ช่องโหว่ด้านความปลอดภัย WordPress 10 อันดับแรกและวิธีการแก้ไข

เผยแพร่แล้ว: 2018-11-28

คำพูดนี้ดีพอที่จะให้แนวคิดเกี่ยวกับปัญหาด้านความปลอดภัยที่เกิดขึ้นทั่วโลก อันที่จริง การรักษาความปลอดภัยของเว็บไซต์เป็นเรื่องที่ทำให้เจ้าของเว็บไซต์นอนไม่หลับมาเป็นเวลานาน ไม่มีใครสามารถบรรลุการรักษาความปลอดภัย 100% สำหรับไซต์ธุรกิจของตนได้

จากการสำรวจที่ดำเนินการโดย Juniper Research อาชญากรรมทางอินเทอร์เน็ตจะทำให้ธุรกิจต้องเสียค่าใช้จ่ายมากกว่า 2 ล้านล้านเหรียญสหรัฐภายในปี 2019 นี่เป็นสถิติที่น่าตกใจและแสดงให้เห็นว่าการรักษาความปลอดภัยเว็บไซต์ในแต่ละวันกลายเป็นเรื่องยากมาก ในขณะเดียวกัน คุณจำเป็นต้องค้นหาวิธีการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ เนื่องจากมีข้อมูลที่สำคัญที่สุดของคุณรวมถึงข้อมูลที่ละเอียดอ่อน

อย่างที่คุณทราบกันดีว่า WordPress มีอำนาจ 31% ของอินเทอร์เน็ต ดังนั้นจึงเป็นที่แน่ชัดว่าแพลตฟอร์ม WordPress จะประสบปัญหาด้านความปลอดภัยบนเว็บเป็นจำนวนมากที่สุด ผู้ใช้ส่วนใหญ่เชื่อมั่นในแพลตฟอร์มที่ยอดเยี่ยมนี้ และนั่นเป็นสาเหตุที่พวกเขาสร้างเว็บไซต์ธุรกิจของตนขึ้นมา

อย่างไรก็ตาม จากการวิจัยของ Sucuri พบว่า WordPress เป็นแพลตฟอร์มเว็บไซต์ที่ติดเชื้อมากที่สุดสำหรับปี 2018

WordPress in 2018

ดังนั้นจึงเป็นเรื่องสำคัญที่ทุกท่านจะต้องตระหนักถึงช่องโหว่ด้านความปลอดภัยต่างๆ ของ WordPress และวิธีแก้ไข มาเริ่มกันเลย และวิเคราะห์ช่องโหว่แต่ละจุดทีละจุด

มีบริษัทสองประเภท: บริษัทที่ถูกแฮ็ก และบริษัทที่ไม่รู้ว่าถูกแฮ็ก

— จอห์น แชมเบอร์ส

ช่องโหว่ด้านความปลอดภัย WordPress 10 อันดับแรก

  1. เว็บโฮสติ้งที่ไม่ปลอดภัย
  2. การใช้รหัสผ่านที่อ่อนแอ
  3. ไม่อัปเดต WordPress
  4. การฉีด SQL
  5. ลืมการรักษาความปลอดภัยไฟล์กำหนดค่า WordPress
  6. ไม่อัปเดตปลั๊กอินหรือธีม
  7. ใช้ FTP ธรรมดา
  8. ไม่เปลี่ยนคำนำหน้าตาราง WordPress
  9. มัลแวร์
  10. สิทธิ์ของไฟล์ไม่ถูกต้อง

1. เว็บโฮสติ้งที่ไม่ปลอดภัย

นี่อาจเป็นหนึ่งในสาเหตุที่ใหญ่ที่สุดที่ทำให้เว็บไซต์ WordPress ติดไวรัสได้ง่าย เช่นเดียวกับเว็บไซต์อื่น ๆ เว็บไซต์ WordPress ยังโฮสต์บนเซิร์ฟเวอร์ด้วย บางครั้งสิ่งที่เกิดขึ้นคือบริษัทผู้ให้บริการโฮสติ้งไม่รักษาความปลอดภัยให้กับแพลตฟอร์มของตน ในสถานการณ์แบบนั้น มีโอกาสที่เว็บไซต์ WordPress ของคุณอาจถูกโจมตีโดยบุคคลภายนอก

