จะรักษาความปลอดภัยเว็บไซต์ wordpress ได้อย่างไร? – 10 วิธีที่มีประสิทธิภาพ

เผยแพร่แล้ว: 2022-09-11

จะรักษาความปลอดภัยเว็บไซต์ wordpress ได้อย่างไร? คุณทุ่มเทเวลาและความพยายามอย่างมากในการสร้างเว็บไซต์ของคุณ และคุณอาจใช้เวลาและความพยายามมากขึ้นในการปรับปรุงเว็บไซต์ให้ทันสมัยอยู่เสมอ เว็บไซต์ของคุณอาจจำเป็นต่อการอยู่รอดของคุณด้วยซ้ำ — คุณต้องการเงินสดที่น่ารัก ดอลล่าร์ หรือดอลลาร์เพื่อให้บริษัทของคุณอยู่รอด

ดังนั้น มาลงมือทำธุรกิจกันเถอะ เมื่อพูดถึงเรื่องความปลอดภัย

WordPress เป็นแพลตฟอร์มที่ยอดเยี่ยมและปลอดภัยตั้งแต่แกะกล่อง แต่ยังมีอีกมากที่คุณสามารถทำได้ (และควรทำ!) เพื่อทำให้ไซต์ของคุณปลอดภัยจากบุคคลที่ชั่วร้าย การปรับปรุงการรักษาความปลอดภัยจำนวนมากเหล่านี้ง่ายต่อการปรับใช้และสามารถทำได้ภายในเวลาไม่กี่นาทีด้วยมือ คนอื่นจำเป็นต้องติดตั้งปลั๊กอินบางตัวเท่านั้น

ในบทความนี้ ฉันจะแนะนำคุณผ่านสิบวิธีในการเสริมการป้องกันป้อมปราการ WordPress ของคุณ แต่ก่อนอื่น มาเจาะลึกกันว่าทำไมการรักษาความปลอดภัยของเว็บไซต์จึงสำคัญสำหรับคุณ

ทำไมการทำตามขั้นตอนเพื่อรักษาความปลอดภัยไซต์ WordPress ของคุณจึงมีความสำคัญ

การเลือก WordPress เป็นแพลตฟอร์มของคุณเป็นจุดเริ่มต้นที่ดี หากคุณต้องการพัฒนาไซต์ที่ปลอดภัย มันไม่ได้เป็นเพียงแพลตฟอร์มอเนกประสงค์และทรงพลังสำหรับการสร้างเว็บไซต์เท่านั้น แต่ยังปลอดภัยอย่างยิ่งตั้งแต่แกะกล่อง

เนื่องจากนักพัฒนา WordPress มีความกังวลเกี่ยวกับความปลอดภัย พวกเขาจึงมุ่งมั่นที่จะ "เสริมความแข็งแกร่ง" ให้กับแพลตฟอร์มหลักในระดับสูงสุด พวกเขายังให้การอัปเดตและแพตช์ที่เกี่ยวข้องกับความปลอดภัยเป็นประจำ ซึ่งจะดาวน์โหลดและปรับใช้บนไซต์ของคุณโดยอัตโนมัติ ด้วยเหตุนี้ เว็บไซต์ของคุณจึงพร้อมรับมือกับอันตรายใหม่ๆ ที่เกิดขึ้น

อันที่จริง ไม่มีแพลตฟอร์มใดที่สามารถรับประกันความปลอดภัยได้อย่างสมบูรณ์ แฮกเกอร์ทำงานอย่างหนักเพื่อพยายามเจาะเข้าไปในเว็บไซต์ที่ปลอดภัยที่สุด (หากพวกเขาใช้ความสามารถของพวกเขาให้ดี amirite?) WordPress เป็นที่นิยมมากพอที่จะตกเป็นเป้าหมายประจำเพราะว่ามีอำนาจมากกว่า 30% ของอินเทอร์เน็ต

ควรดำเนินไปโดยไม่ได้บอกว่าหากคนร้ายสามารถเข้ามาในไซต์ของคุณได้ พวกเขาสามารถสร้างความเสียหายได้มากมาย

ตัวอย่างเช่น พวกเขาสามารถขโมยหรือประนีประนอมข้อมูลที่ละเอียดอ่อน ติดตั้งมัลแวร์ แก้ไขไซต์ของคุณเพื่อให้เหมาะกับความต้องการของพวกเขา หรือแม้แต่ลบทิ้งทั้งหมด สิ่งนี้ไม่ดีต่อทั้งคุณและผู้ใช้ของคุณ และหากคุณทำธุรกิจ อาจส่งผลให้สูญเสียรายได้และลูกค้า

นั่นไม่ดีเลย

การระมัดระวังเป็นพิเศษเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณเป็นสิ่งสำคัญ คุณจะต้องอุทิศเวลาและความสนใจให้กับโครงการนี้เท่ากับที่คุณทำเพื่อสร้างเว็บไซต์ของคุณตั้งแต่แรก (ถ้าไม่มาก) โชคดีที่ผู้อ่านที่รัก มีวิธีพื้นฐานและรวดเร็วมากมายในการเสริมความปลอดภัยให้กับเว็บไซต์ของคุณ รวมถึงกลยุทธ์ขั้นสูงบางอย่างที่คุณอาจต้องการใช้

จะรักษาความปลอดภัยเว็บไซต์ wordpress ได้อย่างไร?

