จะแก้ไขเว็บไซต์ WordPress ที่ถูกแฮ็กได้อย่างไร?

ทุกวันนี้ เว็บไซต์ WordPress มักจะขาดความเป็นส่วนตัวและความปลอดภัย และมักจะตกเป็นเป้าหมายของการแฮ็ก WordPress อาจเป็นเพราะการวัดความปลอดภัยที่ไม่เพียงพอของนักพัฒนา หรือการใช้ปลั๊กอินที่มีอยู่จำนวนมาก (ซึ่งไม่สามารถรับประกันความปลอดภัยได้)

ด้วย WordPress ที่ทำงานบนอินเทอร์เน็ตหนึ่งถึงห้าเว็บไซต์ จึงไม่น่าแปลกใจที่พวกเขาตกเป็นเป้าหมายของทั้งสคริปต์เด็กและแฮ็กเกอร์ที่มีประสบการณ์ ในปี 2013 เว็บไซต์ WordPress ประมาณ 90k ถูกจี้เพื่อใช้ในบ็อตเน็ต เป็นเป้าหมายยอดนิยมสำหรับโทรจันและมัลแวร์

นี่คือเหตุผลที่เราใช้เวลาของเราเพื่ออธิบายรายละเอียดบางสถานการณ์ที่อาจนำมาใช้เพื่อจัดการกับช่องโหว่ด้านความปลอดภัยตามปกติหรือการทุจริตต่อหน้าที่ในเว็บไซต์ WordPress หลายล้านเว็บไซต์ และสามารถช่วยป้องกันการแฮ็กเว็บไซต์ WordPress ได้

การป้องกันการแฮ็ก WordPress

เหตุใดการป้องกันการแฮ็กของ WordPress ทำได้ง่ายกว่าการกู้คืนจากความเสียหาย

การป้องกันที่น้อยที่สุดนั้นคุ้มค่ากับการรักษา นี่ไม่ใช่เรื่องจริงเกี่ยวกับการแฮ็กเว็บไซต์ WordPress เว็บไซต์ WordPress ไม่ได้ถูกบุกรุกโดยแฮกเกอร์ที่เชี่ยวชาญและเชี่ยวชาญ แต่โดยบอทที่เขียนขึ้นเพื่อใช้ประโยชน์จากช่องโหว่ที่รู้จักและเรียงความเท่านั้น ช่องโหว่เหล่านี้เป็นปลั๊กอินที่ล้าสมัย รหัสผ่านที่ไม่รัดกุม ธีมที่ล้าสมัย และเว็บโฮสติ้งคุณภาพต่ำ

เมื่อเว็บไซต์ถูกแฮ็ก ทรัพยากรต่อไปนี้อาจได้รับผลกระทบ:

• ไฟล์บนเซิร์ฟเวอร์ เช่น ไฟล์ธีม สามารถแก้ไขได้
• ไฟล์สามารถอัปโหลดไปยังเซิร์ฟเวอร์ได้ ซึ่งอาจมีแบ็คดอร์ PHP หรือโค้ดที่เป็นอันตราย
• สามารถใส่รหัสลงในฐานข้อมูล WordPress ของคุณได้
• หน้าและโพสต์จำนวนมากสามารถเผยแพร่ได้โดยมีรหัสสแปมและเนื้อหาที่เป็นอันตราย
• เว็บไซต์ของคุณอาจถูกเปลี่ยนเส้นทางไปยังเว็บไซต์มัลแวร์
• ผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถแทรกลงในฐานข้อมูลของคุณได้

การที่เว็บไซต์ของคุณถูกแฮ็กอาจเป็นเรื่องใหญ่ที่ต้องแก้ไข อาจต้องใช้เวลาหลายชั่วโมงและหลายวันในการกู้คืน และ SEO ของคุณอาจได้รับผลกระทบอย่างมากหาก Google เลือกที่จะขึ้นบัญชีดำเว็บไซต์ของคุณ

โชคดีที่การป้องกันการแฮ็กนั้นค่อนข้างง่าย แม้ว่าจะต้องใช้ความพากเพียรก็ตาม

10 เคล็ดลับในการป้องกัน WordPress Hacks

1 – อัปเดตปลั๊กอิน ธีม และคอร์ของ WordPress อยู่เสมอ

การเข้าสู่ระบบเดือนละครั้งหรือน้อยกว่านั้นไม่เพียงพอต่อการอัพเดท การหาประโยชน์จะเกิดขึ้นภายในไม่กี่วันหรือหลายชั่วโมงบนเว็บไซต์จำนวนมากทันทีที่มีการเผยแพร่ เว็บไซต์ที่ถูกลืมของเราซึ่งเราไม่ได้อัปเดตถูกเอารัดเอาเปรียบภายในสองสามชั่วโมงหลังจากมีการประกาศช่องโหว่ของ Gravity Forms คุณควรอัปเดตโดยเร็วที่สุดเมื่อมีการอัปเดต

สำหรับปลั๊กอินที่ไม่มีฟังก์ชันการทำงานด้านหน้า คุณสามารถใช้ปลั๊กอิน Shield WordPress Security เพื่อทำการอัปเดตอัตโนมัติให้กับคุณได้ หากคุณมีหลายเว็บไซต์ ลองดูโพสต์นี้เกี่ยวกับปลั๊กอินการจัดการในไซต์

