WordPress Security – 24 เคล็ดลับในการทำให้เว็บไซต์ของคุณปลอดภัยจากแฮกเกอร์

การรักษาความปลอดภัย WordPress ควรเป็นสิ่งสำคัญอันดับแรกเมื่อจัดการเว็บไซต์ คุณออกแบบเว็บไซต์ของคุณเผยแพร่เนื้อหาขายสินค้าออนไลน์ แต่ถ้าคุณไม่จริงจังกับความปลอดภัยของ WordPress เว็บไซต์ของคุณสามารถแฮ็คได้ทุกเวลา. 


ทุก ๆ วัน 30,000 เว็บไซต์ถูกแฮ็คและมากกว่า 2,000 เว็บไซต์ถูกขึ้นบัญชีดำโดย Google คุณไม่ใช่ข้อยกเว้น หากเว็บไซต์ของรัฐบาลสามารถถูกแฮ็กได้ทำไมไม่ทำเช่นนั้น?

เช้าวันหนึ่งคุณตื่นขึ้นมาและดูเว็บไซต์ WordPress ของคุณไม่สามารถเข้าถึงได้และดูข้อความแบบสุ่มเช่น,

“ เว็บไซต์ของคุณถูกแฮ็กโดย xyz” – ไซต์ถูกแฮ็ก

“ ไซต์ข้างหน้ามีมัลแวร์” – ขึ้นบัญชีดำโดย Google

นี่คือสิ่งที่เลวร้ายที่สุดที่คุณเคยเจอกับเว็บไซต์ของคุณ.

แต่ทำไม WordPress?

WordPress ให้อำนาจมากกว่า 31% (80 ล้าน) จากเว็บไซต์ทั้งหมดบนเว็บ ตามที่ W3Techs, WordPress มีส่วนแบ่งตลาด CMS 60% มากกว่าแพลตฟอร์มอื่น ๆ ซึ่งเป็นเหตุผลที่ค่อนข้างดีในการดึงดูดแฮ็กเกอร์.

แต่อย่าตกใจ การรักษาความปลอดภัยของ WordPress นั้นง่ายมากและคุณก็ทำได้เช่นกัน.

ในบทความนี้ฉันจะแบ่งปัน 24 เคล็ดลับความปลอดภัย WordPress ที่ดีที่สุดเพื่อปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และมัลแวร์.

“ ทำไมไม่ทำประตูสู่วังของคุณหายไปก่อนที่พวกเขาจะค้นพบมัน?” – WPMyWeb

Contents

ปัญหาด้านความปลอดภัย WordPress ทั่วไป

ก่อนที่เราจะเจาะลึกแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเวิร์ดเพรสก่อนอื่นให้ทำความเข้าใจกับปัญหาด้านความปลอดภัย WordPress ทั่วไปก่อน.

ผู้ใช้หลายคนเชื่อว่า WordPress ไม่ใช่แพลตฟอร์มที่ปลอดภัยสำหรับธุรกิจซึ่งไม่เป็นความจริง แต่อย่างใด นี่เป็นเพราะการขาดความรู้เกี่ยวกับความปลอดภัยของ WordPress, การบริหารระบบที่ไม่ดี, การใช้ซอฟต์แวร์ WordPress และปลั๊กอินที่ล้าสมัยเป็นต้น.

ผู้เริ่มต้น WordPress หลายคนคิดว่าการสร้างเว็บไซต์เป็นจุดสิ้นสุดและไม่จำเป็นต้องมีการบำรุงรักษาความปลอดภัย นี่คือวิธีที่คุณออกจากเว็บไซต์ของคุณเสี่ยง.

เมื่อแฮกเกอร์พบว่ามีช่องโหว่ในไซต์ของคุณพวกเขาสามารถใช้ประโยชน์จากไซต์ของคุณได้อย่างง่ายดาย.

ลองดูปัญหาความปลอดภัยของ WordPress ทั่วไป.

1. การโจมตีของ Brute Force: 

ในการโจมตีแบบเดรัจฉานจะใช้สคริปต์อัตโนมัติเพื่อสร้างชื่อผู้ใช้และรหัสผ่านที่หลากหลาย Hacker ใช้หน้าเข้าสู่ระบบของ WordPress เพื่อเรียกใช้การโจมตีแบบดุร้าย. 

หากคุณใช้ชื่อผู้ใช้และรหัสผ่านอย่างง่ายคุณอาจตกเป็นเหยื่อรายต่อไปของการโจมตีครั้งนี้.

2. การเขียนสคริปต์ข้ามไซต์ (XSS):

Cross Site Scripting เป็นประเภทของการโจมตีที่ผู้โจมตีฉีดโค้ด / สคริปต์ที่เป็นอันตรายลงในเว็บไซต์ที่เชื่อถือได้ วิธีแฮ็คนี้จะไม่ปรากฏแก่ผู้ใช้ที่กำลังท่องเว็บไซต์.

สคริปต์ที่เป็นอันตรายเหล่านี้โหลดโดยไม่ระบุชื่อและขโมยข้อมูลจากเบราว์เซอร์ของผู้ใช้ แม้ว่าผู้ใช้จะป้อนข้อมูลใด ๆ ในรูปแบบใดก็ตามข้อมูลอาจถูกขโมยได้.

3. การฉีด SQL:

WordPress ใช้ฐานข้อมูล MySQL เพื่อจัดเก็บข้อมูลบล็อก.

การฉีด SQL เกิดขึ้นเมื่อแฮกเกอร์เข้าถึงฐานข้อมูล WordPress ด้วยการแฮ็คฐานข้อมูล WordPress ทำให้แฮกเกอร์สามารถสร้างบัญชีผู้ดูแลระบบใหม่ที่มีการเข้าถึงเว็บไซต์ของคุณได้อย่างสมบูรณ์.

พวกเขายังสามารถแทรกข้อมูลลงในฐานข้อมูล MySQL ของคุณและเพิ่มลิงค์ไปยังเว็บไซต์ที่เป็นอันตรายหรือสแปม.

4. แบ็คดอร์:

ด้วยชื่อ“ ประตูหลัง” คุณสามารถเข้าใจความหมายของมัน. 

แบ็คดอร์เป็นวิธีการแฮ็คที่อนุญาตให้แฮกเกอร์เข้าเว็บไซต์โดยผ่านขั้นตอนการตรวจสอบสิทธิ์ตามปกติ.

หลังจากแฮ็คเว็บไซต์แฮ็กเกอร์มักจะออกจากพื้นที่ของพวกเขาเพื่อให้พวกเขาสามารถเข้าถึงเว็บไซต์ได้แม้แฮ็กจะถูกลบออก.

5. ยา Hacks:

WordPress Pharma hacks เป็นสแปมเว็บไซต์ที่เติมผลลัพธ์ของเครื่องมือค้นหาด้วยเนื้อหาร้านขายยาสแปมซึ่งถูกแบนบนเว็บเช่นไวอากร้า, เน็กเซียม, เซียลิสและอื่น ๆ.

ซึ่งแตกต่างจากการแฮ็ก WordPress อื่น ๆ ผลลัพธ์การแฮ็ก Pharma จะปรากฏเฉพาะกับเครื่องมือค้นหา ดังนั้นคุณจึงไม่สามารถมองเห็นแฮ็คได้เพียงแค่ดูเว็บไซต์หรือซอร์สโค้ดของคุณ.

ไปที่ Google แล้วพิมพ์ เว็บไซต์: domain.com. หากผลการค้นหาแสดงเนื้อหาเว็บไซต์ของคุณ (ไม่ใช่เนื้อหาร้านขายยา) แสดงว่าเว็บไซต์ของคุณไม่ได้รับผลกระทบจากการแฮ็กยา.

เป้าหมายของการแฮ็คนี้คือการใช้ประโยชน์จากเพจที่มีค่าที่สุดของคุณโดยการแทนที่แท็กชื่อด้วยลิงก์ที่เป็นอันตราย ไม่ต้องพูดถึงหากคุณไม่ได้ตรวจสอบเรื่องนี้ก่อนเครื่องมือค้นหาเช่น Google, Bing สามารถขึ้นบัญชีดำของคุณเพื่อนำเสนอเนื้อหาที่เป็นอันตราย.

6. การเปลี่ยนเส้นทางที่เป็นอันตราย:

การเปลี่ยนเส้นทางที่เป็นอันตรายของ WordPress เป็นแฮ็คชนิดหนึ่งที่ผู้เข้าชมเว็บไซต์ของคุณถูกเปลี่ยนเส้นทางไปยังไซต์สแปมโดยอัตโนมัติเช่นการพนันสื่อลามกเว็บไซต์หาคู่ แฮ็คนี้เกิดขึ้นเมื่อมีการแทรกโค้ดที่เป็นอันตรายลงในไฟล์หรือฐานข้อมูลของเว็บไซต์ของคุณ.

หากไซต์ของคุณเปลี่ยนเส้นทางผู้เข้าชมไปยังไซต์ที่ผิดกฎหมายหรือเป็นอันตรายไซต์ของคุณอาจถูกขึ้นบัญชีดำโดย Google.

ทำไม WordPress Security ถึงมีความสำคัญ?

เว็บไซต์ของคุณแสดงถึงแบรนด์ธุรกิจของคุณและที่สำคัญที่สุดคือการติดต่อครั้งแรกกับลูกค้าของคุณ.

คุณอาจต้องใช้เวลาหลายปีในการพยายามทำธุรกิจของคุณให้เติบโตและเพิ่มจำนวนผู้เข้าชม ผู้ชมของคุณชื่นชอบบทความของคุณและเชื่อมั่นในผลิตภัณฑ์ของคุณนั่นคือสาเหตุที่พวกเขาติดต่อกับคุณ.

หากไซต์ WordPress ของคุณไม่ปลอดภัยมีหลายวิธีที่ทั้งเว็บไซต์ของคุณและลูกค้าของคุณจะได้รับผลกระทบ แฮกเกอร์สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้รหัสผ่านรายละเอียดบัตรเครดิตข้อมูลธุรกรรมและสามารถแจกจ่ายมัลแวร์ไปยังผู้ใช้ของคุณ.

