มากกว่า 40% ของเว็บไซต์ออนไลน์ชั้นนำ 10 ล้านแห่งใช้ WordPress แต่ WordPress ปลอดภัยหรือไม่? คำตอบสั้น ๆ สำหรับคำถามนี้คือ ใช่ – เวิร์ดเพรสมีความปลอดภัย อย่างไรก็ตามนั่นไม่ได้หมายความว่า WordPress ไม่มีช่องโหว่ใดๆ

โชคดีที่ชุมชน WordPress ได้บันทึกช่องโหว่ WordPress ทั่วไปไว้มากมาย ทำให้ผู้ดูแลระบบเว็บไซต์สามารถเพิ่มระดับการรักษาความปลอดภัยให้กับเว็บไซต์ของตนได้อย่างง่ายดาย ในบทความนี้ ฉันจะกล่าวถึง 5 วิธีง่ายๆ ในการสร้างเว็บไซต์ WordPress ของคุณ ข้อมูลเพิ่มเติม ปลอดภัย

สารบัญ

1. มีชื่อผู้ใช้ผู้ดูแลระบบที่ไม่ซ้ำใครและรหัสผ่านสำหรับเข้าสู่ระบบที่รัดกุม

หน้าเข้าสู่ระบบของผู้ดูแลระบบเป็นด่านแรกในการป้องกันเว็บไซต์ WordPress ของคุณ เป็นที่ที่ผู้ดูแลระบบหรือผู้ใช้สามารถเข้าถึง "ส่วนหลัง" ของไซต์ของคุณ และทำการเปลี่ยนแปลงไซต์ ป้อนข้อมูลหรือแยกข้อมูลผู้ใช้/ลูกค้า หรือเพิ่มหรือลบไฟล์และคุณลักษณะของไซต์ โดยต้องได้รับอนุญาตจากพวกเขาให้ทำเช่นนั้น .

ผู้ไม่ประสงค์ดีสามารถใช้หน้าเข้าสู่ระบบนี้เป็นช่องทางในการโจมตีไซต์ของคุณได้ ตัวอย่างเช่น ใน “โหดเหี้ยม” การโจมตี แฮ็กเกอร์พยายามคาดเดาข้อมูลรับรองการเข้าสู่ระบบของคุณซ้ำๆ เพื่อเข้าถึงไซต์ของคุณ

แฮ็กเกอร์เหล่านี้ใช้เวลาไม่นานในการเจาะเข้าไปในข้อมูลที่ละเอียดอ่อนของไซต์ของคุณได้สำเร็จ หากคุณใช้ชื่อผู้ใช้และรหัสผ่านทั่วไปของผู้ดูแลระบบ (เช่น “admin” สำหรับชื่อผู้ใช้ และ “password1234” สำหรับรหัสผ่าน)

ดังนั้น สิ่งง่ายๆ อย่างแรกที่คุณสามารถทำได้เพื่อทำให้ไซต์ของคุณปลอดภัยยิ่งขึ้นคือ ใช้ชื่อผู้ใช้ที่ไม่ซ้ำกันและรหัสผ่านที่รัดกุมสำหรับข้อมูลรับรองการเข้าสู่ระบบไซต์. คุณจะต้องแน่ใจว่าชื่อผู้ใช้และรหัสผ่านของคุณ เฉพาะสำหรับเว็บไซต์ WordPress ของคุณ และไม่ใช้สำหรับตำแหน่งการเข้าสู่ระบบอื่นๆ (เช่น การเข้าสู่ระบบธนาคารออนไลน์หรือการเข้าสู่ระบบโซเชียลมีเดีย) สิ่งนี้จะเพิ่มความปลอดภัยอีกชั้นหนึ่ง

ในทางกลับกัน หากคุณนำชื่อผู้ใช้และรหัสผ่านของคุณไปรีไซเคิลในหลาย ๆ ไซต์ ไซต์ทั้งหมดที่ใช้ข้อมูลประจำตัวเหล่านี้จะตกอยู่ในอันตรายทันทีเมื่อหนึ่งในนั้นถูกบุกรุกโดยแฮ็กเกอร์

หากคุณกังวลว่าข้อมูลการเข้าสู่ระบบจะสูญหาย ให้ทำสำเนาข้อมูลดังกล่าวเป็นกระดาษ (อย่าลืมใส่อักษรตัวพิมพ์ใหญ่ให้ถูกต้องด้วย!) จัดเก็บสำเนากระดาษไว้ในที่ปลอดภัยซึ่งมีเพียงคุณและบุคคลที่เชื่อถือได้เท่านั้นที่สามารถเข้าถึงได้ (เช่น ตู้เก็บเอกสารที่ล็อคได้)

