วิธีทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้น

ทำไมจึงต้องมีการรักษาความปลอดภัยเว็บไซต์ ?

เว็บบล็อกวันนี้กลายเป็นงานอดิเรกของผู้คนจำนวนมากและ WordPress เป็นแพลตฟอร์มที่เลือกใช้มากที่สุดสำหรับสิ่งเดียวกัน โดยค่าเริ่มต้น บล็อก wordpress ใช้ระดับความปลอดภัยขั้นต่ำ และไฟล์และ/หรือปลั๊กอินมักจะล้าสมัย ไฟล์เหล่านี้สามารถตรวจสอบย้อนกลับได้และเสี่ยงต่อการถูกแฮ็กได้ง่าย อินเทอร์เน็ตไม่ใช่สถานที่ทำงานที่ปลอดภัย และเราต้องระวังเพียงพอเกี่ยวกับความปลอดภัย

บทความนี้กล่าวถึงเคล็ดลับและเทคนิคง่ายๆ ที่มือใหม่สามารถนำไปใช้ได้ เพื่อความปลอดภัยของบล็อกและข้อมูลที่จัดเก็บไว้ใน WordPress

เคล็ดลับ #1 ใช้ชื่อผู้ใช้และรหัสผ่านที่ปลอดภัยและไม่ซ้ำใคร

• หลีกเลี่ยงการใช้ User : admin สำหรับการเริ่มต้น 
• ผู้ใช้ยังสามารถสร้างผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบและลบชื่อผู้ใช้ ‘admin’ เก่าได้
• ปลั๊กอิน WordPress เช่นUsername Changerยังสามารถใช้เพื่อเปลี่ยนชื่อผู้ใช้เป็นสิ่งที่ปลอดภัยยิ่งขึ้น พยายามหลีกเลี่ยงการใช้ชื่อผู้ใช้ทั่วไป เช่น ชื่อของคุณหรือ ‘ผู้ดูแลระบบ’ ซึ่งสามารถเดาได้ง่าย
• เลือกรหัสผ่านที่ซับซ้อนซึ่งประกอบด้วยตัวอักษร ตัวเลข และอักขระ อย่าเลือกรหัสผ่านที่คล้ายกับชื่อผู้ใช้ ชื่อเว็บไซต์ หรือคำง่ายๆ ที่มีการเปลี่ยนแปลงเล็กน้อย
• ขอแนะนำให้ใช้สตริงอักขระแบบสุ่ม

เคล็ดลับ #2 การเปิดใช้งานการตรวจสอบสิทธิ์สองขั้นตอน

1. ผู้ใช้จำเป็นต้องมีบัญชี WordPress ซึ่งสามารถสร้างขึ้นได้โดยการคลิกที่นี่ หากผู้ใช้มีบัญชี WordPress อยู่แล้ว ให้ข้ามขั้นตอนนี้
2. คลิกที่นี่เพื่อเปิดใช้งานการตรวจสอบสองขั้นตอน ผู้ใช้ถูกเปลี่ยนเส้นทางไปยังหน้าต่อไปนี้

3. หลังจากคลิก Get Started หน้าจอต่อไปนี้จะปรากฏขึ้น

4. เลือกตัวเลือกยืนยันผ่าน SMS
5. WordPress จะส่งรหัสยืนยันทาง SMS ซึ่งผู้ใช้จะต้องป้อนเพื่อยืนยันหมายเลข
6. ป้อนรหัสที่ส่งไปยังมือถือของคุณอย่างถูกต้อง จากนั้นจะมีรหัสสำรองจำนวนมากซึ่งสามารถใช้เป็นทางเลือกในการเข้าถึงไซต์ได้หากมือถือถูกขโมยหรือสูญหายหรือสถานการณ์ที่โทรศัพท์ไม่สามารถเข้าถึงได้เพื่อรับรหัส บันทึกรหัสเหล่านี้ในไฟล์ข้อความ
7. คุณได้เปิดใช้งานการยืนยันแบบสองขั้นตอนแล้ว

 เคล็ดลับ #2 การใช้ปลั๊กอิน

เพื่อป้องกันการโจมตี Brute Force มีปลั๊กอินที่ยอดเยี่ยมสองตัว

• ปลั๊กอิน All in One WP Security & Firewall มีตัวเลือกที่เพียงแค่เปลี่ยน URL เริ่มต้น (/wp-admin/) สำหรับแบบฟอร์มการเข้าสู่ระบบนั้น ปลั๊กอินนี้ยังช่วยในการจำกัดจำนวนครั้งในการเข้าสู่ระบบจากที่อยู่ IP ที่แน่นอน
• อีกคนหนึ่งคือBruteProtect ปลั๊กอินนั้นเพิ่งได้รับมาโดยAutomatticผู้สร้าง WordPress ปลั๊กอินจะดูแลปกป้องแบบฟอร์มการเข้าสู่ระบบของผู้ใช้โดยอัตโนมัติจากที่อยู่ IP ที่มีแนวโน้มที่จะพยายามเข้าสู่ระบบหลายครั้ง

