สุดยอดคู่มือการรักษาความปลอดภัย WordPress ขั้นตอน (2020)

การรักษาความปลอดภัย WordPress เป็นหัวข้อที่มีความสำคัญอย่างมากสำหรับเจ้าของเว็บไซต์ทุกคน บัญชีดำของ Google ประมาณ 10,000+ เว็บไซต์ทุกวันสำหรับมัลแวร์และประมาณ 50,000 สำหรับฟิชชิ่งทุกสัปดาห์.


หากคุณจริงจังกับเว็บไซต์ของคุณคุณต้องใส่ใจกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress ในคู่มือนี้เราจะแบ่งปันเคล็ดลับความปลอดภัย WordPress ชั้นนำทั้งหมดเพื่อช่วยคุณปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และมัลแวร์.

คู่มือการรักษาความปลอดภัย WordPress ที่สมบูรณ์

ในขณะที่ซอฟต์แวร์ WordPress หลักมีความปลอดภัยมากและมีการตรวจสอบอย่างสม่ำเสมอโดยนักพัฒนาหลายร้อยคนมีหลายสิ่งที่สามารถทำได้เพื่อทำให้เว็บไซต์ของคุณปลอดภัย.

ที่ WPBeginner เราเชื่อว่าความปลอดภัยไม่ได้เป็นเพียงแค่การกำจัดความเสี่ยง นอกจากนี้ยังเกี่ยวกับการลดความเสี่ยง ในฐานะเจ้าของเว็บไซต์มีหลายสิ่งที่คุณสามารถทำได้เพื่อปรับปรุงความปลอดภัย WordPress ของคุณ (แม้ว่าคุณจะไม่เข้าใจเทคโนโลยี).

เรามีขั้นตอนดำเนินการจำนวนมากที่คุณสามารถดำเนินการเพื่อปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัย.

เพื่อให้ง่ายเราได้สร้างสารบัญเพื่อช่วยให้คุณนำทางไปยังคู่มือการรักษาความปลอดภัย WordPress สุดยอดของเราได้อย่างง่ายดาย.

พื้นฐานของ WordPress Security

    WordPress การรักษาความปลอดภัยในขั้นตอนง่าย ๆ (ไม่มีการเข้ารหัส)

      WordPress การรักษาความปลอดภัยสำหรับผู้ใช้ DIY

        พร้อมหรือยัง? มาเริ่มกันเลย.

        Contents

        ทำไมความปลอดภัยของเว็บไซต์จึงมีความสำคัญ?

        ไซต์ WordPress ที่ถูกแฮกอาจสร้างความเสียหายอย่างร้ายแรงต่อรายได้และชื่อเสียงทางธุรกิจของคุณ แฮกเกอร์สามารถขโมยข้อมูลผู้ใช้รหัสผ่านติดตั้งซอฟต์แวร์ที่เป็นอันตรายและสามารถแจกจ่ายมัลแวร์ไปยังผู้ใช้ของคุณ.

        ที่แย่ที่สุดคือคุณอาจพบว่าตัวเองจ่ายเงินค่าไถ่ ransomware ให้แฮกเกอร์เพียงเพื่อให้สามารถเข้าถึงเว็บไซต์ของคุณได้.

        ทำไมความปลอดภัยของ WordPress จึงมีความสำคัญ

        ในเดือนมีนาคม 2559 Google รายงานว่ามีผู้ใช้เว็บไซต์มากกว่า 50 ล้านคนได้รับคำเตือนเกี่ยวกับเว็บไซต์ที่พวกเขากำลังเยี่ยมชมอาจมีมัลแวร์หรือขโมยข้อมูล.

        นอกจากนี้ Google บัญชีดำประมาณ 20,000 เว็บไซต์สำหรับมัลแวร์และประมาณ 50,000 สำหรับฟิชชิ่งในแต่ละสัปดาห์.

        หากเว็บไซต์ของคุณเป็นธุรกิจคุณต้องให้ความสำคัญกับความปลอดภัยของ WordPress เป็นพิเศษ.

        คล้ายกับความรับผิดชอบของเจ้าของธุรกิจในการปกป้องอาคารร้านค้าทางกายภาพในฐานะเจ้าของธุรกิจออนไลน์คุณมีหน้าที่รับผิดชอบในการปกป้องเว็บไซต์ธุรกิจของคุณ.

        []

        ปรับปรุง WordPress ให้ทันสมัยอยู่เสมอ

        อัพเดท WordPress อยู่เสมอ

        WordPress เป็นซอฟต์แวร์โอเพ่นซอร์สซึ่งได้รับการดูแลและปรับปรุงอย่างสม่ำเสมอ ตามค่าเริ่มต้น WordPress จะติดตั้งการอัพเดทเล็กน้อยโดยอัตโนมัติ สำหรับรุ่นใหญ่คุณต้องเริ่มการอัพเดทด้วยตนเอง.

        WordPress ยังมาพร้อมกับปลั๊กอินและธีมมากมายที่คุณสามารถติดตั้งบนเว็บไซต์ของคุณ ปลั๊กอินและชุดรูปแบบเหล่านี้ได้รับการดูแลโดยนักพัฒนาบุคคลที่สามซึ่งปล่อยการปรับปรุงเป็นประจำเช่นกัน.

        การอัปเดต WordPress เหล่านี้มีความสำคัญต่อความปลอดภัยและความมั่นคงของเว็บไซต์ WordPress ของคุณ คุณต้องแน่ใจว่าคอร์ปลั๊กอินและธีม WordPress ของคุณทันสมัย.

