วิธีสร้างเว็บไซต์ WordPress ให้ปลอดภัย

การเปิดตัวไซต์ WordPress ของคุณเองในปัจจุบันนั้นค่อนข้างง่าย ขออภัย แฮกเกอร์ใช้เวลาไม่นานในการเริ่มกำหนดเป้าหมายไซต์ของคุณ

วิธีที่ดีที่สุดในการทำให้ไซต์ WordPress ปลอดภัยคือการทำความเข้าใจทุกจุดของช่องโหว่ที่มาจากการเรียกใช้ไซต์ WordPress จากนั้นติดตั้งการรักษาความปลอดภัยที่เหมาะสมเพื่อบล็อกแฮกเกอร์ในแต่ละจุด

ในบทความนี้ คุณจะได้เรียนรู้วิธีรักษาความปลอดภัยให้กับโดเมน การเข้าสู่ระบบ WordPress และเครื่องมือและปลั๊กอินที่มีให้เพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณได้ดียิ่งขึ้น

สร้างโดเมนส่วนตัว

ทุกวันนี้มันง่ายเกินไปที่จะค้นหาโดเมนที่พร้อมใช้งานและซื้อได้ในราคาถูกมาก คนส่วนใหญ่ไม่เคยซื้อส่วนเสริมของโดเมนใดๆ สำหรับโดเมนของตน อย่างไรก็ตาม หนึ่งในโปรแกรมเสริมที่คุณควรพิจารณาเสมอคือการคุ้มครองความเป็นส่วนตัว

GoDaddy มีระดับการคุ้มครองความเป็นส่วนตัวขั้นพื้นฐานอยู่สามระดับ แต่สิ่งเหล่านี้ยังตรงกับข้อเสนอของผู้ให้บริการโดเมนส่วนใหญ่อีกด้วย

• พื้นฐาน : ซ่อนชื่อและข้อมูลติดต่อของคุณจากไดเรกทอรี WHOIS ใช้ได้ก็ต่อเมื่อรัฐบาลของคุณอนุญาตให้คุณซ่อนข้อมูลติดต่อของโดเมน
• เต็ม : แทนที่ข้อมูลของคุณเองด้วยที่อยู่อีเมลสำรองและข้อมูลติดต่อเพื่อปกปิดตัวตนที่แท้จริงของคุณ
• Ultimate : การรักษาความปลอดภัยเพิ่มเติมที่บล็อกการสแกนโดเมนที่เป็นอันตราย และรวมถึงการตรวจสอบความปลอดภัยของเว็บไซต์สำหรับไซต์จริงของคุณ

โดยปกติ การอัปเกรดโดเมนของคุณเป็นระดับความปลอดภัยเหล่านี้เพียงแค่ต้องเลือกอัปเกรดจากเมนูดรอปดาวน์บนหน้ารายการโดเมนของคุณ

การปกป้องโดเมนขั้นพื้นฐานนั้นค่อนข้างถูก (โดยปกติประมาณ $9.99/ปี) และระดับความปลอดภัยที่สูงกว่านั้นไม่ได้แพงกว่ามาก

นี่เป็นวิธีที่ยอดเยี่ยมในการหยุดนักส่งสแปมไม่ให้ดึงข้อมูลติดต่อของคุณออกจากฐานข้อมูล WHOIS หรือผู้อื่นที่มีเจตนาร้ายซึ่งต้องการเข้าถึงข้อมูลติดต่อของคุณ

ซ่อนไฟล์ wp-config.php และ .htaccess

เมื่อคุณติดตั้ง WordPress ครั้งแรก คุณจะต้องรวม ID ผู้ดูแลระบบและรหัสผ่านสำหรับฐานข้อมูล WordPress SQL ของคุณในไฟล์ wp-config.php

ข้อมูลนั้นได้รับการเข้ารหัสหลังการติดตั้ง แต่คุณยังต้องการบล็อกแฮกเกอร์ไม่ให้สามารถแก้ไขไฟล์นี้และทำลายเว็บไซต์ของคุณได้ ในการดำเนินการนี้ ให้ค้นหาและแก้ไขไฟล์ .htaccess ในโฟลเดอร์รูทของไซต์ของคุณ และเพิ่มโค้ดต่อไปนี้ที่ด้านล่างของไฟล์