2 – รหัสผ่านที่รัดกุม

คุณต้องมีปลั๊กอินการติดตามรหัสผ่านหรือเครื่องมืออย่าง 1Password เพื่อติดตามรหัสผ่านทั้งหมดของคุณ คุณไม่สามารถใช้รหัสผ่านเดียวกันนี้กับบัญชีอินเทอร์เน็ตทั้งหมดและหนีไปได้ คุณไม่สามารถใช้ชื่อหรือชื่อแบรนด์ของสุนัขของคุณ หรือน้ำอัดลมชนิดพิเศษได้ คุณต้องการรหัสผ่านที่ยาว ซับซ้อน และจำไม่ได้

เรามีลูกค้าสองคนโทรหาเราเมื่อสองสามวันก่อนเพราะ Instagram, Gmail หรือ AppleID ของพวกเขาถูกแฮ็กเนื่องจากใช้รหัสผ่านที่ไม่รัดกุมในทุกบัญชีและอุปกรณ์ การใช้โปรแกรมแฮ็ครหัสผ่านนั้นค่อนข้างง่ายเพื่อค้นหาว่ารหัสผ่านคืออะไร ลูกค้าของเราใช้รหัสผ่านในทั้งสองเรื่อง ซึ่งสามารถคาดเดาได้โดยเครื่องมือตรวจจับรหัสผ่านภายในหนึ่งวินาที!

คุณควรทดสอบความแข็งแกร่งของรหัสผ่านที่มีอยู่ จากนั้นให้คิดอย่างจริงจังเกี่ยวกับการใช้ 1Password และสร้างรหัสผ่านที่ซับซ้อน ยาว และคลุมเครือ และคุณต้องเปลี่ยนรหัสผ่านบ่อยๆ ด้วยความช่วยเหลือของ 1Password คุณต้องจำรหัสผ่านที่ซับซ้อนเพียงรหัสเดียว

3 – รักษาเซิร์ฟเวอร์ของคุณให้สะอาด

ลบ WordPress เวอร์ชันที่ไม่ได้ใช้บนเซิร์ฟเวอร์ มันง่ายที่จะลืมว่ามีเวอร์ชันเหล่านี้อยู่ ปลั๊กอิน WordPress ที่ไม่ได้ใช้ ไฟล์ ธีม ฯลฯ ที่ไม่ได้ใช้ ไม่ได้ใช้งาน ไม่เกี่ยวข้องกับการติดตั้งของคุณ ก็สามารถใช้ประโยชน์ได้ง่าย ลบ ลบ ลบ. วิ่งเรือแน่น

4 – ปกป้องคอมพิวเตอร์และเครือข่ายในบ้านของคุณ

เรียกใช้การสแกนไวรัสในแต่ละครั้ง โดยเฉพาะหากคุณใช้ Windows ระวังเว็บไซต์ที่คุณเยี่ยมชม คุณสามารถให้การเข้าสู่ระบบ WordPress ของคุณโดยไม่ได้ตั้งใจโดยโทรจันติดตามการกดแป้นพิมพ์ที่จะขโมยรหัสผ่านของคุณเมื่อคุณพิมพ์บนแป้นพิมพ์

การปกป้องคอมพิวเตอร์มักจะเกี่ยวกับการไม่เข้าชมไซต์ที่แจกจ่ายมัลแวร์ อย่างไรก็ตาม แม้แต่เว็บไซต์ที่เป็นที่รู้จัก เช่น บล็อกการทำอาหารของเพื่อน ก็สามารถถูกแฮ็กได้ ดังนั้น ควรจะดีที่สุดถ้าคุณมีการป้องกันทุกที่ที่คุณท่องเว็บ

สำหรับ Windows:

• อวาสต์! และ Avira ก็เป็นทั้งแอปพลิเคชั่นต่อต้านไวรัสที่ดีที่สุด
• ตรวจสอบให้แน่ใจว่า Windows Firewall เปิดใช้งานอยู่

สำหรับ Mac OS:

• ซอฟต์แวร์สแกนไม่จำเป็น แต่ Avira เป็นตัวเลือกที่ดีที่สุดเพราะรู้จักรูปแบบมัลแวร์ด้วยลายเซ็นโทรจันและมัลแวร์
• เปิดไฟร์วอลล์ในความปลอดภัยและความเป็นส่วนตัว (การตั้งค่าระบบ) ในไฟร์วอลล์ ให้เลือกช่องทำเครื่องหมายเพื่ออนุญาตโหมดซ่อนตัว ซึ่งจะทำให้คอมพิวเตอร์ของคุณไม่สามารถมองเห็นได้ในแต่ละเครือข่าย

5 – ตรวจสอบธีมและปลั๊กอินของคุณเพื่อรับการสนับสนุนอย่างต่อเนื่อง

อย่าใช้ธีมและปลั๊กอินที่ไม่มีให้ใช้งานหรือดูแลโดยนักพัฒนาอีกต่อไป หากปลั๊กอินหรือธีมใดไม่ได้รับการอัปเดตในหนึ่งปีหรือมากกว่านั้น คุณต้องเปลี่ยนปลั๊กอิน นี่อาจเป็นปัญหาใหญ่กับธีม นักพัฒนาจำนวนมากบินในเวลากลางคืนและไม่ได้อยู่เคียงข้างกันนานกว่าสองเดือนเพื่อสนับสนุนปลั๊กอินและธีมของพวกเขา

เมื่อคุณซื้อปลั๊กอินหรือธีม ให้มองหาปลั๊กอินหรือธีมที่มีคำขอการสนับสนุนในปัจจุบันซึ่งได้รับคำตอบและแก้ไขตรงเวลา อัปเดตล่าสุดและบ่อยครั้ง และระดับดาวที่ดี

