16 ปัญหาด้านความปลอดภัยของ WordPress (ช่องโหว่) และเคล็ดลับในการแก้ไข

WordPress ช่วยให้ทุกคนมีเว็บไซต์ได้อย่างรวดเร็ว แต่กลับมีปัญหามากมายในโลกออนไลน์ที่พูดถึงปัญหาด้านความปลอดภัยต่างๆ

WordPress มีปัญหาด้านความปลอดภัยหรือไม่? ใช่
พวกเขาผ่านไม่ได้? ไม่
ควรหยุดคุณไม่ให้สร้างเว็บไซต์ของคุณด้วย WordPress หรือไม่? ไม่แน่นอน

การประมาณการแบบอนุรักษ์นิยมทำให้จำนวนเว็บไซต์อยู่ที่ประมาณ 2 พันล้าน และ WordPress มีอำนาจเกือบ 45% ของเว็บไซต์ เป็นเพราะ WordPress มีความอุดมสมบูรณ์มากจนต้องถูกแฮ็กจำนวนมาก ผลที่ตามมาโดยตรง WordPress ได้พัฒนาเป็นระบบที่มีความปลอดภัยสูง อันที่จริง ปัญหาด้านความปลอดภัยมากมายที่ WordPress ได้แก้ไขในช่วงหลายปีที่ผ่านมายังคงมีอยู่ใน CMS อื่นๆ

ในบทความนี้ เราจะอธิบายเกี่ยวกับปัญหาด้านความปลอดภัยของ WordPress คุณควรระวัง และที่สำคัญกว่านั้นคือ คุณจะปกป้องเว็บไซต์ของคุณจากพวกเขาได้อย่างไร

TL;DR: ปกป้องเว็บไซต์ของคุณจากปัญหาด้านความปลอดภัยของ WordPress ด้วย MalCare MalCare เป็นปลั๊กอินความปลอดภัยแบบ all-in-one ซึ่งรวมเอาเครื่องสแกนมัลแวร์ โปรแกรมทำความสะอาดอัตโนมัติ และไฟร์วอลล์ไว้ในที่เดียว นอกจากนั้น คุณสามารถอัปเดตเว็บไซต์ของคุณได้อย่างปลอดภัยและป้องกันแฮกเกอร์จากการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย หากคุณกำลังมองหาโซลูชันที่เชี่ยวชาญสำหรับปัญหาด้านความปลอดภัยของ WordPress คุณพบมันใน MalCare

WordPress มีปัญหาด้านความปลอดภัยหรือไม่?

ใช่ มีปัญหาด้านความปลอดภัยกับ WordPress แต่ก็จัดการได้ไม่ยากอีกต่อไป คุณไม่จำเป็นต้องมีประสบการณ์ในการพัฒนาหรือคุ้นเคยกับการแก้ไขโค้ด WordPress เพื่อให้สามารถรับมือกับภัยคุกคามได้ ปฏิบัติตามแนวทางแก้ไขง่ายๆ ที่ระบุไว้ในบทความนี้ แล้วคุณจะมีเว็บไซต์ WordPress ที่แข็งแกร่งและปลอดภัย

16 ปัญหาด้านความปลอดภัยทั่วไปของ WordPress ที่อาจส่งผลต่อเว็บไซต์ของคุณ

WordPress มีปัญหาด้านความปลอดภัยมากมาย แต่ข้อดีคือปัญหาทั้งหมดสามารถแก้ไขได้ง่าย ไม่มีใครอยากใช้เวลากับการจัดการความปลอดภัยของเว็บไซต์ของตน แทนที่จะเติบโตหรือเพิ่มรายได้

นอกเหนือจากช่องโหว่ด้านความปลอดภัยของ WordPress และรหัสผ่านที่ถูกบุกรุกแล้ว มัลแวร์และการโจมตียังเป็นปัญหาด้านความปลอดภัยอีกด้วย แม้ว่าบางครั้งการโจมตีของมัลแวร์และ WordPress จะใช้สลับกันได้ แต่ก็แตกต่างกัน มัลแวร์คือโค้ดอันตรายที่แฮ็กเกอร์ใส่เข้าไปในเว็บไซต์ของคุณ ในขณะที่การโจมตีเป็นกลไกที่พวกเขาใช้ในการฉีดมัลแวร์ ในรายการด้านล่าง เราได้กล่าวถึงปัญหาด้านความปลอดภัยของ WordPress ทั้ง 4 ประเภท

