เว็บไซต์ของคุณมีค่า:สำหรับคุณและผู้เยี่ยมชมเว็บไซต์ของคุณ และสำหรับแฮกเกอร์ด้วย
ในการสร้างการป้องกันที่ดีจากการโจมตีที่ประสงค์ร้าย คุณต้องมีคำแนะนำที่ตรงไปตรงมาเกี่ยวกับวิธีป้องกันเว็บไซต์จากแฮกเกอร์ .
นี่คือคู่มือการป้องกันแฮ็กเกอร์!
เรามั่นใจแค่ไหน? MalCare ปกป้องเว็บไซต์มากกว่า 25,000 แห่ง และทีมสนับสนุนของเราจะตรวจสอบมัลแวร์ที่เข้าใจยากที่สุดจากเว็บไซต์ทุกวัน เรารู้บางสิ่งเกี่ยวกับวิธีปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และการโจมตีที่เป็นอันตรายอื่นๆ
TL;DR: มาตรการรักษาความปลอดภัยที่ดีที่สุดคือการติดตั้งปลั๊กอินความปลอดภัย ที่ทำงานบนระบบอัตโนมัติ เราขอแนะนำให้คุณใช้มาตรการรักษาความปลอดภัยทั้งหมดที่เราได้อธิบายไว้ในบทความนี้
ก่อนเริ่ม
การดูมาตรการรักษาความปลอดภัยหลายรายการเพื่อปกป้องเว็บไซต์จากแฮกเกอร์อาจเป็นเรื่องที่น่ากลัว เราตระหนักดีว่า ดังนั้น เพื่อให้การใช้มาตรการรักษาความปลอดภัยเหล่านี้ง่ายขึ้น เราได้จัดระเบียบรายการป้องกันแฮ็กเกอร์นี้อย่างง่ายดาย เราขอแนะนำให้บุ๊กมาร์กบทความนี้ไว้ และกลับมาที่บทความนี้ในขณะที่คุณดำเนินการแก้ไข
มีขั้นตอนการป้องกันหลายอย่างในรายการนี้:สิ่งที่คุณควรทำ สิ่งที่คุณไม่ควรทำ และตำนานบางส่วนที่ถูกจับได้เช่นกัน
เป้าหมายของบทความนี้คือการทำให้เข้าใจถึงความปลอดภัยโดยขจัดความยุ่งเหยิงที่มีอยู่ในที่อื่น อย่างไรก็ตาม สิ่งสำคัญที่สุดคือการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และไวรัสไม่ใช่กิจกรรมที่ทำเพียงครั้งเดียว แต่ยิ่งไปกว่านั้นเมื่อเราก้าวหน้า
6 ขั้นตอนพื้นฐานในการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ทันที
มาตรการป้องกันในส่วนนี้เป็นวิธีที่ง่ายที่สุดในการนำไปใช้ และจะทำให้คุณมีความพร้อมอย่างเหมาะสม มองแวบแรกอาจดูเหมือนเป็นเทคนิคหรือล้ำหน้า แต่ลองเอามาจากคนที่ไม่ใช่วิศวกร เข้าใจแล้ว!
1. ติดตั้งไฟร์วอลล์ที่ดี
แฮกเกอร์ไม่แฮ็คเข้าสู่เว็บไซต์ด้วยตนเอง แฮ็กเกอร์ที่ดีจะสร้างบอทที่ดักจับไซต์ที่มีช่องโหว่และทำให้กระบวนการส่วนใหญ่เป็นไปโดยอัตโนมัติ ตอนนี้ บอทได้รับการตั้งโปรแกรมให้ดำเนินการเฉพาะอย่างเจาะจง พวกเขาไม่มีความรู้สึก
แก่นแท้ของไฟร์วอลล์คือรหัสที่ระบุคำขอที่เป็นอันตราย ทุกคำขอสำหรับข้อมูลบนเว็บไซต์ของคุณต้องผ่านไฟร์วอลล์ก่อน หากไฟร์วอลล์ตรวจพบว่าคำขอนั้นเป็นอันตราย หรือสร้างขึ้นจากที่อยู่ IP ที่ทราบว่าเป็นอันตราย คำขอนั้นจะถูกบล็อกแทนที่จะดำเนินการ
หลีกเลี่ยงการเปลี่ยนการกำหนดค่าไฟร์วอลล์
ไฟร์วอลล์บางตัวจะอนุญาตให้คุณกำหนดการตั้งค่า อย่างไรก็ตาม เราไม่แนะนำเว้นแต่คุณจะเป็นผู้เชี่ยวชาญด้านความปลอดภัยของเว็บไซต์ กฎไฟร์วอลล์ถูกสร้างขึ้นหลังจากการวิจัยด้านความปลอดภัยที่สำคัญและการกำจัดมัลแวร์โดยตรงจำนวนมาก
ตัวอย่างเช่น ปลั๊กอินความปลอดภัย WordPress ส่วนใหญ่มีกฎที่ป้องกันไม่ให้ใครก็ตามที่ไม่มีสิทธิ์การเข้าถึงของผู้ดูแลระบบเข้าถึงไฟล์ wp-config.php ไฟล์ wp-config.php เป็นไฟล์ WordPress หลักที่มีข้อมูลที่ละเอียดอ่อนจำนวนมาก ดังนั้น ไฟร์วอลล์จะตรวจสอบทุกคำขอที่ส่งไปยังเว็บไซต์เพื่อดูว่ามีข้อความ “wp-config.php” หรือไม่ หากกฎนั้นถูกเรียกใช้ ไฟร์วอลล์จะปฏิเสธคำขอ
