11 เหตุผลสำคัญที่ทำไมเว็บไซต์ WordPress ถูกแฮ็ก (และวิธีการป้องกัน)

เมื่อเร็ว ๆ นี้หนึ่งในผู้อ่านของเราถามเราว่าทำไมเว็บไซต์ WordPress ถึงถูกแฮ็ก เป็นเรื่องน่าผิดหวังที่พบว่าไซต์ WordPress ของคุณถูกแฮ็ค ในบทความนี้เราจะแบ่งปันเหตุผลด้านบนว่าทำไมไซต์ WordPress จึงถูกแฮ็กดังนั้นคุณสามารถหลีกเลี่ยงข้อผิดพลาดเหล่านี้และปกป้องไซต์ของคุณ.


ทำไมเว็บไซต์ WordPress ถึงถูกแฮ็ค?

ทำไม WordPress จึงตกเป็นเป้าหมายของแฮกเกอร์?

ก่อนอื่นมันไม่ใช่แค่ WordPress เว็บไซต์ทั้งหมดบนอินเทอร์เน็ตเสี่ยงต่อการถูกแฮ็ค.

สาเหตุที่เว็บไซต์ WordPress เป็นเป้าหมายร่วมกันก็คือเพราะ WordPress เป็นผู้สร้างเว็บไซต์ที่ได้รับความนิยมมากที่สุดในโลก มันมีประสิทธิภาพมากกว่า 31% ของเว็บไซต์ทั้งหมดหมายถึงหลายร้อยล้านเว็บไซต์ทั่วโลก.

ความนิยมอันยิ่งใหญ่นี้ทำให้แฮกเกอร์สามารถค้นหาเว็บไซต์ที่มีความปลอดภัยน้อยลงเพื่อให้สามารถใช้ประโยชน์จากมันได้.

แฮกเกอร์มีจุดประสงค์ที่แตกต่างกันในการแฮ็คเว็บไซต์ บางคนเป็นผู้เริ่มต้นที่เพิ่งหัดใช้ประโยชน์จากไซต์ที่มีความปลอดภัยน้อยกว่า.

แฮ็กเกอร์บางคนมีเจตนาที่มุ่งร้ายเช่นการกระจายมัลแวร์การใช้เว็บไซต์เพื่อโจมตีเว็บไซต์อื่นหรือส่งสแปมทางอินเทอร์เน็ต.

จากที่กล่าวมาให้ดูที่สาเหตุสำคัญบางประการของเว็บไซต์ WordPress ที่ถูกแฮ็กและวิธีป้องกันเว็บไซต์ของคุณจากการถูกแฮ็ก.

1. เว็บโฮสติ้งที่ไม่ปลอดภัย

เช่นเดียวกับเว็บไซต์ทั้งหมดเว็บไซต์ WordPress โฮสต์บนเว็บเซิร์ฟเวอร์ บริษัท โฮสติ้งบางแห่งไม่ปลอดภัยแพลตฟอร์มโฮสติ้งของพวกเขาอย่างเหมาะสม ทำให้เว็บไซต์ทั้งหมดโฮสต์บนเซิร์ฟเวอร์ของพวกเขาเสี่ยงต่อการแฮ็คความพยายาม.

สิ่งนี้สามารถหลีกเลี่ยงได้อย่างง่ายดายโดยเลือกผู้ให้บริการโฮสติ้ง WordPress ที่ดีที่สุดสำหรับเว็บไซต์ของคุณ ช่วยให้มั่นใจได้ว่าเว็บไซต์ของคุณโฮสต์บนแพลตฟอร์มที่ปลอดภัย เซิร์ฟเวอร์ที่ปลอดภัยอย่างเหมาะสมสามารถบล็อกการโจมตีที่พบบ่อยที่สุดจำนวนมากในเว็บไซต์ WordPress.

หากคุณต้องการความระมัดระวังเป็นพิเศษเราขอแนะนำให้ใช้ผู้ให้บริการโฮสต์ WordPress ที่มีการจัดการ.

2. การใช้รหัสผ่านที่อ่อนแอ

ใช้รหัสผ่านที่อ่อนแอ

รหัสผ่านเป็นกุญแจสำหรับเว็บไซต์ WordPress ของคุณ คุณต้องตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่ไม่ซ้ำใครสำหรับแต่ละบัญชีต่อไปนี้เพราะพวกเขาสามารถให้แฮกเกอร์เข้าถึงเว็บไซต์ของคุณได้อย่างสมบูรณ์.