        []

        รหัสผ่านที่แข็งแกร่งและสิทธิ์ของผู้ใช้

        จัดการรหัสผ่านที่คาดเดายาก

        ความพยายามในการแฮ็ก WordPress ที่พบบ่อยที่สุดใช้รหัสผ่านที่ถูกขโมย คุณสามารถทำให้ยากโดยใช้รหัสผ่านที่แข็งแกร่งซึ่งเป็นเอกลักษณ์สำหรับเว็บไซต์ของคุณ ไม่เพียง แต่สำหรับผู้ดูแลระบบ WordPress เท่านั้น แต่ยังสำหรับบัญชี FTP, ฐานข้อมูล, บัญชีโฮสติ้ง WordPress และที่อยู่อีเมลที่กำหนดเองซึ่งใช้ชื่อโดเมนของไซต์ของคุณ.

        ผู้เริ่มต้นส่วนใหญ่ไม่ต้องการใช้รหัสผ่านที่คาดเดายากเพราะจำได้ยาก สิ่งที่ดีคือคุณไม่จำเป็นต้องจำรหัสผ่านอีกต่อไป คุณสามารถใช้เครื่องมือจัดการรหัสผ่าน ดูคำแนะนำของเราเกี่ยวกับวิธีจัดการรหัสผ่าน WordPress.

        อีกวิธีหนึ่งในการลดความเสี่ยงคือไม่อนุญาตให้ทุกคนเข้าถึงบัญชีผู้ดูแลระบบ WordPress ของคุณเว้นแต่คุณจะต้องทำอย่างนั้น หากคุณมีทีมงานหรือแขกผู้มีขนาดใหญ่ให้แน่ใจว่าคุณเข้าใจบทบาทและความสามารถของผู้ใช้ใน WordPress ก่อนที่คุณจะเพิ่มบัญชีผู้ใช้และผู้เขียนใหม่ไปยังเว็บไซต์ WordPress ของคุณ.

        []

        บทบาทของ WordPress Hosting

        บริการโฮสติ้ง WordPress ของคุณมีบทบาทสำคัญที่สุดในความปลอดภัยของเว็บไซต์ WordPress ของคุณ ผู้ให้บริการโฮสต์ที่ใช้ร่วมกันที่ดีเช่น Bluehost หรือ Siteground ใช้มาตรการเพิ่มเติมเพื่อปกป้องเซิร์ฟเวอร์ของตนจากภัยคุกคามทั่วไป.

        นี่คือการที่ บริษัท เว็บโฮสติ้งที่ดีทำงานเป็นเบื้องหลังเพื่อปกป้องเว็บไซต์และข้อมูลของคุณ.

        • พวกเขาตรวจสอบเครือข่ายอย่างต่อเนื่องสำหรับกิจกรรมที่น่าสงสัย.
        • บริษัท โฮสติ้งที่ดีทั้งหมดมีเครื่องมือในการป้องกันการโจมตี DDOS ขนาดใหญ่
        • พวกเขาปรับปรุงซอฟต์แวร์เซิร์ฟเวอร์และฮาร์ดแวร์ให้ทันสมัยเพื่อป้องกันแฮกเกอร์จากการโจมตีช่องโหว่ด้านความปลอดภัยที่รู้จักในเวอร์ชันเก่า.
        • พวกเขาพร้อมที่จะปรับใช้การกู้คืนความเสียหายและแผนอุบัติเหตุซึ่งช่วยให้พวกเขาปกป้องข้อมูลของคุณในกรณีที่เกิดอุบัติเหตุครั้งใหญ่.

        ในแผนการโฮสต์ที่ใช้ร่วมกันคุณแชร์ทรัพยากรเซิร์ฟเวอร์กับลูกค้าอื่น ๆ วิธีนี้จะเปิดความเสี่ยงของการปนเปื้อนข้ามไซต์ซึ่งแฮกเกอร์สามารถใช้ไซต์ใกล้เคียงเพื่อโจมตีเว็บไซต์ของคุณ.

        การใช้บริการโฮสติ้ง WordPress ที่มีการจัดการจะให้แพลตฟอร์มที่ปลอดภัยยิ่งขึ้นสำหรับเว็บไซต์ของคุณ บริษัท โฮสติ้ง WordPress ที่มีการจัดการมีการสำรองข้อมูลอัตโนมัติอัปเดต WordPress อัตโนมัติและการกำหนดค่าความปลอดภัยขั้นสูงเพื่อปกป้องเว็บไซต์ของคุณ

        เราแนะนำ WPEngine ในฐานะผู้ให้บริการโฮสติ้ง WordPress ที่เราต้องการ พวกเขายังเป็นหนึ่งในความนิยมมากที่สุดในอุตสาหกรรม (ดูคูปอง WPEngine พิเศษของเรา).

        []

        WordPress การรักษาความปลอดภัยในขั้นตอนง่าย ๆ (ไม่มีการเข้ารหัส)

        เรารู้ว่าการปรับปรุงความปลอดภัยของ WordPress สามารถเป็นสิ่งที่น่ากลัวสำหรับผู้เริ่มต้น โดยเฉพาะอย่างยิ่งถ้าคุณไม่ได้ขี้รำคาญ คาดเดาสิ่งที่คุณไม่ได้อยู่คนเดียว.

        เราช่วยผู้ใช้งาน WordPress หลายพันคนในการเสริมความปลอดภัยให้กับ WordPress.

        เราจะแสดงให้คุณเห็นว่าคุณสามารถปรับปรุงความปลอดภัยของ WordPress ได้อย่างไรด้วยการคลิกเพียงไม่กี่ครั้ง (ไม่จำเป็นต้องมีการเข้ารหัส).

        หากคุณสามารถชี้แล้วคลิกคุณสามารถทำได้!