นอกจากนี้ เนื่องจากแฮ็กเกอร์พยายามแฮ็คเว็บไซต์ให้มากที่สุดเท่าที่จะเป็นไปได้เมื่อพบช่องโหว่ สิ่งนี้นำมาซึ่ง IP ของแฮ็กเกอร์ที่เบาบาง ไฟร์วอลล์ของ WordPress ติดตามและบล็อก IP ที่เป็นอันตรายไว้ก่อนโดยอิงจากการโจมตีเหล่านี้
แน่นอนว่าไม่มีไฟร์วอลล์ใดที่สามารถแฮ็กได้ 100% แต่มันเป็นวิธีที่ดีกว่าที่จะมีไฟร์วอลล์ที่บล็อกซอฟต์แวร์ที่เป็นอันตรายส่วนใหญ่ ดีกว่าไม่มีไฟร์วอลล์เลย แต่ไฟร์วอลล์ทั้งหมดนั้นไม่เหมือนกัน และบางไฟร์วอลล์ก็มีประสิทธิภาพมากกว่าตัวอื่นมาก ดังนั้นเราจึงจัดทำรายการไฟร์วอลล์ WordPress ที่ดีที่สุดให้คุณเลือก
2. มีนโยบายรหัสผ่านที่รัดกุมและใช้ตัวจัดการรหัสผ่าน
เราอยู่ในความปลอดภัยของ WordPress มานานกว่าทศวรรษแล้ว คุณจะแปลกใจที่รู้ว่ามีเว็บไซต์กี่แห่งที่ถูกแฮ็กเพียงเพราะรหัสผ่านไม่รัดกุม
รหัสผ่านที่เดาง่ายถูกใช้โดยเว็บไซต์หลายแสนแห่ง 5% ของไซต์ที่ถูกแฮ็กซึ่งใช้ MalCare เพื่อลบมัลแวร์ที่ใช้รหัสผ่านที่ไม่รัดกุม
แฮกเกอร์มีรายการรหัสผ่านที่เรียกว่าตารางสายรุ้ง และพวกเขาสร้างตารางขนาดใหญ่ขึ้นอย่างต่อเนื่องเพื่อใช้เป็นพจนานุกรม การใช้ตารางเหล่านี้ แฮ็กเกอร์สามารถเริ่มการโจมตีที่เรียกว่า "การโจมตีด้วยพจนานุกรม" ได้
การโจมตีด้วยพจนานุกรมส่วนใหญ่เป็นรูปแบบการโจมตีแบบเดรัจฉาน แต่นั่นไม่ใช่วิธีเดียวที่จะแฮ็ครหัสผ่าน ดังนั้นจึงขอแนะนำให้ใช้รหัสผ่านที่รัดกุม
รหัสผ่านที่รัดกุมคือการผสมผสานระหว่างตัวอักษร ตัวเลข และสัญลักษณ์ ชุดค่าผสมที่ไม่ธรรมดานั้นยากที่จะถอดรหัสและอาจใช้เวลาหลายปีในการถอดรหัสอัลกอริธึมกำลังดุร้าย ยิ่งรหัสผ่านยาวเท่าไหร่ก็ยิ่งถอดรหัสได้ยากเท่านั้น
บทความนี้จะช่วยคุณสร้างรหัสผ่านมหากาพย์ของคุณเอง
คุณยังสามารถใช้ปลั๊กอินเพื่อบังคับใช้รหัสผ่านที่คาดเดายากจากผู้ใช้ WordPress ของคุณทั้งหมดด้วยปลั๊กอิน Password Policies Manager สำหรับ WordPress ปลั๊กอินนี้จะช่วยคุณสร้างนโยบายที่บังคับให้ผู้ใช้ WordPress ของคุณสร้างรหัสผ่านที่รัดกุมเมื่อสร้างบัญชี
3. ติดตั้ง SSL และใช้ HTTPS บนเว็บไซต์ของคุณ
ใบรับรอง Secure Sockets Layer (SSL) เป็นโปรโตคอลความปลอดภัยที่เข้ารหัสการสื่อสารทั้งหมดเข้าและออกจากเว็บไซต์ การติดตั้งจะช่วยให้มั่นใจได้ว่าแม้ว่าแฮ็กเกอร์จะสกัดกั้นข้อมูลจากเว็บไซต์ของคุณ พวกเขาก็จะไม่สามารถเข้าใจได้ว่ามันคืออะไร
เราได้สร้างคู่มือทั้งหมดเกี่ยวกับการติดตั้งใบรับรอง SSL อย่างถูกวิธี อย่างจริงจัง hype นั้นสมเหตุสมผล รับใบรับรอง SSL สำหรับเว็บไซต์ของคุณตอนนี้ เป็นโบนัสเพิ่มเติม คุณจะได้รับผลประโยชน์ SEO ด้วย
4. กลั่นกรองผู้ใช้ผู้ดูแลระบบอย่างระมัดระวัง
คนส่วนใหญ่คิดว่าแฮกเกอร์จะติดตั้งมัลแวร์บนเว็บไซต์เท่านั้นและออกไป ที่ไม่เป็นความจริง. แฮ็กเกอร์ที่ฉลาดจริงๆ จะสร้างบัญชีผีที่มีสิทธิ์ของผู้ดูแลระบบเพื่อให้พวกเขาสามารถกลับมาเล่นใหม่ได้ทุกเมื่อที่ต้องการ
การตรวจสอบและลบผู้ใช้ WordPress เป็นประจำสามารถแก้ไขปัญหานี้ได้