  • บัญชีผู้ดูแลระบบ WordPress ของคุณ
  • บัญชีแผงควบคุมเว็บโฮสติ้ง
  • บัญชี FTP
  • ฐานข้อมูล MySQL ใช้สำหรับเว็บไซต์ WordPress ของคุณ
  • บัญชีอีเมลที่ใช้สำหรับผู้ดูแลระบบ WordPress หรือบัญชีโฮสติ้ง

บัญชีทั้งหมดเหล่านี้ได้รับการป้องกันด้วยรหัสผ่าน การใช้รหัสผ่านที่ไม่รัดกุมทำให้แฮกเกอร์สามารถถอดรหัสรหัสผ่านได้ง่ายขึ้นโดยใช้เครื่องมือการแฮ็กขั้นพื้นฐาน.

คุณสามารถหลีกเลี่ยงปัญหานี้ได้อย่างง่ายดายโดยใช้รหัสผ่านที่ไม่ซ้ำใครและแข็งแกร่งสำหรับแต่ละบัญชี ดูคู่มือของเราเกี่ยวกับวิธีที่ดีที่สุดในการจัดการรหัสผ่านสำหรับผู้เริ่มต้น WordPress เพื่อเรียนรู้วิธีจัดการรหัสผ่านที่คาดเดายากทั้งหมด.

3. การเข้าถึง WordPress Admin (wp-admin Directory) ที่ไม่มีการป้องกัน

พื้นที่ผู้ดูแลระบบ WordPress ช่วยให้ผู้ใช้สามารถเข้าถึงการกระทำที่แตกต่างกันในเว็บไซต์ WordPress ของคุณ นอกจากนี้ยังเป็นพื้นที่ที่ถูกโจมตีบ่อยที่สุดของเว็บไซต์ WordPress.

การปล่อยให้มันไม่มีการป้องกันช่วยให้แฮกเกอร์ลองวิธีที่แตกต่างในการถอดรหัสเว็บไซต์ของคุณ คุณสามารถทำให้เป็นเรื่องยากสำหรับพวกเขาโดยเพิ่มเลเยอร์การรับรองความถูกต้องให้กับไดเรกทอรีผู้ดูแลระบบ WordPress.

ก่อนอื่นคุณควรใช้รหัสผ่านเพื่อป้องกันพื้นที่ของผู้ดูแลระบบ WordPress ของคุณ นี่เป็นการเพิ่มเลเยอร์ความปลอดภัยเพิ่มเติมและทุกคนที่พยายามเข้าถึง WordPress ผู้ดูแลระบบจะต้องให้รหัสผ่านพิเศษ.

หากคุณใช้งานเว็บไซต์ WordPress ผู้เขียนหลายคนหรือหลายผู้ใช้คุณสามารถบังคับใช้รหัสผ่านที่คาดเดายากสำหรับผู้ใช้ทุกคนในเว็บไซต์ของคุณ คุณสามารถเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยเพื่อทำให้แฮ็กเกอร์สามารถเข้าสู่พื้นที่ admin WordPress ของคุณได้ยากยิ่งขึ้น.

4. การอนุญาตไฟล์ไม่ถูกต้อง

สิทธิ์ของไฟล์

การอนุญาตไฟล์คือชุดของกฎที่ใช้โดยเว็บเซิร์ฟเวอร์ของคุณ การอนุญาตเหล่านี้ช่วยให้เว็บเซิร์ฟเวอร์ควบคุมการเข้าถึงไฟล์ในเว็บไซต์ของคุณ การอนุญาตของไฟล์ที่ไม่ถูกต้องสามารถให้แฮกเกอร์เข้าถึงเพื่อเขียนและเปลี่ยนแปลงไฟล์เหล่านี้.

ไฟล์ WordPress ทั้งหมดของคุณควรมีค่า 644 ตามการอนุญาตของไฟล์ โฟลเดอร์ทั้งหมดในไซต์ WordPress ของคุณควรมี 755 สิทธิ์เป็นไฟล์.

ดูคำแนะนำของเราเกี่ยวกับวิธีแก้ไขปัญหาการอัพโหลดรูปภาพใน WordPress เพื่อเรียนรู้วิธีการใช้การอนุญาตไฟล์เหล่านี้.

5. ไม่อัปเดต WordPress

ผู้ใช้ WordPress บางคนกลัวที่จะอัพเดทเว็บไซต์ WordPress พวกเขากลัวว่าการทำเช่นนั้นจะทำให้เว็บไซต์เสียหาย.

WordPress เวอร์ชั่นใหม่แต่ละรุ่นแก้ไขข้อผิดพลาดและช่องโหว่ด้านความปลอดภัย หากคุณไม่ได้อัปเดต WordPress แสดงว่าคุณมีเจตนาที่จะทำให้เว็บไซต์ของคุณอ่อนแอ.