หากไซต์ของคุณถูกแฮ็กคุณจะสังเกตเห็นว่าการเข้าชมของคุณลดลงอย่างมาก นอกจากนี้ Google จะขึ้นบัญชีดำในเว็บไซต์ของคุณ.

ให้เป็นไปตาม บล็อก Google, จำนวนเว็บไซต์ที่ถูกแฮ็กเพิ่มขึ้นประมาณ 20% ในปี 2559 เมื่อเทียบกับปี 2558.

ในการศึกษา Securi รายงาน ที่ Google บัญชีดำกว่า 10,000 เว็บไซต์ทุกวัน.

หากคุณจริงจังกับธุรกิจของคุณคุณต้องให้ความสำคัญกับความปลอดภัยของ WordPress เป็นพิเศษ.

ความปลอดภัยของ WordPress

สุดยอดคู่มือการรักษาความปลอดภัย WordPress

  1. รับโฮสติ้ง WordPress ที่ดี
  2. อัปเดตเวอร์ชัน WordPress แล้ว
  3. อย่าใช้ธีมหรือปลั๊กอินใด ๆ ที่ Nulled / Cracked
  4. ใช้รหัสผ่านที่คาดเดายาก
  5. เพิ่ม (2FA) การตรวจสอบสองปัจจัย
  6. เปลี่ยน URL ล็อกอินของ WordPress
  7. จำกัด ความพยายามเข้าสู่ระบบ
  8. สำรองเว็บไซต์ของคุณเป็นประจำ
  9. ใช้ปลั๊กอินความปลอดภัยของ WordPress
  10. ล็อกเอาต์ผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ
  11. เพิ่มคำถามเพื่อความปลอดภัยไปยังหน้าเข้าสู่ระบบ WordPress
  12. เปลี่ยนชื่อผู้ใช้“ admin” เริ่มต้น
  13. กำหนดผู้ใช้ให้มีบทบาทต่ำที่สุดเท่าที่จะเป็นไปได้
  14. ตรวจสอบการเปลี่ยนแปลงไฟล์และกิจกรรมของผู้ใช้
  15. ติดตั้งใบรับรอง SSL
  16. ลบธีมและปลั๊กอินที่ไม่ได้ใช้
  17. ปิดใช้งานการแก้ไขไฟล์ในแผงควบคุม WordPress
  18. รหัสผ่านป้องกันหน้าเข้าสู่ระบบ WordPress
  19. ปิดใช้งานการค้นหาไดเรกทอรี
  20. ลบหมายเลขรุ่น WordPress ของคุณ
  21. เปลี่ยนคำนำหน้าตารางฐานข้อมูล WordPress
  22. ใช้ธีมและปลั๊กอิน WordPress ที่เชื่อถือได้เท่านั้น
  23. ปิดใช้งานการรายงานข้อผิดพลาด PHP
  24. เพิ่ม HTTP Secure Headers ไปยัง WordPress

พร้อมหรือยัง? เริ่มกันเลย.

1. รับโฮสติ้ง WordPress ที่ดี

โฮสติ้ง WordPress มีบทบาทสำคัญเมื่อพูดถึงการปรับปรุงความปลอดภัยของ WordPress.

คุณจ่ายค่าบริการโฮสติ้งและเว็บไซต์ของคุณอยู่ภายใต้การควบคุมของพวกเขา ดังนั้นคุณควรระมัดระวังก่อนเลือก WordPress โฮสติ้งที่ดีสำหรับเว็บไซต์ของคุณ.

โฮสติ้งที่ใช้ร่วมกันเช่น A2Hosting, Bluehost เป็นต้นเป็นตัวเลือกโฮสติ้งที่ดีที่สุดในการเรียกใช้บล็อกการรับส่งข้อมูลต่ำ แต่ในพื้นที่สาธารณะจะมีโอกาสเกิดการปนเปื้อนข้ามไซต์ได้เสมอ.

การปนเปื้อนข้ามไซต์เกิดขึ้นเมื่อแฮกเกอร์สามารถเข้าถึงเว็บเซิร์ฟเวอร์ผ่านเว็บไซต์ที่มีช่องโหว่ได้และใช้ประโยชน์จากเว็บไซต์อื่น ๆ ทั้งหมดบนเว็บเซิร์ฟเวอร์เดียวกัน.

เราแนะนำให้ใช้ผู้ให้บริการโฮสต์ WordPress ที่มีการจัดการ บริษัท โฮสติ้ง WordPress ที่มีการจัดการนั้นมีตัวเลือกการรักษาความปลอดภัยหลายชั้นสำหรับเว็บไซต์ แพลตฟอร์มโฮสติ้งของพวกเขามีความปลอดภัยสูงและมีการสแกนมัลแวร์รายวันและป้องกันการโจมตีจากภายนอก หากพบว่ามีมัลแวร์อยู่บนเซิร์ฟเวอร์พวกเขาจะรับผิดชอบและลบทิ้งทันที.

พวกเขายังมีการสำรองข้อมูลรายวันใบรับรอง SSL ฟรีการสนับสนุนจากผู้เชี่ยวชาญ 24 × 7.

เราขอแนะนำ บริษัท โฮสติ้ง WordPress ที่จัดการโดย WPEngine พวกมันมีเลเยอร์ความปลอดภัยหลายระดับเพื่อปกป้องไซต์ WordPress ของคุณ ด้วยแผนของพวกเขาคุณจะได้รับการสำรองข้อมูลรายวัน SSL ฟรี CDN ทั่วโลกและการสนับสนุนจากผู้เชี่ยวชาญ 24 × 7.

เยือน WPEngine. [เพิ่มรหัสส่วนลดในลิงค์นี้]

กลับไปด้านบน

2. อัปเดตเวอร์ชัน WordPress เสมอ

การทำให้ไซต์ WordPress ของคุณทันสมัยอยู่เสมอวิธีปฏิบัติด้านความปลอดภัยที่ดีสำหรับการทำให้ความปลอดภัย WordPress ของคุณแข็งแกร่งขึ้น อัปเดตนี้รวมถึงรุ่น WordPress, ปลั๊กอินและธีม.

ในการศึกษาล่าสุด, Securi วิเคราะห์ ที่ 56% ของเว็บไซต์ที่ติดเชื้อ WordPress ทั้งหมดยังคงล้าสมัย หากคุณเป็นหนึ่งในนั้นคุณกำลังตกอยู่ในอันตราย.

มีการค้นพบช่องโหว่ใหม่ทุกวันและไม่มีทางหยุดพวกเขาได้ ซอฟต์แวร์และปลั๊กอินที่ล้าสมัยสามารถมีช่องโหว่ที่แฮ็กเกอร์สามารถใช้เพื่อหาช่องโหว่ในไซต์.

ทุกครั้งที่มีการอัพเดทนักพัฒนามีฟีเจอร์ใหม่แก้ไขช่องโหว่ความปลอดภัยแก้ไขบั๊ก ฯลฯ เช่นเดียวกับซอฟต์แวร์ WordPress คุณต้องอัพเดตธีมและปลั๊กอิน WordPress ของคุณ.

สิ่งที่ดีคือ WordPress จะทำการอัพเดทโดยอัตโนมัติและแจ้งให้ผู้ใช้ทราบ.

การอัปเดตเวอร์ชันของ WordPress ปลั๊กอินและธีมนั้นง่ายมากและคุณสามารถทำได้ผ่านแผงควบคุมของ WordPress admin.

วิธีอัปเดต WordPress, ปลั๊กอินและธีม?

ก่อนเข้าสู่แผงควบคุม WordPress ของคุณและไปที่ แผงควบคุม> อัพเดท. คุณสามารถดูได้ว่ามีการอัปเดตใหม่หรือไม่.

บันทึก: ก่อนอัปเดตเวอร์ชัน WordPress ให้ทำการสำรองไฟล์และฐานข้อมูลของคุณแบบเต็ม ในกรณีที่มีข้อผิดพลาดเกิดขึ้นคุณสามารถคืนค่าไซต์ของคุณเป็นเวอร์ชันก่อนหน้าได้อย่างง่ายดาย คุณสามารถสำรองและคืนค่าไซต์ของคุณได้อย่างง่ายดายโดยใช้ BlogVault เพียงแค่คลิกเดียว.

จากหน้านี้คุณจะเห็น“ WordPress รุ่นที่อัปเดตพร้อมใช้งาน” คลิกที่ อัปเดตทันที เพื่ออัปเดตเวอร์ชัน WordPress ของคุณกระบวนการนี้อาจใช้เวลาสักครู่.

เมื่อการอัปเดตเสร็จสมบูรณ์เลื่อนลงด้านล่างเพื่ออัปเดตปลั๊กอิน WordPress ของคุณ เราขอแนะนำให้คุณอัปเดตปลั๊กอินทีละรายการ ก่อนอื่นให้เลือกปลั๊กอินและคลิกที่ อัปเดตปลั๊กอิน.

ในทำนองเดียวกันอัพเดตธีมของคุณด้านล่าง.

อัปเดต WordPress จากแดชบอร์ด

อย่างไรก็ตามกระบวนการอัปเดตนั้นค่อนข้างยุ่งยากสำหรับผู้ใช้บางคนโดยเฉพาะอย่างยิ่งผู้ที่ไม่เข้าใจเทคโนโลยี.

ผู้ให้บริการโฮสติ้ง WordPress ที่มีการจัดการบางรายเช่น SiteGround, Kinsta, FlyWheel การอัพเดทอัตโนมัติ ลักษณะเฉพาะ. ดังนั้นหากคุณอยู่ในช่วงเวลาที่ยุ่งหรือขี้เกียจที่จะอัพเดทสิ่งนี้อาจมีประโยชน์.