 # ป้องกัน wpconfig.php
 <ไฟล์ wp-config.php>
 คำสั่งอนุญาต ปฏิเสธ
 ปฏิเสธจากทั้งหมด
 </files>

เพื่อป้องกันการเปลี่ยนแปลงใน .htaccess เอง ให้เพิ่มสิ่งต่อไปนี้ที่ด้านล่างของไฟล์ด้วย

 # ป้องกัน .htaccess ไฟล์
 <ไฟล์ .htaccess>
 คำสั่งอนุญาต ปฏิเสธ
 ปฏิเสธจากทั้งหมด
 </Files>

บันทึกไฟล์และออกจากโปรแกรมแก้ไขไฟล์

คุณอาจลองคลิกขวาที่แต่ละไฟล์และเปลี่ยนการอนุญาตเพื่อลบการเข้าถึงการเขียนทั้งหมดสำหรับทุกคน

ในขณะที่ทำสิ่งนี้ในไฟล์ wp-config.php ไม่ควรทำให้เกิดปัญหาใดๆ การทำสิ่งนี้บน .htaccess อาจทำให้เกิดปัญหาได้ โดยเฉพาะอย่างยิ่งหากคุณใช้งานปลั๊กอิน WordPress ด้านความปลอดภัยที่อาจจำเป็นต้องแก้ไขไฟล์ .htaccess ให้กับคุณ

หากคุณได้รับข้อผิดพลาดใดๆ จาก WordPress คุณสามารถอัปเดตการอนุญาตเพื่ออนุญาตให้เขียนในไฟล์ .htaccess ได้อีกครั้ง

เปลี่ยน URL เข้าสู่ระบบ WordPress ของคุณ

เนื่องจากหน้าเข้าสู่ระบบเริ่มต้นสำหรับไซต์ WordPress ทุกแห่งคือ yourdomain/wp-admin.php แฮกเกอร์จะใช้ URL นี้เพื่อพยายามแฮ็คเข้าสู่ไซต์ของคุณ

พวกเขาจะทำเช่นนี้ผ่านสิ่งที่เรียกว่าการโจมตีแบบ “เดรัจฉาน” ซึ่งพวกเขาจะส่งชื่อผู้ใช้และรหัสผ่านทั่วไปรูปแบบต่างๆ ที่หลายคนใช้กันทั่วไป แฮกเกอร์หวังว่าพวกเขาจะโชคดีและได้ส่วนผสมที่ลงตัว

คุณสามารถหยุดการโจมตีเหล่านี้ทั้งหมดได้โดยเปลี่ยน URL การเข้าสู่ระบบ WordPress ของคุณเป็นสิ่งที่ไม่ได้มาตรฐาน

มีปลั๊กอิน WordPress มากมายที่จะช่วยคุณทำสิ่งนี้ หนึ่งในสิ่งที่พบได้บ่อยที่สุดคือ WPS Hide Login

ปลั๊กอินนี้จะเพิ่มส่วนในแท็บ ทั่วไป ภายใต้ การตั้งค่า ใน WordPress

ที่นั่น คุณสามารถพิมพ์ URL ล็อกอินที่คุณต้องการและเลือก บันทึกการเปลี่ยนแปลง เพื่อเปิดใช้งาน ครั้งต่อไปที่คุณต้องการลงชื่อเข้าใช้ไซต์ WordPress ให้ใช้ URL ใหม่นี้

หากมีใครพยายามเข้าถึง wp-admin URL เก่าของคุณ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้า 404 ของเว็บไซต์ของคุณ

หมายเหตุ : หากคุณใช้ปลั๊กอินแคช ตรวจสอบให้แน่ใจว่าได้เพิ่ม URL สำหรับเข้าสู่ระบบใหม่ของคุณในรายการไซต์ที่จะ ไม่ แคช จากนั้นตรวจสอบให้แน่ใจว่าได้ล้างแคชก่อนที่คุณจะกลับเข้าสู่ไซต์ WordPress ของคุณอีกครั้ง