ใช่ อาจเป็นกิจกรรมที่ต้องใช้เวลามาก หากคุณมีทีมขนาดใหญ่ที่จัดการเว็บไซต์ของคุณ แต่มันก็คุ้มค่า การลบผู้ใช้ที่ไม่ได้มีส่วนร่วมในไซต์ของคุณอีกต่อไปเป็นจุดเริ่มต้นแรก จากนั้นจึงกำหนดรหัสผ่านที่รัดกุมเพื่อไม่ให้ผู้เขียนและบรรณาธิการของคุณบุกรุกไซต์ของคุณโดยไม่ได้ตั้งใจ
คุณอาจปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ยอดเยี่ยมสำหรับรหัสผ่านของคุณ แต่ถ้าผู้ดูแลระบบคนใดคนหนึ่งของคุณตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิ่ง เว็บไซต์ของคุณก็จะได้รับผลกระทบเช่นกัน
ใช้บทบาทของผู้ใช้ WordPress อย่างเต็มที่เพื่อจำกัดการเข้าถึงให้มากที่สุด ตัวอย่างเช่น หากมีคนเขียนและอัปโหลดบทความเท่านั้น ให้สิทธิ์การเข้าถึงแบบ "ผู้เขียน" ไม่ใช่การเข้าถึง "ผู้ดูแลระบบ" อ่านบทความของเราเกี่ยวกับบทบาทของ WordPress เพื่อค้นหาวิธีการทำทุกอย่างให้เสร็จลุล่วง
5. ใช้บันทึกกิจกรรม
การเห็นบางสิ่งที่ไม่คาดคิดบนเว็บไซต์ของคุณอาจส่งสัญญาณเตือนได้ทันท่วงทีในหลายสถานการณ์ พิจารณาว่าบัญชีผู้ดูแลระบบถูกสร้างขึ้นโดยที่คุณไม่รู้ หรือปิดใช้งานปลั๊กอิน (เช่น ความปลอดภัย) โดยไม่มีฉันทามติ
ทั้งหมดนี้คือตัวอย่างการดำเนินการของผู้ดูแลเว็บไซต์ที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม สิ่งเหล่านี้อาจเป็นอาการของการเข้าถึงโดยไม่ได้รับอนุญาต บันทึกกิจกรรมจะบอกคุณว่าเกิดอะไรขึ้นบนไซต์ของคุณ จากนั้นคุณสามารถประเมินได้ว่าการกระทำเหล่านี้ถูกต้องตามกฎหมายหรือไม่
การฝึกฝนครั้งนี้ช่วยเบคอนของเราได้หลายครั้งแล้ว
แฮกเกอร์ส่วนใหญ่ระมัดระวังอย่างมากเพื่อไม่ให้ถูกจับได้ เพราะพวกเขาสามารถควบคุมเว็บไซต์ของคุณได้ตราบเท่าที่พวกเขาไม่ถูกจับได้ บันทึกกิจกรรมช่วยในการส่งสัญญาณการเปลี่ยนแปลง ดังนั้นคุณสามารถดึงกิจกรรมที่ไม่ได้รับอนุญาตในตาได้
MalCare มาพร้อมกับบันทึกกิจกรรมบนแดชบอร์ด และไม่มีการกำหนดค่าที่จำเป็นในการตั้งค่า
6. สำรองข้อมูลเป็นประจำ
การสำรองข้อมูลอาจเป็นหนึ่งในกลยุทธ์ที่ประเมินค่าต่ำที่สุดที่คุณสามารถนำไปใช้ได้ ทำการสำรองข้อมูลรายวันเสมอเพื่อให้คุณสามารถกู้คืนเว็บไซต์ของคุณได้อย่างรวดเร็วในกรณีที่เกิดภัยพิบัติร้ายแรง
เลือกปลั๊กอินสำรองที่ดีซึ่งมีความน่าเชื่อถือ เนื่องจากการสำรองข้อมูลด้วยตนเองทำได้ยากหากปราศจากผู้เชี่ยวชาญ
ที่จริงแล้ว ก่อนที่คุณจะดำเนินการตามขั้นตอนใดๆ ในบทความนี้ ให้สำรองข้อมูลเว็บไซต์ของคุณทั้งหมดและตั้งค่าการสำรองข้อมูลรายวันทันที นี่เป็นแนวทางปฏิบัติที่ดีเสมอเมื่อทำการเปลี่ยนแปลงใดๆ ในไซต์ของคุณ
5 ขั้นตอนขั้นกลางในการปกป้องเว็บไซต์ของคุณไปอีกระดับ
ขั้นตอนพื้นฐานในบทความเป็นการเริ่มต้นที่ดีและไม่ควรใช้เวลามากเกินไปในการตั้งค่า ในส่วนนี้ นอกเหนือจากการตรวจสอบสิทธิ์แบบสองปัจจัยและการจำกัดความพยายามในการเข้าสู่ระบบแล้ว ขั้นตอนต่างๆ ยังเป็นมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง
ดังที่เราได้กล่าวไว้ก่อนหน้านี้ในบทความนี้ การคำนึงถึงความปลอดภัยของเว็บไซต์อย่างถูกวิธีเป็นสิ่งสำคัญ ไม่ใช่การตั้งค่าหรือกิจกรรมเพียงครั้งเดียว และต้องถือเป็นส่วนปกติในการดูแลไซต์ของคุณ
1. อัพเดททุกอย่าง
