วิธีสร้างเว็บไซต์ WordPress ให้ปลอดภัย

การ เปิดตัว ไซต์ WordPress ของคุณเอง ในปัจจุบันนั้นค่อนข้างง่าย ขออภัย แฮกเกอร์ใช้เวลาไม่นานในการเริ่มกำหนดเป้าหมายไซต์ของคุณ

วิธีที่ดีที่สุดในการทำให้ ไซต์ WordPressปลอดภัยคือการทำความเข้าใจทุกจุดของช่องโหว่ที่มาจากการเรียกใช้ไซต์WordPress จากนั้นติดตั้งการรักษาความปลอดภัยที่เหมาะสมเพื่อบล็อกแฮกเกอร์ในแต่ละจุด

ในบทความนี้ คุณจะได้เรียนรู้วิธีรักษาความปลอดภัยให้กับโดเมน การ เข้าสู่ระบบ WordPressและเครื่องมือและปลั๊กอินที่มีให้เพื่อรักษาความปลอดภัยให้กับไซต์WordPress ของคุณได้ดียิ่งขึ้น(WordPress)

สร้างโดเมนส่วนตัว

ทุกวันนี้มันง่ายเกินไปที่จะค้นหาโดเมนที่พร้อมใช้งาน(find an available domain)และซื้อได้ในราคาถูกมาก คนส่วนใหญ่ไม่เคยซื้อส่วนเสริมของโดเมนใดๆ สำหรับโดเมนของตน อย่างไรก็ตาม ส่วนเสริมหนึ่งที่คุณควรพิจารณาเสมอคือการคุ้มครองความ(Privacy Protection) เป็น ส่วนตัว

GoDaddyมีระดับการคุ้มครองความเป็นส่วนตัวขั้นพื้นฐานอยู่สามระดับแต่สิ่งเหล่านี้ยังตรงกับข้อเสนอของผู้ให้บริการโดเมนส่วนใหญ่อีกด้วย

  • พื้นฐาน(Basic) : ซ่อนชื่อและข้อมูลติดต่อของคุณจากไดเรกทอรีWHOIS ใช้ได้ก็ต่อเมื่อรัฐบาลของคุณอนุญาตให้คุณซ่อนข้อมูลติดต่อของโดเมน
  • เต็ม(Full) : แทนที่ข้อมูลของคุณเองด้วยที่อยู่อีเมลสำรองและข้อมูลติดต่อเพื่อปกปิดตัวตนที่แท้จริงของคุณ
  • Ultimate : การรักษาความปลอดภัยเพิ่มเติมที่บล็อกการสแกนโดเมนที่เป็นอันตราย และรวมถึงการตรวจสอบความปลอดภัยของเว็บไซต์สำหรับไซต์จริงของคุณ

โดยปกติ การอัปเกรดโดเมนของคุณเป็นระดับความปลอดภัยเหล่านี้เพียงแค่ต้องเลือกอัปเกรดจากเมนูดรอปดาวน์บนหน้ารายการโดเมนของคุณ

การปกป้องโดเมน ขั้นพื้นฐาน(Basic)นั้นค่อนข้างถูก (โดยปกติประมาณ $9.99/ปี) และระดับความปลอดภัยที่สูงกว่านั้นไม่ได้แพงกว่ามาก

นี่เป็นวิธีที่ยอดเยี่ยมในการหยุดนักส่งสแปมไม่ให้ดึงข้อมูลติดต่อของคุณออกจาก ฐานข้อมูล WHOISหรือผู้อื่นที่มีเจตนาร้ายซึ่งต้องการเข้าถึงข้อมูลติดต่อของคุณ

ซ่อน(Hide)ไฟล์ wp-config.php และ .htaccess

เมื่อคุณติดตั้ง WordPress(install WordPress) ครั้งแรก คุณจะต้องรวม ID ผู้ดูแลระบบและรหัสผ่านสำหรับ ฐานข้อมูล WordPress SQL ของคุณ ในไฟล์ wp-config.php 

ข้อมูลนั้นได้รับการเข้ารหัสหลังการติดตั้ง แต่คุณยังต้องการบล็อกแฮกเกอร์ไม่ให้สามารถแก้ไขไฟล์นี้และทำลายเว็บไซต์ของคุณได้ ในการดำเนินการนี้ ให้ค้นหาและแก้ไขไฟล์ .htaccess ในโฟลเดอร์รูทของไซต์ของคุณ และเพิ่มโค้ดต่อไปนี้ที่ด้านล่างของไฟล์