10 แนวคิดที่เป็นประโยชน์ในการรักษาไซต์ของคุณให้ปลอดภัยและลดโอกาสที่จะถูกแฮ็กในส่วนที่เหลือของบทความนี้ นอกจากนี้ เราจะส่งคุณไปในทิศทางที่ถูกต้องสำหรับแต่ละกลยุทธ์

คุณไม่จำเป็นต้องทำทุกอย่างในรายการนี้ให้สำเร็จ แม้ว่าคุณอาจจะทำจริงๆ ได้ ยิ่งคุณดำเนินการเพื่อปกป้องไซต์ของคุณมากเท่าไร โอกาสที่คุณจะเผชิญโศกนาฏกรรมในภายภาคหน้าก็จะยิ่งน้อยลงเท่านั้น

1. ใช้โฮสต์คุณภาพ

Web Hosting
เว็บโฮสติ้ง

พื้นที่เว็บของคุณถือได้ว่าเป็น "ถนน" ของเว็บไซต์ของคุณบนอินเทอร์เน็ต เป็นที่ที่ไซต์ของคุณ "อยู่"

คุณภาพของฐานที่บ้านของเว็บไซต์ของคุณมีความสำคัญในหลาย ๆ ด้าน เช่นเดียวกับเขตการศึกษาที่ดีที่มีความสำคัญต่ออนาคตของบุตรหลานของคุณ (พวกเขาจึงพูดว่า ฉันไม่เป็นไร)

บริษัทโฮสติ้งที่มีชื่อเสียงอาจส่งผลต่อประสิทธิภาพการทำงานของเว็บไซต์ของคุณ การขยายขนาดเว็บไซต์ และอันดับในเครื่องมือค้นหา โฮสต์ชั้นนำมีคุณสมบัติที่เป็นประโยชน์มากมาย การบริการลูกค้าที่โดดเด่น และบริการเฉพาะแพลตฟอร์ม

โฮสต์เว็บของคุณอาจส่งผลกระทบอย่างมากต่อความปลอดภัยของไซต์ของคุณ ตามที่คุณอาจคาดไว้ การเลือกบริการโฮสติ้งที่เชื่อถือได้มีข้อดีด้านความปลอดภัยหลายประการ ได้แก่:

  • โฮสต์ที่ดีจะคอยอัปเดตบริการ ซอฟต์แวร์ และเครื่องมือให้ทันสมัยอยู่เสมอเพื่อตอบสนองต่อภัยคุกคามล่าสุดและป้องกันการละเมิดความปลอดภัย
  • เว็บเซิร์ฟเวอร์มักนำเสนอฟีเจอร์ความปลอดภัยเป้าหมายต่างๆ เช่น ใบรับรอง SSL/TLS และการป้องกัน DDoS คุณควรมีสิทธิ์เข้าถึง Web Application Firewall (WAF) ซึ่งจะช่วยคุณในการตรวจสอบและบล็อกภัยคุกคามที่สำคัญต่อเว็บไซต์ของคุณ
  • หากคุณถูกแฮ็ก ผู้ให้บริการเว็บของคุณเกือบจะจัดให้มีกลไกในการสำรองข้อมูลไซต์ของคุณ (และในบางกรณีจะทำเพื่อคุณด้วย) ช่วยให้คุณสามารถกู้คืนเวอร์ชันก่อนหน้าที่เสถียรและเสถียรได้อย่างรวดเร็ว
  • หากโฮสต์ของคุณให้การสนับสนุนที่น่าเชื่อถือและตลอด 24 ชั่วโมง คุณจะมีคนคอยช่วยเหลือเสมอหากคุณมีปัญหาเกี่ยวกับความปลอดภัย

รายการนี้ควรเป็นจุดเริ่มต้นที่ดีสำหรับการค้นหาโฮสต์สำหรับเว็บไซต์ใหม่ของคุณ หรือหากคุณกำลังพิจารณาเปลี่ยนผู้ให้บริการ คุณจะต้องเลือกคุณลักษณะและฟังก์ชันการทำงานทั้งหมดที่คุณต้องการ รวมทั้งประวัติความเชื่อถือได้และประสิทธิภาพสูง

DreamPress เป็นโฮสติ้งเฉพาะของ WordPress ที่รวดเร็ว เชื่อถือได้ ปรับขนาดได้ และปลอดภัย DreamPress มาพร้อมกับใบรับรอง SSL/TLS ที่ติดตั้งไว้ล่วงหน้าและ WAF เฉพาะพร้อมกฎที่ออกแบบมาโดยเฉพาะเพื่อปกป้องไซต์ WordPress และป้องกันการพยายามแฮ็ค โดยไม่มีค่าใช้จ่ายเพิ่มเติม คุณจะได้รับการสำรองข้อมูลอัตโนมัติ การสนับสนุนตลอด 24 ชั่วโมงทุกวันจากผู้เชี่ยวชาญ WordPress และ Jetpack Premium ปลั๊กอินที่สามารถเพิ่มการป้องกันความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณ

คุณจะสามารถผ่อนคลายได้เมื่อรู้ว่าไซต์ของคุณปลอดภัยด้วย DreamPress แม้ว่าบริการโฮสติ้งของเราจะดูแลขั้นตอนการเพิ่มความปลอดภัยต่อไปนี้ให้กับคุณ แต่เราขอแนะนำให้คุณอ่านต่อไปเพื่อค้นหาข้อควรระวังเพิ่มเติมที่คุณอาจใช้

ยังไงเด็กๆ ความปลอดภัยต้องมาก่อน!

โฮสต์เว็บที่แนะนำ – Blue Host Opens in a new tab.