        ติดตั้งโซลูชันการสำรองข้อมูล WordPress

        ติดตั้งโซลูชันการสำรองข้อมูล WordPress

        การสำรองข้อมูลเป็นการป้องกันครั้งแรกของคุณจากการถูกโจมตีของ WordPress โปรดจำไว้ว่าไม่มีสิ่งใดปลอดภัย 100% หากเว็บไซต์ของรัฐบาลถูกแฮ็คคุณก็สามารถทำได้.

        การสำรองข้อมูลช่วยให้คุณสามารถคืนค่าไซต์ WordPress ของคุณได้อย่างรวดเร็วในกรณีที่มีสิ่งไม่ดีเกิดขึ้น.

        มีปลั๊กอินสำรอง WordPress ฟรีและจ่ายเงินมากมายที่คุณสามารถใช้ได้ สิ่งที่สำคัญที่สุดที่คุณต้องรู้เมื่อมาถึงการสำรองข้อมูลคือคุณต้องบันทึกการสำรองข้อมูลแบบเต็มเว็บไซต์เป็นระยะไกล (ไม่ใช่บัญชีโฮสติ้ง).

        เราแนะนำให้เก็บไว้ในบริการคลาวด์เช่น Amazon, Dropbox, หรือคลาวด์ส่วนตัวเช่น Stash.

        ตามการอัพเดตเว็บไซต์ของคุณบ่อยครั้งการตั้งค่าในอุดมคติอาจเป็นการสำรองข้อมูลแบบวันละครั้งหรือแบบเรียลไทม์.

        โชคดีที่สิ่งนี้สามารถทำได้อย่างง่ายดายโดยใช้ปลั๊กอินเช่น VaultPress หรือ UpdraftPlus พวกเขามีทั้งความน่าเชื่อถือและที่สำคัญที่สุดใช้งานง่าย (ไม่จำเป็นต้องมีการเข้ารหัส).

        []

        สุดยอดปลั๊กอินความปลอดภัยของ WordPress

        หลังจากการสำรองข้อมูลสิ่งต่อไปที่เราต้องทำคือการตั้งค่าระบบตรวจสอบและตรวจสอบที่ติดตามทุกสิ่งที่เกิดขึ้นบนเว็บไซต์ของคุณ.

        ซึ่งรวมถึงการตรวจสอบความสมบูรณ์ของไฟล์การพยายามลงชื่อเข้าใช้ล้มเหลวการสแกนมัลแวร์และอื่น ๆ.

        โชคดีที่ทั้งหมดนี้ได้รับการดูแลโดยปลั๊กอินรักษาความปลอดภัย WordPress ที่ดีที่สุด Sucuri Scanner.

        คุณต้องติดตั้งและเปิดใช้งานปลั๊กอิน Sucuri Security ฟรี สำหรับรายละเอียดเพิ่มเติมโปรดดูคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการติดตั้งปลั๊กอิน WordPress.

        เมื่อเปิดใช้งานคุณต้องไปที่เมนู Sucuri ในผู้ดูแลระบบ WordPress ของคุณ สิ่งแรกที่คุณจะต้องทำคือสร้างรหัส API ฟรี สิ่งนี้ทำให้สามารถบันทึกการตรวจสอบการตรวจสอบความสมบูรณ์การแจ้งเตือนทางอีเมลและคุณสมบัติสำคัญอื่น.

        สร้างคีย์ Sucuri API

        สิ่งต่อไปที่คุณต้องทำคือคลิกที่แท็บ “ชุบแข็ง” จากเมนูการตั้งค่า ทำตามทุกทางเลือกแล้วคลิกปุ่ม“ ใช้การชุบแข็ง”.

        ความปลอดภัยของซูกุริแข็งตัวขึ้น

        ตัวเลือกเหล่านี้ช่วยให้คุณสามารถล็อคพื้นที่สำคัญที่แฮกเกอร์มักใช้ในการโจมตี ตัวเลือกการชุบแข็งเพียงอย่างเดียวที่ต้องเสียค่าอัปเกรดคือ Web Application Firewall ซึ่งเราจะอธิบายในขั้นตอนถัดไปดังนั้นให้ข้ามไปก่อน.

        นอกจากนี้เรายังกล่าวถึงตัวเลือก“ การชุบแข็ง” จำนวนมากในภายหลังในบทความนี้สำหรับผู้ที่ต้องการทำโดยไม่ต้องใช้ปลั๊กอินหรือตัวเลือกที่ต้องการขั้นตอนเพิ่มเติมเช่น“ การเปลี่ยนแปลงคำนำหน้าฐานข้อมูล” หรือ“ การเปลี่ยนชื่อผู้ดูแลระบบ”.

        หลังจากส่วนที่ชุบแข็งแล้วการตั้งค่าปลั๊กอินเริ่มต้นจะดีพอสำหรับเว็บไซต์ส่วนใหญ่และไม่ต้องการการเปลี่ยนแปลงใด ๆ สิ่งเดียวที่เราแนะนำให้ปรับแต่งคือ ‘การแจ้งเตือนทางอีเมล’.

        การตั้งค่าการแจ้งเตือนเริ่มต้นสามารถทำให้กล่องจดหมายของคุณยุ่งเหยิงด้วยอีเมลได้ เราขอแนะนำให้รับการแจ้งเตือนสำหรับการกระทำที่สำคัญเช่นการเปลี่ยนแปลงในปลั๊กอินการลงทะเบียนผู้ใช้ใหม่ ฯลฯ คุณสามารถกำหนดค่าการแจ้งเตือนได้โดยไปที่การตั้งค่า Sucuri »การแจ้งเตือน.