การแฮ็กกว่า 90% เกิดขึ้นเนื่องจากแฮ็กเกอร์ระบุช่องโหว่ในธีมหรือปลั๊กอิน และใช้ประโยชน์จากช่องโหว่นี้ในหลายเว็บไซต์
แล้วช่องโหว่คืออะไร? ธีมและปลั๊กอินเป็นซอฟต์แวร์ เช่นเดียวกับซอฟต์แวร์อื่น ๆ โค้ดเหล่านี้เป็นชิ้นส่วนของโค้ดที่จะมีข้อบกพร่องอย่างสม่ำเสมอ ข้อบกพร่องบางอย่างค่อนข้างไม่เป็นอันตรายและอาจทำให้เกิดความผิดพลาดเล็กน้อยขณะอัปเดต ผู้อื่นสามารถทำให้โค้ดเสี่ยงต่อการถูกเอารัดเอาเปรียบได้
เมื่อมีการค้นพบช่องโหว่ ซึ่งส่วนใหญ่เป็นนักวิจัยด้านความปลอดภัย พวกเขาจะเปิดเผยต่อผู้พัฒนาปลั๊กอินสำหรับแพตช์ นักพัฒนาที่รับผิดชอบจะปล่อยโปรแกรมแก้ไข และเว็บไซต์ที่ติดตั้งปลั๊กอินจะเห็นว่าปลั๊กอินเวอร์ชันอัปเดตจะพร้อมใช้งานในเร็วๆ นี้
เมื่อแก้ไขแล้ว ช่องโหว่ดังกล่าวจะถูกเปิดเผยต่อสาธารณะ หากคุณเป็นหนึ่งในเว็บไซต์ที่อัปเดตปลั๊กอินหรือธีมด้วยการแก้ไขความปลอดภัย ถือว่าเยี่ยมมาก หากไม่เป็นเช่นนั้น เว็บไซต์ของคุณจะกลายเป็นเป้าหมายของแฮ็กเกอร์มือสมัครเล่น (เรียกว่า script kiddies) ที่ต้องการหารายได้อย่างรวดเร็ว
ดังนั้นจึงเป็นการดีที่สุดที่จะอัปเดตทุกอย่างตั้งแต่ WordPress ไปจนถึงปลั๊กอินตลอดเวลา เราทราบดีว่าบางครั้งการอัปเดตอาจทำให้เว็บไซต์เสียหายในลักษณะที่ไม่คาดคิด ดังนั้นเพื่อหลีกเลี่ยงความไม่สะดวก ให้ใช้การจัดเตรียมเพื่ออัปเดตอย่างปลอดภัย แต่โปรดอัปเดตทุกอย่าง
เราได้สร้างคู่มือในการอัปเดตเว็บไซต์ WordPress อย่างปลอดภัยและมีการหยุดชะงักน้อยที่สุด
2. เลือกธีมและปลั๊กอินที่ดี
หากคุณสังเกตเห็นจากส่วนก่อนหน้านี้ เราหมายถึงนักพัฒนาที่เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ที่รับผิดชอบ กล่าวโดยย่อ นักพัฒนาที่ดีจะดูแลซอฟต์แวร์ของตนอย่างแข็งขัน
นี่ไม่ใช่สภาวะที่เป็นสากล เศร้าแต่จริง
ดังนั้นเราจึงสนับสนุนอย่างยิ่งให้ใช้ปลั๊กอินและธีมที่ดีสำหรับเว็บไซต์ของคุณ เป็นที่เข้าใจกันว่า “ดี” เป็นคำที่สัมพันธ์กันและค่อนข้างคลุมเครือ ดังนั้นเราจึงแสดงรายการปัจจัยที่คุณควรพิจารณาเมื่อเลือกใช้ปลั๊กอินสำหรับเว็บไซต์ของคุณ:
- อัปเดตเป็นประจำ: ปลั๊กอินหรือธีมที่เผยแพร่การอัปเดตอย่างสม่ำเสมอ และคอยแก้ไขช่องโหว่ที่ค้นพบอยู่เสมอ สิ่งนี้จะบอกคุณว่านักพัฒนาซอฟต์แวร์จริงจังกับความเสี่ยงด้านความปลอดภัยของผลิตภัณฑ์ของตน
- การติดตั้งที่ใช้งานอยู่: ปลั๊กอินยอดนิยมที่มีการติดตั้งหลายล้านครั้งจะมีเป้าหมายที่ด้านหลังเสมอ แบบฟอร์มการติดต่อ 7 เป็นตัวอย่างที่ชัดเจนของแนวโน้มนี้ ด้านพลิกคือปลั๊กอินยอดนิยมมักจะมีความปลอดภัยมากกว่าเพราะมักจะมีทีมที่ใหญ่กว่าและดีกว่าที่ทำงานเพื่อปรับปรุงผลิตภัณฑ์ ดังนั้นจงเลือกอย่างชาญฉลาดหลังจากทำวิจัยอย่างเพียงพอแล้ว
- ความน่าเชื่อถือ: หลีกเลี่ยงการติดตั้งปลั๊กอินหรือธีมที่พัฒนาโดย freelancer ที่ไม่มีใครรู้จัก ใช้เฉพาะปลั๊กอินและธีมที่พัฒนาโดยนักพัฒนาและแบรนด์ที่มีชื่อเสียงเท่านั้น หากคุณกำลังซื้อจากตลาดกลาง ต้องแน่ใจว่าคุณไว้วางใจนักพัฒนาและไม่ใช่แค่ตลาดกลาง
- เวอร์ชันที่ต้องชำระเงิน: โดยทั่วไปแล้ว ผู้จำหน่ายปลั๊กอินแบบชำระเงินจะใช้เวลาและเงินมากขึ้นในการค้นหาและแก้ไขช่องโหว่ หากคุณมีงบประมาณจำกัด ปลั๊กอินฟรีจะเหมาะสมกว่า แต่หากคุณกังวลเกี่ยวกับความปลอดภัยของเว็บไซต์ เราขอแนะนำให้ใช้ธีมและปลั๊กอินระดับพรีเมียมแทน
