างแท้จริง คุณต้องใช้เวอร์ชันล่าสุดของ PHP บนเซิร์ฟเวอร์และ PHP 8.2 เป็นเวอร์ชันล่าสุดขณะที่เราเขียนบทความนี้ และเราขอแนะนำให้คุณใช้เวอร์ชันล่าสุดของ PHP เสมอ

A screenshot of a computer Description automatically generated

3. ตรวจสอบผู้ใช้ที่มีอยู่ในแดชบอร์ดของ WordPress ของคุณ

หากคุณสงสัยว่ามีผู้ไม่ประสงค์ดีได้เข้าสู่ระบบ WordPress ของคุณแล้ว ให้ไปที่ ผู้ใช้ >> ผู้ใช้ทั้งหมด

A screenshot of a computer Description automatically generated

จากรายการ ลองหาว่ามีผู้ใช้ที่ไม่รู้จักที่ลงทะเบียนอยู่ในระบบของคุณหรือไม่ หากคุณค้นพบว่ามีผู้ใช้ที่ไม่รู้จัก ให้ลบผู้ใช้เหล่านั้นทันที

A screenshot of a computer Description automatically generated

4.ใช้รหัสผ่านที่แข็งแรงและเดายาก

หนึ่งในเคล็ดลับด้านความปลอดภัยของ WordPress ที่คุณจะพบในทุกๆ บล็อกคือการใช้รหัสผ่านที่แข็งแรงและชาญฉลาด ไม่เป็นไรถ้าคุณใช้รหัสผ่านที่จำได้ในบัญชีโซเชียลและอีเมล แต่เมื่อคุณกำลังจัดการเว็บไซต์ของคุณด้วยสิทธิ์ของผู้ดูแลระบบ ให้แน่ใจว่าคุณใช้รหัสผ่านที่แข็งแรงพอ

A close-up of a password Description automatically generated

5. อัปเดต WordPress Core, Plugins และ Themes

plugins WordPress บางตัวนั้นดีที่สุด ช่วยให้ผู้ใช้ปรับปรุงเว็บไซต์เพื่อการ SEO ได้ หรือปรับปรุง PageSpeed บน WordPress แต่ว่าการสำรวจจากองค์กรอิสระจาก Wordfence พบว่ามากกว่า 60% ของเว็บมาสเตอร์กล่าวว่าผู้โจมตีได้เข้าถึงเว็บไซต์ของพวกเขาผ่าน plugin หรือ themes โดยไม่ได้รับอนุญาต

A blue graph with white bars Description automatically generated

6. การแทนที่ไฟล์หลักของ WordPress

หากคุณค้นพบว่าเว็บไซต์ของคุณถูกบุกรุก แต่ไม่ทราบวิธีป้องกันเว็บไซต์ WordPress จากแฮกเกอร์ ลองทำตามขั้นตอนง่าย ๆ นี้ ลองเปลี่ยนไฟล์ WordPress core ของคุณดู โดยการทำแบบนี้อาจช่วยให้เว็บไซต์ของคุณกลับมาสู่สภาพปกติได้

A screenshot of a computer Description automatically generated

  • ให้ดาวน์โหลดเวอร์ชันล่าสุดของ WordPress จาก WordPress.org
  • แตกไฟล์ที่ดาวน์โหลดมา และเปิดโฟลเดอร์ WordPress
  • ลบไฟล์ wp-content และ wp-config-sample.php จากโฟลเดอร์ที่แตกไฟล์ออกมา
  • บีบอัดทุกอย่างใหม่อีกครั้ง (โดยไม่รวมโฟลเดอร์ wp-content และไฟล์ wp-config-sample.php)
  • เข้าสู่ cPanel และลบไฟล์ทั้งหมดยกเว้นโฟลเดอร์ wp-content และไฟล์ wp-config.php
  • อัปโหลดไฟล์ WordPress ที่บีบอัดใหม่และแตกไฟล์ไปยังโฟลเดอร์หลักของคุณ