วิธีแก้ไขปัญหานี้

วิธีที่ดีที่สุดคือการแก้ไขปัญหานี้โดยการโฮสต์เว็บไซต์ WordPress ของคุณบนแพลตฟอร์มโฮสติ้งชั้นนำบางแพลตฟอร์ม นี่คือรายชื่อผู้ให้บริการโฮสติ้ง WordPress ที่ดีที่สุดที่คุณสามารถใช้สำหรับเว็บไซต์ธุรกิจของคุณ

ผู้ให้บริการโฮสติ้ง WordPress ที่ดีที่สุด

  • Bluehost
  • HostGator
  • SiteGround
  • DreamHost
  • InMotion Hosting

2. การใช้รหัสผ่านที่อ่อนแอ

รหัสผ่านเป็นส่วนสำคัญของความปลอดภัยของเว็บไซต์ WordPress ของคุณ คุณต้องตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่รัดกุมสำหรับบัญชี WordPress ของคุณ จากการวิจัยของ WPTemplate พบว่า 8% ของเว็บไซต์ WordPress ทั่วโลกถูกแฮ็กเนื่องจากรหัสผ่านรายสัปดาห์ รหัสผ่านหนึ่งสัปดาห์ช่วยให้เข้าถึงสิ่งต่อไปนี้ได้ง่าย:

  • บัญชีผู้ดูแลระบบ WP
  • บัญชี C-Panel
  • บัญชี FTP
  • ฐานข้อมูล WordPress ของคุณ

นั่นเป็นเหตุผลว่าทำไมการมีรหัสผ่านที่รัดกุมสำหรับเว็บไซต์ WordPress ของคุณจึงมีความสำคัญอย่างยิ่ง

วิธีแก้ไขปัญหานี้

  • แบบฟอร์มรหัสผ่านที่ซับซ้อน

    วิธีหนึ่งที่คุณสามารถแก้ไขปัญหานี้คือการสร้างรหัสผ่านที่ซับซ้อนสำหรับไซต์ของคุณ พยายามใช้ตัวอักษร ตัวเลข อักขระพิเศษ ฯลฯ ผสมกันเพื่อสร้างรหัสผ่านเสมอ มันจะช่วยให้คุณสร้างรหัสผ่านที่คาดเดายากซึ่งไม่สามารถเดาได้ง่าย

  • ใช้ตัวจัดการรหัสผ่าน

    วิธีอื่นในการแก้ไขปัญหานี้คือการใช้ตัวจัดการรหัสผ่าน ตัวจัดการรหัสผ่านเป็นแอปพลิเคชั่นที่ให้คุณเก็บรหัสผ่านทั้งหมดไว้ในที่เดียว แล้วจัดการมันผ่านรหัสผ่านหลัก USP ของตัวจัดการรหัสผ่านคือมีฟังก์ชันป้อนอัตโนมัติ

    นี่คือรายชื่อผู้จัดการรหัสผ่านที่ดีที่สุด:

    • LastPass
    • 1รหัสผ่าน
    • Dashlane

  • การรับรองความถูกต้องด้วยสองปัจจัย

    นี่เป็นวิธีที่ดีที่สุดวิธีหนึ่งในการปกป้องเว็บไซต์ WordPress ของคุณจากการขโมยรหัสผ่าน ในสถานการณ์การตรวจสอบสิทธิ์แบบสองปัจจัย หากผู้โจมตีบางคนสามารถเดารหัสผ่านของเว็บไซต์ WordPress ของคุณได้ เขา/เธอจะไม่ล็อกอินเข้าสู่ไซต์ของคุณ เขา/เธอจะต้องการรหัสความปลอดภัยที่ส่งไปยังมือถือของคุณ ด้วยวิธีนี้ คุณจะสามารถปกป้องเว็บไซต์ของคุณได้

    มีวิธีหลักๆ ในการตั้งค่าการรับรองความถูกต้องด้วยสองปัจจัยใน WordPress:

    1. การยืนยันทาง SMS
    2. แอป Google Authenticator

3. ไม่อัปเดต WordPress

มีผู้ใช้จำนวนมากที่รู้สึกสบายใจกับ WordPress เวอร์ชันใดเวอร์ชันหนึ่ง ดังนั้นจึงไม่อัปเดตเวอร์ชัน WordPress เป็นประจำ เหตุผลหลักที่อยู่เบื้องหลังคือ พวกเขากลัวว่าเว็บไซต์จะพัง อย่างไรก็ตาม WordPress เวอร์ชันใหม่แต่ละเวอร์ชันมาพร้อมกับการแก้ไขข้อบกพร่องด้านความปลอดภัย และนั่นเป็นเหตุผลว่าทำไมการอัปเดตเว็บไซต์ของคุณจึงเป็นสิ่งสำคัญ