2. เปลี่ยนเว็บไซต์ของคุณเป็น HTTPS

Switch Your Site to HTTPS
เปลี่ยนเว็บไซต์ของคุณเป็น HTTPS

มาพูดคุยกันเกี่ยวกับใบรับรอง SSL/TLS โดยละเอียดยิ่งขึ้น ซึ่งจะทำให้คุณสามารถอัปเกรดไซต์ของคุณเป็น HTTPS (HyperText Transfer Protocol Secure) ซึ่งเป็นเวอร์ชัน HTTP ที่ปลอดภัยยิ่งขึ้น แม้ว่าคุณจะไม่เคยได้ยินคำศัพท์เหล่านี้มาก่อน แต่ก็เป็นแนวคิดด้านความปลอดภัยที่สำคัญที่ต้องทำความเข้าใจ

HTTP คือโปรโตคอลการรับส่งข้อมูลระหว่างเว็บไซต์ของคุณกับเบราว์เซอร์ใดๆ ที่พยายามเข้าถึง เมื่อผู้เยี่ยมชมคลิกที่หน้าแรกของคุณ โปรโตคอลนี้จะส่งเนื้อหา สื่อ และรหัสเว็บไซต์ทั้งหมดของคุณไปยังตำแหน่งของผู้เยี่ยมชม

แม้ว่าสิ่งนี้จะมีความจำเป็นอย่างไม่ต้องสงสัย แต่ก็มีข้อกังวลด้านความปลอดภัยบางประการ ผู้ไม่หวังดีอาจพยายามสกัดกั้นข้อมูลที่อยู่ระหว่างการส่งผ่านและนำไปใช้ด้วยเหตุผลอันเลวร้ายของตนเอง

นี่เป็นปัญหาที่ HTTPS แก้ไขได้! มันทำสิ่งเดียวกับ HTTP แต่ยังเข้ารหัสข้อมูลเว็บไซต์ของคุณเมื่อเดินทางจากจุด A ไปยังจุด B ทำให้ยากต่อการเข้าถึง

เริ่มแรก HTTPS ถูกใช้เป็นหลักสำหรับไซต์ที่จัดการข้อมูลลูกค้าที่มีความละเอียดอ่อน เช่น หมายเลขบัตรเครดิต อย่างไรก็ตาม มันเริ่มแพร่หลายมากขึ้นในทุกไซต์ และชื่อใหญ่ๆ เช่น WordPress และ Google ได้ผลักดันให้มีการใช้กันอย่างแพร่หลาย

คุณจะต้องมีใบรับรอง SSL/TLS เพื่อแปลงไซต์ของคุณเป็น HTTPS สิ่งนี้จะบอกเบราว์เซอร์ว่าไซต์ของคุณถูกต้อง และข้อมูลในนั้นได้รับการรักษาความปลอดภัยอย่างเหมาะสม บางเว็บไซต์ เช่น Let's Encrypt จะให้บริการเว็บไซต์ฟรีแก่คุณ

โฮสต์ที่ดีมักจะมีใบรับรอง SSL/TLS เป็นส่วนหนึ่งของแพ็คเกจโฮสติ้งของคุณ อันที่จริง แผนการโฮสต์ทั้งหมดของเราที่ DreamHost รวมใบรับรอง Let's Encrypt ฟรี!

คุณจะต้องใช้ HTTPS เมื่อคุณได้วางใบรับรอง SSL/TLS บนไซต์ของคุณแล้วเท่านั้น โฮสต์ของคุณอาจดูแลเรื่องนี้ให้คุณ แต่ก็เป็นสิ่งที่คุณสามารถจัดการได้ด้วยตัวเอง เว็บไซต์ของคุณจะถูกสร้างขึ้นโดยใช้ HTTPS ตั้งแต่เริ่มต้น หากคุณเลือก DreamPress บริการโฮสติ้งที่ยืดยาว เริ่มเกมได้เลย!

หากต้องการซื้อใบรับรอง SSL คลิกที่นี่ Opens in a new tab.

3. สร้างข้อมูลรับรองการเข้าสู่ระบบที่ปลอดภัย

Create Secure Login Credentials
สร้างข้อมูลรับรองการเข้าสู่ระบบที่ปลอดภัย

สิ่งนี้ทำให้ยากขึ้นสำหรับคนแปลกหน้าที่น่าขนลุกในการเข้าถึงเว็บไซต์ของคุณ คุณได้เลือกชื่อผู้ใช้และรหัสผ่านที่คาดเดายากสำหรับบัญชีอื่นๆ บนอินเทอร์เน็ตอย่างไม่ต้องสงสัย ดังนั้นจึงไม่มีปัญหาใหญ่ที่จะทำเช่นเดียวกันกับเว็บไซต์ WordPress ของคุณ

คุณจะได้รับตัวเลือกในการสร้างชื่อผู้ใช้และรหัสผ่านสำหรับเข้าสู่ระบบเมื่อคุณสร้างไซต์ของคุณ ชื่อผู้ใช้จะเป็นผู้ดูแลระบบโดยค่าเริ่มต้น แต่คุณสามารถเปลี่ยนได้หากต้องการ (และอาจควร) อย่างไรก็ตาม เนื่องจากบุคคลสามารถค้นพบข้อมูลเข้าสู่ระบบ WordPress ของคุณได้หลายวิธี คุณสามารถเลือกตัวเลือกเริ่มต้นได้หากต้องการ

