วิธีสร้างเว็บไซต์ WordPress ให้ปลอดภัย

การเปิดตัวเว็บไซต์ WordPress ของคุณเองในปัจจุบันนั้นค่อนข้างง่าย ขออภัย แฮ็กเกอร์ใช้เวลาไม่นานในการเริ่มกำหนดเป้าหมายไซต์ของคุณ

วิธีที่ดีที่สุดในการทำให้ไซต์ WordPress ปลอดภัยคือการทำความเข้าใจช่องโหว่ทุกจุดที่มาจากการเรียกใช้ไซต์ WordPress จากนั้นติดตั้งระบบรักษาความปลอดภัยที่เหมาะสมเพื่อบล็อกแฮ็กเกอร์ในแต่ละจุดเหล่านั้น

ในบทความนี้ คุณจะได้เรียนรู้วิธีรักษาความปลอดภัยของโดเมน การเข้าสู่ระบบ WordPress ตลอดจนเครื่องมือและปลั๊กอินที่มีให้เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณให้ดียิ่งขึ้น

สร้างโดเมนส่วนตัว

ทุกวันนี้การ ค้นหาโดเมนที่มีอยู่และซื้อในราคาที่ถูกมากนั้นง่ายเกินไป คนส่วนใหญ่ไม่เคยซื้อส่วนเสริมของโดเมนสำหรับโดเมนของตน อย่างไรก็ตาม ส่วนเสริมหนึ่งที่คุณควรคำนึงถึงเสมอคือการปกป้องความเป็นส่วนตัว

การปกป้องความเป็นส่วนตัวของ GoDaddy มีสามระดับพื้นฐาน แต่ระดับเหล่านี้ยังตรงกับข้อเสนอของผู้ให้บริการโดเมนส่วนใหญ่อีกด้วย

• พื้นฐาน : ซ่อนชื่อและข้อมูลติดต่อของคุณจากไดเรกทอรี WHOIS ใช้ได้เฉพาะในกรณีที่รัฐบาลของคุณอนุญาตให้คุณซ่อนข้อมูลติดต่อของโดเมน
• เต็ม : แทนที่ข้อมูลของคุณเองด้วยที่อยู่อีเมลอื่นและข้อมูลการติดต่อเพื่อปิดบังตัวตนที่แท้จริงของคุณ
• ระดับสูงสุด : การรักษาความปลอดภัยเพิ่มเติมที่บล็อกการสแกนโดเมนที่เป็นอันตราย และรวมถึงการตรวจสอบความปลอดภัยของเว็บไซต์สำหรับไซต์จริงของคุณ

โดยปกติแล้ว การอัปเกรดโดเมนของคุณเป็นระดับความปลอดภัยระดับใดระดับหนึ่งเพียงแค่เลือกอัปเกรดจากเมนูแบบเลื่อนลงในหน้ารายชื่อโดเมนของคุณ

การปกป้องโดเมนขั้นพื้นฐานนั้นค่อนข้างถูก (ปกติจะอยู่ที่ $9.99/ปี) และการรักษาความปลอดภัยในระดับที่สูงขึ้นก็ไม่ได้แพงไปกว่านั้นมากนัก

นี่เป็นวิธีที่ยอดเยี่ยมในการหยุดนักส่งสแปมจากการคัดลอกข้อมูลติดต่อของคุณออกจากฐานข้อมูล WHOIS หรือผู้อื่นที่มีเจตนาร้ายที่ต้องการเข้าถึงข้อมูลติดต่อของคุณ

ซ่อนไฟล์ wp-config.php และ .htaccess

เมื่อคุณติดตั้ง WordPress เป็นครั้งแรก คุณจะต้องรวม ID ผู้ดูแลระบบและรหัสผ่านสำหรับฐานข้อมูล WordPress SQL ของคุณในไฟล์ wp-config.php 

ข้อมูลนั้นได้รับการเข้ารหัสหลังการติดตั้ง แต่คุณยังต้องการบล็อกแฮ็กเกอร์ไม่ให้สามารถแก้ไขไฟล์นี้และทำลายเว็บไซต์ของคุณได้ ในการดำเนินการนี้ ให้ค้นหาและแก้ไขไฟล์ .htaccess ในโฟลเดอร์รูทของไซต์ของคุณ และเพิ่มโค้ดต่อไปนี้ที่ด้านล่างของไฟล์

