• โฮมเพจ
  • บทความ
  • SEO
  • รายการตรวจสอบความปลอดภัยของ WordPress (2023): วิธีทำให้เว็บไซต์ของคุณปลอดภัย

รายการตรวจสอบความปลอดภัยของ WordPress (2023): วิธีทำให้เว็บไซต์ของคุณปลอดภัย

เผยแพร่แล้ว: 2023-11-10

มีปลั๊กอินมากกว่า 60,000 รายการในพื้นที่เก็บข้อมูล WordPress เมื่อคุณอ่านข้อความนี้

นั่นคือความงามของ WordPress!

แต่อาจเป็นไปได้เช่นกัน — ฝันร้ายที่เลวร้ายที่สุดของเจ้าของเว็บไซต์ทุกคน ในความเป็นจริง ช่องโหว่ WordPress มากถึง 56% เกี่ยวข้องกับปลั๊กอิน และการโจมตีด้วยรหัสผ่านมากกว่า 86 พันล้านครั้งถูกบล็อกโดยปลั๊กอินความปลอดภัย WordFence ในปี 2564 เพียงอย่างเดียว

ไม่ว่าคุณจะถูกแฮ็กหรือเพียงต้องการป้องกันเจตนาร้าย รายการตรวจสอบความปลอดภัยนี้จะช่วยคุณป้องกันการโจมตีทางไซเบอร์

ทำไมการรักษาความปลอดภัยของ WordPress จึงมีความสำคัญต่อธุรกิจออนไลน์ของคุณ

ด้วยส่วนแบ่งการตลาด 64.2% จึงปลอดภัยที่จะกล่าวว่าความปลอดภัยของ WordPress เป็นสิ่งจำเป็นสำหรับเว็บไซต์ 810 ล้านเว็บไซต์ทั่วโลก ไม่ว่าอุตสาหกรรม ขนาด และชื่อเสียงจะเป็นอย่างไร นี่คือเหตุผล

  • การปกป้องข้อมูล: เว็บไซต์ของคุณมีข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลลูกค้า รายละเอียดการชำระเงิน และเนื้อหาที่เกี่ยวข้องกับธุรกิจ การรับรองความปลอดภัยถือเป็นสิ่งสำคัญในการป้องกันการละเมิดข้อมูลและปกป้องชื่อเสียงของคุณ
  • การรักษาความไว้วางใจของลูกค้า: เว็บไซต์ที่ปลอดภัยส่งเสริมความไว้วางใจระหว่างผู้เยี่ยมชมและลูกค้าของคุณ เมื่อผู้คนรู้ว่าข้อมูลของตนปลอดภัย พวกเขามีแนวโน้มที่จะมีส่วนร่วมกับไซต์ของคุณและทำการซื้อมากขึ้น
  • การป้องกันการหยุดทำงาน: การละเมิดความปลอดภัย การแฮ็ก หรือการติดมัลแวร์อาจทำให้เว็บไซต์หยุดทำงาน สิ่งนี้ไม่เพียงแต่รบกวนการดำเนินธุรกิจของคุณเท่านั้น แต่ยังสร้างความเสียหายให้กับการนำเสนอออนไลน์และผลกำไรของคุณด้วย
  • การหลีกเลี่ยงผลทางกฎหมาย: การละเมิดข้อมูลและปัญหาด้านความปลอดภัยอาจนำไปสู่ความรับผิดทางกฎหมาย รวมถึงค่าปรับและการฟ้องร้อง โดยเฉพาะอย่างยิ่งหากข้อมูลของลูกค้าถูกบุกรุก
  • การปรับปรุง SEO: เครื่องมือค้นหาเช่น Google จัดลำดับความสำคัญของเว็บไซต์ที่ปลอดภัยในการจัดอันดับ ไซต์ที่ปลอดภัยพร้อมใบรับรอง SSL และมาตรการรักษาความปลอดภัยที่แข็งแกร่งสามารถปรับปรุงการมองเห็นเครื่องมือค้นหาของคุณ

ปัญหาด้านความปลอดภัยทั่วไปของ WordPress มีอะไรบ้าง?

แม้ว่าโดยทั่วไปแล้วแพลตฟอร์ม WordPress จะถือว่าปลอดภัย แต่เทคโนโลยีโอเพ่นซอร์สของมันก็สามารถสร้างช่องโหว่ต่างๆ ผ่านทางปลั๊กอินและธีม, SQL, CSRF, ช่องโหว่ของไฟล์, โฮสติ้งที่ไม่ปลอดภัย และอื่นๆ อีกมากมาย

ข้อกังวลด้านความปลอดภัยยอดนิยมของ WordPress ได้แก่:

  • ซอฟต์แวร์ที่ล้าสมัย: การไม่อัปเดตคอร์ ธีม และปลั๊กอินของ WordPress เป็นประจำอาจทำให้เว็บไซต์ของคุณเสี่ยงต่อช่องโหว่ด้านความปลอดภัยที่ทราบ
  • รหัสผ่านที่อ่อนแอ: การใช้รหัสผ่านที่ไม่รัดกุมหรือคาดเดาได้ง่ายทำให้ผู้โจมตีเข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาตได้ง่ายขึ้น
  • ช่องโหว่ของปลั๊กอิน: การเลือกเพิ่มปลั๊กอินที่ไม่ปลอดภัยให้กับกลุ่มเทคโนโลยีของคุณจะทำให้ผู้โจมตีที่เป็นอันตรายมีโอกาสแฮ็กเว็บไซต์ของคุณ
  • การโจมตีแบบ Brute Force: ผู้โจมตีพยายามเข้าถึงโดยลองใช้ชื่อผู้ใช้และรหัสผ่านที่แตกต่างกันซ้ำๆ จนกว่าจะพบชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง
  • การแทรก SQL: สิ่งนี้เกิดขึ้นเมื่อผู้โจมตีแทรกโค้ด SQL ที่เป็นอันตรายลงในช่องป้อนข้อมูลของไซต์ของคุณ ซึ่งอาจเข้าถึงฐานข้อมูลและข้อมูลที่ละเอียดอ่อนของคุณได้
  • การเขียนสคริปต์ข้ามไซต์ (XSS): ผู้โจมตีแทรกสคริปต์ที่เป็นอันตรายลงในหน้าเว็บที่ผู้ใช้รายอื่นดู ซึ่งอาจนำไปสู่การขโมยข้อมูลหรือทำให้ไซต์เสียหายได้
  • การปลอมแปลงคำขอข้ามไซต์ (CSRF): สิ่งนี้เกี่ยวข้องกับการหลอกผู้ใช้ที่ได้รับการรับรองความถูกต้องให้ดำเนินการที่เป็นอันตรายโดยที่พวกเขาไม่รู้
  • การหาประโยชน์จากการรวมไฟล์: ผู้โจมตีใช้ประโยชน์จากอินพุตของผู้ใช้ที่ได้รับการดูแลไม่ดีเพื่อรวมไฟล์ที่เป็นอันตรายไว้บนเซิร์ฟเวอร์ของคุณ
  • สแปมและมัลแวร์: ความล้มเหลวในการป้องกันสแปมความคิดเห็นและมัลแวร์อาจนำไปสู่ไซต์ที่ถูกบุกรุก
  • ฟิชชิ่ง: ผู้โจมตีอาจใช้หน้าเข้าสู่ระบบหรืออีเมลปลอมเพื่อหลอกให้ผู้ใช้เปิดเผยข้อมูลรับรองการเข้าสู่ระบบหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ
  • ข้อมูลรั่วไหล: ไซต์ที่ได้รับการกำหนดค่าไม่ดีหรือบริการของบุคคลที่สามอาจนำไปสู่การละเมิดข้อมูลหรือการรั่วไหลของข้อมูลผู้ใช้
  • การโจมตี DDoS: การโจมตีแบบปฏิเสธการให้บริการแบบกระจายสามารถขัดขวางความพร้อมใช้งานของไซต์ได้ด้วยปริมาณการรับส่งข้อมูลที่ล้นหลาม

ช่องโหว่ปลั๊กอิน LiteSpeed ​​Cache และความสำคัญของปลั๊กอิน WordPress ที่ปลอดภัย

ช่องโหว่การเขียนสคริปต์ล่าสุดในปลั๊กอิน LiteSpeed ​​Cache ยอดนิยมส่งผลกระทบต่อเว็บไซต์มากกว่า 4 ล้านเว็บไซต์

ช่วยให้ผู้คุกคามที่มีสิทธิ์ระดับผู้สนับสนุนหรือสูงกว่าสามารถแทรกสคริปต์เว็บที่เป็นอันตรายลงในหน้าเว็บโดยใช้รหัสย่อของปลั๊กอิน โชคดีที่ทีม WordFence ตรวจพบการละเมิดและรายงานได้ทันท่วงที

ต่อไปนี้คือสิ่งที่ต้องทำเพื่อให้แน่ใจว่ากลุ่มเทคโนโลยีของคุณจะไม่เป็นอันตรายต่อเว็บไซต์ของคุณ:

  • ตรวจสอบประวัติและชื่อเสียงของปลั๊กอิน: การติดตั้งที่ใช้งานอยู่จำนวนมากและบทวิจารณ์เชิงบวกจะช่วยให้คุณประเมินความน่าเชื่อถือของปลั๊กอินได้
  • วิเคราะห์ความถี่ในการอัปเดต: ตรวจสอบให้แน่ใจว่าปลั๊กอินได้รับการอัปเดตเป็นประจำ โดยการอัปเดตครั้งล่าสุดมีอายุไม่เกินสองสามเดือน

รายละเอียดปลั๊กอิน WordPress และข้อมูลทางเทคนิค

  • ตรวจสอบการตอบกลับการสนับสนุนของนักพัฒนา: ตรวจสอบฟอรัมการสนับสนุนสำหรับปลั๊กอินเพื่อดูว่านักพัฒนาตอบสนองและช่วยเหลือได้ดีเพียงใด การสนับสนุนที่ดีสามารถบ่งบอกถึงความมุ่งมั่นต่อคุณภาพและความปลอดภัยของปลั๊กอิน
  • ตรวจสอบความเข้ากันได้กับเวอร์ชัน WordPress ของคุณ: ปลั๊กอินที่เข้ากันไม่ได้อาจทำให้เกิดช่องโหว่ด้านความปลอดภัยหรือทำให้เกิดปัญหาด้านการทำงาน
  • ประเมินคุณสมบัติและการอนุญาตของปลั๊กอิน: ระวังปลั๊กอินที่ต้องมีการอนุญาตที่ไม่จำเป็นหรือเสนอชุดคุณสมบัติที่มากเกินไปซึ่งไม่จำเป็น รหัสที่มากขึ้นอาจหมายถึงโอกาสที่มากขึ้นสำหรับช่องโหว่ด้านความปลอดภัย
  • ดำเนินการตรวจสอบความปลอดภัย: ใช้เครื่องมือเช่น WPScan เพื่อระบุช่องโหว่ที่ทราบของปลั๊กอิน ค้นหาคำแนะนำด้านความปลอดภัยหรือการสนทนาที่เกี่ยวข้องกับปลั๊กอิน

