ภัยคุกคามภายในและการป้องกันข้อมูลสูญหาย คำแนะนำสำหรับเว็บไซต์สื่อขนาดใหญ่บน WordPress

WordPress เป็นหนึ่งในระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุด และด้วยเหตุผลที่ดี มันใช้งานง่าย สามารถใช้ได้กับธีมและปลั๊กอินที่มีอยู่นับพัน และคุณสามารถสร้างเว็บไซต์ประเภทใดก็ได้ด้วยมัน ไม่น่าแปลกใจที่ WordPress รองรับ 40.5% ของเว็บไซต์ทั้งหมดบนเว็บ

แต่ความนิยมนี้มาพร้อมกับราคา WordPress มักถูกโจมตีโดยแฮกเกอร์และบุคคลภายใน ดังนั้น หากพนักงานที่เพิ่งเกษียณอายุได้เริ่มคัดลอกข้อมูลจำนวนมากจากเครือข่ายของบริษัทไปยังไดรฟ์ USB ของเขา ที่จริงแล้วอาจไม่มีเจตนาร้าย บางทีบุคคลนั้นอาจต้องการบันทึกไฟล์ข้อมูลที่เป็นประโยชน์ซึ่งจำเป็นสำหรับงานต่อไป น่าเสียดายที่สถานการณ์ที่พนักงานที่ลาออกแชร์ข้อมูลผลิตภัณฑ์ที่เป็นความลับ ข้อมูลทางกฎหมายที่สำคัญ ข้อมูลพนักงานส่วนบุคคล หรือคู่แข่งที่เป็นความลับทางการค้าก็เป็นที่นิยมเช่นกัน

บางบริษัทอาจประสบปัญหาในการตรวจจับความเสี่ยงภายในดังกล่าว นับประสาการแยกแยะระหว่างพฤติกรรมของพนักงานตามปกติและความผิดปกติที่คุกคามความได้เปรียบในการแข่งขันหรือชื่อเสียงของบริษัท

วันนี้เราจะมาดูกันว่าคุณจะลดโอกาสที่ข้อมูลรั่วไหลจากไซต์สื่อ WP ของคุณและป้องกันภัยคุกคามจากภายในได้อย่างไร โปรดทราบว่าปลั๊กอินบางตัว เช่น แชทบอท AI เก็บข้อมูลไว้นอกไซต์ WP ของคุณ และไม่มีความเสี่ยง

ค้นพบวิธีเผยแพร่ในไม่กี่วินาที ไม่ใช่ชั่วโมง

ลงชื่อสมัครใช้ตอนนี้เพื่อรับสิทธิ์ในการเข้าถึง Wordable แบบเอกสิทธิ์เฉพาะบุคคล พร้อมด้วยและค้นหาวิธีอัปโหลด จัดรูปแบบ และปรับเนื้อหาให้เหมาะสมในไม่กี่วินาที ไม่ใช่ชั่วโมง

เริ่มเผยแพร่

เกี่ยวกับภัยคุกคามจากภายใน

คุณอาจเคยได้ยินเกี่ยวกับเรื่องนี้ด้วยปลั๊กอิน WPML WordPress เมื่อในปี 2019 อดีตพนักงานใช้รหัสผ่าน SSH เก่าเพื่อเข้าถึงที่อยู่ WPML ของแท้และส่งอีเมลเกี่ยวกับ "ช่องโหว่ด้านความปลอดภัย" ไปยังผู้ใช้ทุกคนของปลั๊กอิน อย่างไรก็ตาม แท้จริงแล้วไม่มี "ช่องโหว่" หรือช่องโหว่ใดๆ เลย นั่นไม่ใช่อะไรนอกจากภัยคุกคามภายในโดยทั่วไปจากพนักงานที่ไม่มีความสุข

ภัยคุกคามภายในเกิดขึ้นบ่อยกว่าที่คุณคิด จากการสำรวจความคิดเห็นเมื่อเร็วๆ นี้ พบว่า 55% ของผู้ตอบแบบสอบถามระบุว่าองค์กรของพวกเขาเคยถูกโจมตีโดยบุคคลภายในในปี 2020 คนวงในมีส่วนเกี่ยวข้องน้อยกว่าหนึ่งในสามของอาชญากรรมทางอินเทอร์เน็ตทั้งหมดเล็กน้อย การสำรวจของ PwC พบว่าผู้ให้บริการ พนักงานประจำ และผู้รับเหมาต่างก็รับผิดชอบต่อการละเมิดความปลอดภัยจำนวนมาก ผู้บริหาร 1 ใน 3 รายงานว่าการโจมตีทางเว็บที่กระทำโดยบุคคลภายในที่เชื่อถือได้ (ที่ผ่านการฝึกอบรม) ส่งผลให้เกิดความสูญเสียมหาศาล (ทั้งด้านการเงินและชื่อเสียง) สำหรับบริษัทของตน