# ป้องกัน wpconfig.php

คำสั่งอนุญาตปฏิเสธ
ปฏิเสธจากทั้งหมด

เพื่อป้องกันการเปลี่ยนแปลงใน .htaccess ให้เพิ่มสิ่งต่อไปนี้ที่ด้านล่างของไฟล์ด้วย

# ป้องกันไฟล์ .htaccess

คำสั่งอนุญาตปฏิเสธ
ปฏิเสธจากทั้งหมด

บันทึกไฟล์และออกจากโปรแกรมแก้ไขไฟล์

คุณอาจลองคลิกขวาที่ไฟล์แต่ละไฟล์และเปลี่ยนสิทธิ์เพื่อลบการเข้าถึงการเขียนทั้งหมดสำหรับทุกคน

ขณะทำสิ่งนี้ในไฟล์ wp-config.php ไม่ควรทำให้เกิดปัญหาใดๆ แต่การดำเนินการบน .htaccess อาจทำให้เกิดปัญหาได้ โดยเฉพาะอย่างยิ่งหากคุณใช้งานปลั๊กอิน WordPress ด้านความปลอดภัยที่อาจจำเป็นต้องแก้ไขไฟล์ .htaccess ให้กับคุณ

หากคุณได้รับข้อผิดพลาดใดๆ จาก WordPress คุณสามารถอัปเดตการอนุญาตเพื่ออนุญาตการเข้าถึงการเขียนในไฟล์ .htaccess ได้อีกครั้ง

เปลี่ยน URL เข้าสู่ระบบ WordPress ของคุณ

เนื่องจากหน้าเข้าสู่ระบบเริ่มต้นสำหรับทุกไซต์ WordPress คือ yourdomain/wp-admin.php แฮ็กเกอร์จะใช้ URL นี้เพื่อพยายามเจาะเข้าไซต์ของคุณ

พวกเขาจะทำเช่นนี้ผ่านสิ่งที่เรียกว่าการโจมตีแบบ “กำลังดุร้าย” โดยจะส่งรูปแบบต่างๆ ของชื่อผู้ใช้และรหัสผ่านทั่วไปที่หลายคนใช้กันทั่วไป แฮ็กเกอร์หวังว่าพวกเขาจะโชคดีและได้ชุดค่าผสมที่ถูกต้อง

คุณสามารถหยุดการโจมตีเหล่านี้ได้ทั้งหมดโดยเปลี่ยนURL เข้าสู่ระบบ WordPress ของคุณ เป็นสิ่งที่ไม่ได้มาตรฐาน

มีปลั๊กอิน WordPress มากมายที่จะช่วยคุณทำสิ่งนี้ หนึ่งในสิ่งที่พบมากที่สุดคือWPS Hide Login

ปลั๊กอินนี้เพิ่มส่วนใน แท็บ ทั่วไปภายใต้การตั้งค่าใน WordPress

ที่นั่น คุณสามารถพิมพ์ URL เข้าสู่ระบบที่คุณต้องการและเลือกบันทึกการเปลี่ยนแปลงเพื่อเปิดใช้งาน ครั้งต่อไปที่คุณต้องการลงชื่อเข้าใช้เว็บไซต์ WordPress ให้ใช้ URL ใหม่นี้

หากมีผู้พยายามเข้าถึง URL ผู้ดูแลระบบ wp เก่าของคุณ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้า 404 ของไซต์ของคุณ

หมายเหตุ : หากคุณใช้ปลั๊กอินแคช ตรวจสอบให้แน่ใจว่าได้เพิ่ม URL เข้าสู่ระบบใหม่ของคุณไปยังรายการไซต์ที่ไม่ต้องการแคช จากนั้นตรวจสอบให้แน่ใจว่าได้ล้างแคชก่อนที่คุณจะกลับเข้าสู่ไซต์ WordPress ของคุณอีกครั้ง