ปลั๊กอินและธีมที่ขายดีที่สุดบางตัวไม่ใช่ธีมหรือปลั๊กอินในอุดมคติ แต่มีแนวโน้มว่าจะมีการอัปเดตและการสนับสนุนอย่างต่อเนื่อง อ่านความคิดเห็นสำหรับการตอบสนองและน้ำเสียงคุณภาพสูง มองหาความกระตือรือร้น ความเอื้ออาทร ความละเอียดรอบคอบ การสื่อสารที่ดี การตอบสนองที่รวดเร็ว และทัศนคติเชิงบวก

ธีมพรีเมียมมักมาพร้อมกับปลั๊กอินของบุคคลที่สาม ผู้พัฒนาธีมอาจเสนอหรือไม่มีการอัปเดตตามเวลาสำหรับปลั๊กอินที่ติดตั้งไว้ล่วงหน้าเหล่านี้ ตัวอย่างเช่น Revolution Slider ตัวเลื่อนแอนิเมชั่นที่ดีที่สุด ซึ่งมาพร้อมกับธีมนับร้อยบน The ThemeForest

คำเกี่ยวกับ Revolution Slider

นอกจากนั้น The Revolution Slider ยังมีช่องโหว่ด้านความปลอดภัยที่สำคัญในปี 2014 แต่ผู้พัฒนาธีมที่มาพร้อมกับธีมไม่จำเป็นต้องอัปเดตปลั๊กอินเมื่ออัปเดตธีมแล้ว

ด้วยเหตุนี้ ธีมจำนวนมากบน The ThemeForest จึงเผยแพร่ปลั๊กอินที่ไม่ปลอดภัยอย่างหนาแน่นเป็นเวลาหลายเดือน แม้ว่าจะพบช่องโหว่แล้วก็ตาม นอกจากนั้น ช่องโหว่นี้ยังนำไปสู่ไซต์หลายแสนแห่งที่ถูกแฮ็กและนำทราฟฟิกไปยังเว็บไซต์ที่เป็นอันตราย

ผลลัพธ์ที่สำคัญของทั้งหมดนี้คือถ้าคุณซื้อธีมระดับพรีเมียมที่มาพร้อมกับปลั๊กอินระดับพรีเมียม เช่น Layer Slider, Revolution Slider, Visual Composer หรืออื่นๆ คุณต้องซื้อปลั๊กอินเหล่านี้แยกต่างหาก ดังนั้นคุณอาจได้รับแจ้งเกี่ยวกับการอัปเดตของปลั๊กอินอย่างมาก และไม่ขึ้นอยู่กับธีมหรือผู้พัฒนาปลั๊กอินเพื่อให้คุณได้รับการปกป้อง

6 – เรียกใช้ปลั๊กอินความปลอดภัย WordPress

เราขอแนะนำปลั๊กอิน MalCare โดยผู้ผลิต BlogVault มีทั้งแบบเสียเงินและฟรี เราชอบปลั๊กอินของพวกเขามากที่สุดเพราะไม่มีตัวเลือกที่กำหนดเองซึ่งอาจทำให้สับสนกับปลั๊กอินความปลอดภัยอื่น ๆ

การสแกนมัลแวร์ทั้งหมดเกิดขึ้นบนเซิร์ฟเวอร์คลาวด์ ดังนั้นจึงไม่มีผลกระทบต่อประสิทธิภาพของเว็บไซต์ของคุณ มันใช้ไฟร์วอลล์ที่แข็งแกร่งและการป้องกันเดรัจฉาน

MalCare เวอร์ชันพรีเมียมนั้นไม่แพง เพียง 99 ดอลลาร์ต่อปี ซึ่งเป็นราคาที่ถูกกว่าเมื่อเทียบกับบริการอื่นๆ ที่เหมือนกัน จะเป็นการดีที่สุดถ้าคุณได้ลองใช้เพื่อทราบถึงศักยภาพของปลั๊กอินอันทรงพลังนี้ และแจ้งให้เราทราบว่ามันทำงานอย่างไรสำหรับเว็บไซต์ของคุณในความคิดเห็นด้านล่าง

เราชอบ Shield WordPress Security โดย iControlWP เราเคยใช้ Wordfence มาก่อน และมันทำให้เกิดข้อผิดพลาดอย่างต่อเนื่องในบันทึกข้อผิดพลาดในหลายเว็บไซต์

ปลั๊กอินที่มีชื่อเสียงอื่นๆ อาจทำให้เว็บไซต์ของคุณเสียหายได้ง่าย หรือคุณเน้นที่มาตรการ "ความปลอดภัย" ซึ่งไม่ทำอะไรเลยเพื่อความปลอดภัยเมื่อพลาดสิ่งสำคัญ เช่น การป้องกันการเข้าสู่ระบบ

7 – ติดตั้งใบรับรอง SSL บนไซต์ของคุณ

ใบรับรอง SSL จะเข้ารหัสข้อมูลของคุณและผู้ใช้ในการถ่ายโอนเว็บไซต์ของคุณโดยเว็บไซต์ เช่น การส่งแบบฟอร์มการติดต่อหรือการใช้การเข้าสู่ระบบในหน้าเว็บ มิฉะนั้น ข้อมูลของคุณจะถูกโอนไปเหมือนไปรษณียบัตรในรูปแบบจดหมาย ซึ่งหมายความว่าทุกคนที่กำลังมองหาสามารถอ่านได้เหมือนข้อความธรรมดา