ภัยคุกคามจากภายในนั้นป้องกันได้ยาก พนักงานต้องใช้ความไว้วางใจในระดับหนึ่งในการทำงาน หากพวกเขาตัดสินใจที่จะใช้ความไว้วางใจในทางที่ผิด ไม่มีอะไรมากที่เจ้าของสามารถทำได้จนกว่าความเสียหายจะเกิดขึ้นจริง แต่มีบางวิธีที่เจ้าของธุรกิจที่คำนึงถึงความปลอดภัยสามารถลดความเสี่ยงของภัยคุกคามจากบุคคลภายในไปยังไซต์สื่อ WordPress ของตนได้

การป้องกันไซต์คืออะไร

การป้องกันไซต์เป็นกระบวนการที่ซับซ้อน ดังนั้น คุณต้องใช้วิธีการป้องกันให้ได้มากที่สุด เราอาจจะบอกว่าคุณต้องหวาดระแวงเล็กน้อยในเรื่องนี้ กล่าวอีกนัยหนึ่ง ถ้าคุณใช้ 1 หรือ 2 วิธี แน่นอนว่าจะปรับปรุงสถานการณ์แต่เพียงเล็กน้อยเท่านั้น ยิ่งไปกว่านั้น แม้ว่าคุณจะใช้วิธีการทั้งหมดอย่างสมบูรณ์ แต่ก็ไม่สามารถป้องกันเว็บไซต์ของคุณจากการแฮ็กได้อย่างเต็มที่ แม้ว่าจะลดโอกาสที่การโจมตีจะถูกแฮ็กลงอย่างมากก็ตาม ซึ่งเป็นสิ่งที่คุณต้องการ

นี่เป็นตัวอย่างที่ดีในการแฮ็กที่สะท้อนถึงแก่นแท้ของการป้องกันทั้งหมด การแฮ็กคือเมื่อมีบางสิ่งถูกแฮ็ก (duh) หรือเสีย นั่นคือ มีบางอย่างที่จะทำลาย มิฉะนั้น กล่าวคือ เมื่อไม่มีอะไรจะแตก มันก็จะไม่มีการแฮ็กอีกต่อไป

สมมติว่าคุณเปิดประตูอพาร์ทเมนต์ทิ้งไว้หรือลืมกุญแจไว้และถูกขโมย แสดงว่าอพาร์ทเมนต์ของคุณไม่ได้แตกหักจริงๆ – พวกเขาแค่เข้าไปข้างใน รับของที่จำเป็นแล้วจากไป เช่นเดียวกับเว็บไซต์ หากคุณไม่ได้ใช้มาตรการใดๆ ในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ หากมีสิ่งใดผิดพลาด เว็บไซต์นั้นจะไม่ถูกแฮ็ก ดังนั้น เพื่อให้ผู้บุกรุกหรือบุคคลภายในเจาะหรือขโมยข้อมูลของคุณได้ยากขึ้น อย่างน้อย คุณควร "ล็อคประตู"

การศึกษาของพนักงานและวิศวกรรมสังคม

พนักงานของคุณจะต้องรับทราบเกี่ยวกับความเป็นส่วนตัว กล่าวคือ พวกเขาต้องรู้กฎความปลอดภัยขั้นพื้นฐานเพื่อป้องกันข้อมูลรั่วไหล ดังนั้น อย่างน้อย คุณต้องห้ามไม่ให้แชร์รหัสผ่านหรือข้อมูลรับรองการตรวจสอบใดๆ แม้ว่าจะดูเหมือนสะดวกสำหรับพวกเขาก็ตาม

แม้ว่าโปรแกรมป้องกันมัลแวร์ ซอฟต์แวร์ป้องกันไวรัส และเครื่องมือค้นหาอีเมลสามารถช่วยระบุอีเมลที่เป็นอันตรายดังกล่าวได้ แต่วิศวกรรมสังคมจะจัดการได้ดีที่สุดผ่านการศึกษาของพนักงาน

วิศวกรรมสังคม ในบริบทของการรักษาความปลอดภัยข้อมูล เป็นการยักย้ายทางจิตใจของบุคคลเพื่อดำเนินการบางอย่างหรือเปิดเผยข้อมูลที่เป็นความลับ