        ตั้งค่าการแจ้งเตือนอีเมลความปลอดภัย

        ปลั๊กอินความปลอดภัย WordPress นี้มีประสิทธิภาพมาก, ดังนั้นเรียกดูแท็บและการตั้งค่าทั้งหมดเพื่อดูทุกอย่างที่ทำได้เช่นการสแกนมัลแวร์, บันทึกการตรวจสอบ, การติดตามความพยายามล้มเหลวในการเข้าสู่ระบบ ฯลฯ.

        เปิดใช้งาน Web Application Firewall (WAF)

        วิธีที่ง่ายที่สุดในการปกป้องไซต์ของคุณและมั่นใจในความปลอดภัยของ WordPress คือการใช้ไฟร์วอลล์เว็บแอปพลิเคชัน (WAF).

        ไฟร์วอลล์เว็บไซต์บล็อกการรับส่งข้อมูลที่เป็นอันตรายทั้งหมดก่อนที่จะถึงเว็บไซต์ของคุณ.

        ไฟร์วอลล์ระดับเว็บไซต์ DNS – ไฟร์วอลล์จะกำหนดเส้นทางปริมาณการใช้งานเว็บไซต์ของคุณผ่านพร็อกซีเซิร์ฟเวอร์คลาวด์ วิธีนี้ช่วยให้พวกเขาส่งปริมาณการใช้งานของแท้ไปยังเว็บเซิร์ฟเวอร์ของคุณ.

        Application ระดับไฟร์วอลล์ – ปลั๊กอินไฟร์วอลล์เหล่านี้ตรวจสอบปริมาณข้อมูลเมื่อมาถึงเซิร์ฟเวอร์ของคุณ แต่ก่อนที่จะโหลดสคริปต์ WordPress ส่วนใหญ่ วิธีนี้ไม่ได้มีประสิทธิภาพเท่ากับไฟร์วอลล์ระดับ DNS ในการลดการโหลดเซิร์ฟเวอร์.

        เพื่อเรียนรู้เพิ่มเติมดูรายการปลั๊กอินไฟร์วอลล์ของเวิร์ดเพรสที่ดีที่สุดของเรา.

        Sucuri WAF

        เรา ใช้และแนะนำ Sucuri เป็นไฟร์วอลล์แอปพลิเคชันเว็บที่ดีที่สุดสำหรับ WordPress คุณสามารถอ่านเกี่ยวกับวิธีที่ Sucuri ช่วยเราป้องกันการโจมตี WordPress 450,000 ครั้งในหนึ่งเดือน.

        การโจมตีถูกปิดกั้นโดย Sucuri

        ส่วนที่ดีที่สุดเกี่ยวกับไฟร์วอลล์ของ Sucuri คือมันมาพร้อมกับการล้างมัลแวร์และการลบบัญชีดำ โดยทั่วไปหากคุณถูกแฮ็กภายใต้การดูแลของพวกเขาพวกเขารับประกันว่าพวกเขาจะแก้ไขเว็บไซต์ของคุณ (ไม่ว่าคุณจะมีกี่หน้า).

        นี่คือการรับประกันที่แข็งแกร่งเพราะการซ่อมเว็บไซต์ที่ถูกแฮ็กนั้นมีราคาแพง ผู้เชี่ยวชาญด้านความปลอดภัยมักจะคิดค่าใช้จ่าย $ 250 ต่อชั่วโมง ในขณะที่คุณสามารถรับความปลอดภัยของ Sucuri ทั้งหมดได้ในราคา $ 199 ต่อปี.

        ปรับปรุงการรักษาความปลอดภัย WordPress ของคุณด้วยไฟร์วอลล์ Sucuri »

        Sucuri ไม่ได้เป็นเพียงผู้ให้บริการไฟร์วอลล์ระดับ DNS เท่านั้น คู่แข่งยอดนิยมอื่น ๆ คือ Cloudflare ดูการเปรียบเทียบ Sucuri ของเรากับ Cloudflare (ข้อดีและข้อเสีย).

        []

        ย้ายไซต์ WordPress ของคุณไปที่ SSL / HTTPS

        SSL (Secure Sockets Layer) เป็นโปรโตคอลที่เข้ารหัสการถ่ายโอนข้อมูลระหว่างเว็บไซต์ของคุณและเบราว์เซอร์ผู้ใช้ การเข้ารหัสนี้ทำให้ผู้อื่นดมกลิ่นและขโมยข้อมูลได้ยากขึ้น.

        SSL ทำงานอย่างไร

        เมื่อคุณเปิดใช้งาน SSL เว็บไซต์ของคุณจะใช้ HTTPS แทน HTTP คุณจะเห็นเครื่องหมายรูปกุญแจติดกับที่อยู่เว็บไซต์ของคุณในเบราว์เซอร์.

        โดยทั่วไปแล้วใบรับรอง SSL ออกใบรับรองโดยหน่วยงานออกใบรับรองและราคาเริ่มต้นจาก $ 80 ถึงหลายร้อยดอลลาร์ในแต่ละปี เนื่องจากมีค่าใช้จ่ายเพิ่มเจ้าของเว็บไซต์ส่วนใหญ่เลือกที่จะใช้โปรโตคอลที่ไม่ปลอดภัยต่อไป.

        ในการแก้ไขปัญหานี้องค์กรที่ไม่แสวงหาผลกำไรชื่อ Let’s Encrypt ตัดสินใจเสนอใบรับรอง SSL ฟรีให้กับเจ้าของเว็บไซต์ โครงการของพวกเขาได้รับการสนับสนุนโดย Google Chrome, Facebook, Mozilla และ บริษัท อื่น ๆ อีกมากมาย.

