ลองนึกภาพว่าหลังจากความพยายามอย่างมาก คุณได้สร้างเว็บไซต์และถูกแฮ็ก คุณไม่ต้องการที่จะประนีประนอมความปลอดภัยของเว็บไซต์ WordPress ของคุณอย่างแน่นอน
แต่ความจริงที่รุนแรงก็คือ อาจเป็นเว็บไซต์ของคุณที่มีมาตรการรักษาความปลอดภัยเพียงเล็กน้อยหรือไม่มีเลยในชั่วโมงถัดไป
ก่อนอื่นมาทำความเข้าใจว่าทำไมมันถึงสำคัญตั้งแต่แรก
เหตุใดความปลอดภัยของ WordPress จึงมีความสำคัญ
หากคุณเป็นเจ้าของเว็บไซต์ คุณไม่สามารถเสี่ยงไซต์ของคุณเนื่องจากแฮกเกอร์หรือมัลแวร์
ปัญหาคือหลายคนไม่ทราบว่าเว็บไซต์ WordPress ของพวกเขาอ่อนแอเพียงใด จนกว่าจะมีสิ่งเลวร้ายเกิดขึ้นกับพวกเขาหรือเว็บไซต์ของตน ในกรณีดังกล่าว สิ่งสำคัญคือต้องเข้าใจว่าทำไมความปลอดภัยของ WordPress จึงมีความสำคัญ คุณจึงสามารถดำเนินการตามขั้นตอนต่างๆ เพื่อป้องกันปัญหาในอนาคตได้
ต่อไปนี้คือ 10 เคล็ดลับที่คุณสามารถใช้เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณในระหว่างขั้นตอนการพัฒนา
ใบรับรอง SSL เป็นเอกสารดิจิทัลที่ยืนยันว่าคุณเป็นคนที่คุณพูด ต้องติดตั้งบนเว็บเซิร์ฟเวอร์และกำหนดค่าอย่างถูกต้อง เมื่อใช้ HTTPS ใบรับรองนี้จะสร้างการเชื่อมต่อที่เข้ารหัสระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ของคุณ ทำให้มีความปลอดภัยมากกว่า HTTP มาก
ใบรับรองยังสามารถใช้เพื่อยืนยันตัวตนของเว็บไซต์หรือคนออนไลน์ได้ ตัวอย่างเช่น หากมีคนอ้างว่ามาจาก Microsoft แต่ไม่มีใบรับรอง SSL ก็อาจส่งผลต่อความน่าเชื่อถือของพวกเขาและของคุณ
-
ต้องการและใช้รหัสผ่านที่รัดกุม
สมมติว่าคุณเป็นหนึ่งในผู้ที่มีรหัสผ่านเดียวกันสำหรับใบอนุญาตทุกรายการในอุปกรณ์ของคุณ จากนั้นคุณมีแนวโน้มที่จะถูกละเมิดความปลอดภัย เกิดอะไรขึ้นถ้ารหัสผ่านนั้นถูกขโมย? ขณะนี้คุณมีไซต์ทั้งหมดของคุณถูกบุกรุก
วิธีที่ดีที่สุดในการแก้ปัญหานี้คือการใช้ตัวจัดการรหัสผ่าน เช่น 1Password หรือ LastPass ด้วยความช่วยเหลือของเครื่องมือเหล่านี้ คุณจะไม่เพียงแต่สามารถสร้างรหัสผ่านที่รัดกุม แต่คุณจะมีทุกอย่างในที่เดียวซึ่งได้รับการปกป้อง
เพื่อที่ว่าถ้ามีคนสามารถแฮ็คเข้าสู่บัญชีของคุณด้วยวิธีการใดๆ เช่น ฟิชชิ่งหรือติดมัลแวร์ พวกเขาจะไม่สามารถเข้าถึงสิ่งที่เป็นความลับได้
หากคุณยังไม่มีวิธีการที่สอดคล้องกันในการเปลี่ยนรหัสผ่านเหล่านี้เป็นประจำ ตอนนี้ก็ถึงเวลาแล้ว! ขอแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านอย่างน้อยทุกๆ 30 วัน (หรือบ่อยกว่านั้นหากมีกิจกรรมที่น่าสงสัย)
หากคุณจ้างบริการพัฒนาเว็บไซต์ WordPress จากบริษัทที่มีประสบการณ์ สิ่งนี้และส่วนอื่นๆ ต่อไปนี้จะไม่เป็นปัญหาสำหรับคุณ
-
ป้องกันโฟลเดอร์ wp-admin
เมื่อพูดถึงเรื่องความปลอดภัย มันเป็นตำนานที่ wordpress ไม่ปลอดภัย แต่คุณควรหลีกเลี่ยงสิ่งนี้และทุกอย่างอื่น ตำนานเกี่ยวกับ WordPress เนื่องจากมีเหตุผลที่ทำให้เป็นหนึ่งใน CMS ที่ได้รับความนิยมมากที่สุดในโลกในปัจจุบัน