เคล็ดลับ #3 ย้าย wp-config ขึ้นหนึ่งไดเร็กทอรีแล้วล็อกไว้ 

• ผู้ใช้สามารถย้ายไฟล์ wp-config.php ไปยังไดเร็กทอรีเหนือการติดตั้ง WordPress ของคุณ ซึ่งหมายความว่าสำหรับไซต์ที่ติดตั้งในรูทไดเร็กทอรีของเว็บสเปซของคุณ คุณสามารถจัดเก็บ wp-config.php นอกโฟลเดอร์รูทของเว็บไซต์ได้
• นี่คือลักษณะของ wp-config:

หากเซิร์ฟเวอร์ที่ใช้มาพร้อมกับ .htaccess ให้เพิ่มโค้ดนี้ที่ด้านบนสุดของไฟล์ซึ่งจะปฏิเสธการเข้าถึงไม่ให้ใครก็ตามที่ท่องเว็บ :

<files wp-config.php>
    
order allow,deny

deny from all

</files>

เคล็ดลับ #4 อัปเดต WordPress อยู่เสมอ

สมมติว่าผู้ใช้ติดตั้งเซิร์ฟเวอร์ Wamp :

1. เริ่มเซิร์ฟเวอร์ wamp
2. เปิดไซต์ WordPress โดยใช้ localhost
3. ใต้ส่วนแดชบอร์ดให้คลิกที่อัปเดต
4. ในกรณีของฉัน ฉันได้อัปเดต WordPress ของฉันแล้ว สำหรับฉัน มันแสดงให้เห็นว่า ‘คุณมีเวอร์ชันล่าสุดแล้ว’
5. สำหรับผู้ที่มีเวอร์ชั่นล่าสุดจะมีตัวเลือกให้อัพเดท คลิกที่มัน เสร็จแล้ว!!

เคล็ดลับ #5 การเปลี่ยนการอนุญาตไฟล์

ผู้ใช้ที่มีสิทธิ์เข้าถึงเชลล์ในเซิร์ฟเวอร์ สิทธิ์ของไฟล์สามารถเปลี่ยนแปลงซ้ำได้โดยใช้คำสั่งต่อไปนี้:

สำหรับไดเรกทอรี:

ค้นหา /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

สำหรับไฟล์:

ค้นหา /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

เคล็ดลับ #6 กำหนดเวลาการสำรองข้อมูลปกติ

• สำรองข้อมูลอย่างสม่ำเสมอ รวมถึงMySQL .ของคุณ
• ความสมบูรณ์ของข้อมูลเป็นสิ่งสำคัญมากสำหรับการสำรองข้อมูลที่เชื่อถือได้
• แผนสำรองข้อมูลที่ดีอาจเกี่ยวข้องกับการเก็บชุดสแน็ปช็อตตามกำหนดเวลาของการติดตั้ง WordPress ทั้งหมดของคุณ (รวมถึงไฟล์หลักของ WordPress และฐานข้อมูลของคุณ) ในตำแหน่งที่เชื่อถือได้

เคล็ดลับ # 7 ลบ readme และไฟล์ที่ไม่จำเป็น

• WordPress มี readme.html เริ่มต้น และปลั๊กอินและธีมมากมายที่มาพร้อมกับมัน
• ควรลบออกเนื่องจากสามารถใช้สำหรับลายนิ้วมือหรือการสอดแนมทั่วไปและมักมีข้อมูลเวอร์ชัน
• ลบไฟล์ขยะออกจากโฟลเดอร์

เคล็ดลับ #8 การเปิดใช้งานการเข้าสู่ระบบ SSL

· หากไซต์มีใบรับรองSSLสามารถเปิดใช้งานการเข้าสู่ระบบSSLได้

· ในการเปิดใช้งาน SSL Certificate เว็บไซต์ของคุณต้องสามารถเข้าถึงได้โดยใช้ https

• เพิ่มชิ้นต่อไปนี้รหัสไปไฟล์ WP-config

 เคล็ดลับ #9: ถาม Apache Password Protect

• ปลั๊กอินนี้ช่วยให้ผู้ใช้ควบคุมบล็อกได้มากขึ้นในแง่ของความปลอดภัย
• ผู้ใช้สามารถปกป้องไซต์ของคุณด้วยการอนุญาต 401 ในขั้นตอนง่ายๆ

ปลั๊กอินสามารถดาวน์โหลดได้จาก   ที่นี่

ข้อมูลอ้างอิง:

http://wpsecure.net/secure-wordpress/

http://www.sitepoint.com/tips-to-secure-wordpress/

http://code.tutsplus.com/articles/11-quick-tips-securing-your-wordpress-site–wp-22446

https://www.geeksforgeeks.org/making-wordpress-website-secure/

• Facebook
• Twitter
• Line