ในทางกลับกัน รหัสผ่านของคุณมีความสำคัญ และคุณควรเลือกรหัสผ่านที่รัดกุม การกลับรถล่าสุดเกี่ยวกับวิธีการเลือกรหัสผ่านที่คาดเดายากได้เกิดขึ้น โดยมีคำแนะนำเกี่ยวกับวลีสี่คำง่ายๆ ที่บดบังการผสมตัวอักษร ตัวเลข และสัญลักษณ์แบบดั้งเดิม เป็นเทคนิคที่มีมานานแล้วในบางวงการ

หากการพูดถึงรหัสผ่านทั้งหมดนี้ทำให้คุณปวดหัว เราขอแนะนำให้ใช้ตัวสร้างรหัสผ่านของ WordPress ซึ่งจะสร้าง (เกือบ) รหัสผ่านที่เข้าถึงไม่ได้โดยตรงภายในส่วนหลังของ WordPress เพียงจดบันทึกข้อมูลประจำตัวของคุณในที่ที่ปลอดภัย เช่น ตัวจัดการรหัสผ่านที่เข้ารหัส เพื่อให้คุณไม่ลืมข้อมูลเหล่านั้น

คุณยังคงสามารถอัปเดตข้อมูลรับรองการเข้าสู่ระบบของคุณได้ หากคุณได้สร้างไซต์ของคุณแล้วและใช้ข้อมูลรับรองที่น้อยกว่าในอุดมคติในตอนแรก คุณสามารถเปลี่ยนชื่อผู้ใช้ของคุณได้โดยการสร้างบัญชีใหม่ กำหนดสถานะผู้ดูแลระบบ และกำหนดข้อมูลทั้งหมดของคุณก่อนที่จะลบบัญชีเก่า

ในการเปลี่ยนรหัสผ่าน ให้ไปที่ ผู้ใช้ > ผู้ใช้ทั้งหมด ในแผงการดูแลระบบ WordPress ของคุณ คลิกชื่อผู้ใช้ของคุณ จากนั้นเปลี่ยนในหน้าจอแก้ไขผู้ใช้

4. เปิดใช้งานไฟร์วอลล์แอปพลิเคชันเว็บ

Enable a Web Application Firewall
เปิดใช้งานไฟร์วอลล์แอปพลิเคชันเว็บ

คุณอาจทราบแนวคิดของไฟร์วอลล์ซึ่งเป็นโปรแกรมที่ช่วยปกป้องคอมพิวเตอร์ของคุณจากการโจมตีที่เป็นอันตรายประเภทต่างๆ คุณเกือบจะมีไฟร์วอลล์ติดตั้งอยู่บนพีซีของคุณแล้ว Web Application Firewall (WAF) เป็นไฟร์วอลล์ประเภทหนึ่งที่ออกแบบมาเพื่อปกป้องเว็บไซต์โดยเฉพาะ เซิร์ฟเวอร์ เว็บไซต์บางแห่ง หรือเว็บไซต์กลุ่มใหญ่สามารถป้องกันได้ทั้งหมด

ไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF) บนไซต์ WordPress ของคุณจะทำหน้าที่เป็นไฟร์วอลล์ระหว่างไซต์ของคุณกับส่วนอื่นๆ ของอินเทอร์เน็ต ไฟร์วอลล์เฝ้าสังเกตพฤติกรรมที่น่าสงสัย ตรวจจับการจู่โจม ไวรัส และเหตุการณ์ไม่พึงประสงค์อื่นๆ และบล็อกทุกสิ่งที่ถือว่าเป็นอันตราย #ชนะ

หากคุณเลือกชุด DreamPress ของเรา คุณไม่จำเป็นต้องติดตั้งไฟร์วอลล์เพิ่มเติม DreamPress มาพร้อมกับ Web Application Firewall (WAF) ในตัวที่จะสแกนไซต์ของคุณเพื่อหาความเสี่ยงและป้องกันไม่ให้บุคคลและโปรแกรมที่ไม่ได้รับอนุญาตเข้าถึงได้ คุณไม่จำเป็นต้องดำเนินการใดๆ

บริการตรวจจับมัลแวร์ภายในของเรา DreamShield มีให้บริการผ่าน DreamHost ด้วย เราจะสแกนไซต์ของคุณทุกสัปดาห์เพื่อหาโค้ดอันตราย หากคุณเปิดใช้งาน DreamShield ในบัญชีโฮสติ้งของคุณ หากเราพบสิ่งที่น่าสงสัย เราจะส่งอีเมลถึงคุณทันที

5. ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

Implement Two-Factor Authentication
ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

มีอีกวิธีหนึ่งที่จะครอบคลุมก่อนที่เราจะดำเนินการต่อ: การตรวจสอบสิทธิ์แบบสองปัจจัย (ซึ่งดำเนินการด้วยการตรวจสอบสิทธิ์แบบสองขั้นตอนและชื่ออื่นๆ ที่คล้ายคลึงกัน) คำนี้หมายถึงกระบวนการสองขั้นตอนที่คุณต้องทำเพื่อเข้าสู่เว็บไซต์ของคุณ การดำเนินการนี้ใช้เวลานานขึ้นเล็กน้อยจากคุณ แต่จะช่วยป้องกันไม่ให้แฮกเกอร์เข้าสู่ระบบของคุณได้

การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นการยืนยันการเข้าสู่ระบบของคุณโดยใช้สมาร์ทโฟนหรืออุปกรณ์อื่นๆ ในการเริ่มต้น ไปที่ไซต์ WordPress ของคุณและเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านของคุณ รหัสที่ไม่ซ้ำกันจะถูกส่งไปยังอุปกรณ์มือถือของคุณ ซึ่งคุณต้องป้อนเพื่อให้กระบวนการเข้าสู่ระบบเสร็จสมบูรณ์ วิธีนี้ช่วยให้คุณตรวจสอบตัวตนได้ด้วยการแสดงให้เห็นว่าคุณมีสิทธิ์เข้าถึงเฉพาะสิ่งที่คุณเป็นเจ้าของ เช่น โทรศัพท์หรือแท็บเล็ต

