15 วิธีในการทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้น
เผยแพร่แล้ว: 2020-10-08WordPress เป็น CMS ยอดนิยม (ระบบจัดการเนื้อหา) มันเป็นหนึ่งในระบบจัดการเนื้อหาที่ใช้งานง่ายที่สุดด้วยธีมที่หลากหลายและปลั๊กอินที่มีประโยชน์มากมาย คุณสามารถสร้างเว็บไซต์เฉพาะใด ๆ โดยใช้ WordPress นี่คือเหตุผลที่ WordPress เปิดใช้งานเว็บไซต์ประมาณ 36 เปอร์เซ็นต์บนอินเทอร์เน็ต อย่างไรก็ตาม ความนิยมอาจมีต้นทุน เนื่องจาก WordPress มีตำแหน่งที่ได้เปรียบในตลาด จึงมักถูกโจมตีโดยแฮกเกอร์ WordPress ยังคงเป็นตัวเลือกยอดนิยมสำหรับการทำให้เว็บไซต์พร้อมในเวลาไม่นาน และมีคุณสมบัติมากมายเช่นกัน ดังนั้นจึงควรที่จะทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้นเพื่อเพลิดเพลินกับแพลตฟอร์มโดยไม่ต้องกังวลเกี่ยวกับภัยคุกคามทางไซเบอร์ นอกจากนี้ คนส่วนใหญ่คิดผิดว่าหากพวกเขามีเว็บไซต์ธุรกิจที่เต็มเปี่ยม พวกเขาควรใช้เงินพิเศษในการรับมาตรการรักษาความปลอดภัยเท่านั้น อย่างไรก็ตาม แม้ว่าคุณจะใช้สำหรับหน้าพอร์ตโฟลิโอ หรือร้านค้าอีคอมเมิร์ซ หรือเว็บไซต์ประเภทอื่นๆ คุณก็ควรใช้มาตรการป้องกัน ให้เราดู 15 วิธีง่ายๆ ในการทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้นและป้องกันแฮกเกอร์จากการทำลายธุรกิจของคุณ
1. เลือกบริษัทโฮสติ้งที่ยอดเยี่ยมเสมอ:
นี่จะต้องเป็นขั้นตอนแรกและสำคัญที่สุดของคุณในการรับรองความปลอดภัยของเว็บไซต์ ตรวจสอบให้แน่ใจว่าได้ใช้บริษัทโฮสติ้งที่ดีซึ่งได้รับการพิสูจน์แล้วว่ามีคุณสมบัติด้านความปลอดภัยที่เป็นประโยชน์ คุณสมบัติสองสามอย่างที่ควรระวัง ได้แก่ PHP (เวอร์ชันล่าสุด), ไฟร์วอลล์, MySQL, การตรวจสอบความปลอดภัย 24/7 และ Apache คุณควรลองใช้บริการโฮสติ้งที่ทำการตรวจสอบมัลแวร์เป็นประจำและสำรองข้อมูลทุกวัน บริการโฮสติ้งที่ยอดเยี่ยมจะมีมาตรการป้องกัน DDOS ด้วย หากคุณคิดว่าการรักษาความปลอดภัย WordPress ของคุณเป็นเลเยอร์ บริการโฮสติ้งที่คุณเลือกคือเลเยอร์แรกหรือแฮกเกอร์ที่ผนังจะพยายามเจาะเข้าไปในไซต์ของคุณ ดังนั้นแม้ว่าบริการโฮสติ้งที่ดีจะมีค่าใช้จ่ายเพิ่มขึ้นเล็กน้อยในกระเป๋า แต่คุณควรเลือกบริการโฮสติ้งที่เชื่อถือได้และมีชื่อเสียง
2. เปลี่ยนชื่อผู้ดูแลระบบ:
หากคุณเคยใช้ WordPress มาก่อนหรือเป็นผู้ใช้ใหม่ คุณจะรู้ว่า WordPress ใช้เพื่อเก็บ 'Admin' เป็นชื่อผู้ใช้เริ่มต้น ผู้ใช้ส่วนใหญ่ไม่เคยรำคาญที่จะเปลี่ยนชื่อผู้ใช้นี้ ปัญหาคือแฮ็กเกอร์จะมีโอกาสพอสมควรในการทำให้ชื่อผู้ใช้ของคุณถูกต้องเมื่อพยายามโจมตีเว็บไซต์ของคุณด้วยกำลังดุร้าย คุณไม่ควรใช้ 'ผู้ดูแลระบบ' เป็นชื่อผู้ใช้ WordPress ของคุณ ทุกวันนี้ WordPress ยังคงอนุญาตให้ผู้ใช้ตั้งค่าชื่อผู้ใช้ตั้งแต่เริ่มต้น แทนที่จะให้ชื่อผู้ใช้ "ผู้ดูแลระบบ" อย่างไรก็ตาม หากคุณมีเว็บไซต์ WordPress ที่ติดตั้งไว้ก่อนหน้านี้ โปรดตรวจสอบชื่อผู้ใช้ของคุณและเปลี่ยนหากยังคงตั้งค่าเป็น 'Admin' หากใช่ คุณสามารถสร้างชื่อผู้ใช้ของผู้ดูแลระบบอื่นสำหรับเว็บไซต์ของคุณได้โดยไปที่ผู้ใช้แล้วเลือกเพิ่มใหม่ คุณสามารถป้อนชื่อผู้ใช้และรหัสผ่านเฉพาะของคุณได้จากที่นั่น ตรวจสอบให้แน่ใจว่าได้ตั้งค่าเป็นผู้ดูแลระบบแล้วคลิกปุ่มเพิ่มผู้ใช้ใหม่
3. ใช้รหัสผ่านที่รัดกุมเสมอ:
รหัสผ่านสำหรับเว็บไซต์ WordPress และบริการโฮสติ้งของคุณควรมีความรัดกุมและปลอดภัย ใช้ตัวพิมพ์ใหญ่และตัวพิมพ์เล็กผสมกันเสมอ เช่น ตัวอักษร ตัวเลข สัญลักษณ์ และอื่นๆ เพื่อพัฒนารหัสผ่านที่รัดกุม นอกจากนี้ยังเหมาะอย่างยิ่งสำหรับการใช้ซอฟต์แวร์การจัดการรหัสผ่าน เช่น LastPass หรือ Dashlane เพื่อสร้างและจัดเก็บรหัสผ่านที่ปลอดภัยสำหรับคุณ
4. ใช้ประโยชน์จากบัญชีบรรณาธิการหรือผู้ร่วมให้ข้อมูลเพื่อโพสต์บนเว็บไซต์ของคุณ:
นี่เป็นวิธีที่ยอดเยี่ยมในการเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ WordPress ช่วยให้คุณสร้างบัญชีผู้ร่วมเขียนและบรรณาธิการได้ หากคุณต้องเข้าถึงผู้ใช้รายอื่นเพื่อเขียนบล็อกหรือโพสต์บนเว็บไซต์ของคุณ แต่ไม่ได้ให้สิทธิ์ผู้ดูแลระบบแก่พวกเขา คุณสามารถสร้างบัญชีดังกล่าวสำหรับตัวคุณเองและโพสต์บนเว็บไซต์โดยใช้บัญชีเหล่านี้ สิ่งนี้จะทำให้แฮกเกอร์สร้างความเสียหายให้กับไซต์ของคุณได้ยาก แม้ว่าพวกเขาจะจัดการแฮ็กโปรไฟล์ผู้ร่วมให้ข้อมูลหรือผู้แก้ไขของคุณ พวกเขาก็ไม่มีสิทธิ์ควบคุมดูแลระบบหรือสิทธิ์ใดๆ
5. เสริมความแข็งแกร่งให้กับพื้นที่ผู้ดูแลระบบของคุณ:
คุณต้องให้ความสำคัญกับการรักษาพื้นที่ผู้ดูแลระบบให้มากที่สุด สำหรับสิ่งนี้ คุณควรแก้ไข URL เริ่มต้นที่ใช้สำหรับการเข้าสู่ระบบของผู้ดูแลระบบบนเว็บไซต์ของคุณและจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ไม่สำเร็จ สิ่งนี้จะล็อคผู้ใช้ออกหากเกินขีดจำกัดนั้น URL ผู้ดูแลระบบ WordPress ใดๆ จะดูเหมือน 'yourdomain.com/wp-admin' เช่นเดียวกับที่ผู้ใช้มักจะเปลี่ยนชื่อผู้ใช้ "ผู้ดูแลระบบ" พวกเขามักจะไม่ต้องกังวลกับการเปลี่ยน URL ของผู้ดูแลระบบ ซึ่งจะทำให้แฮกเกอร์สามารถเข้าถึงหน้าเข้าสู่ระบบของพื้นที่ผู้ดูแลระบบของคุณโดยตรง ซึ่งพวกเขาสามารถลองแฮ็คเข้าสู่เว็บไซต์ของคุณได้ หากต้องการเปลี่ยน URL ของผู้ดูแลระบบ คุณสามารถใช้ปลั๊กอินเช่น WPS Hide Login และเพื่อจำกัดจำนวนครั้งที่พยายามไม่สำเร็จ คุณยังสามารถใช้ปลั๊กอินล็อคการเข้าสู่ระบบได้อีกด้วย
6. อัปเดตไฟล์ของคุณอยู่เสมอ:
ไฟล์ที่ล้าสมัยมักถูกมองข้าม และก่อให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญต่อเว็บไซต์ของคุณ เว็บไซต์ของคุณเปิดให้แฮ็กและหาประโยชน์ที่หลากหลาย ดังนั้น คุณควรติดตั้งโปรแกรมปรับปรุงทันทีที่ได้รับการเผยแพร่ สร้างนิสัยในการทบทวนปลั๊กอินที่คุณใช้เป็นระยะ ลบปลั๊กอินที่คุณไม่ได้ใช้อีกต่อไป การเก็บปลั๊กอินเสริมที่ไม่มีประโยชน์จะทำให้เว็บไซต์จำนวนมากขึ้นและทำให้แฮกเกอร์เข้าถึงได้มากขึ้น
7. ใช้ประโยชน์จากปลั๊กอินสำรอง:
คุณต้องสร้างนิสัยในการสำรองข้อมูลเว็บไซต์ของคุณหากยังไม่ได้ทำ ระบบสำรองข้อมูลช่วยให้คุณกู้คืนเว็บไซต์ของคุณได้หากสถานการณ์เลวร้ายที่สุดของเว็บไซต์ของคุณถูกแฮ็ก มีปลั๊กอินสำรองที่เชื่อถือได้และมีประโยชน์มากมาย เช่น UpdraftPlus ที่สามารถใช้สร้างตารางสำรองข้อมูลปกติสำหรับเว็บไซต์ของคุณ อย่าลืมเก็บไฟล์สำรองไว้นอกสถานที่เพื่อให้แน่ใจว่าไฟล์จะไม่ติดไวรัส
8. ใช้ประโยชน์จาก 2FA:
ใช้ปลั๊กอิน Google Authenticator เพื่อตั้งค่า 2FA (การตรวจสอบสิทธิ์สองปัจจัย) เพื่อปกป้องไซต์ของคุณ ซึ่งหมายความว่านอกเหนือจากการใช้ข้อมูลรับรองการเข้าสู่ระบบของคุณเพื่อเข้าสู่ระบบ คุณจะต้องป้อนรหัสที่สร้างโดยแอปบนอุปกรณ์เคลื่อนที่เพื่อลงชื่อเข้าใช้ไซต์ของคุณ อย่างน้อยก็จะหยุดการโจมตีแบบลองผิดลองถูกบนเว็บไซต์ของคุณ ดังนั้นมันจึงเป็นกลวิธีที่มีประโยชน์ 2FA มีให้ใช้งานฟรีในหนึ่งในปลั๊กอินความปลอดภัยที่ดีที่สุดสำหรับ WordPress, Wordfence (เราใช้เองบน Web Design Dev)