อ่านวิธีการอัปเดตเวอร์ชัน WordPress ปลั๊กอินและธีมด้วยตนเอง

กลับไปด้านบน

3. ไม่เคยใช้ชุดรูปแบบและปลั๊กอินที่ Nulled / Cracked

ไม่น่าแปลกใจเลยว่าปลั๊กอินและธีมพรีเมี่ยมนั้นมีฟังก์ชั่นการใช้งานที่มากกว่า แต่ไม่มีสินค้าพรีเมี่ยมฟรี มันมาพร้อมกับราคาและหลังจากซื้อผลิตภัณฑ์พรีเมี่ยมใด ๆ ผู้ใช้จะต้องป้อนรหัสผลิตภัณฑ์เพื่อเปิดใช้งานผลิตภัณฑ์.

แต่มีเว็บไซต์ที่เป็นอันตรายจำนวนมากที่ให้บริการธีมและปลั๊กอินระดับพรีเมียมฟรี ธีมและปลั๊กอินที่แตกเหล่านั้นไม่จำเป็นต้องใช้รหัสซีเรียลเพื่อเปิดใช้งานและไม่เคยได้รับการอัปเดต.

นี่คือสิ่งที่ฉันหมายถึง:

ตัวอย่างปลั๊กอิน WordPress ที่ Nulled

ชุดรูปแบบและปลั๊กอินที่ไม่มีค่าเหล่านั้นมีอันตรายมากสำหรับเว็บไซต์ของคุณ แฮกเกอร์ฉีดโค้ดที่เป็นอันตรายในนั้นและทำแบ็คดอร์ไปยังเว็บไซต์ของคุณ เพื่อให้พวกเขาสามารถเข้าถึงเว็บไซต์ของคุณและแฮ็คเว็บไซต์ของคุณรวมถึงฐานข้อมูล.

ดังนั้นอย่าใช้ธีมและปลั๊กอิน WordPress ที่ไม่มีค่าหรือถอดรหัสใด ๆ.

เราขอแนะนำให้คุณดาวน์โหลดธีมหรือปลั๊กอินฟรีจาก WordPress.org เท่านั้น.

เราเข้าใจว่าชุดรูปแบบหรือปลั๊กอินฟรีมีฟังก์ชันที่ จำกัด มาก แต่ธีมหรือปลั๊กอินฟรีเหล่านั้นปลอดภัยต่อการใช้งานและรับการอัปเดตเป็นประจำ.

อ่านยัง, 7 สุดยอดบล็อกพรีเมี่ยมสำหรับ WordPress

กลับไปด้านบน

4. ใช้รหัสผ่านที่คาดเดายาก

รหัสผ่านเป็นกุญแจสำคัญในการเข้าถึงเว็บไซต์ WordPress ของคุณ ถ้ามันสั้นและง่ายแฮกเกอร์ก็สามารถถอดรหัสรหัสผ่านของคุณได้อย่างง่ายดาย เกิน 80% การละเมิดที่เกี่ยวข้องกับการแฮ็คเกิดขึ้น เนื่องจากรหัสผ่านที่อ่อนแอหรือรหัสผ่านที่ถูกขโมย.

ในการศึกษาล่าสุด, SplashData เปิดเผย 100 รหัสผ่านที่เลวร้ายที่สุดของปี 2017.

นี่คือบางส่วนของพวกเขา:

  1. 123456
  2. รหัสผ่าน
  3. 12345678
  4. QWERTY
  5. 12345
  6. 123456789
  7. ให้ฉันเข้าไป
  8. 1234567
  9. ฟุตบอล
  10. ฉันรักคุณ
  11. ผู้ดูแลระบบ
  12. ยินดีต้อนรับ
  13. ลิง (ฮ่า ๆ )

หากรหัสผ่านของคุณเป็นแบบง่ายเหมือนด้านบนให้เปลี่ยนรหัสทันที รหัสผ่านที่ดีควรมีอย่างน้อย 10 หลักและมีตัวพิมพ์ใหญ่ตัวพิมพ์เล็กตัวเลขและอักขระพิเศษ.

คุณสามารถใช้ เครื่องมือสร้างรหัสผ่านออนไลน์ เพื่อสร้างรหัสผ่านที่ปลอดภัยนับพันทันที.

นอกจากนี้ยังจำเป็นต้องให้คุณบันทึกรหัสผ่านลงในคอมพิวเตอร์ของคุณ.

เพื่อให้ง่ายขึ้นคุณสามารถใช้ซอฟต์แวร์จัดการรหัสผ่านเพื่อจัดการรหัสผ่านทั้งหมดของคุณเช่น LastPass Dashlane เป็นต้น.

บังคับใช้รหัสผ่านที่คาดเดายากแก่ผู้ใช้

ตามค่าเริ่มต้น WordPress จะไม่มีฟังก์ชันที่ป้องกันผู้ใช้จากการป้อนรหัสผ่านที่อ่อนแอ เวลาส่วนใหญ่ที่ผู้ใช้ตั้งรหัสผ่านที่อ่อนแอสำหรับบัญชีของพวกเขาและเปลี่ยนแทบจะไม่.

หากคุณใช้งานบล็อก WordPress ผู้ใช้หลายคนคุณควรบังคับให้ผู้ใช้ใช้รหัสผ่านที่คาดเดายาก.

เพื่อให้กระบวนการนี้ง่ายขึ้นคุณสามารถใช้ปลั๊กอิน ติดตั้งและเปิดใช้งาน บังคับให้รหัสผ่านที่คาดเดายาก ปลั๊กอินและคุณเสร็จแล้ว วิธีนี้จะป้องกันผู้ใช้และแม้แต่ผู้ดูแลระบบจากการป้อนรหัสผ่านที่อ่อนแอ.

กลับไปด้านบน

5. เพิ่มการรับรองความถูกต้องสองระดับ (2FA) 

อีกวิธีง่ายๆในการเพิ่มความปลอดภัยให้กับ WordPress ของคุณคือการเพิ่มการรับรองความถูกต้องแบบสองปัจจัย (2FA) ลงในหน้าเข้าสู่ระบบ WordPress ของคุณ โดยทั่วไปการรับรองความถูกต้องด้วยสองปัจจัยหรือการยืนยันสองขั้นตอนเป็นกระบวนการรักษาความปลอดภัยที่ต้องใช้สองวิธีในการยืนยันตัวตนของคุณ.

ตามค่าเริ่มต้นเรามักจะใส่ชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่เว็บไซต์ การเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยจะทำให้คุณต้องมีกระบวนการตรวจสอบพิเศษเช่นแอพสมาร์ทโฟนเพื่ออนุมัติกระบวนการตรวจสอบสิทธิ์.

ดังนั้นหากมีคนรู้จักชื่อผู้ใช้และรหัสผ่านของคุณพวกเขาต้องการสมาร์ทโฟนของคุณเพื่อรับรหัสยืนยันสำหรับการเข้าสู่เว็บไซต์ของคุณ.

การเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยทำให้คุณไม่เพียง แต่รักษาความปลอดภัยให้กับหน้าเข้าสู่ระบบ WordPress ของคุณ แต่ยังป้องกันการโจมตีที่ดุร้าย.

คุณสามารถเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยได้อย่างง่ายดายโดยใช้ปลั๊กอิน WordPress ตัวตรวจสอบสิทธิ์แบบสองปัจจัยของ Google.

เมื่อเปิดใช้งานไปที่ ผู้ใช้> ประวัติผู้ใช้ และเปิดใช้งานปลั๊กอิน.

การตั้งค่า Google Authenticator

จากนั้นดาวน์โหลดแอป Google authenticator จากโทรศัพท์ของคุณและสแกน บาร์โค้ด หรือป้อน รหัสลับ (ดูภาพหน้าจอด้านบน) จากเว็บไซต์ของคุณเพื่อเพิ่มเว็บไซต์ของคุณ.

เมื่อเพิ่มแล้วให้ออกจากเว็บไซต์ของคุณ ในหน้าเข้าสู่ระบบคุณจะเห็นฟิลด์พิเศษที่คุณต้องป้อนรหัสยืนยันจากแอปมือถือ Google Authenticator.

ช่อง Google Authenticator

สำหรับคำแนะนำโดยละเอียดโปรดดูคำแนะนำเกี่ยวกับวิธีเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยของ Google ในหน้าเข้าสู่ระบบ WordPress.

กลับไปด้านบน

6. เปลี่ยน URL หน้าเข้าสู่ระบบของ WordPress

โดยค่าเริ่มต้นทุกคนสามารถเข้าถึงหน้าเข้าสู่ระบบของคุณโดยเพิ่ม “wp-admin” หรือ “wp-login.php” ที่ท้ายชื่อโดเมนของคุณเช่น: “domain.com/wp-admin” หรือ “domain.com/ WP-login.php”.

เดาสิ! แฮกเกอร์สามารถเรียกใช้การโจมตีที่ดุร้ายโดยใช้หน้าเข้าสู่ระบบของคุณ หากคุณใช้รหัสผ่านที่ง่ายมากแฮกเกอร์สามารถถอดรหัสรหัสผ่านและเข้าสู่เว็บไซต์ของคุณได้อย่างง่ายดาย.

แต่ถ้าพวกเขาไม่รู้ว่าจะโจมตีที่ไหน ใช่คุณเดาถูก.

หากคุณซ่อนหรือเปลี่ยนชื่อ URL ของหน้าเข้าสู่ระบบแฮ็กเกอร์จะไม่สามารถโจมตีด้วยกำลังดุร้ายได้.

ใน WordPress คุณสามารถซ่อนหรือเปลี่ยนชื่อหน้าล็อกอินของคุณได้อย่างง่ายดายโดยใช้ปลั๊กอิน จากแกลเลอรีปลั๊กอิน WordPress ติดตั้งและเปิดใช้งาน WPS ซ่อนการเข้าสู่ระบบ เสียบเข้าไป.

เมื่อเปิดใช้งานไปที่ การตั้งค่า> ทั่วไป และที่ด้านล่างคุณสามารถค้นหา ตัวเลือก WP Hide Login.

WPS ซ่อนการตั้งค่าการเข้าสู่ระบบ

เพียงเปลี่ยน URL การเข้าสู่ระบบ “เข้าสู่ระบบ” เพื่อสิ่งอื่นที่ยากต่อการคาดเดาและคลิก บันทึกการเปลี่ยนแปลง.