พนักงานควรได้รับการศึกษาเกี่ยวกับวิธีการเข้าถึงผู้บุกรุกจากภายนอกและวิธีที่พวกเขาควรตอบสนองต่อคำขอที่น่าสงสัยต่างๆ การทำความเข้าใจวิศวกรรมสังคมเป็นสิ่งจำเป็นในการป้องกัน พนักงานควรได้รับการทดสอบเพื่อระบุจุดอ่อนที่อาจเกิดขึ้นในหมู่พนักงานของคุณ

ทีมบริษัทของคุณยังต้องหลีกเลี่ยงการใช้ธีม WP ที่น่าสงสัย และพยายามลดจำนวนปลั๊กอินที่ใช้อยู่เสมอ

ลดขนาดปลั๊กอิน WP ของคุณ

ในขณะนี้ มีปลั๊กอิน WP ต่างๆ มากมายที่ช่วยแก้ปัญหาแทบทุกอย่าง

แต่ยิ่งติดตั้งปลั๊กอินบนไซต์สื่อของคุณมากเท่าใด ช่องโหว่ของมันก็จะยิ่งมากขึ้นเท่านั้น ทำไม? ตรวจสอบเหตุผลต่อไปนี้:

• ปลั๊กอิน WP สามารถเขียนได้โดยนักพัฒนาที่ไม่มีคุณสมบัติและมีข้อบกพร่องที่สำคัญที่ส่งผลต่อความปลอดภัยของไซต์
• โปรแกรมเมอร์สามารถ "ละทิ้ง" ปลั๊กอิน WP ได้ กล่าวคือ ปล่อยให้ล้าสมัยเป็นเวลานาน ทำให้มีความปลอดภัยน้อยลง ปลั๊กอินรวมถึงเครื่องยนต์ต้องได้รับการปรับปรุงอย่างสม่ำเสมอเพื่อลดความเสี่ยงของช่องโหว่
• ปลั๊กอิน WP อาจขัดแย้งกันเองทำให้เกิดข้อผิดพลาด

สมมติว่าคุณต้องการแบบฟอร์มคำติชมบนไซต์ของคุณ แทนที่จะใส่ปลั๊กอิน 2-3 ตัวหรือ ContactForm 7 บางตัว คุณสามารถสร้างแบบฟอร์ม "ด้วยตนเอง"

แน่นอนว่ามีปลั๊กอินบางตัวที่คุณไม่สามารถทำได้โดยปราศจาก คำแนะนำคืออย่าละทิ้งมันโดยสิ้นเชิง แต่ให้เลือกเฉพาะโซลูชันที่ผ่านการทดสอบตามเวลา และถ้าเป็นไปได้ ให้ทำโดยปราศจากปลั๊กอินเหล่านั้น

ป้องกันการแชร์ข้อมูลภายนอก

น่าเสียดายที่การศึกษาของพนักงานอาจไม่เพียงพอ การแบ่งปันข้อมูลพนักงานที่เป็นความลับต่อสาธารณะหรือกับบุคคลที่สามภายนอกบริษัทอาจเป็นหายนะได้ ซึ่งมักจะเกิดขึ้นโดยไม่ได้ตั้งใจ เช่น พวกเขาสามารถใช้ปุ่ม "ตอบกลับทั้งหมด" แทน "ตอบกลับ" ปกติได้ จากนั้นข้อมูลจะถูกส่งไปยังที่อยู่อีเมลที่ไม่ถูกต้อง หรือมีบางสิ่งถูกเปิดเผยต่อสาธารณะโดยไม่ได้ตั้งใจ

คุณไม่สามารถป้องกันเหตุการณ์ดังกล่าวได้ด้วยการศึกษา เพราะสิ่งเหล่านี้เป็นเพียงความผิดพลาดของมนุษย์ที่เราทุกคนต้องเผชิญ ซอฟต์แวร์ที่กำหนดเอง เช่น เครื่องมือป้องกันข้อมูลสูญหาย (DLP) สามารถช่วยให้องค์กรติดตามข้อมูลที่ละเอียดอ่อน และทำให้มั่นใจได้ว่าการรับส่งข้อมูล ไม่ว่าจะผ่านอีเมลหรือบริการอินเทอร์เน็ตอื่นๆ จะถูกจำกัดหรือบล็อกโดยสิ้นเชิง