ข้อสังเกต คุณอาจอยากใช้ปลั๊กอินและธีมที่ไม่มีค่าว่าง อย่าทำอย่างนั้น ความเสี่ยงนั้นไม่คุ้มค่า
ซอฟต์แวร์ Nulled แพร่กระจายมัลแวร์ นั่นเป็นเหตุผลที่คุณได้รับผลิตภัณฑ์ระดับพรีเมียมฟรี แม้ว่าไฟล์ zip จะไม่มีโค้ดที่เป็นอันตรายอย่างชัดเจน ผู้ใช้ปลั๊กอินหรือธีมที่เป็นโมฆะก็รู้ว่าพวกเขาไม่สามารถอัปเดตซอฟต์แวร์ได้ นั่นทำให้เว็บไซต์เสี่ยงต่อการถูกแฮ็กดังที่เราได้กล่าวไว้ในส่วนก่อนหน้า
3. ใช้ 2FA
การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) เป็นมาตรการรักษาความปลอดภัยที่เพิ่มอุปกรณ์หรือโทเค็นอื่นที่คุณต้องมีสิทธิ์เข้าถึงเพื่อเข้าสู่ระบบ นอกเหนือจากรหัสผ่านของคุณ
มีโปรโตคอลสองสามตัวที่ใช้สำหรับ 2FA เช่น TOTP (รหัสผ่านแบบใช้ครั้งเดียวแบบอิงตามเวลา) หรือ HOTP (รหัสผ่านแบบใช้ครั้งเดียวแบบอิงตาม HMAC) พวกเขาแต่ละคนมีข้อดีและข้อเสีย แต่เพื่อจุดประสงค์ในการรักษาความปลอดภัยในการเข้าสู่ระบบ เราไม่จำเป็นต้องเจาะลึกรายละเอียดเหล่านั้น
มีแอพแบบเสียเงินและฟรีมากมายที่สามารถใช้เพิ่ม 2FA ในหน้าเข้าสู่ระบบของคุณ และรองรับโปรโตคอลยอดนิยม สำหรับความช่วยเหลือเพิ่มเติม โปรดดูบทความนี้เพื่อดูวิธีตั้งค่า WordPress 2FA หากคุณมีผู้ร่วมให้ข้อมูลจำนวนมากในเว็บไซต์ของคุณ ขอแนะนำให้ใช้คุณลักษณะความปลอดภัยนี้
4. เลือกโฮสต์เว็บที่ดี
คนส่วนใหญ่ถือโฮสต์เว็บที่รับผิดชอบต่อความปลอดภัยของเว็บไซต์ แต่มักจะไม่ใช่ความผิดของโฮสต์เว็บหากไซต์ของคุณถูกแฮ็ก อันที่จริง ในบางกรณีซึ่งเกิดขึ้นไม่บ่อยนักที่เว็บโฮสต์มีหน้าที่รับผิดชอบต่อการละเมิดความปลอดภัย การแตกสาขานั้นมีขนาดใหญ่มาก ไซต์หลายพันแห่งได้รับผลกระทบ
รองเท้าอยู่อีกข้างหนึ่งเกือบตลอดเวลา และโฮสต์เว็บที่ดีก็เป็นเครื่องมือในการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ ดังนั้น คุณควรตั้งเป้าไปที่บริการโฮสติ้งที่ปลอดภัยที่สุด นี่คือรายชื่อผู้ให้บริการโฮสติ้ง WordPress ที่ดีที่สุดที่เรารวบรวมมาเพื่อช่วยคุณเลือกโฮสต์เว็บที่ดี
5. จำกัดความพยายามในการเข้าสู่ระบบ
วิธีง่ายๆ วิธีหนึ่งในการบล็อกบอทบังคับเดรัจฉานและผู้โจมตีคือการปฏิเสธการเข้าไปยังที่อยู่ IP หลังจากพยายามล้มเหลว 3 ครั้ง ไฟร์วอลล์ MalCare มาพร้อมกับคุณสมบัตินี้ การจำกัดความพยายามในการเข้าสู่ระบบเป็นวิธีที่มีประสิทธิภาพสูงในการปกป้องเว็บไซต์ของคุณโดยไม่มีข้อเสียมากมาย
คุณสามารถใช้ปลั๊กอิน 'Limit Loginizer' เมื่อติดตั้ง WordPress ได้เช่นกัน แต่ถ้าคุณได้รับรหัสผ่านผิด 3 ครั้ง คุณจะต้องขอให้โฮสต์เว็บปลดบล็อกที่อยู่ IP ของคุณเพื่อลองอีกครั้ง
2 ขั้นตอนของผู้เชี่ยวชาญในการปกป้องเว็บไซต์ของคุณอย่างแท้จริง
แม้ว่าคุณจะทำตามขั้นตอนต่างๆ ในส่วนก่อนหน้านี้ได้สำเร็จ แต่คุณก็ยังดูสวยในแง่ของการปกป้องไซต์ของคุณจากแฮกเกอร์ มาตรการต่อไปนี้ใช้ได้ผล แต่ต้องใช้ความพยายามอย่างมากในโค้ด