หากคุณกลัวว่าการอัปเดตจะทำให้เว็บไซต์ของคุณพังคุณสามารถสร้างการสำรองข้อมูล WordPress แบบสมบูรณ์ก่อนที่จะทำการอัปเดต ด้วยวิธีนี้หากบางอย่างไม่ทำงานคุณสามารถเปลี่ยนกลับเป็นเวอร์ชันก่อนหน้าได้อย่างง่ายดาย.

6. ไม่อัปเดตปลั๊กอินหรือธีม

เช่นเดียวกับซอฟต์แวร์ WordPress หลักการอัปเดตธีมและปลั๊กอินของคุณนั้นมีความสำคัญเท่าเทียมกัน การใช้ปลั๊กอินหรือธีมที่ล้าสมัยอาจทำให้ไซต์ของคุณเสี่ยง.

ข้อบกพร่องด้านความปลอดภัยและข้อบกพร่องมักพบในปลั๊กอินและธีมของ WordPress โดยทั่วไปผู้แต่งชุดรูปแบบและปลั๊กอินจะแก้ไขได้อย่างรวดเร็ว อย่างไรก็ตามหากผู้ใช้ไม่อัปเดตธีมหรือปลั๊กอินของพวกเขาแสดงว่าไม่มีสิ่งใดที่พวกเขาสามารถทำได้.

ตรวจสอบให้แน่ใจว่าคุณรักษาธีม WordPress และปลั๊กอินให้ทันสมัยอยู่เสมอ.

7. ใช้ Plain FTP แทน SFTP / SSH

SFTP แทน FTP

บัญชี FTP ใช้เพื่ออัปโหลดไฟล์ไปยังเว็บเซิร์ฟเวอร์ของคุณโดยใช้ไคลเอนต์ FTP ผู้ให้บริการโฮสต์ส่วนใหญ่รองรับการเชื่อมต่อ FTP โดยใช้โปรโตคอลที่แตกต่างกัน คุณสามารถเชื่อมต่อโดยใช้ FTP ธรรมดา SFTP หรือ SSH.

เมื่อคุณเชื่อมต่อกับเว็บไซต์ของคุณโดยใช้ FTP ธรรมดารหัสผ่านของคุณจะถูกส่งไปยังเซิร์ฟเวอร์ที่ไม่ได้เข้ารหัส มันสามารถสอดแนมและขโมยได้ง่าย แทนที่จะใช้ FTP คุณควรใช้ SFTP หรือ SSH เสมอ.

คุณไม่จำเป็นต้องเปลี่ยนไคลเอนต์ FTP ของคุณ ไคลเอนต์ FTP ส่วนใหญ่สามารถเชื่อมต่อกับเว็บไซต์ของคุณบน SFTP เช่นเดียวกับ SSH คุณเพียงแค่ต้องเปลี่ยนโปรโตคอลเป็น ‘SFTP – SSH’ เมื่อเชื่อมต่อกับเว็บไซต์ของคุณ.

8. ใช้ Admin เป็นชื่อผู้ใช้ WordPress

ไม่แนะนำให้ใช้ “ผู้ดูแลระบบ” เป็นชื่อผู้ใช้ WordPress ของคุณ หากชื่อผู้ดูแลระบบของคุณคือผู้ดูแลระบบคุณควรเปลี่ยนเป็นชื่อผู้ใช้อื่นทันที.

สำหรับคำแนะนำโดยละเอียดลองดูบทช่วยสอนของเราเกี่ยวกับวิธีเปลี่ยนชื่อผู้ใช้ WordPress ของคุณ.

9. ชุดรูปแบบและปลั๊กอินที่ว่างเปล่า

มัลแวร์

มีเว็บไซต์มากมายบนอินเทอร์เน็ตที่จำหน่ายปลั๊กอิน WordPress และธีมฟรี บางครั้งการล่อลวงให้ใช้ปลั๊กอินและธีมที่ไม่มีค่าเหล่านั้นในเว็บไซต์ของคุณเป็นเรื่องง่าย.

การดาวน์โหลดธีมและปลั๊กอิน WordPress จากแหล่งที่ไม่น่าเชื่อถือนั้นเป็นสิ่งที่อันตรายมาก ไม่เพียง แต่พวกเขาสามารถประนีประนอมความปลอดภัยของเว็บไซต์ของคุณ แต่พวกเขายังสามารถใช้ในการขโมยข้อมูลที่สำคัญ.

คุณควรดาวน์โหลดปลั๊กอิน WordPress และธีมจากแหล่งที่เชื่อถือได้เช่นเว็บไซต์นักพัฒนาปลั๊กอิน / ธีมหรือที่เก็บ WordPress อย่างเป็นทางการ.

