• โฮมเพจ
  • บทความ
  • SEO
  • 20 เคล็ดลับความปลอดภัยของ WordPress เพื่อให้เว็บไซต์ของคุณปลอดภัย

20 เคล็ดลับความปลอดภัยของ WordPress เพื่อให้เว็บไซต์ของคุณปลอดภัย

เผยแพร่แล้ว: 2021-08-15

WordPress ได้กลายเป็นหนึ่งในระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุดสำหรับเว็บไซต์เพราะใช้งานง่ายมาก ข้อเสียคือไซต์ WordPress มีความเสี่ยงที่จะถูกโจมตีเช่นกัน

เมื่อคำนึงถึงสิ่งนี้ คุณควรทำตามขั้นตอนง่ายๆ สองสามขั้นตอนเพื่อเพิ่มความปลอดภัยก่อนที่ไซต์ของคุณจะเผยแพร่ ในบทความนี้ เราจะสรุป 20 เคล็ดลับที่จะช่วยให้เว็บไซต์ของคุณปลอดภัยจากแฮกเกอร์!

ที่เกี่ยวข้อง: 14 คำถามสำคัญที่ต้องถามเมื่อค้นหา Web Designer

1. อัพเดท WordPress เป็นประจำ

สิ่งสำคัญคือคุณต้องคอยอัปเดตการติดตั้ง WordPress อยู่เสมอ เพื่อให้มีการแก้ไขด้านความปลอดภัยล่าสุด ซึ่งจะช่วยป้องกันการโจมตีหลายรูปแบบ รวมทั้งการฉีด SQL และการโจมตีแบบเดรัจฉาน

คนใส่เสื้อ WordPress ทำงานบนคอมพิวเตอร์

2. อย่าติดตั้งปลั๊กอินหรือธีมจากแหล่งที่ไม่น่าเชื่อถือ

เป็นความคิดที่ดีเสมอที่จะใช้เฉพาะปลั๊กอินและธีมที่ WordPress จัดเตรียมไว้ให้ เนื่องจากพวกมันมีความน่าเชื่อถือมากกว่าที่พบในที่อื่นบนเว็บ หากเป็นไปได้ ให้ดาวน์โหลดโดยตรงจากภายในแผงการดูแลระบบของคุณ

สกรีนช็อตของหน้าจอเบราว์เซอร์ปลั๊กอินใน WordPress

3. สร้างรหัสผ่านที่รัดกุมสำหรับทุกสิ่ง

บัญชีของคุณทั้งหมดควรมีรหัสผ่านที่แตกต่างกัน โดยมีตัวอักษร ตัวเลข และสัญลักษณ์ที่ซับซ้อน แม้ว่ารหัสผ่านเหล่านี้อาจจำยาก แต่จะทำให้ผู้อื่นถอดรหัสได้ยากขึ้นมาก! หลีกเลี่ยงการใช้รหัสผ่านเดียวกันในหลาย ๆ ที่ มิฉะนั้น การประนีประนอมเพียงครั้งเดียวอาจส่งผลให้เกิดการสูญเสียครั้งใหญ่ได้

หน้าจอข้อมูลการเข้าสู่ระบบ

4. ปกป้องข้อมูลที่ละเอียดอ่อนด้วย Plugin

มีปลั๊กอินมากมายที่สามารถช่วยคุณปกป้องข้อมูลที่ละเอียดอ่อนได้ เช่น หมายเลขบัตรเครดิตและรหัสผ่าน ปลั๊กอินความปลอดภัยเหล่านี้จะช่วยปกป้องไซต์ของคุณจากการแฮ็ก มัลแวร์ การโจมตีแบบเดรัจฉาน การฉีด SQL และอื่นๆ

ล็อคสีน้ำเงินทั้งหมดวิ่งเป็นแถวโดยมีล็อคสีแดงอันเดียวอยู่ตรงกลางที่ปลดล็อค

5. อบรมพนักงานในเรื่องพื้นฐานการรักษาความปลอดภัยข้อมูล

เป็นความคิดที่ดีที่จะจัดให้มีการฝึกอบรมขั้นพื้นฐานสำหรับพนักงานของคุณ เพื่อให้พวกเขารู้ว่าจะรักษาข้อมูลของตนให้ปลอดภัยได้อย่างไรเมื่อใช้คอมพิวเตอร์ของบริษัทหรือเข้าถึงเว็บไซต์เช่นคุณ!