ป้องกันภัยคุกคามด้านไอทีที่เป็นเงา

ซอฟต์แวร์ แอพ หรือบริการเว็บของบริษัทอื่นที่ไม่ได้รับอนุญาตมักจะยากสำหรับ IT ในการติดตาม ดังนั้นจึงใช้คำว่า "เงาไอที" สาเหตุของความแพร่หลายของ Shadow IT นั้นค่อนข้างง่าย: พนักงานใช้แอพยอดนิยม (เช่น การติดตามอีเมล) เนื่องจากติดเป็นนิสัยเพราะเพิ่มประสิทธิภาพและลดภาระงาน หรือเป็นมิตรกับผู้ใช้มากกว่าทางเลือกอื่นที่บริษัทอนุมัติ

สิ่งนี้อาจกลายเป็นปัญหาได้ เนื่องจากบริษัทต่างๆ มักไม่รู้ตัว โดยพื้นฐานแล้วจะสร้างจุดบอดในกลยุทธ์ความปลอดภัยทางไซเบอร์ ภัยคุกคามอีกประการหนึ่งคือระดับความปลอดภัยต่ำของบริการบุคคลที่สามเหล่านี้ ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูล

Shadow IT มักเกิดจากการที่บริษัทไม่สามารถจัดหาเครื่องมือที่จำเป็นสำหรับการทำงานให้กับพนักงานได้ องค์กรควรมีการพูดคุยกับพนักงานอย่างเปิดเผยเพื่อทำความเข้าใจความต้องการด้านเทคโนโลยีและทำในสิ่งที่ทำได้เพื่อตอบสนองความต้องการเหล่านั้น เครื่องมือ DLP คุณภาพสูงยังช่วยบริษัทต่างๆ ป้องกันไม่ให้พนักงานอัปโหลดข้อมูลที่ละเอียดอ่อนไปยังบริการที่ไม่ได้รับอนุญาตเหล่านี้ และด้วยการตรวจสอบความพยายามเหล่านี้ จะช่วยให้เข้าใจ Shadow IT ในองค์กรได้ดีขึ้น

นี่คือรายการเครื่องมือและบริการ DLP ที่เชื่อถือได้ซึ่งคุณสามารถใช้เพื่อปกป้องข้อมูลบริษัทของคุณ:

SecureTrust

McAfee

ตัวป้องกันปลายทาง

ไซแมนเทค

Solarwinds

จุดตรวจ

Trend Micro

อวานัน

Zscaler

ใช้บัญชีแยกสำหรับพนักงาน

ไม่มีบัญชีที่ใช้ร่วมกัน พนักงานทุกคนในทีมของคุณจำเป็นต้องมีบัญชีผู้ใช้ของตนเองสำหรับทุกสิ่ง แน่นอนว่าพวกเขาต้องการมันเลย ประเด็นก็คือไม่มีใครสามารถใช้รหัสผ่านเก่าของตนได้เมื่อไม่ได้อยู่ในทีมอีกต่อไป

กล่าวอีกนัยหนึ่ง คุณต้องตรวจสอบให้แน่ใจว่าไม่มีอดีตพนักงานคนใดสามารถเข้าถึงบัญชีเก่าของพวกเขาและขโมยข้อมูลบริษัทของคุณได้

ใช้รหัสผ่านที่ซับซ้อน

เราได้ให้การเปรียบเทียบแล้ว (ต้องมีล็อคประตูของคุณ) หากรหัสผ่านของคุณง่าย ในกรณีนี้ไม่มีการล็อคหรือให้ชัดเจนกว่านั้นคือผู้บุกรุกมีกุญแจ ดังนั้น เราขอแนะนำอย่างยิ่งให้ใช้รหัสผ่านที่คาดเดายาก และควรเก็บไว้ในหัวของคุณเท่านั้น อย่าลืมเปลี่ยนรหัสผ่านของคุณเป็นระยะทุกที่ โดยเฉพาะอย่างยิ่งหากไซต์ WP ของคุณเคยถูกแฮ็กมาก่อน

หมายถึงรหัสผ่านที่ซับซ้อนสำหรับการเข้าถึงแผงการดูแลระบบ การควบคุมโฮสต์ บัญชีส่วนตัว ฐานข้อมูล ฯลฯ กล่าวอีกนัยหนึ่ง รหัสผ่านของคุณต้องซับซ้อน

รหัสผ่านที่ซับซ้อนได้อย่างน้อย 8 ตัวอักษรซึ่งจะต้องมีตัวเลขเมืองหลวงตัวอักษรปกติและแน่นอนสัญลักษณ์พิเศษ

หากคุณเปิดบล็อก WordPress หรือสร้างบล็อกที่มีผู้เขียนหลายคน คุณต้องจัดการกับบุคคลหลายคนที่เข้าถึงแผงการดูแลระบบของคุณ ซึ่งจะทำให้ไซต์ของคุณเสี่ยงต่อภัยคุกคามด้านความปลอดภัยมากขึ้น