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

เพื่อป้องกันการเปลี่ยนแปลงใน .htaccess เอง ให้เพิ่มสิ่งต่อไปนี้ที่ด้านล่างของไฟล์ด้วย

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

บันทึกไฟล์และออกจากโปรแกรมแก้ไขไฟล์

คุณอาจลองคลิกขวาที่แต่ละไฟล์และเปลี่ยนการอนุญาตเพื่อลบ การเข้าถึงการ เขียน(Write)ทั้งหมดสำหรับทุกคน

ในขณะที่ทำสิ่งนี้ในไฟล์ wp-config.php ไม่ควรทำให้เกิดปัญหาใดๆ การทำสิ่งนี้บน .htaccess อาจทำให้เกิดปัญหาได้ โดยเฉพาะอย่างยิ่งหากคุณใช้งาน ปลั๊กอิน WordPress ด้านความปลอดภัย ที่อาจจำเป็นต้องแก้ไขไฟล์ .htaccess ให้กับคุณ

หากคุณได้รับข้อผิดพลาดใดๆ จากWordPressคุณสามารถอัปเดตการอนุญาตเพื่ออนุญาตให้เขียน(Write)ในไฟล์ .htaccess ได้อีกครั้ง

เปลี่ยน URL เข้าสู่ระบบ WordPress ของคุณ

เนื่องจากหน้าเข้าสู่ระบบเริ่มต้นสำหรับ ไซต์ WordPress ทุกแห่ง คือ yourdomain/wp-admin.php แฮกเกอร์จะใช้ URL นี้เพื่อพยายามแฮ็คเข้าสู่ไซต์ของคุณ

พวกเขาจะทำเช่นนี้ผ่านสิ่งที่เรียกว่าการโจมตีแบบ “เดรัจฉาน” ซึ่งพวกเขาจะส่งชื่อผู้ใช้และรหัสผ่านทั่วไปรูปแบบต่างๆ ที่หลายคนใช้กันทั่วไป แฮกเกอร์หวังว่าพวกเขาจะโชคดีและได้ส่วนผสมที่ลงตัว

คุณสามารถหยุดการโจมตีเหล่านี้ทั้งหมดได้โดยเปลี่ยนURL การเข้าสู่ระบบ WordPress(WordPress login URL) ของคุณ เป็นสิ่งที่ไม่ได้มาตรฐาน

มี ปลั๊กอิน WordPress มากมาย ที่จะช่วยคุณทำสิ่งนี้ หนึ่งในสิ่งที่พบได้บ่อยที่สุดคือWPS Hide Login(WPS Hide Login)

ปลั๊กอินนี้เพิ่มส่วนในแท็บทั่วไป ภายใต้ (General)การตั้งค่า(Settings)ใน WordPress

ที่นั่น คุณสามารถพิมพ์ URL(URL)ล็อกอินที่คุณต้องการและเลือกบันทึกการเปลี่ยนแปลง(Save Changes)เพื่อเปิดใช้งาน ครั้งต่อไปที่คุณต้องการลงชื่อเข้าใช้ไซต์WordPress ให้ใช้ (WordPress)URL ใหม่ นี้

หากมีใครพยายามเข้าถึง wp-admin URL เก่าของคุณ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้า 404 ของเว็บไซต์ของคุณ

หมายเหตุ(Note) : หากคุณใช้ปลั๊กอินแคช ตรวจสอบให้แน่ใจว่าได้เพิ่มURL สำหรับเข้าสู่ระบบใหม่ของคุณ ในรายการไซต์ที่ จะ ไม่(not)แคช จากนั้นตรวจสอบให้แน่ใจว่าได้ล้างแคชก่อนที่คุณจะกลับเข้าสู่ไซต์WordPress ของคุณอีกครั้ง(WordPress)

ติดตั้งปลั๊กอินความปลอดภัย WordPress

มีปลั๊กอินความปลอดภัย WordPress(WordPress security plugins)ให้เลือกมากมาย ในบรรดาทั้งหมดนั้นWordfenceเป็นโปรแกรมที่ดาวน์โหลดบ่อยที่สุด ด้วยเหตุผลที่ดี

