วิธีสร้างเว็บไซต์ WordPress ให้ปลอดภัย
การ เปิดตัว ไซต์ WordPress ของคุณเอง ในปัจจุบันนั้นค่อนข้างง่าย ขออภัย แฮกเกอร์ใช้เวลาไม่นานในการเริ่มกำหนดเป้าหมายไซต์ของคุณ
วิธีที่ดีที่สุดในการทำให้ ไซต์ WordPressปลอดภัยคือการทำความเข้าใจทุกจุดของช่องโหว่ที่มาจากการเรียกใช้ไซต์WordPress จากนั้นติดตั้งการรักษาความปลอดภัยที่เหมาะสมเพื่อบล็อกแฮกเกอร์ในแต่ละจุด
ในบทความนี้ คุณจะได้เรียนรู้วิธีรักษาความปลอดภัยให้กับโดเมน การ เข้าสู่ระบบ WordPressและเครื่องมือและปลั๊กอินที่มีให้เพื่อรักษาความปลอดภัยให้กับไซต์WordPress ของคุณได้ดียิ่งขึ้น(WordPress)
สร้างโดเมนส่วนตัว
ทุกวันนี้มันง่ายเกินไปที่จะค้นหาโดเมนที่พร้อมใช้งาน(find an available domain)และซื้อได้ในราคาถูกมาก คนส่วนใหญ่ไม่เคยซื้อส่วนเสริมของโดเมนใดๆ สำหรับโดเมนของตน อย่างไรก็ตาม ส่วนเสริมหนึ่งที่คุณควรพิจารณาเสมอคือการคุ้มครองความ(Privacy Protection) เป็น ส่วนตัว
GoDaddyมีระดับการคุ้มครองความเป็นส่วนตัวขั้นพื้นฐานอยู่สามระดับแต่สิ่งเหล่านี้ยังตรงกับข้อเสนอของผู้ให้บริการโดเมนส่วนใหญ่อีกด้วย
- พื้นฐาน(Basic) : ซ่อนชื่อและข้อมูลติดต่อของคุณจากไดเรกทอรีWHOIS ใช้ได้ก็ต่อเมื่อรัฐบาลของคุณอนุญาตให้คุณซ่อนข้อมูลติดต่อของโดเมน
- เต็ม(Full) : แทนที่ข้อมูลของคุณเองด้วยที่อยู่อีเมลสำรองและข้อมูลติดต่อเพื่อปกปิดตัวตนที่แท้จริงของคุณ
- Ultimate : การรักษาความปลอดภัยเพิ่มเติมที่บล็อกการสแกนโดเมนที่เป็นอันตราย และรวมถึงการตรวจสอบความปลอดภัยของเว็บไซต์สำหรับไซต์จริงของคุณ
โดยปกติ การอัปเกรดโดเมนของคุณเป็นระดับความปลอดภัยเหล่านี้เพียงแค่ต้องเลือกอัปเกรดจากเมนูดรอปดาวน์บนหน้ารายการโดเมนของคุณ
การปกป้องโดเมน ขั้นพื้นฐาน(Basic)นั้นค่อนข้างถูก (โดยปกติประมาณ $9.99/ปี) และระดับความปลอดภัยที่สูงกว่านั้นไม่ได้แพงกว่ามาก
นี่เป็นวิธีที่ยอดเยี่ยมในการหยุดนักส่งสแปมไม่ให้ดึงข้อมูลติดต่อของคุณออกจาก ฐานข้อมูล WHOISหรือผู้อื่นที่มีเจตนาร้ายซึ่งต้องการเข้าถึงข้อมูลติดต่อของคุณ
ซ่อน(Hide)ไฟล์ wp-config.php และ .htaccess
เมื่อคุณติดตั้ง WordPress(install WordPress) ครั้งแรก คุณจะต้องรวม ID ผู้ดูแลระบบและรหัสผ่านสำหรับ ฐานข้อมูล WordPress SQL ของคุณ ในไฟล์ wp-config.php
ข้อมูลนั้นได้รับการเข้ารหัสหลังการติดตั้ง แต่คุณยังต้องการบล็อกแฮกเกอร์ไม่ให้สามารถแก้ไขไฟล์นี้และทำลายเว็บไซต์ของคุณได้ ในการดำเนินการนี้ ให้ค้นหาและแก้ไขไฟล์ .htaccess ในโฟลเดอร์รูทของไซต์ของคุณ และเพิ่มโค้ดต่อไปนี้ที่ด้านล่างของไฟล์
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
เพื่อป้องกันการเปลี่ยนแปลงใน .htaccess เอง ให้เพิ่มสิ่งต่อไปนี้ที่ด้านล่างของไฟล์ด้วย
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
บันทึกไฟล์และออกจากโปรแกรมแก้ไขไฟล์