คุณสามารถใช้ปลั๊กอิน เช่น Password Protect WordPress (PPWP) ได้ หากคุณต้องการให้แน่ใจว่ารหัสผ่านทั้งหมดที่ผู้ใช้สร้างนั้นปลอดภัย เป็นเพียงข้อควรระวัง แต่ก็ยังดีกว่าการมีผู้ใช้หลายคนที่มีรหัสผ่านที่ไม่รัดกุม

จำไว้ว่า ใช้รหัสผ่านที่ซับซ้อนเสมอ ทั้งสำหรับไซต์และสำหรับอย่างอื่นที่ต้องใช้รหัสผ่าน เนื่องจากรหัสผ่านง่ายๆ เช่น รหัสผ่านที่ประกอบด้วยตัวเลข 3-4 หลัก สามารถเลือกได้ด้วยตนเองภายในไม่กี่นาที

ใช้การเข้ารหัสและเครื่องมือล้างข้อมูลระยะไกล

นโยบายการปกป้องข้อมูลจำนวนมากมุ่งเน้นไปที่การถ่ายโอนข้อมูลนอกเครือข่ายขององค์กรผ่านทางอินเทอร์เน็ต โดยไม่คำนึงถึงวิธีการอื่นที่ใช้กันทั่วไป: อุปกรณ์พกพา โดยเฉพาะอย่างยิ่งไดรฟ์ USB เป็นพิษต่อกลยุทธ์การปกป้องข้อมูลมานานแล้ว พวกมันง่ายที่จะสูญเสียหรือขโมย แต่ใช้งานง่ายมาก อย่างไรก็ตาม คุณควรรู้ว่าไดรฟ์ USB ทำให้เกิดการละเมิดข้อมูลอย่างร้ายแรงในหลายบริษัท

วิธีที่ง่ายที่สุดในการป้องกันการละเมิดดังกล่าวคือการล็อค USB และอุปกรณ์ต่อพ่วงพร้อมกัน อย่างไรก็ตาม ประโยชน์ของ USB ในที่ทำงานไม่สามารถปฏิเสธได้ สำหรับบริษัทที่ยังต้องการใช้ไดรฟ์ USB ก็มีมาตรการที่สามารถทำได้เพื่อความปลอดภัย การเข้ารหัสเป็นหนึ่งในสิ่งที่ดีที่สุดในหมู่พวกเขา ไฟล์ทั้งหมดที่โอนไปยังไดรฟ์ USB จะได้รับการเข้ารหัส กล่าวคือ รวมกับนโยบายด้านอุปกรณ์ที่เชื่อถือได้ ซึ่งอนุญาตให้เฉพาะอุปกรณ์ที่ระบุว่า "เชื่อถือได้" เพื่อเชื่อมต่อกับคอมพิวเตอร์ของบริษัท

ในสภาพแวดล้อมการทำงานแบบโมบายล์ที่เพิ่มขึ้นในปัจจุบัน พนักงานมักจะนำแล็ปท็อปและอุปกรณ์พกพาออกจากสำนักงาน ไม่ว่าจะทำงานจากระยะไกล เยี่ยมลูกค้า หรือเข้าร่วมกิจกรรมในอุตสาหกรรม อุปกรณ์ทำงานมักจะหลบหนีการรักษาความปลอดภัยของเครือข่ายองค์กรและเสี่ยงต่อการถูกขโมยทางกายภาพและการแทรกแซงโดยไม่ได้รับอนุญาต

การเข้ารหัสเป็นทางออกที่ดีในการป้องกันการโจรกรรมข้อมูลเสมอ ไม่ว่าจะเป็นแล็ปท็อป สมาร์ทโฟน หรือไดรฟ์ USB การเข้ารหัสช่วยขจัดความเป็นไปได้ที่ใครก็ตามที่ขโมยข้อมูลเหล่านี้จะสามารถเข้าถึงข้อมูลได้ การเปิดใช้งานตัวเลือกการล้างข้อมูลจากระยะไกลยังช่วยให้องค์กรลบข้อมูลทั้งหมดบนอุปกรณ์ที่ถูกขโมยจากระยะไกลได้อีกด้วย

