Wordpress เป็นระบบการจัดการเนื้อหาที่ได้รับความนิยมมากที่สุดในโลก (CMS) แต่นั่นไม่ได้หมายความว่าจะไม่มีช่องโหว่ด้านความปลอดภัย ในความเป็นจริงในฐานะแพลตฟอร์มที่ออกแบบมาเพื่อใช้งานโดยผู้คนนับล้านทั่วโลกและด้วยผู้ใช้ที่หลากหลายเช่นนี้มีปัญหาด้านความปลอดภัยที่ค่อนข้างร้ายแรงที่ส่งผลกระทบต่อ Wordpress เว็บไซต์ทุกวัน โชคดีที่มีหลายสิ่งที่คุณสามารถทําได้เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ของคุณและตรวจสอบให้แน่ใจว่าไซต์ของคุณยังคงปลอดภัยจากแฮกเกอร์และภัยคุกคามที่เป็นอันตรายอื่น ๆ
1. อัปเดตข้อมูลรับรองการเข้าสู่ระบบของคุณและเปลี่ยนแปลงเป็นประจํา
คุณควรเปลี่ยนรหัสผ่านของคุณอย่างน้อยหนึ่งครั้งทุกสองสามเดือนหากไม่บ่อยกว่านั้น วิธีที่ดีที่สุดในการทําเช่นนี้คือการใช้แอปพลิเคชันตัวจัดการรหัสผ่านเช่น Dashlane หรือ LastPass
หากคุณไม่ต้องการใช้โปรแกรมของบริษัทอื่น ให้ตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่คาดเดายากซึ่งมีความยาวอย่างน้อย 15 อักขระ และมีตัวอักษรพิมพ์เล็ก (a-z), ตัวพิมพ์ใหญ่ (A-Z), ตัวเลข (0-9) และเครื่องหมายวรรคตอน (#$&'*()_+) อย่าเพิ่งพึ่งพาคําทั่วไปเท่านั้น แทนที่จะสร้างสิ่งที่ไม่เหมือนใคร! เช่น:
ตัวอย่างที่ 1: MyPasswordIs12345678901234567890!
ตัวอย่างที่ 2: H&+7o8k(g3q3d%MvXPGWcX8yxdRt2jQRh!
2. ใช้รหัสผ่านที่รัดกุมและไม่ซ้ําใครเสมอ
รหัสผ่านที่คาดเดายากเป็นหนึ่งในส่วนที่สําคัญที่สุดของ Wordpress ความปลอดภัย หากแฮ็กเกอร์สามารถเข้าถึงเว็บไซต์ของคุณได้พวกเขาจะสามารถดูชื่อผู้ใช้และรหัสผ่านได้ จากนั้นพวกเขาสามารถเข้าควบคุมบัญชีของคุณหรือตั้งค่าได้ Wordpress บนเซิร์ฟเวอร์ของพวกเขาเองที่มีสิทธิ์เดียวกันทั้งหมดที่คุณมี
รหัสผ่านที่คาดเดายากควรประกอบด้วย:
- มีความยาวอย่างน้อยแปดอักขระ
- การรวมกันของตัวเลข ตัวอักษร และสัญลักษณ์ (ไม่ใช่แค่ 1 วินาทีและ 0 วินาที)
- ไม่ได้อิงตามข้อมูลส่วนบุคคลใด ๆ เกี่ยวกับตัวคุณที่บุคคลที่คุ้นเคยกับคุณอาจเดาได้ (เช่น วันเกิดหรือชื่อผู้ใช้ของคุณ)
3. รักษาจํานวนบทบาทของผู้ใช้ให้น้อยที่สุด
สิ่งแรกที่คุณควรทําคือ จํากัด จํานวนบทบาทของผู้ใช้บนไซต์ของคุณ ยิ่งผู้คนเข้าถึงเว็บไซต์ของคุณมากเท่าไหร่ความเสี่ยงที่จะเกิดข้อผิดพลาดก็จะยิ่งมากขึ้นเท่านั้นและพวกเขาจะสามารถก่อให้เกิดอันตรายได้ (ไม่ว่าจะโดยเจตนาหรือโดยบังเอิญ)
ตามกฎทั่วไป คุณควรให้เฉพาะผู้ที่ต้องการเข้าถึงบัญชีการดูแลระบบเท่านั้น หากต้องการให้บุคคลอื่น เช่น ผู้จัดการเนื้อหาทําการอัปเดตได้ด้วยตนเอง ให้ลองสร้างบัญชีผู้ใช้แยกต่างหากสําหรับบุคคลนั้นด้วยสิทธิ์ที่จํากัด เช่น "ผู้เขียน" หรือ "ผู้สนับสนุน"
4. ติดตั้งเฉพาะปลั๊กอินจากแหล่งที่เชื่อถือได้ (อย่าติดตั้งปลั๊กอินที่เป็นโมฆะแตกหรือละเมิดลิขสิทธิ์)
- ติดตั้งเฉพาะปลั๊กอินจากแหล่งที่เชื่อถือได้ (อย่าติดตั้งปลั๊กอินที่เป็นโมฆะแตกหรือละเมิดลิขสิทธิ์)