ติดตั้งปลั๊กอินความปลอดภัย WordPress

มี ปลั๊กอินความปลอดภัย WordPressให้เลือกมากมาย ในบรรดาทั้งหมดWordfenceเป็นโปรแกรมที่มีการดาวน์โหลดมากที่สุดด้วยเหตุผลที่ดี

Wordfence เวอร์ชันฟรีประกอบด้วยเครื่องมือสแกนที่ทรงพลังซึ่งค้นหาภัยคุกคามจากประตูหลังโค้ดที่เป็นอันตรายในปลั๊กอินหรือบนไซต์ของคุณ ภัยคุกคามจากการแทรก MySQL และอื่นๆ นอกจากนี้ยังมีไฟร์วอลล์เพื่อป้องกันภัยคุกคามที่ใช้งานอยู่ เช่น การโจมตี DDOS 

นอกจากนี้ยังช่วยให้คุณหยุดการโจมตีแบบเดรัจฉานด้วยการจำกัดความพยายามในการเข้าสู่ระบบและล็อคผู้ใช้ที่พยายามเข้าสู่ระบบที่ไม่ถูกต้องมากเกินไป

มีการตั้งค่าค่อนข้างน้อยในเวอร์ชันฟรี มากเกินพอที่จะปกป้องเว็บไซต์ขนาดเล็กถึงขนาดกลางจากการโจมตีส่วนใหญ่

นอกจากนี้ยังมีหน้าแดชบอร์ดที่มีประโยชน์ที่คุณสามารถตรวจสอบเพื่อตรวจสอบภัยคุกคามและการโจมตีล่าสุดที่ถูกบล็อก

ใช้เครื่องมือสร้างรหัสผ่าน WordPress และ 2FA

สิ่งสุดท้ายที่คุณต้องการคือให้แฮ็กเกอร์เดารหัสผ่านของคุณได้อย่างง่ายดาย น่าเสียดาย มีคนจำนวนมากเกินไปที่ใช้รหัสผ่านง่ายๆ ที่คาดเดาได้ง่าย ตัวอย่างบางส่วน ได้แก่ การใช้ชื่อเว็บไซต์หรือชื่อผู้ใช้เป็นส่วนหนึ่งของรหัสผ่าน หรือไม่ใช้อักขระพิเศษใดๆ

หากคุณอัปเกรดเป็น WordPress เวอร์ชันล่าสุด คุณจะสามารถเข้าถึงเครื่องมือรักษาความปลอดภัยด้วยรหัสผ่านที่มีประสิทธิภาพเพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ 

ขั้นตอนแรกในการปรับปรุงความปลอดภัยของรหัสผ่านคือไปที่ผู้ใช้แต่ละรายสำหรับไซต์ของคุณ เลื่อนลงไปที่ส่วนการจัดการบัญชี แล้วเลือกปุ่มสร้างรหัสผ่าน

การดำเนินการนี้จะสร้างรหัสผ่านที่ยาวและปลอดภัยมาก ซึ่งมีทั้งตัวอักษร ตัวเลข และอักขระพิเศษ บันทึกรหัสผ่านนี้ในที่ที่ปลอดภัย โดยเฉพาะอย่างยิ่งในเอกสารบนไดรฟ์ภายนอกที่คุณสามารถยกเลิกการเชื่อมต่อจากคอมพิวเตอร์ของคุณในขณะที่คุณออนไลน์

เลือกออกจากระบบทุกที่เพื่อให้แน่ใจว่าเซสชันที่ใช้งานอยู่ทั้งหมดถูกปิด

สุดท้าย หากคุณได้ติดตั้งปลั๊กอินความปลอดภัยของ Wordfence แล้ว คุณจะเห็นปุ่มเปิดใช้งาน 2FA เลือกตัวเลือกนี้เพื่อเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับการเข้าสู่ระบบของผู้ใช้ของคุณ

หากคุณไม่ได้ใช้ Wordfence คุณจะต้องติดตั้งปลั๊กอิน 2FA ยอดนิยมเหล่านี้

• Google รับรองความถูกต้อง
• การรับรองความถูกต้องด้วยสองปัจจัย
• Rublon การรับรองความถูกต้องด้วยสองปัจจัย
• การรับรองความถูกต้องด้วยสองปัจจัย Duo