การมี SSL ที่ผสานเข้ากับเว็บไซต์ของคุณทำให้คุณสามารถเข้าสู่ระบบความปลอดภัย (โดย HTTPS) ขณะเดินทางได้ โฮสต์หลายแห่งให้บริการที่มีประโยชน์นี้ฟรี และคุณสามารถใช้ปลั๊กอิน SSL แบบง่ายนี้เพื่อบังคับให้เนื้อหาทั้งหมดของคุณใช้ HTTPS

8 – อย่าเข้าสู่ระบบบนเครือข่าย WiFi สาธารณะ

สมมติว่าคุณลงชื่อเข้าใช้เว็บไซต์ของคุณบน WiFi สาธารณะหรือเครือข่ายแบบกระจายสาธารณะ ในกรณีนั้น คุณกำลังให้ข้อมูลรับรองการเข้าสู่ระบบของคุณแก่ทุกคนในเครือข่ายเดียวกันที่อาจใช้งานสคริปต์การดมกลิ่นแพ็คเก็ต

หากคุณไม่ได้รวมใบรับรอง SSL บนเว็บไซต์ของคุณ (ที่เข้ารหัสรหัสผ่านและชื่อผู้ใช้ของคุณบนเครือข่าย) ให้ใช้บริการ Virtual Private Network (VPN) เพื่อให้คุณสามารถเข้ารหัสการรับส่งข้อมูลของคุณในเครือข่ายเดียวกัน ใช้สิ่งนี้แม้ว่าคุณจะมีใบรับรอง SSL บนเว็บไซต์ เนื่องจากเป็นการดีที่จะอยู่ใน VPN บนเครือข่ายสาธารณะใดๆ

9 – สำรองข้อมูลเว็บไซต์ของคุณ

แม้ว่าการสำรองข้อมูลจะไม่ได้มีประโยชน์ในการกู้คืนจากการแฮ็กเว็บไซต์เสมอไป แต่ก็ยังจำเป็นสำหรับการกู้คืนโดยสมบูรณ์ โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของความเสียหายของฐานข้อมูลของคุณ ซึ่งเป็นที่เก็บเนื้อหาเว็บไซต์ทั้งหมดของคุณ

10 – พิจารณาเว็บโฮสติ้งที่ดีกว่า

บริษัทโฮสติ้งเช่น SiteGround, Kinsta, WP Engine และ Flywheel ให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัย พวกเขาทำการสแกนความปลอดภัยเป็นประจำและจะทำความสะอาดเว็บไซต์ที่ถูกแฮ็กของคุณได้ฟรี แม้ว่าเราจะรู้จักผู้คนจำนวนมากที่ถูกแฮ็กบนบริการเหล่านี้เช่นกัน และอาจใช้เวลาหลายวันกว่าจะไม่มีการแฮ็กหรือไม่เลย

เรายังคงแนะนำให้เรียกใช้ปลั๊กอิน MalCare เนื่องจากโฮสต์ไม่ใช่ผู้เชี่ยวชาญด้านมัลแวร์ เมื่อเร็ว ๆ นี้เราได้โฮสต์ไซต์ส่วนใหญ่ของเรากับ SiteDistrict ประสิทธิภาพและความปลอดภัยของพวกเขาค่อนข้างยอดเยี่ยมในแง่ของความเร็วเว็บไซต์ (บน Kinsta) และการสนับสนุนลูกค้าของพวกเขาเป็นเชิงรุกและลงมือปฏิบัติจริง

ขั้นตอนในการแก้ไขเว็บไซต์ WordPress ที่ถูกแฮ็กของคุณ

ขั้นตอนที่ 1 – วิเคราะห์ปัญหา

ขั้นตอนที่ 2 – สำรองข้อมูลเว็บไซต์ของคุณทั้งหมด

ขั้นตอนที่ 3 – ติดตั้งปลั๊กอินความปลอดภัยและการดีบัก

ขั้นตอนที่ 4 – แก้ไขข้อผิดพลาดใด ๆ

ขั้นตอนที่ 5 – ลบ WordPress

• การลบด้วยตนเอง
• ถอนการติดตั้ง CPanel
• ลบฐานข้อมูลด้วยตนเอง

ขั้นตอนที่ 6 - ตรวจสอบบัญชี FTP และลบบัญชีที่ไม่ได้รับอนุญาตและใช้งานไม่ได้

ขั้นตอนที่ 7 – อัปเดตปลั๊กอินและธีมทั้งหมด

ขั้นตอนที่ 8 – ลบธีมและปลั๊กอินที่ไม่ได้ใช้

ขั้นตอนที่ 9 – เปลี่ยนชื่อผู้ใช้และรหัสผ่านของคุณ

ขั้นตอนที่ 10 – ยืนยันกับบริษัทโฮสติ้งของคุณสำหรับการตรวจจับมัลแวร์บนเว็บไซต์หรือฐานข้อมูล

ขั้นตอนที่ 11 – สำรองสำเนาทั้งหมดของเว็บไซต์ของคุณเมื่อไฟล์ที่ถูกแฮ็กทั้งหมดถูกทิ้งในถังขยะ

ขั้นตอนที่ 12 – ติดตั้ง WordPress . อีกครั้ง

ขั้นตอนที่ 13 – กู้คืนเว็บไซต์ของคุณด้วยข้อมูลสำรองก่อนหน้าโดยไม่มีไฟล์ที่เป็นอันตราย