การรับรองความถูกต้องด้วยสองปัจจัย เช่นเดียวกับคุณสมบัติอื่นๆ ของ WordPress นั้นง่ายต่อการตั้งค่าโดยใช้ปลั๊กอิน การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นตัวเลือกที่ดีเพราะได้รับการออกแบบโดยนักพัฒนาที่มีชื่อเสียง เข้ากันได้กับ Google Authenticator และช่วยให้คุณสามารถรวมฟังก์ชันนี้เข้ากับเว็บไซต์ของคุณได้อย่างง่ายดาย

อีกทางเลือกหนึ่งคือปลั๊กอิน Two-Factor ซึ่งเป็นที่รู้จักกันดีในเรื่องความเชื่อถือได้และได้รับการพัฒนาโดยนักพัฒนาหลักของ WordPress เป็นส่วนใหญ่ เส้นโค้งการเรียนรู้นั้นสูงชันเล็กน้อย แต่จะทำงานให้เสร็จและปลอดภัยมาก เช่นเดียวกับปลั๊กอินใดๆ ในหมวดหมู่ คุณยังสามารถตรวจสอบโซลูชันระดับพรีเมียมที่เหมือน Clef ของ Jetpack ได้หากคุณพร้อมที่จะใช้จ่ายเงินเพียงเล็กน้อย

ไม่ว่าคุณจะไปในเส้นทางใด อย่าลืมปรึกษาทีมของคุณล่วงหน้าหากจำเป็น เนื่องจากคุณจะต้องใช้หมายเลขโทรศัพท์และรายละเอียดอื่น ๆ เพื่อเริ่มต้น หน้าเข้าสู่ระบบของคุณได้รับการป้องกันและพร้อมใช้งานแล้ว

6. เพิ่มปลั๊กอินและธีมใหม่อย่างระมัดระวัง (และอัปเดตบ่อยๆ)

Add New Plugins and Themes Carefully
เพิ่มปลั๊กอินและธีมใหม่อย่างระมัดระวัง

หนึ่งในแง่มุมที่ดีที่สุดของการใช้ WordPress ก็คือความพร้อมใช้งานของธีมและปลั๊กอิน ด้วยเครื่องมือที่มีประโยชน์เหล่านี้ คุณสามารถปรับแต่งรูปลักษณ์ของไซต์ของคุณ และเพิ่มคุณลักษณะหรือฟังก์ชันเกือบทุกอย่างที่คุณสามารถจินตนาการได้

อย่างไรก็ตาม ปลั๊กอินและธีมทั้งหมดไม่ได้ถูกสร้างขึ้นมาเท่ากัน

นักพัฒนาที่ไม่ระมัดระวังหรือขาดความรู้ที่จำเป็นสามารถสร้างปลั๊กอินที่ไม่น่าเชื่อถือ ไม่ปลอดภัย หรือแย่เพียงธรรมดา พวกเขาอาจใช้เทคนิคการเข้ารหัสที่ต่ำซึ่งเปิดเผยข้อบกพร่องด้านความปลอดภัยที่แฮ็กเกอร์อาจใช้ประโยชน์ได้ง่าย หรืออาจรบกวนการทำงานที่สำคัญโดยไม่เจตนา

ทั้งหมดนี้หมายความว่าคุณควรระมัดระวังอย่างมากเกี่ยวกับธีมและปลั๊กอินที่คุณติดตั้งบนเว็บไซต์ของคุณ แต่ละคนควรได้รับการตรวจสอบอย่างละเอียดเพื่อยืนยันว่าเป็นทางเลือกที่เชื่อถือได้ซึ่งจะไม่เป็นอันตรายต่อเว็บไซต์ของคุณหรือก่อให้เกิดปัญหา มีข้อควรพิจารณามากมายที่ต้องทำ อย่างไรก็ตาม หลักเกณฑ์ต่อไปนี้สามารถช่วยคุณในการเลือกเครื่องมือคุณภาพสูง:

  • ดูรีวิวและการให้คะแนนของลูกค้าเพื่อดูว่าคนอื่นๆ มีประสบการณ์เชิงบวกกับปลั๊กอินหรือธีมที่เป็นปัญหาหรือไม่
  • ตรวจสอบเพื่อดูว่ามีการอัปเดตปลั๊กอินหรือธีมเมื่อเร็วๆ นี้หรือไม่ หากเกินหกเดือน มีความเป็นไปได้ที่ดีที่จะไม่ปลอดภัยเท่าที่ควร
  • ติดตั้งปลั๊กอินและธีมใหม่ทีละตัว ดังนั้นคุณจะรู้ว่าเกิดอะไรขึ้นหากมีสิ่งผิดปกติเกิดขึ้น นอกจากนี้ ให้สำรองข้อมูลไซต์ของคุณก่อนทำการเปลี่ยนแปลงใดๆ
  • ปลั๊กอินและธีมควรได้รับจากแหล่งที่เชื่อถือได้ เช่น WordPress.org Theme และ Plugin Directory, ThemeForest และ CodeCanyon และเว็บไซต์ผู้พัฒนาที่มีชื่อเสียง

สุดท้าย เมื่อคุณเพิ่มปลั๊กอินและธีมที่คุณต้องการในเว็บไซต์แล้ว งานของคุณก็ยังไม่เสร็จ