        ตอนนี้มันง่ายกว่าที่เคยเริ่มใช้ SSL สำหรับเว็บไซต์ WordPress ของคุณ บริษัท โฮสติ้งหลายแห่งกำลังเสนอใบรับรอง SSL ฟรีสำหรับเว็บไซต์ WordPress ของคุณ.

        หาก บริษัท ที่ให้บริการพื้นที่ของคุณไม่มีให้คุณสามารถซื้อจาก Domain.com ได้ พวกเขามีข้อตกลง SSL ที่ดีที่สุดและน่าเชื่อถือที่สุดในตลาด มันมาพร้อมกับการรับประกันความปลอดภัย $ 10,000 และตราประทับความปลอดภัย TrustLogo.

        WordPress การรักษาความปลอดภัยสำหรับผู้ใช้ DIY

        หากคุณทำทุกอย่างที่เราได้กล่าวถึงไปแล้วคุณจะอยู่ในสภาพดี.

        แต่เช่นเคยมีอีกมากมายที่คุณสามารถทำได้เพื่อเพิ่มความปลอดภัยให้กับ WordPress ของคุณ.

        บางขั้นตอนเหล่านี้อาจต้องใช้ความรู้การเข้ารหัส.

        เปลี่ยนชื่อผู้ใช้“ admin” เริ่มต้น

        ในสมัยก่อนชื่อผู้ใช้ผู้ดูแลระบบ WordPress เริ่มต้นคือ “ผู้ดูแลระบบ” เนื่องจากชื่อผู้ใช้ประกอบด้วยข้อมูลรับรองการเข้าสู่ระบบเพียงครึ่งเดียวสิ่งนี้ทำให้แฮกเกอร์สามารถทำการโจมตีแบบเดรัจฉานได้ง่ายขึ้น.

        โชคดีที่ WordPress มีการเปลี่ยนแปลงสิ่งนี้และตอนนี้คุณต้องเลือกชื่อผู้ใช้ที่กำหนดเองในขณะที่ติดตั้ง WordPress.

        อย่างไรก็ตามตัวติดตั้ง WordPress 1 คลิกบางตัวยังคงตั้งชื่อผู้ใช้ผู้ดูแลระบบเริ่มต้นเป็น “ผู้ดูแลระบบ” หากคุณสังเกตเห็นว่าเป็นกรณีนี้คุณควรเปลี่ยนเว็บโฮสติ้งของคุณ.

        เนื่องจาก WordPress ไม่อนุญาตให้คุณเปลี่ยนชื่อผู้ใช้โดยค่าเริ่มต้นมีสามวิธีที่คุณสามารถใช้เพื่อเปลี่ยนชื่อผู้ใช้.

        1. สร้างชื่อผู้ดูแลระบบใหม่และลบชื่อเก่า.
        2. ใช้ปลั๊กอินเปลี่ยนชื่อผู้ใช้
        3. อัปเดตชื่อผู้ใช้จาก phpMyAdmin

        เราได้กล่าวถึงทั้งสามอย่างนี้ในคู่มือโดยละเอียดเกี่ยวกับวิธีการเปลี่ยนชื่อผู้ใช้ WordPress ของคุณอย่างเหมาะสม (ทีละขั้นตอน).

        บันทึก: เรากำลังพูดถึงชื่อผู้ใช้ที่เรียกว่า “ผู้ดูแลระบบ” ไม่ใช่ผู้ดูแลระบบ.

        []

        ปิดใช้งานการแก้ไขไฟล์

        WordPress มาพร้อมกับโปรแกรมแก้ไขรหัสในตัวซึ่งช่วยให้คุณแก้ไขชุดรูปแบบและไฟล์ปลั๊กอินได้จากพื้นที่ผู้ดูแลระบบ WordPress ของคุณ คุณลักษณะนี้อาจมีความเสี่ยงด้านความปลอดภัยซึ่งเป็นสาเหตุที่เราแนะนำให้ปิดการใช้งาน.

        ปิดใช้งานการแก้ไขไฟล์ใน WordPress

        คุณสามารถทำได้โดยเพิ่มรหัสต่อไปนี้ในไฟล์ wp-config.php ของคุณ.

        // ไม่อนุญาตการแก้ไขไฟล์
        define (‘DISALLOW_FILE_EDIT’, จริง);

        หรือคุณสามารถทำได้ด้วยการคลิก 1 ครั้งโดยใช้คุณสมบัติการชุบแข็งในปลั๊กอิน Sucuri ฟรีที่เรากล่าวถึงข้างต้น.

        []

        ปิดใช้งานการเรียกใช้ไฟล์ PHP ในไดเรกทอรี WordPress บางตัว

        อีกวิธีหนึ่งในการเพิ่มความปลอดภัยให้กับ WordPress ของคุณคือการปิดใช้งานการเรียกใช้ไฟล์ PHP ในไดเรกทอรีที่ไม่ต้องการเช่น / wp-content / uploads /.

        คุณสามารถทำได้โดยเปิดตัวแก้ไขข้อความเช่น Notepad และวางรหัสนี้:

        ปฏิเสธจากทั้งหมด

        ถัดไปคุณต้องบันทึกไฟล์นี้เป็น .htaccess และอัปโหลดไปยัง / wp-content / อัพโหลด / โฟลเดอร์บนเว็บไซต์ของคุณโดยใช้ไคลเอนต์ FTP.

        สำหรับคำอธิบายโดยละเอียดเพิ่มเติมดูคำแนะนำเกี่ยวกับวิธีปิดการใช้งานการประมวลผล PHP ในไดเรกทอรี WordPress บางประเภท

        หรือคุณสามารถทำได้ด้วยการคลิก 1 ครั้งโดยใช้คุณสมบัติการชุบแข็งในปลั๊กอิน Sucuri ฟรีที่เรากล่าวถึงข้างต้น.

