1. อัปเดตข้อมูลรับรองการเข้าสู่ระบบของคุณและเปลี่ยนแปลงบ่อยๆ
คุณควรเปลี่ยนรหัสผ่านของคุณอย่างน้อยปีละครั้ง หากไม่บ่อยกว่านั้น วิธีที่ดีที่สุดในการทำเช่นนี้คือการใช้แอปพลิเคชันจัดการรหัสผ่านเช่น Dashlane หรือ LastPass
หากคุณไม่ต้องการใช้โปรแกรมของบุคคลที่สาม ให้แน่ใจว่าคุณใช้รหัสผ่านที่แข็งแรงซึ่งมีความยาวอย่างน้อย 15 ตัวอักษร และรวมถึงตัวอักษรตัวเล็ก (a-z), ตัวอักษรตัวใหญ่ (A-Z), ตัวเลข (0-9) และเครื่องหมายวรรคตอน (#$&’*()_+). อย่าพึ่งพาคำทั่วไป; แทนที่จะสร้างสิ่งที่มีเอกลักษณ์อย่างสิ้นเชิง! ตัวอย่างเช่น:
ตัวอย่างที่ 1: MyPasswordIs12345678901234567890!
ตัวอย่างที่ 2: H&+7o8k(g3q3d%MvXPGWcX8yxdRt2jQRh!
2. ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำใครเสมอ
รหัสผ่านที่แข็งแกร่งคือหนึ่งในด้านที่สำคัญที่สุดของความปลอดภัยของ WordPress หากแฮ็กเกอร์สามารถเข้าถึงเว็บไซต์ของคุณได้ พวกเขาจะสามารถเห็นชื่อผู้ใช้และรหัสผ่านได้ จากนั้นพวกเขาสามารถเข้าควบคุมบัญชีของคุณหรือจัดตั้ง WordPress บนเซิร์ฟเวอร์ของตนเองด้วยสิทธิพิเศษเดียวกันกับที่คุณมี
รหัสผ่านที่แข็งแกร่งควรประกอบด้วย:
มีความยาวอย่างน้อยแปดตัวอักษร
การรวมกันของตัวเลข ตัวอักษร และสัญลักษณ์ (ไม่ควรมีเพียงแค่ 1s และ 0s)
ไม่ควรอิงจากข้อมูลส่วนบุคคลใดๆ เกี่ยวกับตัวคุณซึ่งอาจถูกเดาได้จากผู้ที่คุ้นเคยกับคุณ (เช่น วันเกิดหรือชื่อผู้ใช้ของคุณ)
3. จำกัดจำนวนบทบาทผู้ใช้ให้น้อยที่สุด
สิ่งแรกที่คุณควรทำคือการจำกัดจำนวนบทบาทผู้ใช้ในเว็บไซต์ของคุณ ยิ่งมีคนเข้าถึงเว็บไซต์ของคุณมากเท่าไร ความเสี่ยงที่บางสิ่งจะเกิดข้อผิดพลาดและพวกเขาอาจทำให้เกิดความเสียหาย (ไม่ว่าจะตั้งใจหรือไม่ตั้งใจก็ตาม) จะยิ่งมากขึ้น
โดยทั่วไปแล้ว ควรให้สิทธิ์เข้าถึงบัญชีผู้ดูแลระบบแก่ผู้ที่จำเป็นต้องใช้เท่านั้น หากคุณต้องการให้คนอื่น เช่น ผู้จัดการเนื้อหา สามารถอัปเดตด้วยตนเองได้ ให้พิจารณาสร้างบัญชีผู้ใช้แยกต่างหากสำหรับพวกเขาที่มีสิทธิ์จำกัดเช่น “ผู้เขียน” หรือ “ผู้ร่วมเขียน”
4. ติดตั้งปลั๊กอินจากแหล่งที่เชื่อถือได้เท่านั้น (อย่าติดตั้งปลั๊กอินที่แก้ไข หรือมีลิขสิทธิ์ผิดกฎหมาย)
ติดตั้งปลั๊กอินจากแหล่งที่เชื่อถือได้เท่านั้น (อย่าติดตั้งปลั๊กอินที่แก้ไข หรือมีลิขสิทธิ์ผิดกฎหมาย)
อัปเดตปลั๊กอินอย่างสม่ำเสมอและลบปลั๊กอินเก่าที่ไม่ใช้แล้วออก
เปิดใช้งานการอัปเดตอัตโนมัติสำหรับ WordPress, ธีม และปลั๊กอินของคุณ เพื่อที่คุณจะไม่ต้องกังวลกับมันด้วยตนเองในอนาคต