วิธีแก้ไขปัญหานี้

ตรวจสอบ WordPress เวอร์ชันล่าสุดเสมอ และพยายามทำให้เว็บไซต์ของคุณอัปเดตอยู่เสมอ วิธีนี้จะช่วยลดโอกาสของปัญหาด้านความปลอดภัย สำหรับผู้ที่กลัวว่าการอัพเดท WordPress จะทำให้ไซต์พัง สามารถสำรองข้อมูลเว็บไซต์ของตนได้ ดังนั้น หากเวอร์ชันใหม่ใช้งานไม่ได้ตามที่คุณต้องการ คุณสามารถเปลี่ยนกลับได้ตลอดเวลา

4. การฉีด SQL

SQL Injection เป็นหนึ่งในวิธีการที่เก่าแก่ที่สุดในการเข้าถึงเว็บไซต์ อย่างที่คุณทราบ SQL เป็นภาษาที่ใช้ในการทำงานกับฐานข้อมูล WordPress และด้วยเหตุนี้ในการโจมตีประเภทนี้ แฮกเกอร์จึงฉีดคำสั่ง SQL ลงในไซต์ของคุณเพื่อดึงข้อมูล แฮกเกอร์เริ่มฉลาดขึ้นทุกวัน และพวกเขาก็มีการฉีด SQL ใหม่ทุกวันหรืออย่างอื่น ดังนั้น ในฐานะเจ้าของเว็บไซต์ คุณควรทราบวิธีกำจัดปัญหานี้

วิธีแก้ไขปัญหานี้

  • สแกนหาช่องโหว่ของการฉีด SQL

    คุณควรตรวจสอบปัญหาการฉีด SQL ในเว็บไซต์ WordPress ของคุณเป็นประจำ อย่างไรก็ตาม นี่อาจเป็นงานที่ยากมากในการดำเนินการด้วยตนเอง และนั่นเป็นเหตุผลที่คุณควรใช้เครื่องมือสแกนความปลอดภัยเพื่อจุดประสงค์นั้น นี่คือรายการเครื่องมือสแกนความปลอดภัยที่ดีที่สุด:

    • WordPress Security Scan
    • Sucuri SiteCheck
    • WPSสแกน

  • การเพิ่มรหัสลงในไฟล์ .htaccess ของคุณ

    อีกวิธีหนึ่งในการป้องกัน SQL Injection คือการเพิ่มโค้ดเฉพาะในไฟล์ .htaccess ของคุณ .htaccess เป็นไฟล์กำหนดค่าที่ใช้บนเว็บเซิร์ฟเวอร์ ดังนั้นโดยการเปลี่ยนส่วนนั้น คุณจะสามารถจำกัดการเข้าถึงฐานข้อมูล WordPress ของบุคคลภายนอกได้

    เพิ่มรหัสต่อไปนี้ในไฟล์ .htaccess ของคุณ:

    RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

5. ลืมการรักษาความปลอดภัยไฟล์กำหนดค่า WordPress

ไฟล์การกำหนดค่า WordPress (wp-config.php) ประกอบด้วยข้อมูลรับรองการเข้าสู่ระบบฐานข้อมูล WordPress ดังนั้น หากบุคคลภายนอกเข้าถึงไฟล์นี้ได้ เขา/เธอสามารถขโมยข้อมูลของคุณและทำให้เว็บไซต์ของคุณเสียหายได้ ดังนั้นจึงมีความจำเป็นที่คุณจะต้องทำทุกอย่างเพื่อปกป้องไฟล์นี้

วิธีแก้ไขปัญหานี้

วิธีที่ง่ายที่สุดวิธีหนึ่งในการปกป้องไฟล์ wp-config.php คือการแก้ไข .htaccess และจำกัดการเข้าถึง เพื่อจุดประสงค์นั้น เพียงเพิ่มข้อมูลโค้ดต่อไปนี้ในไฟล์ .htaccess ของคุณ:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. ไม่อัปเดตปลั๊กอินหรือธีม