9. ใช้ SSL และ HTTPS:
หากคุณท่องอินเทอร์เน็ตหรือแม้กระทั่งถูกรายล้อมไปด้วยผู้ที่เชี่ยวชาญด้านอินเทอร์เน็ต คุณจะเคยได้ยินผู้คนที่เน้นย้ำถึงความจำเป็นในการมีโปรโตคอล HTTPS และใบรับรองความปลอดภัย SSL บนไซต์ของคุณ HTTPS ย่อมาจาก Hypertext Transfer Protocol Secure SSL ย่อมาจาก Secure Socket Layers
HTTPS ช่วยให้เบราว์เซอร์ของผู้เยี่ยมชมสามารถรักษาความปลอดภัยการเชื่อมต่อที่มีการป้องกันกับเซิร์ฟเวอร์โฮสต์ของคุณ ส่งผลให้มีการเชื่อมต่อที่ปลอดภัยกับไซต์ของคุณ โปรโตคอล HTTPS นี้ได้รับการรักษาความปลอดภัยผ่าน SSL ดังนั้น SSL และ HTTP ช่วยให้แน่ใจว่าข้อมูลทั้งหมดที่แลกเปลี่ยนระหว่างเบราว์เซอร์ของผู้เยี่ยมชมและเว็บไซต์ของคุณได้รับการเข้ารหัส การใช้คุณลักษณะทั้งสองนี้ในไซต์ของคุณไม่เพียงแต่ช่วยเพิ่มความปลอดภัยและส่งผลดีต่อการจัดอันดับของเครื่องมือค้นหาของคุณเท่านั้น สิ่งนี้จะสร้างความไว้วางใจให้กับผู้เยี่ยมชมของคุณและปรับปรุงอัตราการแปลงของคุณเช่นกัน
10. ใช้ประโยชน์จากส่วนหัวความปลอดภัย:
อีกวิธีที่มีประสิทธิภาพในการเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณคือการใช้ส่วนหัวความปลอดภัย ส่วนหัวความปลอดภัยเหล่านี้ถูกตั้งค่าไว้ที่ระดับเซิร์ฟเวอร์เพื่อป้องกันการโจมตีจากการแฮ็กและลดจำนวนช่องโหว่ด้านความปลอดภัย คุณสามารถติดตั้งปลั๊กอินความปลอดภัยเหล่านี้ด้วยตนเองโดยเพิ่มรหัสหรือใช้ปลั๊กอินเช่น Security Headers เพื่อเพิ่มโดยอัตโนมัติ
11. ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งาน:
หากคุณมีการเข้าสู่ระบบเว็บไซต์ของคุณหลายครั้งซึ่งคุณไม่ได้ใช้บ่อยแต่ไม่ได้ออกจากระบบ ให้เปลี่ยนนิสัยนั้น หาก ID ผู้ใช้ใด ๆ ที่คุณไม่ได้ใช้งานเกือบตลอดเวลา ให้ออกจากระบบบัญชีเหล่านั้นหลังจากไม่มีการใช้งานเป็นระยะเวลาหนึ่ง คุณสามารถใช้ปลั๊กอินสำหรับสิ่งนี้ได้เช่นกัน เช่น Inactive Logout เพื่อยุติเซสชันที่ไม่ใช้งานทั้งหมดได้อย่างง่ายดาย นี่เป็นสิ่งสำคัญราวกับว่าคุณลงชื่อเข้าใช้เว็บไซต์ของคุณเพื่อเพิ่มบล็อกโพสต์ใหม่และถูกรบกวนจากงานด้านอื่น เซสชันของคุณอาจถูกแย่งชิงได้ง่าย และแฮกเกอร์อาจใช้หน้าต่างนี้เพื่อทำให้เว็บไซต์ของคุณติดเชื้อ