7. ทำการสแกนความปลอดภัยของ WordPress

การสแกนความปลอดภัยของ WordPress เป็นวิธีที่ช่วยค้นหาว่าไซต์ของคุณถูกบุกรุกอย่างไร อย่างไรก็ตามส่วนใหญ่การสแกนความปลอดภัยของ WordPress จะมีการเสียค่าบริการเล็กน้อย แต่เรามีของฟรีให้ครับ นี่คือรายการเว็บไซต์ที่คุณสามารถเลื่อนตารางสแกนความปลอดภัยของ WordPress ได้เลยในทันที

  • Hackertarget WordPress Security Scan
  • WP Recon WordPress Security Scan
  • WPScan WordPress Security Scan
  • ScanWP’s WordPress Security Scan
  • WPScans WordPress Security Scan
  • Sucuri’s Site Check (WP Hive recommended)
  • WP Loop
  • WP Neuron
  • Acunetix
  • Quttera
  • Astra’s Hack Removal Guide

แต่เราขอแนะนำให้ใช้บริการรักษาความปลอดภัย เร่งความเร็วของเว็บไซต์ได้ด้วย เช่น Cloudflare หรือ Incapsula

A screenshot of a computer Description automatically generated

8. เปิดใช้งานความปลอดภัย Limit Login Attempts

Limit Login Attempts เป็นปลั๊กอินที่ดีที่ป้องกัน IP address ที่พยายามเข้าสู่ระบบอย่างต่อเนื่องหลังจากครบจำนวนครั้งที่กำหนดไว้แล้ว นี่เป็นเครื่องมือที่ดีในการป้องกันการโจมตีแบบ brute-force

“brute-force attacks” หมายถึง การโจมตีด้วยความแรงที่ใช้กำลังคำนวณเพื่อลอบเข้าถึงข้อมูลหรือรหัสผ่าน โดยการทดลองทุกรูปแบบที่เป็นไปได้จนกว่าจะพบข้อมูลหรือรหัสผ่านที่ถูกต้อง วิธีการนี้มักถูกใช้ในการโจมตีระบบความปลอดภัยของคอมพิวเตอร์และเครือข่ายข้อมูล

A person sitting at a computer screen Description automatically generated

9 ตรวจสอบสิทธิ์ผู้ใช้ WordPress ของคุณเป็นประจำ

ตรวจสอบให้แน่ใจว่าคุณมีการตั้งค่าสิทธิ์ผู้ใช้ WordPress ที่ถูกต้องสำหรับแต่ละผู้ใช้หรือไม่ อย่าให้สิทธิ์ admin แก่ทุกคน ให้เฉพาะผู้ที่คุณเชื่อถือเท่านั้น สำรวจสิทธิ์ผู้ใช้ WordPress อื่น ๆ ด้วยนะครับ เช่น Editor, Contributor

10. ใช้ HTTPS

HTTPS ทำให้เว็บไซต์ของคุณปลอดภัยมากขึ้นและทำให้มันยากขึ้นสำหรับแฮกเกอร์ด้วย HTTPS เป็นสิ่งที่สำคัญอย่างแน่นอนสำหรับการเชื่อมต่อที่ปลอดภัยระหว่างเว็บไซต์และเบราว์เซอร์

A screenshot of a computer Description automatically generated

เราหวังว่าเคล็ดลับด้านความปลอดภัยของ WordPress ที่เราแนะนำนี้ จะทำให้ท่านเพิ่มระดับในการป้องกันเว็บไซต์ของท่านให้ดีขึ้นอีกระดับได้ หากมีอะไรขาดตกบกพร่อมงท่านสามารถแจ้งเราได้ผ่านคอมเมนต์ได้เลยครับ

ขอบคุณข้อมูลและรูปภาพจาก wphive

Related Posts

Back To Top
Search