บทความการละเมิดความปลอดภัยของปลั๊กอิน LiteSpeed ​​Cache โดย WordFence

  • เริ่มต้นด้วยสภาพแวดล้อมการทดสอบ: ก่อนที่จะติดตั้งปลั๊กอินใหม่บนไซต์ที่ใช้งานอยู่ของคุณ ให้ทดสอบบนไซต์ชั่วคราวเพื่อตรวจสอบพฤติกรรมและให้แน่ใจว่าไม่มีช่องโหว่
  • มองหาการรับรองหรือการรับรองด้านความปลอดภัย: ปลั๊กอินบางตัวอาจมีการตรวจสอบความปลอดภัยหรือการรับรองจากบริษัทบุคคลที่สามที่มีชื่อเสียง ซึ่งสามารถเพิ่มความน่าเชื่อถือได้
  • ระมัดระวังด้วยปลั๊กอินฟรี: แม้ว่าปลั๊กอินฟรีจำนวนมากจะมีความปลอดภัยและได้รับการดูแลอย่างดี แต่คุณควรใช้ความรอบคอบเสมอ เนื่องจากปลั๊กอินฟรีอาจไม่ให้การสนับสนุนและอัปเดตอย่างต่อเนื่องเสมอไป
  • สำรองข้อมูลไซต์ของคุณเป็นประจำ: แม้ว่าจะมีข้อควรระวังทั้งหมด การสำรองข้อมูลไซต์ของคุณเป็นประจำก็เป็นสิ่งสำคัญ สิ่งนี้ไม่ได้ป้องกันปัญหาแต่ทำให้คุณสามารถกู้คืนได้อย่างรวดเร็วหากมีสิ่งผิดปกติเกิดขึ้น

เพิ่มประสิทธิภาพความเร็วและประสิทธิภาพของคุณด้วยปลั๊กอินที่ช่วยให้เว็บไซต์ของคุณปลอดภัย เริ่มต้นใช้งาน NitroPack →

จะตรวจสอบว่าเว็บไซต์ WordPress ของคุณปลอดภัยได้อย่างไร?

เมื่อมีข้อสงสัย คุณสามารถเริ่มต้นใช้งานเว็บไซต์ของคุณผ่านเครื่องสแกนความปลอดภัยเว็บไซต์ออนไลน์ เช่น Qualys, SiteLock หรือ VirusTotal เครื่องมือเหล่านี้สามารถตรวจสอบมัลแวร์ ช่องโหว่ และปัญหาด้านความปลอดภัยอื่นๆ

SiteLock เครื่องสแกนความปลอดภัยเว็บไซต์ฟรีออนไลน์

นอกจากนี้ คุณสามารถเลือกปลั๊กอินความปลอดภัย WordPress ที่มีชื่อเสียงได้หลายตัว เช่น Wordfence Security, Sucuri Security, iThemes Security, NinjaScanner และ WPScan ข้ามไปที่ ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด เพื่อดูรายละเอียดและคุณสมบัติเพิ่มเติมเพื่อตัดสินใจเลือกเว็บไซต์ของคุณ

สิ่งจำเป็นด้านความปลอดภัยของ WordPress

ขั้นตอนแรกในการปกป้องเว็บไซต์ของคุณคือดำเนินการตรวจสอบความปลอดภัยของ WordPress อย่างเต็มรูปแบบ ทำตามขั้นตอนด้านล่าง:

1. อัปเดตคอร์ ธีม และปลั๊กอิน WordPress ของคุณ

การทำให้ซอฟต์แวร์ของคุณทันสมัยอยู่เสมอเป็นหนึ่งในมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพสูงสุด เพียงไปที่ผู้ดูแลระบบ WP ของคุณและตรวจสอบการอัปเดตที่มีอยู่ WordPress มอบวิธีง่ายๆ ในการอัปเดตปลั๊กอินของคุณเป็นกลุ่ม เพียงตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลและตรวจสอบเว็บไซต์ของคุณเมื่อมีการอัปเดตแล้ว

เมนูอัปเดตผู้ดูแลระบบ WordPress

เคล็ดลับสำหรับมือโปร : ลบปลั๊กอินที่ไม่ได้ใช้ออกจากกลุ่มเทคโนโลยีของคุณโดยสมบูรณ์

2. ตรวจสอบให้แน่ใจว่าคุณและผู้ใช้ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน

พิจารณาใช้เครื่องมือจัดการรหัสผ่านที่มีชื่อเสียง เช่น LastPass, Dashlane หรือ 1Password เครื่องมือเหล่านี้สามารถสร้าง จัดเก็บ และกรอกรหัสผ่านที่ซับซ้อนให้คุณโดยอัตโนมัติ รหัสผ่านที่คาดเดายากมีอักขระมากกว่า 10 ตัว ใช้ทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก และอย่าข้ามสัญลักษณ์พิเศษ

ตัวอย่างความแข็งแกร่งของรหัสผ่าน

3. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA)