คุณอาจลองคลิกขวาที่แต่ละไฟล์และเปลี่ยนการอนุญาตเพื่อลบ การเข้าถึงการ เขียน(Write)ทั้งหมดสำหรับทุกคน
ในขณะที่ทำสิ่งนี้ในไฟล์ wp-config.php ไม่ควรทำให้เกิดปัญหาใดๆ การทำสิ่งนี้บน .htaccess อาจทำให้เกิดปัญหาได้ โดยเฉพาะอย่างยิ่งหากคุณใช้งาน ปลั๊กอิน WordPress ด้านความปลอดภัย ที่อาจจำเป็นต้องแก้ไขไฟล์ .htaccess ให้กับคุณ
หากคุณได้รับข้อผิดพลาดใดๆ จากWordPressคุณสามารถอัปเดตการอนุญาตเพื่ออนุญาตให้เขียน(Write)ในไฟล์ .htaccess ได้อีกครั้ง
เปลี่ยน URL เข้าสู่ระบบ WordPress ของคุณ
เนื่องจากหน้าเข้าสู่ระบบเริ่มต้นสำหรับ ไซต์ WordPress ทุกแห่ง คือ yourdomain/wp-admin.php แฮกเกอร์จะใช้ URL นี้เพื่อพยายามแฮ็คเข้าสู่ไซต์ของคุณ
พวกเขาจะทำเช่นนี้ผ่านสิ่งที่เรียกว่าการโจมตีแบบ “เดรัจฉาน” ซึ่งพวกเขาจะส่งชื่อผู้ใช้และรหัสผ่านทั่วไปรูปแบบต่างๆ ที่หลายคนใช้กันทั่วไป แฮกเกอร์หวังว่าพวกเขาจะโชคดีและได้ส่วนผสมที่ลงตัว
คุณสามารถหยุดการโจมตีเหล่านี้ทั้งหมดได้โดยเปลี่ยนURL การเข้าสู่ระบบ WordPress(WordPress login URL) ของคุณ เป็นสิ่งที่ไม่ได้มาตรฐาน
มี ปลั๊กอิน WordPress มากมาย ที่จะช่วยคุณทำสิ่งนี้ หนึ่งในสิ่งที่พบได้บ่อยที่สุดคือWPS Hide Login(WPS Hide Login)
ปลั๊กอินนี้เพิ่มส่วนในแท็บทั่วไป ภายใต้ (General)การตั้งค่า(Settings)ใน WordPress
ที่นั่น คุณสามารถพิมพ์ URL(URL)ล็อกอินที่คุณต้องการและเลือกบันทึกการเปลี่ยนแปลง(Save Changes)เพื่อเปิดใช้งาน ครั้งต่อไปที่คุณต้องการลงชื่อเข้าใช้ไซต์WordPress ให้ใช้ (WordPress)URL ใหม่ นี้
หากมีใครพยายามเข้าถึง wp-admin URL เก่าของคุณ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้า 404 ของเว็บไซต์ของคุณ
หมายเหตุ(Note) : หากคุณใช้ปลั๊กอินแคช ตรวจสอบให้แน่ใจว่าได้เพิ่มURL สำหรับเข้าสู่ระบบใหม่ของคุณ ในรายการไซต์ที่ จะ ไม่(not)แคช จากนั้นตรวจสอบให้แน่ใจว่าได้ล้างแคชก่อนที่คุณจะกลับเข้าสู่ไซต์WordPress ของคุณอีกครั้ง(WordPress)
ติดตั้งปลั๊กอินความปลอดภัย WordPress
มีปลั๊กอินความปลอดภัย WordPress(WordPress security plugins)ให้เลือกมากมาย ในบรรดาทั้งหมดนั้นWordfenceเป็นโปรแกรมที่ดาวน์โหลดบ่อยที่สุด ด้วยเหตุผลที่ดี
Wordfenceเวอร์ชันฟรีมีเอ็นจิ้นการสแกนอันทรงพลังที่ค้นหาภัยคุกคามลับๆโค้ดที่เป็นอันตรายในปลั๊กอิน(malicious code in your plugins)หรือบนไซต์ของคุณภัยคุกคามจากการฉีดMySQL และอื่นๆ (MySQL)นอกจากนี้ยังมีไฟร์วอลล์เพื่อบล็อกภัยคุกคามที่ใช้งานอยู่ เช่นการโจมตี DDOS
นอกจากนี้ยังช่วยให้คุณหยุดการโจมตีแบบเดรัจฉานด้วยการจำกัดความพยายามในการเข้าสู่ระบบและล็อกผู้ใช้ที่พยายามเข้าสู่ระบบที่ไม่ถูกต้องหลายครั้งเกินไป
มีการตั้งค่าค่อนข้างน้อยในเวอร์ชันฟรี มากเกินพอที่จะปกป้องเว็บไซต์ขนาดเล็กถึงขนาดกลางจากการโจมตีส่วนใหญ่