ใช้ปลั๊กอินเช่น WordFence Security เพื่อตรวจสอบเว็บไซต์ของคุณเป็นระยะๆ และหาปัญหาด้านความปลอดภัย
5. เพิ่ม Captcha เพื่อป้องกันสแปม
Captcha จะช่วยหยุดสปามบ็อทจากการโพสต์ความคิดเห็นและลิงก์บนเว็บไซต์ของคุณ คุณจะเห็นความคิดเห็นที่มีสแปมน้อยลงซึ่งจะช่วยปรับปรุงประสบการณ์สำหรับผู้ใช้จริงที่เข้าชมเว็บไซต์ของคุณ
หน้าเข้าสู่ระบบ WordPress เริ่มต้นใช้ Captcha ที่ช่วยป้องกันการโจมตีด้วยแรง brute force นี่เป็นการเพิ่มชั้นความปลอดภัยพิเศษเพื่อให้แน่ใจว่ามีเพียงมนุษย์เท่านั้นที่เข้าสู่ระบบบัญชีของพวกเขาบนเว็บไซต์ของคุณ
การเพิ่ม Captcha ลงใน WordPress นั้นง่ายมาก! ใช้แค่ไม่กี่ขั้นตอน:
ไปที่ “การตั้งค่า” ภายใต้เมนูแผงควบคุมและคลิกที่ “การอภิปราย”
จากนั้นให้ติ๊กถูกช่องถัดจาก “ผู้ใช้ต้องลงทะเบียนและเข้าสู่ระบบ.” สิ่งนี้จะแสดงช่องใหม่ที่มีสองตัวเลือก: “การลงทะเบียนผู้ใช้” และ “ฟิลด์โปรไฟล์ผู้ใช้” ที่คุณสามารถกรอกข้อมูลจำเป็นเกี่ยวกับฟิลด์ที่แสดงขึ้นในแต่ละโปรไฟล์ผู้ใช้เมื่อพวกเขาลงทะเบียนบัญชีด้วย WordPress (และข้อมูลที่เกี่ยวข้องอื่นๆ)
6. จำกัดจำนวนการพยายามเข้าสู่ระบบที่ล้มเหลว
เป็นสิ่งสำคัญเช่นกันที่จะกำหนดขีดจำกัดในการพยายามเข้าสู่ระบบที่ล้มเหลวซึ่งสามารถทำได้ มักจะทำโดยการกำหนดระยะเวลาระหว่างการเข้าสู่ระบบที่ประสบความสำเร็จและการพยายามเข้าสู่ระบบที่ล้มเหลว ตัวอย่างเช่น หากคุณอนุญาตให้มีการพยายามที่ล้มเหลวสามครั้งต่อหนึ่งนาที ผู้ใช้จะสามารถเข้าถึงเว็บไซต์ของคุณหลังจากล้มเหลวสามครั้งภายใน 60 วินาที
อย่างไรก็ตาม นี่อาจจะไม่เพียงพอสำหรับความปลอดภัยของเว็บไซต์บางแห่ง—โดยเฉพาะอย่างยิ่งเว็บไซต์ที่เข้าถึงโดยคนหลายคนหรือใช้ข้อมูลที่สำคัญเช่นบัญชีธนาคารและบัตรเครดิต ในสถานการณ์เหล่านี้ แนะนำให้คุณดำเนินการช่วงเวลาล็อกเอาต์: หลังจากมีการพยายามเข้าสู่ระบบที่ล้มเหลวเกินกว่าสามครั้งในหนึ่งนาที (หรือตามจำนวนที่เหมาะสม) การเข้าถึงเว็บไซต์ของคุณจะถูกบล็อกชั่วคราวจนกว่าบุคลากรจะรีเซ็ตรหัสผ่านหรือปลดล็อกบัญชีจากฝั่งของพวกเขา
7. ตรวจสอบให้แน่ใจว่าไฟล์ ธีม และปลั๊กอินทั้งหมดของคุณได้รับการอัปเดตอย่างถูกต้อง (และหากคุณใช้โปรแกรมที่ล้าสมัย ให้ลบ/แทนที่)
ตรวจสอบให้แน่ใจว่าไฟล์ ธีม และปลั๊กอินทั้งหมดของคุณได้รับการอัปเดตอย่างถูกต้อง (และหากคุณใช้โปรแกรมที่ล้าสมัย ให้ลบ/แทนที่)
อัปเดต WordPress core อย่างสม่ำเสมอ (คุณสามารถตั้งค่าความถี่ในการอัปเดตใน wp-config.php)
หากปลั๊กอินหรือธีมต้องการการอัปเดต ให้อัปเดตมัน!