เมื่อเสร็จแล้วบุ๊กมาร์กหน้าเข้าสู่ระบบใหม่และคุณทำเสร็จแล้ว.

กลับไปด้านบน

7. พยายาม จำกัด การเข้าสู่ระบบ

ตามค่าเริ่มต้น WordPress จะไม่ จำกัด จำนวนครั้งในการเข้าสู่ระบบผ่านแบบฟอร์มเข้าสู่ระบบ นั่นหมายความว่าทุกคนรู้ว่า URL การเข้าสู่ระบบของคุณสามารถลองใช้ฟังก์ชั่นการเข้าสู่ระบบได้นานเท่าที่พวกเขาต้องการ วิธีนี้แฮกเกอร์เรียกใช้การโจมตีที่ดุร้ายเพื่อถอดรหัส“ ชื่อผู้ใช้” และ“ รหัสผ่าน” เพื่อเข้าถึงเว็บไซต์ของคุณ.

ด้วยการ จำกัด ความพยายามในการเข้าสู่ระบบคุณสามารถเพิ่มความปลอดภัยของ WordPress และปกป้องหน้าเข้าสู่ระบบของคุณจากการโจมตีที่ดุร้าย.

คุณสามารถตั้งค่าจำนวนครั้งสูงสุดที่พยายามเข้าสู่ระบบที่ไม่ถูกต้องที่ผู้ใช้สามารถทำได้จากที่อยู่ IP เดียวกัน หากผู้ใช้เกินขีด จำกัด IP ของผู้ใช้จะถูกบล็อกชั่วระยะเวลาหนึ่ง.

เพื่อ จำกัด การเข้าสู่ระบบใน WordPress ให้ติดตั้ง ล็อคเข้าสู่ระบบลง เสียบเข้าไป. เมื่อเปิดใช้งานไปที่ การตั้งค่า> ล็อคเข้าสู่ระบบลง เพื่อกำหนดค่าปลั๊กอิน.

ล็อคเข้าสู่ระบบการตั้งค่าลง

สำหรับคำแนะนำโดยละเอียดโปรดดูคู่มือของเราเกี่ยวกับวิธี จำกัด การพยายามล็อกอินใน WordPress

กลับไปด้านบน

8. สำรองเว็บไซต์ของคุณเป็นประจำ

การสำรองข้อมูลเป็นเหมือน Time Machine. หากคุณมีเว็บไซต์ของคุณจะปลอดภัย.

อย่างไรก็ตามการสำรองข้อมูลเว็บไซต์จะไม่ปกป้องไซต์ของคุณจากแฮกเกอร์ แต่จะช่วยให้คุณสามารถกู้คืนไซต์ของคุณได้.

ตัวอย่างเช่นหากมีสิ่งผิดปกติเกิดขึ้นกับไซต์ของคุณในระหว่างการอัปเดตหรือเว็บไซต์ของคุณถูกแฮ็กคุณจะแก้ไขเว็บไซต์ของคุณอีกครั้งได้อย่างไร คุณอาจสูญเสียเว็บไซต์ของคุณ.

แต่ถ้าคุณมีข้อมูลสำรองของไซต์คุณสามารถคืนค่าไซต์ของคุณได้อย่างง่ายดายก่อนที่จะถูกแฮ็กหรือล้มเหลว.

นี่คือเหตุผลที่เราแนะนำให้คุณใช้ปลั๊กอินสำรอง WordPress ที่เชื่อถือได้ อย่างไรก็ตาม บริษัท โฮสติ้งหลายแห่งมีการสำรองเว็บไซต์ฟรี แต่พวกเขาสามารถรับประกันความพร้อมใช้งานของเว็บไซต์ของคุณหากมีความล้มเหลวร้ายแรง ดังนั้นคุณต้องบันทึกข้อมูลสำรองไว้ในที่ห่างไกลเช่น Google Drive, Amazon S3, Dropbox เป็นต้น.

โชคดีที่สิ่งนี้สามารถทำได้โดยใช้ BlogVault หรือปลั๊กอินสำรองข้อมูล WordPress BackUpBuddy พวกเขาทั้งสองมีการสำรองข้อมูลรายวันและคืนค่าด้วยคลิกเดียว นอกจากนี้คุณยังสามารถสร้างไซต์การแสดงละครโดยไม่มีค่าใช้จ่ายเพิ่มเติม.

กลับไปด้านบน

9. ใช้ปลั๊กอินความปลอดภัยของ WordPress

สิ่งต่อไปที่คุณต้องการสำหรับการทำให้แข็งของคุณ ความปลอดภัยของ WordPress เป็นปลั๊กอินความปลอดภัย มีปลั๊กอินความปลอดภัย WordPress มากมายที่จะล็อคไซต์ของคุณจากแฮกเกอร์และมัลแวร์.

ปลั๊กอินความปลอดภัยของ WordPress จะตรวจจับและกำจัดมัลแวร์หากมีอยู่ในเว็บไซต์ของคุณ นอกจากนี้พวกเขาตรวจสอบกิจกรรมของผู้ใช้แบบเรียลไทม์แจ้งให้คุณทราบหากมีสิ่งใดเปลี่ยนแปลงไปหากปลั๊กอินมีมัลแวร์บล็อกการรับส่งสแปมและอีกมากมาย.

เราขอแนะนำปลั๊กอินการรักษาความปลอดภัยของ Securi WordPress Securi Security เสนอคุณสมบัติความปลอดภัยประเภทต่าง ๆ เช่นการตรวจสอบกิจกรรมความปลอดภัยการตรวจสอบเว็บไซต์, ไฟร์วอลล์เว็บไซต์,  และอื่น ๆ อีกมากมาย.

securi

สิ่งที่ดีที่สุดเกี่ยวกับ Securi คือถ้าเว็บไซต์ของคุณถูกแฮกหรือขึ้นบัญชีดำโดย Google ในขณะที่ใช้บริการพวกเขารับประกันว่าพวกเขาจะแก้ไขไซต์ของคุณ.

ผู้เชี่ยวชาญด้านความปลอดภัย WordPress ส่วนใหญ่คิดค่าใช้จ่ายมากกว่า $ 300 เพื่อแก้ไขไซต์ที่ถูกแฮ็กในขณะที่คุณจะได้รับบริการรักษาความปลอดภัยทั้งหมดในเวลาเดียว $ 199 ต่อปี. เป็นการลงทุนที่ดีในการเสริมความปลอดภัยให้กับ WordPress ของคุณ.

กลับไปด้านบน

10. ผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติออกจากระบบ

หากผู้ใช้ไม่มีการใช้งานหรือไม่ได้ใช้งานเว็บไซต์ของคุณนานเกินไปอาจทำให้การโจมตีแบบดุเดือด.

เมื่อผู้ใช้ไม่ได้ใช้งานนานเกินไปแฮ็กเกอร์อาจใช้วิธีการแย่งชิงคุกกี้หรือเซสชันเพื่อเข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาต นั่นเป็นสาเหตุที่เว็บไซต์การศึกษาและการเงินส่วนใหญ่เช่นเว็บไซต์ธนาคารและเกตเวย์การชำระเงินใช้ฟังก์ชันการหมดเวลาเซสชันของผู้ใช้ ดังนั้นเมื่อผู้ใช้นำทางออกจากหน้าและไม่ได้ติดต่อกันหลังจากระยะเวลาหนึ่งเว็บไซต์จะทำการล็อกเอาต์ผู้ใช้ที่ไม่ได้ใช้งานโดยอัตโนมัติ.

ฟังก์ชั่นเดียวกับที่คุณสามารถเพิ่มไปยังไซต์ WordPress ของคุณเพื่อปรับปรุงความปลอดภัยของ WordPress การเพิ่มการออกจากระบบโดยอัตโนมัติผู้ใช้ที่ไม่ได้ใช้งานบน WordPress นั้นง่ายมาก สิ่งที่คุณต้องติดตั้งปลั๊กอิน.

ก่อนอื่นให้ดาวน์โหลดและติดตั้ง ออกจากระบบไม่ใช้งาน ปลั๊กอิน WordPress จากนั้นเปิดใช้งานและไปที่ การตั้งค่า> ออกจากระบบที่ไม่ใช้งาน เพื่อกำหนดค่าปลั๊กอิน.

การตั้งค่าปลั๊กอินออกจากระบบที่ไม่ใช้งาน

จากการตั้งค่าคุณสามารถเปลี่ยนการหมดเวลาที่ไม่ได้ใช้งาน ดังนั้นหลังจากเวลาดังกล่าวผู้ใช้ทั้งหมดในเว็บไซต์ของคุณจะถูกออกจากระบบโดยอัตโนมัติ.

คุณยังสามารถเปลี่ยนข้อความการหมดเวลาที่ไม่ได้ใช้งานและแก้ไขการตั้งค่าอื่น ๆ ได้ถ้าต้องการ.

เมื่อเสร็จแล้วให้คลิกที่ บันทึกการเปลี่ยนแปลง เพื่อจัดเก็บการตั้งค่า.

สำหรับคำแนะนำโดยละเอียดโปรดดูคู่มือของเราเกี่ยวกับวิธีการออกจากระบบผู้ใช้งานว่างใน WordPress โดยอัตโนมัติ

กลับไปด้านบน

11. เพิ่มคำถามเพื่อความปลอดภัยไปยังหน้าเข้าสู่ระบบ WordPress

ด้วยการเพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress ของคุณคุณจะไม่เพียง แต่ปกป้องหน้าเข้าสู่ระบบ WordPress ของคุณเท่านั้น แต่ยังเพิ่มความปลอดภัยให้กับ WordPress อีกด้วย.

คำถามเพื่อความปลอดภัยเพิ่มระดับความปลอดภัยเพิ่มเติมเพื่อรับรองความถูกต้องตัวตนของคุณเพิ่มเติมในระหว่างการเข้าสู่ระบบซึ่งมีประโยชน์มากหากคุณใช้งานบล็อก WordPress ผู้เขียนหลายคน.