แผงควบคุมนี้อนุญาตให้คุณจัดการเนื้อหาเว็บไซต์ การตั้งค่า และปลั๊กอินทั้งหมดของคุณ นั่นเป็นข้อมูลจำนวนมากในที่เดียวที่ควรมีความปลอดภัยอย่างแน่นอน
มีเคล็ดลับความปลอดภัยในการพัฒนา WordPress เล็กน้อยสำหรับการรักษาความปลอดภัยอีกชั้นหนึ่ง ขั้นแรก คุณสามารถสร้างโฟลเดอร์ WP-ADMIN ที่กำหนดเองได้โดยใช้ปลั๊กอินเปลี่ยนชื่อ wp-admin การดำเนินการนี้จะเปลี่ยน URL เริ่มต้นของแผงควบคุม WordPress จาก wp-admin เป็นอย่างอื่น และทำให้แฮกเกอร์ค้นหาได้ยากขึ้น
Htaccess สามารถใช้ป้องกันได้ด้วยรหัสผ่าน สิ่งนี้ต้องการให้ทุกคนที่พยายามเข้าถึงไดเร็กทอรีป้อนชื่อผู้ใช้และรหัสผ่าน
-
ปกป้อง wp-config.php . ของคุณ
ไฟล์ wp-config.php เป็นส่วนสำคัญของ WordPress และมีการตั้งค่าทั้งหมดของเว็บไซต์ของคุณ เช่น ข้อมูลประจำตัวของฐานข้อมูลและปลั๊กอินที่ทำงานอยู่ ซึ่งหมายความว่าหากมีคนเข้าถึงไฟล์นี้ พวกเขาสามารถเปลี่ยนการตั้งค่าเหล่านั้นเพื่อควบคุมเว็บไซต์ของคุณได้อย่างสมบูรณ์ ซึ่งอาจนำไปสู่การแฮ็กการโจมตีหรือแย่กว่านั้น!
เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น:
ตรวจสอบให้แน่ใจว่าคุณไม่ได้จัดเก็บข้อมูลที่ละเอียดอ่อนในไฟล์นี้ (เช่น แฮชรหัสผ่าน) หากเป็นเช่นนั้น ให้หลีกเลี่ยงการใส่เป็นข้อความธรรมดาด้วย ให้ใช้ฟังก์ชันแฮช SHA1 ที่มีคีย์ 256 บิตแทน เพื่อให้ทุกคนสามารถเข้าถึงได้โดยไม่ต้องรู้วิธีแยกวิเคราะห์แฮชเหล่านั้นให้อยู่ในรูปแบบเดิม (ซึ่งใช้เวลานาน)
บริษัทที่ให้บริการพัฒนาเว็บไซต์ WordPress แนะนำว่าอย่าแชร์ไฟล์เหล่านี้กับบุคคลอื่น มิฉะนั้น พวกเขาสามารถสร้างเวอร์ชันของตนเองได้
ซึ่งอาจมีคุณสมบัติเพิ่มเติมที่ไม่มีให้ในการติดตั้งเริ่มต้น ดังนั้นตรวจสอบให้แน่ใจว่าทุกคนรู้ว่าหมายเลขเวอร์ชันใดตรงกับหมายเลขเวอร์ชันที่ออกโดยนักพัฒนา WordPress
-
อัพเดท WordPress เป็นประจำเพื่อความปลอดภัย
ไม่ว่าคุณจะเป็นนักพัฒนา WordPress ที่มีประสบการณ์หรือเพิ่งเริ่มต้น การอัปเดตไซต์เป็นประจำเป็นสิ่งสำคัญ ทุกครั้งที่มีการเปิดตัว WordPress เวอร์ชันใหม่ อาจมีแพตช์ความปลอดภัยพร้อมให้ใช้งานเพื่อป้องกันการโจมตีของแฮ็กเกอร์
ยังเป็นความคิดที่ดีที่จะใช้ปลั๊กอินและเครื่องมืออื่นๆ ที่เตือนคุณถึงช่องโหว่ในโค้ดหรือปลั๊กอินของคุณ เพื่อให้คุณสามารถแก้ไขได้ก่อนที่จะกลายเป็นปัญหาสำหรับผู้ใช้ไซต์ของคุณ
สุดท้ายโดยใช้ไฟร์วอลล์บนคอมพิวเตอร์แต่ละเครื่องโดยที่ เวิร์ดเพรส การใช้งานช่วยป้องกันความพยายามในการเข้าถึงระยะไกลโดยบุคคลที่ไม่ต้องการ (เช่น มัลแวร์)
-
อัปเดตไฟล์หลักของ WordPress อยู่เสมอ
ซอฟต์แวร์ที่ล้าสมัยเป็นหนึ่งในความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดสำหรับเว็บไซต์ใดๆ ดังนั้นการอัปเดตทุกอย่างจึงเป็นเรื่องสำคัญ
