วิธีสร้างเว็บไซต์ WordPress ให้ปลอดภัย


การเปิดตัวไซต์ WordPress ของคุณเองในปัจจุบันนั้นค่อนข้างง่าย น่าเสียดายที่แฮกเกอร์จะใช้เวลาไม่นานในการเริ่มกำหนดเป้าหมายไซต์ของคุณ

วิธีที่ดีที่สุดในการทำให้ไซต์ WordPress ปลอดภัยคือการทำความเข้าใจทุกช่องโหว่ที่มาจากการเรียกใช้ไซต์ WordPress จากนั้นติดตั้งการรักษาความปลอดภัยที่เหมาะสมเพื่อบล็อกแฮกเกอร์ในแต่ละจุด

ในบทความนี้คุณจะได้เรียนรู้วิธีรักษาความปลอดภัยให้กับโดเมนของคุณการเข้าสู่ระบบ WordPress ของคุณและเครื่องมือและปลั๊กอินที่มีให้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress .

สร้างโดเมนส่วนตัว

ทุกวันนี้ง่ายเกินไปที่จะ ค้นหาโดเมนที่ใช้ได้ และซื้อในราคาที่ถูกมาก คนส่วนใหญ่ไม่เคยซื้อโดเมนเสริมสำหรับโดเมนของตน อย่างไรก็ตามส่วนเสริมอย่างหนึ่งที่คุณควรพิจารณาคือการปกป้องความเป็นส่วนตัว

การป้องกันความเป็นส่วนตัวของ GoDaddy มีสามระดับพื้นฐาน แต่ก็ตรงกับข้อเสนอของผู้ให้บริการโดเมนส่วนใหญ่ด้วย

  • พื้นฐาน: ซ่อนชื่อและข้อมูลติดต่อของคุณจากไดเรกทอรี WHOIS จะใช้ได้เฉพาะในกรณีที่รัฐบาลของคุณอนุญาตให้คุณซ่อนข้อมูลติดต่อโดเมน
  • เต็ม: แทนที่ข้อมูลของคุณเองด้วยที่อยู่อีเมลสำรองและข้อมูลติดต่อเพื่อปิดบังตัวตนจริงของคุณ
  • ขั้นสูงสุด: ความปลอดภัยเพิ่มเติมที่บล็อกการสแกนโดเมนที่เป็นอันตรายและรวมถึงการตรวจสอบความปลอดภัยของเว็บไซต์สำหรับไซต์จริงของคุณ

    โดยปกติแล้วการอัปเกรดโดเมนของคุณ หนึ่งในระดับความปลอดภัยเหล่านี้เพียงแค่ต้องเลือกอัปเกรดจากดรอปดาวน์ในหน้ารายการโดเมนของคุณ

    การป้องกันโดเมนขั้นพื้นฐานค่อนข้างถูก (โดยปกติจะอยู่ที่ประมาณ $ 9.99 / ปี) และระดับความปลอดภัยที่สูงกว่านั้น แพงกว่ามาก

    นี่เป็นวิธีที่ดีเยี่ยมในการหยุดนักส่งสแปมไม่ให้ขูดข้อมูลติดต่อของคุณออกจากฐานข้อมูล WHOIS หรือบุคคลอื่นที่มีเจตนาร้ายที่ต้องการเข้าถึงข้อมูลติดต่อของคุณ

    ซ่อน wp- config.php และ. htaccess Files

    เมื่อคุณ ติดตั้ง WordPress เป็นครั้งแรกคุณจะต้องใส่ ID ผู้ดูแลระบบและรหัสผ่านสำหรับฐานข้อมูล WordPress SQL ของคุณในไฟล์ wp-config.php .