หากผู้ใช้หรือรหัสผ่านของคุณถูกขโมยคำถามเพื่อความปลอดภัยจะช่วยชีวิตคุณได้.

เพราะชื่อผู้ใช้และรหัสผ่านสามารถแฮ็คได้อย่างง่ายดาย แต่การเลือกคำถามและคำตอบเพื่อความปลอดภัยที่ถูกต้องนั้นเป็นไปไม่ได้ วิธีนี้คุณสามารถบันทึกหน้าเข้าสู่ระบบ WordPress ของคุณจากแฮกเกอร์และการโจมตีแบบดุเดือด.

หากต้องการเพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress ให้ติดตั้ง คำถามเพื่อความปลอดภัย WP เสียบเข้าไป.

การตั้งค่าคำถามเพื่อความปลอดภัย WP

เมื่อเปิดใช้งานไปที่ คำถามเพื่อความปลอดภัย WP > การตั้งค่าปลั๊กอิน เพื่อกำหนดค่าปลั๊กอิน.

ตามค่าเริ่มต้นปลั๊กอินมีคำถามทั่วไปมากมายที่เพิ่มเข้ามา แต่คุณสามารถเพิ่มหรือลบคำถามเพื่อความปลอดภัยได้จากรายการ.

ที่ด้านล่างคุณสามารถเปิดใช้งานคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบการลงทะเบียนและลืมรหัสผ่าน หลังจากกำหนดค่าปลั๊กอินแล้วอย่าลืมคลิก บันทึกการตั้งค่า.

บันทึก: ผู้ใช้ใหม่เท่านั้นที่สามารถตั้งคำถามและคำตอบเพื่อความปลอดภัยในระหว่างการลงทะเบียน ผู้ใช้ที่ลงทะเบียนแล้วจึงต้องตั้งคำถามและคำตอบความปลอดภัยของตนเอง คุณสามารถตั้งคำถามเพื่อความปลอดภัยและตอบคำถามเหล่านั้นได้ ซึ่งสามารถทำได้จาก ประวัติผู้ใช้ หน้า.

เพิ่มคำถามเพื่อความปลอดภัย WP เป็นจำนวนมาก

สำหรับคำแนะนำโดยละเอียดโปรดดูคู่มือของเราเกี่ยวกับวิธีเพิ่มคำถามเพื่อความปลอดภัยในหน้าเข้าสู่ระบบ WordPress

กลับไปด้านบน

12. เปลี่ยนชื่อผู้ใช้“ Admin” เริ่มต้น

หลังจากติดตั้ง WordPress คุณสามารถเปลี่ยนรหัสผ่านได้หลายครั้งตามต้องการ แต่คุณสามารถเปลี่ยนชื่อผู้ใช้ของคุณได้เมื่อตั้งค่าแล้ว? ไม่มีสิทธิ์?

ตามค่าเริ่มต้น WordPress ไม่อนุญาตให้ผู้ใช้เปลี่ยนชื่อผู้ใช้ แต่ทำไมคุณควรเปลี่ยนมัน?

หากคุณใช้ชื่อผู้ใช้ทั่วไปเช่น“ ผู้ดูแลระบบ” แฮกเกอร์สามารถเรียกใช้กำลังดุร้ายแนบมาด้วยความช่วยเหลือของชื่อผู้ใช้ของคุณ.

แต่อย่าตกใจ มีหลายวิธีที่คุณสามารถเปลี่ยน WordPress ของคุณได้อย่างง่ายดาย.

อย่างไรก็ตามเพื่อให้กระบวนการง่ายขึ้นเราจะใช้ปลั๊กอิน ก่อนอื่นให้ดาวน์โหลดและติดตั้ง เปลี่ยนชื่อผู้ใช้ เสียบเข้าไป. จากนั้นไปที่ ผู้ใช้> โปรไฟล์ของคุณ และค้นหาตัวเลือกชื่อผู้ใช้ คุณจะพบตัวเลือก“ เปลี่ยนชื่อผู้ใช้”.

เปลี่ยนชื่อผู้ใช้ WordPress

คลิกที่ เปลี่ยนชื่อผู้ใช้ ปุ่มและป้อนชื่อผู้ใช้ใหม่ของคุณ เมื่อเสร็จแล้วให้คลิกที่ อัปเดตโปรไฟล์.

หากคุณต้องการเปลี่ยนชื่อผู้ใช้ของคุณด้วยตนเอง (ไม่ต้องใช้ปลั๊กอิน) ลองอ่านบทความ 3 วิธีในการเปลี่ยนชื่อผู้ใช้ WordPress.

กลับไปด้านบน

13. กำหนดผู้ใช้ให้มีบทบาทต่ำที่สุดเท่าที่จะเป็นไปได้

หากคุณใช้งานเว็บไซต์ WordPress ผู้เขียนหลายคนคุณต้องระวังก่อนกำหนดบทบาทให้กับผู้ใช้.

หลายครั้งที่เจ้าของไซต์ WordPress มอบหมายบทบาทผู้ใช้ที่สูงขึ้นให้กับผู้ใช้ใหม่ด้วยวิธีนี้คุณจะให้สิทธิ์ทั้งหมดแก่ผู้ใช้และด้วยเหตุนี้ผู้ใช้ทุกคนสามารถทำงานได้ตามที่ต้องการ.

ตัวอย่างเช่นหากคุณไม่ทราบว่าบทบาทผู้ใช้ Editor สามารถทำอะไรได้บ้างและคุณกำหนดบทบาทให้กับผู้ใช้ทั่วไปผู้ใช้สามารถลบโพสต์ทั้งหมดของคุณแก้ไขลิงก์สร้างโพสต์สแปมเพิ่มลิงค์ที่เป็นอันตรายลงในบล็อกของคุณ โพสต์ นี่คือวิธีที่ผู้ใช้สามารถทำลายเว็บไซต์ของคุณได้อย่างง่ายดาย.

โดยค่าเริ่มต้น WordPress มาพร้อมกับ 5 บทบาทของผู้ใช้ที่แตกต่างกัน.

  • ผู้บริหาร
  • บรรณาธิการ
  • ผู้เขียน
  • ผู้สนับสนุน
  • สมาชิก
  1. ผู้ดูแลระบบ: ผู้ดูแลระบบเป็นบทบาทผู้ใช้ที่มีประสิทธิภาพที่สุดในเว็บไซต์ WordPress พวกเขาสามารถสร้างแก้ไขและลบบัญชีผู้ใช้สามารถทำงานใด ๆ ได้ตลอดทั้งแผงผู้ดูแลระบบ WordPress มีการควบคุมทั่วพื้นที่เนื้อหาและยังดูแลความคิดเห็น. 
  2. บรรณาธิการ: ผู้ใช้ที่มีบทบาท Editor จะสามารถควบคุมเนื้อหาได้ทั้งหมด พวกเขาสามารถสร้างแก้ไขและลบโพสต์ใด ๆ รวมถึงโพสต์ที่สร้างโดยผู้ใช้รายอื่น พวกเขายังสามารถกลั่นกรองความคิดเห็นและแก้ไขลิงก์.
  3. ผู้แต่ง: ผู้เขียนสามารถเผยแพร่แก้ไขหรือลบโพสต์ของตนเองเท่านั้น พวกเขาสามารถอัพโหลดไฟล์มีเดียเพื่อใช้ในการโพสต์ของพวกเขา พวกเขาสามารถดูความคิดเห็น แต่ไม่สามารถอนุมัติหรือลบความคิดเห็นใด ๆ.
  4. Contributor: ผู้ใช้ที่มีบทบาทผู้มีส่วนร่วมสามารถเขียนแก้ไขหรือลบโพสต์ที่ไม่ได้เผยแพร่ของตนเองเท่านั้น แต่พวกเขาไม่สามารถเผยแพร่โพสต์ของตนเอง.
  5. สมาชิก: สมาชิกสามารถแก้ไขข้อมูลบัญชีของพวกเขารวมถึงรหัสผ่าน แต่พวกเขาไม่สามารถเข้าถึงการตั้งค่าเนื้อหาหรือเว็บไซต์ พวกเขามีความสามารถต่ำสุดในไซต์ WordPress.

โดยการทำความเข้าใจกับบทบาทของผู้ใช้ WordPress คุณสามารถจัดการได้อย่างง่ายดายโดยไม่มีความเสี่ยง.

เราขอแนะนำให้คุณควรกำหนดบทบาทเริ่มต้นของผู้ใช้ใหม่เป็นสมาชิก ไปที่การตั้งค่า> การตั้งค่าทั่วไปและจากการตั้งค่า บทบาทเริ่มต้นของผู้ใช้ใหม่ สมาชิก และคลิกที่ บันทึกการเปลี่ยนแปลง.

บทบาทใหม่เริ่มต้นของผู้ใช้ WordPress

สำหรับรายละเอียดเพิ่มเติมอ่านคู่มือการเริ่มต้นของบทบาทผู้ใช้งานและความสามารถของ WordPress

กลับไปด้านบน

14. ตรวจสอบการเปลี่ยนแปลงไฟล์และกิจกรรมของผู้ใช้

อีกวิธีที่ชาญฉลาดในการเพิ่มความปลอดภัยของ WordPress คือการตรวจสอบกิจกรรมของผู้ใช้และการเปลี่ยนแปลงไฟล์. 

หากคุณใช้งานเว็บไซต์ WordPress ที่มีผู้ใช้หลายคนคุณควรติดตามพฤติกรรมของผู้ใช้เพื่อให้เข้าใจถึงกิจกรรมของพวกเขาได้ดีกว่าเว็บไซต์ WordPress ของคุณ.

ใครจะรู้ถ้าผู้ใช้ทำงานที่น่าสงสัยหรือพยายามแฮ็คเว็บไซต์ของคุณ คุณจะรู้ได้อย่างไรว่า?

