ความปลอดภัยของ WordPress – 24 เคล็ดลับในการรักษาความปลอดภัยเว็บไซต์ของคุณจากแฮกเกอร์

ความปลอดภัยของ WordPress ควรเป็นอันดับแรกเมื่อจัดการเว็บไซต์ คุณออกแบบเว็บไซต์ เผยแพร่เนื้อหา ขายสินค้าออนไลน์ แต่ถ้าคุณไม่ให้ความสำคัญกับความปลอดภัยของ WordPress อย่างจริงจัง เว็บไซต์ของคุณอาจถูกแฮ็กได้ทุกเมื่อ

ทุกๆ วัน 30,000 เว็บไซต์ถูกแฮ็ก และมากกว่า 2,000 เว็บไซต์ถูกขึ้นบัญชีดำโดย Google คุณไม่ใช่ข้อยกเว้น หากเว็บไซต์ของรัฐบาลสามารถถูกแฮ็กได้ ทำไมไม่เป็นของคุณล่ะ

เช้าวันหนึ่ง คุณตื่นขึ้นมาและพบว่าไซต์ WordPress ของคุณไม่สามารถเข้าถึงได้และเห็นข้อความสุ่มเช่น

“ เว็บไซต์ของคุณถูกแฮ็กโดย xyz ” – ไซต์ถูกแฮ็ก

“ ไซต์ข้างหน้ามีมัลแวร์ ” – ขึ้นบัญชีดำโดย Google

นี่คือสิ่งที่แย่ที่สุดที่คุณจะต้องเผชิญกับเว็บไซต์ของคุณ

แต่ทำไม WordPress?

WordPress มีอำนาจมากกว่า 31% (80 ล้าน) ของเว็บไซต์ทั้งหมดบนเว็บ จากข้อมูลของ W3Techs นั้น WordPress มีส่วนแบ่งการตลาดของ CMS ถึง 60% มากกว่าแพลตฟอร์มอื่นๆ ซึ่งเป็นเหตุผลที่ค่อนข้างแข็งแกร่งในการดึงดูดแฮ็กเกอร์

แต่อย่าตกใจ การรักษาความปลอดภัย WordPress ให้แข็งแกร่งนั้นง่ายมาก และคุณก็สามารถทำได้เช่นกัน

ในบทความนี้ ฉันจะแบ่งปัน 24 เคล็ดลับความปลอดภัย WordPress ที่ดีที่สุดเพื่อปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และมัลแวร์

“ทำไมไม่ทำให้ประตูวังของคุณหายไปก่อนที่พวกเขาจะค้นพบมัน” – WPMyWeb

ปัญหาด้านความปลอดภัยทั่วไปของ WordPress

ก่อนที่เราจะเจาะลึกถึงแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress มาทำความเข้าใจปัญหาด้านความปลอดภัยทั่วไปของ WordPress ก่อน

ผู้ใช้หลายคนเชื่อว่า WordPress ไม่ใช่แพลตฟอร์มที่ปลอดภัยสำหรับธุรกิจ ซึ่งไม่เป็นความจริงเลย นี่เป็นเพราะขาดความรู้เกี่ยวกับความปลอดภัยของ WordPress, การดูแลระบบที่ไม่ดี, การใช้ซอฟต์แวร์และปลั๊กอิน WordPress ที่ล้าสมัย เป็นต้น

ผู้เริ่มต้นใช้งาน WordPress หลายคนคิดว่าการสร้างเว็บไซต์เป็นจุดสิ้นสุด และไม่ต้องการการบำรุงรักษาด้านความปลอดภัยใดๆ นี่คือวิธีที่คุณปล่อยให้ไซต์ของคุณมีช่องโหว่

เมื่อแฮกเกอร์พบว่ามีช่องโหว่ในไซต์ของคุณ พวกเขาสามารถใช้ประโยชน์จากไซต์ของคุณได้อย่างง่ายดาย

มาดูปัญหาด้านความปลอดภัยทั่วไปของ WordPress กัน

1. การโจมตีด้วยกำลังดุร้าย:

ในการโจมตีแบบเดรัจฉาน สคริปต์อัตโนมัติถูกใช้เพื่อสร้างชื่อผู้ใช้และรหัสผ่านที่หลากหลาย แฮ็กเกอร์ใช้หน้าเข้าสู่ระบบของ WordPress เพื่อเรียกใช้การโจมตีแบบเดรัจฉาน

หากคุณใช้ชื่อผู้ใช้และรหัสผ่านอย่างง่าย คุณอาจตกเป็นเหยื่อรายต่อไปของการโจมตีครั้งนี้

2. การเขียนสคริปต์ข้ามไซต์ (XSS):

Cross Site Scripting เป็นการโจมตีประเภทหนึ่งที่ผู้โจมตีใส่โค้ด/สคริปต์ที่เป็นอันตรายลงบนเว็บไซต์ที่เชื่อถือได้ วิธีการแฮ็คนี้ไม่ปรากฏแก่ผู้ใช้ที่กำลังท่องเว็บไซต์โดยสิ้นเชิง

สคริปต์ที่เป็นอันตรายเหล่านี้โหลดโดยไม่ระบุชื่อและขโมยข้อมูลจากเบราว์เซอร์ของผู้ใช้ แม้ว่าผู้ใช้จะป้อนข้อมูลในรูปแบบใดๆ ก็ตาม ข้อมูลอาจถูกขโมยได้

3. การฉีด SQL:

WordPress ใช้ฐานข้อมูล MySQL เพื่อเก็บข้อมูลบล็อก

การฉีด SQL เกิดขึ้นเมื่อแฮกเกอร์เข้าถึงฐานข้อมูล WordPress ด้วยการแฮ็กฐานข้อมูล WordPress แฮกเกอร์สามารถสร้างบัญชีผู้ดูแลระบบใหม่พร้อมการเข้าถึงไซต์ของคุณได้อย่างเต็มที่

พวกเขายังสามารถแทรกข้อมูลลงในฐานข้อมูล MySQL ของคุณและเพิ่มลิงก์ไปยังเว็บไซต์ที่เป็นอันตรายหรือสแปม

4. แบ็คดอร์:

ด้วยชื่อ "ประตูหลัง" คุณสามารถเข้าใจความหมายได้

Backdoor เป็นวิธีการแฮ็กที่ช่วยให้แฮ็กเกอร์สามารถเข้าสู่เว็บไซต์ได้โดยการเลี่ยงผ่านกระบวนการตรวจสอบสิทธิ์ปกติและแม้กระทั่งไม่ถูกตรวจจับจากเจ้าของเว็บไซต์

หลังจากแฮ็คเว็บไซต์แล้ว แฮ็กเกอร์มักจะทิ้งรอยเท้าไว้ เพื่อให้สามารถเข้าถึงเว็บไซต์ได้อีกครั้งแม้แฮ็คจะถูกลบออก

5. Pharma Hacks:

WordPress Pharma hacks เป็นสแปมเว็บไซต์ชนิดหนึ่งที่เติมผลลัพธ์ของเครื่องมือค้นหาด้วยเนื้อหาร้านขายยาที่เป็นสแปมซึ่งถูกแบนบนเว็บเช่น Viagra, Nexium, Cialis เป็นต้น

แตกต่างจากการแฮ็ก WordPress อื่น ๆ ผลลัพธ์ของการแฮ็กยาจะปรากฏเฉพาะกับเครื่องมือค้นหาเท่านั้น ดังนั้นคุณจึงไม่สามารถมองเห็นการแฮ็กได้เพียงแค่ดูเว็บไซต์หรือซอร์สโค้ดของคุณ

ไปที่ Google แล้วพิมพ์ site:domain.com หากผลการค้นหาแสดงเนื้อหาเว็บไซต์ของคุณ (ไม่ใช่เนื้อหาร้านขายยา) แสดงว่าเว็บไซต์ของคุณไม่ได้รับผลกระทบจากการแฮ็กยา

เป้าหมายของการแฮ็กนี้คือการใช้ประโยชน์จากหน้าที่มีค่าที่สุดของคุณโดยแทนที่แท็กชื่อด้วยลิงก์ที่เป็นอันตราย ไม่ต้องพูดถึง หากคุณไม่ตรวจสอบเรื่องนี้ตั้งแต่เนิ่นๆ เครื่องมือค้นหาเช่น Google Bing สามารถขึ้นบัญชีดำเว็บไซต์ของคุณเนื่องจากนำเสนอเนื้อหาที่เป็นอันตราย

6. การเปลี่ยนเส้นทางที่เป็นอันตราย:

WordPress เปลี่ยนเส้นทางที่เป็นอันตรายคือแฮ็คชนิดหนึ่งที่ผู้เยี่ยมชมเว็บไซต์ของคุณจะถูกเปลี่ยนเส้นทางโดยอัตโนมัติไปยังเว็บไซต์ที่เป็นสแปม เช่น การพนัน, หนังโป๊, เว็บไซต์หาคู่ การแฮ็กนี้เกิดขึ้นเมื่อโค้ดที่เป็นอันตรายถูกแทรกลงในไฟล์หรือฐานข้อมูลของเว็บไซต์ของคุณ

หากไซต์ของคุณเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่ผิดกฎหมายหรือเป็นอันตราย ไซต์ของคุณอาจถูกขึ้นบัญชีดำโดย Google

เหตุใดความปลอดภัยของ WordPress จึงมีความสำคัญ

เว็บไซต์ของคุณเป็นตัวแทนของแบรนด์ ธุรกิจของคุณ และที่สำคัญที่สุดคือการติดต่อครั้งแรกกับลูกค้าของคุณ

คุณอาจต้องใช้เวลาหลายปีในความพยายามอย่างมากในการยืนหยัดในธุรกิจและเพิ่มการเข้าชมของคุณ ผู้ชมของคุณชอบบทความของคุณและไว้วางใจผลิตภัณฑ์ของคุณ นั่นเป็นสาเหตุที่ทำให้พวกเขาติดต่อกับคุณอยู่เสมอ