นอกจากนี้ คุณสามารถเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยหรือรหัสผ่านแบบใช้ครั้งเดียว (OTP) สำหรับหน้าเข้าสู่ระบบ WordPress ของคุณ สิ่งนี้จะมอบความปลอดภัยอีกชั้นหนึ่งสำหรับการป้องกันในระดับที่มากขึ้น ตัวอย่างเช่น, ปลั๊กอินความปลอดภัย WordPress SG Security (ซึ่งมาพร้อมกับ โรคติดต่อระหว่างประเทศ แผนการโฮสต์) มาพร้อมกับคุณสมบัติ "การตรวจสอบสิทธิ์สองปัจจัย" ที่ใช้ปลั๊กอินรับรองความถูกต้องของ Google ซึ่งหมายความว่าแม้ว่าแฮ็กเกอร์จะเดาชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบได้ พวกเขายังคงต้องค้นหารหัสการตรวจสอบสิทธิ์ที่สร้างขึ้นแบบสุ่มเพื่อเข้าถึงส่วนหลังของไซต์ของคุณ

WordPress ประยุกต์: วิธีสร้างหลักสูตรเว็บไซต์ที่มีประสิทธิภาพโดย Davies Media Design

2. ใช้ WordPress เวอร์ชันล่าสุด

อีกวิธีง่ายๆ ในการทำให้ไซต์ของคุณปลอดภัยคือการใช้ WordPress เวอร์ชันล่าสุดเสมอ WordPress ทำงานบน “รอบการเผยแพร่” ซึ่งออกเวอร์ชันใหม่ของรหัสหลักทุกๆ 4 เดือนหรือมากกว่านั้น แม้ว่าเวอร์ชันใหม่ของ WordPress จะเป็นเวอร์ชันรองหรือเวอร์ชันหลัก แต่ก็มีการอัปเดตด้านความปลอดภัยอยู่เกือบตลอดเวลา

การอัปเดตเหล่านี้อิงตามข้อมูลล่าสุดจากแหล่งที่มาเช่น เปิดโครงการความปลอดภัยของเว็บแอปพลิเคชัน (OWASP Foundation), “ชุมชนออนไลน์ที่ทุ่มเทให้กับการรักษาความปลอดภัยเว็บแอปพลิเคชัน”

โชคดีที่ WordPress และเวอร์ชันใหม่แต่ละเวอร์ชันสามารถติดตั้งบนไซต์ของคุณได้ฟรีเสมอ และในกรณีส่วนใหญ่ WordPress จะอัปเดตเว็บไซต์ของคุณเป็นเวอร์ชันล่าสุดโดยอัตโนมัติ (เว้นแต่คุณจะบอกเป็นพิเศษว่าไม่ให้หรือกำลังใช้เวอร์ชันที่เก่ากว่า WordPress 3.7)

นอกจากนี้ ทีมงานหลักของ WordPress ยังใช้ความพยายามอย่างมากในการทำให้ WordPress เวอร์ชันใหม่เข้ากันได้แบบย้อนกลับ นี่หมายความว่า WordPress เวอร์ชันใหม่ได้รับการออกแบบให้ทำงานร่วมกับธีม ปลั๊กอิน และโค้ดที่คุณกำหนดเอง

คุณสามารถตรวจสอบว่าไซต์ของคุณได้รับการอัปเดตเป็นเวอร์ชันล่าสุดหรือไม่โดยไปที่ Dashboard>Updates (ลูกศรสีเหลืองในภาพด้านบน) ที่นี่ คุณจะเห็นเวอร์ชันของ WordPress ที่คุณใช้และเป็นเวอร์ชันล่าสุดหรือไม่ (ลูกศรสีแดงในภาพด้านบน)

สิ่งสำคัญอย่างหนึ่งที่ควรทราบคือโดยปกติแล้วคุณไม่ต้องการ "ข้าม" ไปใช้ WordPress เวอร์ชันล่าสุดหากคุณใช้เวอร์ชันที่เก่ากว่ามาก

ตัวอย่างเช่น หากคุณใช้ WordPress 4.9 (เปิดตัวในปี 2017) บนไซต์สดของคุณ ฉันไม่แนะนำให้พยายามอัปเดตโดยตรงเป็น WordPress 6.2 (เวอร์ชันล่าสุด ณ เวลาที่บทความนี้) สิ่งนี้จะทำลายสิ่งต่าง ๆ