วิธีเดียวในการติดตามกิจกรรมของผู้ใช้และการเปลี่ยนแปลงไฟล์คือการใช้ปลั๊กอิน WordPress ของกิจกรรมผู้ใช้ โดยใช้ปลั๊กอินกิจกรรมของผู้ใช้ใน WordPress คุณสามารถ:

  • ดูว่าใครเข้าสู่ระบบและสิ่งที่พวกเขากำลังทำในเวลาจริง
  • เมื่อผู้ใช้เข้าสู่ระบบและออกจากระบบ
  • ผู้ใช้พยายามเข้าสู่ระบบกี่ครั้ง แต่ล้มเหลว

นอกจากนี้หากผู้แก้ไขทำการเปลี่ยนแปลงใด ๆ กับโพสต์หรือหน้าโดยไม่ได้รับอนุญาตจากคุณคุณสามารถค้นหาและเปลี่ยนกลับได้อย่างง่ายดาย สิ่งที่ดีเกี่ยวกับปลั๊กอินกิจกรรมของผู้ใช้คือมันจะส่งอีเมลแจ้งเตือนคุณทันทีหากมีสิ่งผิดปกติ.

WP Security Audit Log เป็นปลั๊กอินที่ดีที่สุดในการตรวจสอบกิจกรรมของผู้ใช้และการเปลี่ยนแปลงไฟล์แบบเรียลไทม์ นี่คือภาพด้านล่างวิธีการทำงานของปลั๊กอิน.

WordPress ตรวจสอบบันทึกการดู

ยังอ่าน, 5 ปลั๊กอินที่ดีที่สุดในการตรวจสอบกิจกรรมของผู้ใช้ใน WordPress (ปลั๊กอินสำรอง)

กลับไปด้านบน

15. ใช้ SSL และ HTTPS

ความปลอดภัยของ WordPress ไม่สามารถปรับปรุงได้หากไม่มีใบรับรอง SSL SSL (Secure Socket Layer) เป็นหัวใจของความปลอดภัยของเว็บไซต์.

SSL เป็นเทคโนโลยีความปลอดภัยมาตรฐานที่สร้างลิงก์เข้ารหัสระหว่างเซิร์ฟเวอร์และเว็บเบราว์เซอร์ในการสื่อสารออนไลน์เช่นธุรกรรมออนไลน์ ดังนั้นข้อมูลที่ละเอียดอ่อนทั้งหมดเช่นรหัสผ่านรายละเอียดบัตรเครดิต ฯลฯ จึงผ่านลิงก์ที่เข้ารหัส.

หากคุณดำเนินธุรกิจออนไลน์หรือบล็อกที่คุณยอมรับการชำระเงินคุณต้องมีใบรับรอง SSL มันจะเก็บข้อมูลของลูกค้าของคุณให้ปลอดภัยจากแฮกเกอร์ สำหรับร้านค้าออนไลน์หรือเว็บไซต์ WooCommerce ต้นทุนใบรับรอง SSL มีค่าใช้จ่ายประมาณ $ 20 – $ 170.

ในกรณีที่คุณใช้งานบล็อก WordPress คุณไม่จำเป็นต้องมีใบรับรอง SSL แบบชำระเงิน หากคุณใช้ cPanel โฮสติ้งเช่น SiteGround, WPEngine คุณสามารถติดตั้งใบรับรอง SSL ฟรีเพียงแค่คลิกเดียว.

ขั้นแรกลงชื่อเข้าใช้บัญชี cPanel ที่โฮสต์ของคุณและไปที่ ความปลอดภัย.  (นี่คือภาพหน้าจอด้านล่างจาก SiteGround โฮสติ้ง cPanel)

SG SSL

ไปที่ ผู้จัดการ SSL / TLS และคลิกที่ ติดตั้งใบรับรอง SSL. จากหน้าเลือกโดเมนของคุณและคลิกที่ ป้อนอัตโนมัติตามโดเมน. กระบวนการนี้เป็นไปโดยอัตโนมัติดังนั้นคุณไม่จำเป็นต้องแก้ไขหรือแก้ไขอะไรเลย.

การติดตั้งพื้นไซต์ใบรับรอง SSL

ตอนนี้คลิกที่ ติดตั้งใบรับรอง เพื่อเสร็จสิ้นกระบวนการติดตั้ง.

เมื่อเสร็จแล้วเข้าสู่แผงควบคุมของผู้ดูแลระบบ WordPress ของคุณเพื่อแก้ไข URL เว็บไซต์ของคุณ ไปที่ การตั้งค่า> ทั่วไป และเพิ่มแทนที่ HTTP ด้วย HTTPS ก่อน URL เว็บไซต์ของคุณ นี่คือภาพด้านล่าง.

WP HTTPS

เมื่ออัปเดตแล้วให้คลิกที่ บันทึกการเปลี่ยนแปลง.

วิธีเปลี่ยนเส้นทาง HTTP ไปยัง HTTPS ใน WordPress

หากคุณติดตั้งใบรับรอง SSL อย่างถูกต้องแสดงว่าไซต์ของคุณสามารถเข้าถึงได้ด้วย HTTPS.

แต่ถ้ามีคนพิมพ์ชื่อเว็บไซต์ของคุณเท่านั้น (เช่น domain.com) บนแถบที่อยู่ของเบราว์เซอร์เว็บไซต์นั้นอาจแสดงข้อความ“ การเชื่อมต่อไม่ปลอดภัย” นั่นหมายความว่าไซต์ของคุณสามารถเข้าถึงได้ด้วย HTTP.

ในการแก้ไขปัญหาคุณต้องบังคับ HTTPS ใน WordPress ดังนั้นเว็บไซต์ของคุณจะโหลดด้วย HTTPS เท่านั้น คุณสามารถบังคับ HTTPS ใน WordPress ได้อย่างง่ายดาย.

ก่อนเข้าสู่ cPanel โฮสติ้งของคุณและไปที่โฟลเดอร์รูทของเว็บไซต์ของคุณและค้นหา .htaccess ไฟล์. แก้ไขไฟล์. htaccess และในตอนท้ายให้เพิ่มรหัสต่อไปนี้.

RewriteEngine On
ปิด RewriteCond% {HTTPS}
เขียนซ้ำ ^ (. *) $ https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

บันทึกไฟล์และทำเสร็จแล้ว ตอนนี้เว็บไซต์ของคุณสามารถเข้าถึงได้ด้วย HTTPS เท่านั้น.

หากผู้ให้บริการโฮสต์เว็บของคุณไม่มีใบรับรอง SSL ฟรีคุณสามารถติดตั้งใบรับรอง SSL ด้วยตนเองได้ นี่คือคำแนะนำเกี่ยวกับวิธีติดตั้งใบรับรอง SSL ฟรี.

กลับไปด้านบน

16. ลบธีมและปลั๊กอินที่ไม่ได้ใช้

เมื่อพูดถึงการรักษาความปลอดภัยของ WordPress อย่างหนักเราไม่ควรมองข้ามขั้นตอนเล็ก ๆ ที่ทำให้ไซต์ของคุณมีช่องโหว่. 

ส่วนใหญ่เจ้าของเว็บไซต์ WordPress ติดตั้งธีมและปลั๊กอินต่าง ๆ เพื่อทดสอบว่าธีมใดที่ดูดีกว่าในไซต์หรือปลั๊กอินใดที่มีฟังก์ชั่นเพิ่มเติม ไม่เป็นไร. แต่การรักษาธีมและปลั๊กอินที่ไม่ได้ใช้จะทำให้ไซต์ของคุณเสี่ยง.

เนื่องจากการรักษาธีม WordPress และปลั๊กอินจำนวนมากจำเป็นต้องอัปเดตอย่างสม่ำเสมอเช่นเดียวกับที่คุณใช้ หากคุณไม่อัปเดตพวกเขาพวกเขาจะมีช่องโหว่และแฮกเกอร์สามารถใช้ประโยชน์จากไซต์ของคุณได้อย่างง่ายดายผ่านธีมและปลั๊กอินที่มีช่องโหว่ นอกจากนี้การทำให้ธีมและปลั๊กอินต่างๆทำให้เว็บไซต์ WordPress ช้าลง.

ดังนั้นคุณควรลบชุดรูปแบบและปลั๊กอินที่ไม่ได้ใช้เพื่อปรับปรุงประสิทธิภาพของไซต์และความปลอดภัยของ WordPress.

หากต้องการลบปลั๊กอินที่ไม่ได้ใช้ให้ไปที่ ปลั๊กอิน> ปลั๊กอินที่ติดตั้ง. จากนั้นหาปลั๊กอินที่คุณไม่ต้องการใช้อีกต่อไป ก่อนอื่นให้ปิดการใช้งานปลั๊กอินและคลิกที่ ลบ.

WordPress ปลั๊กอินลบ

หากต้องการลบชุดรูปแบบให้ไปที่ การปรากฏ> ธีมส์ และคลิกที่ รายละเอียดธีม. จากนั้นที่ด้านล่างของด้านขวาคลิกที่ ลบ.

ลบธีม

กลับไปด้านบน

17. ปิดการใช้งานการแก้ไขไฟล์ใน WordPress Dashboard

โดยค่าเริ่มต้น WordPress อนุญาตให้ผู้ใช้แก้ไขธีมและไฟล์ปลั๊กอินโดยตรงจากแดชบอร์ดของ WordPress นี่เป็นตัวเลือกที่มีประโยชน์สำหรับผู้ใช้ที่ต้องการแก้ไขธีมและไฟล์ปลั๊กอินบ่อยครั้ง.

แก้ไขธีม WordPress

อย่างไรก็ตามการเปิดใช้งานฟังก์ชั่นนี้อาจเป็นปัญหาด้านความปลอดภัยที่ร้ายแรง หากแฮกเกอร์เข้าถึงเว็บไซต์ของคุณพวกเขามักจะปล่อยให้รอยเท้าของพวกเขาโดยการฉีดรหัสที่เป็นอันตรายลงในไฟล์เว็บไซต์ หากเปิดใช้งานฟังก์ชั่นแก้ไขไฟล์ WordPress ของคุณแฮ็กเกอร์สามารถฉีดโค้ดที่เป็นอันตรายลงในธีมหรือไฟล์ปลั๊กอินที่คุณไม่รู้จัก.