หากไซต์ WordPress ของคุณไม่ปลอดภัย มีหลายวิธีที่ทั้งไซต์ของคุณและลูกค้าของคุณจะได้รับผลกระทบ แฮกเกอร์สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้ รหัสผ่าน รายละเอียดบัตรเครดิต ข้อมูลธุรกรรม และสามารถเผยแพร่มัลแวร์ไปยังผู้ใช้ของคุณได้

หากไซต์ของคุณถูกแฮ็ก คุณจะสังเกตเห็นว่าการเข้าชมของคุณลดลงอย่างมาก นอกจากนี้ Google จะขึ้นบัญชีดำเว็บไซต์ของคุณ

ตามบล็อกของ Google จำนวนเว็บไซต์ที่ถูกแฮ็กเพิ่มขึ้นประมาณ 20% ในปี 2559 เมื่อเทียบกับปี 2558

ในการศึกษาหนึ่ง Securi รายงานว่า Google ขึ้นบัญชีดำเว็บไซต์มากกว่า 10,000 แห่งทุกวัน

หากคุณจริงจังกับธุรกิจของคุณ คุณต้องให้ความสำคัญกับความปลอดภัยของ WordPress เป็นพิเศษ

คู่มือความปลอดภัย WordPress ที่ดีที่สุด

1. รับโฮสติ้ง WordPress ที่ดี
2. อัปเดตเวอร์ชัน WordPress อยู่เสมอ
3. อย่าใช้ธีมหรือปลั๊กอินที่เป็นโมฆะ/แคร็กใดๆ
4. ใช้รหัสผ่านที่รัดกุม
5. เพิ่ม (2FA) การตรวจสอบสิทธิ์สองปัจจัย
6. เปลี่ยน URL เข้าสู่ระบบ WordPress
7. จำกัดความพยายามในการเข้าสู่ระบบ
8. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ
9. ใช้ปลั๊กอินความปลอดภัย WordPress
10. ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ
11. เพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress
12. เปลี่ยนชื่อผู้ใช้ "admin" เริ่มต้น
13. กำหนดผู้ใช้ให้มีบทบาทต่ำสุดที่เป็นไปได้
14. ตรวจสอบการเปลี่ยนแปลงไฟล์และกิจกรรมของผู้ใช้
15. ติดตั้งใบรับรอง SSL
16. ลบธีมและปลั๊กอินที่ไม่ได้ใช้
17. ปิดการแก้ไขไฟล์ในแดชบอร์ด WordPress
18. รหัสผ่านป้องกันหน้าเข้าสู่ระบบ WordPress
19. ปิดใช้งานการเรียกดูไดเรกทอรี
20. ลบหมายเลขเวอร์ชัน WordPress ของคุณ
21. เปลี่ยนคำนำหน้าตารางฐานข้อมูล WordPress
22. ใช้เฉพาะธีมและปลั๊กอินของ WordPress ที่เชื่อถือได้เท่านั้น
23. ปิดใช้งานการรายงานข้อผิดพลาด PHP
24. เพิ่ม HTTP Secure Headers ไปยัง WordPress

พร้อม? เริ่มกันเลย.

1. รับโฮสติ้ง WordPress ที่ดี

โฮสติ้ง WordPress มีบทบาทสำคัญในการปรับปรุงความปลอดภัยของ WordPress

คุณกำลังชำระค่าบริการโฮสติ้งและเว็บไซต์ของคุณอยู่ภายใต้การควบคุมของพวกเขา ดังนั้นคุณควรระมัดระวังก่อนที่จะเลือกโฮสติ้ง WordPress ที่ดีสำหรับเว็บไซต์ของคุณ

โฮสติ้งที่ใช้ร่วมกัน เช่น A2Hosting, Bluehost เป็นต้น เป็นตัวเลือกโฮสติ้งที่ดีที่สุดในการเรียกใช้บล็อกที่มีปริมาณการใช้งานน้อย แต่ในโฮสติ้งที่ใช้ร่วมกันจะมีโอกาสเกิดการปนเปื้อนข้ามไซต์ได้เสมอ

การปนเปื้อนข้ามไซต์เกิดขึ้นเมื่อแฮ็กเกอร์สามารถเข้าถึงเว็บเซิร์ฟเวอร์ผ่านเว็บไซต์ที่มีช่องโหว่ จากนั้นจึงใช้ประโยชน์จากเว็บไซต์อื่นๆ ทั้งหมดบนเว็บเซิร์ฟเวอร์เดียวกัน

เราขอแนะนำให้ใช้ผู้ให้บริการโฮสติ้ง WordPress ที่มีการจัดการ บริษัทโฮสติ้ง WordPress ภายใต้การจัดการมีตัวเลือกการรักษาความปลอดภัยหลายชั้นสำหรับเว็บไซต์ แพลตฟอร์มโฮสติ้งของพวกเขามีความปลอดภัยสูงและให้บริการสแกนมัลแวร์ทุกวันและป้องกันการโจมตีจากภายนอก หากพบมัลแวร์บนเซิร์ฟเวอร์ พวกเขาจะรับผิดชอบและลบออกทันที

พวกเขายังมีการสำรองข้อมูลรายวัน ใบรับรอง SSL ฟรี การสนับสนุนโดยผู้เชี่ยวชาญ 24 × 7

เราขอแนะนำบริษัทโฮสติ้ง WordPress ที่จัดการโดย WPEngine พวกเขามีชั้นความปลอดภัยหลายชั้นเพื่อปกป้องไซต์ WordPress ของคุณ ด้วยแผนของพวกเขา คุณจะได้รับการสำรองข้อมูลรายวัน, SSL ฟรี, CDN ทั่วโลก และการสนับสนุนจากผู้เชี่ยวชาญตลอด 24 ชั่วโมงทุกวัน

เยี่ยมชม WPEngine [เพิ่มรหัสส่วนลดในลิงค์นี้]

กลับไปด้านบน

2. อัปเดตเวอร์ชัน WordPress อยู่เสมอ

การทำให้ไซต์ WordPress ของคุณทันสมัยอยู่เสมอเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีในการรักษาความปลอดภัยให้กับ WordPress ของคุณ การอัปเดตนี้รวมถึงเวอร์ชัน WordPress ปลั๊กอิน และธีม

ในการศึกษาเมื่อเร็วๆ นี้ Securi วิเคราะห์ว่า 56% ของเว็บไซต์ที่ติดไวรัส WordPress ทั้งหมดยังคงเป็นเวอร์ชันล่าสุด หากคุณเป็นหนึ่งในนั้น คุณจะตกอยู่ในอันตราย

ช่องโหว่ใหม่ ๆ ทุกวันถูกค้นพบและไม่มีทางที่จะหยุดพวกเขาได้ ซอฟต์แวร์และปลั๊กอินที่ล้าสมัยอาจมีช่องโหว่ที่แฮ็กเกอร์สามารถใช้เพื่อใช้ประโยชน์จากไซต์ได้

ในการอัปเดตทุกครั้ง นักพัฒนาจะรวมคุณสมบัติใหม่ ปรับปรุงช่องโหว่ด้านความปลอดภัย แก้ไขข้อบกพร่อง ฯลฯ เช่นเดียวกับซอฟต์แวร์ WordPress คุณยังต้องอัปเดตธีมและปลั๊กอิน WordPress ของคุณด้วย

สิ่งที่ดีคือ WordPress จะเปิดตัวการอัปเดตโดยอัตโนมัติและแจ้งให้ผู้ใช้ทราบ

การอัปเดตเวอร์ชัน ปลั๊กอิน และธีมของ WordPress ทำได้ง่ายมาก และคุณสามารถทำได้ผ่านแดชบอร์ดผู้ดูแลระบบ WordPress

จะอัพเดท WordPress, Plugins และ Themes ได้อย่างไร?

เข้าสู่ระบบแดชบอร์ด WordPress ของคุณก่อน แล้วไปที่ Dashboard> Updates คุณสามารถดูได้ว่ามีการอัพเดทใหม่หรือไม่

หมายเหตุ: ก่อนอัปเดตเวอร์ชัน WordPress ให้สำรองข้อมูลไฟล์และฐานข้อมูลของคุณอย่างครบถ้วน ในกรณีที่เกิดข้อผิดพลาด คุณสามารถคืนค่าไซต์ของคุณเป็นเวอร์ชันก่อนหน้าได้อย่างง่ายดาย คุณสามารถสำรองและกู้คืนไซต์ของคุณได้อย่างง่ายดายโดยใช้ BlogVault ด้วยการคลิกเพียงครั้งเดียว

จากหน้า คุณจะเห็น “มี WordPress เวอร์ชันที่อัปเดตแล้ว” คลิกที่ปุ่ม Update Now เพื่ออัปเดตเวอร์ชัน WordPress ของคุณ ขั้นตอนนี้อาจใช้เวลาสักครู่

เมื่อการอัปเดตเสร็จสิ้น ให้เลื่อนลงด้านล่างเพื่ออัปเดตปลั๊กอิน WordPress ของคุณ เราขอแนะนำให้คุณอัปเดตปลั๊กอินทีละรายการ ขั้นแรก เลือกปลั๊กอินและคลิก อัปเดตปลั๊กอิน

ในทำนองเดียวกัน อัปเดตธีมของคุณด้านล่าง

อย่างไรก็ตาม กระบวนการอัปเดตค่อนข้างยุ่งยากสำหรับผู้ใช้บางคน โดยเฉพาะอย่างยิ่งผู้ที่ไม่เชี่ยวชาญด้านเทคโนโลยี