คุณจะต้องปรับปรุงให้ทันสมัยอยู่เสมอเพื่อให้แน่ใจว่าอุปกรณ์เหล่านี้ทำงานร่วมกันอย่างมีประสิทธิภาพและได้รับการปกป้องจากอันตรายล่าสุด โชคดีที่มันง่าย: เพียงไปที่แดชบอร์ด WordPress มองหาการแจ้งเตือนสีแดงที่ระบุว่ามีธีมและ/หรือปลั๊กอินพร้อมการอัปเดตที่พร้อมใช้งาน และคลิกอัปเดตถัดจากแต่ละรายการทันที

คุณยังอัปเดตปลั๊กอินทั้งหมดได้พร้อมกันโดยเลือกทั้งหมดแล้วคลิกปุ่มอัปเดต ซึ่งพบได้ที่นี่หรือในแผง WordPress นี่เป็นตัวเลือกที่เร็วกว่า แต่โปรดทราบว่าการอัปเดตทั้งหมดพร้อมกันอาจทำให้การวินิจฉัยปัญหาใดๆ ที่เกิดขึ้นจากการเปลี่ยนแปลงที่ซับซ้อนยิ่งขึ้น ซึ่งไม่น่าจะเป็นปัญหาหากคุณใช้เฉพาะปลั๊กอินและธีมที่น่าเชื่อถือเท่านั้น

ก่อนที่เราจะดำเนินการต่อไป สิ่งสำคัญที่ควรทราบคือ คุณควรปรับปรุง WordPress ให้เป็นปัจจุบันด้วย โปรแกรมแก้ไขที่มีขนาดเล็กกว่าและการอัปเดตความปลอดภัยจะถูกนำไปใช้โดยอัตโนมัติ แต่การเปลี่ยนแปลงที่สำคัญอาจจำเป็นต้องดำเนินการด้วยตนเอง (ซึ่งทำได้ง่ายมาก) สิ่งนี้ควรดำเนินไปโดยไม่บอก แต่ DreamHost จะดูแลการอัปเกรดเหล่านี้ให้คุณ คุณจึงไม่ต้องทำ

จำไว้ว่าการทำให้ WordPress หรือธีมหรือปลั๊กอินของคุณไม่อัพเดทอยู่เสมอนั้นเป็นสิ่งที่อันตรายที่คุณควรหลีกเลี่ยง

7. กำหนดค่าการอนุญาตไฟล์ของคุณ

Configure Your File Permissions
กำหนดค่าการอนุญาตไฟล์ของคุณ

ชุดของโฟลเดอร์และไฟล์เก็บข้อมูล ข้อมูล และเนื้อหามากมายบนไซต์ WordPress ของคุณ แต่ละคนจะได้รับระดับการอนุญาตและมีโครงสร้างเป็นกรอบงานแบบลำดับชั้น สิทธิ์ในไฟล์หรือโฟลเดอร์ WordPress จะควบคุมว่าใครสามารถดูและแก้ไขได้ และสามารถกำหนดค่าให้อนุญาตใครก็ได้ มีเพียงคุณเท่านั้น หรือเกือบทุกอย่างในระหว่างนั้น

ใน WordPress การอนุญาตไฟล์จะแสดงด้วยตัวเลขสามหลัก โดยแต่ละหลักมีความหมายต่างกัน ตัวเลขแรกแสดงถึงผู้ใช้แต่ละคน (เจ้าของเว็บไซต์) ตัวเลขที่สองแสดงถึงกลุ่ม (เช่น สมาชิกของไซต์ของคุณ) และตัวเลขที่สามหมายถึงดาวเคราะห์ทั้งดวง ตัวเลขบ่งบอกว่าผู้ใช้ กลุ่ม หรือคนทั้งโลก:

  • 0: ไม่มีสิทธิ์ดูไฟล์
  • 1: ไฟล์สามารถดำเนินการได้เท่านั้น
  • 2: ไฟล์สามารถแก้ไขได้
  • 3: ไฟล์สามารถแก้ไขได้และดำเนินการ
  • 4: ไฟล์สามารถอ่านได้
  • 5: ไฟล์สามารถอ่านและดำเนินการได้
  • 6: ไฟล์สามารถอ่านและแก้ไขได้
  • 7: ไฟล์สามารถอ่าน แก้ไข และดำเนินการได้

ดังนั้น หากไฟล์มีระดับการอนุญาตที่ 640 แสดงว่าผู้ใช้หลักสามารถอ่านและแก้ไขได้ กลุ่มสามารถอ่านได้ แต่ไม่สามารถแก้ไขได้ และทุกคนไม่สามารถเข้าถึงได้ การดำเนินการนี้อาจดูซับซ้อนเกินไป แต่สิ่งสำคัญคือต้องรับประกันว่าแต่ละคนมีสิทธิ์เข้าถึงเฉพาะไฟล์และโฟลเดอร์ในไซต์ของคุณที่คุณต้องการให้มี

WordPress แนะนำให้อนุญาตไดเรกทอรี 755 และอนุญาตไฟล์ที่ 644 คุณจะไม่เป็นไรถ้าคุณปฏิบัติตามกฎเหล่านี้ แม้ว่าคุณจะสามารถสร้างชุดค่าผสมใดก็ได้ที่คุณเลือก พึงระลึกไว้เสมอว่าไม่ควรมีใครเข้าถึงได้มากเกินกว่าที่พวกเขาต้องการ โดยเฉพาะอย่างยิ่งกับไฟล์สำคัญ