ติดตั้งปลั๊กอินความปลอดภัย WordPress

มีปลั๊กอินความปลอดภัย WordPress ให้เลือกมากมาย ในบรรดาทั้งหมดนั้น Wordfence เป็นโปรแกรมที่ดาวน์โหลดบ่อยที่สุด ด้วยเหตุผลที่ดี

Wordfence เวอร์ชันฟรีมีเอ็นจิ้นการสแกนอันทรงพลังที่ค้นหาภัยคุกคามลับๆ โค้ดที่เป็นอันตรายในปลั๊กอินหรือบนไซต์ของคุณ ภัยคุกคามจากการฉีด MySQL และอื่นๆ นอกจากนี้ยังมีไฟร์วอลล์เพื่อบล็อกภัยคุกคามที่ใช้งานอยู่ เช่น การโจมตี DDOS

นอกจากนี้ยังช่วยให้คุณหยุดการโจมตีแบบเดรัจฉานด้วยการจำกัดความพยายามในการเข้าสู่ระบบและล็อกผู้ใช้ที่พยายามเข้าสู่ระบบที่ไม่ถูกต้องหลายครั้งเกินไป

มีการตั้งค่าค่อนข้างน้อยในเวอร์ชันฟรี มากเกินพอที่จะปกป้องเว็บไซต์ขนาดเล็กถึงขนาดกลางจากการโจมตีส่วนใหญ่

นอกจากนี้ยังมีหน้าแดชบอร์ดที่มีประโยชน์ซึ่งคุณสามารถตรวจสอบเพื่อติดตามภัยคุกคามและการโจมตีล่าสุดที่ถูกบล็อก

ใช้ตัวสร้างรหัสผ่าน WordPress และ 2FA

สิ่งสุดท้ายที่คุณต้องการคือให้แฮกเกอร์เดารหัสผ่านของคุณได้อย่างง่ายดาย ขออภัย มีคนจำนวนมากเกินไปที่ใช้รหัสผ่านง่ายๆ ที่คาดเดาได้ง่าย ตัวอย่างบางส่วน ได้แก่ การใช้ชื่อเว็บไซต์หรือชื่อผู้ใช้เป็นส่วนหนึ่งของรหัสผ่าน หรือไม่ใช้อักขระพิเศษใดๆ

หากคุณได้อัปเกรด WordPress เป็นเวอร์ชันล่าสุด คุณจะสามารถเข้าถึงเครื่องมือรักษาความปลอดภัยด้วยรหัสผ่านที่มีประสิทธิภาพเพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ

ขั้นตอนแรกในการปรับปรุงความปลอดภัยของรหัสผ่านคือไปที่ผู้ใช้แต่ละรายสำหรับไซต์ของคุณ เลื่อนลงไปที่ส่วนการจัดการบัญชี แล้วเลือกปุ่ม สร้างรหัสผ่าน

วิธีนี้จะสร้างรหัสผ่านที่ยาวและปลอดภัยมาก ซึ่งประกอบด้วยตัวอักษร ตัวเลข และอักขระพิเศษ บันทึกรหัสผ่านนี้ไว้ที่ใดที่หนึ่งอย่างปลอดภัย โดยเฉพาะอย่างยิ่งในเอกสารบนไดรฟ์ภายนอกที่คุณสามารถยกเลิกการเชื่อมต่อจากคอมพิวเตอร์ของคุณในขณะที่คุณออนไลน์

เลือก ออกจากระบบทุกที่อื่น เพื่อให้แน่ใจว่าปิดเซสชันที่ใช้งานอยู่ทั้งหมด

สุดท้าย หากคุณได้ติดตั้งปลั๊กอินความปลอดภัย Wordfence ไว้ คุณจะเห็นปุ่ม เปิดใช้งาน 2FA เลือกตัวเลือกนี้เพื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับการเข้าสู่ระบบของผู้ใช้ของคุณ