ผู้ให้บริการโฮสติ้ง WordPress ที่มีการจัดการบางรายเช่น SiteGround, Kinsta, FlyWheel มีคุณสมบัติ อัปเดตอัตโนมัติ ดังนั้น หากคุณอยู่ในตารางงานที่ยุ่งหรือขี้เกียจที่จะอัปเดต สิ่งนี้อาจมีประโยชน์

อ่านเพิ่มเติม วิธีอัปเดตเวอร์ชัน WordPress ปลั๊กอินและธีมด้วยตนเอง

กลับไปด้านบน

3. อย่าใช้ธีมและปลั๊กอินที่เป็นโมฆะ/แคร็กและปลั๊กอิน

ไม่น่าแปลกใจเลยที่ปลั๊กอินและธีมระดับพรีเมียมมีฟังก์ชันการทำงานที่มากกว่าและดูเป็นมืออาชีพ แต่ไม่มีผลิตภัณฑ์พรีเมียมใดที่แจกฟรี มันมาพร้อมกับราคาและหลังจากซื้อผลิตภัณฑ์พรีเมี่ยมใด ๆ ผู้ใช้จำเป็นต้องป้อนรหัสผลิตภัณฑ์เพื่อเปิดใช้งานผลิตภัณฑ์

แต่มีเว็บไซต์ประสงค์ร้ายมากมายที่ให้บริการธีมและปลั๊กอินระดับพรีเมียมฟรี ธีมและปลั๊กอินที่แคร็กเหล่านั้นไม่จำเป็นต้องใช้รหัสซีเรียลเพื่อเปิดใช้งานและไม่เคยได้รับการอัปเดต

นี่คือสิ่งที่ฉันหมายถึง:

ธีมและปลั๊กอินที่เป็นโมฆะเหล่านั้นเป็นอันตรายต่อไซต์ของคุณมาก แฮ็กเกอร์แทรกโค้ดที่เป็นอันตรายเข้าไปเป็นพิเศษและสร้างแบ็คดอร์ไปยังไซต์ของคุณ เพื่อให้สามารถเข้าถึงเว็บไซต์ของคุณได้อย่างง่ายดายและแฮ็คเว็บไซต์ของคุณรวมถึงฐานข้อมูล

ดังนั้นอย่าใช้ธีมและปลั๊กอิน WordPress ที่ไม่มีช่องโหว่หรือแตก

เราขอแนะนำให้คุณดาวน์โหลดเฉพาะธีมหรือปลั๊กอินฟรีจาก WordPress.org เท่านั้น

เราเข้าใจดีว่าธีมหรือปลั๊กอินฟรีมีฟังก์ชันที่จำกัดมาก แต่ธีมหรือปลั๊กอินฟรีเหล่านั้นปลอดภัยต่อการใช้งานและได้รับการอัปเดตเป็นประจำ

อ่านยัง 7 ธีมบล็อกพรีเมี่ยมที่ดีที่สุดสำหรับ WordPress

กลับไปด้านบน

4. ใช้รหัสผ่านที่รัดกุม

รหัสผ่านเป็นคีย์หลักในการเข้าถึงไซต์ WordPress ของคุณ ถ้ามันง่ายและสั้น แฮกเกอร์ก็สามารถถอดรหัสรหัสผ่านของคุณได้อย่างง่ายดาย กว่า 80% ของการละเมิดที่เกี่ยวข้องกับการแฮ็กเกิดขึ้นเนื่องจากรหัสผ่านที่ไม่รัดกุมหรือรหัสผ่านที่ถูกขโมย

ในการศึกษาล่าสุด SplashData เปิดเผย 100 รหัสผ่านที่เลวร้ายที่สุดในปี 2017

นี่คือบางส่วนของพวกเขา:

1. 123456
2. รหัสผ่าน
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. ให้ฉันเข้าไป
8. 1234567
9. ฟุตบอล
10. ผมรักคุณ
11. ผู้ดูแลระบบ
12. ยินดีต้อนรับ
13. ลิง (lol)

หากรหัสผ่านของคุณง่ายเหมือนด้านบน ให้เปลี่ยนทันที รหัสผ่านที่รัดกุมที่ดีควรมีอย่างน้อย 10 หลักและประกอบด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษ

คุณสามารถใช้เครื่องมือสร้างรหัสผ่านออนไลน์เพื่อสร้างรหัสผ่านที่ปลอดภัยนับพันรายการได้ทันที

คุณจำเป็นต้องบันทึกรหัสผ่านลงในคอมพิวเตอร์ของคุณด้วย

เพื่อให้ง่ายขึ้น คุณสามารถใช้ซอฟต์แวร์จัดการรหัสผ่านเพื่อจัดการรหัสผ่านทั้งหมดของคุณ เช่น LastPass, Dashlane เป็นต้น

บังคับใช้รหัสผ่านที่รัดกุมกับผู้ใช้

ตามค่าเริ่มต้น WordPress ไม่ได้มาพร้อมกับฟังก์ชันที่ป้องกันไม่ให้ผู้ใช้ป้อนรหัสผ่านที่ไม่รัดกุม ส่วนใหญ่ผู้ใช้ตั้งรหัสผ่านที่ไม่รัดกุมสำหรับบัญชีของตนและแทบจะไม่เปลี่ยนเลย

หากคุณกำลังใช้งานบล็อก WordPress ที่มีผู้ใช้หลายคน คุณควรบังคับให้ผู้ใช้ใช้รหัสผ่านที่รัดกุม

เพื่อให้กระบวนการนี้ง่ายขึ้น คุณสามารถใช้ปลั๊กอินได้ ติดตั้งและเปิดใช้งานปลั๊กอิน Force Strong Passwords เท่านี้ก็เรียบร้อย วิธีนี้จะป้องกันไม่ให้ผู้ใช้และผู้ดูแลระบบป้อนรหัสผ่านที่ไม่รัดกุม

กลับไปด้านบน

5. เพิ่มการตรวจสอบสิทธิ์สองปัจจัย (2FA)

อีกวิธีง่ายๆ ในการรักษาความปลอดภัย WordPress ของคุณคือการเพิ่มการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ในหน้าเข้าสู่ระบบ WordPress ของคุณ โดยทั่วไป การรับรองความถูกต้องด้วยสองปัจจัยหรือการยืนยันสองขั้นตอนเป็นกระบวนการรักษาความปลอดภัยที่ต้องใช้สองวิธีในการยืนยันตัวตนของคุณ

โดยค่าเริ่มต้น เรามักจะป้อนชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่เว็บไซต์ การเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยจะทำให้คุณต้องมีกระบวนการตรวจสอบเพิ่มเติม เช่น แอปสมาร์ทโฟนเพื่ออนุมัติกระบวนการตรวจสอบสิทธิ์

ดังนั้น หากมีใครรู้ชื่อผู้ใช้และรหัสผ่านของคุณ พวกเขาจะต้องใช้สมาร์ทโฟนของคุณเพื่อรับรหัสยืนยันสำหรับการเข้าสู่ไซต์ของคุณ

ด้วยการเพิ่มการรับรองความถูกต้องด้วยสองปัจจัย คุณไม่เพียงแต่รักษาความปลอดภัยหน้าเข้าสู่ระบบ WordPress ของคุณ แต่ยังป้องกันการโจมตีแบบเดรัจฉานด้วย

คุณสามารถเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยได้อย่างง่ายดายโดยใช้ปลั๊กอิน WordPress ตัวตรวจสอบสิทธิ์สองปัจจัยของ Google

เมื่อเปิดใช้งานแล้ว ให้ไปที่ ผู้ใช้> โปรไฟล์ผู้ใช้ และเปิดใช้งานปลั๊กอิน

จากนั้นดาวน์โหลดแอป Google Authenticator จากโทรศัพท์ของคุณและสแกน บาร์โค้ด หรือป้อน รหัสลับ (ดูภาพหน้าจอด้านบน) จากไซต์ของคุณเพื่อเพิ่มเว็บไซต์ของคุณ

เมื่อเพิ่มแล้ว ให้ออกจากระบบเว็บไซต์ของคุณ ในหน้าเข้าสู่ระบบ คุณจะเห็นช่องเพิ่มเติมที่คุณต้องป้อนรหัสยืนยันจากแอปมือถือ Google Authenticator

สำหรับคำแนะนำโดยละเอียด โปรดดูคำแนะนำเกี่ยวกับวิธีเพิ่มการตรวจสอบสิทธิ์สองปัจจัยของ Google ในหน้าเข้าสู่ระบบ WordPress

กลับไปด้านบน

6. เปลี่ยน URL หน้าเข้าสู่ระบบ WordPress

ตามค่าเริ่มต้น ทุกคนสามารถเข้าถึงหน้าเข้าสู่ระบบของคุณโดยเพียงแค่เพิ่ม “wp-admin” หรือ “wp-login.php” ต่อท้ายชื่อโดเมนของคุณ เช่น: “domain.com/wp-admin” หรือ “domain.com/ wp-login.php” .

