10 เคล็ดลับในการปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณ

WordPress เป็นหนึ่งในระบบจัดการเนื้อหาที่ง่ายและหลากหลายที่สุด ผู้เริ่มต้นทุกคนสามารถสร้างเว็บไซต์ระดับมืออาชีพได้อย่างรวดเร็ว

มันมีการรักษาความปลอดภัยขั้นพื้นฐานที่พร้อมใช้งานทันทีเพื่อเริ่มต้นใช้งาน นอกจากนี้ยังช่วยให้คุณเพิ่มความปลอดภัยให้กับไซต์ของคุณได้อีกด้วย

ในบทความนี้ คุณจะได้เรียนรู้ 10 เคล็ดลับเพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ แม้ว่าคุณจะเป็นมือใหม่ก็ตาม

เคล็ดลับ #1: การรับรองความถูกต้องด้วยสองปัจจัย

นี่เป็นหนึ่งในขั้นตอนที่ง่ายที่สุดแต่มีประสิทธิภาพสูงสุดที่คุณสามารถทำได้เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณ

การตรวจสอบสิทธิ์แบบสองปัจจัยหมายความว่า นอกเหนือจากการให้รหัสผ่านเพื่อเข้าสู่ระบบไซต์แล้ว ผู้ใช้จะต้องดำเนินการตามขั้นตอนการยืนยันเพิ่มเติมด้วย

ซึ่งมักจะเกี่ยวข้องกับการป้อนรหัสที่สร้างขึ้นเป็นพิเศษซึ่งได้รับทางอีเมลหรือ SMS

การใช้การรับรองความถูกต้องด้วยสองปัจจัยจะปกป้องคุณจากการโจมตีแบบเดรัจฉานอย่างมีประสิทธิภาพ และมีปลั๊กอินจำนวนหนึ่งที่ทำให้การใช้งานระบบดังกล่าวเป็นเรื่องง่าย

ในการตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัย ก่อนอื่นคุณต้องไปที่เว็บไซต์ WordPress บนอุปกรณ์ที่เกี่ยวข้อง

จากนั้นไปที่ลิงก์ "ความปลอดภัย: คุณควรเห็นตัวเลือกสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย

ที่นี่ คุณสามารถเสนอชื่อหมายเลขโทรศัพท์มือถือสำหรับกระบวนการตรวจสอบสิทธิ์แบบ 2 ปัจจัย

เคล็ดลับ #2: ใช้การจำกัดการเข้าสู่ระบบ

การจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ผู้ใช้สามารถทำได้ภายในระยะเวลาหนึ่งจะป้องกันคุณจากการโจมตีแบบเดรัจฉาน

หากผู้ที่อาจเป็นแฮ็กเกอร์สามารถลองใช้รหัสผ่านหลายชุดร่วมกันเพื่อเข้าถึงเว็บไซต์ของคุณได้ตามต้องการ จะใช้เวลาไม่นานก่อนที่แฮ็กเกอร์จะฝ่าฝืนการป้องกันและเข้าถึงหัวใจของเว็บไซต์ของคุณ

การเพิ่มขีดจำกัดการเข้าสู่ระบบนั้นทำได้ไม่ยาก อันที่จริงมีปลั๊กอินมากมายที่จะดูแลสิ่งต่าง ๆ ให้กับคุณ

ปลั๊กอินเหล่านี้บางตัวยังมีคุณลักษณะด้านความปลอดภัยเพิ่มเติมเพื่อให้หน้าเข้าสู่ระบบของคุณปลอดภัยจากผู้บุกรุก

เพื่อจำกัดความพยายามในการเข้าสู่ระบบไปยังไซต์ WordPress ของคุณ คุณจะต้องติดตั้งปลั๊กอินที่เหมาะสม