เราต้องการย้ำว่าการแฮ็กส่วนใหญ่เกิดขึ้นเนื่องจากช่องโหว่ ดังนั้นการดูแลสิ่งเหล่านี้จะปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และไวรัสได้เป็นอย่างดี หากคุณรู้สึกไม่สบายใจที่จะลองทำตามขั้นตอนต่อไปนี้ด้วยตัวเอง คุณสามารถเพิกเฉยหรือส่งไปพร้อมกับนักพัฒนาของคุณเพื่อนำไปใช้ ไม่ว่าจะด้วยวิธีใด เว็บไซต์ของคุณยังคงได้รับการปกป้องอย่างดีจากแฮกเกอร์
1. บล็อกการทำงานของ PHP ในโฟลเดอร์อัปโหลด
มีช่องโหว่ทั้งคลาสที่เรียกว่าช่องโหว่ Remote Code Execution ซึ่งอนุญาตให้แฮกเกอร์อัปโหลดโค้ด PHP ที่เป็นอันตรายไปยังโฟลเดอร์อัปโหลด โดยทั่วไป โฟลเดอร์อัปโหลดไม่ได้มีไว้เพื่อให้มีโค้ดสั่งการใดๆ มีไว้เพื่อให้มีไฟล์สื่อของคุณ แต่ลักษณะของโฟลเดอร์อัปโหลดคืออนุญาตให้เก็บไฟล์และโฟลเดอร์ไว้ภายในได้
เมื่อรหัสถูกอัปโหลดไปยังเว็บไซต์ของคุณแล้ว แฮ็กเกอร์สามารถเรียกใช้และเข้าควบคุมเว็บไซต์ของคุณได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม หากคุณบล็อกการทำงานของ PHP ในโฟลเดอร์ Uploads การโจมตีจะไม่สามารถเกิดขึ้นได้
หากคุณใช้ MalCare คุณสามารถบล็อกการทำงานของ PHP ในโฟลเดอร์อัปโหลดได้ด้วยการคลิกปุ่มซึ่งเป็นส่วนหนึ่งของมาตรการเสริมความแข็งแกร่งของ WordPress
2. เปลี่ยนคีย์ความปลอดภัยของ WordPress
หากคุณเพิ่งถูกแฮ็ก คุณสามารถเปลี่ยนคีย์ความปลอดภัย WordPress ได้ นี่คือสตริงที่แฮชพร้อมกับชื่อผู้ใช้และรหัสผ่านของคุณเพื่อจัดการเซสชันที่เข้าสู่ระบบสำหรับผู้ใช้
คุณสามารถตั้งค่าสตริงนี้เป็นอะไรก็ได้ อย่างไรก็ตาม เช่นเดียวกับรหัสผ่าน ควรใช้สตริงตัวอักษรและตัวเลขที่สร้างแบบสุ่ม อ่านเพิ่มเติมเกี่ยวกับคีย์ความปลอดภัยและวิธีเปลี่ยน
เคล็ดลับโบนัส 2 ข้อสำหรับการป้องกันเว็บไซต์จากแฮกเกอร์
1. อัพเดทข่าวสารด้านความปลอดภัย
การรับทราบข้อมูล การถามคำถาม และการให้คำปรึกษากับชุมชนเป็นวิธีที่ยอดเยี่ยมในการติดตามการแฮ็กล่าสุดและการเปลี่ยนแปลงในแนวภัยคุกคาม ตัวอย่างเช่น หากพบช่องโหว่ของปลั๊กอิน คุณสามารถปิดใช้งานได้จากแดชบอร์ดของคุณจนกว่าการอัปเดตจะพร้อมใช้งานและติดตั้ง ความไม่สะดวกใด ๆ ที่คุณเผชิญจะจางหายไปเมื่อเปรียบเทียบกับความสูญเสียที่เกิดขึ้นจากเว็บไซต์ที่ถูกแฮ็ก
2. ดำเนินการตรวจสอบความปลอดภัยเป็นประจำ
เจ้าของเว็บไซต์จำนวนมากเข้าใจผิดคิดว่าเว็บไซต์ของตนเล็กเกินกว่าจะถือว่าสมควรถูกแฮ็ก นี้ไม่มีที่ไหนใกล้กับความจริง การแฮ็กเกิดขึ้นได้จากหลายสาเหตุ และหากเว็บไซต์ของคุณไม่ได้ให้ผลกำไรในแง่ของข้อมูลผู้ใช้ เว็บไซต์ก็ยังมีอำนาจ SEO เพียงพอที่จะใช้เป็นไซต์ฟิชชิ่งได้
การตรวจสอบความปลอดภัยเป็นประจำจะช่วยเปิดเผยแนวทางปฏิบัติที่ไม่ปลอดภัยรวมถึงช่องโหว่ที่อาจเกิดขึ้นในเว็บไซต์ของคุณ การจับตาดูสิ่งที่เกิดขึ้นในเว็บไซต์ของคุณ เช่น ผ่านบันทึกกิจกรรม หรือการตรวจสอบผู้ใช้ จะช่วยตัวเองให้พ้นจากความเศร้าโศกในระยะยาวได้
สิ่งที่จะไม่ช่วยปกป้องเว็บไซต์ของคุณ
เราสนับสนุนให้มีจิตสำนึกด้านความปลอดภัย แต่ไม่หวาดระแวง นอกจากนี้เรายังพบว่ามีคำแนะนำที่ไม่ดีมากมายสำหรับเจ้าของเว็บไซต์ที่อยู่ในป่า คำแนะนำอาจมาจากที่ที่ดี แต่อาจมีผลที่ไม่ได้ตั้งใจ เช่น การสร้างประสบการณ์ผู้ใช้ที่ไม่ดี หรือการล็อคคุณออกจากเว็บไซต์ของคุณเอง!