        []

        จำกัด ความพยายามเข้าสู่ระบบ

        ตามค่าเริ่มต้น WordPress อนุญาตให้ผู้ใช้พยายามเข้าสู่ระบบได้มากเท่าที่ต้องการ สิ่งนี้ทำให้ไซต์ WordPress ของคุณเสี่ยงต่อการถูกโจมตีอย่างดุเดือด แฮกเกอร์พยายามที่จะถอดรหัสผ่านโดยพยายามเข้าสู่ระบบด้วยชุดค่าผสมที่แตกต่างกัน.

        สิ่งนี้สามารถแก้ไขได้อย่างง่ายดายโดยการจำกัดความพยายามในการเข้าสู่ระบบที่ล้มเหลวที่ผู้ใช้สามารถทำได้ หากคุณใช้ไฟร์วอลล์เว็บแอปพลิเคชันที่กล่าวถึงก่อนหน้านี้สิ่งนี้จะได้รับการดูแลโดยอัตโนมัติ.

        อย่างไรก็ตามหากคุณไม่มีการตั้งค่าไฟร์วอลล์ให้ทำตามขั้นตอนด้านล่าง.

        ก่อนอื่นคุณต้องติดตั้งและเปิดใช้งานปลั๊กอินล็อคอินลงทะเบียน สำหรับรายละเอียดเพิ่มเติมดูที่คู่มือทีละขั้นตอนเกี่ยวกับวิธีการติดตั้งปลั๊กอิน WordPress.

        เมื่อเปิดใช้งานให้ไปที่ การตั้งค่า»ล็อคเข้าสู่ระบบลง หน้าเพื่อตั้งค่าปลั๊กอิน.

        ตัวเลือกการล็อคเข้าสู่ระบบ

        สำหรับคำแนะนำอย่างละเอียดดูที่คู่มือของเราเกี่ยวกับวิธีและเหตุผลที่คุณควรจำกัดความพยายามในการเข้าสู่ระบบใน WordPress.

        []

        เพิ่มการรับรองความถูกต้องของสองปัจจัย

        เทคนิคการตรวจสอบสิทธิ์แบบสองปัจจัยกำหนดให้ผู้ใช้เข้าสู่ระบบโดยใช้วิธีการตรวจสอบสิทธิ์แบบสองขั้นตอน สิ่งแรกคือชื่อผู้ใช้และรหัสผ่านและขั้นตอนที่สองคุณต้องรับรองความถูกต้องโดยใช้อุปกรณ์หรือแอปแยกต่างหาก.

        เว็บไซต์ออนไลน์ชั้นนำส่วนใหญ่เช่น Google, Facebook, Twitter ช่วยให้คุณสามารถเปิดใช้งานได้สำหรับบัญชีของคุณ นอกจากนี้คุณยังสามารถเพิ่มฟังก์ชันการทำงานเดียวกันให้กับเว็บไซต์ WordPress ของคุณ.

        ก่อนอื่นคุณต้องติดตั้งและเปิดใช้งานปลั๊กอินการตรวจสอบสิทธิ์แบบสองระดับ เมื่อเปิดใช้งานคุณจะต้องคลิกที่ลิงก์ ‘Two Factor Auth’ ใน WordPress admin sidebar.

        การตั้งค่าตัวตรวจสอบสองระดับ

        ถัดไปคุณจะต้องติดตั้งและเปิดแอพ authenticator ในโทรศัพท์ของคุณ มีหลายอย่างเช่น Google Authenticator, Authy และ LastPass Authenticator.

        เราขอแนะนำให้ใช้ LastPass Authenticator หรือ Authy เพราะทั้งคู่อนุญาตให้คุณสำรองข้อมูลบัญชีของคุณไปยังคลาวด์ สิ่งนี้มีประโยชน์มากในกรณีที่โทรศัพท์ของคุณสูญหายรีเซ็ตหรือคุณซื้อโทรศัพท์ใหม่ การเข้าสู่ระบบบัญชีทั้งหมดของคุณจะถูกกู้คืนได้อย่างง่ายดาย.

        เราจะใช้ LastPass Authenticator สำหรับการสอน อย่างไรก็ตามคำแนะนำนั้นคล้ายกันสำหรับแอปที่รับรองความถูกต้องทั้งหมด เปิดแอพ authenticator ของคุณแล้วคลิกที่ปุ่มเพิ่ม.

        เพิ่มเว็บไซต์

        คุณจะถูกถามว่าคุณต้องการสแกนไซต์ด้วยตนเองหรือสแกนบาร์โค้ด เลือกตัวเลือกสแกนบาร์โค้ดจากนั้นหันกล้องของโทรศัพท์ของคุณไปที่ QRcode ที่แสดงในหน้าการตั้งค่าปลั๊กอิน.

        นั่นคือทั้งหมดแอปตรวจสอบความถูกต้องของคุณจะบันทึก ครั้งต่อไปที่คุณเข้าสู่เว็บไซต์ของคุณคุณจะถูกถามถึงรหัสตรวจสอบความถูกต้องสองปัจจัยหลังจากคุณป้อนรหัสผ่าน.

        ป้อนรหัสรับรองความถูกต้องสองปัจจัยของคุณ

        เพียงเปิดแอป authenticator ในโทรศัพท์ของคุณและป้อนรหัสที่คุณเห็น.

        []

        เปลี่ยนคำนำหน้าฐานข้อมูล WordPress

        โดยค่าเริ่มต้น WordPress ใช้ wp_ เป็นส่วนนำหน้าสำหรับตารางทั้งหมดในฐานข้อมูล WordPress ของคุณ หากไซต์ WordPress ของคุณใช้คำนำหน้าฐานข้อมูลเริ่มต้นมันจะทำให้แฮกเกอร์เดาได้ง่ายขึ้นว่าชื่อตารางของคุณคืออะไร นี่คือเหตุผลที่เราแนะนำให้เปลี่ยน.