    ข้อมูลนั้นได้รับการเข้ารหัสหลังการติดตั้ง แต่คุณยังต้องการป้องกันไม่ให้แฮกเกอร์แก้ไขไฟล์นี้และทำลายเว็บไซต์ของคุณ ในการดำเนินการนี้ให้ค้นหาและแก้ไขไฟล์. htaccess ในโฟลเดอร์รากของไซต์ของคุณและเพิ่มโค้ดต่อไปนี้ที่ด้านล่างของไฟล์

    # protect wpconfig.php
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>

    เพื่อป้องกันการเปลี่ยนแปลง htaccess เองให้เพิ่มสิ่งต่อไปนี้ที่ด้านล่างของไฟล์ด้วย

    # Protect .htaccess file
    <Files .htaccess>
    order allow,deny
    deny from all
    </Files>

    บันทึกไฟล์และออกจากโปรแกรมแก้ไขไฟล์

    คุณอาจลองคลิกขวาที่แต่ละไฟล์และเปลี่ยนสิทธิ์เพื่อลบสิทธิ์การเขียนทั้งหมดสำหรับทุกคน

    ในขณะที่ดำเนินการนี้ในไฟล์ wp-config.php ไม่ควรทำให้เกิดปัญหาใด ๆ แต่การทำบน. htaccess อาจทำให้เกิดปัญหาได้ โดยเฉพาะอย่างยิ่งหากคุณใช้ปลั๊กอิน WordPress ด้านความปลอดภัยที่อาจต้องแก้ไขไฟล์. htaccess ให้คุณ

    หากคุณได้รับข้อผิดพลาดใด ๆ จาก WordPress คุณสามารถอัปเดตการอนุญาตเพื่ออนุญาตการเข้าถึงการเขียนบนไฟล์. htaccess อีกครั้ง

    เปลี่ยน URL การเข้าสู่ระบบ WordPress ของคุณ

    เนื่องจากหน้าเข้าสู่ระบบเริ่มต้นสำหรับไซต์ WordPress ทุกไซต์คือ yourdomain / wp-admin.php แฮกเกอร์จะใช้ URL นี้เพื่อพยายามแฮ็ก ในไซต์ของคุณ

    พวกเขาจะทำสิ่งนี้ผ่านสิ่งที่เรียกว่าการโจมตีแบบ "กำลังดุร้าย" ซึ่งจะส่งชื่อผู้ใช้และรหัสผ่านทั่วไปที่หลายคนมักใช้ แฮกเกอร์หวังว่าพวกเขาจะโชคดีและได้ชุดค่าผสมที่เหมาะสม

    คุณสามารถหยุดการโจมตีเหล่านี้ได้ทั้งหมดโดยเปลี่ยน URL เข้าสู่ระบบ WordPress ของคุณเป็นสิ่งที่ไม่ได้มาตรฐาน

    มีปลั๊กอิน WordPress มากมายที่จะช่วยคุณทำสิ่งนี้ หนึ่งในสิ่งที่พบบ่อยที่สุดคือ WPS ซ่อนการเข้าสู่ระบบ.

    ปลั๊กอินนี้จะเพิ่มส่วนในแท็บ ทั่วไปภายใต้ การตั้งค่าใน WordPress

    คุณสามารถพิมพ์ URL สำหรับเข้าสู่ระบบใดก็ได้ที่คุณต้องการและเลือก บันทึกการเปลี่ยนแปลงเพื่อเปิดใช้งาน ครั้งต่อไปที่คุณต้องการลงชื่อเข้าใช้ไซต์ WordPress ของคุณให้ใช้ URL ใหม่นี้

    หากมีใครพยายามเข้าถึง URL ผู้ดูแลระบบ wp เก่าของคุณพวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้า 404 ของไซต์ของคุณ

    หมายเหตุ: หากคุณใช้ปลั๊กอินแคชอย่าลืมเพิ่ม URL สำหรับเข้าสู่ระบบใหม่ของคุณในรายการไซต์ที่ ไม่เป็นแคช จากนั้นอย่าลืมล้างแคชก่อนที่คุณจะกลับเข้าสู่เว็บไซต์ WordPress ของคุณอีกครั้ง

    ติดตั้งปลั๊กอินความปลอดภัยของ WordPress

    มี ปลั๊กอินความปลอดภัยของ WordPress จำนวนมากถึง เลือกจาก. ในบรรดาทั้งหมดนั้น Wordfence เป็นเวอร์ชันที่ดาวน์โหลดบ่อยที่สุดด้วยเหตุผลที่ดี

