ปกป้องและรักษาความปลอดภัยเว็บไซต์ WordPress จากแฮกเกอร์

ไซต์ WordPress ที่ปลอดภัยจากแฮกเกอร์

เว็บไซต์ WordPress ที่ปลอดภัย

1] ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ Windows(Windows computer) ของคุณ ไม่มีมัลแวร์ ไม่มีการรักษาความปลอดภัยในWordPressหรือบนเว็บเซิร์ฟเวอร์ของคุณที่จะสร้างความแตกต่างใดๆ หากมีการติดตั้งคีย์ล็อกเกอร์ที่ผิดกฎหมายในคอมพิวเตอร์ของคุณ

2] ตรวจสอบให้แน่ใจว่าคุณได้ ติด ตั้งWordPress เวอร์ชันล่าสุด(latest version)และติดตั้งปลั๊กอินแล้ว เว็บเซิร์ฟเวอร์ของคุณอาจมีช่องโหว่เช่นกัน ดังนั้น ตรวจสอบให้แน่ใจว่าโฮสต์เว็บ(Web Host) ของคุณ ใช้งานซอฟต์แวร์เซิร์ฟเวอร์เวอร์ชันล่าสุด ปลอดภัย และเสถียร ยังดีกว่าตรวจสอบให้แน่ใจว่าคุณใช้โฮสต์ที่เชื่อถือได้ซึ่งดูแลสิ่งเหล่านี้ให้กับคุณ

3] ใช้ชื่อผู้ใช้ที่รัดกุม(strong username)และรหัสผ่านที่(strong passwords)รัดกุม ควรใช้รหัสผ่านที่ซับซ้อนผสมกันโดยใช้อักษรตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษที่มีความยาวเกิน 15 อักขระ บังคับ(Enforce)ใช้รหัสผ่านที่รัดกุมสำหรับผู้เขียนทุกคนด้วย

4] เปลี่ยนชื่อผู้ดูแลระบบ(Change the Administrator username)ของการติดตั้ง WordPress จากผู้ดูแลระบบ(admin) เริ่มต้น เป็นสิ่งที่แข็งแกร่งและไม่เกี่ยวข้องกับชื่อของคุณเองหรือไซต์ คุณสามารถสร้างบัญชีผู้ดูแลระบบอื่น เข้าสู่ระบบในฐานะผู้ใช้ผู้ดูแลระบบใหม่และลบบัญชีชื่อผู้ใช้ผู้ดูแลระบบเริ่มต้นเดิม หรือคุณสามารถใช้ ตัว เปลี่ยนชื่อผู้(Admin username changer)ดูแลระบบ(Admin renamer extended)หรือ ปลั๊กอินเสริมการเปลี่ยนชื่อผู้ดูแลระบบหรือ ปลั๊กอินความปลอดภัยตัวใดตัวหนึ่งที่กล่าวถึงด้านล่างเพื่อเปลี่ยนชื่อชื่อผู้ใช้ผู้ดูแลระบบเริ่มต้น

5] ใช้(Use)Captchaเพื่อเข้าสู่ระบบ

captcha-3

ปลั๊กอิน Captcha จาก BWS(Captcha plugin from BWS)เป็น ปลั๊กอิน ที่ดีที่คุณอาจต้องการดู ช่วยให้คุณเลือกการดำเนินการและระดับความซับซ้อนได้

captcha-settings

6] ปลั๊กอินจำกัดความ พยายามในการเข้าสู่ระบบ(Limit Login Attempts)จะจำกัดอัตราการพยายามเข้าสู่ระบบโดยใช้คุกกี้สำหรับแต่ละ IP จะอนุญาตเฉพาะจำนวนครั้งที่กำหนดไว้หลังจากนั้นผู้ใช้จะถูกล็อค คุณสามารถกำหนดการตั้งค่าทั้งหมดได้ เช่น จำนวนครั้งที่อนุญาต ระยะเวลาการล็อก การลองซ้ำที่อนุญาต และอื่นๆ ปลั๊กอินนี้มีประโยชน์ในการป้องกัน การโจมตี แบบเดรัจฉาน(brute force attacks)

จำกัดการเข้าสู่ระบบ-พยายาม-การตั้งค่า

หากผู้ใช้ใช้ชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง เขาหรือเธอจะเห็นข้อความนี้

เว็บไซต์ WordPress ที่ปลอดภัย

7] เปลี่ยน URL การเข้าสู่ระบบ WordPress Panel(Change the WordPress Panel login URL)จากค่าเริ่มต้น/wp-admin/เป็นอย่างอื่นโดยใช้ เปลี่ยนชื่อ ปลั๊กอินwp-login (Rename wp-login)ปลั๊กอินนี้มีประโยชน์ในการป้องกันการโจมตีด้วยกำลังเดรัจฉานด้วย

เปลี่ยนชื่อ-wp-login

 

8] ใช้ปลั๊กอิน Security Scanner(Security Scanner plugin)เพื่อสแกนไฟล์การติดตั้งWordPress ของคุณเป็นระยะ (WordPress)ปลั๊กอิน Sucuri Security – SiteCheck Malware Scanner(Sucuri Security – SiteCheck Malware Scanner)ช่วยให้คุณสามารถสแกนไซต์WordPress ของคุณ โดย ใช้ Sucuri SiteCheckในแดชบอร์ดWordPress ของคุณ (WordPress)จะตรวจสอบมัลแวร์ สแปม บัญชีดำ การเปลี่ยนเส้นทาง .htaccess รหัส eval ที่ซ่อนอยู่ และปัญหาด้านความปลอดภัยอื่นๆ