กำหนดบทบาทและใบอนุญาต WP

ตรวจสอบให้แน่ใจว่าพนักงานแต่ละคนของคุณมีบทบาทและการอนุญาตที่เหมาะสม ดังนั้น พึงระลึกไว้เสมอว่าผู้ดูแลระบบจะสามารถควบคุมคุณลักษณะทั้งหมดบนไซต์และฐานข้อมูลของคุณได้อย่างสมบูรณ์ ผู้แก้ไขจะสามารถโพสต์และจัดการไม่เพียงแค่โพสต์ของตนเองเท่านั้น แต่ยังรวมถึงของนักเขียนคนอื่นๆ ด้วย และผู้เขียนจะมีความสามารถเท่านั้น เพื่อจัดการสิ่งพิมพ์ของตนเอง

ดังนั้น กำหนดบทบาท WP อย่างชาญฉลาด และจำไว้ว่า: เมื่อพนักงานของคุณออกไปแล้ว อย่าลืม ลบบัญชีทั้งหมดของพวกเขา เพื่อบล็อกการเข้าถึง

จำกัดการแก้ไขไฟล์

หากผู้ใช้มีสิทธิ์ผู้ดูแลระบบในการเข้าถึงแผงควบคุม WordPress ของคุณ พวกเขาสามารถแก้ไขไฟล์ใดๆ ที่เป็นส่วนหนึ่งของการติดตั้ง WordPress ของคุณได้ ซึ่งรวมถึงปลั๊กอินและธีมทั้งหมดด้วย

หากคุณปิดการแก้ไขไฟล์ จะไม่มีใครสามารถเปลี่ยนแปลงไฟล์ใดๆ ได้ แม้ว่าแฮ็กเกอร์จะเข้าถึงผู้ดูแลระบบในแผงควบคุม WordPress ของคุณได้ก็ตาม ในการดำเนินการนี้ ให้เพิ่มสิ่งต่อไปนี้ในไฟล์ wp-config.php ของคุณ (ต่อท้าย):

กำหนด ('DISALLOW_FILE_EDIT', จริง);

อัพเดท WordPress ของคุณอยู่เสมอ

ในจุดนี้ เราได้รวมทุกอย่างที่เชื่อมโยงกับสคริปต์ของไซต์ของคุณ นี่คือสคริปต์ของ WordPress และเทมเพลตและปลั๊กอินของคุณ (อีกครั้ง) ทั้งหมดนี้ในตอนแรกไม่ควรมีสคริปต์ที่เป็นอันตรายและ "ช่องโหว่" เช่น ประตูทุกบานจะต้องปิด หากมีช่องโหว่ในสคริปต์ แฮ็กเกอร์สามารถใช้ช่องโหว่นั้นเพื่อเจาะเข้าไปในไซต์สื่อของคุณ เช่น "เข้าทางประตู"

เพื่อที่จะปิด "ประตู" หรืออย่างน้อยก็ทำได้ทันเวลา คุณต้องอัปเดตไซต์ WordPress ของคุณอย่างต่อเนื่องเมื่อมีการอัปเดต สิ่งนี้ใช้กับเทมเพลตและปลั๊กอินด้วย

อีกครั้ง สคริปต์ที่เป็นอันตรายไม่ควรมีในตอนแรก ดังนั้นให้ดาวน์โหลด WordPress จากเว็บไซต์อย่างเป็นทางการเท่านั้น อย่าใช้เทมเพลตฟรี อาจมีช่องโหว่ ลิงก์เงา และอะไรทำนองนั้น

ลบปลั๊กอินที่ไม่จำเป็น หากคุณไม่มีปลั๊กอินที่ใช้งาน ให้ปิดใช้งานก่อนแล้วจึงลบออก (ไฟล์ปลั๊กอินที่เพิ่งปิดใช้งานจะยังคงอยู่บนเซิร์ฟเวอร์)

กล่าวอีกนัยหนึ่ง คุณควรมีลำดับที่สมบูรณ์ในสคริปต์ของคุณ กล่าวคือ มีเฉพาะสิ่งที่คุณต้องการจริงๆ ในเวอร์ชันปัจจุบันเท่านั้น สคริปต์ที่ยุ่งเหยิงจะทำให้แฮ็กเกอร์หรือคนในเข้าถึงไซต์ของคุณได้มากขึ้น

นอกจากนี้ ตรวจสอบให้แน่ใจว่าคุณใช้ธีม WP ที่มีคุณภาพ ซึ่งได้รับการอัปเดตโดยผู้สร้าง

การบล็อกไซต์และการแบนผู้ใช้

คุณลักษณะการบล็อกไซต์สำหรับการพยายามเข้าสู่ระบบที่ล้มเหลวสามารถแก้ปัญหาใหญ่ของการพยายามใช้รหัสผ่านอย่างต่อเนื่องได้ เมื่อใดก็ตามที่มีการพยายามแฮ็คด้วยรหัสผ่านที่ไม่ถูกต้องซ้ำ ๆ ไซต์จะถูกบล็อกและคุณจะได้รับแจ้งถึงกิจกรรมที่ไม่ได้รับอนุญาตนี้