มีจำนวนเหล่านี้ได้ คุณสามารถดูคำแนะนำเฉพาะได้ที่นี่

เคล็ดลับ #3: เปลี่ยน URL เข้าสู่ระบบของผู้ดูแลระบบ

นี่เป็นวิธีง่ายๆ ในการทำให้เว็บไซต์ของคุณยากขึ้นเล็กน้อยสำหรับผู้บุกรุกที่จะถอดรหัส คนส่วนใหญ่ทำผิดพลาดโดยปล่อยให้ URL หน้าเข้าสู่ระบบของผู้ดูแลระบบเป็นค่าเริ่มต้น

มาตรการง่ายๆ ที่คุณสามารถทำได้เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ของคุณคือการเปลี่ยน URL ของหน้าเข้าสู่ระบบเป็นอย่างอื่น

การทำขั้นตอนง่ายๆ เพียงขั้นตอนเดียวนี้จะปกป้องคุณทันทีจากการโจมตีแบบเดรัจฉานอัตโนมัติส่วนใหญ่ที่ตั้งค่าให้ค้นหาหน้าเข้าสู่ระบบเริ่มต้นที่จะโจมตี

การเปลี่ยน URL ล็อกอินของ WordPress นั้นไม่ใช่กระบวนการที่ง่ายและตรงไปตรงมาในตัวเอง

วิธีที่ดีที่สุดคือการดาวน์โหลดปลั๊กอิน เช่น ปลั๊กอิน "WPS Hide Login"

เมื่อคุณติดตั้งแล้ว คุณสามารถดูในเมนูการตั้งค่าสำหรับตัวเลือกในการกำหนดค่าปลั๊กอินและตั้งค่า URL สำหรับเข้าสู่ระบบของคุณ

เคล็ดลับ #4: สร้างรหัสผ่านให้ปลอดภัย

รหัสผ่านของคุณเป็นแนวป้องกันแรกที่คุณมีต่อผู้บุกรุกที่อาจเกิดขึ้น

เป็นรหัสผ่านของคุณที่ช่วยให้เว็บไซต์ของคุณปลอดภัยและป้องกันไม่ให้ผู้คนเดินเข้าไปได้ตามต้องการ

คุณอาจเคยได้รับคำแนะนำชิ้นนี้ที่เจาะลึกลงไปในทุกบริการที่คุณใช้

รหัสผ่านออนไลน์ของคุณควรใช้ตัวอักษรและตัวเลขผสมกัน และมีอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก

เคล็ดลับ #5: ตรวจสอบให้แน่ใจว่าไดเร็กทอรี WP-Admin ได้รับการป้องกัน

นี่คือไดเร็กทอรีที่สำคัญที่สุดในสถาปัตยกรรมเว็บ WordPress ทั้งหมด ไดเร็กทอรีนี้จึงต้องได้รับการป้องกันด้วยรหัสผ่านที่รัดกุมอย่างเหมาะสม

ด้วยการใช้ปลั๊กอินที่เหมาะสม คุณสามารถตั้งรหัสผ่านสำหรับการเข้าสู่ระบบในพื้นที่ผู้ดูแลระบบของไซต์ของคุณซึ่งแตกต่างจากการเข้าสู่ระบบปกติของคุณ

หากคุณวางแผนที่จะใช้มาตรการรักษาความปลอดภัยนี้ คุณจะต้องเข้าถึงโฟลเดอร์รากของไซต์ของคุณ และทำการเปลี่ยนแปลงที่นั่น คุณไม่ควรลองทำสิ่งนี้หากคุณไม่แน่ใจว่ากำลังทำอะไรอยู่

เมื่ออยู่ในไดเร็กทอรีที่เกี่ยวข้อง คุณจะต้องสร้างไฟล์ .htpasswords มีเครื่องมือสร้างออนไลน์ที่คุณสามารถใช้ทำสิ่งนี้ได้ เมื่อคุณทำเสร็จแล้ว ให้อัปโหลดไฟล์ผลลัพธ์นอกไดเร็กทอรี /public_html/ ของคุณ