ต่อไปนี้คือรายการปัญหาด้านความปลอดภัยทั่วไปของ wordpress ที่คุณต้องทราบ:

• ปลั๊กอินและธีมที่ล้าสมัย
• รหัสผ่านไม่รัดกุม
• มัลแวร์บนเว็บไซต์ WordPress ของคุณ
• มัลแวร์สแปม SEO
• กลโกงฟิชชิ่ง
• การเปลี่ยนเส้นทางที่เป็นอันตราย
• รหัสผ่านที่ใช้ซ้ำ
• ซอฟต์แวร์เปล่า
• แบ็คดอร์บนเว็บไซต์ WordPress ของคุณ
• มัลแวร์ wp-vcd.php
• โจมตีด้วยกำลังดุร้าย
• การฉีด SQL
• การโจมตีแบบ Cross-site scripting
• เว็บไซต์ใช้ HTTP ไม่ใช่ HTTPS
• ส่งอีเมลสแปมจาก WordPress
• บัญชีผู้ใช้ที่อยู่เฉยๆ

1. ปลั๊กอินและธีมที่ล้าสมัย

ปลั๊กอินและธีมของ WordPress สร้างขึ้นด้วยโค้ด และดังที่เราได้อธิบายไว้ก่อนหน้านี้ นักพัฒนาบางครั้งอาจทำผิดพลาดในโค้ด ข้อผิดพลาดอาจทำให้เกิดความปลอดภัยซึ่งเรียกว่าช่องโหว่

นักวิจัยด้านความปลอดภัยมองหาช่องโหว่ด้านความปลอดภัยของ WordPress ในซอฟต์แวร์ยอดนิยม เพื่อทำให้อินเทอร์เน็ตเป็นที่ที่ปลอดภัยยิ่งขึ้น เมื่อพบช่องโหว่ พวกเขาจะเปิดเผยให้นักพัฒนาแก้ไข นักพัฒนาที่รับผิดชอบจะปล่อยแพตช์ความปลอดภัยในรูปแบบของการอัปเดต ซึ่งแก้ไขช่องโหว่ดังกล่าว เมื่อเวลาผ่านไปพอสมควร นักวิจัยด้านความปลอดภัยจะประกาศการค้นพบของพวกเขา

ในตอนนี้ ปลั๊กอินและธีมควรได้รับการอัปเดตตามหลักการแล้ว อย่างไรก็ตาม มักจะไม่เป็นเช่นนั้น และแฮ็กเกอร์ก็รู้และพึ่งพาแนวโน้มนี้ในการโจมตีเว็บไซต์ และใช้ประโยชน์จากช่องโหว่นี้

บางครั้งการอัปเดตอาจทำให้ไซต์เสียหายได้ เว้นแต่คุณจะทำอย่างระมัดระวัง ใช้ BlogVault เพื่อจัดการการอัปเดต เพื่อให้ไซต์ได้รับการสำรองข้อมูลก่อนการอัปเดต และคุณสามารถตรวจสอบให้แน่ใจว่าทุกอย่างทำงานได้ดีในการแสดงละครก่อนที่จะย้ายไปยังไซต์จริง

แก้ไข:จัดการการอัปเดตบนเว็บไซต์ของคุณทันที

2. รหัสผ่านที่อ่อนแอ

แฮ็กเกอร์ใช้โปรแกรมที่เรียกว่าบอทเพื่อโจมตีหน้าเข้าสู่ระบบ ลองใช้ชื่อผู้ใช้และรหัสผ่านหลายชุดร่วมกันเพื่อเจาะเข้าไปในเว็บไซต์ บอทบ่อยครั้งสามารถลองใช้ชุดค่าผสมหลายร้อยชุดต่อนาที โดยใช้คำในพจนานุกรมและรหัสผ่านที่ใช้กันทั่วไปเพื่อเจาะทะลุ เมื่อพวกเขาประสบความสำเร็จ แฮ็กเกอร์จะสามารถเข้าถึงเว็บไซต์ของคุณได้โดยเปิดประตู