หากคุณไม่สามารถซื้อหรือไม่ต้องการซื้อปลั๊กอินหรือธีมพรีเมี่ยมแสดงว่ามีทางเลือกฟรีสำหรับผลิตภัณฑ์เหล่านั้นอยู่เสมอ ปลั๊กอินฟรีเหล่านี้อาจไม่ดีเท่ากับคู่หูที่ได้รับค่าจ้าง แต่จะทำงานให้เสร็จและที่สำคัญที่สุดคือทำให้เว็บไซต์ของคุณปลอดภัย.

นอกจากนี้คุณยังสามารถหาส่วนลดสำหรับผลิตภัณฑ์ WordPress ยอดนิยมมากมายในส่วนข้อตกลงบนเว็บไซต์ของเรา.

10. ไม่รักษาความปลอดภัยการกำหนดค่า WordPress ไฟล์ wp-config.php

ไฟล์กำหนดค่า WordPress wp-config.php มีข้อมูลรับรองการเข้าสู่ระบบฐานข้อมูล WordPress ของคุณ ถ้ามันถูกบุกรุกมันจะเปิดเผยข้อมูลที่สามารถให้แฮกเกอร์เข้าถึงเว็บไซต์ของคุณได้อย่างสมบูรณ์.

คุณสามารถเพิ่มเลเยอร์การป้องกันเพิ่มเติมโดยปฏิเสธการเข้าถึงไฟล์ wp-config โดยใช้. htaccess เพียงเพิ่มรหัสเล็ก ๆ นี้ในไฟล์. htaccess ของคุณ.

คำสั่งอนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด

11. ไม่เปลี่ยนคำนำหน้าตาราง WordPress

ผู้เชี่ยวชาญหลายคนแนะนำให้คุณเปลี่ยนคำนำหน้าตาราง WordPress เริ่มต้น โดยค่าเริ่มต้น WordPress ใช้ wp_ เป็นคำนำหน้าสำหรับตารางที่สร้างในฐานข้อมูลของคุณ คุณจะได้รับตัวเลือกให้เปลี่ยนระหว่างการติดตั้ง.

ขอแนะนำให้คุณใช้ส่วนนำหน้าที่ซับซ้อนกว่าเล็กน้อย สิ่งนี้จะทำให้การแฮกเกอร์เดาชื่อตารางฐานข้อมูลของคุณยากขึ้น.

สำหรับคำแนะนำโดยละเอียดโปรดดูคู่มือของเราเกี่ยวกับวิธีการเปลี่ยนคำนำหน้าฐานข้อมูล WordPress เพื่อปรับปรุงความปลอดภัย.

ทำความสะอาดเว็บไซต์ WordPress ที่แฮ็ก

การล้างไซต์ WordPress ที่แฮ็คอาจทำให้เจ็บปวดได้จริงๆ อย่างไรก็ตามมันสามารถทำได้.

นี่คือแหล่งข้อมูลที่จะช่วยคุณเริ่มต้นทำความสะอาดเว็บไซต์ WordPress ที่แฮ็ค:

  • คู่มือสำหรับผู้เริ่มต้นเพื่อแก้ไขไซต์ WordPress ที่แฮ็กของคุณ
  • วิธีสแกนไซต์ WordPress ของคุณเพื่อหาโค้ดที่อาจเป็นอันตราย
  • วิธีค้นหาแบ็คดอร์ในไซต์ WordPress ที่แฮ็กและแก้ไข
  • จะทำอย่างไรเมื่อคุณถูกล็อกออกจาก WordPress admin (wp-admin)
  • คู่มือสำหรับผู้เริ่มต้น: วิธีคืนค่า WordPress จากการสำรองข้อมูล

เคล็ดลับโบนัส

สำหรับการรักษาความปลอดภัยระดับสูงเราใช้ Sucuri ในทุกเว็บไซต์ WordPress ของเรา Sucuri ให้บริการตรวจจับและกำจัดมัลแวร์รวมถึงไฟร์วอลล์เว็บไซต์ที่จะปกป้องเว็บไซต์ของคุณจากภัยคุกคามที่พบบ่อยที่สุด.

ดูว่า Sucuri ช่วยเราป้องกันการโจมตี WordPress ได้ถึง 450,000 รายการใน 3 เดือนได้อย่างไร

เราหวังว่าบทความนี้จะช่วยให้คุณเรียนรู้สาเหตุด้านบนว่าทำไมไซต์ WordPress จึงถูกแฮ็ค คุณอาจต้องการดูคู่มือการรักษาความปลอดภัย WordPress สุดยอดของเราเพื่อปกป้องเว็บไซต์ WordPress ของคุณ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me