ความปลอดภัยของ WordPress เป็นสิ่งที่สำคัญมากหากไม่มีระบบ Security ที่ดีและเหมาะสม คุณจะไม่สามารถมั่นใจได้เลยว่าเว็บนั้นจะโดนแฮกไปเมื่อไร สำหรับสถิติการใช้งานอินเทอร์เน็ตรายวันระบุว่าโดยเฉลี่ยมีเว็บไซต์ประมาณ 70,000 เว็บไซต์ถูกแฮ็กทุกวัน วันนี้เราจึงจะมาพูดถึงขั้นตอนสำคัญในการล็อคดาวน์ WordPress ไม่ให้ใครมาแฮคได้
WordPress ปลอดภัยหรือไม่
คำตอบคือไม่ครับ ตัวอย่างเช่น รายงานการโจมตีเว็บไซต์ที่ถูกแฮ็กของ Sucuri ปี 2017 ระบุว่า 39.3% ของเว็บไซต์ WordPress ที่ถูกโจมตีมีการใช้เวอร์ชันของซอฟต์แวร์ WordPress ที่ล้าสมัยเวลาที่ถูกโจมตี ดังนั้นจึงไม่ปลอดภัยแน่นอน
และฐานข้อมูลช่องโหว่ WPScan พบว่ามีช่องโหว่มากกว่า 70% เกิดขึ้นเนื่องจากซอฟต์แวร์ที่ล้าสมัย รุ่นของ WordPress ที่มีช่องโหว่มากที่สุดคือทุกเวอร์ชั่นก่อนหน้า WordPress เวอร์ชั่น 3.X
10 วิธีการล็อกดาวน์ WordPress ในกรณีฉุกเฉิน
บางครั้งการล็อกดาวน์ WordPress ก็เป็นไอเดียที่ดี โดยเฉพาะเมื่อคุณรู้ว่าคุณอาจมีความเสี่ยงสูงที่จะถูกแฮ็กได้ ผู้เชี่ยวชาญด้าน WordPress ของเราแนะนำว่าคุณควรล็อกดาวน์ WordPress ไว้สักพักด้วยวิธีที่เราจะแนะนำดังต่อไปนี้
ใช้คำสั่ง DISALLOW FILE EDIT บน wp-config.php
ง่ายๆ หากคุณต้องการป้องกันเว็บไซต์ WordPress ของคุณจากการแทรกข้อมูลทางหน้าบ้าน คุณต้องเพิ่มพารามิเตอร์ ‘DISALLOW_FILE_EDIT’, true ในไฟล์ wp-config.php สิ่งนี่มีประโยชน์มากๆ เมื่อมีโอกาศที่เว็บไซต์จะถูกแฮ็กหรืออยู่ในอันตราย
แค่ทำตามขั้นตอนดังนี้ เปิดไฟล์ wp-config.php ของคุณและเพิ่มบรรทัดต่อไปนี้หลังจาก <?php tag
ใช้เวอร์ชัน PHP ล่าสุด
ปัจจัยที่สำคัญที่สุดในการรักษาความปลอดภัยของเว็บไซต์ WordPress คือ PHP ตัว PHP เป็นส่วนหลักของเว็บไซต์ WordPress มันสำคัญและจำเป็นอย่างแท้จริง คุณต้องใช้เวอร์ชันล่าสุดของ PHP บนเซิร์ฟเวอร์และ PHP 8.2 เป็นเวอร์ชันล่าสุดขณะที่เราเขียนบทความนี้ และเราขอแนะนำให้คุณใช้เวอร์ชันล่าสุดของ PHP เสมอ
3. ตรวจสอบผู้ใช้ที่มีอยู่ในแดชบอร์ดของ WordPress ของคุณ
หากคุณสงสัยว่ามีผู้ไม่ประสงค์ดีได้เข้าสู่ระบบ WordPress ของคุณแล้ว ให้ไปที่ ผู้ใช้ >> ผู้ใช้ทั้งหมด
จากรายการ ลองหาว่ามีผู้ใช้ที่ไม่รู้จักที่ลงทะเบียนอยู่ในระบบของคุณหรือไม่ หากคุณค้นพบว่ามีผู้ใช้ที่ไม่รู้จัก ให้ลบผู้ใช้เหล่านั้นทันที
4.ใช้รหัสผ่านที่แข็งแรงและเดายาก
หนึ่งในเคล็ดลับด้านความปลอดภัยของ WordPress ที่คุณจะพบในทุกๆ บล็อกคือการใช้รหัสผ่านที่แข็งแรงและชาญฉลาด ไม่เป็นไรถ้าคุณใช้รหัสผ่านที่จำได้ในบัญชีโซเชียลและอีเมล แต่เมื่อคุณกำลังจัดการเว็บไซต์ของคุณด้วยสิทธิ์ของผู้ดูแลระบบ ให้แน่ใจว่าคุณใช้รหัสผ่านที่แข็งแรงพอ
5. อัปเดต WordPress Core, Plugins และ Themes
plugins WordPress บางตัวนั้นดีที่สุด ช่วยให้ผู้ใช้ปรับปรุงเว็บไซต์เพื่อการ SEO ได้ หรือปรับปรุง PageSpeed บน WordPress แต่ว่าการสำรวจจากองค์กรอิสระจาก Wordfence พบว่ามากกว่า 60% ของเว็บมาสเตอร์กล่าวว่าผู้โจมตีได้เข้าถึงเว็บไซต์ของพวกเขาผ่าน plugin หรือ themes โดยไม่ได้รับอนุญาต