12. ปิดกั้นการเชื่อมโยงด่วน:
Hotlinking กำลังขโมยแบนด์วิดท์ของใครบางคนโดยเชื่อมโยงโดยตรงกับทรัพย์สินของเว็บไซต์ของตน เช่น วิดีโอหรือรูปภาพ ให้เราสมมติว่าคุณพบภาพออนไลน์และรู้สึกอยากแบ่งปันบนไซต์ของคุณ สำหรับสิ่งนี้ คุณควรได้รับอนุญาตหรือชำระเบี้ยประกันภัยสำหรับรูปภาพนั้นก่อน มิฉะนั้น มีความเป็นไปได้สูงที่การกระทำดังกล่าวจะผิดกฎหมาย อย่างไรก็ตาม หากคุณได้รับอนุญาตให้ใช้ URL ของรูปภาพและใช้เพื่อวางรูปภาพในโพสต์ของคุณ นี่เป็นปัญหาเนื่องจากรูปภาพนั้นจะแสดงบนไซต์ของคุณ แต่จะโฮสต์บนเซิร์ฟเวอร์ของไซต์อื่น
สิ่งนี้เป็นปัญหาเนื่องจากคุณไม่สามารถควบคุมได้ว่ารูปภาพจะยังคงอยู่บนเซิร์ฟเวอร์หรือไม่ และผู้คนก็สามารถทำได้บนเว็บไซต์ของคุณด้วย หากคุณต้องการรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณอย่างแท้จริง การทำ Hotlink จะทำให้ความเร็วในการโหลดลดลงและอาจมีค่าใช้จ่ายเซิร์ฟเวอร์สูงขึ้น คุณสามารถใช้เครื่องมือในตัวปลั๊กอิน 'All in One WP Security and Firewall' สำหรับการบล็อกและฮอตลิงก์
13. เพิ่มคำถามเพื่อความปลอดภัยในการเข้าสู่ระบบ:
บางครั้งการยึดติดกับพื้นฐานก็ช่วยได้มากเช่นกัน การมีการตรวจสอบสิทธิ์แบบสองปัจจัยและคำถามด้านความปลอดภัยเพิ่มเติมที่ผู้ใช้จำเป็นต้องตอบก่อนลงชื่อเข้าใช้เว็บไซต์ของคุณจะทำให้แฮกเกอร์เข้าถึงเว็บไซต์ของคุณได้ยากและน่ารำคาญ คำถามเพื่อความปลอดภัยอาจเกี่ยวข้องกับสถาบันการเงิน แพลตฟอร์มอีเมล หรือเว็บไซต์สมาชิกเช่นกัน โดยพื้นฐานแล้วคำถามเพื่อความปลอดภัยจะทำงานเป็นรหัสผ่านที่สองสำหรับเว็บไซต์ของคุณ คำถามเพื่อความปลอดภัยที่สมบูรณ์แบบจะเป็นคำถามที่คุณเท่านั้นที่จะรู้คำตอบ การทำให้สิ่งต่าง ๆ ยากขึ้นจะสมเหตุสมผลหากคำตอบไม่เกี่ยวข้องกับคำถามด้วยซ้ำ แน่นอน คุณต้องฉลาดพอที่จะจำคำตอบได้ด้วยตัวเอง เคล็ดลับพื้นฐานนี้สามารถช่วยปกป้องไซต์ WordPress ของคุณได้หลายเท่า
14. ตรวจสอบให้แน่ใจว่าคุณใช้ PHP เวอร์ชันล่าสุด:
การอัปเดต PHP เวอร์ชันล่าสุดไม่ใช่เรื่องง่ายเมื่อพูดถึงความปลอดภัยของเว็บ อย่างไรก็ตาม คุณจะต้องทึ่งกับสถิติ มีเพียง 3.6 เปอร์เซ็นต์ของผู้ใช้ WordPress ที่ใช้งานเว็บไซต์ในเวอร์ชัน PHP ล่าสุด – 7.2 เว็บไซต์ WordPress มากกว่า 12 เปอร์เซ็นต์ยังคงใช้งานเวอร์ชัน 5.4 ซึ่งไม่รองรับด้วยซ้ำ
การไม่ใช้ PHP เวอร์ชันล่าสุดหมายความว่ามีการค้นพบและแก้ไขช่องว่างด้านความปลอดภัยบางอย่างในเวอร์ชันใหม่ อย่างไรก็ตาม สิ่งเหล่านี้จะไม่สามารถใช้ได้สำหรับไซต์ของคุณ และเนื่องจากมีการกล่าวถึงจุดบกพร่องและการแก้ไขอย่างเปิดเผยในรายการบันทึกการเปลี่ยนแปลงการอัปเดตเวอร์ชัน PHP แต่ละรายการ แฮกเกอร์จึงทราบช่องโหว่ที่จะเข้าสู่เว็บไซต์ของคุณได้อย่างง่ายดาย
15. ปิดใช้งานการเรียกดูไดเรกทอรี:
ผู้ที่โจมตีเว็บไซต์ WordPress สามารถใช้การเรียกดูไดเรกทอรีเพื่อค้นหาปลั๊กอินหรือธีมที่มีช่องโหว่ในเว็บไซต์ของคุณ ข้อบกพร่องเหล่านี้สามารถใช้เพื่อแฮ็คเข้าสู่ไซต์ของคุณได้ พวกเขาสามารถเข้าถึงเว็บไซต์ของคุณและแทรกสคริปต์ที่เป็นอันตราย โฆษณา และลิงก์ที่ไม่ต้องการ พวกเขายังสามารถดูไฟล์ของคุณ ค้นหาโครงสร้างไดเร็กทอรีของคุณ คัดลอกรูปภาพ และเข้าถึงข้อมูลอื่นๆ ดังนั้นจึงเป็นการดีที่สุดที่จะปิดตัวเลือกการจัดทำดัชนีไดเร็กทอรีและการเรียกดู สำหรับการดำเนินการนี้ คุณจะต้องเข้าถึงเว็บไซต์ WordPress ของคุณผ่านไคลเอนต์ FTP และแก้ไขไฟล์ '.htaccess' ของคุณในไดเรกทอรีรากของไซต์ และเพิ่มบรรทัดต่อไปนี้ที่ด้านล่าง – ตัวเลือก – ดัชนี
นี่คือ 15 วิธีในการทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้น ตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามคำแนะนำและแนวทางปฏิบัติเหล่านี้ทั้งหมด และเปิดใช้งานบนเว็บไซต์ของคุณเพื่อให้แน่ใจว่ามีการป้องกันและความปลอดภัยสูงสุด วิธีการทั้งหมดข้างต้นจะเพิ่มชั้นการป้องกันให้กับเว็บไซต์ WordPress ของคุณ ทำให้แฮกเกอร์ได้รับสิ่งที่พวกเขาต้องการได้ยากขึ้น หลักเกณฑ์เหล่านี้เป็นจุดเริ่มต้นที่ดีในการปกป้องเนื้อหาเว็บไซต์และข้อมูลที่สำคัญของคุณ มันจะช่วยเสริมความแข็งแกร่งให้กับสถานะออนไลน์ของคุณเช่นกัน เพราะยิ่งเว็บไซต์มีความปลอดภัยมากเท่าไหร่ ก็ยิ่งปลอดภัยสำหรับผู้เยี่ยมชมมากขึ้นเท่านั้น ทั้งผู้เยี่ยมชมและเสิร์ชเอ็นจิ้นต่างชื่นชมมัน และนั่นทำให้คุณมีความน่าเชื่อถือในตลาด