นอกจากนี้ยังตรวจสอบว่าWordPressและPHP เป็นเวอร์ชันล่าสุดหรือ ไม่และซ่อน เวอร์ชัน WordPressจากสาธารณะ ฯลฯ หากเว็บไซต์ของคุณได้รับการปกป้องโดยWeb Firewall นอกจากนี้ยังปกป้องไดเรกทอรีอัพโหลด(Uploads Directory) ของคุณ จำกัด wp-content และ wp-includes การเข้าถึงโดยการทำให้สิทธิ์ของไฟล์แข็งแกร่งขึ้น และตรวจสอบความสมบูรณ์ของไฟล์WordPress หลักของคุณ (WordPress)โดยจะตรวจสอบการดำเนินการจำนวนมาก รวมถึง การ พยายาม เข้าสู่ระบบ(Login) การเข้าสู่ระบบ ที่ล้มเหลวการ(Logins)เปลี่ยนแปลงไฟล์(File Changes)และอื่นๆ

sucuri-ความปลอดภัย-check

Sucuriยังตรวจสอบด้วยว่าเว็บไซต์ของคุณถูกขึ้นบัญชีดำที่ใดก็ตาม เช่นGoogle Safe Browsing , Norton Safe Web , Phish Tank , SiteAdvisor , Eset , Yandexฯลฯ และแจ้งให้คุณทราบ

นอกเหนือจาก Sucuri ปลั๊กอินSecure WordPress , Exploit Scanner , WordFence Security , WordPress Sentinel , Quttera , VIP Scanner , iThemes Security (เดิมชื่อ Better WP Security),  BulletProof SecurityและAll In One WP Security & Firewallเป็นหนึ่งในสแกนเนอร์ที่ดีและปลั๊กอินความปลอดภัย คุณอาจต้องการดู ปลั๊กอินเหล่านี้ส่วนใหญ่ นอกจากการสแกนไซต์ของคุณเพื่อหามัลแวร์แล้ว ยังช่วยให้คุณHarden File Permissions , ลบ ไฟล์ ReadMe , ซ่อนเวอร์ชันWordPress และอื่นๆ(WordPress)

อย่าลืม(Remember)สำรองฐานข้อมูลหรือไซต์ทั้งหมดของคุณก่อนที่จะทำการเปลี่ยนแปลงใด ๆ ที่โดดเด่นในการ ติดตั้ง WordPress ของคุณ เนื่องจากการแก้ไขด้วยการคลิกเพียงครั้งเดียวบางส่วนอาจทำให้ฟังก์ชันการทำงานบางอย่างของไซต์ของคุณเสียหายได้ ดังนั้นโปรดระวังที่นี่

8] ใช้ เครือข่ายการจัดส่งเนื้อหา Cloudflareฟรีเพื่อกรองการเข้าชมทั้งหมดของคุณและลดความเสี่ยงที่ เว็บไซต์ WordPress ของคุณ จะกลายเป็นเป้าหมาย เนื่องจากทำหน้าที่เป็นพร็อกซีระหว่างผู้เยี่ยมชมและเซิร์ฟเวอร์ที่เว็บไซต์ของคุณโฮสต์อยู่ Cloudflareพื้นฐานนั้นฟรี แต่หากคุณชำระเงินในจำนวนเล็กน้อย คุณก็สามารถใช้บริการWeb Application Firewall ของมัน ได้เช่นกัน มันหยุดการโจมตีแบบเรียลไทม์ เช่น การฉีด SQLการเขียนสคริปต์ข้ามไซต์ สแปมความคิดเห็น และการละเมิดอื่นๆ ที่ขอบเครือข่าย เราใช้Sucuri Firewallที่นี่ Sucuriมีไฟร์วอลล์ที่ดี แต่ไม่ฟรี Google Project ShieldเสนอDDoS . ฟรี(DDoS)การป้องกันการเลือกเว็บไซต์

9] ลดจำนวนปลั๊กอิน(number of plugins)ที่คุณใช้ให้น้อยที่สุด ปิดใช้งาน(Deactivate)หรือดีกว่านั้น ลบสิ่งที่คุณไม่ได้ใช้

10] สร้างการสำรองข้อมูล(backups)ของไซต์ของคุณเป็นระยะ ๆ และอัปโหลดไปยัง บริการ คลาวด์(Cloud)และ / หรือเดสก์ท็อปของคุณ BackWPUp , VaultPress , BackupBuddy , DropBox สำหรับ WordPress, (DropBox for WordPress,) BackUpWordPress เป็นหนึ่งในปลั๊กอิน (BackUpWordPress)สำรอง(Backup)ที่ดีที่คุณอาจต้องการตรวจสอบ

แม้ว่าสิ่งนี้อาจเพียงพอสำหรับ ไซต์ WordPress ส่วนใหญ่ แต่หากคุณต้องการดำเนินการต่อ คุณสามารถอ่านโพสต์นี้บนWordPress.org

อ่าน: (Read:) ทำไมเว็บไซต์ถึงถูกแฮ็ก ?

บางท่านอาจต้องการดูโพสต์ของฉันเกี่ยวกับคำแนะนำที่เป็นประโยชน์สำหรับบล็อกเกอร์(Useful tips for new bloggers)หน้าใหม่(Some of you might want to check out my post on Useful tips for new bloggers.)



ชมพูนุช วาทะศรัทธา

About the author

ฉันเป็นวิศวกรซอฟต์แวร์ที่มีประสบการณ์มากกว่า 10 ปีในการพัฒนาและบำรุงรักษาแอปพลิเคชัน Windows 11 หรือ 10 ฉันยังมีประสบการณ์ในการทำงานกับ Google Docs และ Microsoft Edge ทักษะของฉันในด้านเหล่านี้ทำให้ฉันเป็นผู้สมัครที่ยอดเยี่ยมสำหรับบทบาทวิศวกรรมซอฟต์แวร์ในอนาคต


Related posts