เปลี่ยนรหัสผ่านของคุณเป็นระยะๆ โดยเฉพาะหากคุณถูกแฮ็กหรือเกิดการละเมิดข้อมูลที่เว็บไซต์อื่นที่คุณใช้รหัสผ่านเดียวกัน
8. เปลี่ยนหน้าเข้าสู่ระบบเว็บไซต์ของคุณ
การเปลี่ยน URL สำหรับเข้าสู่ระบบเว็บไซต์ของคุณเป็นวิธีที่ยอดเยี่ยมในการปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณ
หากคุณไม่แน่ใจว่าจะทำอย่างไร นี่คือขั้นตอนบางประการ:
เปิดไฟล์ wp-config.php และค้นหาบรรทัดที่เขียนว่า “define( ‘WP_HOME’, ‘http://example.com’);” (คัดลอก/วางเพื่อไม่ให้พลาดตัวอักษร)
เปลี่ยน http://example.com เป็น https://example.com และบันทึกไฟล์!
ตรวจสอบให้แน่ใจว่าคุณเปลี่ยนทั้งสองครั้ง “http” เป็น “https” มิฉะนั้น คุณจะเห็นข้อความแสดงข้อผิดพลาดเมื่อเข้าชมเว็บไซต์ของคุณ: ปัญหาประกาศ SSL โปรดตรวจสอบว่า CA cert ใช้งานได้
9. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ
การสำรองข้อมูลเว็บไซต์ของคุณเป็นประจำเป็นสิ่งสำคัญที่สุดที่คุณสามารถทำได้เพื่อรักษาความปลอดภัย เมื่อเว็บไซต์ของคุณถูกสำรองข้อมูล คุณจะสามารถย้อนกลับไปที่ปัญหาที่เกิดขึ้นเมื่อทำการเปลี่ยนแปลงหรือเพิ่มเติมเข้าไป
คุณควรทำการสำรองข้อมูลเว็บไซต์ของคุณให้บ่อยที่สุดเท่าที่จะเป็นไปได้ ความถี่ขึ้นอยู่กับว่ามีการเปลี่ยนแปลงมากน้อยเพียงใดตั้งแต่สำรองข้อมูลครั้งล่าสุด มีการเพิ่มข้อมูลมากน้อยเพียงใด และการเปลี่ยนแปลงเหล่านั้นประสบความสำเร็จหรือไม่ (เช่น อัปโหลดสำเร็จหรือไม่?) หากใช่ การสำรองข้อมูลใหม่อาจไม่จำเป็น; หากไม่สำเร็จ—โดยเฉพาะหากเกิดปัญหาในระหว่างกระบวนการอัปโหลด—อาจจะจำเป็น
10. ตรวจสอบการแทรกโค้ดที่เป็นอันตราย
คุณยังสามารถตรวจสอบการแทรกโค้ดที่เป็นอันตรายโดยการดูไฟล์บนเว็บไซต์ของคุณ หากมีไฟล์ที่ถูกแทรกเข้ามาโดยไม่ควรมีอยู่ คุณจะรู้ เครื่องมือที่เรียกว่า WPSSO เป็นหนึ่งในตัวอย่างของปลั๊กอิน WordPress ที่สามารถช่วยคุณตรวจสอบกิจกรรมแบบนี้
สิ่งอื่นๆ ที่ควรระวังรวมถึงกิจกรรมที่น่าสงสัยและ URL ที่น่าสงสัย, ที่อยู่อีเมลที่น่าสงสัย, ที่อยู่ IP ที่น่าสงสัย, ตัวแทนผู้ใช้ที่น่าสงสัย (ซอฟต์แวร์ที่ใช้งานโดยผู้เข้าชม), และผู้แนะนำ (เว็บไซต์ที่ผู้เข้าชมมาจาก)
บทสรุป
เราหวังว่าคำแนะนำเหล่านี้จะช่วยให้คุณยกระดับความปลอดภัยของเว็บไซต์ของคุณ หากคุณยังไม่แน่ใจว่าจะรักษาความปลอดภัย WordPress ของคุณอย่างไร เราขอแนะนำให้ติดต่อผู้เชี่ยวชาญเพื่อขอความช่วยเหลือ
และหากคุณมีคำถามหรือ ต้องการทีมมืออาชีพในการออกแบบและพัฒนาเว็บไซต์ WordPress ของคุณ กรุณา ติดต่อเรา!
เรามาติดต่อกันเถอะ
ติดตาม Asia Media Studio เพื่อรับข้อมูลเชิงลึกเกี่ยวกับการออกแบบและการอัปเดตบน Facebook, Instagram และ LinkedIn.