คนที่ชี้ไปที่อาจารย์ทุกคนในโต๊ะประชุม

6. สำรองข้อมูลเป็นประจำ

หนึ่งในวิธีที่ดีที่สุดในการป้องกันการสูญหายของข้อมูลคือการสำรองข้อมูลทุกอย่างอย่างสม่ำเสมอ คุณสามารถทำได้ด้วยตนเองหรือด้วยปลั๊กอิน แต่ให้แน่ใจว่าคุณจัดเก็บข้อมูลสำรองไว้ในตำแหน่งที่เข้ารหัส!

กองเซิร์ฟเวอร์

7. ติดตั้งไฟร์วอลล์บนคอมพิวเตอร์ของคุณ – หรือใช้ส่วนขยายเบราว์เซอร์

ไฟร์วอลล์คือแอปพลิเคชันที่ตรวจสอบแพ็กเก็ตเครือข่ายและค้นหากิจกรรมที่เป็นอันตราย ซึ่งจะช่วยปกป้องคอมพิวเตอร์ของคุณจากไวรัสและมัลแวร์อื่นๆ หากคุณยังไม่มี ลองใช้ปลั๊กอินเช่น WP Firewall Pro ซึ่งมีเครื่องมือป้องกันและตรวจสอบ

บุคคลบนคอมพิวเตอร์ด้วย google open

8. อย่าแชร์รายละเอียดการเข้าสู่ระบบกับใครเลย

หากคุณให้รหัสผ่านกับคนที่คุณรู้จัก คุณควรระวังว่าข้อมูลนี้อาจรั่วไหล ซึ่งอาจนำไปสู่บุคคลอันตรายที่เข้าถึงข้อมูลทั้งหมดของคุณได้!

คนเอานิ้วไปตบปาก

9. เข้ารหัสไฟล์ที่ละเอียดอ่อน เช่น .htaccess & wpconfig.php

หากคุณมีไฟล์ที่ละเอียดอ่อนที่ใช้ในการรักษาความปลอดภัยเว็บไซต์ของคุณ ให้พิจารณาเข้ารหัสไฟล์เหล่านั้น วิธีนี้จะช่วยป้องกันไม่ให้ผู้คนเข้าถึงและแก้ไขเนื้อหาของพวกเขา!

รหัสบนหน้าจอ

10. เปลี่ยน URL เข้าสู่ระบบของคุณ

URL ล็อกอินของ WordPress ส่วนใหญ่เป็น "WP-ADMIN" ตามค่าเริ่มต้น ซึ่งหมายความว่าแฮกเกอร์สามารถระบุ URL ล็อกอินของคุณได้อย่างง่ายดาย แล้วพยายามเจาะเข้าไป เพื่อหลีกเลี่ยงปัญหานี้ คุณสามารถเปลี่ยน URL เพื่อรวมอย่างอื่น เช่น “MY-SITE” คุณครอบคลุมปลั๊กอิน iThemes Security แล้ว!

กล่องประรอบ url ล็อกอิน WordPress

11. ปิดใช้งานการเข้าถึง XML-RPC API หากไม่ต้องการ

หากคุณไม่ต้องการความสามารถในการเผยแพร่ระยะไกล ให้ปิดใช้งานการเข้าถึง XML-RPC API ในการตั้งค่า ? การเขียน -> ตัวเลือกการเผยแพร่เพื่อให้แฮกเกอร์ไม่สามารถควบคุมเว็บไซต์ของคุณได้

คนสองคนแฮ็คบนคอมพิวเตอร์

12. ปิดใช้งานการเรียกดูไดเรกทอรี

ขอแนะนำให้ปิดไม่ให้ใครก็ตามที่นอกเหนือจากตัวคุณเองสามารถเรียกดูไดเร็กทอรีเว็บไซต์ของคุณได้ ถ้าคุณไม่ทำ ไฟล์อาจสามารถเข้าถึงได้หากมีผู้คาดเดาว่าไฟล์นั้นเรียกว่าอะไรและอยู่ที่ใดบนเซิร์ฟเวอร์ของคุณ!