ในทางกลับกัน รหัสผ่านที่คาดเดายากนั้นจำยาก ดังนั้นผู้ดูแลระบบจึงเลือกรหัสผ่านที่จำง่าย เช่น ชื่อสัตว์เลี้ยง วันเกิด หรือแม้แต่การเรียงสับเปลี่ยนของคำว่า "รหัสผ่าน"

อย่างไรก็ตาม สิ่งนี้ทำให้ความปลอดภัยของไซต์เสี่ยงต่อการถูกโจมตี ข้อมูลนี้มีให้อย่างถูกกฎหมายทางออนไลน์ผ่านโซเชียลมีเดียและไซต์อื่น ๆ และโดยผิดกฎหมายผ่านการละเมิดข้อมูลหรือเว็บมืด สิ่งที่ดีที่สุดที่ควรทำคือมีรหัสผ่านที่รัดกุมและไม่ซ้ำกันเพื่อรักษาบัญชีของคุณและเว็บไซต์จึงปลอดภัย

หมายเหตุ: คุณต้องตั้งรหัสผ่านที่รัดกุมในบัญชีไซต์ของคุณ ซึ่งรวมถึงบัญชีผู้ใช้และบัญชีโฮสติ้ง ผู้ดูแลระบบมักไม่เปลี่ยน SFTP และข้อมูลประจำตัวของฐานข้อมูล แต่ถ้าคุณได้ทำไปแล้ว อย่าลืมตั้งรหัสผ่านที่รัดกุมสำหรับสิ่งเหล่านี้ด้วย

นอกจากนี้ คุณสามารถจำกัดความพยายามในการเข้าสู่ระบบบน WordPress ได้ หากผู้ใช้มีการเข้าสู่ระบบที่ไม่ถูกต้องมากเกินไป ผู้ใช้จะถูกล็อกชั่วคราว หรือต้องกรอก CAPTCHA เพื่อพิสูจน์ว่าพวกเขาไม่ใช่บอท มาตรการนี้ป้องกันบอทและให้ค่าเผื่อความผิดพลาดของมนุษย์

แก้ไข:บังคับใช้รหัสผ่านที่รัดกุมและจำกัดการพยายามเข้าสู่ระบบเพื่อบล็อกบอท

3. มัลแวร์บนเว็บไซต์ WordPress ของคุณ

มัลแวร์เป็นคำที่ใช้เรียกรวมทั้งหมดเพื่ออธิบายโค้ดใดๆ ที่อนุญาตให้มีกิจกรรมที่ไม่ได้รับอนุญาตบนเว็บไซต์ของคุณ ในประเด็นต่อๆ ไป เราจะพิจารณาบางกรณีเช่นกัน เช่น แบ็คดอร์และสแกมฟิชชิ่ง

เมื่อเราพูดถึงการจัดการปัญหาความปลอดภัยของ WordPress เป้าหมายคือการป้องกันมัลแวร์ อย่างไรก็ตาม อย่างที่เราได้กล่าวไปก่อนหน้านี้ ไม่มีระบบใดที่กันกระสุนได้ 100% คุณสามารถทำทุกอย่างได้ถูกต้อง และแฮ็กเกอร์ที่ฉลาดจะหาวิธีใหม่ในการเจาะเกราะป้องกัน มันหายาก แต่มันเกิดขึ้น คุณจะจัดการกับมัลแวร์ได้อย่างไร หากมันอยู่ในเว็บไซต์ของคุณแล้ว

ก่อนอื่น คุณต้องยืนยันว่ามัลแวร์อยู่ในเว็บไซต์ของคุณจริงๆ มัลแวร์สามารถซ่อนในไฟล์ โฟลเดอร์ และในฐานข้อมูล เราได้เห็นไฟล์มัลแวร์ปลอมแปลงเป็นไฟล์หลักของ WordPress เป็นไฟล์รูปภาพ และแม้กระทั่งแสดงเป็นปลั๊กอิน วิธีเดียวที่จะแน่ใจได้ว่าเว็บไซต์ของคุณติดไวรัสหรือไม่คือการสแกนอย่างละเอียดทุกวัน เพื่อที่คุณจะต้องติดตั้ง MalCare