เช่นเดียวกับแกนหลักของ WordPress สิ่งสำคัญคือต้องใช้ปลั๊กอินหรือธีมเวอร์ชันล่าสุดในเว็บไซต์ WordPress การใช้ปลั๊กอินหรือธีมที่ล้าสมัยอาจทำให้ไซต์ของคุณเสี่ยงต่อภัยคุกคามด้านความปลอดภัย จากการสำรวจของ WPWhiteSecurity พบว่า 54% ของช่องโหว่ WordPress ทั่วโลกเกิดจากปลั๊กอิน

วิธีแก้ไขปัญหานี้

ตรวจสอบการอัปเดตในปลั๊กอินและธีมของคุณเสมอ ตรวจสอบให้แน่ใจว่าคุณใช้เวอร์ชันล่าสุดที่มีอยู่ใน WordPress เมื่อปฏิบัติตามวิธีการนี้ คุณจะลดโอกาสในการคุกคามความปลอดภัยในเว็บไซต์ WordPress ของคุณ

7. การใช้ FTP ธรรมดา

สำหรับผู้ที่ไม่ทราบ บัญชี FTP ใช้เพื่ออัปโหลดไฟล์บนเซิร์ฟเวอร์เว็บไซต์ของคุณโดยใช้ไคลเอนต์ FTP ผู้ให้บริการโฮสต์ส่วนใหญ่รองรับการเชื่อมต่อ FTP โดยใช้โปรโตคอลประเภทต่างๆ: Simple FTP, SFTP หรือ SSH

เจ้าของเว็บไซต์ WordPress ส่วนใหญ่ทำผิดพลาดในการใช้ FTP ธรรมดา สิ่งที่เกิดขึ้นใน FTP ธรรมดาคือรหัสผ่านของคุณถูกส่งไปยังเซิร์ฟเวอร์ในรูปแบบที่ไม่ได้เข้ารหัส ดังนั้นใครก็ตามที่สามารถแฮ็คเซิร์ฟเวอร์สามารถเข้าถึงเว็บไซต์ WordPress ของคุณได้อย่างง่ายดาย

วิธีแก้ไขปัญหานี้

แทนที่จะใช้ FTP คุณสามารถเลือกใช้ตัวเลือก SFTP หรือ SSH คุณไม่จำเป็นต้องเปลี่ยนไคลเอนต์ FTP เพื่อจุดประสงค์นั้น เพียงเปลี่ยนโปรโตคอลเป็น 'SFTP-SSH' ขณะเชื่อมต่อกับเว็บไซต์ของคุณ โดยใช้โปรโตคอลนี้ คุณจะสามารถส่งรหัสผ่านไปยังเซิร์ฟเวอร์ในรูปแบบที่เข้ารหัสซึ่งช่วยลดความเสี่ยงของปัญหาด้านความปลอดภัย

8. ไม่เปลี่ยนคำนำหน้าตาราง WordPress

อย่างที่คุณทราบโดยค่าเริ่มต้น ตาราง WordPress ทั้งหมดที่สร้างในฐานข้อมูลของคุณจะเริ่มต้นด้วยคำนำหน้าชื่อ ks29so_ นักพัฒนา WordPress ส่วนใหญ่ไม่สนใจที่จะเปลี่ยนคำนำหน้านี้ เนื่องจากพวกเขารู้สึกว่าจะไม่ส่งผลต่อประสิทธิภาพของเว็บไซต์

คำนำหน้านี้ทำให้เว็บไซต์ WordPress ของคุณเสี่ยงต่อปัญหาด้านความปลอดภัย เหตุผลเบื้องหลังคือ ผู้โจมตีสามารถเดาชื่อตารางฐานข้อมูล WordPress ของคุณได้อย่างง่ายดาย ดังนั้น คุณควรพยายามรื้อฟื้นปัญหานี้โดยเร็วที่สุด

วิธีแก้ไขปัญหานี้

แทนที่จะใช้คำนำหน้าเริ่มต้นสำหรับตารางฐานข้อมูล WordPress คุณควรกำหนดคำนำหน้าของคุณเองซึ่งมีลักษณะซับซ้อนเพื่อไม่ให้ใครคาดเดาได้ คุณสามารถเปลี่ยนคำนำหน้าของตารางฐานข้อมูล WordPress ได้เมื่อทำการติดตั้ง ดังนั้นจงจำจุดนั้นไว้เสมอ หลังจากนั้น คุณจะไม่มีโอกาสเปลี่ยนคำนำหน้า