ข้อควรพิจารณาด้านความปลอดภัยที่สำคัญอื่น ๆ

มีอีกหลายสิ่งที่คุณสามารถทำได้เพื่อให้ไซต์ WordPress ของคุณปลอดภัยอย่างสมบูรณ์

ทั้งปลั๊กอิน WordPressและเวอร์ชันของ WordPress ควรได้รับการอัปเดตตลอดเวลา แฮ็กเกอร์มักจะพยายามใช้ช่องโหว่ในโค้ดเวอร์ชันเก่าบนไซต์ของคุณ หากคุณไม่อัปเดตทั้งสองอย่างนี้ แสดงว่าคุณกำลังออกจากไซต์ของคุณในความเสี่ยง

1. เลือกปลั๊กอินและปลั๊กอินที่ติดตั้ง เป็นประจำ ในแผงผู้ดูแลระบบ WordPress ของคุณ ตรวจสอบปลั๊กอินทั้งหมดสำหรับสถานะที่ระบุว่ามีเวอร์ชันใหม่

เมื่อคุณเห็นรายการที่ล้าสมัย ให้เลือกอัปเดตทันที คุณอาจพิจารณาเลือกเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินของคุณ 

อย่างไรก็ตาม บางคนระมัดระวังในการทำเช่นนี้เนื่องจากบางครั้งการอัปเดตปลั๊กอินอาจทำให้ไซต์หรือธีมของคุณเสียหายได้ ดังนั้นจึงเป็นความคิดที่ดีเสมอที่จะทดสอบการอัปเดตปลั๊กอินบนไซต์ทดสอบ WordPress ในพื้นที่ก่อนที่จะเปิดใช้งานบนไซต์สดของคุณ

2. เมื่อคุณลงชื่อเข้าใช้แดชบอร์ด WordPress คุณจะเห็นการแจ้งเตือนว่า WordPress ล้าสมัย หากคุณใช้เวอร์ชันที่เก่ากว่า

อีกครั้ง สำรองไซต์และโหลดไปยังไซต์ทดสอบในเครื่องบนพีซีของคุณ เพื่อทดสอบว่าการอัปเดต WordPress จะไม่ทำให้ไซต์ของคุณเสียหายก่อนที่คุณจะอัปเดตบนเว็บไซต์จริงของคุณ

3. ใช้ประโยชน์จากคุณสมบัติด้านความปลอดภัยฟรีของโฮสต์เว็บของคุณ โฮสต์เว็บส่วนใหญ่เสนอบริการรักษาความปลอดภัยฟรีมากมายสำหรับไซต์ที่คุณโฮสต์ที่นั่น พวกเขาทำเช่นนี้เพราะไม่เพียงปกป้องไซต์ของคุณ แต่ยังทำให้เซิร์ฟเวอร์ทั้งหมดปลอดภัยอีกด้วย นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อคุณใช้บัญชีโฮสติ้งที่ใช้ร่วมกัน ซึ่งไคลเอ็นต์รายอื่นมีเว็บไซต์อยู่บนเซิร์ฟเวอร์เดียวกัน

สิ่งเหล่านี้มักจะรวมถึง การติดตั้ง ความปลอดภัย SSL ฟรีสำหรับไซต์ของคุณการสำรองข้อมูลฟรีความสามารถในการบล็อกที่อยู่ IP ที่เป็นอันตราย และแม้แต่เครื่องมือสแกนไซต์ฟรีที่จะสแกนไซต์ของคุณเป็นประจำเพื่อหารหัสหรือช่องโหว่ที่เป็นอันตราย

การใช้งานเว็บไซต์นั้นไม่ง่ายเหมือนการติดตั้ง WordPress และเพียงแค่โพสต์เนื้อหา สิ่งสำคัญคือต้องทำให้เว็บไซต์ WordPress ของคุณปลอดภัยที่สุดเท่าที่จะเป็นไปได้ เคล็ดลับทั้งหมดข้างต้นสามารถช่วยคุณทำได้โดยไม่ต้องใช้ความพยายามมากเกินไป