หากคุณไม่ได้ใช้ Wordfence คุณจะต้องติดตั้งปลั๊กอิน 2FA ยอดนิยมเหล่านี้

• Google Authenticator
• การรับรองความถูกต้องด้วยสองปัจจัย
• Rublon การรับรองความถูกต้องด้วยสองปัจจัย
• การตรวจสอบสิทธิ์ Duo Two-Factor

ข้อควรพิจารณาด้านความปลอดภัยที่สำคัญอื่นๆ

มีอีกสองสามสิ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณอย่างเต็มที่

ทั้งปลั๊กอิน WordPress และเวอร์ชันของ WordPress นั้นควรได้รับการอัปเดตตลอดเวลา แฮกเกอร์มักจะพยายามหาช่องโหว่ในโค้ดเวอร์ชันเก่าบนไซต์ของคุณ หากคุณไม่อัปเดตทั้งสองสิ่งนี้ แสดงว่าคุณกำลังปล่อยให้ไซต์ของคุณตกอยู่ในความเสี่ยง

1. เลือก Plugins and Installed Plugins ในแผงควบคุม WordPress ของคุณเป็นประจำ ตรวจสอบปลั๊กอินทั้งหมดเพื่อดูว่ามีเวอร์ชันใหม่หรือไม่

เมื่อคุณเห็นรายการที่ล้าสมัย ให้เลือก อัปเดต ทันที คุณอาจลองเลือกเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินของคุณ

อย่างไรก็ตาม บางคนระมัดระวังในการทำเช่นนี้เนื่องจากการอัปเดตปลั๊กอินอาจทำให้ไซต์หรือธีมของคุณเสียหายได้ ดังนั้นจึงควรทดสอบการอัปเดตปลั๊กอินบนไซต์ทดสอบ WordPress ในพื้นที่ก่อนที่จะเปิดใช้งานบนไซต์จริงของคุณ

2. เมื่อคุณลงชื่อเข้าใช้แดชบอร์ด WordPress คุณจะเห็นการแจ้งเตือนว่า WordPress ล้าสมัยหากคุณใช้เวอร์ชันเก่า

อีกครั้ง ให้สำรองข้อมูลไซต์และโหลดลงในไซต์ทดสอบในเครื่องบนพีซีของคุณเอง เพื่อทดสอบว่าการอัปเดต WordPress ไม่ทำลายไซต์ของคุณ ก่อนที่คุณจะอัปเดตบนเว็บไซต์ที่ใช้งานจริงของคุณ

3. ใช้ประโยชน์จากคุณลักษณะความปลอดภัยฟรีของโฮสต์เว็บของคุณ โฮสต์เว็บส่วนใหญ่เสนอบริการรักษาความปลอดภัยฟรีมากมายสำหรับไซต์ที่คุณโฮสต์ที่นั่น พวกเขาทำเช่นนี้เพราะไม่เพียงแต่ปกป้องเว็บไซต์ของคุณ แต่ยังช่วยให้เซิร์ฟเวอร์ทั้งหมดปลอดภัย นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อคุณใช้บัญชีโฮสติ้งที่ใช้ร่วมกันซึ่งลูกค้ารายอื่นมีเว็บไซต์อยู่บนเซิร์ฟเวอร์เดียวกัน

สิ่งเหล่านี้มักรวมถึงการติดตั้งความปลอดภัย SSL ฟรีสำหรับเว็บไซต์ของคุณ การสำรองข้อมูลฟรี ความสามารถในการบล็อกที่อยู่ IP ที่เป็นอันตราย และแม้แต่โปรแกรมสแกนเว็บไซต์ฟรีที่จะสแกนเว็บไซต์ของคุณเพื่อหารหัสหรือจุดอ่อนที่เป็นอันตราย

การใช้งานเว็บไซต์ไม่เคยง่ายเหมือนการติดตั้ง WordPress และเพียงแค่โพสต์เนื้อหา สิ่งสำคัญคือต้องทำให้เว็บไซต์ WordPress ของคุณปลอดภัยที่สุด เคล็ดลับทั้งหมดข้างต้นสามารถช่วยคุณได้โดยไม่ต้องใช้ความพยายามมากเกินไป