- อัปเดตปลั๊กอินเป็นประจําและลบปลั๊กอินเก่าที่ไม่ได้ใช้อีกต่อไป
- เปิดใช้งานการอัปเดตอัตโนมัติสําหรับ Wordpress แกนธีมและปลั๊กอินของคุณเพื่อให้คุณไม่ต้องกังวลกับมันด้วยตนเองในอนาคต
- ใช้ปลั๊กอินเช่น WordFence Security เพื่อสแกนเว็บไซต์ของคุณเป็นระยะ ๆ และค้นหาปัญหาด้านความปลอดภัย
5. เพิ่ม Captcha เพื่อป้องกันสแปม
Captchas หยุดสแปมบอทจากการโพสต์ความคิดเห็นและลิงก์บนเว็บไซต์ของคุณ คุณจะเห็นความคิดเห็นที่เป็นสแปมน้อยลง ซึ่งจะช่วยปรับปรุงประสบการณ์การใช้งานสําหรับผู้ใช้จริงที่เข้าชมเว็บไซต์ของคุณ
ค่าเริ่มต้น Wordpress หน้าเข้าสู่ระบบใช้ Captcha ที่ช่วยป้องกันการโจมตีด้วยกําลังดุร้าย ด้วยการเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งนี้ คุณสามารถตรวจสอบให้แน่ใจว่ามีเพียงมนุษย์เท่านั้นที่ลงชื่อเข้าใช้บัญชีของพวกเขาบนไซต์ของคุณ
การเพิ่มแคปต์ชาลงใน Wordpress เป็นเรื่องง่าย! มันต้องการเพียงไม่กี่ขั้นตอน:
- ไปที่ "การตั้งค่า" ภายใต้ตัวเลือกเมนูแดชบอร์ดและคลิกที่ "การสนทนา"
- จากนั้นทําเครื่องหมายที่ช่องถัดจาก "ผู้ใช้ต้องลงทะเบียนและเข้าสู่ระบบ" การดําเนินการนี้จะแสดงฟิลด์ใหม่ที่มีสองตัวเลือก: "การลงทะเบียนผู้ใช้" และ "ฟิลด์โปรไฟล์ผู้ใช้" ซึ่งคุณสามารถป้อนข้อมูลที่จําเป็นทั้งหมดเกี่ยวกับฟิลด์ที่ปรากฏในโปรไฟล์ผู้ใช้แต่ละโปรไฟล์เมื่อพวกเขาลงทะเบียนบัญชีด้วย Wordpress (และข้อมูลอื่น ๆ ที่เกี่ยวข้อง)
6. จํากัดจํานวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลว
สิ่งสําคัญคือต้องกําหนดขีดจํากัดจํานวนการพยายามเข้าสู่ระบบที่ล้มเหลวซึ่งสามารถทําได้ โดยปกติจะทําได้โดยการ จํากัด ระยะเวลาระหว่างการเข้าสู่ระบบที่สําเร็จและการพยายามเข้าสู่ระบบที่ล้มเหลว ตัวอย่างเช่น หากคุณอนุญาตให้พยายามไม่สําเร็จสามครั้งต่อนาที ผู้ใช้จะสามารถเข้าสู่ไซต์ของคุณได้หลังจากล้มเหลวสามครั้งภายใน 60 วินาที
อย่างไรก็ตาม นี่ไม่ใช่ความปลอดภัยเพียงพอสําหรับบางเว็บไซต์เสมอไป โดยเฉพาะเว็บไซต์ที่มีการเข้าถึงโดยบุคคลจํานวนมากหรือใช้ข้อมูลสําคัญ เช่น บัญชีธนาคารและบัตรเครดิต ในสถานการณ์เหล่านี้ ขอแนะนําให้คุณใช้ระยะเวลาการล็อก: หลังจากพยายามเข้าสู่ระบบล้มเหลวมากกว่าสามครั้งในหนึ่งนาที (หรือไม่ว่าจะใช้หมายเลขใดก็ตามที่ดูเหมือนเหมาะสม) การเข้าถึงเว็บไซต์ของคุณจะถูกบล็อกชั่วคราวจนกว่าผู้ดูแลระบบจะรีเซ็ตรหัสผ่านหรือปลดล็อกบัญชีของคุณด้วยตนเองตั้งแต่สิ้นสุด
7. ตรวจสอบให้แน่ใจว่าไฟล์ธีมและปลั๊กอินทั้งหมดของคุณได้รับการอัปเดตอย่างถูกต้อง (และหากคุณใช้ไฟล์ที่ล้าสมัยให้ลบ / แทนที่)
- ตรวจสอบให้แน่ใจว่าไฟล์ ธีม และปลั๊กอินทั้งหมดของคุณได้รับการอัปเดตอย่างถูกต้อง (และหากคุณใช้ไฟล์ที่ล้าสมัย ให้ลบ/แทนที่ไฟล์เหล่านั้น)
- อัพเดต Wordpress หลักเป็นประจํา (คุณสามารถตั้งค่าความถี่ของการอัปเดตใน wp-config.php)
- หากปลั๊กอินหรือธีมต้องการการอัปเดตให้อัปเดต!