จากนั้น คุณจะต้องสร้างไฟล์ .htaccess และอัปโหลดไปยัง /wp-admin/directory เมื่อคุณทำเสร็จแล้ว คุณต้องเพิ่มรหัสต่อไปนี้

 AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere

ตรวจสอบให้แน่ใจว่าได้ใส่ชื่อผู้ใช้ของคุณเองในนั้น และคุณพร้อมที่จะไป

เคล็ดลับ #6: บังคับใช้รหัสผ่านที่ปลอดภัย

ผู้ใช้ของคุณจะค้นพบวิธีการใหม่ๆ และสร้างสรรค์ที่จะบ่อนทำลายความพยายามด้านความปลอดภัยของคุณ

เพื่อปกป้องทั้งพวกเขาและตัวคุณเอง คุณควรตรวจสอบให้แน่ใจว่าผู้ใช้ต้องเลือกรหัสผ่านที่คาดเดายากเมื่อลงทะเบียนไซต์ของคุณเป็นครั้งแรก

วิธีที่ดีที่สุดในการบังคับให้ผู้ใช้เลือกรหัสผ่านที่ปลอดภัยคือการติดตั้งปลั๊กอิน Force Strong Passwords

ปลั๊กอินนี้จะช่วยให้มั่นใจได้ว่าทุกคนที่มีสิทธิ์เข้าถึงเว็บไซต์ของคุณในระดับสูงใช้รหัสผ่านที่รัดกุมที่สุด

เคล็ดลับ #7: เปลี่ยนเป็น HTTPS

การโจมตีแบบคนกลางเกิดขึ้นเมื่อผู้โจมตีดักจับข้อความที่ส่งระหว่างสองฝ่าย

บ่อยครั้งทั้งผู้ส่งและผู้รับไม่สามารถบอกได้ว่าข้อมูลของพวกเขาถูกขโมยไป การเปลี่ยนไปใช้ HTTPS จะทำให้การรับส่งข้อมูลของคุณปลอดภัยโดยใช้ใบรับรอง SSL

สิ่งแรกที่คุณต้องทำคือรับใบรับรอง SSL ด้วยตัวเอง ความยากลำบากนี้จะขึ้นอยู่กับโฮสต์ของคุณ

โฮสต์จำนวนมากจะสามารถทำให้กระบวนการย้ายเว็บไซต์ของคุณไปใช้ HTTPS ได้โดยอัตโนมัติ ในขณะที่โฮสต์อื่นๆ จะกำหนดให้คุณจัดการเอง

คุณจะต้องเปิด wp-config.php และแก้ไขไฟล์นี้เพื่อให้สอดคล้องกับการเปลี่ยนแปลง

เมื่อคุณย้ายแบ็กเอนด์ไปที่ HTTPS แล้ว คุณจะสามารถย้ายส่วนที่เหลือของไซต์ได้โดยใช้การตั้งค่า WordPress

เพียงเพิ่ม 'https://' ที่ส่วนต้นของที่อยู่ WordPress และที่อยู่เว็บไซต์ของคุณ

มีบริการที่สามารถแจ้งให้คุณทราบถึงปัญหา SSL

เคล็ดลับ #8: ตรวจสอบไฟล์ของคุณ

คุณควรติดตั้งปลั๊กอินบนไซต์ WordPress เพื่อให้คุณสามารถดูกิจกรรมต่างๆ ได้

วิธีนี้จะทำให้คุณทราบการบุกรุกหรือการเข้าถึงโดยไม่ได้รับอนุญาตโดยเร็วที่สุด

มองหาปลั๊กอินที่ไม่เพียงแต่ตรวจสอบไฟล์เท่านั้น แต่ยังให้ข้อมูลสรุปเกี่ยวกับการแก้ไขที่ทำขึ้นอีกด้วย