ดังนั้นโปรดอย่าทำสิ่งต่อไปนี้
1. ซ่อนหน้าเข้าสู่ระบบ wp ของคุณ
ปลั๊กอินความปลอดภัยจำนวนมากยังคงเชื่อว่าเคล็ดลับเก่าแก่นี้ใช้ได้ผล
หากแฮ็กเกอร์หาหน้าเข้าสู่ระบบไม่พบ แสดงว่าไม่สามารถโจมตีด้วยกำลังเดรัจฉานได้ใช่ไหม ไม่ไม่จริงๆ แทน:
- ทำให้เว็บไซต์ของคุณใช้งานยากมาก หากคุณลืม URL สำหรับเข้าสู่ระบบใหม่ การกู้คืนบัญชีของคุณอาจเป็นเรื่องยาก
- หากคุณใช้ URL เริ่มต้นที่มาพร้อมกับปลั๊กอินความปลอดภัย แฮกเกอร์จะเดา URL ใหม่ของคุณได้อย่างง่ายดาย
- แม้ว่าแฮ็กเกอร์จะไม่พบหน้าเข้าสู่ระบบ wp พวกเขาก็ยังสามารถแฮ็กเว็บไซต์ของคุณได้โดยใช้ช่องโหว่ XML-RPC
ตัวเลือกนี้ไม่ได้ผลในท้ายที่สุดและอาจทำให้เกิดปัญหาได้เล็กน้อย
2. การปิดกั้นทางภูมิศาสตร์
การปิดกั้นทางภูมิศาสตร์เป็นการปิดกั้นการเข้าชมจากประเทศที่ผลิตภัณฑ์หรือบริการของคุณไม่พร้อมใช้งานหรือไม่มีความเกี่ยวข้อง ซึ่งมักถูกมองว่าเป็นมาตรการรักษาความปลอดภัย แต่จริงๆ แล้วเป็นวิธีลดการเรียกเก็บเงินสำหรับทรัพยากรเซิร์ฟเวอร์ที่ใช้ไป
ค่อนข้างเป็นไปได้ที่คุณคิดว่าการเข้าชมจากกาบองไม่ได้ช่วยธุรกิจของคุณ แต่การปิดกั้นการรับส่งข้อมูลทั้งหมดจากกาบองไม่ได้ช่วยแก้ปัญหาอะไรเลย ด้วย VPN ที่ดี ใครๆ ก็เลี่ยงได้ แม้แต่การบล็อกทางภูมิศาสตร์ของ Netflix
นอกจากนี้ คุณยังเสี่ยงต่อการบล็อก Googlebot และตัวคุณเองด้วย!
3. รหัสผ่านปกป้องไดเรกทอรี wp-admin
โฟลเดอร์ wp-admin เป็นหนึ่งในไดเร็กทอรีที่สำคัญที่สุดในการติดตั้ง WordPress แน่นอน แฮ็กเกอร์ทุกคนต้องการเข้าไปยุ่งเกี่ยวกับมัน ตอนแรกผู้เชี่ยวชาญด้านความปลอดภัยคิดว่ารหัสผ่านในการปกป้องไดเรกทอรี่จะเป็นความคิดที่ดี แต่ตั้งแต่นั้นมาเราก็ตระหนักว่าไม่ใช่แนวปฏิบัติที่ดี
รหัสผ่านที่ป้องกันไดเรกทอรี wp-admin ของคุณจะทำลายฟังก์ชัน AJAX บนเว็บไซต์ WordPress ของคุณ และทำให้ปลั๊กอินจำนวนมากทำงานผิดปกติ หากคุณใช้งานเว็บไซต์ WooCommerce โค้ด AJAX ที่ใช้งานไม่ได้อาจทำลายฟังก์ชันการค้นหาและองค์ประกอบ UX ที่สำคัญอื่นๆ ของคุณ
เหตุใดคุณจึงควรปกป้องเว็บไซต์ของคุณจากแฮกเกอร์
บทความนี้มีข้อมูลมากมายเกี่ยวกับวิธีการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ และบางทีเราอาจจะเคยพูดถึงเรื่องนี้ไปแล้วสองสามครั้งแล้ว แต่ก็ยังมีการทำซ้ำ เว็บไซต์ของคุณมีค่า
เมื่อเราบอกว่ามันมีค่า เราไม่ได้พูดถึงคุณและผู้เยี่ยมชมของคุณเท่านั้น บางทีคุณอาจมีร้านค้าออนไลน์เล็กๆ หรือบล็อกงานอดิเรกที่คนกลุ่มเล็กๆ มาเยี่ยมชมเป็นประจำ ข้อตกลงคือแม้ว่ารายได้โดยตรงจากการแฮ็คเว็บไซต์ของคุณจะมีไม่มาก แต่ประโยชน์ของการมีเว็บไซต์ที่สะอาดเพื่อขายของผิดกฎหมายหรือตลาดสีเทายังคงทำให้แฮ็คคุ้มค่าสำหรับแฮ็กเกอร์
ดังนั้น เว็บไซต์ขนาดเล็กจึงไม่สามารถป้องกันเจตนาร้ายได้
ประการที่สอง เราทุกคนต้องปกป้องข้อมูลและตัวตนของผู้ใช้ของเรา พวกเขากำลังสร้างความไว้วางใจจำนวนหนึ่งให้กับไซต์โดยการเยี่ยมชมไซต์นั้นเลย และเราควรจะระมัดระวังและคำนึงถึงพวกเขาในขณะที่พิจารณาการรักษาความปลอดภัยของเว็บไซต์