6. การแทนที่ไฟล์หลักของ WordPress
หากคุณค้นพบว่าเว็บไซต์ของคุณถูกบุกรุก แต่ไม่ทราบวิธีป้องกันเว็บไซต์ WordPress จากแฮกเกอร์ ลองทำตามขั้นตอนง่าย ๆ นี้ ลองเปลี่ยนไฟล์ WordPress core ของคุณดู โดยการทำแบบนี้อาจช่วยให้เว็บไซต์ของคุณกลับมาสู่สภาพปกติได้
- ให้ดาวน์โหลดเวอร์ชันล่าสุดของ WordPress จาก WordPress.org
- แตกไฟล์ที่ดาวน์โหลดมา และเปิดโฟลเดอร์ WordPress
- ลบไฟล์ wp-content และ wp-config-sample.php จากโฟลเดอร์ที่แตกไฟล์ออกมา
- บีบอัดทุกอย่างใหม่อีกครั้ง (โดยไม่รวมโฟลเดอร์ wp-content และไฟล์ wp-config-sample.php)
- เข้าสู่ cPanel และลบไฟล์ทั้งหมดยกเว้นโฟลเดอร์ wp-content และไฟล์ wp-config.php
- อัปโหลดไฟล์ WordPress ที่บีบอัดใหม่และแตกไฟล์ไปยังโฟลเดอร์หลักของคุณ
7. ทำการสแกนความปลอดภัยของ WordPress
การสแกนความปลอดภัยของ WordPress เป็นวิธีที่ช่วยค้นหาว่าไซต์ของคุณถูกบุกรุกอย่างไร อย่างไรก็ตามส่วนใหญ่การสแกนความปลอดภัยของ WordPress จะมีการเสียค่าบริการเล็กน้อย แต่เรามีของฟรีให้ครับ นี่คือรายการเว็บไซต์ที่คุณสามารถเลื่อนตารางสแกนความปลอดภัยของ WordPress ได้เลยในทันที
- Hackertarget WordPress Security Scan
- WP Recon WordPress Security Scan
- WPScan WordPress Security Scan
- ScanWP’s WordPress Security Scan
- WPScans WordPress Security Scan
- Sucuri’s Site Check (WP Hive recommended)
- WP Loop
- WP Neuron
- Acunetix
- Quttera
- Astra’s Hack Removal Guide
แต่เราขอแนะนำให้ใช้บริการรักษาความปลอดภัย เร่งความเร็วของเว็บไซต์ได้ด้วย เช่น Cloudflare หรือ Incapsula
8. เปิดใช้งานความปลอดภัย Limit Login Attempts
Limit Login Attempts เป็นปลั๊กอินที่ดีที่ป้องกัน IP address ที่พยายามเข้าสู่ระบบอย่างต่อเนื่องหลังจากครบจำนวนครั้งที่กำหนดไว้แล้ว นี่เป็นเครื่องมือที่ดีในการป้องกันการโจมตีแบบ brute-force
“brute-force attacks” หมายถึง การโจมตีด้วยความแรงที่ใช้กำลังคำนวณเพื่อลอบเข้าถึงข้อมูลหรือรหัสผ่าน โดยการทดลองทุกรูปแบบที่เป็นไปได้จนกว่าจะพบข้อมูลหรือรหัสผ่านที่ถูกต้อง วิธีการนี้มักถูกใช้ในการโจมตีระบบความปลอดภัยของคอมพิวเตอร์และเครือข่ายข้อมูล
9 ตรวจสอบสิทธิ์ผู้ใช้ WordPress ของคุณเป็นประจำ
ตรวจสอบให้แน่ใจว่าคุณมีการตั้งค่าสิทธิ์ผู้ใช้ WordPress ที่ถูกต้องสำหรับแต่ละผู้ใช้หรือไม่ อย่าให้สิทธิ์ admin แก่ทุกคน ให้เฉพาะผู้ที่คุณเชื่อถือเท่านั้น สำรวจสิทธิ์ผู้ใช้ WordPress อื่น ๆ ด้วยนะครับ เช่น Editor, Contributor
10. ใช้ HTTPS
HTTPS ทำให้เว็บไซต์ของคุณปลอดภัยมากขึ้นและทำให้มันยากขึ้นสำหรับแฮกเกอร์ด้วย HTTPS เป็นสิ่งที่สำคัญอย่างแน่นอนสำหรับการเชื่อมต่อที่ปลอดภัยระหว่างเว็บไซต์และเบราว์เซอร์
เราหวังว่าเคล็ดลับด้านความปลอดภัยของ WordPress ที่เราแนะนำนี้ จะทำให้ท่านเพิ่มระดับในการป้องกันเว็บไซต์ของท่านให้ดีขึ้นอีกระดับได้ หากมีอะไรขาดตกบกพร่อมงท่านสามารถแจ้งเราได้ผ่านคอมเมนต์ได้เลยครับ
ขอบคุณข้อมูลและรูปภาพจาก wphive