วิธีที่น่าเชื่อถือที่สุดในการตรวจสอบไฟล์ WordPress ของคุณสำหรับกิจกรรมที่ไม่ได้รับอนุญาตคือการติดตั้งปลั๊กอิน WordPress File Monitor

ปลั๊กอินนี้จะตรวจสอบเว็บไซต์ของคุณสำหรับการเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นกับไฟล์และจะแจ้งเตือนเจ้าของเว็บไซต์ทางอีเมล

เคล็ดลับ #9: สำรองข้อมูลเป็นประจำ

ไม่ว่าคุณจะใช้มาตรการป้องกันมากแค่ไหนก็ตาม ไม่มีระบบใดที่จะปลอดภัยได้ 100%

อย่างไรก็ตาม หากคุณปฏิบัติตามขั้นตอนการสำรองข้อมูลที่เหมาะสม และแน่ใจว่าคุณสร้างสำเนาอย่างสม่ำเสมอซึ่งคุณสามารถกู้คืนได้ คุณจะไม่ต้องกังวลว่าทุกอย่างจะสูญหาย

หากเซิร์ฟเวอร์ของคุณติดมัลแวร์ คุณอาจลองลบออกจากเซิร์ฟเวอร์ของคุณก่อน

น่าเสียดายที่มัลแวร์ที่ก้าวร้าวที่สุดอาจไม่ถูกลบอย่างง่ายดาย ในกรณีเหล่านี้ การสำรองข้อมูลเป็นสิ่งสำคัญ

โฮสต์ WordPress ส่วนใหญ่จะเสนอบริการสำรองซึ่งน่าจะง่ายต่อการค้นหาและใช้งาน

บางโฮสต์จะสำรองข้อมูลของคุณโดยอัตโนมัติทุกวัน ซึ่งเป็นตัวเลือกที่ดีที่สุด

หากคุณต้องการสำรองข้อมูลเว็บไซต์ WordPress ด้วยตนเอง วิธีที่ปลอดภัยที่สุดคือการสำรองข้อมูลไดเรกทอรี WordPress ทั้งหมดของคุณ

เคล็ดลับ #10: อัปเดตทุกอย่างอยู่เสมอ

นี่อาจเป็นคำแนะนำด้านความปลอดภัยขั้นพื้นฐานที่สุด และเป็นหนึ่งในคำแนะนำที่สำคัญที่สุดเช่นกัน

จำเป็นอย่างยิ่งที่คุณจะต้องอัปเดต WordPress และปลั๊กอินใดๆ ที่คุณติดตั้งไว้ตลอดเวลา หากไม่เป็นเช่นนั้น คุณไม่น่าจะได้รับการปกป้องอย่างเหมาะสมจากภัยคุกคามล่าสุด

วิธีที่ดีที่สุดในการตรวจสอบให้แน่ใจว่าไซต์ WordPress ของคุณอัปเดตอยู่เสมอคือ ตรวจสอบว่าคุณได้ตั้งค่าให้ดาวน์โหลดและใช้การอัปเดตโดยอัตโนมัติ

อย่างไรก็ตาม คุณควรทราบว่าเป็นเพียงการอัปเดตหลักของ WordPress เท่านั้นที่จะนำไปใช้โดยอัตโนมัติ ส่วนที่เหลือจะต้องติดตั้งด้วยตนเอง

ในการติดตั้งการอัปเดตด้วยตนเอง ให้ไปที่แดชบอร์ด WordPress ของคุณและคลิกตัวเลือก 'อัปเดต'

หากคุณแน่ใจว่าได้ปฏิบัติตาม 10 เคล็ดลับเหล่านี้ ไซต์ WordPress ของคุณจะปลอดภัยที่สุด

ทำไมต้องกังวลเกี่ยวกับการแฮ็กที่อาจทำลายล้างในเมื่อคุณสามารถเสริมการป้องกันเช่นนี้ได้ด้วยความพยายามเพียงเล็กน้อย