คาดเดาอะไร! แฮกเกอร์สามารถเรียกใช้การโจมตีแบบเดรัจฉานโดยใช้หน้าเข้าสู่ระบบของคุณ หากคุณใช้รหัสผ่านที่ง่ายมาก แฮกเกอร์สามารถถอดรหัสรหัสผ่านของคุณและเข้าสู่เว็บไซต์ของคุณได้อย่างง่ายดาย

แต่ถ้าพวกเขาไม่รู้ว่าจะโจมตีที่ไหน ใช่ คุณเดาถูกแล้ว

หากคุณซ่อนหรือเปลี่ยนชื่อ URL ของหน้าเข้าสู่ระบบ แฮกเกอร์จะไม่สามารถเรียกใช้การโจมตีแบบเดรัจฉานได้

ใน WordPress คุณสามารถซ่อนหรือเปลี่ยนชื่อหน้าเข้าสู่ระบบของคุณได้อย่างง่ายดายโดยใช้ปลั๊กอิน จากแกลเลอรีปลั๊กอิน WordPress ให้ติดตั้งและเปิดใช้งานปลั๊กอินซ่อน WPS Hide Login

เมื่อเปิดใช้งานแล้ว ให้ไปที่ การตั้งค่า> ทั่วไป และที่ด้านล่าง คุณจะพบ ตัวเลือก ซ่อน WP ซ่อนการเข้าสู่ระบบ

เพียงเปลี่ยน URL การเข้า สู่ระบบ “เข้าสู่ระบบ” เป็นอย่างอื่นที่เดายาก แล้วคลิก บันทึกการเปลี่ยนแปลง

เมื่อเสร็จแล้ว บุ๊กมาร์กหน้าเข้าสู่ระบบใหม่ และคุณทำเสร็จแล้ว

กลับไปด้านบน

7. จำกัดความพยายามในการเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress ไม่ได้จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบผ่านแบบฟอร์มการเข้าสู่ระบบ นั่นหมายความว่าใครก็ตามที่รู้ URL ล็อกอินของคุณสามารถลองใช้ฟังก์ชันการเข้าสู่ระบบได้บ่อยเท่าที่ต้องการ วิธีนี้แฮกเกอร์ใช้กำลังดุร้ายเพื่อถอดรหัส "ชื่อผู้ใช้" และ "รหัสผ่าน" ของคุณเพื่อเข้าถึงเว็บไซต์ของคุณ

ด้วยการจำกัดความพยายามในการเข้าสู่ระบบ คุณสามารถเพิ่มความปลอดภัยให้กับ WordPress และปกป้องหน้าเข้าสู่ระบบของคุณจากการโจมตีแบบเดรัจฉาน

คุณสามารถกำหนดจำนวนครั้งสูงสุดในการพยายามเข้าสู่ระบบที่ไม่ถูกต้องซึ่งผู้ใช้สามารถทำได้จากที่อยู่ IP เดียวกัน หากผู้ใช้เกินขีดจำกัด IP ของผู้ใช้จะถูกบล็อกในช่วงเวลาหนึ่ง

เพื่อจำกัดความพยายามในการเข้าสู่ระบบใน WordPress ให้ติดตั้งปลั๊กอินล็อคดาวน์สำหรับเข้าสู่ระบบ เมื่อเปิดใช้งานแล้ว ให้ไปที่ การตั้งค่า> ล็อคอินล็อคดาวน์ เพื่อกำหนดค่าปลั๊กอิน

สำหรับคำแนะนำโดยละเอียด โปรดดูคำแนะนำเกี่ยวกับวิธีจำกัดความพยายามในการเข้าสู่ระบบใน WordPress

กลับไปด้านบน

8. สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ

การสำรองข้อมูลเป็นเหมือน Time Machine หากคุณมี เว็บไซต์ของคุณจะปลอดภัย

อย่างไรก็ตาม การสำรองข้อมูลเว็บไซต์ไม่ได้ป้องกันไซต์ของคุณจากแฮกเกอร์ แต่ช่วยให้คุณกู้คืนไซต์ได้

ตัวอย่างเช่น หากมีสิ่งผิดปกติเกิดขึ้นกับไซต์ของคุณระหว่างการอัปเดตหรือเว็บไซต์ของคุณถูกแฮ็ก คุณจะแก้ไขไซต์ของคุณอีกครั้งได้อย่างไร คุณอาจสูญเสียเว็บไซต์ของคุณ

แต่ถ้าคุณมีข้อมูลสำรองของไซต์ของคุณ คุณสามารถกู้คืนไซต์ของคุณได้อย่างง่ายดายก่อนที่ไซต์จะถูกแฮ็กหรือขัดข้อง

นั่นเป็นเหตุผลที่เราขอแนะนำให้คุณใช้ปลั๊กอินสำรองของ WordPress ที่เชื่อถือได้ อย่างไรก็ตาม บริษัทโฮสติ้งหลายแห่งเสนอการสำรองข้อมูลเว็บไซต์ฟรี แต่สามารถรับประกันความพร้อมใช้งานของไซต์ของคุณได้หากมีความล้มเหลวร้ายแรง ดังนั้นคุณต้องบันทึกข้อมูลสำรองไว้ในตำแหน่งระยะไกลเช่น Google Drive, Amazon S3, Dropbox เป็นต้น

โชคดีที่สามารถทำได้โดยใช้ BlogVault หรือ BackUpBuddy WordPress Backup Plugin ทั้งคู่เสนอการสำรองข้อมูลรายวันและกู้คืนด้วยคลิกเดียว คุณยังสามารถสร้างไซต์การแสดงละครได้โดยไม่มีค่าใช้จ่ายเพิ่มเติม

กลับไปด้านบน

9. ใช้ WordPress Security Plugin

สิ่งต่อไปที่คุณต้องการสำหรับการ รักษาความปลอดภัย WordPress ของคุณคือปลั๊กอินความปลอดภัย มีปลั๊กอินความปลอดภัย WordPress มากมายที่จะล็อคไซต์ของคุณจากแฮกเกอร์และมัลแวร์

ปลั๊กอินความปลอดภัย WordPress จะตรวจจับและกำจัดมัลแวร์หากมีอยู่ในเว็บไซต์ของคุณ นอกจากนี้ ยังตรวจสอบกิจกรรมของผู้ใช้แบบเรียลไทม์ แจ้งให้คุณทราบหากมีสิ่งใด เปลี่ยนแปลง หากปลั๊กอินมีมัลแวร์ บล็อกการรับส่งข้อมูลสแปม และอื่นๆ อีกมากมาย

เราขอแนะนำ Securi WordPress Security Plugin Securi Security นำเสนอคุณลักษณะด้านความปลอดภัยประเภทต่างๆ เช่น การตรวจสอบกิจกรรมด้านความปลอดภัย การตรวจสอบ เว็บไซต์ ไฟร์วอลล์เว็บไซต์ และอื่นๆ อีกมากมาย

สิ่งที่ดีที่สุดเกี่ยวกับ Securi คือหากไซต์ของคุณถูกแฮ็กหรือขึ้นบัญชีดำโดย Google ขณะใช้บริการ พวกเขารับประกันว่าพวกเขาจะแก้ไขไซต์ของคุณ

ผู้เชี่ยวชาญด้านความปลอดภัย WordPress ส่วนใหญ่เรียกเก็บเงินมากกว่า 300 ดอลลาร์เพื่อแก้ไขไซต์ที่ถูกแฮ็ก ในขณะที่คุณจะได้รับบริการรักษาความปลอดภัยทั้งหมดเพียง 199 ดอลลาร์ ต่อปี เป็นการลงทุนที่ดีในการรักษาความปลอดภัยให้กับ WordPress ของคุณ

กลับไปด้านบน

10. ออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ

หากผู้ใช้ไม่ได้ใช้งานหรือไม่ได้ใช้งานเว็บไซต์ของคุณนานเกินไป อาจทำให้เกิดการโจมตีแบบเดรัจฉานได้

เมื่อผู้ใช้ไม่ได้ใช้งานเป็นเวลานานเกินไป แฮกเกอร์อาจใช้คุกกี้หรือวิธีการจี้เซสชันเพื่อเข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาต นั่นเป็นเหตุผลที่เว็บไซต์ที่เกี่ยวข้องกับการศึกษาและการเงินส่วนใหญ่ เช่น เว็บไซต์ธนาคารและเกตเวย์การชำระเงิน ใช้ฟังก์ชันหมดเวลาเซสชันของผู้ใช้ ดังนั้น เมื่อผู้ใช้ออกจากเพจและไม่โต้ตอบหลังจากผ่านไประยะหนึ่ง เว็บไซต์จะออกจากระบบผู้ใช้ที่ไม่ใช้งานโดยอัตโนมัติ

ฟังก์ชันเดียวกับที่คุณสามารถเพิ่มลงในไซต์ WordPress ของคุณเพื่อปรับปรุงความปลอดภัยของ WordPress การเพิ่มผู้ใช้ออกจากระบบโดยอัตโนมัติบน WordPress นั้นง่ายมาก ทั้งหมดที่คุณต้องติดตั้งปลั๊กอิน

ขั้นแรก ดาวน์โหลดและติดตั้งปลั๊กอิน WordPress ที่ไม่ใช้งาน Logout จากนั้นเปิดใช้งานและไปที่การ ตั้งค่า> ออกจากระบบไม่ได้ใช้งาน เพื่อกำหนดค่าปลั๊กอิน

จากการตั้งค่า คุณสามารถเปลี่ยนระยะหมดเวลาที่ไม่ได้ใช้งาน ดังนั้นหลังจากนั้น ผู้ใช้ทั้งหมดในเว็บไซต์ของคุณจะถูกออกจากระบบโดยอัตโนมัติ

คุณยังสามารถเปลี่ยนข้อความการหมดเวลาไม่ได้ใช้งานและแก้ไขการตั้งค่าอื่นๆ ได้ หากจำเป็น

เมื่อเสร็จแล้ว ให้คลิกที่ บันทึกการเปลี่ยนแปลง เพื่อจัดเก็บการตั้งค่า

สำหรับคำแนะนำโดยละเอียด โปรดดูคำแนะนำเกี่ยวกับวิธีออกจากระบบผู้ใช้ที่ไม่ได้ใช้งานใน WordPress . โดยอัตโนมัติ

กลับไปด้านบน

11. เพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress

การเพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress คุณจะไม่เพียงแต่ปกป้องหน้าเข้าสู่ระบบ WordPress ของคุณ แต่ยังเพิ่มความปลอดภัยให้กับ WordPress ด้วย

คำถามเพื่อความปลอดภัยจะเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งเพื่อตรวจสอบตัวตนของคุณในระหว่างการเข้าสู่ระบบ ซึ่งจะมีประโยชน์มากหากคุณใช้งานบล็อก WordPress ที่มีผู้เขียนหลายคน