อย่าเพิกเฉยต่อปลั๊กอินและการอัปเดตธีม เพราะมันสร้างช่องโหว่ด้านความปลอดภัยมากมายหากล้าสมัย ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องทำให้ทุกอย่างทันสมัยอยู่เสมอ
-
เปลี่ยนคำนำหน้าตารางฐานข้อมูล WordPress
ตัวระบุเฉพาะนี้แนบมากับตารางฐานข้อมูลของคุณ มันถูกใช้ในแผงควบคุมของผู้ดูแลระบบ WordPress และแอพพลิเคชั่นอื่นๆ เช่น wordpress.com และ Jetpack เพื่อเข้าถึงฐานข้อมูลเว็บไซต์
การเปลี่ยนแปลงนี้จะกีดกันไม่ให้แฮ็กเกอร์ย้ายเข้าสู่ระบบของคุณผ่านการโจมตีด้วยการฉีด SQL ซึ่งเป็นที่ชื่นชอบของแฮ็กเกอร์ เมื่อพยายามเข้าถึงเว็บไซต์ พวกเขาต้องการอัปโหลดมัลแวร์ไป หรือขโมยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านและหมายเลขบัตรเครดิตผ่านการฉีด SQL
หากคุณไม่ทราบว่ามีการตั้งค่านี้บนไซต์ของคุณอย่างไรหรือที่ไหน ให้ถามใครซักคนที่ทำ!
คุณต้องการให้มีการเปลี่ยนแปลงเหล่านี้เพื่อไม่ให้ใครเห็นสิ่งที่เกิดขึ้นในฐานข้อมูลของไซต์ของคุณ มิฉะนั้น มันสามารถนำไปสู่พวกเขาโดยตรง (และอาจเข้าสู่ตัวคุณ)
-
ซ่อนหน้าเข้าสู่ระบบ WP-Admin ของคุณ
การใช้ไฟล์ htaccess คุณสามารถซ่อนหน้าเข้าสู่ระบบ WP-Admin จากเครื่องมือค้นหาและผู้เยี่ยมชมได้ อีกด้วย, โฟลเดอร์ WP-Admin ของคุณควรมีไฟล์ htaccess ยังปกป้อง ซึ่งหมายความว่าไม่มีใครสามารถเข้าถึงข้อมูลทั้งหมดบนไซต์ของคุณได้ รวมถึงรหัสผ่านและบัญชีผู้ใช้ แม้ว่าพวกเขาจะสามารถเข้าถึงไดเร็กทอรีของผู้ดูแลระบบได้
สิ่งที่คุณต้องมีคือ WpRevert หรือปลั๊กอินความปลอดภัย WordPress เพื่อขจัดความยุ่งยากในการสร้างของคุณเอง (ซึ่งไม่ยากเกินไป)
XML-RPC เป็นโปรโตคอลการเรียกใช้เมธอดระยะไกลข้ามแพลตฟอร์มที่ใช้งานง่าย ซึ่งช่วยให้นักพัฒนาสามารถโต้ตอบกับไฟล์ WordPress.xmlrpc.php จากระยะไกลผ่านทางอินเทอร์เน็ตได้
การดำเนินการนี้จะปิดใช้งาน XML-RPC ทั้งหมดและป้องกันการโจมตีใดๆ ที่เป็นไปได้บนแบ็กเอนด์ของไซต์ของคุณ ข้อมูลที่ละเอียดอ่อนของคุณอยู่ที่ไหน!
สิ่งสุดท้ายแต่ไม่ท้ายสุดที่บริการพัฒนาเว็บของ WordPress นำเสนอในเรื่องความปลอดภัยคือการเปิดใช้การสแกนความปลอดภัย สิ่งเหล่านี้สามารถทำได้โดยบริการของบุคคลที่สามเช่น Sucuri หรือ SiteLock หรือคุณสามารถทำเองได้โดยใช้ปลั๊กอิน เช่น WP Security Scanner
การสแกนความปลอดภัยจะตรวจจับและลบมัลแวร์ ไวรัส และภัยคุกคามอื่นๆ ออกจากเว็บไซต์ WordPress ของคุณ มิเช่นนั้นอาจส่งผลต่อความปลอดภัยของผู้เข้าชมได้
ผลลัพธ์
เราเคยไปที่นั่นแล้ว: คุณได้รับเว็บไซต์ WordPress แรกของคุณและเปิดตัวสู่โลก เพื่อรับการแจ้งเตือนว่ามีคนแฮ็คเข้าสู่บัญชีของคุณเท่านั้น
อาจเป็นเรื่องยากที่จะรู้ว่าต้องทำอะไรต่อไป แต่การกระทำเหล่านี้ หากมี จะทำให้คุณมีความสงบสุข