บทสรุป
คุณสามารถหยุดแฮ็กเกอร์ได้โดยใช้ความระมัดระวังและใช้แนวทางเชิงรุกในการรักษาความปลอดภัย สิ่งสำคัญคือต้องตระหนักว่าการปกป้องเว็บไซต์ของคุณจากแฮกเกอร์และการโจมตีที่เป็นอันตรายนั้นเป็นกระบวนการที่ต่อเนื่อง มีขั้นตอนที่คุณสามารถทำได้เพียงครั้งเดียว แต่ส่วนใหญ่คุณต้องตระหนักถึงการเปลี่ยนแปลงในแนวภัยคุกคาม
นอกจากนี้ ไม่มีบทความที่สรุปผลได้ในที่เดียวที่สามารถช่วยคุณหยุดการแฮ็กที่เป็นไปได้ทั้งหมดกับเว็บไซต์ของคุณ บทความหรือเว็บไซต์หรือผู้เชี่ยวชาญที่อ้างว่าทำนั้นไม่เป็นความจริง
ดังนั้น ในขณะที่เราไม่สามารถให้คำมั่นสัญญาจริงๆ ว่าบทความนี้จะทำให้เว็บไซต์ของคุณปลอดภัยตลอดไป เราได้ให้เคล็ดลับความปลอดภัยทั่วไปแก่คุณซึ่งจะทำให้เว็บไซต์ของคุณถูกแฮ็คได้ยาก เมื่อใช้คำแนะนำในบทความนี้ คุณจะสามารถแก้ไขข้อบกพร่องหลายประการในการรักษาความปลอดภัยเว็บไซต์ของคุณได้
คำถามที่พบบ่อย
ฉันจะปกป้องเว็บไซต์ของฉันจากแฮกเกอร์ได้อย่างไร
มีหลายขั้นตอนที่คุณสามารถทำได้เพื่อปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ เคล็ดลับด้านความปลอดภัยบางส่วนมีดังนี้
1. ติดตั้งปลั๊กอินความปลอดภัยด้วยไฟร์วอลล์ที่ดี
2. ใช้การรับรองความถูกต้องด้วยสองปัจจัย
3. จำกัดการพยายามเข้าสู่ระบบ
4. อัปเดตปลั๊กอินและธีมของคุณอยู่เสมอ
5. ติดตั้ง SSL
6. เลือกโฮสต์เว็บที่มีชื่อเสียง
เหตุใดฉันจึงควรปกป้องเว็บไซต์จากแฮกเกอร์
แฮกเกอร์มักจะได้ประโยชน์มากมายจากการโจมตีเว็บไซต์ของคุณ นอกเหนือจากการสูญเสียเงินจริงที่คุณมักจะเผชิญ ข้อมูลของผู้เยี่ยมชมของคุณจะถูกบุกรุก และพวกเขาก็จะเผชิญกับการแตกแขนงของการมีข้อมูลของพวกเขาถูกขโมย
เว็บไซต์ที่ดีไม่จำเป็นต้องใหญ่โตถึงจะร่ำรวยได้ มีกิจกรรมที่ชั่วร้ายและผิดกฎหมายมากมายที่สามารถทำได้บนเว็บไซต์เล็กๆ ที่ถูกแฮ็กเช่นกัน
ฉันควรใช้การตรวจสอบสิทธิ์แบบสองปัจจัยหรือไม่
ใช่ การรับรองความถูกต้องด้วยสองปัจจัยเป็นระบบที่ยอดเยี่ยมสำหรับการเข้าสู่ระบบเว็บไซต์ ต้องใช้โทเค็นเพิ่มเติมเมื่อลงชื่อเข้าใช้ นอกเหนือจากชื่อผู้ใช้และรหัสผ่าน สมมติฐานที่นี่คือแม้ว่าแฮ็กเกอร์จะได้รับข้อมูลประจำตัวของคุณ แต่ก็ไม่น่าจะมีอุปกรณ์ของคุณ (หรืออะไรก็ตามที่คุณใช้เพื่อรับโทเค็นที่สอง) นี่เป็นกลไกที่มีประสิทธิภาพในการขัดขวางการเข้าถึงโดยไม่ได้รับอนุญาต และมีการใช้กันอย่างแพร่หลายบนอินเทอร์เน็ตแล้ว
ฉันควรใช้มาตรการใดบ้างในการปกป้องเว็บไซต์จากแฮกเกอร์
เป็นความเข้าใจผิดทั่วไปที่ว่าการทำทุกอย่างทำให้เว็บไซต์ของคุณปลอดภัยที่สุด สาเหตุหนึ่งที่เราละทิ้งข้อมูลที่พบโดยทั่วไปจากบทความนี้เนื่องจากการทำทุกอย่างไม่ได้ทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้น ในทางกลับกัน เพื่อผลประโยชน์เพิ่มเติมเล็กน้อย คุณจะต้องทำให้เว็บไซต์ของคุณใช้งานยากขึ้น
บทความนี้ประกอบด้วยมาตรการที่คุณสามารถใช้เพื่อเพิ่มการป้องกันเว็บไซต์จากแฮกเกอร์ได้อย่างปลอดภัย โดยไม่ต้องเสียสละประสบการณ์ของผู้ใช้มากเกินไป