คุณสามารถดาวน์โหลดและติดตั้งแทนได้ รุ่นที่ผ่านมา ไปยังเว็บไซต์ของคุณ และค่อยๆ ปรับปรุงเว็บไซต์ของคุณให้เป็นปัจจุบัน นอกจากนี้ คุณจะต้องสำรองไฟล์ของไซต์ของคุณก่อนที่จะทำการอัปเดต ฉันขอแนะนำให้เช็คเอาท์ บทความนี้เกี่ยวกับขั้นตอนต่างๆ ที่ต้องทำก่อน ระหว่าง และหลังการสำรองไซต์ WordPress ของคุณ. มันอาจเป็นขั้นตอนหนึ่งอย่างแน่นอน แต่จะช่วยให้คุณไม่ต้องปวดหัวกับการที่เว็บไซต์ล่มและพยายามแก้ไขทุกอย่างหลังจากนั้น

โปรดทราบว่ายิ่ง WordPress เวอร์ชันปัจจุบันของคุณเก่า กระบวนการนี้ก็จะยิ่งน่าเบื่อและล่อแหลมมากขึ้นเท่านั้น นี่คือเหตุผลที่ทำให้ WordPress เวอร์ชันของคุณทันสมัยอยู่เสมอ!

3. อัปเดตธีมของคุณเป็นเวอร์ชันล่าสุด รวมทั้งถอนการติดตั้งธีมที่ไม่ได้ใช้

WordPress “เสริมความแข็งแกร่ง” ความปลอดภัยของธีมเริ่มต้นโดยการพัฒนา ทำซ้ำ และเผยแพร่ธีมเวอร์ชันใหม่อย่างต่อเนื่อง ซึ่งหมายความว่าคุณควรใช้ธีมเริ่มต้นล่าสุดจาก WordPress เมื่อทำได้ เนื่องจากจะมีการอัปเดตความปลอดภัยล่าสุดทั้งหมดในตัว

โชคดีที่บอกได้ง่ายว่าธีมเริ่มต้นใดเป็นธีมล่าสุด เพราะตั้งชื่อธีมใหม่ตามปีปัจจุบัน (หรือปีต่อๆ ไป) ที่ธีมจะออก ตัวอย่างเช่น ธีมที่เปิดตัวในปี 2023 เรียกว่า “Twenty Twenty-Three”

นอกเหนือจากการอัปเดตความปลอดภัยแล้ว ธีมเริ่มต้นใหม่ยังมีฟีเจอร์ใหม่ๆ มากมายที่ออกแบบมาเพื่อทำให้การออกแบบเว็บไซต์ของคุณง่ายขึ้นและสนุกยิ่งขึ้น นอกจากนี้ มักจะมาพร้อมกับการปรับปรุงประสิทธิภาพเพื่อให้ไซต์ของคุณทำงานได้ดีขึ้น และช่วยให้คุณได้รับการเข้าชมมากขึ้น

ไม่แน่ใจว่าจะอัปเดตธีมของคุณใน WordPress ได้อย่างไร? ฉันแสดงให้คุณเห็นว่าในของฉัน WordPress สำหรับผู้เริ่มต้นปี 2023: WordPress Masterclass แบบไม่มีโค้ดบน Udemy

ไม่ว่าคุณจะตัดสินใจใช้ธีมเริ่มต้นล่าสุดสำหรับไซต์ WordPress ของคุณหรือใช้ธีมที่คุณคุ้นเคย คุณควรลบธีมที่ไม่ได้ใช้งานหรือไม่ได้ใช้ออกจากส่วนหลังของไซต์เสมอ เนื่องจากธีมที่ไม่ได้ใช้ (โดยเฉพาะธีมเก่าหรือธีมของบุคคลที่สาม) อาจมีช่องโหว่ด้านความปลอดภัยที่ทำให้แฮ็กเกอร์เข้าถึงและโจมตีไซต์ของคุณได้ง่ายขึ้น

คุณสามารถเรียนรู้วิธีลบธีมที่ไม่ได้ใช้ออกจาก WordPress ได้ในบทความช่วยเหลือนี้โดย Davies Media Design

4. อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดและตรวจสอบความเข้ากันได้

หนึ่งในสิ่งที่ทำให้ WordPress ยอดเยี่ยมคือการรวมปลั๊กอินของบุคคลที่สาม อย่างไรก็ตาม ปลั๊กอินบางตัวไม่ได้ถูกสร้างขึ้นมาเท่ากัน และบางตัวอาจสร้างช่องโหว่ด้านความปลอดภัยให้กับไซต์ของคุณ