    Wordfence เวอร์ชันฟรีมีเครื่องมือสแกนที่มีประสิทธิภาพซึ่งค้นหาภัยคุกคามลับๆ รหัสที่เป็นอันตรายในปลั๊กอินของคุณ หรือบนไซต์ของคุณภัยคุกคามการฉีด MySQL และอื่น ๆ นอกจากนี้ยังมีไฟร์วอลล์เพื่อป้องกันภัยคุกคามที่ใช้งานอยู่เช่นการโจมตี DDOS

    นอกจากนี้ยังช่วยให้คุณหยุดการโจมตีแบบเดรัจฉานโดย จำกัด การพยายามเข้าสู่ระบบและล็อกไม่ให้ผู้ใช้พยายามเข้าสู่ระบบที่ไม่ถูกต้องมากเกินไป

    มีการตั้งค่าค่อนข้างน้อย ในเวอร์ชันฟรี มากเกินพอที่จะปกป้องเว็บไซต์ขนาดเล็กถึงขนาดกลางจากการโจมตีส่วนใหญ่

    นอกจากนี้ยังมีหน้าแดชบอร์ดที่มีประโยชน์ซึ่งคุณสามารถตรวจสอบเพื่อตรวจสอบภัยคุกคามและการโจมตีล่าสุดที่ถูกบล็อกได้

    ใช้ WordPress Password Generator และ 2FA

    สิ่งสุดท้ายที่คุณต้องการคือให้แฮกเกอร์เดารหัสผ่านของคุณได้อย่างง่ายดาย น่าเสียดายที่มีคนจำนวนมากใช้รหัสผ่านที่เรียบง่ายและคาดเดาได้ง่าย ตัวอย่างบางส่วน ได้แก่ การใช้ชื่อเว็บไซต์หรือชื่อของผู้ใช้เป็นส่วนหนึ่งของรหัสผ่านหรือไม่ใช้อักขระพิเศษใด ๆ

    หากคุณอัปเกรดเป็น WordPress เวอร์ชันล่าสุดคุณจะสามารถเข้าถึงเครื่องมือรักษาความปลอดภัยด้วยรหัสผ่านที่มีประสิทธิภาพเพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณ

    ขั้นตอนแรกในการปรับปรุงความปลอดภัยของรหัสผ่านคือไปที่ผู้ใช้แต่ละรายสำหรับไซต์ของคุณเลื่อนลงไปที่ส่วนการจัดการบัญชีและเลือกปุ่ม สร้างรหัสผ่าน

    สิ่งนี้จะสร้างรหัสผ่านที่ยาวและปลอดภัยมากซึ่งประกอบด้วยตัวอักษรตัวเลขและอักขระพิเศษ บันทึกรหัสผ่านนี้ไว้ในที่ปลอดภัยโดยเฉพาะอย่างยิ่งในเอกสารในไดรฟ์ภายนอกที่คุณสามารถยกเลิกการเชื่อมต่อกับคอมพิวเตอร์ขณะที่คุณออนไลน์

    เลือก ออกจากระบบทุกที่อื่นเพื่อให้แน่ใจว่าทั้งหมด เซสชันที่ใช้งานอยู่ถูกปิด

    ในที่สุดหากคุณติดตั้งปลั๊กอินความปลอดภัย Wordfence คุณจะเห็นปุ่ม เปิดใช้งาน 2FAเลือกตัวเลือกนี้เพื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับการเข้าสู่ระบบผู้ใช้ของคุณ

    หากคุณไม่ได้ใช้ Wordfence คุณจะต้องติดตั้งปลั๊กอิน 2FA ที่เป็นที่นิยมเหล่านี้

    • Google Authenticator
    • การรับรองความถูกต้องสองปัจจัย
    • Rublon Two-Factor Authentication
    • Duo Two-Factor Authentication