คุณควรจำไว้ด้วยว่าการตั้งค่าการอนุญาตที่ดีที่สุดจะแตกต่างกันไปตามบริการโฮสติ้งของคุณ ดังนั้นคุณควรถามโฮสต์ของคุณว่าพวกเขาแนะนำอะไร

หมายเหตุ: การเปลี่ยนระดับการอนุญาตของคุณควรทำด้วยความระมัดระวัง ตัวเลขที่ไม่เหมาะสม (เช่น 777 ที่น่ากลัว) จะทำให้ไซต์ของคุณใช้งานไม่ได้

8. รักษาจำนวนผู้ใช้ในเว็บไซต์ของคุณให้ต่ำ

คุณไม่จำเป็นต้องกังวลเกี่ยวกับขั้นตอนนี้ หากคุณใช้งานไซต์ WordPress ด้วยตัวเอง เพียงตรวจสอบให้แน่ใจว่าไม่มีใครสามารถเข้าถึงไซต์ของคุณได้ ดังนั้นคุณเท่านั้นที่สามารถอัปเดตได้

ในทางกลับกัน มนุษย์จำนวนมากสนุกกับการโต้ตอบกับผู้อื่น และในที่สุดจะเพิ่มผู้ใช้มากกว่าหนึ่งรายในเว็บไซต์ของตน คุณอาจต้องการอนุญาตให้ผู้เขียนคนอื่นเพิ่มเนื้อหา หรือคุณอาจต้องการความช่วยเหลือในการแก้ไขและจัดการไซต์ของคุณ เป็นไปได้ว่าคุณจะมีทีมผู้ใช้ทั้งหมดที่จะเข้าสู่ไซต์ WordPress ของคุณเป็นประจำและทำการปรับเปลี่ยนด้วยตนเอง

วิธีนี้มีประโยชน์ในหลายๆ ด้าน และบางครั้งก็จำเป็นด้วยซ้ำ อย่างไรก็ตาม มันเป็นปัญหาด้านความปลอดภัยที่เป็นไปได้

ยิ่งคุณเชิญบุคคลเข้าสู่ไซต์ของคุณมากเท่าใด ก็ยิ่งมีโอกาสมากขึ้นที่จะมีใครบางคนทำผิดพลาดนิ้วอ้วนหรือสร้างปัญหาให้กลายเป็นคนงี่เง่า ด้วยเหตุนี้ จึงเป็นความคิดที่ดีที่จะรักษาจำนวนผู้ใช้ไซต์ของคุณให้ต่ำที่สุดเท่าที่จะเป็นไปได้ในขณะที่ยังขยายได้ พยายามรักษาจำนวนผู้ดูแลระบบและบทบาทผู้ใช้ที่มีสิทธิพิเศษสูงอื่นๆ ให้น้อยที่สุด

ต่อไปนี้เป็นแนวคิดเพิ่มเติมสองสามข้อ:

  • จำกัดการอนุญาตของผู้ใช้แต่ละรายให้เหลือเฉพาะที่จำเป็นสำหรับพวกเขาในการทำงาน เห็นได้ชัดว่าผู้ใช้ควรได้รับการสนับสนุนให้เลือกรหัสผ่านที่รัดกุม (จำข้อ 3 ได้ไหม)
  • ถ้าเป็นไปได้ ให้รักษาผู้ดูแลระบบหนึ่งคนและบรรณาธิการจำนวนเล็กน้อย
  • อนุญาตให้ผู้ใช้ที่ออกจากไซต์หรือไม่ต้องการการเข้าถึงอีกต่อไปเพื่อถูกไล่ออก
  • พิจารณาติดตั้ง Members ซึ่งเป็นปลั๊กอินที่ให้ส่วนติดต่อผู้ใช้สำหรับระบบบทบาทและความสามารถของ WordPress

9. ติดตามกิจกรรมในพื้นที่การดูแลของคุณ

Track Your Admin Area Activity
ติดตามกิจกรรมในพื้นที่การดูแลของคุณ

เป็นความคิดที่ดีที่จะติดตามว่าผู้ใช้ของคุณทำอะไรบนไซต์ถ้าคุณมีจำนวนมาก การติดตามกิจกรรมในพื้นที่ผู้ดูแลระบบ WordPress สามารถช่วยให้คุณระบุได้ว่าเมื่อใดที่ผู้ใช้รายอื่นกำลังทำสิ่งที่ไม่ควรทำ รวมถึงผู้ใช้ที่ผิดกฎหมายได้รับสิทธิ์เข้าถึงหรือไม่

เมื่อมีการดัดแปลงแปลกๆ หรือมีการติดตั้งอะไรที่น่าสงสัย คุณจะต้องทราบว่าใครเป็นผู้รับผิดชอบ ปลั๊กอินจะดูแลทุกอย่าง

คุณจะต้องค้นหาโซลูชันที่ตรงตามความต้องการ เนื่องจากปลั๊กอินความปลอดภัยหลักส่วนใหญ่ไม่มีคุณลักษณะนี้ตั้งแต่แรกเริ่ม ประวัติอย่างง่าย ซึ่งสร้างบันทึกการเปลี่ยนแปลงและเหตุการณ์สำคัญๆ ที่คล่องตัวและเข้าใจง่ายบนไซต์ของคุณ หากคุณต้องการใช้วิธีการที่ไม่ต้องดำเนินการใดๆ ให้สมกับชื่อโดยสร้างบันทึกที่เข้าใจง่าย การเปลี่ยนแปลงและเหตุการณ์สำคัญบนไซต์ของคุณ