Wordfenceเวอร์ชันฟรีมีเอ็นจิ้นการสแกนอันทรงพลังที่ค้นหาภัยคุกคามลับๆโค้ดที่เป็นอันตรายในปลั๊กอิน(malicious code in your plugins)หรือบนไซต์ของคุณภัยคุกคามจากการฉีดMySQL และอื่นๆ (MySQL)นอกจากนี้ยังมีไฟร์วอลล์เพื่อบล็อกภัยคุกคามที่ใช้งานอยู่ เช่นการโจมตี  DDOS

นอกจากนี้ยังช่วยให้คุณหยุดการโจมตีแบบเดรัจฉานด้วยการจำกัดความพยายามในการเข้าสู่ระบบและล็อกผู้ใช้ที่พยายามเข้าสู่ระบบที่ไม่ถูกต้องหลายครั้งเกินไป

มีการตั้งค่าค่อนข้างน้อยในเวอร์ชันฟรี มากเกินพอที่จะปกป้องเว็บไซต์ขนาดเล็กถึงขนาดกลางจากการโจมตีส่วนใหญ่

นอกจากนี้ยังมีหน้าแดชบอร์ดที่มีประโยชน์ซึ่งคุณสามารถตรวจสอบเพื่อติดตามภัยคุกคามและการโจมตีล่าสุดที่ถูกบล็อก

ใช้ตัวสร้างรหัสผ่าน WordPress(WordPress Password Generator)และ 2FA

สิ่งสุดท้ายที่คุณต้องการคือให้แฮกเกอร์เดารหัสผ่านของคุณได้อย่างง่ายดาย ขออภัย มีคนจำนวนมากเกินไปที่ใช้รหัสผ่านง่ายๆ ที่คาดเดาได้ง่าย ตัวอย่างบางส่วน ได้แก่ การใช้ชื่อเว็บไซต์หรือชื่อผู้ใช้เป็นส่วนหนึ่งของรหัสผ่าน หรือไม่ใช้อักขระพิเศษใดๆ

หากคุณได้อัปเกรดเป็น WordPress(WordPress)เวอร์ชันล่าสุดคุณจะสามารถเข้าถึงเครื่องมือรักษาความปลอดภัยด้วยรหัสผ่านที่มีประสิทธิภาพเพื่อรักษาความปลอดภัยให้กับไซต์  WordPress ของคุณ(WordPress)

ขั้นตอนแรกในการปรับปรุงความปลอดภัยของรหัสผ่านคือไปที่ผู้ใช้แต่ละรายสำหรับไซต์ของคุณ เลื่อนลงไปที่ ส่วน การจัดการบัญชี(Account Management)แล้วเลือกปุ่มสร้างรหัสผ่าน(Generate Password)

วิธีนี้จะสร้างรหัสผ่านที่ยาวและปลอดภัยมาก ซึ่งประกอบด้วยตัวอักษร ตัวเลข และอักขระพิเศษ บันทึกรหัสผ่านนี้ไว้ที่ใดที่หนึ่งอย่างปลอดภัย โดยเฉพาะอย่างยิ่งในเอกสารบนไดรฟ์ภายนอกที่คุณสามารถยกเลิกการเชื่อมต่อจากคอมพิวเตอร์ของคุณในขณะที่คุณออนไลน์

เลือกออกจากระบบทุกที่อื่น(Log Out Everywhere Else)เพื่อให้แน่ใจว่าปิดเซสชันที่ใช้งานอยู่ทั้งหมด

สุดท้าย หากคุณได้ติดตั้ง ปลั๊กอินความปลอดภัย Wordfenceไว้ คุณจะเห็นปุ่มเปิดใช้งาน 2FA (Activate 2FA)เลือกตัวเลือกนี้เพื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับการเข้าสู่ระบบของผู้ใช้ของคุณ

หากคุณไม่ได้ใช้Wordfenceคุณจะต้องติดตั้งปลั๊กอิน 2FA ยอดนิยมเหล่านี้

ข้อควรพิจารณาด้านความปลอดภัยที่สำคัญ(Important Security Considerations)อื่นๆ

มีอีกสองสามสิ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับไซต์WordPress ของคุณอย่างเต็มที่(WordPress)