เพิ่มการป้องกันอีกชั้นโดยการตั้งค่า 2FA ด้วยปลั๊กอินเช่น WP 2FA ซึ่งกำหนดให้ผู้ใช้ต้องจัดให้มีการยืนยันรูปแบบที่สองนอกเหนือจากรหัสผ่าน มาตรการพิเศษอีกประการหนึ่งคือการจำกัดความพยายามในการเข้าสู่ระบบและกำหนดเวลานอกสำหรับผู้ใช้ที่แสดงพฤติกรรมที่น่าสงสัย

4. สำรองฐานข้อมูลและไฟล์ของเว็บไซต์ของคุณ

หากคุณรู้สึกมั่นใจในทักษะด้านเทคโนโลยีของคุณ:

เข้าถึงไฟล์ของเว็บไซต์ของคุณผ่าน FTP (File Transfer Protocol) หรือตัวจัดการไฟล์ที่ผู้ให้บริการโฮสติ้งของคุณให้ไว้ ดาวน์โหลดไฟล์ทั้งหมดจากไดเรกทอรีรากของ WordPress (โดยปกติจะเป็น โฟลเดอร์ public_html หรือ www ) ไปยังคอมพิวเตอร์ของคุณ จากนั้น เข้าถึงฐานข้อมูลเว็บไซต์ของคุณโดยใช้ phpMyAdmin ซึ่งมักจะมีอยู่ในแผงควบคุมโฮสติ้งของคุณ เลือกฐานข้อมูล WordPress ของคุณและส่งออกฐานข้อมูลทั้งหมด บันทึกฐานข้อมูลที่ส่งออกเป็นไฟล์ SQL บนเครื่องคอมพิวเตอร์ของคุณ

หรือ ใช้ปลั๊กอินเช่น Updraft Plus เพื่อตั้งค่าการสำรองข้อมูลอัตโนมัติตามช่วงเวลาที่ต้องการ

ปลั๊กอิน WordPress Updraft Plus

5. ใช้ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF)

ไฟร์วอลล์เว็บไซต์จะบล็อกการรับส่งข้อมูลที่เป็นอันตรายทั้งหมดก่อนที่จะเข้าถึงเว็บไซต์ของคุณด้วยซ้ำ มีสองวิธีในการทำเช่นนี้:

  • ไฟร์วอลล์เว็บไซต์ระดับ DNS: อนุญาตให้ส่งการรับส่งข้อมูลของแท้ไปยังเว็บเซิร์ฟเวอร์ของคุณโดยการกำหนดเส้นทางการรับส่งข้อมูลผ่านเซิร์ฟเวอร์พร็อกซีคลาวด์เท่านั้น
  • ไฟร์วอลล์ระดับแอปพลิเคชัน: วิเคราะห์การรับส่งข้อมูลเมื่อมาถึงเซิร์ฟเวอร์ของคุณและก่อนที่จะโหลดสคริปต์ WordPress ส่วนใหญ่ อย่างไรก็ตาม มันไม่ได้มีประสิทธิภาพเท่าที่ควรเพื่อเพิ่มภาระให้กับเซิร์ฟเวอร์

ตรวจสอบปลั๊กอิน WordPress Firewall ที่ดีที่สุด

6. เปลี่ยนไปใช้ผู้ให้บริการโฮสติ้งที่มีชื่อเสียง

ผู้ให้บริการโฮสติ้งที่มีชื่อเสียงสำหรับ WordPress ควรนำเสนอฟีเจอร์ความปลอดภัยที่แข็งแกร่ง การตรวจสอบเชิงรุก และการสนับสนุนที่ตอบสนองเพื่อรักษาเว็บไซต์ของคุณให้ปลอดภัย

คุณสมบัติที่ต้องมองหา ได้แก่ (และไม่จำกัดเพียง):

  • การรักษาความปลอดภัยโครงสร้างพื้นฐานที่แข็งแกร่ง
  • การรวมใบรับรอง SSL
  • การสำรองข้อมูลปกติ
  • การตรวจสอบเครือข่ายตลอด 24 ชั่วโมงทุกวัน
  • การป้องกัน DDoS
  • การสแกนและกำจัดมัลแวร์
  • อัปเดต WordPress อัตโนมัติ
  • การแคชระดับเซิร์ฟเวอร์ที่กำหนดค่าโดยเฉพาะสำหรับ WordPress
  • รองรับโปรโตคอลการถ่ายโอนไฟล์ที่ปลอดภัย (SFTP)
  • การแยกระหว่างบัญชีบนโฮสติ้งที่ใช้ร่วมกัน

อ่านคำแนะนำที่ครอบคลุมของเราเกี่ยวกับ วิธีเลือกผู้ให้บริการเว็บโฮสติ้งที่เหมาะสม สำหรับเว็บไซต์ของคุณ

เทคนิคขั้นสูงเพื่อปรับปรุงความปลอดภัยของ WordPress

เทคนิคด้านล่างนี้ต้องให้ผู้ดูแลระบบเข้าถึง WordPress และมีความรู้ด้านเทคนิคในระดับที่เพียงพอ ก่อนที่จะพยายามทำตามขั้นตอนเหล่านี้ ให้สำรองข้อมูลเว็บไซต์ของคุณเสมอ และใช้เวลาในการพิจารณาติดต่อผู้เชี่ยวชาญด้านความปลอดภัยของ WordPress

ย้ายไซต์ WordPress ของคุณไปที่ SSL/HTTPS

SSL (Secure Sockets Layer) เข้ารหัสข้อมูลที่ถ่ายโอนระหว่างเบราว์เซอร์ของผู้ใช้และเว็บเซิร์ฟเวอร์ของคุณ ช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณ

คำแนะนำ:

  • ซื้อใบรับรอง SSL จากผู้ให้บริการโฮสติ้งของคุณหรือใช้ใบรับรองฟรี
  • ติดตั้งและเปิดใช้งานใบรับรองผ่านบัญชีโฮสติ้งของคุณ
  • อัปเดต URL WordPress ของคุณโดยไปที่การตั้งค่า > ทั่วไป และอัปเดตที่อยู่ WordPress (URL) และที่อยู่เว็บไซต์ (URL) จาก http:// เป็น https://
  • บังคับใช้ SSL โดยเพิ่มโค้ดต่อไปนี้ลงในไฟล์ .htaccess ของคุณ:

เขียนโปรแกรมใหม่อีกครั้ง
 เขียนใหม่ %{SERVER_PORT} 80
 กฎการเขียนใหม่ ^(.*)$ https://www.yourdomain.com/$1 [R,L]

เปลี่ยน URL หน้าเข้าสู่ระบบ WordPress

ตามค่าเริ่มต้น หน้าเข้าสู่ระบบ WordPress สามารถเข้าถึงได้ง่ายผ่าน wp-login.php หรือ wp-admin การเปลี่ยนแปลงนี้สามารถช่วยป้องกันความพยายามเข้าสู่ระบบโดยไม่ได้รับอนุญาต

คำแนะนำ:

  • แก้ไขไฟล์ .htaccess ในไดเรกทอรีรากของ WordPress และเพิ่ม:

เขียนกฎใหม่ ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

  • แทนที่ mylogin ด้วย slug URL สำหรับเข้าสู่ระบบใหม่และ 123 ด้วยสตริงสุ่ม


เปลี่ยนชื่อผู้ใช้ “ผู้ดูแลระบบ” เริ่มต้น

ชื่อผู้ใช้ “ผู้ดูแลระบบ” เริ่มต้นเป็นเป้าหมายของแฮกเกอร์ ดังนั้นจึงควรเปลี่ยนจะดีกว่า

คำแนะนำ:

  • สร้างผู้ใช้ใหม่ใน WordPress โดยไปที่ผู้ใช้ > เพิ่มใหม่
  • มอบหมายบทบาทผู้ดูแลระบบให้กับผู้ใช้ใหม่
  • ออกจากระบบและเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบใหม่
  • ลบผู้ใช้ “ผู้ดูแลระบบ” เก่า และระบุเนื้อหาทั้งหมดให้กับผู้ใช้ใหม่

ปิดการใช้งานการแก้ไขไฟล์

WordPress ช่วยให้ผู้ดูแลระบบสามารถแก้ไขไฟล์ PHP ของปลั๊กอินและธีมได้ การปิดใช้งานคุณสมบัตินี้ช่วยเพิ่มความปลอดภัย

คำแนะนำ:

  • เพิ่มบรรทัดต่อไปนี้ลงในไฟล์ wp-config.php ของคุณ:

กำหนด('DISALLOW_FILE_EDIT', จริง);

ปิดใช้งานการดำเนินการไฟล์ PHP ในไดเรกทอรี WordPress บางรายการ

การป้องกันการดำเนินการ PHP ในไดเร็กทอรี เช่น wp-content/uploads สามารถช่วยป้องกันไม่ให้สคริปต์ที่เป็นอันตรายทำงาน

คำแนะนำ:

  • สร้างไฟล์ .htaccess ในไดเร็กทอรีที่คุณต้องการป้องกันและเพิ่ม:


 ปฏิเสธจากทั้งหมด

เปลี่ยนคำนำหน้าฐานข้อมูล WordPress เริ่มต้น

คำนำหน้าฐานข้อมูล wp_ เริ่มต้นนั้นเป็นที่รู้จักกันดี ดังนั้นการเปลี่ยนแปลงจึงสามารถช่วยปกป้องฐานข้อมูลของคุณจากการโจมตีแบบแทรก SQL ได้

คำแนะนำ:

  • สำรองฐานข้อมูลของคุณ
  • ไปที่ phpMyAdmin เลือกฐานข้อมูลของคุณ และเลือกแท็บ "การดำเนินการ"
  • ใต้ "คำนำหน้าตาราง" ให้เปลี่ยน wp_ เป็นคำนำหน้าใหม่ของคุณ (เช่น wpnew_) แล้วคลิก "ไป"

ปิดใช้งานการสร้างดัชนีและการเรียกดูไดเรกทอรี

วิธีนี้จะป้องกันไม่ให้แฮกเกอร์เห็นไฟล์ในไดเร็กทอรีของคุณ

คำแนะนำ:

  • เพิ่มบรรทัดต่อไปนี้ลงในไฟล์ .htaccess ของคุณ:

ตัวเลือก -ดัชนี

ปิดการใช้งาน XML-RPC ใน WordPress

XML-RPC สามารถนำไปใช้ในการโจมตีแบบ bruteforce ได้ การปิดใช้งานจะช่วยเพิ่มความปลอดภัยได้

คำแนะนำ:

  • เพิ่มรหัสต่อไปนี้ลงในไฟล์ .htaccess ของคุณ:

# บล็อกคำขอ WordPress xmlrpc.php

 คำสั่งปฏิเสธอนุญาต
 ปฏิเสธจากทั้งหมด

ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานใน WordPress โดยอัตโนมัติ:

วิธีนี้สามารถป้องกันการใช้งานเซสชันที่ไม่ได้ใช้งานโดยไม่ได้รับอนุญาต

คำแนะนำ:

  • เพิ่มโค้ดนี้ลงในไฟล์ Functions.php ของธีมของคุณ:

add_action('wp_enqueue_scripts', 'idle_logout');
 ฟังก์ชั่น idle_logout() {
 ถ้า (is_user_logged_in()) {
 wp_enqueue_script('idle_logout', '/path-to-your-script/idle-logout.js', array('jquery'), '1.0.0', จริง);
 }
 }

  • จากนั้น สร้างไฟล์ idle-logout.js ด้วย JavaScript เพื่อติดตามเวลาว่างและออกจากระบบผู้ใช้


ซ่อนเวอร์ชัน WordPress

การเปิดเผยเวอร์ชัน WordPress สามารถให้ข้อมูลอันมีค่าแก่แฮกเกอร์เพื่อค้นหาช่องโหว่ด้านความปลอดภัย

คำแนะนำ:

  • เพิ่มบรรทัดต่อไปนี้ลงในไฟล์ Functions.php ของธีมของคุณ:

Remove_action('wp_head', 'wp_generator');

บล็อกฮอตลิงค์

ฮอตลิงก์สามารถขโมยแบนด์วิดท์ได้โดยลิงก์ไปยังไฟล์เว็บไซต์ของคุณจากเว็บไซต์อื่นโดยตรง

คำแนะนำ:

  • เพิ่มรหัสต่อไปนี้ลงในไฟล์ .htaccess ของคุณ:

เขียนใหม่เครื่องยนต์บน
 เขียนใหม่ %{HTTP_REFERER} !^$
 RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
 กฎการเขียนซ้ำ \.(jpg|jpeg|png|gif)$ – [NC,F,L]

ตรวจสอบบทบาทของผู้ใช้ และตั้งค่าสิทธิ์ของไฟล์

จำกัดการเข้าถึงพื้นที่ละเอียดอ่อนเฉพาะสำหรับผู้ที่ต้องการและตั้งค่าการอนุญาตไฟล์ที่เหมาะสมสำหรับไดเร็กทอรีและไฟล์บนเซิร์ฟเวอร์ของคุณ จำกัดการเข้าถึงไฟล์และโฟลเดอร์ที่สำคัญ

ไฟล์และไดเร็กทอรี WordPress ใช้รหัสตัวเลขสามหลักเพื่อแสดงสิทธิ์ แต่ละหลักสอดคล้องกับระดับสิทธิ์เฉพาะ:

4: อ่าน (r)
 2: เขียน (ญ)
 1: ดำเนินการ (x)

สิทธิ์ที่แนะนำสำหรับไฟล์และไดเร็กทอรี WordPress ต่างๆ มีดังนี้:

  • ไฟล์ (เช่น .php, .html): 644 (เจ้าของสามารถอ่านและเขียนได้; คนอื่นสามารถอ่านได้)
  • ไดเร็กทอรี: 755 (เจ้าของสามารถอ่าน เขียน และดำเนินการได้ ส่วนผู้อื่นสามารถอ่านและดำเนินการได้)
  • wp-config.php (ไฟล์กำหนดค่าที่สำคัญ): 600 (เจ้าของสามารถอ่านและเขียนได้ ส่วนผู้อื่นไม่สามารถเข้าถึงได้)
  • .htaccess (การกำหนดค่าเซิร์ฟเวอร์): 644 (เจ้าของสามารถอ่านและเขียนได้ ผู้อื่นสามารถอ่านได้)
  • ไดเรกทอรีอัพโหลด (เช่น wp-content/uploads): 755 (เจ้าของสามารถอ่าน เขียน และดำเนินการได้ ส่วนผู้อื่นสามารถอ่านและดำเนินการได้)

5 ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด

มีปลั๊กอินความปลอดภัย WordPress หลายตัวที่สามารถช่วยตรวจสอบและปกป้องเว็บไซต์ของคุณ:

1. ความปลอดภัยของ Wordfence

ปลั๊กอิน WordPress ความปลอดภัย WordFence

Wordfence เป็นปลั๊กอินรักษาความปลอดภัยที่ครอบคลุมสำหรับ WordPress มันมีฟีเจอร์ต่างๆ เช่น การป้องกันไฟร์วอลล์ การสแกนมัลแวร์ การตรวจสอบความพยายามในการเข้าสู่ระบบและอื่นๆ อีกมากมาย เวอร์ชันฟรีมีการตรวจสอบความปลอดภัยที่มีคุณค่า ในขณะที่เวอร์ชันพรีเมียมมีฟีเจอร์ขั้นสูง

จำนวนการติดตั้ง: 4+ ล้าน
 คะแนน: 4.7/5

2. การรักษาความปลอดภัยซูกุริ

ปลั๊กอิน WordPress ของ Sucuri Security

Sucuri เป็นแพลตฟอร์มรักษาความปลอดภัยบนเว็บที่นำเสนอเครื่องมือสแกนเว็บไซต์ฟรี จะตรวจสอบเว็บไซต์ของคุณเพื่อหามัลแวร์ ปัญหาด้านความปลอดภัย และช่องโหว่ พวกเขายังเสนอบริการรักษาความปลอดภัยแบบชำระเงินสำหรับการป้องกันและการตรวจสอบแบบเรียลไทม์