หากผู้ใช้หรือรหัสผ่านของคุณถูกขโมย คำถามเพื่อความปลอดภัยสามารถช่วยชีวิตได้

เนื่องจากชื่อผู้ใช้และรหัสผ่านสามารถถูกแฮ็กได้ง่าย แต่การเลือกคำถามและคำตอบเพื่อความปลอดภัยที่ถูกต้องนั้นเป็นไปไม่ได้เลย ด้วยวิธีนี้ คุณสามารถบันทึกหน้าเข้าสู่ระบบ WordPress ของคุณจากแฮกเกอร์และการโจมตีแบบเดรัจฉาน

หากต้องการเพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress ให้ติดตั้ง ปลั๊กอิน คำถามความปลอดภัย WP

เมื่อเปิดใช้งานแล้ว ไปที่ WP Security Question > Plugin Settings เพื่อกำหนดค่าปลั๊กอิน

โดยค่าเริ่มต้น ปลั๊กอินจะมีคำถามทั่วไปเพิ่มเข้ามา แต่คุณสามารถเพิ่มหรือลบคำถามเพื่อความปลอดภัยออกจากรายการได้

ที่ด้านล่าง คุณสามารถเปิดใช้งานคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ การลงทะเบียน และหน้าลืมรหัสผ่าน หลังจากกำหนดค่าปลั๊กอินแล้ว อย่าลืมคลิก บันทึกการตั้งค่า

หมายเหตุ: เฉพาะผู้ใช้ใหม่เท่านั้นที่สามารถตั้งคำถามและคำตอบเพื่อความปลอดภัยระหว่างการลงทะเบียน ดังนั้นผู้ใช้ที่ลงทะเบียนจึงต้องตั้งคำถามและคำตอบเพื่อความปลอดภัยของตนเอง คุณยังสามารถตั้งคำถามเพื่อความปลอดภัยและคำตอบสำหรับพวกเขา สามารถทำได้จากหน้า โปรไฟล์ผู้ใช้

สำหรับคำแนะนำโดยละเอียด โปรดดูคำแนะนำเกี่ยวกับวิธีเพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress

กลับไปด้านบน

12. เปลี่ยนชื่อผู้ใช้ "ผู้ดูแลระบบ" เริ่มต้น

หลังจากติดตั้ง WordPress คุณสามารถเปลี่ยนรหัสผ่านได้หลายครั้งตามต้องการ แต่คุณสามารถเปลี่ยนชื่อผู้ใช้ของคุณเมื่อตั้งค่าแล้วได้หรือไม่ ไม่มีสิทธิ์?

ตามค่าเริ่มต้น WordPress ไม่อนุญาตให้ผู้ใช้เปลี่ยนชื่อผู้ใช้ แต่ทำไมคุณควรเปลี่ยนมัน?

หากคุณกำลังใช้ชื่อผู้ใช้ทั่วไป เช่น “admin” แฮกเกอร์สามารถเรียกใช้การแนบกำลังเดรัจฉานด้วยความช่วยเหลือจากชื่อผู้ใช้ของคุณ

แต่อย่าตกใจ มีหลายวิธีที่คุณสามารถเปลี่ยน WordPress ของคุณได้อย่างง่ายดาย

อย่างไรก็ตาม เพื่อให้กระบวนการนี้ง่ายขึ้น เราจะใช้ปลั๊กอิน ขั้นแรก ดาวน์โหลดและติดตั้ง ปลั๊กอินเปลี่ยนชื่อผู้ใช้ จากนั้นไปที่ ผู้ใช้> โปรไฟล์ของคุณ และค้นหาตัวเลือกชื่อผู้ใช้ คุณจะพบตัวเลือก " เปลี่ยนชื่อผู้ใช้ "

คลิกที่ปุ่ม เปลี่ยนชื่อผู้ใช้ และป้อนชื่อผู้ใช้ใหม่ของคุณ เมื่อเสร็จแล้ว ให้คลิกที่ อัปเดตโปรไฟล์

หากคุณต้องการเปลี่ยนชื่อผู้ใช้ด้วยตนเอง (ไม่มีปลั๊กอิน) ให้อ่านบทความ 3 วิธีในการเปลี่ยนชื่อผู้ใช้ WordPress

กลับไปด้านบน

13. กำหนดผู้ใช้ให้มีบทบาทต่ำสุดที่เป็นไปได้

หากคุณกำลังใช้งานไซต์ WordPress ที่มีผู้เขียนหลายคน คุณต้องระวังก่อนที่จะมอบหมายบทบาทให้กับผู้ใช้

หลายครั้งที่เจ้าของไซต์ WordPress มอบหมายบทบาทผู้ใช้ที่สูงขึ้นให้กับผู้ใช้ใหม่ ด้วยวิธีนี้คุณจะให้สิทธิ์ทั้งหมดแก่ผู้ใช้ และด้วยเหตุนี้ ผู้ใช้จึงสามารถทำงานอะไรก็ได้ตามต้องการ

ตัวอย่างเช่น หากคุณไม่ทราบว่าบทบาทของผู้ใช้ Editor สามารถทำอะไรได้บ้าง และคุณกำหนดบทบาทให้กับผู้ใช้ทั่วไป ผู้ใช้สามารถลบโพสต์ทั้งหมดของคุณ แก้ไขลิงก์ สร้างโพสต์ที่เป็นสแปม เพิ่มลิงก์ที่เป็นอันตรายในบล็อกของคุณ โพสต์ นี่คือวิธีที่ผู้ใช้สามารถทำลายเว็บไซต์ของคุณได้อย่างง่ายดาย

ตามค่าเริ่มต้น WordPress มาพร้อมกับ 5 บทบาทผู้ใช้ที่แตกต่างกัน

• ผู้ดูแลระบบ
• บรรณาธิการ
• ผู้เขียน
• ผู้ร่วมให้ข้อมูล
• สมาชิก

1. ผู้ดูแลระบบ: ผู้ดูแลระบบเป็นบทบาทผู้ใช้ที่ทรงพลังที่สุดในไซต์ WordPress พวกเขาสามารถสร้าง แก้ไข และลบบัญชีผู้ใช้ สามารถทำงานใด ๆ ก็ได้ทั่วทั้งแผงการดูแลระบบ WordPress ควบคุมพื้นที่เนื้อหาทั้งหมด และกลั่นกรองความคิดเห็น
2. ผู้ แก้ไข: ผู้ใช้ที่มีบทบาทผู้แก้ไขจะควบคุมเนื้อหาทั้งหมดได้อย่างสมบูรณ์ พวกเขาสามารถสร้าง แก้ไข และลบโพสต์ใดๆ รวมถึงโพสต์ที่สร้างโดยผู้ใช้รายอื่น พวกเขายังสามารถกลั่นกรองความคิดเห็นและแก้ไขลิงก์ได้
3. ผู้แต่ง: ผู้เขียนสามารถเผยแพร่ แก้ไข หรือลบโพสต์ของตนเองเท่านั้น พวกเขาสามารถอัปโหลดไฟล์สื่อเพื่อใช้ในโพสต์ของพวกเขา พวกเขาสามารถดูความคิดเห็นแต่ไม่สามารถอนุมัติหรือลบความคิดเห็นใดๆ
4. Contributor: ผู้ใช้ที่มีบทบาท Contributor สามารถเขียน แก้ไข หรือลบโพสต์ที่ไม่ได้เผยแพร่ของตนเองได้เท่านั้น แต่ไม่สามารถเผยแพร่โพสต์ของตนเองได้
5. สมาชิก: สมาชิกสามารถแก้ไขข้อมูลบัญชีรวมถึงรหัสผ่านเท่านั้น แต่ไม่สามารถเข้าถึงเนื้อหาหรือการตั้งค่าไซต์ได้ พวกเขามีความสามารถต่ำสุดในไซต์ WordPress

ด้วยการทำความเข้าใจบทบาทของผู้ใช้ WordPress คุณสามารถจัดการได้อย่างง่ายดายโดยไม่มีความเสี่ยง

เราขอแนะนำให้คุณตั้งค่าบทบาทเริ่มต้นของผู้ใช้ใหม่เป็นผู้สมัครสมาชิก ไปที่ การตั้งค่า> การตั้งค่าทั่วไป และจากชุด บทบาทเริ่มต้นของผู้ใช้ใหม่ – ผู้สมัครสมาชิก และคลิกที่ บันทึกการเปลี่ยนแปลง

สำหรับรายละเอียดเพิ่มเติม โปรดอ่าน คู่มือเริ่มต้นสำหรับบทบาทและความสามารถของผู้ใช้ WordPress

กลับไปด้านบน

14. ตรวจสอบการเปลี่ยนแปลงไฟล์และกิจกรรมของผู้ใช้

อีกวิธีที่ชาญฉลาดในการรักษาความปลอดภัยให้กับ WordPress คือการตรวจสอบกิจกรรมของผู้ใช้และการเปลี่ยนแปลงไฟล์

หากคุณกำลังใช้งานไซต์ WordPress ที่มีผู้ใช้หลายคน คุณควรติดตามพฤติกรรมของผู้ใช้เพื่อให้เข้าใจถึงกิจกรรมของพวกเขาในไซต์ WordPress ของคุณได้ดีขึ้น

ใครจะไปรู้ ว่าผู้ใช้กำลังทำงานที่น่าสงสัยหรือพยายามแฮ็คเว็บไซต์ของคุณหรือไม่? คุณรู้ได้อย่างไรว่า?