        คุณสามารถเปลี่ยนคำนำหน้าฐานข้อมูลของคุณได้โดยทำตามขั้นตอนการสอนตามขั้นตอนเกี่ยวกับวิธีเปลี่ยนคำนำหน้าฐานข้อมูล WordPress เพื่อปรับปรุงความปลอดภัย.

        บันทึก: การทำเช่นนี้อาจทำให้ไซต์ของคุณเสียหายหากดำเนินการไม่ถูกต้อง ดำเนินการต่อหากคุณรู้สึกสะดวกใจกับทักษะการเขียนโค้ด.

        []

        รหัสผ่านป้องกัน WordPress ผู้ดูแลระบบและหน้าเข้าสู่ระบบ

        รหัสผ่านป้องกัน WordPress admin area

        โดยปกติแฮกเกอร์สามารถร้องขอโฟลเดอร์ wp-admin ของคุณและหน้าเข้าสู่ระบบโดยไม่มีข้อ จำกัด วิธีนี้ช่วยให้พวกเขาลองใช้เทคนิคการแฮ็กหรือทำการโจมตี DDoS.

        คุณสามารถเพิ่มการป้องกันรหัสผ่านเพิ่มเติมในระดับฝั่งเซิร์ฟเวอร์ซึ่งจะบล็อกคำขอเหล่านั้นได้อย่างมีประสิทธิภาพ.

        ทำตามคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการป้องกันรหัสผ่านไดเรกทอรี WordPress admin (wp-admin) ของคุณ.

        []

        ปิดใช้งานการจัดทำดัชนีไดเรกทอรีและเรียกดู

        ปิดใช้งานการค้นหาไดเรกทอรี

        แฮกเกอร์สามารถเรียกดูไดเรกทอรีเพื่อดูว่าคุณมีไฟล์ที่มีช่องโหว่หรือไม่ดังนั้นพวกเขาจึงสามารถใช้ประโยชน์จากไฟล์เหล่านี้เพื่อเข้าถึง.

        ผู้อื่นสามารถเรียกดูไดเรกทอรีได้เพื่อค้นหาไฟล์คัดลอกรูปภาพค้นหาโครงสร้างไดเรกทอรีและข้อมูลอื่น ๆ นี่คือเหตุผลที่แนะนำเป็นอย่างยิ่งให้คุณปิดการทำดัชนีไดเรกทอรีและเรียกดู.

        คุณต้องเชื่อมต่อกับเว็บไซต์ของคุณโดยใช้ FTP หรือตัวจัดการไฟล์ของ cPanel จากนั้นค้นหาไฟล์. htaccess ในไดเรกทอรีรากของเว็บไซต์ของคุณ หากคุณมองไม่เห็นที่นั่นให้ดูคู่มือของเราว่าทำไมคุณไม่เห็นไฟล์. htaccess ใน WordPress.

        หลังจากนั้นคุณจะต้องเพิ่มบรรทัดต่อไปนี้ที่ท้ายไฟล์. htaccess:

        ตัวเลือก -Indexes

        อย่าลืมบันทึกและอัปโหลดไฟล์. htaccess กลับสู่เว็บไซต์ของคุณ สำหรับข้อมูลเพิ่มเติมในหัวข้อนี้ดูบทความของเราเกี่ยวกับวิธีปิดการใช้งานการค้นหาไดเรกทอรีใน WordPress.

        []

        ปิดการใช้งาน XML-RPC ใน WordPress

        XML-RPC เปิดใช้งานโดยค่าเริ่มต้นใน WordPress 3.5 เพราะช่วยเชื่อมต่อไซต์ WordPress ของคุณกับเว็บและแอพมือถือ.

        ด้วยลักษณะที่ทรงพลัง XML-RPC จึงสามารถขยายการโจมตีแบบเดรัจฉานได้อย่างมาก.

        ตัวอย่างเช่นตามเนื้อผ้าหากแฮกเกอร์ต้องการลอง 500 รหัสผ่านที่แตกต่างกันในเว็บไซต์ของคุณพวกเขาจะต้องทำการเข้าสู่ระบบ 500 ครั้งแยกต่างหากซึ่งจะถูกจับและถูกบล็อกโดยปลั๊กอินล็อคการล็อกเข้าสู่ระบบ.

        แต่ด้วย XML-RPC แฮ็กเกอร์สามารถใช้ system.multicall ฟังก์ชั่นเพื่อลองรหัสผ่านนับพันด้วยการร้องขอ 20 หรือ 50 คำขอ.

        นี่คือสาเหตุที่ถ้าคุณไม่ได้ใช้ XML-RPC เราขอแนะนำให้คุณปิดการใช้งาน.

        มี 3 วิธีในการปิดการใช้งาน XML-RPC ใน WordPress และเราได้ครอบคลุมทั้งหมดในขั้นตอนการสอนตามขั้นตอนเกี่ยวกับวิธีปิดการใช้งาน XML-RPC ใน WordPress.

        เคล็ดลับ: วิธีการ. htaccess เป็นวิธีที่ดีที่สุดเนื่องจากเป็นวิธีที่ใช้ทรัพยากรน้อยที่สุด.

        หากคุณกำลังใช้ไฟร์วอลล์ของเว็บแอปพลิเคชันที่กล่าวถึงก่อนหน้านี้สิ่งนี้จะได้รับการดูแลโดยไฟร์วอลล์.