ทั้งปลั๊กอิน WordPress(WordPress plugins)และเวอร์ชันของWordPressนั้นควรได้รับการอัปเดตตลอดเวลา แฮกเกอร์มักจะพยายามหาช่องโหว่ในโค้ดเวอร์ชันเก่าบนไซต์ของคุณ หากคุณไม่อัปเดตทั้งสองสิ่งนี้ แสดงว่าคุณกำลังปล่อยให้ไซต์ของคุณตกอยู่ในความเสี่ยง

1. เลือกPlugins and Installed PluginsในแผงควบคุมWordPress ของคุณเป็นประจำ (WordPress)ตรวจสอบ(Review)ปลั๊กอินทั้งหมดเพื่อดูว่ามีเวอร์ชันใหม่หรือไม่

เมื่อคุณเห็นรายการที่ล้าสมัย ให้เลือกอัปเดต(update now)ทันที คุณอาจลองเลือกเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินของคุณ 

อย่างไรก็ตาม บางคนระมัดระวังในการทำเช่นนี้เนื่องจากการอัปเดตปลั๊กอินอาจทำให้ไซต์หรือธีมของคุณเสียหายได้ ดังนั้นจึงควรทดสอบการอัปเดตปลั๊กอินบนไซต์ทดสอบ WordPress ในพื้นที่(local WordPress test site)ก่อนที่จะเปิดใช้งานบนไซต์จริงของคุณ

2. เมื่อคุณลงชื่อเข้าใช้ แดชบอร์ด WordPressคุณจะเห็นการแจ้งเตือนว่าWordPressล้าสมัยหากคุณใช้เวอร์ชันเก่า

อีกครั้ง ให้สำรองข้อมูลไซต์และโหลดลงในไซต์ทดสอบในเครื่องบนพีซีของคุณเอง เพื่อทดสอบว่าการ อัปเดต WordPressไม่ทำลายไซต์ของคุณ ก่อนที่คุณจะอัปเดตบนเว็บไซต์ที่ใช้งานจริงของคุณ

3. ใช้ประโยชน์จากคุณลักษณะความปลอดภัยฟรีของโฮสต์เว็บของคุณ โฮสต์เว็บส่วนใหญ่เสนอบริการรักษาความปลอดภัยฟรีมากมายสำหรับไซต์ที่คุณโฮสต์ที่นั่น พวกเขาทำเช่นนี้เพราะไม่เพียงแต่ปกป้องเว็บไซต์ของคุณ แต่ยังช่วยให้เซิร์ฟเวอร์ทั้งหมดปลอดภัย นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อคุณใช้บัญชีโฮสติ้งที่ใช้ร่วมกันซึ่งลูกค้ารายอื่นมีเว็บไซต์อยู่บนเซิร์ฟเวอร์เดียวกัน

สิ่ง เหล่านี้มักรวมถึง การติดตั้ง ความปลอดภัย SSL ฟรี(free SSL security)สำหรับเว็บไซต์ของคุณ การสำรองข้อมูลฟรี(free backups)ความสามารถในการบล็อกที่อยู่ IP ที่เป็นอันตราย และแม้แต่โปรแกรมสแกนเว็บไซต์ฟรีที่จะสแกนเว็บไซต์ของคุณเพื่อหารหัสหรือจุดอ่อนที่เป็นอันตราย

การใช้งานเว็บไซต์ไม่เคยง่ายเหมือนการติดตั้งWordPressและเพียงแค่โพสต์เนื้อหา สิ่งสำคัญคือต้องทำให้ เว็บไซต์ WordPress ของคุณ ปลอดภัยที่สุด เคล็ดลับทั้งหมดข้างต้นสามารถช่วยคุณได้โดยไม่ต้องใช้ความพยายามมากเกินไป



About the author

ฉันเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่มีประสบการณ์มากกว่า 10 ปี และฉันเชี่ยวชาญในการช่วยเหลือผู้คนในการจัดการคอมพิวเตอร์ในสำนักงาน ฉันได้เขียนบทความเกี่ยวกับหัวข้อต่างๆ เช่น วิธีเพิ่มประสิทธิภาพการเชื่อมต่ออินเทอร์เน็ต วิธีตั้งค่าคอมพิวเตอร์เพื่อประสบการณ์การเล่นเกมที่ดีที่สุด และอื่นๆ หากคุณกำลังมองหาความช่วยเหลือเกี่ยวกับงานหรือชีวิตส่วนตัวของคุณ เราคือคนสำหรับคุณ!



Related posts