วิธีเดียวที่จะติดตามกิจกรรมของผู้ใช้และการเปลี่ยนแปลงไฟล์ คือ การใช้ปลั๊กอิน WordPress กิจกรรมของผู้ใช้ ด้วยการใช้ปลั๊กอินกิจกรรมผู้ใช้ใน WordPress คุณสามารถ:

• ดูว่าใครเข้าสู่ระบบและกำลังทำอะไรในแบบเรียลไทม์
• เมื่อผู้ใช้เข้าสู่ระบบและออกจากระบบ
• กี่ครั้งที่ผู้ใช้พยายามเข้าสู่ระบบแต่ล้มเหลว

นอกจากนี้ หากผู้แก้ไขทำการเปลี่ยนแปลงใดๆ ในโพสต์หรือเพจโดยไม่ได้รับอนุญาตจากคุณ คุณสามารถค้นหาและเปลี่ยนกลับได้อย่างง่ายดาย ข้อดีของปลั๊กอินกิจกรรมของผู้ใช้คือ ปลั๊กอินจะส่งการแจ้งเตือนทางอีเมลถึงคุณทันทีหากมีสิ่งผิดปกติเกิดขึ้น

บันทึกการตรวจสอบความปลอดภัย WP เป็นปลั๊กอินที่ดีที่สุดในการติดตามกิจกรรมของผู้ใช้และการเปลี่ยนแปลงไฟล์แบบเรียลไทม์ นี่คือภาพหน้าจอด้านล่างวิธีการทำงานของปลั๊กอิน

อ่านยัง 5 ปลั๊กอินที่ดีที่สุดในการตรวจสอบกิจกรรมของผู้ใช้ใน WordPress (ปลั๊กอินสำรอง)

กลับไปด้านบน

15. ใช้ SSL และ HTTPS

ไม่สามารถปรับปรุง ความปลอดภัยของ WordPress ได้หากไม่มีใบรับรอง SSL SSL (Secure Socket Layer) เป็นแกนหลักของความปลอดภัยของเว็บไซต์

SSL เป็นเทคโนโลยีความปลอดภัยมาตรฐานที่สร้างลิงก์ที่เข้ารหัสระหว่างเซิร์ฟเวอร์และเว็บเบราว์เซอร์ในการสื่อสารออนไลน์ เช่น ธุรกรรมออนไลน์ ดังนั้นข้อมูลที่ละเอียดอ่อนทั้งหมด เช่น รหัสผ่าน รายละเอียดบัตรเครดิต ฯลฯ จะส่งผ่านลิงก์ที่เข้ารหัส

หากคุณทำธุรกิจออนไลน์หรือบล็อกที่คุณยอมรับการชำระเงิน ใบรับรอง SSL ก็เป็นสิ่งจำเป็น จะรักษาข้อมูลของลูกค้าของคุณให้ปลอดภัยจากแฮกเกอร์ สำหรับร้านค้าออนไลน์หรือไซต์ WooCommerce ใบรับรอง SSL มีค่าใช้จ่ายประมาณ $20-$170

ในกรณีที่คุณกำลังใช้งานบล็อก WordPress คุณไม่จำเป็นต้องมีใบรับรอง SSL แบบชำระเงิน หากคุณใช้โฮสติ้ง cPanel เช่น SiteGround, WPEngine คุณสามารถติดตั้งใบรับรอง SSL ได้ฟรีด้วยการคลิกเพียงครั้งเดียว

ขั้นแรก ลงชื่อเข้าใช้บัญชีโฮสติ้ง cPanel ของคุณและไปที่ Security (นี่คือภาพหน้าจอด้านล่างจาก SiteGround ที่โฮสต์ cPanel)

ไปที่ ตัวจัดการ SSL/TLS และคลิกที่ ติดตั้งใบรับรอง SSL จากหน้า เลือกโดเมนของคุณและคลิก ป้อนอัตโนมัติตามโดเมน กระบวนการนี้เป็นไปโดยอัตโนมัติ คุณจึงไม่ต้องแก้ไขหรือแก้ไขอะไรเลย

ตอนนี้คลิกที่ปุ่ม ติดตั้งใบรับรอง เพื่อสิ้นสุดขั้นตอนการตั้งค่า

เมื่อเสร็จแล้ว ลงชื่อเข้าใช้แดชบอร์ดผู้ดูแลระบบ WordPress เพื่อแก้ไข URL เว็บไซต์ของคุณ ไปที่ การตั้งค่า> ทั่วไป และเพิ่มแทนที่ HTTP ด้วย HTTPS ก่อน URL เว็บไซต์ของคุณ นี่คือภาพหน้าจอด้านล่าง

เมื่ออัปเดตแล้ว ให้คลิกที่ บันทึกการเปลี่ยนแปลง

วิธีเปลี่ยนเส้นทาง HTTP เป็น HTTPS ใน WordPress

หากคุณติดตั้งใบรับรอง SSL อย่างถูกต้อง เว็บไซต์ของคุณจะสามารถเข้าถึงได้ด้วย HTTPS

แต่ถ้ามีคนพิมพ์ชื่อเว็บไซต์ของคุณเท่านั้น (เช่น domain.com) บนแถบที่อยู่ของเบราว์เซอร์ เว็บไซต์นั้นอาจแสดงข้อความ “ การเชื่อมต่อไม่ปลอดภัย ” นั่นหมายความว่าเว็บไซต์ของคุณสามารถเข้าถึงได้ด้วย HTTP

ในการแก้ไขปัญหา คุณต้องบังคับ HTTPS ใน WordPress ดังนั้นเว็บไซต์ของคุณจะโหลดด้วย HTTPS เท่านั้น คุณสามารถบังคับ HTTPS ใน WordPress ได้อย่างง่ายดาย

เข้าสู่ระบบโฮสติ้ง cPanel ก่อนแล้วไปที่โฟลเดอร์รูทของเว็บไซต์ของคุณแล้วค้นหาไฟล์ . htaccess แก้ไขไฟล์ .htaccess และเพิ่มรหัสต่อไปนี้ในตอนท้าย

RewriteEngine บน
RewriteCond %{HTTPS} ปิด
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

บันทึกไฟล์และคุณทำเสร็จแล้ว ตอนนี้เว็บไซต์ของคุณสามารถเข้าถึงได้ด้วย HTTPS เท่านั้น

หากผู้ให้บริการเว็บโฮสติ้งของคุณไม่มีใบรับรอง SSL ฟรี คุณสามารถติดตั้งใบรับรอง SSL ได้ด้วยตนเอง นี่คือคำแนะนำเกี่ยวกับวิธีการ ติดตั้งใบรับรอง SSL ฟรี

กลับไปด้านบน

16. ลบธีมและปลั๊กอินที่ไม่ได้ใช้

เมื่อพูดถึงการเพิ่มความปลอดภัยของ WordPress เราไม่ควรละเลยขั้นตอนเล็กๆ น้อยๆ ที่อาจทำให้ไซต์ของคุณมีช่องโหว่

ส่วนใหญ่ เจ้าของไซต์ WordPress จะติดตั้งธีมและปลั๊กอินต่างๆ เพื่อทดสอบว่าธีมใดดูดีกว่าบนไซต์ของตน หรือปลั๊กอินใดมีฟังก์ชันการทำงานมากกว่า ไม่เป็นไร. แต่การรักษาธีมและปลั๊กอินที่ไม่ได้ใช้จะทำให้ไซต์ของคุณมีช่องโหว่

เนื่องจากการรักษาธีมและปลั๊กอินของ WordPress จำนวนมากจำเป็นต้องอัปเดตเป็นประจำเช่นเดียวกับที่คุณใช้อยู่ ถ้าคุณไม่อัปเดต พวกมันจะกลายเป็นช่องโหว่และแฮกเกอร์สามารถใช้ประโยชน์จากไซต์ของคุณได้อย่างง่ายดายผ่านธีมและปลั๊กอินที่มีช่องโหว่ นอกจากนี้ การมีธีมและปลั๊กอินจำนวนมากทำให้ไซต์ WordPress ทำงานช้าลง

ดังนั้น คุณควรลบธีมและปลั๊กอินที่ไม่ได้ใช้เสมอ เพื่อ ปรับปรุงประสิทธิภาพของไซต์และความปลอดภัยของ WordPress

หากต้องการลบปลั๊กอินที่ไม่ได้ใช้ ให้ไปที่ Plugins> Installed Plugins จากนั้นค้นหาปลั๊กอินที่คุณไม่ต้องการอีกต่อไป ขั้นแรก ปิดใช้งานปลั๊กอินแล้วคลิก ลบ

ในทำนองเดียวกัน หากต้องการลบธีม ให้ไปที่ ลักษณะที่ ปรากฏ> ธีม แล้วคลิก รายละเอียดธีม ที่ด้านล่างของด้านขวา ให้คลิกที่ ลบ

กลับไปด้านบน

17. ปิดใช้งานการแก้ไขไฟล์ใน WordPress Dashboard

ตามค่าเริ่มต้น WordPress อนุญาตให้ผู้ใช้แก้ไขไฟล์ธีมและปลั๊กอินได้โดยตรงจากแดชบอร์ดของ WordPress นี่เป็นตัวเลือกที่มีประโยชน์สำหรับผู้ใช้ที่ต้องการแก้ไขไฟล์ธีมและปลั๊กอินบ่อยๆ

อย่างไรก็ตาม การเปิดใช้งานฟังก์ชันนี้ไว้อาจเป็นปัญหาด้านความปลอดภัยที่ร้ายแรง หากแฮกเกอร์เข้าถึงเว็บไซต์ของคุณ พวกเขามักจะทิ้งรอยเท้าไว้โดยการฉีดโค้ดที่เป็นอันตรายลงในไฟล์เว็บไซต์ หากฟังก์ชันแก้ไขไฟล์ WordPress ของคุณเปิดใช้งานอยู่ แฮกเกอร์สามารถแทรกโค้ดที่เป็นอันตรายลงในไฟล์ธีมหรือปลั๊กอินของคุณได้อย่างง่ายดาย ซึ่งคุณไม่รู้จัก