บันทึกการตรวจสอบความปลอดภัย WP ซึ่งติดตามเกือบทุกอย่างที่เกิดขึ้นบนไซต์ของคุณและมีส่วนเสริมระดับพรีเมียมที่มีประโยชน์มากมาย เป็นอีกตัวเลือกหนึ่งสำหรับคุณสมบัติการติดตามที่เกี่ยวข้องมากขึ้น

เป็นความคิดที่ดีที่จะตรวจสอบบันทึกเพื่อหาสิ่งผิดปกติเมื่อคุณได้ติดตั้งปลั๊กอินที่เหมาะสมแล้ว ดูกิจกรรมล่าสุดหากมีสิ่งที่ไม่คาดคิดเกิดขึ้นบนไซต์ของคุณ หรือหากมีข้อบกพร่องปรากฏขึ้นโดยไม่คาดคิด

10. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ

Back Up Your Site Regularly
สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ

ถ้าฉันระบุว่ามีวิธีเดียวในการปกป้องเว็บไซต์ของคุณจากภัยคุกคามทั้งหมด ฉันคงโกหก แม้ว่าคุณจะทำตามคำแนะนำทุกอย่างในรายการนี้ แต่ก็ยังมีความเสี่ยงที่เว็บไซต์ของคุณจะถูกแฮ็ก

แฮกเกอร์เป็นผู้เชี่ยวชาญในงานฝีมือของพวกเขา

สิ่งที่คุณต้องทำตอนนี้คือเอาชนะพวกเขาในเกมของพวกเขาเอง แผนการรักษาความปลอดภัยที่ละเอียดถี่ถ้วนเกี่ยวข้องกับการคิดว่าคุณจะทำอะไรหากเกิดเหตุการณ์เลวร้ายที่สุด แม้ว่าคุณจะพยายามหลีกเลี่ยงก็ตาม

กลยุทธ์ที่ง่ายและดีที่สุดในการปกป้องไซต์ของคุณในกรณีที่เกิดภัยพิบัติคือการสำรองข้อมูลเป็นประจำ คุณสามารถกู้คืนไซต์ของคุณเป็นสถานะก่อนที่จะถูกแฮ็กหรือเสียหายได้หากคุณมีข้อมูลสำรองล่าสุด สิ่งนี้จะช่วยคุณในการแก้ไขปัญหาและดำเนินการต่อไปโดยเร็วที่สุด

โดยปกติ คุณจะต้องระมัดระวังเกี่ยวกับวิธีสร้างและใช้ข้อมูลสำรอง คำแนะนำต่อไปนี้เป็นจุดเริ่มต้นที่ดีเยี่ยม:

  • สำรองข้อมูลไว้มากมาย เนื่องจากการสำรองข้อมูลล่าสุดของคุณอาจมีข้อผิดพลาดที่คุณยังไม่เห็น จึงควรใช้หลักง่ายๆ ในการเก็บข้อมูลสำรองล่าสุดอย่างน้อย 3 รายการไว้ในมือตลอดเวลา
  • การสำรองข้อมูลควรเก็บไว้ในที่ต่างๆ รวมถึงที่เก็บข้อมูลบนคลาวด์และฮาร์ดดิสก์ทั่วไป
  • สร้างและเก็บไว้ในตารางเวลาการสำรองข้อมูลปกติ แม้ว่าจะมีคำแนะนำที่เชื่อถือได้มากมายที่คุณสามารถปฏิบัติตามได้ แต่ความถี่และระยะเวลานั้นขึ้นอยู่กับคุณทั้งหมด

เป็นความคิดที่ดีเสมอที่จะสำรองข้อมูลไซต์ของคุณเพิ่มเติมก่อนทำการเปลี่ยนแปลงใดๆ นอกเหนือจากแผนสำรองข้อมูลปกติของคุณ ดังนั้น (เขยิบ เขยิบ) ตรวจสอบให้แน่ใจว่าคุณมีข้อมูลสำรองล่าสุดก่อนที่จะใช้วิธีการเพิ่มความปลอดภัยเหล่านี้

ความปลอดภัยของ WordPress: คำสุดท้าย

ความจริง: หากเว็บไซต์ของคุณถูกแฮ็ก คุณจะต้องใช้เวลาหลายชั่วโมง (ถ้าไม่ใช่วัน!) ในการซ่อมแซมความเสียหาย คุณอาจสูญเสียข้อมูลอย่างถาวรหรือข้อมูลส่วนตัวของคุณ — หรือที่แย่กว่านั้นคือ ข้อมูลของลูกค้า — ถูกบุกรุก

นั่นคือเหตุผลที่คุณต้องทุ่มเทเวลาและความพยายามอย่างมากเพื่อให้แน่ใจว่าเหตุการณ์ดังกล่าวจะไม่เกิดขึ้น มิฉะนั้น ในขณะที่พยายามฟื้นฟูความเสียหาย คุณอาจสูญเสียธุรกิจสำคัญและเงินสดไป

เคล็ดลับการรักษาความปลอดภัยของ WordPress 10 ข้อนี้น่าจะช่วยได้ การเปลี่ยนแปลงบางอย่างเป็นเรื่องเล็กน้อย อื่นๆ เช่น การเปลี่ยนไปใช้ HTTPS หรือการเพิ่มใบรับรอง SSL มีผลกระทบต่อทั้งเว็บไซต์ของคุณ คุณจะต้องแน่ใจว่าไซต์ของคุณโฮสต์บนเซิร์ฟเวอร์ WordPress ที่ปลอดภัย