จำนวนการติดตั้ง: 900,000+
 คะแนน: 4.2/5

3. การรักษาความปลอดภัยที่มั่นคง

ปลั๊กอิน WordPress ความปลอดภัยที่มั่นคง

Solid Security เป็นปลั๊กอินความปลอดภัย WordPress ที่ทันสมัยซึ่งออกแบบมาเพื่อเสริมความแข็งแกร่งให้กับเว็บไซต์ของคุณ เต็มไปด้วยคุณสมบัติที่สำคัญ เช่น การป้องกันไฟร์วอลล์แบบเรียลไทม์ การสแกนมัลแวร์และกลไกการเข้าสู่ระบบที่ปลอดภัย มันนำเสนอโซลูชั่นแบบครบวงจรเพื่อรักษาความปลอดภัยให้กับสถานะออนไลน์ของคุณ ด้วยอินเทอร์เฟซที่ใช้งานง่ายและการตรวจสอบความปลอดภัยอัตโนมัติ Solid Security รับประกันความอุ่นใจด้วยการปกป้องไซต์ของคุณจากภัยคุกคามล่าสุด

จำนวนการติดตั้ง: 900,000+
 คะแนน: 4.6/5

4. นินจารักษาความปลอดภัย

ปลั๊กอิน WordPress ความปลอดภัย Ninja

Security Ninja เป็นปลั๊กอินความปลอดภัยที่ครอบคลุมซึ่งออกแบบมาสำหรับเว็บไซต์ WordPress ด้วยชุดเครื่องมือที่แข็งแกร่ง รวมถึงเครื่องสแกนหลัก การตรวจจับมัลแวร์ และเครื่องมือแก้ไขอัตโนมัติ ช่วยให้มั่นใจได้ถึงความสมบูรณ์และความยืดหยุ่นของไซต์ของคุณ การตรวจสอบความปลอดภัยเชิงรุกของปลั๊กอินและการแก้ไขในคลิกเดียวช่วยให้เจ้าของเว็บไซต์สามารถปกป้องเว็บไซต์ของตนได้ ไม่ว่าคุณจะเป็นมือใหม่หรือผู้ที่เชี่ยวชาญด้านเทคโนโลยี Security Ninja เป็นเครื่องมือที่ยอดเยี่ยมในการป้องกันภัยคุกคามทางไซเบอร์

จำนวนการติดตั้ง: 10,000+
 คะแนน: 4.8/5

5. เจ็ทแพ็คปกป้อง

Jetpack ป้องกันปลั๊กอิน WordPress

Jetpack Protect เชี่ยวชาญในการปกป้องไซต์ WordPress จากการบุกรุกที่ไม่พึงประสงค์ มันมีการป้องกันการโจมตีแบบ bruteforce ที่แข็งแกร่งและการตรวจสอบการหยุดทำงานเพื่อให้เว็บไซต์ของคุณปลอดภัยและดำเนินงาน ด้วยการตั้งค่าที่คล่องตัว Jetpack Protect ผสานรวมการสำรองข้อมูลแบบเรียลไทม์และการป้องกันสแปมได้อย่างราบรื่น ทำให้มั่นใจได้ว่าข้อมูลในไซต์ของคุณยังคงไม่เสียหายและการโต้ตอบของคุณเป็นของแท้

จำนวนการติดตั้ง: 100,000+
 คะแนน: 4.8/5


จะทำอย่างไรถ้าเว็บไซต์ WordPress ของคุณถูกแฮ็ก

การค้นพบว่าเว็บไซต์ WordPress ของคุณถูกแฮ็กอาจเป็นประสบการณ์ที่น่าวิตก แต่สิ่งสำคัญคือต้องดำเนินการอย่างรวดเร็วเพื่อลดความเสียหายและฟื้นฟูความปลอดภัยของเว็บไซต์ของคุณ