- เปลี่ยนรหัสผ่านของคุณเป็นประจําโดยเฉพาะอย่างยิ่งหากคุณถูกแฮ็กหรือมีการละเมิดข้อมูลในไซต์อื่นที่คุณใช้รหัสผ่านเดียวกัน
8. เปลี่ยนหน้าเข้าสู่ระบบเว็บไซต์ของคุณ
การเปลี่ยน URL การเข้าสู่ระบบเว็บไซต์ของคุณเป็นวิธีที่ยอดเยี่ยมในการปรับปรุงความปลอดภัยของคุณ Wordpress สถานที่
หากคุณไม่แน่ใจว่าต้องทําอย่างไร ให้ทําตามขั้นตอนต่อไปนี้
- เปิด wp-config.php และค้นหาบรรทัดที่ระบุว่า "กําหนด( 'WP_HOME', 'http://example.com');" (คัดลอก / วางมันเพื่อให้คุณไม่พลาดตัวอักษรใด ๆ .)
- เปลี่ยน http://example.com เป็น https://example.com และบันทึกไฟล์!
- ตรวจสอบให้แน่ใจว่าคุณเปลี่ยนทั้งสองอินสแตนซ์ของ "http" ด้วย "https" มิฉะนั้นคุณจะเห็นข้อความแสดงข้อผิดพลาดนี้เมื่อเยี่ยมชมเว็บไซต์ของคุณ: ปัญหาใบรับรอง SSL ตรวจสอบว่าใบรับรอง CA นั้นใช้ได้
9. สํารองข้อมูลเว็บไซต์ของคุณเป็นประจํา
การสํารองข้อมูลเว็บไซต์ของคุณเป็นประจําเป็นหนึ่งในสิ่งที่สําคัญที่สุดที่คุณสามารถทําได้เพื่อรักษาความปลอดภัย เมื่อเว็บไซต์ของคุณได้รับการสํารองข้อมูลแล้ว คุณจะสามารถย้อนกลับปัญหาใดๆ ที่อาจเกิดขึ้นเมื่อทําการเปลี่ยนแปลงหรือเพิ่มเติมได้
คุณควรทําการสํารองข้อมูลไซต์ของคุณบ่อยที่สุดเท่าที่จะทําได้ ความถี่เท่าใดขึ้นอยู่กับว่ามีการเปลี่ยนแปลงมากน้อยเพียงใดนับตั้งแต่มีการสํารองข้อมูลครั้งล่าสุดมีการเพิ่มข้อมูลเท่าใดและการเปลี่ยนแปลงเหล่านั้นประสบความสําเร็จหรือไม่ (เช่นอัปโหลดสําเร็จหรือไม่) ถ้าเป็นเช่นนั้นการสํารองข้อมูลใหม่อาจไม่จําเป็น หากไม่เป็นเช่นนั้น และโดยเฉพาะอย่างยิ่งหากมีสิ่งผิดปกติเกิดขึ้นในระหว่างกระบวนการอัปโหลด อาจจําเป็น
10. ตรวจสอบการแทรกโค้ดที่เป็นอันตราย
คุณยังสามารถตรวจสอบการแทรกโค้ดที่เป็นอันตรายได้โดยดูที่ไฟล์บนไซต์ของคุณ หากมีการแทรกไฟล์ที่ไม่ควรอยู่ที่นั่นคุณจะรู้ เครื่องมือที่เรียกว่า WPSSO เป็นตัวอย่างหนึ่งของ Wordpress ปลั๊กอินที่สามารถช่วยคุณตรวจจับกิจกรรมประเภทนี้ได้
สิ่งอื่น ๆ ที่ต้องระวัง ได้แก่ กิจกรรมและ URL ที่น่าสงสัยที่อยู่อีเมลที่น่าสงสัยที่อยู่ IP ที่น่าสงสัยตัวแทนผู้ใช้ที่น่าสงสัย (ซอฟต์แวร์ที่ผู้เยี่ยมชมใช้) และผู้อ้างอิง (ผู้เยี่ยมชมเว็บไซต์มาจาก)
ข้อสรุป
เราหวังว่าเคล็ดลับเหล่านี้จะช่วยให้คุณยกระดับความปลอดภัยของเว็บไซต์ของคุณไปอีกขั้น หากคุณยังไม่แน่ใจเกี่ยวกับวิธีการรักษาความปลอดภัยของคุณ Wordpress เราขอแนะนําให้ติดต่อผู้เชี่ยวชาญเพื่อขอความช่วยเหลือ
และหากคุณมีคําถามใด ๆ หรือ ต้องการทีมงานมืออาชีพในการออกแบบและพัฒนาของคุณ Wordpress เว็บไซต์โปรดติดต่อเรา!