ต่อไปนี้คือวิธีที่คุณสามารถเปลี่ยนคำนำหน้าฐานข้อมูล WordPress เพื่อปรับปรุงความปลอดภัย:

9. มัลแวร์

มัลแวร์เป็นตัวย่อของซอฟต์แวร์ที่เป็นอันตราย กล่าวอีกนัยหนึ่งคุณสามารถพูดได้ว่าเป็นรหัสที่ใช้ในการเข้าถึงเว็บไซต์ในลักษณะที่ไม่ได้รับอนุญาต เว็บไซต์ที่ถูกแฮ็กระบุอย่างชัดเจนว่ามีการแทรกมัลแวร์ ตอนนี้ ถ้าคุณต้องการรู้จักมัลแวร์บนไซต์ ให้ลองดูไฟล์ที่เปลี่ยนแปลงล่าสุด

การติดมัลแวร์บนเว็บอาจมีได้หลายประเภท แต่สำหรับ WordPress การติดมัลแวร์หลักสี่รายการมีดังนี้:

  • แบ็คดอร์
  • ไดรฟ์โดยการดาวน์โหลด
  • Pharma hacks
  • การเปลี่ยนเส้นทางที่เป็นอันตราย
วิธีแก้ไขปัญหานี้

สามารถระบุปัญหามัลแวร์ได้อย่างง่ายดายโดยค้นหาไฟล์ที่แก้ไขล่าสุด จากนั้นลบไฟล์นั้นออกจากเว็บไซต์ WordPress ของคุณ วิธีอื่นในการจัดการกับปัญหานี้คือการติดตั้ง WordPress เวอร์ชันใหม่หรือโดยการกู้คืนเว็บไซต์ WordPress จากข้อมูลสำรองล่าสุดของคุณ ทั้งสองวิธีนี้จะช่วยให้คุณลดความเสี่ยงด้านความปลอดภัยให้เหลือน้อยที่สุด

10. สิทธิ์ของไฟล์ไม่ถูกต้อง

สิทธิ์ของไฟล์คือชุดของกฎที่เว็บเซิร์ฟเวอร์ใช้ ช่วยให้เซิร์ฟเวอร์ของคุณควบคุมการเข้าถึงไฟล์ของคุณบนเว็บไซต์ WordPress ของคุณ ในตอนนี้ บางครั้งสิ่งที่เกิดขึ้นคือผู้ใช้ตั้งค่าการอนุญาตไฟล์ที่ไม่ถูกต้อง ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงไฟล์และแก้ไขได้ตามความต้องการ ซึ่งอาจทำให้เกิดความเสียหายอย่างใหญ่หลวงต่อเว็บไซต์ WordPress ของคุณ

วิธีแก้ไขปัญหานี้

วิธีที่ดีที่สุดในการแก้ไขปัญหานี้คือการตั้งค่าการอนุญาตไฟล์ที่ถูกต้องสำหรับเว็บไซต์ WordPress ของคุณ การอนุญาตไฟล์บนเว็บไซต์ WordPress ควรเป็นไปตามรายการด้านล่าง:

  • 755 หรือ 750 สำหรับไดเร็กทอรีทั้งหมด
  • 644 หรือ 640 สำหรับไฟล์
  • 600 สำหรับ wp-config.php

โดยการตั้งค่าการอนุญาตเหล่านี้ คุณจะสามารถจำกัดการเข้าถึงเว็บไซต์ WordPress ของคุณ ซึ่งจะช่วยให้คุณปลอดภัยจากผู้โจมตี

ความคิดสุดท้าย

การรักษาความปลอดภัยเป็นปัญหาสำคัญสำหรับเจ้าของเว็บไซต์ตลอดหลายปีที่ผ่านมา แม้ว่าจะมีการวิจัยมากมายในพื้นที่นี้ แต่ก็ยังไม่มีใครอ้างว่าปลอดภัย 100% สิ่งนี้แสดงระดับความซับซ้อนที่ต้องจัดการขณะทำงานกับปัญหานี้

เมื่อพิจารณาถึงสิ่งนี้ เราได้พยายามให้ช่องโหว่ด้านความปลอดภัย WordPress 10 อันดับแรกแก่คุณ และวิธีการแก้ไข ซึ่งจะช่วยคุณได้อย่างแน่นอนในอนาคตอันใกล้

คุณคิดอย่างไรกับเรื่องนี้? พูดถึงพวกเขาในส่วนความคิดเห็นของเรา ขอขอบคุณ!