  1. แยกเว็บไซต์: หากคุณมีเว็บไซต์หลายแห่งที่โฮสต์บนเซิร์ฟเวอร์เดียวกัน ให้แยกเว็บไซต์ที่ถูกแฮ็กออกเพื่อป้องกันการติดไวรัสไม่ให้แพร่กระจายไปยังผู้อื่น ซึ่งอาจเกี่ยวข้องกับการทำให้ไซต์ที่ได้รับผลกระทบออฟไลน์ชั่วคราว
  2. คืนค่าการสำรองข้อมูลล่าสุดของเว็บไซต์ของคุณ: หากต้องการแก้ไขปัญหาอย่างรวดเร็ว ให้เปลี่ยนกลับเป็นเวอร์ชันก่อนหน้าของเว็บไซต์ของคุณ หากคุณไม่ได้สำรองข้อมูลเว็บไซต์ของคุณเมื่อเร็วๆ นี้ ให้พิจารณาพัฒนากลยุทธ์การสำรองข้อมูลหลังจากที่คุณทำตามขั้นตอนด้านล่างเสร็จแล้ว
  3. เปลี่ยนรหัสผ่าน: เปลี่ยนรหัสผ่านสำหรับบัญชีผู้ใช้ทั้งหมดบนไซต์ WordPress ของคุณ รวมถึงผู้ดูแลระบบ ผู้แก้ไข และผู้มีส่วนร่วม ตรวจสอบให้แน่ใจว่ามีการใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน
  4. สแกนหามัลแวร์: ใช้ปลั๊กอินความปลอดภัยหรือเครื่องมือสแกนมัลแวร์ของบริษัทอื่นเพื่อสแกนเว็บไซต์ของคุณเพื่อหาโค้ดและมัลแวร์ที่เป็นอันตราย หากคุณได้เปิดใช้งานไว้แล้ว โปรดติดต่อนักพัฒนาซอฟต์แวร์เพื่อแก้ไขปัญหาโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญ
  5. ระบุและลบไฟล์ที่น่าสงสัย: ตรวจสอบไฟล์และไดเรกทอรีของเว็บไซต์ของคุณเพื่อหาไฟล์ที่ไม่คุ้นเคยหรือน่าสงสัย แฮกเกอร์มักจะแทรกโค้ดที่เป็นอันตรายลงในไฟล์หลัก ธีม หรือปลั๊กอิน ลบไฟล์ใดๆ ที่คุณสงสัยว่าถูกบุกรุก
  6. ทำความสะอาดฐานข้อมูล: ตรวจสอบฐานข้อมูล WordPress ของคุณเพื่อหาการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตหรือเนื้อหาที่น่าสงสัย คืนค่าตารางหรือรายการที่แก้ไขใด ๆ ให้เป็นสถานะดั้งเดิม
  7. ตรวจสอบบัญชีผู้ใช้: ตรวจสอบรายชื่อผู้ใช้ที่ลงทะเบียนของคุณและลบบัญชีที่ไม่คุ้นเคยหรือไม่ได้รับอนุญาต ตรวจสอบให้แน่ใจว่าไม่มีผู้ดูแลระบบที่ไม่ได้รับอนุญาต
  8. เปลี่ยนคีย์ความปลอดภัยและเกลือ: ในไฟล์ wp-config.php ให้เปลี่ยนคีย์ความปลอดภัยและเกลือของคุณ ขั้นตอนนี้สามารถช่วยทำให้ข้อมูลรับรองการเข้าสู่ระบบที่ถูกขโมยเป็นโมฆะได้
  9. แจ้งผู้เยี่ยมชม: หากแฮ็คอาจเปิดเผยข้อมูลผู้ใช้ที่ละเอียดอ่อน ให้ปฏิบัติตามกฎหมายการแจ้งเตือนการละเมิดข้อมูล และแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบถึงการละเมิด

วิธีปรับปรุงคำถามที่พบบ่อยเกี่ยวกับความปลอดภัยของ WordPress

WordPress ปลอดภัยเพียงพอหรือไม่?

WordPress เป็นระบบจัดการเนื้อหา (CMS) ที่มีชื่อเสียง และเนื่องจากได้รับความนิยมมาก จึงมักกลายเป็นเป้าหมายของผู้โจมตี อย่างไรก็ตาม ไม่ว่า WordPress จะ "ปลอดภัยเพียงพอ" หรือไม่นั้นขึ้นอยู่กับหลายปัจจัย รวมถึงวิธีที่คุณกำหนดค่า ดูแลรักษา และใช้งาน การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดที่ระบุไว้ในคู่มือนี้ คุณสามารถมั่นใจได้ว่าจะมีสภาพแวดล้อมที่ปลอดภัยสำหรับธุรกิจออนไลน์ของคุณ

WordPress เป็น CMS ที่ถูกแฮ็กมากที่สุดหรือไม่?

รายงานประจำปีของ Sucuri ในปี 2022 ระบุว่า WordPress เป็น CMS ที่ถูกแฮ็กบ่อยที่สุด โดย 96.2% ของการโจมตีมุ่งเน้นไปที่แพลตฟอร์ม เนื่องจากมีการใช้อย่างแพร่หลาย WordPress จึงเป็นเป้าหมายทั่วไปและมีรายงานการแฮ็กจำนวนมาก แต่ไม่ได้หมายความว่าจะมีความปลอดภัยน้อยกว่าแพลตฟอร์ม CMS อื่นๆ

ส่วนที่เปราะบางที่สุดของเว็บไซต์ WordPress คืออะไร?

ส่วนที่มีความเสี่ยงมากที่สุดมักเป็นธีมและปลั๊กอิน รวมถึงรหัสผ่านผู้ดูแลระบบที่ไม่รัดกุม

ฉันจะรักษาความปลอดภัยเว็บไซต์ WordPress ของฉันได้ฟรีได้อย่างไร

ใช้รหัสผ่านที่รัดกุม อัปเดต WordPress อยู่เสมอ และใช้ปลั๊กอินความปลอดภัยฟรี เช่น Wordfence หรือ Security Ninja เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณ

WordPress เวอร์ชันเก่าถูกแฮ็กง่ายกว่าหรือไม่?

ใช่ WordPress เวอร์ชันเก่านั้นถูกแฮ็กได้ง่ายกว่า เนื่องจากมักมีช่องโหว่ด้านความปลอดภัยที่ไม่ได้รับการติดตั้ง ตรวจสอบการอัปเดตล่าสุดเสมอเพื่อปกป้องเว็บไซต์ของคุณ

ฉันจะป้องกันมัลแวร์บน WordPress ได้อย่างไร?

อัปเดต WordPress อยู่เสมอ ใช้ธีมและปลั๊กอินที่มีชื่อเสียง และติดตั้งปลั๊กอินความปลอดภัยที่ให้การสแกนมัลแวร์และการป้องกันไฟร์วอลล์

ฉันจำเป็นต้องมีปลั๊กอินความปลอดภัยสำหรับ WordPress หรือไม่?

แนะนำให้ใช้ปลั๊กอินความปลอดภัยเนื่องจากมีมาตรการรักษาความปลอดภัยที่ครอบคลุมและสามารถทำให้งานหลายอย่างที่จำเป็นเพื่อรักษาไซต์ WordPress ปลอดภัยได้โดยอัตโนมัติ