คนทำงานบนเซิร์ฟเวอร์ด้วยกัน

13. ป้องกันตัวเองในเครือข่าย Wi-Fi สาธารณะ

Wi-Fi สาธารณะเป็นวิธีที่ยอดเยี่ยมในการประหยัดเงินค่าข้อมูล แต่ก็ไม่ปลอดภัยเสมอไป โดยเฉพาะอย่างยิ่งเมื่อใช้เว็บไซต์เช่น Facebook หรือ Gmail ซึ่งสามารถให้รายละเอียดการเข้าสู่ระบบได้หากไม่ได้รับการปกป้องด้วยการยืนยันแบบสองขั้นตอน! พิจารณาสร้างการเชื่อมต่อที่เข้ารหัสบนเครือข่ายโดยติดตั้งซอฟต์แวร์เครือข่ายส่วนตัวเสมือนก่อนลงชื่อเข้าใช้ที่ใดก็ตามที่สำคัญ

ป้ายที่มี wifi ฟรีเขียนไว้

14. ห้ามใช้ “admin” เป็นชื่อผู้ใช้

สิ่งสำคัญคือต้องเลือกชื่อผู้ใช้แต่ละชื่อที่คาดเดาได้ยาก หากคุณต้องเรียนรู้วิธีป้องกันไซต์ WordPress ของคุณจากการโจมตีแบบเดรัจฉานโดยใช้การรักษาความปลอดภัยอีกชั้นหนึ่งนอกเหนือจากรหัสผ่าน เช่น CAPTCHA และการจำกัดอัตรา

กล่อง CAPTCHA และช่องทำเครื่องหมาย

15. เปิดใช้งาน SSL หากเป็นไปได้

สิ่งนี้จะทำให้แน่ใจว่าข้อมูลผู้ใช้ได้รับการเข้ารหัสระหว่างการถ่ายโอนและให้ชั้นความปลอดภัยเพิ่มเติมหากบุคคลที่สามดักจับคุกกี้เซสชัน (สิ่งนี้อาจเกิดขึ้นเมื่อมีผู้ครอบครองทั้งพีซีและอุปกรณ์ของคุณ) ขั้นตอนนี้อาจต้องใช้ข้อมูลทางเทคนิค แต่ไม่ควรใช้เวลานานเกินไป!

หน้าจอแดชบอร์ดเซิร์ฟเวอร์

16. ติดตั้งแอป Google Authenticator สำหรับการตรวจสอบสิทธิ์สองปัจจัย

Google Authenticator จะส่งรหัสที่ไม่ซ้ำกันผ่านข้อความตัวอักษรทุกครั้งที่มีคนพยายามลงชื่อเข้าใช้บัญชีใดบัญชีหนึ่งของคุณ ซึ่งหมายความว่ามีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่จะสามารถผ่านหน้าจอเข้าสู่ระบบเพื่อเข้าถึงไซต์ของคุณได้

โลโก้ Google Authenticator

17. สแกนเว็บไซต์ของคุณเป็นประจำ

สิ่งสำคัญคือคุณต้องรักษาทั้งไฟล์และฐานข้อมูลให้เป็นปัจจุบัน เพื่อไม่ให้มีมัลแวร์หรือช่องโหว่ด้านความปลอดภัยที่แฮกเกอร์สามารถใช้ประโยชน์ได้ มีปลั๊กอินมากมายที่ช่วยในงานนี้ แต่เราขอแนะนำให้ใช้ WordFence เนื่องจากมีคุณสมบัติทั้งหมดที่จำเป็นในแพ็คเกจเดียว นอกจากนี้ยังมีการวิเคราะห์การเข้าชมแบบสด — มีประโยชน์หากมีสิ่งน่าสงสัยเกิดขึ้นบนไซต์ของคุณ!