MalCare ใช้อัลกอริธึมที่ซับซ้อนเพื่อตรวจจับมัลแวร์บนเว็บไซต์ของคุณ เครื่องสแกนอื่นๆ ใช้เทคนิคที่มีประสิทธิภาพเพียงบางส่วน เช่น การเปรียบเทียบไฟล์และการจับคู่ลายเซ็นเพื่อตั้งค่าสถานะมัลแวร์ MalCare ใช้สัญญาณมากกว่า 100 สัญญาณเพื่อตรวจสอบการทำงานของโค้ด จากนั้นติดธงว่าเป็นมัลแวร์หากเจตนานั้นเป็นอันตราย มีข้อดีสองประการ:ข้อแรก ไม่มีผลบวกปลอม ซึ่งโค้ดที่กำหนดเองถูกตั้งค่าสถานะเป็นมัลแวร์ และสอง แม้แต่มัลแวร์รุ่นใหม่ล่าสุดก็ถูกตรวจพบอย่างถูกต้อง

MalCare มีความแม่นยำมากกว่า 95% เมื่อสแกนหามัลแวร์ และไม่มีค่าใช้จ่ายใดๆ ทั้งสิ้น หากผลการสแกนแสดงว่าเว็บไซต์ของคุณถูกแฮ็ก คุณจำเป็นต้องอัปเกรดเพื่อล้างข้อมูลเท่านั้น ด้วย MalCare ฟีเจอร์ทำความสะอาดอัตโนมัติจะลบมัลแวร์ออกจากเว็บไซต์ WordPress ของคุณโดยผ่าตัด ปล่อยให้เว็บไซต์ของคุณกลับมาเหมือนเดิมอีกครั้ง

แก้ไข:สแกนและทำความสะอาดเว็บไซต์ของคุณด้วย MalCare

4. มัลแวร์สแปม SEO

สแปม SEO เป็นมัลแวร์ร้ายแรงที่แฮ็กเกอร์ใช้เพื่อเปลี่ยนเส้นทางการเข้าชมเว็บไซต์ของคุณออกจากเว็บไซต์ของคุณไปยังเว็บไซต์ที่ร่มรื่นและเป็นสแปม พวกเขาทำเช่นนี้โดยการจี้ผลการค้นหาของคุณบน Google แทรกโค้ดลงในหน้าเว็บที่มีอยู่ของคุณ หรือโดยการเปลี่ยนเส้นทางการเข้าชมไปยังเว็บไซต์ของตน บางครั้งพวกเขาทำสิ่งเหล่านี้ทั้งหมด ยังไงก็เป็นข่าวร้ายเสมอ

มัลแวร์สแปม SEO มีรูปแบบทั่วไปสองสามแบบ เช่น แฮ็กคีย์เวิร์ดภาษาญี่ปุ่นและ Pharma hack ตัวแปรทั้งสองนี้ได้รับความอื้อฉาวในสิทธิของตนเองเนื่องจากอาการของพวกเขาเป็นอักขระภาษาญี่ปุ่นโดยเฉพาะหรือคำหลักด้านเภสัชกรรมในผลการค้นหา

มัลแวร์สแปม SEO ทุกประเภทนั้นยากต่อการลบด้วยตนเองอย่างเหลือเชื่อ เนื่องจากพวกมันสามารถสร้างหน้าสแปมใหม่ได้หลายแสนหน้า ซึ่งไม่สามารถลบออกได้อย่างง่ายดาย นอกจากนี้ยังแทรกมัลแวร์ลงในไฟล์และโฟลเดอร์หลักของ WordPress ที่สำคัญ เช่น ไฟล์ .htaccess ซึ่งสามารถทำลายไซต์ได้หากไม่ได้ทำความสะอาดอย่างถูกต้อง