ขั้นตอนที่ 14 – สแกนเว็บไซต์ของคุณอีกครั้ง

ขั้นตอนที่ 15 – คุณควรใช้มาตรการป้องกันเพื่อป้องกันไม่ให้แฮ็กเกอร์โจมตีอีกครั้ง

เอาล่ะ,

ตรวจสอบความรุนแรงของการโจมตี

ขั้นตอนการดำเนินการแก้ไขไซต์ WordPress ที่ถูกแฮ็กคือการตรวจสอบเพื่อดูว่าคุณสามารถลงชื่อเข้าใช้แผงการดูแลระบบของคุณหรือไม่ หากคุณทำไม่ได้ แสดงว่ามีความรุนแรงค่อนข้างสูงและคุณอาจต้องการผู้เชี่ยวชาญเพื่อช่วยประหยัดเวลาและทำความสะอาดอย่างทั่วถึง

อย่างไรก็ตาม หากคุณยังสามารถเข้าถึงแผงการดูแลระบบได้ คุณสามารถไปยังขั้นตอนต่อไปของการดำเนินการได้ เราขอแนะนำให้คุณเปลี่ยนรหัสผ่านเว็บไซต์ของคุณก่อนที่จะเริ่มการล้างข้อมูลอย่างละเอียด

ตัวตรวจสอบเว็บไซต์ของ Google

ด้วยเทคโนโลยีการท่องเว็บอย่างปลอดภัยของ Google คุณสามารถตรวจสอบได้อย่างรวดเร็วว่าไซต์หนึ่งๆ อาจเป็นอันตรายในฐานะผู้ใช้หรือไม่ อีกทางเลือกหนึ่งคือการตรวจสุขภาพ ซึ่งมีอยู่ในคอนโซล Google ผ่านรายการเมนูสุขภาพ

เมื่อ Google ระบุไฟล์หรือโปรแกรมที่เป็นอันตรายในไซต์ที่คุณเยี่ยมชมแล้ว คุณต้องได้รับคำเตือน "ไซต์นี้อาจถูกแฮ็ก" ซึ่งจะหายไปเมื่อเว็บไซต์ได้รับการแก้ไข

การสแกนและกำจัด WordPress

มีเครื่องสแกนมากมายบนเว็บไซต์ที่สามารถค้นพบและลบโทรจันและมัลแวร์ออกจากไซต์ได้ หลังจากการสแกน คุณจะมองเห็นภาพรวมของปัญหาที่พบ เช่น การเปลี่ยนแปลงโดยไม่ได้รับอนุญาต หรืออาจส่งสแปมไปยังหน้าเว็บ

ผู้ใช้สามารถใช้ปลั๊กอินที่มีฟังก์ชันที่เป็นประโยชน์ เช่น การเข้าถึงล่าสุด การตรวจสอบหลังรายการ และการแจ้งเตือนด้านความปลอดภัยต่างๆ นอกจากนั้น แฮกเกอร์มักจะซ่อนแบ็คดอร์ไว้ในปลั๊กอินและธีมในเว็บไซต์ WordPress

คุณต้องดูเว็บไซต์ของคุณและลบปลั๊กอินและธีมที่ปิดใช้งาน คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับการแฮ็ค WordPress Backdoor เมื่อคุณลบธีมและปลั๊กอินแล้ว คุณต้องสแกนเว็บไซต์ของคุณอีกครั้งเพื่อรับรายการปัญหาที่อัปเดต

ที่พื้นฐานที่สุดคือปลั๊กอิน WordPress และไดเร็กทอรีธีม WordPress, wp-config.php, ไดเร็กทอรี wp-includes, ไดเร็กทอรีอัปโหลดเนื้อหา wp และไฟล์ .htaccess

คุณควรเรียกใช้ไซต์ของคุณผ่าน Theme Authenticity Checker ซึ่งเชื่อมโยงไว้ที่นี่ ตัวตรวจสอบความถูกต้องของธีมจะแสดงคีย์รายละเอียดถัดจากธีมที่เกี่ยวข้องกับไฟล์ที่ติดไวรัส นอกจากนี้ยังจะแสดงรหัสที่เสียหายและเป็นอันตรายที่ค้นพบ

กู้คืนไซต์ WordPress ของคุณจากการสำรองข้อมูล

หากเป็นไปได้ คุณต้องกู้คืนเว็บไซต์ของคุณไปยังจุดก่อนหน้าเมื่อไม่ถูกแฮ็ก คุณสามารถเข้าถึงขั้นตอนในการสำรองข้อมูลและกู้คืน WordPress ด้วยตนเองได้ที่นี่ หากคุณสามารถกู้คืนเว็บไซต์ของคุณได้ ก็มีโอกาสสูงที่คุณจะสำรองข้อมูลและดำเนินการเว็บไซต์ได้ในเร็วๆ นี้

ข้อเสียคือคุณอาจเสี่ยงที่จะสูญเสียโพสต์ในบล็อกที่เผยแพร่หลังจากสำรองข้อมูล ความคิดเห็นใหม่ ฯลฯ คุณอาจต้องการทิ้งการแฮ็กด้วยตนเอง ทั้งนี้ขึ้นอยู่กับการวัดปริมาณเนื้อหาและเวลาที่ถูกแฮ็ก

ปลั๊กอินความปลอดภัย WordPress

มีปลั๊กอินความปลอดภัยมากมายของ WordPress เพื่อป้องกันโทรจัน มัลแวร์ และรูทคิท เมื่อเรากำลังพูดถึงมัลแวร์ใน WordPress คุณต้องให้ความสนใจเป็นพิเศษ