โลโก้ Wordfence

18. ปกป้องพื้นที่ผู้ดูแลระบบ wp ของคุณ

แผงการดูแลระบบประกอบด้วยข้อมูลการจัดการเนื้อหาส่วนใหญ่ ดังนั้นจึงต้องตรวจสอบให้แน่ใจว่าข้อมูลนี้ได้รับการปกป้องอย่างดีจากการเข้าถึงโดยไม่ได้รับอนุญาต มีปลั๊กอินจำนวนมากที่สามารถช่วยคุณได้ เราขอแนะนำให้ใช้ WP Admin Protector หรือจำกัดการเข้าถึงผ่าน .htaccess หากคุณมีความรู้ด้านเทคนิคขั้นสูง

หน้าจอการตั้งค่าผู้ดูแลระบบ Wordpress

19. เปิดใช้งานกฎไฟร์วอลล์ที่แข็งแกร่งใน phpMyAdmin หรือ cPanel (เช่น ปฏิเสธ IP ทั้งหมด)

หากคุณต้องการชั้นการป้องกันเพิ่มเติม คุณสามารถตั้งกฎที่จะบล็อกใครก็ตามที่พยายามเข้าสู่ระบบ MySQL ด้วยชื่อผู้ใช้หรือรหัสผ่านที่ไม่ถูกต้องผ่าน phpMyAdmin หรือ cPanel ซึ่งหมายความว่าพวกเขาจะไม่สามารถทำอะไรได้อีกหากเกิดเหตุการณ์นี้ขึ้น!

นอกจากนี้ยังสามารถช่วยป้องกันการโจมตีด้วยการฉีด SQL โดยเพิ่มการตรวจสอบเพิ่มเติมก่อนที่จะแทรกแถวลงในตาราง ดังนั้นเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถดำเนินการได้

คำว่าความปลอดภัยอยู่เหนือคนแฮ็ค

20. จำกัดความพยายามในการเข้าสู่ระบบ

นี่เป็นความคิดที่ดีที่จะหลีกเลี่ยงการโจมตีด้วยกำลังเดรัจฉาน ใน "การตั้งค่าทั่วไป" คุณสามารถกำหนดจำนวนรหัสผ่านที่ไม่ถูกต้องที่อนุญาตก่อนที่จะบล็อกที่อยู่ IP ในช่วงเวลาหนึ่ง

รหัสบนหน้าจอคอมพิวเตอร์

บทสรุป

โดยสรุป มีหลายสิ่งที่คุณสามารถทำได้เพื่อปกป้องไซต์ WordPress ของคุณจากการโจมตี ซึ่งรวมถึงการใช้รหัสผ่านที่รัดกุม การสำรองข้อมูลอย่างสม่ำเสมอ และการติดตั้งปลั๊กอินเช่น WP Firewall Pro ที่จะช่วยป้องกันไม่ให้แฮกเกอร์เข้าถึงได้!

เช่นเดียวกับสิ่งอื่น ๆ ส่วนใหญ่ คนเลวทรามอาจไม่ต้องการทำอะไรกับเว็บไซต์ที่ดูแย่และไม่มีผู้ใช้มากนัก แม้ว่าจะไม่ได้รับการปกป้องอย่างดีก็ตาม ใช้แนวทางปฏิบัติที่ดีที่สุดสำหรับการออกแบบเว็บไซต์ทั้ง 13 ข้อนี้ แล้วนำไปรวมกับเคล็ดลับด้านความปลอดภัยที่คุณเพิ่งเรียนรู้เพื่อสร้างเว็บไซต์ขั้นสุดยอดด้วยการรักษาความปลอดภัยที่ไม่สามารถเข้าถึงได้!