      ข้อควรพิจารณาด้านความปลอดภัยที่สำคัญอื่น ๆ

      มีอีกสองสามอย่างที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณอย่างเต็มที่

      ทั้ง ปลั๊กอิน WordPress และเวอร์ชันของ WordPress ควรได้รับการอัปเดตตลอดเวลา แฮกเกอร์มักพยายามใช้ช่องโหว่ของโค้ดเวอร์ชันเก่าบนไซต์ของคุณ หากคุณไม่อัปเดตทั้งสองอย่างนี้แสดงว่าคุณกำลังเสี่ยงต่อการออกจากไซต์ของคุณ

      1. เลือก ปลั๊กอินและ ปลั๊กอินที่ติดตั้งในแผงการดูแลระบบ WordPress ของคุณเป็นประจำ ตรวจสอบปลั๊กอินทั้งหมดสำหรับสถานะที่ระบุว่ามีเวอร์ชันใหม่

      เมื่อคุณเห็นรายการที่ล้าสมัยให้เลือก อัปเดตทันทีคุณอาจพิจารณาเลือกเปิดใช้งานการอัปเดตอัตโนมัติสำหรับปลั๊กอินของคุณ

      อย่างไรก็ตามบางคนระมัดระวังในการดำเนินการนี้เนื่องจากบางครั้งการอัปเดตปลั๊กอินอาจทำให้ไซต์หรือธีมของคุณเสียหายได้ ดังนั้นคุณควรทดสอบการอัปเดตปลั๊กอินบน ไซต์ทดสอบ WordPress ในพื้นที่ เสมอก่อนที่จะเปิดใช้งานบนไซต์ที่ใช้งานจริงของคุณ

      2. เมื่อคุณลงชื่อเข้าใช้แดชบอร์ด WordPress คุณจะเห็นการแจ้งเตือนว่า WordPress ล้าสมัยหากคุณใช้งานเวอร์ชันเก่ากว่า

      อีกครั้งสำรองไซต์และโหลดลงใน ไซต์ทดสอบในเครื่องบนพีซีของคุณเองเพื่อทดสอบว่าการอัปเดต WordPress ไม่ทำให้ไซต์ของคุณเสียหายก่อนที่คุณจะอัปเดตบนเว็บไซต์จริง

      3. ใช้ประโยชน์จากคุณสมบัติความปลอดภัยฟรีของโฮสต์เว็บของคุณ โฮสต์เว็บส่วนใหญ่เสนอบริการรักษาความปลอดภัยฟรีมากมายสำหรับไซต์ที่คุณโฮสต์ที่นั่น พวกเขาทำเช่นนี้เพราะไม่เพียง แต่ปกป้องไซต์ของคุณ แต่ยังช่วยให้เซิร์ฟเวอร์ทั้งหมดปลอดภัยอีกด้วย สิ่งนี้สำคัญอย่างยิ่งเมื่อคุณอยู่ในบัญชีโฮสติ้งที่ใช้ร่วมกันซึ่งลูกค้ารายอื่นมีเว็บไซต์บนเซิร์ฟเวอร์เดียวกัน

      สิ่งเหล่านี้มักรวมถึงการติดตั้ง ความปลอดภัย SSL ฟรี สำหรับไซต์ของคุณ สำรองข้อมูลฟรี ความสามารถในการบล็อกที่อยู่ IP ที่เป็นอันตรายและแม้แต่เครื่องสแกนไซต์ฟรีซึ่งจะเป็นประจำ สแกนไซต์ของคุณเพื่อหาโค้ดที่เป็นอันตรายหรือช่องโหว่

      การเรียกใช้เว็บไซต์ไม่ง่ายเหมือนการติดตั้ง WordPress และเพียงแค่โพสต์เนื้อหา สิ่งสำคัญคือต้องทำให้เว็บไซต์ WordPress ของคุณปลอดภัยที่สุด เคล็ดลับทั้งหมดข้างต้นสามารถช่วยให้คุณทำได้โดยไม่ต้องออกแรงมากเกินไป

      กระทู้ที่เกี่ยวข้อง:


      27.10.2020