อัปเดต / ลบปลั๊กอินและธีมที่ไม่ได้ใช้

คุณต้องอัปเดตธีมและปลั๊กอินทั้งหมด อย่างไรก็ตาม แม้ว่าคุณจะมีปลั๊กอินบางตัวบนเว็บไซต์ของคุณ และทุกปลั๊กอินมีฟังก์ชันการทำงานที่ไม่เหมือนใคร แต่ก็ไม่สมเหตุสมผลเลยที่จะติดตั้งธีมบางธีม

ลบธีมทั้งหมดที่คุณไม่ได้ใช้และอัปเดตธีมที่ใช้งานอยู่ นี่คือวิธีที่เราสามารถอัปเดตปลั๊กอินและธีมได้ เพื่อให้ภาพรวมของการดำเนินการทั้งหมดแก่คุณ เราได้แบ่งออกเป็นสองสามขั้นตอน:

• ดาวน์โหลดธีมของคุณด้วยเวอร์ชันล่าสุด
• เปิดเครื่องรูดไฟล์นั้นเพื่อเข้าถึงธีมที่อัปเดตนั้น
• จากนั้นไปที่แผงควบคุมและเปิดใช้งานโหมดการบำรุงรักษา
• เชื่อมต่อกับโฮสติ้งของคุณโดยใช้ FTP
• เปลี่ยนชื่อไดเร็กทอรีธีมของคุณด้วยชื่อที่คุ้นเคย: themename-OLD
• อัปโหลดที่ดาวน์โหลดไดเร็กทอรีธีมที่อัปเดตก่อนหน้านี้
• ตรวจสอบเวอร์ชันของธีมที่ใช้งานอยู่
• ตรวจสอบว่าทุกอย่าง (หน้า ฟังก์ชัน CSS และ JS) ทำงานอย่างถูกต้อง
• ลบไดเร็กทอรีธีมเก่านั้น (themename-OLD)

ติดตามต่อไป

ทำการล้างข้อมูลทั้งหมดบนเว็บไซต์ WordPress ของคุณและทิ้งธีมและปลั๊กอินที่ไม่ได้ใช้ทั้งหมดทิ้งไป แฮกเกอร์มักจะค้นหาปลั๊กอินที่ถูกปิดใช้งานและล้าสมัย (รวมถึงปลั๊กอิน WordPress อย่างเป็นทางการ) และธีม และใช้พวกมันเพื่อเข้าถึงอุปกรณ์คอมพิวเตอร์ของคุณ หรืออัปโหลดไฟล์ที่เป็นอันตรายที่เป็นอันตรายต่อเซิร์ฟเวอร์ของคุณ

วิธีหนึ่งในการทำให้เว็บไซต์ของคุณปลอดภัยคืออัปเดตธีมและปลั๊กอินด้วยวิธีนี้เสมอ คุณทราบดีว่าแฮ็กเกอร์ส่วนใหญ่มองหาปลั๊กอินที่อยู่เฉยๆ ซึ่งไม่ได้รับการอัปเดตในช่วงเวลาหนึ่ง และบางครั้งอาจแฮ็กเข้าไปข้างในได้ การอัปเดตปลั๊กอินทั้งหมดเป็นวิธีที่ช่วยปกป้องเว็บไซต์

จำนวนธีมที่คุณควรตรวจสอบให้แน่ใจว่าคุณไม่มีไฟล์ธีมเพิ่มเติมที่อยู่ใน Cpanel/ตัวจัดการไฟล์ของคุณที่ไม่ได้ใช้งาน ดังนั้นจึงเป็นความคิดที่ดีที่สุดที่จะลบธีมที่ไม่ได้ใช้อื่น ๆ ทั้งหมดออก เนื่องจากคุณสามารถใช้ธีมได้ครั้งละหนึ่งธีมสำหรับไซต์ของคุณ ดังนั้นตอนนี้ธีมเหล่านี้ทั้งหมดได้รับการอัปเดตแล้ว

มันช่วยให้ไซต์ของคุณเร็วขึ้นเล็กน้อยเพราะมันจะทิ้งขยะและไฟล์ที่ไร้ประโยชน์ทั้งหมดที่อาจทำให้ไซต์ของคุณช้าลง มันเป็นเพียงพื้นที่เพิ่มเติม มันกำลังขึ้น ดังนั้นเพียงแค่ลบปลั๊กอินที่ปิดใช้งาน คุณยังช่วยให้เว็บไซต์เร็วขึ้นอีกเล็กน้อย

การลบธีมและปลั๊กอินที่คุณหยุดใช้งาน (และอาจไม่ได้อัปเดต) เมื่อนานมาแล้ว คุณจะลดความเสี่ยงและทำให้ไซต์ของคุณปลอดภัยขึ้นอีกเล็กน้อย

ควบคุมด้วยมือ

อีกวิธีหนึ่งในการค้นหาและซ่อมแซมเว็บไซต์ที่ถูกแฮ็กคือการตรวจสอบด้วยตนเอง ไฟล์ประเภท .php, .htaccess และไฟล์มัลติมีเดียเป็นไฟล์ไวรัลในหมู่แฮกเกอร์จำนวนมาก เราแนะนำให้ค้นหาไดเร็กทอรีที่มีอยู่ตามการเข้ารหัส base64