เพื่อปรับปรุงความปลอดภัยของ WordPress คุณต้องปิดการใช้งานฟังก์ชั่นการแก้ไขไฟล์จากแผงควบคุม WordPress ของคุณ การปิดใช้งานธีม WordPress และโปรแกรมแก้ไขปลั๊กอินใน WordPress นั้นเป็นกระบวนการที่ง่ายมาก.

ก่อนอื่นคุณต้องลงชื่อเข้าใช้บัญชี cPanel ที่โฮสต์ของคุณและไปที่โฟลเดอร์รูทของไซต์ WordPress ของคุณ จากนั้นค้นหา WP-config.php. คลิกที่แก้ไขและเพิ่มรหัสต่อไปนี้ในตอนท้าย.

define (‘DISALLOW_FILE_EDIT’, จริง);

ตอนนี้บันทึกไฟล์และรีเฟรชแดชบอร์ด WordPress ของคุณ คุณจะเห็นว่าตัวเลือกชุดรูปแบบและตัวแก้ไขปลั๊กอินหายไป ด้วยเคล็ดลับเล็กน้อยนี้คุณสามารถปรับปรุงความปลอดภัยของ WordPress ได้อย่างง่ายดาย.

อ่านคู่มือโดยละเอียดเกี่ยวกับวิธีปิดการใช้งานตัวแก้ไขธีมและปลั๊กอินใน WordPress

กลับไปด้านบน

18. รหัสผ่านป้องกันหน้าเข้าสู่ระบบ WordPress

อีกวิธีที่ดีในการปรับปรุงความปลอดภัย WordPress คือรหัสผ่านป้องกันหน้าเข้าสู่ระบบ WordPress.

ด้วยรหัสผ่านเพื่อป้องกันการเข้าสู่ระบบ WordPress ของคุณ (/wp-login.php) หรือผู้ดูแลระบบ (https://cdn.wpmyweb.com/wp-admin) หน้าคุณสามารถป้องกันแฮกเกอร์จากการเข้าถึงหน้าเข้าสู่ระบบของคุณเพราะมันต้องใช้รหัสผ่านในการเข้าถึง หน้าเข้าสู่ระบบ. จำเป็นต้องมีการตรวจสอบกล่องป๊อปอัพเมื่อเปิดใช้งานคุณสมบัตินี้แล้วเว็บไซต์ของคุณจะแจ้งให้ผู้ใช้ทุกคนเข้าถึงหน้าเข้าสู่ระบบด้วยชื่อผู้ใช้และหน้าต่างรหัสผ่าน กล่าวโดยย่อผู้ใช้ทุกคนต้องลงชื่อเข้าใช้สองครั้งด้วยชื่อผู้ใช้และรหัสผ่านที่แตกต่างกันก่อนเข้าถึงแดชบอร์ดผู้ดูแลระบบ WordPress ของคุณ.

คุณสามารถเสริมความปลอดภัยให้กับ WordPress และเพิ่มระดับความปลอดภัยให้กับหน้าเข้าสู่ระบบของคุณ.

อ่านคำแนะนำเชิงลึกเกี่ยวกับวิธีการใช้รหัสผ่านในการป้องกันหน้าเข้าสู่ระบบ WordPress.

กลับไปด้านบน

19. ปิดใช้งานการเรียกดูไดเรกทอรีใน WordPress

ตามค่าเริ่มต้นเว็บเซิร์ฟเวอร์ส่วนใหญ่เช่น Apache, NGINX และ LiteSpeed ​​ช่วยให้ผู้ใช้สามารถเรียกดูไดเรกทอรีที่มีไฟล์และโฟลเดอร์ WordPress พวกเขายังสามารถดูว่าคุณใช้ชุดรูปแบบและปลั๊กอินและรู้เพิ่มเติมเกี่ยวกับโครงสร้างเว็บไซต์ของคุณ.

หน้าดัชนีของเว็บไซต์ WordPress

ข้อมูลนี้สามารถทำให้ไซต์ WordPress ของคุณอ่อนไหวและช่วยแฮ็กเกอร์เมื่อพยายามที่จะประนีประนอมไซต์ของคุณ.

เพื่อปรับปรุงความปลอดภัยของ WordPress เราขอแนะนำให้คุณปิดการใช้งานตัวเลือกนี้ หากต้องการปิดใช้งานการค้นหาไดเรกทอรีใน WordPress เพียงเพิ่มบรรทัดต่อไปนี้ในของคุณ .htacces ไฟล์.

ตัวเลือกทั้งหมด -Indexes

สำหรับคำแนะนำโดยละเอียดอ่านคู่มือของเราเกี่ยวกับวิธีปิดการใช้งานการสืบค้นไดเรกทอรีใน WordPress

กลับไปด้านบน

20. ลบรุ่น WordPress ของคุณ

ตามค่าเริ่มต้น WordPress จะเพิ่มเมตาแท็กในสถานที่ต่าง ๆ ซึ่งแสดงรุ่น WordPress ที่คุณใช้งานโดยอัตโนมัติ.

นี่คือสิ่งที่: หากแฮ็กเกอร์รู้ว่าคุณกำลังใช้งานเวิร์ดเพรสรุ่นเก่าพวกเขาสามารถใช้ประโยชน์จากไซต์ของคุณผ่านช่องโหว่ที่รู้จักซึ่งมีอยู่ในเวิร์ดเพรสรุ่นเก่า.

ดังนั้นจึงเป็นการดีกว่าที่คุณจะลบรุ่น WordPress ของคุณเพื่อปรับปรุงความปลอดภัยของ WordPress มีหลายที่ที่ WordPress เพิ่มเมตาแท็กเช่น, ในแดชบอร์ดของ WordPress, ในส่วนหัว, ในรูปแบบและจาวาสคริปต์และในฟีด RSS.

การลบเวอร์ชั่น WordPress ออกจากส่วนหัวและ RSS

หากต้องการลบเวอร์ชันออกจากส่วนหัวและ RSS ให้เพิ่มบรรทัดต่อไปนี้ที่ส่วนท้ายของคุณ functions.php ไฟล์.

ฟังก์ชั่น remove_wordpress_version () {
ส่งคืน ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

การลบหมายเลขรุ่น WordPress จากสคริปต์และ CSS

หากต้องการลบรุ่น WordPress ออกจาก CSS และสคริปต์ให้เพิ่มบรรทัดต่อไปนี้ที่ท้ายสุดของคุณ functions.php ไฟล์.

// เลือกหมายเลขรุ่นจากสคริปต์และสไตล์
ฟังก์ชัน remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
ส่งคืน $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

เมื่อเสร็จแล้วให้บันทึกไฟล์ functions.php.

แค่นั้นแหละ. ด้วยเคล็ดลับง่ายๆนี้คุณสามารถปรับปรุงความปลอดภัย WordPress ของคุณได้อย่างแน่นอน อย่างไรก็ตามเราขอแนะนำให้คุณอัปเดต WordPress และธีมและปลั๊กอินเป็นประจำ.

สำหรับคำแนะนำโดยละเอียดอ่านคู่มือของเราเกี่ยวกับวิธีการซ่อนหรือลบเวอร์ชัน WordPress

กลับไปด้านบน

21. เปลี่ยนคำนำหน้าตารางฐานข้อมูล WordPress

ระหว่างการติดตั้ง WordPress จะถามว่าคุณต้องการใช้คำนำหน้าฐานข้อมูลอื่นหรือไม่ เรามักจะข้ามขั้นตอนนี้ดังนั้น WordPress ใช้โดยอัตโนมัติ (wp_) เป็นคำนำหน้าตารางฐานข้อมูลเริ่มต้น เราขอแนะนำให้คุณเปลี่ยนสิ่งที่แข็งแกร่งและไม่ซ้ำใคร.

การใช้ส่วนนำหน้าเริ่มต้น (WP_) จะทำให้ฐานข้อมูล WordPress ของคุณไวต่อการโจมตีจากการฉีด SQL การโจมตีดังกล่าวสามารถป้องกันได้โดยการเปลี่ยนคำนำหน้าฐานข้อมูล (WP_) เป็นสิ่งที่ไม่ซ้ำกัน.

หลังจากติดตั้ง WordPress คุณสามารถเปลี่ยนคำนำหน้าตารางฐานข้อมูลเริ่มต้นได้อย่างง่ายดายโดยใช้ปลั๊กอินหรือด้วยตนเอง ปลั๊กอินเช่น BackupBuddy, คำนำหน้า Brozzme DB ช่วยให้คุณสามารถเปลี่ยนคำนำหน้าตารางได้ด้วยการคลิกเพียงครั้งเดียว.

เพื่อประโยชน์ของการสอนฉันกำลังแสดงวิธีการเปลี่ยนโดยใช้ปลั๊กอินคำนำหน้า Brozzme DB.

บันทึก: ก่อนที่คุณจะทำอะไรกับฐานข้อมูลของคุณตรวจสอบให้แน่ใจว่าคุณได้สำรองเว็บไซต์และฐานข้อมูลของคุณ ในกรณีที่มีสิ่งผิดปกติคุณสามารถคืนค่าเว็บไซต์ของคุณ.

ก่อนติดตั้งและเปิดใช้งาน คำนำหน้า Brozzme DB เสียบเข้าไป. จากแดชบอร์ด WordPress ของคุณไปที่ เครื่องมือ> คำนำหน้า DB และป้อนชื่อเฉพาะใหม่สำหรับคำนำหน้าฐานข้อมูล.

คำนำหน้า Brozzme DB

เมื่อป้อนคำนำหน้าใหม่ให้คลิก เปลี่ยนคำนำหน้า DB.

สำหรับกระบวนการแบบแมนนวลอ่านวิธีเปลี่ยนคำนำหน้าตารางฐานข้อมูลโดยใช้ phpMyAdmin

กลับไปด้านบน

22. ใช้ปลั๊กอิน WordPress ที่เชื่อถือได้เท่านั้น

WordPress มาพร้อมกับปลั๊กอินมากกว่า 48,000 รายการ ไม่ได้หมายความว่าปลั๊กอินทั้งหมดมีประโยชน์และปลอดภัยในการใช้งาน.