ปลั๊กอิน iThemes Security เป็นหนึ่งในปลั๊กอินที่ดีที่สุดสำหรับสิ่งนี้ เราใช้เองมาระยะหนึ่งแล้ว ปลั๊กอินมีข้อเสนอมากมายในเรื่องนี้ นอกจากมาตรการรักษาความปลอดภัยที่ยอดเยี่ยมอื่น ๆ อีกกว่า 30 รายการแล้ว คุณสามารถระบุจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวก่อนที่ปลั๊กอินจะบล็อกที่อยู่ IP ของผู้โจมตี

Sucuri ความปลอดภัย

Sucuri เป็นหนึ่งในผู้นำที่มีชื่อเสียงในอุตสาหกรรมความปลอดภัยทางไซเบอร์ ปัจจุบันมีผู้ใช้งานมากกว่า 400,000 ราย ฟรีและอัปเดตเป็นประจำ

Sucuri Security ไม่ใช่ปลั๊กอินความปลอดภัยขนาดเดียวที่เหมาะกับทุกคน มันมุ่งเน้นไปที่พื้นฐานเช่นการสแกนและติดตามกิจกรรมที่เป็นอันตราย แต่ทำงานได้ดีจริงๆ ปลั๊กอินนี้มาพร้อมกับการตรวจสอบความสมบูรณ์ของไฟล์เพื่อดูว่ามีไฟล์หลักใดบ้างที่ได้รับผลกระทบหรือมีช่องโหว่ใดๆ หรือไม่ เป็นหนึ่งในโซลูชันที่ดีที่สุดสำหรับไซต์และบล็อก WP ขนาดเล็ก

Sucuri ยังรวมถึงการสแกนมัลแวร์และการตรวจสอบบัญชีดำ คุณลักษณะที่ดีที่สุดของปลั๊กอินคือการดำเนินการด้านความปลอดภัยหลังการแฮ็ก ซึ่งโดยทั่วไปจะให้คำแนะนำเกี่ยวกับสิ่งที่ควรทำหากไซต์ของคุณถูกแฮ็กหรือได้รับผลกระทบจากมัลแวร์

Sucuri Pros

• ออกแบบโดยบริษัทที่เชื่อถือได้และมีการปรับปรุงอย่างสม่ำเสมอ
• เครื่องมือสแกนมัลแวร์ที่มีประสิทธิภาพซึ่งตรวจจับกิจกรรมไซต์ที่ผิดปกติ
• การแจ้งเตือนและการตรวจสอบความปลอดภัยจะแจ้งให้คุณทราบถึงพฤติกรรมที่ผิดปกติใดๆ บนไซต์
• ความสามารถในการตรวจสอบความสมบูรณ์ของไฟล์

Sucuri ข้อเสีย

• ไฟร์วอลล์ของไซต์รวมอยู่ในแผนพรีเมียมเท่านั้น
• อินเทอร์เฟซดูล้าสมัยเล็กน้อย
• ไม่เหมาะสำหรับผู้เริ่มต้น

ระบบเอกราช

Ekran System กำลังสร้างแพลตฟอร์มการจัดการภัยคุกคามภายในที่ขึ้นชื่อเรื่องระบบแจ้งเตือนเหตุการณ์อัจฉริยะและเครื่องมือตรวจสอบขั้นสูงสำหรับผู้ดูแลระบบไอที

ข้อได้เปรียบหลักของ Ekran คือความเก่งกาจ โซลูชันของผู้จำหน่ายรวมเครื่องมือรักษาความปลอดภัยหลักสามอย่าง ได้แก่ การตรวจสอบกิจกรรม การควบคุมการเข้าถึง และการระบุผู้ใช้ ฟังก์ชันนี้มีให้ในแพลตฟอร์มซอฟต์แวร์แบบครบวงจรเดียวที่มีเอเจนต์ "น้ำหนักเบา" สำหรับอุปกรณ์ปลายทางทุกประเภท

การตรวจสอบและบันทึกเซสชันผู้ใช้ใน Ekran System ดำเนินการด้วยโมดูลการบันทึกหน้าจอขั้นสูง ข้อมูลนี้ยังเสริมด้วยข้อมูลเกี่ยวกับชื่อแอป, URL ที่เยี่ยมชม, ไฟล์ที่เปิด, คำสั่งที่ป้อน, การแตะแป้นพิมพ์, อุปกรณ์ที่เชื่อมต่อ และกิจกรรมอื่นๆ ของพนักงาน