โชคดีที่มีบางสิ่งง่ายๆ ที่คุณสามารถทำได้เพื่อลดความเสี่ยงของภัยคุกคามความปลอดภัยที่สร้างโดยปลั๊กอิน

สำหรับผู้เริ่มต้น ขอแนะนำให้คุณ ดาวน์โหลดและติดตั้งปลั๊กอิน WordPress จากที่เก็บ WordPress. เนื่องจากปลั๊กอินที่แสดงรายการที่นี่จำเป็นต้องได้รับการตรวจสอบและอนุมัติโดยทีมรักษาความปลอดภัยของ WordPress ก่อนที่จะเปิดให้ดาวน์โหลด คุณสามารถค้นหาปลั๊กอินเหล่านี้ได้ทาง ลิงก์โดยตรงนี้ไปยังที่เก็บปลั๊กอินหรือจากภายใน WP Admin Area ของไซต์โดยตรงโดยไปที่ Plugins>Add New (ลูกศรสีเหลืองในภาพด้านล่าง)

เมื่อตัดสินใจเลือกปลั๊กอินที่จะดาวน์โหลดสำหรับไซต์ WordPress ของคุณ ฉันขอแนะนำอย่างยิ่งให้ใช้ปลั๊กอินที่อยู่ในรายการ "เข้ากันได้กับ WordPress เวอร์ชันของคุณ" โชคดีที่ WordPress บอกคุณว่าปลั๊กอินและเวอร์ชัน WordPress ของคุณเข้ากันได้โดยตรงจากภายในไดเร็กทอรีปลั๊กอินหรือไม่ (ลูกศรสีแดงในภาพด้านบน) ปลั๊กอินที่ยังไม่ได้ทดสอบกับ WordPress เวอร์ชันล่าสุดจะแสดงข้อความ: “Untested with your version of WordPress” (ลูกศรสีน้ำเงินในภาพด้านบน)

แม้ว่าปลั๊กอิน "ยังไม่ทดสอบ" อาจทำงานได้ดีกับเวอร์ชันและธีม WordPress ของคุณ แต่อาจมีช่องโหว่ด้านความปลอดภัยที่ยังไม่ได้ค้นพบซึ่งติดมากับปลั๊กอินเหล่านี้ ดังนั้น ใช้ปลั๊กอินดังกล่าวบนเว็บไซต์ของคุณด้วยความระมัดระวัง

โปรดทราบว่า WordPress ระบุในเอกสารความปลอดภัยของพวกเขา: “การรวมปลั๊กอินและธีมในที่เก็บข้อมูลไม่ได้รับประกันว่าจะปราศจากช่องโหว่ด้านความปลอดภัย” ดังที่ได้กล่าวมาแล้ว ปลั๊กอินที่มี "ช่องโหว่ร้ายแรง" ที่ทราบแล้วจะถูกลบออกจากพื้นที่เก็บข้อมูล และอาจได้รับการแก้ไขโดยทีมรักษาความปลอดภัยของ WordPress ก่อนที่จะโพสต์ซ้ำไปยังพื้นที่เก็บข้อมูล

สุดท้าย เมื่อคุณติดตั้งปลั๊กอินบนเว็บไซต์ของคุณแล้ว คุณจะต้องตรวจสอบให้แน่ใจว่าคุณอัปเดตปลั๊กอินทั้งหมดอยู่เสมอ โดยทั่วไปแล้วผู้พัฒนาปลั๊กอินจะแนะนำการอัปเดตความปลอดภัยและการแก้ไขด้วยเวอร์ชันใหม่ ดังนั้น เมื่อมีปลั๊กอินเวอร์ชันล่าสุด คุณจึงมั่นใจได้ว่าคุณมีการอัปเดตความปลอดภัยล่าสุดทั้งหมดสำหรับปลั๊กอินนั้นบนไซต์ของคุณ เช่นเดียวกับธีมที่ไม่ได้ใช้หรือไม่ใช้งาน เราขอแนะนำให้คุณปิดใช้งานและถอนการติดตั้งปลั๊กอินที่ไม่ได้ใช้งานบนไซต์ของคุณ เพื่อลดโอกาสที่ปลั๊กอินดังกล่าวจะสร้างช่องโหว่ด้านความปลอดภัยในภายหลัง