เนื่องจากมีปลั๊กอินจำนวนมากที่มีอยู่ในแกลเลอรีปลั๊กอินของ WordPress ซึ่งไม่ได้รับการอัปเดตเป็นระยะเวลานานและมักจะมีช่องโหว่ นอกจากนี้คุณจะไม่ได้รับการสนับสนุนใด ๆ หากปลั๊กอินแบ่งไซต์ของคุณ.

ก่อนที่คุณจะใช้ปลั๊กอินฟรีสิ่งสำคัญสองประการที่คุณต้องตรวจสอบ,

  • ตรวจสอบว่าปลั๊กอินอัพเดตล่าสุดเมื่อใด: หากปลั๊กอินไม่ได้รับการอัปเดตเป็นประจำหรือไม่ได้รับการดูแลรักษาโดยผู้พัฒนาปลั๊กอินอีกต่อไปคุณควรหลีกเลี่ยงปลั๊กอินดังกล่าว.

รุ่นปลั๊กอิน WordPress ที่ล้าสมัย

  • ตรวจสอบว่าปลั๊กอินมีอันดับบวกสูงสุดหรือไม่: สิ่งต่อไปที่คุณต้องตรวจสอบว่าปลั๊กอินมีอันดับบวกหรือลบสูงสุด หากปลั๊กอินมีอันดับลบสูงสุดคุณไม่ควรใช้.

WordPress ติดอันดับต่ำสุด

คุณสามารถตรวจสอบหน้ารีวิวและการสนับสนุนของปลั๊กอินเพื่อดูว่าผู้ใช้รายอื่นพูดถึงปลั๊กอินอย่างไร.

แต่ไม่ต้องกังวล มีปลั๊กอินที่คล้ายกันมากมายที่คุณสามารถค้นหาได้จากแกลเลอรีปลั๊กอินของ WordPress.

หากคุณต้องการใช้ปลั๊กอินพิเศษคุณไม่จำเป็นต้องกังวล ปลั๊กอินพรีเมียมจะอัปเดตเป็นประจำและคุณจะได้รับการสนับสนุนตลอด 24 ชั่วโมงจากนักพัฒนาปลั๊กอิน.

กลับไปด้านบน

23. ปิดการรายงานข้อผิดพลาด PHP

อีกวิธีที่ดีในการเพิ่มความปลอดภัยของ WordPress คือการปิดใช้งานรายงานข้อผิดพลาด PHP ใน WordPress หลายครั้งเมื่อคุณติดตั้งปลั๊กอินหรือธีมที่ล้าสมัยคุณอาจเห็นคำเตือนข้อผิดพลาดของ PHP.

คำเตือนข้อผิดพลาด WordPress PHPอย่างไรก็ตามเว็บไซต์ของคุณอาจมีช่องโหว่หากแฮกเกอร์ได้รับเนื่องจากแสดงรหัสและตำแหน่งไฟล์ เพื่อลดความเสี่ยงคุณสามารถปิดการรายงานข้อผิดพลาด PHP ใน WordPress.

การปิดใช้งานการเตือนข้อผิดพลาด PHP ใน WordPress นั้นง่ายมาก ก่อนอื่นให้แก้ไข WP-config.php ไฟล์และค้นหาบรรทัดที่มีรหัสนี้:

define (‘WP_DEBUG’, false);

คุณอาจเห็น“ จริง” แทน“ เท็จ” ตอนนี้แทนที่บรรทัดด้วยรหัสต่อไปนี้.

ini_set ( ‘display_errors’,’ปิด’);
ini_set (‘error_reporting’, E_ALL);
define (‘WP_DEBUG’, false);
define (‘WP_DEBUG_DISPLAY’, false);

บันทึกไฟล์และทำเสร็จแล้ว.

เราขอแนะนำให้คุณใช้ปลั๊กอินที่ทันสมัยและได้รับการจัดอันดับอย่างดีเพื่อหลีกเลี่ยงปัญหาประเภทนี้.

กลับไปด้านบน

24. เพิ่ม HTTP Secure Headers ลงใน WordPress

อีกวิธีที่ดีในการเพิ่มความปลอดภัยให้กับ WordPress คือการเพิ่มส่วนหัว HTTP ที่ปลอดภัยลงในไซต์ WordPress ของคุณ.

เมื่อมีคนเข้าถึงเว็บไซต์ของคุณเบราว์เซอร์จะส่งคำขอไปยังเว็บเซิร์ฟเวอร์ของคุณ จากนั้นเว็บเซิร์ฟเวอร์ตอบสนองต่อคำขอพร้อมกับส่วนหัว HTTP ส่วนหัว HTTP เหล่านี้ส่งผ่านข้อมูลเช่นการเข้ารหัสเนื้อหาการควบคุมแคชประเภทเนื้อหาการเชื่อมต่อ ฯลฯ.

ด้วยการเพิ่มส่วนหัวการตอบกลับ HTTP ที่ปลอดภัยคุณสามารถปรับปรุงการรักษาความปลอดภัย WordPress ของคุณและป้องกันการโจมตีและความเสี่ยงด้านความปลอดภัย.

นี่คือส่วนหัว HTTP ด้านล่าง:

  • HTTP Strict Transport Security (HSTS): HTTP Strict Transport Security (HSTS) บังคับใช้เว็บเบราว์เซอร์เพื่อใช้การเชื่อมต่อที่ปลอดภัย (HTTPS) เมื่อสื่อสารกับเว็บไซต์เท่านั้น สิ่งนี้จะป้องกันการแฮ็กโปรโตคอล SSL, การขโมยคุกกี้, การลอก SSL เป็นต้น.
  • X-Frame-Options: X-Frame-Options เป็นชนิดของส่วนหัว HTTP ที่ระบุว่าอนุญาตให้เบราว์เซอร์แสดงผลเว็บไซต์ในเฟรมหรือไม่ วิธีนี้จะช่วยป้องกันการโจมตีจากการคลิกและมั่นใจได้ว่าเว็บไซต์ของคุณจะไม่ถูกฝังลงในเว็บไซต์อื่น ๆ โดยใช้ .
  • X-XSS คุ้มครอง: X-XSS-Protection เป็นคุณสมบัติในตัวของ Internet Explorer, Google Chrome, Firefox และเบราว์เซอร์ Safari ที่ปิดกั้นหน้าเว็บจากการโหลดหากสคริปต์ที่เป็นอันตรายได้ถูกแทรกจากการป้อนข้อมูลของผู้ใช้.
  • X-Content-Type-Options: X-Content-Type-Options เป็นชนิดของส่วนหัวตอบสนอง HTTP ที่มีค่า nosniff ที่ป้องกันไม่ให้เว็บเบราว์เซอร์จาก MIME ดมกลิ่นการตอบสนองจากการประกาศเนื้อหาประเภท.
  • อ้างอิงนโยบาย: นโยบายผู้อ้างอิงเป็นส่วนหัวการตอบสนอง HTTP ที่ป้องกันการรั่วไหลของผู้อ้างอิงข้ามโดเมน.

ในการเพิ่มส่วนหัว HTTP ที่ปลอดภัยใน WordPress เพียงเพิ่มบรรทัดของรหัสต่อไปนี้ในของคุณ .htaccess ไฟล์.

ส่วนหัวชุด Strict-Transport-Security "max-age = 31536000" env = HTTPS
ส่วนหัวต่อท้าย X-Frame-Options SAMEORIGIN เสมอ
ส่วนหัวชุดการป้องกัน X-XSS "1; mode = บล็อก"
ส่วนหัวตั้งค่า X-Content-Type-Options nosniff
นโยบายผู้อ้างอิงส่วนหัว: ไม่มีผู้อ้างอิงเมื่อปรับลดรุ่น

ตรวจสอบส่วนหัวความปลอดภัย

ตอนนี้ไปที่ securityheaders.com เพื่อตรวจสอบว่ารหัสทำงานหรือไม่ เรายังไม่ได้เพิ่ม“ นโยบายความปลอดภัยของเนื้อหา” เพราะอาจทำให้ไซต์ของคุณเสียหาย อย่างไรก็ตามการทำให้ไซต์ WordPress ของคุณปลอดภัย.

กลับไปด้านบน

ข้อสรุป

มีหลายวิธีที่คุณสามารถทำให้แข็งได้ ความปลอดภัยของ WordPress เช่น: การใช้โฮสติ้ง WordPress ที่มีการจัดการ, การใช้รหัสผ่านที่รัดกุมสำหรับบัญชี, การตรวจสอบกิจกรรมของผู้ใช้, ใช้ปลั๊กอินความปลอดภัย WordPress, ใช้ SSL และ HTTPS และอื่น ๆ อีกมากมาย.

ความปลอดภัยของฮาร์ดิง WordPress ไม่ใช่วิทยาศาสตร์จรวด คุณสามารถรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณได้อย่างง่ายดายโดยใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress ที่เราแบ่งปันในบทความนี้ คุณจะไม่เพียง แต่รักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ แต่ยังป้องกันไม่ให้แฮกเกอร์เข้าถึงเว็บไซต์ของคุณ.

เมื่อเสร็จแล้วคุณไม่ต้องกังวลเกี่ยวกับความปลอดภัยของ WordPress นอกจากนี้คุณสามารถทำงานได้มากขึ้นและปราศจากความเครียด.

ตอนนี้ถึงตาคุณแล้ว อ่านบทความอย่างละเอียดและนำไปใช้กับเว็บไซต์ของคุณ คุณจะมีความสุขที่คุณทำมัน ��

เราพลาดเคล็ดลับความปลอดภัยของ WordPress ที่สำคัญที่ต้องพูดถึงที่นี่หรือไม่? อย่าลังเลที่จะแจ้งให้เราทราบในส่วนความคิดเห็น.

WordPress ความปลอดภัย Infographic

WordPress รักษาความปลอดภัย Infographic-ขนาดเล็ก

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map