นอกจากนี้ยังมีหน้าแดชบอร์ดที่มีประโยชน์ซึ่งคุณสามารถตรวจสอบเพื่อติดตามภัยคุกคามและการโจมตีล่าสุดที่ถูกบล็อก
ใช้ตัวสร้างรหัสผ่าน WordPress(WordPress Password Generator)และ 2FA
สิ่งสุดท้ายที่คุณต้องการคือให้แฮกเกอร์เดารหัสผ่านของคุณได้อย่างง่ายดาย ขออภัย มีคนจำนวนมากเกินไปที่ใช้รหัสผ่านง่ายๆ ที่คาดเดาได้ง่าย ตัวอย่างบางส่วน ได้แก่ การใช้ชื่อเว็บไซต์หรือชื่อผู้ใช้เป็นส่วนหนึ่งของรหัสผ่าน หรือไม่ใช้อักขระพิเศษใดๆ
หากคุณได้อัปเกรดเป็น WordPress(WordPress)เวอร์ชันล่าสุดคุณจะสามารถเข้าถึงเครื่องมือรักษาความปลอดภัยด้วยรหัสผ่านที่มีประสิทธิภาพเพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ(WordPress)
ขั้นตอนแรกในการปรับปรุงความปลอดภัยของรหัสผ่านคือไปที่ผู้ใช้แต่ละรายสำหรับไซต์ของคุณ เลื่อนลงไปที่ ส่วน การจัดการบัญชี(Account Management)แล้วเลือกปุ่มสร้างรหัสผ่าน(Generate Password)
วิธีนี้จะสร้างรหัสผ่านที่ยาวและปลอดภัยมาก ซึ่งประกอบด้วยตัวอักษร ตัวเลข และอักขระพิเศษ บันทึกรหัสผ่านนี้ไว้ที่ใดที่หนึ่งอย่างปลอดภัย โดยเฉพาะอย่างยิ่งในเอกสารบนไดรฟ์ภายนอกที่คุณสามารถยกเลิกการเชื่อมต่อจากคอมพิวเตอร์ของคุณในขณะที่คุณออนไลน์
เลือกออกจากระบบทุกที่อื่น(Log Out Everywhere Else)เพื่อให้แน่ใจว่าปิดเซสชันที่ใช้งานอยู่ทั้งหมด
สุดท้าย หากคุณได้ติดตั้ง ปลั๊กอินความปลอดภัย Wordfenceไว้ คุณจะเห็นปุ่มเปิดใช้งาน 2FA (Activate 2FA)เลือกตัวเลือกนี้เพื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับการเข้าสู่ระบบของผู้ใช้ของคุณ
หากคุณไม่ได้ใช้Wordfenceคุณจะต้องติดตั้งปลั๊กอิน 2FA ยอดนิยมเหล่านี้
- Google Authenticator
- การรับรองความถูกต้องด้วยสองปัจจัย(Two Factor Authentication)
- Rublon การรับรองความถูกต้องด้วยสองปัจจัย(Rublon Two-Factor Authentication)
- การตรวจสอบสิทธิ์แบบดูโอสองปัจจัย(Duo Two-Factor Authentication)
ข้อควรพิจารณาด้านความปลอดภัยที่สำคัญ(Important Security Considerations)อื่นๆ
มีอีกสองสามสิ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับไซต์WordPress ของคุณอย่างเต็มที่(WordPress)
ทั้งปลั๊กอิน WordPress(WordPress plugins)และเวอร์ชันของWordPressนั้นควรได้รับการอัปเดตตลอดเวลา แฮกเกอร์มักจะพยายามหาช่องโหว่ในโค้ดเวอร์ชันเก่าบนไซต์ของคุณ หากคุณไม่อัปเดตทั้งสองสิ่งนี้ แสดงว่าคุณกำลังปล่อยให้ไซต์ของคุณตกอยู่ในความเสี่ยง
1. เลือกPlugins and Installed PluginsในแผงควบคุมWordPress ของคุณเป็นประจำ (WordPress)ตรวจสอบ(Review)ปลั๊กอินทั้งหมดเพื่อดูว่ามีเวอร์ชันใหม่หรือไม่
เมื่อคุณเห็นรายการที่ล้าสมัย ให้เลือกอัปเดต(update now)ทันที คุณอาจลองเลือกเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินของคุณ
อย่างไรก็ตาม บางคนระมัดระวังในการทำเช่นนี้เนื่องจากการอัปเดตปลั๊กอินอาจทำให้ไซต์หรือธีมของคุณเสียหายได้ ดังนั้นจึงควรทดสอบการอัปเดตปลั๊กอินบนไซต์ทดสอบ WordPress ในพื้นที่(local WordPress test site)ก่อนที่จะเปิดใช้งานบนไซต์จริงของคุณ
2. เมื่อคุณลงชื่อเข้าใช้ แดชบอร์ด WordPressคุณจะเห็นการแจ้งเตือนว่าWordPressล้าสมัยหากคุณใช้เวอร์ชันเก่า
อีกครั้ง ให้สำรองข้อมูลไซต์และโหลดลงในไซต์ทดสอบในเครื่องบนพีซีของคุณเอง เพื่อทดสอบว่าการ อัปเดต WordPressไม่ทำลายไซต์ของคุณ ก่อนที่คุณจะอัปเดตบนเว็บไซต์ที่ใช้งานจริงของคุณ
3. ใช้ประโยชน์จากคุณลักษณะความปลอดภัยฟรีของโฮสต์เว็บของคุณ โฮสต์เว็บส่วนใหญ่เสนอบริการรักษาความปลอดภัยฟรีมากมายสำหรับไซต์ที่คุณโฮสต์ที่นั่น พวกเขาทำเช่นนี้เพราะไม่เพียงแต่ปกป้องเว็บไซต์ของคุณ แต่ยังช่วยให้เซิร์ฟเวอร์ทั้งหมดปลอดภัย นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อคุณใช้บัญชีโฮสติ้งที่ใช้ร่วมกันซึ่งลูกค้ารายอื่นมีเว็บไซต์อยู่บนเซิร์ฟเวอร์เดียวกัน
สิ่ง เหล่านี้มักรวมถึง การติดตั้ง ความปลอดภัย SSL ฟรี(free SSL security)สำหรับเว็บไซต์ของคุณ การสำรองข้อมูลฟรี(free backups)ความสามารถในการบล็อกที่อยู่ IP ที่เป็นอันตราย และแม้แต่โปรแกรมสแกนเว็บไซต์ฟรีที่จะสแกนเว็บไซต์ของคุณเพื่อหารหัสหรือจุดอ่อนที่เป็นอันตราย
การใช้งานเว็บไซต์ไม่เคยง่ายเหมือนการติดตั้งWordPressและเพียงแค่โพสต์เนื้อหา สิ่งสำคัญคือต้องทำให้ เว็บไซต์ WordPress ของคุณ ปลอดภัยที่สุด เคล็ดลับทั้งหมดข้างต้นสามารถช่วยคุณได้โดยไม่ต้องใช้ความพยายามมากเกินไป
Related posts
3 วิธีในการสร้างรหัสผ่านที่ปลอดภัยที่สุด
แอพส่งข้อความของคุณปลอดภัยจริงหรือ?
3 วิธีในการใช้ Photo or Video บน Chromebook
วิธีการ Detect Computer & Email Monitoring หรือ Spying Software
แบน Panel Display Technology Demystified: TN, IPS, VA, OLED และอื่น ๆ
วิธีการค้นหาเซิร์ฟเวอร์ Discord ที่ดีที่สุด
วิธีการ Fix Disney Plus Error Code 83
4 Ways เพื่อค้นหาอินเทอร์เน็ตที่ดีที่สุด Options (ISPs) ในพื้นที่ของคุณ
วิธีการทำ Wired Printer Wireless ใน 6 Different วิธี
คืออะไร Uber Passenger Rating and How เพื่อตรวจสอบมัน
คุณสามารถเปลี่ยน Twitch Name ของคุณได้ไหม ใช่ แต่ Be Careful
วิธีการรับ Rid ของ Yahoo Search ใน Chrome
วิธีการ Post บทความเกี่ยวกับ Linkedin (และ Best Times ถึง Post)
วิธีการ Insert Emoji ใน Word, Google Docs and Outlook
วิธีการปิดการใช้งาน Facebook Account แทนที่จะลบมัน
อะไร Do BCC and CC Mean? ความเข้าใจ Basic Email Lingo
วิธีการแยก Clip ใน Adobe Premiere Pro
8 Ways เพื่อขยาย Facebook Page Audience ของคุณ
วิธีการหา Memories บน Facebook
Discord Streamer Mode and How ที่จะตั้งขึ้นคืออะไร