เพื่อปรับปรุงความปลอดภัยของ WordPress คุณต้องปิดการใช้งานฟังก์ชั่นแก้ไขไฟล์จากแดชบอร์ด WordPress ของคุณ การปิดใช้งานธีม WordPress และตัวแก้ไขปลั๊กอินใน WordPress เป็นกระบวนการที่ง่ายมาก

ขั้นแรก คุณต้องลงชื่อเข้าใช้บัญชีโฮสติ้ง cPanel และไปที่โฟลเดอร์รูทของไซต์ WordPress ของคุณ จากนั้นค้นหา wp-config.php คลิกที่แก้ไขและเพิ่มรหัสต่อไปนี้ในตอนท้าย

กำหนด ('DISALLOW_FILE_EDIT', จริง);

ตอนนี้บันทึกไฟล์และรีเฟรชแดชบอร์ด WordPress ของคุณ คุณจะเห็นว่าตัวเลือกตัวแก้ไขธีมและปลั๊กอินหายไป ด้วยเคล็ดลับเล็ก ๆ นี้ คุณสามารถปรับปรุงความปลอดภัยของ WordPress ได้อย่างง่ายดาย

อ่านคำแนะนำโดยละเอียดเกี่ยวกับวิธีปิดใช้งานตัวแก้ไขธีมและปลั๊กอินใน WordPress

กลับไปด้านบน

18. รหัสผ่านป้องกันหน้าเข้าสู่ระบบ WordPress

อีกวิธีที่ดีในการปรับปรุงความปลอดภัยของ WordPress คือการป้องกันหน้าเข้าสู่ระบบด้วยรหัสผ่านของ WordPress

ด้วยรหัสผ่านที่ป้องกันหน้าเข้าสู่ระบบ WordPress ของคุณ (/wp-login.php) หรือหน้าผู้ดูแลระบบ (/wp-admin) คุณสามารถป้องกันไม่ให้แฮกเกอร์เข้าถึงหน้าเข้าสู่ระบบของคุณได้ เนื่องจากต้องใช้รหัสผ่านเพื่อเข้าถึงหน้าเข้าสู่ระบบ เมื่อเปิดใช้งานคุณลักษณะนี้ ไซต์ของคุณจะแจ้งให้ผู้ใช้ทั้งหมดเข้าถึงหน้าเข้าสู่ระบบด้วยหน้าต่างชื่อผู้ใช้และรหัสผ่าน กล่าวโดยย่อ ผู้ใช้ทั้งหมดต้องเข้าสู่ระบบสองครั้งด้วยชื่อผู้ใช้และรหัสผ่านที่แตกต่างกันก่อนที่จะเข้าถึงแดชบอร์ดผู้ดูแลระบบ WordPress ของคุณ

คุณสามารถเพิ่มความปลอดภัยให้กับ WordPress และเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งให้กับหน้าเข้าสู่ระบบของคุณ

อ่านคำแนะนำเชิงลึกเกี่ยวกับวิธีป้องกันหน้าเข้าสู่ระบบ WordPress ด้วยรหัสผ่าน

กลับไปด้านบน

19. ปิดใช้งานการเรียกดูไดเรกทอรีใน WordPress

ตามค่าเริ่มต้น เว็บเซิร์ฟเวอร์ส่วนใหญ่ เช่น Apache, NGINX และ LiteSpeed ​​อนุญาตให้ผู้ใช้เรียกดูไดเร็กทอรีที่มีไฟล์และโฟลเดอร์ WordPress พวกเขายังสามารถดูธีมและปลั๊กอินที่คุณใช้อยู่ และทราบข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างเว็บไซต์ของคุณ

ข้อมูลนี้อาจทำให้ไซต์ WordPress ของคุณมีช่องโหว่และช่วยแฮ็กเกอร์เมื่อพยายามบุกรุกไซต์ของคุณ

เพื่อเพิ่มความปลอดภัยให้กับ WordPress เราขอแนะนำให้คุณปิดการใช้งานตัวเลือกนี้ หากต้องการปิดใช้งานการเรียกดูไดเร็กทอรีใน WordPress เพียงเพิ่มบรรทัดต่อไปนี้ในไฟล์ . htaccess ของคุณ

ตัวเลือก ทั้งหมด -ดัชนี

สำหรับคำแนะนำโดยละเอียด โปรดอ่านคำแนะนำเกี่ยวกับวิธีปิดใช้งานการเรียกดูไดเรกทอรีใน WordPress

กลับไปด้านบน

20. ลบเวอร์ชัน WordPress ของคุณ

ตามค่าเริ่มต้น WordPress จะเพิ่มเมตาแท็กโดยอัตโนมัติในตำแหน่งต่างๆ ซึ่งแสดงเวอร์ชัน WordPress ที่คุณใช้อยู่

นี่คือสิ่งที่: หากแฮกเกอร์รู้ว่าคุณกำลังใช้งาน WordPress เวอร์ชันที่ล้าสมัย พวกเขาสามารถใช้ประโยชน์จากไซต์ของคุณผ่านช่องโหว่ที่รู้จักซึ่งมีอยู่ใน WordPress เวอร์ชันเก่า

ดังนั้นจึงเป็นการดีกว่าที่คุณจะลบเวอร์ชัน WordPress ของคุณออกเพื่อปรับปรุงความปลอดภัยของ WordPress มีหลายที่ที่ WordPress เพิ่มเมตาแท็ก เช่น ในแดชบอร์ด WordPress ในส่วนหัว ในรูปแบบและจาวาสคริปต์ และในฟีด RSS

การลบเวอร์ชัน WordPress ออกจากส่วนหัวและ RSS

หากต้องการลบเวอร์ชันออกจากส่วนหัวและ RSS ให้เพิ่มบรรทัดต่อไปนี้ที่ส่วนท้ายของไฟล์ functions.php ของคุณ

ฟังก์ชัน remove_wordpress_version() {
กลับ '';
}
add_filter('the_generator', 'remove_wordpress_version');

การลบหมายเลขเวอร์ชัน WordPress ออกจากสคริปต์และ CSS

หากต้องการลบเวอร์ชัน WordPress ออกจาก CSS และสคริปต์ ให้เพิ่มบรรทัดต่อไปนี้ที่ท้ายไฟล์ functions.php ของคุณ

// เลือกหมายเลขเวอร์ชันจากสคริปต์และรูปแบบ
ฟังก์ชั่น remove_version_from_style_js ($src) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'รุ่น' ) ) )
$src = remove_query_arg( 'ver', $src );
ส่งคืน $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

เมื่อเสร็จแล้วให้บันทึกไฟล์ functions.php

แค่นั้นแหละ. ด้วยเคล็ดลับง่ายๆ นี้ คุณสามารถปรับปรุงความปลอดภัยของ WordPress ได้อย่างแน่นอน อย่างไรก็ตาม เราขอแนะนำให้คุณอัปเดตเวอร์ชัน WordPress รวมทั้งธีมและปลั๊กอินเป็นประจำ

สำหรับคำแนะนำโดยละเอียด โปรดอ่านคำแนะนำเกี่ยวกับวิธีซ่อนหรือลบเวอร์ชัน WordPress

กลับไปด้านบน

21. เปลี่ยนคำนำหน้าตารางฐานข้อมูล WordPress

ระหว่างการติดตั้ง WordPress ระบบจะถามว่าคุณต้องการใช้คำนำหน้าฐานข้อมูลอื่นหรือไม่ เรามักจะข้ามขั้นตอนนี้ไป ดังนั้น WordPress จึงใช้ (WP_) เป็นคำนำหน้าตารางฐานข้อมูลเริ่มต้นโดยอัตโนมัติ เราขอแนะนำให้คุณเปลี่ยนสิ่งที่แข็งแกร่งและไม่เหมือนใคร

การใช้คำนำหน้าเริ่มต้น (WP_) ทำให้ฐานข้อมูล WordPress ของคุณอ่อนไหวต่อการโจมตีด้วยการฉีด SQL การโจมตีดังกล่าวสามารถป้องกันได้โดยการเปลี่ยนคำนำหน้าฐานข้อมูล (WP_) เป็นสิ่งที่ไม่เหมือนใคร

หลังจากติดตั้ง WordPress คุณสามารถเปลี่ยนคำนำหน้าตารางฐานข้อมูลเริ่มต้นได้อย่างง่ายดายโดยใช้ปลั๊กอินหรือด้วยตนเอง ปลั๊กอินเช่น BackupBuddy, Brozzme DB Prefix ช่วยให้คุณสามารถเปลี่ยนคำนำหน้าตารางได้ด้วยการคลิกเพียงครั้งเดียว

เพื่อประโยชน์ของบทช่วยสอน ฉันกำลังแสดงวิธีเปลี่ยนโดยใช้ปลั๊กอิน Brozzme DB Prefix

หมายเหตุ: ก่อนที่คุณจะดำเนินการใดๆ กับฐานข้อมูลของคุณ ตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลไซต์และฐานข้อมูลของคุณไว้แล้ว ในกรณีที่เกิดข้อผิดพลาด คุณสามารถกู้คืนไซต์ของคุณได้

ขั้นแรก ติดตั้งและเปิดใช้งานปลั๊กอิน Brozzme DB Prefix จากแดชบอร์ด WordPress ให้ไปที่ Tools> DB Prefix และป้อนชื่อเฉพาะใหม่สำหรับคำนำหน้าฐานข้อมูล

เมื่อป้อนคำนำหน้าใหม่แล้ว ให้คลิกที่ Change DB Prefix

สำหรับกระบวนการแบบแมนนวล อ่านวิธีเปลี่ยนคำนำหน้าตารางฐานข้อมูลโดยใช้ phpMyAdmin

กลับไปด้านบน

22. ใช้เฉพาะปลั๊กอิน WordPress ที่เชื่อถือได้เท่านั้น

WordPress มาพร้อมกับปลั๊กอินมากกว่า 48,000 ตัว ไม่ได้หมายความว่าปลั๊กอินทั้งหมดมีประโยชน์และปลอดภัยในการใช้งาน