หากคุณไม่แน่ใจว่าจะอัปเดตปลั๊กอินใน WordPress ได้อย่างไร ฉันขอแนะนำให้ตรวจสอบกระบวนการนี้ในของฉัน WordPress สำหรับผู้เริ่มต้นปี 2023: WordPress Masterclass แบบไม่มีโค้ดบน Udemy

5. เพิ่มใบรับรอง SSL ในโดเมนของคุณ

สุดท้าย ง่าย วิธีเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ในปี 2023 คือการเพิ่ม SSL Certificate ให้กับโดเมนของคุณ

ใบรับรอง SSL (Secure Socket Layer) เป็นหลักในการตรวจสอบว่าเนื้อหาที่ผู้เยี่ยมชมไซต์ของคุณเห็นนั้นมาจากผู้สร้างเนื้อหาจริง ไม่ใช่เว็บไซต์แอบอ้างหรือฉ้อฉล กล่าวอีกนัยหนึ่ง มันยืนยันว่าทุกอย่างถูกต้องตามกฎหมายจากภายในเบราว์เซอร์ของผู้ใช้โดยตรง

เว็บไซต์ที่มีการตั้งค่าใบรับรอง SSL อย่างถูกต้องจะมีไอคอนแม่กุญแจอยู่ติดกับ URL ของเว็บไซต์ในแถบค้นหาของเบราว์เซอร์ ตัวอย่างเช่น หากคุณดูที่ด้านบนของเว็บไซต์นี้ในเบราว์เซอร์ Chrome ของ Google คุณจะเห็นไอคอนแม่กุญแจถัดจาก URL หลัก (ลูกศรสีแดงในภาพด้านบน) เมื่อคุณคลิกไอคอนแม่กุญแจ คุณจะเห็นบรรทัดที่ระบุว่า “การเชื่อมต่อปลอดภัย” Google เป็นผู้ยืนยันว่าการเชื่อมต่อระหว่างเว็บไซต์นี้กับเว็บเบราว์เซอร์ของผู้เข้าชมนั้นปลอดภัยและเป็นส่วนตัว

ใบรับรอง SSL มีความสำคัญอย่างยิ่งสำหรับเว็บไซต์ที่เก็บรวบรวม ใด ๆ ประเภทของข้อมูลผู้ใช้ ซึ่งรวมถึงข้อมูลง่ายๆ ที่รวบรวมจากแบบฟอร์มติดต่อ (เช่น ชื่อ อีเมล หมายเลขโทรศัพท์ ฯลฯ) ตลอดจนข้อมูลที่ซับซ้อนหรือเป็นส่วนตัว เช่น รวบรวมจากไซต์อีคอมเมิร์ซ (เช่น หมายเลขบัตรเครดิต ที่อยู่ ฯลฯ). ด้วยการทำให้การเชื่อมต่อปลอดภัยระหว่างเว็บไซต์และผู้เยี่ยมชมไซต์ ใบรับรอง SSL ทำให้แฮ็กเกอร์ขโมยข้อมูลที่แลกเปลี่ยนระหว่างทั้งสองฝ่ายได้ยากมาก

บริษัทโฮสติ้งเว็บไซต์บางแห่งเรียกเก็บเงินสำหรับใบรับรอง SSL ในขณะที่บริษัทอื่นๆ (เช่น โรค) จะเสนอ ฟรีใบรับรอง SSL. ผู้ให้บริการโฮสติ้งส่วนใหญ่ควรเสนอใบรับรอง SSL รวมถึงให้คำแนะนำเกี่ยวกับวิธีการติดตั้งบนเว็บไซต์ WordPress ของคุณ

โบนัสเพิ่มเติม เครื่องมือค้นหาเช่น Google มักจะจัดอันดับเว็บไซต์ที่มีใบรับรอง SSL สูงกว่าเว็บไซต์ที่ไม่มี กล่าวอีกนัยหนึ่ง ใบรับรอง SSL ไม่เพียงแต่ทำให้ไซต์ของคุณปลอดภัยมากขึ้นเท่านั้น แต่ยังช่วยให้ไซต์ของคุณได้รับการเข้าชมมากขึ้นอีกด้วย

เพียงเท่านี้สำหรับบทความนี้! หากคุณชอบ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับวิธีสร้างเว็บไซต์ WordPress ตั้งแต่ต้นจนจบได้ในของฉัน WordPress สำหรับผู้เริ่มต้นปี 2023: WordPress Masterclass แบบไม่มีโค้ดบน Udemy

ออกจากเวอร์ชันมือถือ