ไฟล์ที่ติดไวรัสประเภทนี้สามารถระบุได้ง่าย หากคุณพบมัลแวร์บนไซต์ คุณจะต้องทำความสะอาดอุปกรณ์คอมพิวเตอร์ของคุณอย่างถี่ถ้วนด้วยไฟล์และโปรแกรมที่เป็นอันตราย และหลังจากนั้น ให้เปลี่ยนการเข้าสู่ระบบเพื่อเข้าถึง FTP แม้หลังจากนั้น

หน้าที่ติดไวรัสจะต้องถูกลบออกหรือทำความสะอาด ควรติดตั้ง CMS ใหม่ อย่างไรก็ตาม การติดตั้งใหม่ช่วยขจัดปัญหาที่สำคัญ แต่ในขณะที่ตัวเลือกข้างต้นสามารถช่วยคุณค้นหาโทรจันและมัลแวร์และซ่อมแซมเว็บไซต์ WordPress ที่ถูกแฮ็กได้ แต่ก็ไม่มีการรับประกันความสำเร็จใดๆ

วิวัฒนาการอย่างต่อเนื่องของการโจมตีทางไซเบอร์ทำให้แนวการป้องกันไอทีไม่เสถียร

ปิดการแก้ไขไฟล์

อย่างที่คุณทราบ WordPress มาพร้อมกับตัวแก้ไขไฟล์ในตัวที่อนุญาตให้คุณแก้ไขไฟล์ PHP แม้ว่าฟังก์ชันนี้จะเป็นประโยชน์ แต่ก็สามารถสร้างความเสียหายได้มากมายเช่นกัน หากผู้โจมตีเข้าถึงแผงการดูแลระบบได้ พวกเขาจะมองหาตัวจัดการไฟล์แทนตัวแก้ไขไฟล์นั้น

ผู้ใช้บางคนต้องการปิดใช้งานฟังก์ชันนี้อย่างสมบูรณ์ มันสามารถปิดการใช้งานโดยเพียงแค่แก้ไขไฟล์ “wp-config.php” และเพิ่มบรรทัดของรหัสต่อไปนี้:

กำหนด ('DISALLOW_FILE_EDIT', จริง);

นั่นคือทั้งหมดที่คุณต้องทำเพื่อปิดใช้งานการแก้ไขไฟล์ใน WordPress สำคัญ: หากคุณต้องการเปิดใช้งานฟังก์ชันนี้อีกครั้ง ให้ใช้ตัวจัดการไฟล์หรือไคลเอนต์ FTP ของผู้ให้บริการโฮสต์ของคุณ และลบรหัสนี้ออกจากไฟล์ “wp-config.php”

ติดตั้งใหม่ทุกอย่าง

คุณจะต้องติดตั้งธีม ปลั๊กอิน และ WordPress ใหม่ทันทีหลังจากสำรองข้อมูลทุกอย่างแล้ว เมื่อคุณแยกเนื้อหาออกจากไดเร็กทอรี "wp-content" ให้ใช้เฉพาะไฟล์รูปภาพที่คุณเก็บถาวรเท่านั้น

การดาวน์โหลดไฟล์ PHP หรือ Java ค่อนข้างเสี่ยงเพราะอาจถูกบุกรุกโดยที่คุณไม่รู้ตัว หลังจากนั้น ทำการสแกนไวรัสแบบเต็มของอุปกรณ์คอมพิวเตอร์เพื่อให้แน่ใจว่าไม่มีอะไรต้องกังวลอีกต่อไป

การแทนที่ไฟล์ที่เสียหายหรือติดไวรัส

การลบโค้ดที่เป็นอันตรายออกจากไฟล์ที่ติดไวรัสทั้งหมดสามารถทำได้โดยการลบไฟล์ที่เสียหายหรือแทนที่ไฟล์เหล่านั้นด้วยไฟล์ทั่วไปใหม่ เราจะดำเนินการต่อไปนี้ตามลำดับต่อไปนี้ อย่างเป็นระบบและโดยไม่ทิ้งขั้นตอนใดๆ เพื่อไม่ให้มีมัลแวร์โทรจันหลงเหลืออยู่:

• แทนที่ไฟล์ WordPress ของเว็บไซต์ด้วยไฟล์ที่ดาวน์โหลดโดยตรงจากเว็บไซต์ WordPress อย่างเป็นทางการ
• แทนที่ไดเร็กทอรีของปลั๊กอินทั้งหมดด้วยไฟล์ที่ดาวน์โหลดในรูปแบบไฟล์ .zip จากที่เก็บ WordPress
• แทนที่ไฟล์ธีมเหล่านั้นด้วยไฟล์ธีม ซึ่งสามารถดาวน์โหลดได้จากร้านค้าและแหล่งที่มาอย่างเป็นทางการ
• แทนที่จะทำการแทนที่ไฟล์ ขอแนะนำให้ลบแล้ววางไฟล์ที่ดาวน์โหลดใหม่เพื่อให้แน่ใจว่าทำความสะอาดอย่างเหมาะสม

เมื่อดำเนินการเสร็จสิ้นแล้ว อาจเป็นไปได้ว่าเว็บไซต์ของเรามีความปลอดภัยน้อยหรือมากขึ้น และเราสามารถเข้าถึงได้ด้วยวิธีมาตรฐานโดยใช้เว็บเบราว์เซอร์ คุณควรจำไว้เสมอว่าหากคุณทำการแก้ไขที่จำเป็นในโค้ดปลั๊กอินหรือโค้ดธีมที่เกี่ยวข้องกับต้นฉบับที่ดาวน์โหลดจากร้านค้าหรือแหล่งที่มาอย่างเป็นทางการ คุณจะสูญเสียข้อมูลเหล่านี้และคุณควรทำใหม่อีกครั้ง