        []

        ออกจากระบบผู้ใช้ Idle ใน WordPress โดยอัตโนมัติ

        ผู้ใช้ที่เข้าสู่ระบบบางครั้งสามารถเดินออกจากหน้าจอและสิ่งนี้มีความเสี่ยงด้านความปลอดภัย บางคนสามารถขโมยเซสชันเปลี่ยนรหัสผ่านหรือเปลี่ยนแปลงบัญชีของตนได้.

        นี่คือเหตุผลที่เว็บไซต์ธนาคารและการเงินหลายแห่งออกจากระบบโดยอัตโนมัติผู้ใช้ที่ไม่ได้ใช้งาน คุณสามารถใช้ฟังก์ชั่นที่คล้ายกันในเว็บไซต์ WordPress ของคุณได้เช่นกัน.

        คุณจะต้องติดตั้งและเปิดใช้งานปลั๊กอินใช้งานไม่ได้ใช้งาน เมื่อเปิดใช้งานให้ไปที่ การตั้งค่า»ออกจากระบบที่ไม่ใช้งาน หน้าเพื่อกำหนดการตั้งค่าปลั๊กอิน.

        ออกจากระบบผู้ใช้งานว่าง

        เพียงตั้งระยะเวลาและเพิ่มข้อความออกจากระบบ อย่าลืมคลิกที่ปุ่มบันทึกการเปลี่ยนแปลงเพื่อจัดเก็บการตั้งค่าของคุณ.

        []

        เพิ่มคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ WordPress

        เพิ่มคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ

        การเพิ่มคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบของคุณทำให้ผู้อื่นยากที่จะเข้าถึงโดยไม่ได้รับอนุญาต.

        คุณสามารถเพิ่มคำถามเพื่อความปลอดภัยได้โดยติดตั้งปลั๊กอิน WP Security Questions เมื่อเปิดใช้งานคุณต้องไปที่การตั้งค่า»หน้าคำถามเพื่อความปลอดภัยเพื่อกำหนดการตั้งค่าปลั๊กอิน.

        สำหรับคำแนะนำโดยละเอียดเพิ่มเติมดูบทช่วยสอนของเราเกี่ยวกับวิธีเพิ่มคำถามเพื่อความปลอดภัยในหน้าจอเข้าสู่ระบบ WordPress.

        []

        สแกน WordPress สำหรับมัลแวร์และช่องโหว่

        การสแกนมัลแวร์

        หากคุณติดตั้งปลั๊กอินความปลอดภัยของ WordPress ปลั๊กอินเหล่านั้นจะตรวจสอบมัลแวร์และสัญญาณการละเมิดความปลอดภัยเป็นประจำ.

        อย่างไรก็ตามหากคุณพบว่าปริมาณการเข้าชมเว็บไซต์หรืออันดับการค้นหาลดลงอย่างฉับพลันคุณอาจต้องทำการสแกนด้วยตนเอง คุณสามารถใช้ปลั๊กอินความปลอดภัยของ WordPress หรือใช้หนึ่งในมัลแวร์และสแกนเนอร์ความปลอดภัยเหล่านี้.

        การเรียกใช้การสแกนออนไลน์เหล่านี้ค่อนข้างตรงไปตรงมาคุณเพียงป้อน URL เว็บไซต์ของคุณและซอฟต์แวร์รวบรวมข้อมูลจะผ่านเว็บไซต์ของคุณเพื่อค้นหามัลแวร์ที่รู้จักและรหัสที่เป็นอันตราย.

        พึงระลึกไว้เสมอว่าเครื่องสแกนความปลอดภัย WordPress ส่วนใหญ่สามารถสแกนเว็บไซต์ของคุณได้ พวกเขาไม่สามารถลบมัลแวร์หรือล้างไซต์ WordPress ที่ถูกแฮ็ก.

        นี่จะนำเราไปสู่ส่วนถัดไปทำความสะอาดมัลแวร์และไซต์ WordPress ที่แฮ็ค.

        []

        แก้ไขไซต์ WordPress ที่แฮ็ก

        ผู้ใช้ WordPress หลายคนไม่ตระหนักถึงความสำคัญของการสำรองข้อมูลและความปลอดภัยของเว็บไซต์จนกว่าเว็บไซต์ของพวกเขาจะถูกแฮ็ก.

        การล้างไซต์ WordPress อาจเป็นเรื่องยากและเสียเวลา คำแนะนำแรกของเราคือการปล่อยให้มืออาชีพดูแลมัน.

        แฮกเกอร์ติดตั้งแบ็คดอร์บนไซต์ที่ได้รับผลกระทบและหากแบ็คดอร์เหล่านี้ไม่ได้รับการแก้ไขอย่างถูกต้องเว็บไซต์ของคุณอาจถูกแฮ็คอีกครั้ง.

        การอนุญาตให้ บริษัท รักษาความปลอดภัยระดับมืออาชีพเช่น Sucuri ทำการแก้ไขเว็บไซต์ของคุณจะทำให้มั่นใจได้ว่าเว็บไซต์ของคุณจะปลอดภัยในการใช้อีก มันจะปกป้องคุณจากการโจมตีในอนาคต.

        สำหรับผู้ใช้งานที่ชอบผจญภัยและ DIY เราได้รวบรวมคำแนะนำทีละขั้นตอนในการแก้ไขไซต์ WordPress ที่แฮ็ค.

        []

        เราหวังว่าบทความนี้จะช่วยให้คุณเรียนรู้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress และค้นพบปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดสำหรับเว็บไซต์ของคุณ.

        Jeffrey Wilson Administrator
        Sorry! The Author has not filled his profile.
        follow me
          Like this post? Please share to your friends:
          Adblock
          detector
          map