เนื่องจากมีปลั๊กอินจำนวนมากในแกลเลอรีปลั๊กอินของ WordPress ซึ่งไม่ได้รับการอัปเดตเป็นเวลานานและมักจะมีความเสี่ยง นอกจากนี้ คุณจะไม่ได้รับการสนับสนุนใดๆ หากปลั๊กอินทำให้ไซต์ของคุณเสียหาย

ก่อนที่คุณจะใช้ปลั๊กอินฟรี สิ่งสำคัญสองประการที่คุณต้องตรวจสอบ

• ตรวจสอบว่าปลั๊กอินได้รับการอัปเดตครั้งล่าสุดเมื่อใด: หากปลั๊กอินไม่ได้รับการอัปเดตบ่อยๆ หรือไม่ได้รับการดูแลโดยนักพัฒนาปลั๊กอินอีกต่อไป คุณควรหลีกเลี่ยงปลั๊กอิน

• ตรวจสอบว่าปลั๊กอินมีคะแนนบวกสูงสุดหรือไม่: สิ่งต่อไปที่คุณต้องตรวจสอบว่าปลั๊กอินมีคะแนนบวกหรือลบสูงสุด หากปลั๊กอินมีคะแนนติดลบสูงสุด คุณไม่ควรใช้

คุณยังสามารถตรวจสอบหน้าคำวิจารณ์และการสนับสนุนของปลั๊กอินเพื่อดูว่าผู้ใช้รายอื่นพูดถึงปลั๊กอินอย่างไร

แต่ไม่ต้องกังวล มีปลั๊กอินที่คล้ายกันมากมายที่คุณสามารถหาได้จากแกลเลอรีปลั๊กอินของ WordPress

หากคุณต้องการใช้ปลั๊กอินระดับพรีเมียม คุณไม่จำเป็นต้องกังวลกับมัน ปลั๊กอินพรีเมียมได้รับการอัปเดตเป็นประจำ และคุณจะได้รับการสนับสนุน 24x จากผู้พัฒนาปลั๊กอิน

กลับไปด้านบน

23. ปิดใช้งานการรายงานข้อผิดพลาด PHP

อีกวิธีที่ดีในการทำให้ความปลอดภัยของ WordPress แข็งแกร่งขึ้น คือการปิดการใช้งานรายงานข้อผิดพลาด PHP ใน WordPress หลายครั้ง เมื่อคุณติดตั้งปลั๊กอินหรือธีมที่ล้าสมัย คุณอาจเห็นคำเตือนข้อผิดพลาด PHP

อย่างไรก็ตาม อาจทำให้ไซต์ของคุณมีช่องโหว่ได้หากแฮกเกอร์ได้รับข้อมูลดังกล่าว เนื่องจากแสดงรหัสและตำแหน่งของไฟล์ เพื่อลดความเสี่ยง คุณสามารถปิดใช้งานการรายงานข้อผิดพลาด PHP ใน WordPress

การปิดใช้งานคำเตือนข้อผิดพลาด PHP ใน WordPress นั้นง่ายมาก ขั้นแรก แก้ไข ไฟล์ wp-config.php ของคุณและค้นหาบรรทัดที่มีรหัสนี้:

กำหนด ('WP_DEBUG', เท็จ);

คุณอาจเห็น "จริง" แทนที่จะเป็น "เท็จ" ตอนนี้แทนที่บรรทัดด้วยรหัสต่อไปนี้

ini_set('display_errors','ปิด');
ini_set('error_reporting', E_ALL );
กำหนด ('WP_DEBUG', เท็จ);
กำหนด ('WP_DEBUG_DISPLAY', เท็จ);

บันทึกไฟล์และคุณทำเสร็จแล้ว

เราขอแนะนำให้คุณใช้ปลั๊กอินที่ทันสมัยและได้รับการจัดอันดับอย่างดีเพื่อหลีกเลี่ยงปัญหาประเภทนี้

กลับไปด้านบน

24. เพิ่ม HTTP Secure Headers ไปยัง WordPress

อีกวิธีที่ดีในการทำให้ความปลอดภัยของ WordPress แข็งแกร่งขึ้นคือการเพิ่มส่วนหัว HTTP ที่ปลอดภัยในไซต์ WordPress ของคุณ

เมื่อมีคนเข้าถึงเว็บไซต์ของคุณ เบราว์เซอร์จะส่งคำขอไปยังเว็บเซิร์ฟเวอร์ของคุณ จากนั้นเว็บเซิร์ฟเวอร์จะตอบกลับคำขอพร้อมกับส่วนหัว HTTP ส่วนหัว HTTP เหล่านี้ส่งผ่านข้อมูล เช่น การเข้ารหัสเนื้อหา การควบคุมแคช ประเภทเนื้อหา การเชื่อมต่อ ฯลฯ

การเพิ่มส่วนหัวตอบกลับ HTTP ที่ปลอดภัยทำให้คุณสามารถปรับปรุงความปลอดภัยของ WordPress และยังป้องกันการโจมตีและช่องโหว่ด้านความปลอดภัยได้อีกด้วย

นี่คือส่วนหัว HTTP ด้านล่าง:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) บังคับให้เว็บเบราว์เซอร์ใช้เฉพาะการเชื่อมต่อที่ปลอดภัย (HTTPS) เมื่อสื่อสารกับเว็บไซต์ ซึ่งจะป้องกันการแฮ็กโปรโตคอล SSL การจี้คุกกี้ การปอก SSL ฯลฯ
• X-Frame-Options : X-Frame-Options เป็นส่วนหัว HTTP ชนิดหนึ่งซึ่งระบุว่าเบราว์เซอร์ได้รับอนุญาตให้แสดงเว็บไซต์ในเฟรมหรือไม่ วิธีนี้ช่วยป้องกันการโจมตีแบบคลิกแจ็คและทำให้มั่นใจว่าเว็บไซต์ของคุณจะไม่ถูกฝังลงในเว็บไซต์อื่นโดยใช้ <frame>
• X-XSS-Protection : X-XSS-Protection เป็นคุณลักษณะในตัวของ internet explorer, เบราว์เซอร์ Google Chrome, Firefox และ Safari ที่บล็อกหน้าจากการโหลดหากมีการแทรกสคริปต์ที่เป็นอันตรายจากการป้อนข้อมูลของผู้ใช้
• X-Content-Type-Options : X-Content-Type-Options เป็นส่วนหัวการตอบสนอง HTTP ชนิดหนึ่งที่มีค่า nosniff ที่ป้องกันไม่ให้เว็บเบราว์เซอร์ MIME ดมกลิ่นการตอบสนองจากประเภทเนื้อหาที่ประกาศ
• นโยบายผู้อ้างอิง: นโยบายผู้อ้างอิงคือส่วนหัวการตอบสนอง HTTP ที่ป้องกันการรั่วไหลของผู้อ้างอิงข้ามโดเมน

หากต้องการเพิ่มส่วนหัว HTTP ที่ปลอดภัยใน WordPress เพียงเพิ่มโค้ดต่อไปนี้ลงในไฟล์ . htaccess ของคุณ

ชุดส่วนหัว Strict-Transport-Security "max-age=31536000" env=HTTPS
ส่วนหัวต่อท้าย X-Frame-Options SAMEORIGIN . เสมอ
ชุดส่วนหัว X-XSS-Protection "1; mode=block"
ชุดส่วนหัว X-Content-Type-Options nosniff
นโยบายผู้อ้างอิงส่วนหัว: no-referrer-when-downgrade

ตอนนี้ไปที่ securityheaders.com เพื่อตรวจสอบว่ารหัสทำงานหรือไม่ เราไม่ได้เพิ่ม "นโยบายความปลอดภัยของเนื้อหา" เนื่องจากอาจทำให้ไซต์ของคุณเสียหาย อย่างไรก็ตาม การทำให้ไซต์ WordPress ของคุณปลอดภัยก็เพียงพอแล้ว

กลับไปด้านบน

บทสรุป

มีหลายวิธีที่คุณสามารถเพิ่ม ความปลอดภัยให้กับ WordPress เช่น: การใช้โฮสติ้ง WordPress ที่มีการจัดการ, การใช้รหัสผ่านที่คาดเดายากสำหรับบัญชี, การตรวจสอบกิจกรรมของผู้ใช้, การใช้ปลั๊กอินการรักษาความปลอดภัยของ WordPress, ใช้ SSL และ HTTPS และอื่นๆ อีกมากมาย

การรักษาความปลอดภัย Harding WordPress ไม่ใช่วิทยาศาสตร์จรวด คุณสามารถรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณได้อย่างง่ายดายโดยใช้แนวทางปฏิบัติด้านความปลอดภัยของ WordPress ที่เราแบ่งปันในบทความนี้ การใช้งานคุณจะไม่เพียงแค่รักษาความปลอดภัยให้กับไซต์ WordPress ของคุณเท่านั้น แต่ยังป้องกันไม่ให้แฮกเกอร์เข้าถึงไซต์ของคุณได้ด้วย

เมื่อเสร็จแล้ว คุณไม่จำเป็นต้องกังวลเกี่ยวกับความปลอดภัยของ WordPress ยิ่งไปกว่านั้น คุณสามารถมีประสิทธิผลมากขึ้นและปราศจากความเครียด

ตอนนี้ถึงตาคุณ แล้ว อ่านบทความอย่างละเอียดและนำไปใช้กับเว็บไซต์ของคุณ คุณจะมีความสุขที่คุณทำมัน

เราพลาดคำแนะนำด้านความปลอดภัยที่สำคัญของ WordPress ที่จะกล่าวถึงที่นี่หรือไม่? โปรดแจ้งให้เราทราบในส่วนความคิดเห็น

WordPress Security Infographic