ตรวจสอบสิทธิ์และบทบาทของผู้ใช้ทั้งหมดจากผู้ดูแลระบบ WordPress

ใช้ความขยันหมั่นเพียรในการเสนอการเข้าถึงผู้ใช้ที่เหมาะสมในทีมของคุณสำหรับไซต์ WordPress คุณอาจตรวจสอบส่วนผู้ใช้ของ WordPress เพื่อจำกัดการเข้าถึงเว็บไซต์ของคุณ

ดาวน์โหลด WordPress . เวอร์ชันล่าสุด

จำเป็นต้องติดตั้ง WordPress เวอร์ชันล่าสุดเพื่อให้แน่ใจว่าจะเริ่มต้นได้ดี คุณควรดาวน์โหลดปลั๊กอินเวอร์ชันล่าสุดด้วย เนื่องจากแฮ็กเกอร์อาจแนะนำสคริปต์ภายในปลั๊กอินของคุณ

ปิดการใช้งานคุกกี้จาก WordPress Admin

สมมติว่าคุณแน่ใจว่าคุกกี้ถูกปิดใช้งานในอนาคตเพื่อป้องกันการแฮ็กเพิ่มเติม เมื่อผู้ใช้เข้าสู่ระบบโดยใช้สิทธิ์ พวกเขาจะยังคงเข้าสู่ระบบจนกว่าคุกกี้จะหมดอายุ มันจะช่วยได้ถ้าคุณสร้างชุดรหัสลับใหม่เป็นครั้งแรก คุณต้องสร้างคีย์ความปลอดภัยใหม่ คุณควรเพิ่มคีย์ที่สร้างขึ้นใหม่นี้ลงในไฟล์ "wp-config.php" ของคุณ

สแกนเว็บไซต์อีกครั้ง

ศูนย์ช่วยเหลือที่ถูกแฮ็ก WP เป็นวิธีที่เหมาะที่สุดในการสแกนไซต์ที่ใช้ WordPress ของคุณอีกครั้งเพื่อหาบัญชีดำของเว็บไซต์ มัลแวร์ ข้อบกพร่อง สแปมที่ฉีดเข้าไป และโค้ดที่เป็นอันตรายทางออนไลน์ ในเวลาไม่นาน พวกเขาจะสแกนและเสนอผลลัพธ์ ไม่ว่าเว็บไซต์ของคุณมีการติดไวรัสหรือไม่ก็ตาม เป็นหนึ่งในสแกนเนอร์ในอุดมคติที่จะค้นพบไวรัส มัลแวร์ หรือโค้ดที่เป็นอันตรายที่มีอยู่ในไฟล์หลัก ธีม หรือปลั๊กอิน Wp ของคุณ

เปลี่ยนรหัสผ่านของคุณอีกครั้ง

คุณต้องอัปเดตรหัสผ่านของรหัสผ่าน WordPress, FTP / cPanel / MySQL และทุกที่ที่คุณอาจใช้รหัสผ่านนี้เพื่อความปลอดภัยสูงสุด จะช่วยได้หากคุณมั่นใจว่าผู้ใช้ทุกคนที่เข้าถึงไซต์ได้เปลี่ยนรหัสผ่านแล้ว เราหวังว่าคู่มือข้อมูลนี้จะช่วยคุณแก้ไขไซต์ WordPress ที่ถูกแฮ็กหรือของคุณ

สำรองสำเนาของไฟล์เว็บไซต์ทั้งหมด

เราจะใช้ FileZilla สำหรับตัวอย่างนี้ เมื่อคุณทำความสะอาดไซต์ WordPress จากโทรจันหรือมัลแวร์และโค้ดหรือไวรัสที่เป็นอันตรายแล้ว ให้ทำตามขั้นตอนเหล่านี้:

• เข้าถึงบัญชี FTP ของคุณใน CPanel เพื่อค้นหาข้อมูลรับรองที่คุณต้องการเพื่อตั้งค่า FileZilla หากคุณลืมหรือไม่ได้ตั้งรหัสผ่าน ให้คลิกเปลี่ยนรหัสผ่านบัญชีและเปลี่ยนรหัสผ่านของคุณ
• ไปที่ ไฟล์ จากนั้น ตัวจัดการไซต์ จากนั้น ไซต์ใหม่ กรอกข้อมูลในช่องชื่อผู้ใช้ รหัสผ่าน และชื่อโฮสต์ด้วยรายละเอียดที่คุณรวบรวมไว้ก่อนหน้านี้ อย่างไรก็ตาม ปล่อยให้การกำหนดค่าที่เหลือตามเดิม เสร็จแล้วกด Connect
• เมื่อการเชื่อมต่อสำเร็จ คุณสามารถคลิกขวาที่ไดเร็กทอรี “public_html” บนเว็บไซต์ของคุณเพื่อดาวน์โหลด
• แม้ว่าคุณจะรอให้ไฟล์ WordPress ถูกดาวน์โหลดไฟล์ คุณก็สามารถทำการสำรองข้อมูลของฐานข้อมูลได้โดยใช้ระบบฐานข้อมูล phpMyAdmin นอกจากนี้ FileZilla จะแจ้งให้คุณทราบหลังจากการถ่ายโอนไฟล์เสร็จสิ้น ไม่ต้องกังวล!