Ekran System เป็นแพลตฟอร์มเฉพาะที่จะช่วยให้บริษัทต่างๆ มั่นใจในความปลอดภัยของข้อมูล

บทสรุป

อาชญากรรมทางอินเทอร์เน็ตกำลังได้รับแรงผลักดันอย่างรวดเร็ว และเนื่องจากการระบาดใหญ่ที่กำลังดำเนินอยู่ ทำให้อาชญากรบนเว็บในทุกวันนี้มีมากขึ้นกว่าในโลกแห่งความเป็นจริง อาชญากรรมบัตรเครดิตและการฉ้อโกงธนาคารกำลังเพิ่มขึ้น แฮกเกอร์กำลังแพร่กระจาย และเราจำเป็นต้องปกป้องไซต์ของเราด้วยตัวเลือกทั้งหมดที่เราสามารถใช้ได้

แม้ว่า WordPress จะมีช่องโหว่บางอย่างเมื่อติดตั้งโดยค่าเริ่มต้น แต่คุณสามารถแก้ปัญหาที่คุณมีได้เกือบทั้งหมด รวมถึงภัยคุกคามด้านความปลอดภัยที่กล่าวถึงในบทความนี้ การตั้งชื่อผู้ใช้ที่ไม่ซ้ำกันและรหัสผ่านที่รัดกุม การติดตั้งปลั๊กอินความปลอดภัย การใช้เครื่องมือ DLP คุณภาพสูง และการให้ความรู้แก่พนักงานของคุณ จะช่วยลดความเสี่ยงที่ข้อมูลจะรั่วไหลและไซต์ของคุณถูกบุกรุกหรือติดมัลแวร์ได้อย่างมาก

ตอนนี้ เราอยากจะบอกว่า เพื่อป้องกันการสูญเสียเนื้อหาสำคัญในไซต์สื่อ WP ของคุณ นอกเหนือจากทั้งหมดข้างต้น คุณต้องไม่ลืมเกี่ยวกับการสำรองข้อมูลไซต์ ดังนั้น หากไซต์ของคุณถูกแฮ็ก คุณสามารถกู้คืนการทำงานปกติได้อย่างรวดเร็วและวิเคราะห์สาเหตุของการแฮ็กเพื่อกำจัดและป้องกันสถานการณ์ที่คล้ายคลึงกันในอนาคต อย่างไรก็ตาม บริษัทโฮสติ้งบางแห่งทำการสำรองข้อมูลโดยอัตโนมัติ

หากคุณมีข้อมูลสำรองของไซต์ คุณสามารถกู้คืนเว็บไซต์ WordPress ของคุณให้อยู่ในสภาพใช้งานได้ทุกเมื่อ มีปลั๊กอินหลายตัวที่สามารถช่วยคุณในเรื่องนี้ได้

หากคุณกำลังมองหาโซลูชันระดับพรีเมียม เราขอแนะนำ VaultPress จาก Automattic (ตอนนี้ขับเคลื่อนโดย Jetpack) เราได้ตั้งค่าเพื่อให้สำรองข้อมูลทุกสัปดาห์ และหากมีสิ่งเลวร้ายเกิดขึ้น เราสามารถกู้คืนไซต์ได้อย่างง่ายดายด้วยการคลิกเพียงครั้งเดียว

เรารู้ว่าเว็บไซต์ขนาดใหญ่บางแห่งทำการสำรองข้อมูลทุก ๆ ชั่วโมง แต่นั่นก็ถือว่าเกินความสามารถสำหรับองค์กรส่วนใหญ่ ไม่ต้องพูดถึง คุณจะต้องตรวจสอบให้แน่ใจว่าข้อมูลสำรองเหล่านี้ส่วนใหญ่จะถูกลบออกหลังจากสร้างไฟล์สำรองขึ้นใหม่ เนื่องจากไฟล์สำรองแต่ละไฟล์จะใช้พื้นที่ดิสก์บนไดรฟ์ของคุณ อย่างไรก็ตาม เราขอแนะนำการสำรองข้อมูลรายสัปดาห์หรือรายเดือนสำหรับองค์กรส่วนใหญ่

นอกเหนือจากการสำรองข้อมูล VaultPress ยังตรวจสอบเว็บไซต์เพื่อหามัลแวร์และแจ้งเตือนคุณหากมีสิ่งน่าสงสัยเกิดขึ้น