เว็บไซต์ที่มีมัลแวร์เหล่านี้อย่างสม่ำเสมอจะถูกตั้งค่าสถานะบน Google Search Console เข้าสู่บัญชีดำของ Google และนำโฮสต์เว็บเพื่อระงับบัญชีโฮสติ้งของคุณ ดังนั้น กุญแจสำคัญในการจัดการกับแฮ็คนี้คือปล่อยให้ผู้เชี่ยวชาญ ซึ่งในกรณีนี้คือปลั๊กอินความปลอดภัย WordPress ที่เรียกว่า MalCare

MalCare ไม่เพียงแต่จะกำจัดมัลแวร์เท่านั้น แต่ยังต้องแน่ใจว่าเว็บไซต์ของคุณได้รับการปกป้องด้วยไฟร์วอลล์ขั้นสูง

แก้ไข:ลบมัลแวร์สแปม SEO ด้วย MalCare

5. การหลอกลวงแบบฟิชชิ่ง

มัลแวร์ฟิชชิ่งเป็นการหลอกลวงสองส่วนที่หลอกให้ผู้ใช้เปิดเผยรายละเอียดที่เป็นความลับโดยปลอมแปลงเป็นแบรนด์ที่เชื่อถือได้

ส่วนแรกคือการส่งอีเมลที่ดูเป็นทางการไปยังผู้ใช้ที่ไม่สงสัย โดยปกติแล้วจะมีคำเตือนที่น่ากลัวว่าจะมีสิ่งเลวร้ายเกิดขึ้นหากพวกเขาไม่อัปเดตรหัสผ่านหรือบางสิ่งบางอย่างในทันที ตัวอย่างเช่น เมื่ออีเมลฟิชชิ่งหลอกลวงลูกค้าโฮสต์เว็บ พวกเขาอาจบอกว่าไซต์นั้นอยู่ในอันตรายที่จะถูกลบ

ช่วงครึ่งหลังของการหลอกลวงเกิดขึ้นบนเว็บไซต์ อีเมลฟิชชิ่งมักจะมีลิงก์ที่นำผู้ใช้ไปยังเว็บไซต์ที่ดูเหมือนเป็นทางการ และให้พวกเขาป้อนข้อมูลประจำตัว เห็นได้ชัดว่าเว็บไซต์เป็นของปลอม และนี่คือจำนวนคนที่ประนีประนอมบัญชีของพวกเขา

บนเว็บไซต์ WordPress ฟิชชิ่งมีสองรูปแบบ ขึ้นอยู่กับว่าส่วนใดของการหลอกลวงเกิดขึ้น ในกรณีแรก ผู้ดูแลระบบ WordPress จะได้รับอีเมลฟิชชิ่งเกี่ยวกับความจำเป็นในการอัปเดตฐานข้อมูลสำหรับเว็บไซต์ของตน และพวกเขาจะถูกหลอกให้ใส่รายละเอียดการเข้าสู่ระบบ

ในทางกลับกัน แฮกเกอร์สามารถใช้เว็บไซต์ของคุณเพื่อปลอมเพจได้ บ่อยครั้งที่ผู้ดูแลเว็บไซต์พบโลโก้ธนาคารหรือโลโก้เว็บไซต์อีคอมเมิร์ซบนเว็บไซต์ของตน แม้ว่าจะไม่มีเหตุผลที่จะต้องอยู่ที่นั่นก็ตาม สิ่งเหล่านี้ใช้เพื่อหลอกลวงผู้คน

Google สามารถปราบปรามการหลอกลวงแบบฟิชชิ่งได้อย่างรวดเร็ว และโดยเฉพาะอย่างยิ่งในเว็บไซต์ที่โฮสต์หน้าเหล่านี้ เว็บไซต์ของคุณจะถูกขึ้นบัญชีดำและตบด้วยการแจ้งเตือนที่ตรวจพบว่าเว็บไซต์ฟิชชิ่ง และนั่นเป็นสิ่งที่แย่มากสำหรับความไว้วางใจของผู้เข้าชมและการสร้างแบรนด์ แม้ว่าคุณจะไร้เดียงสา แต่เว็บไซต์ของคุณก็กลายเป็นโฮสต์สำหรับการหลอกลวง จำเป็นที่คุณจะต้องกำจัดมัลแวร์นี้โดยเร็วที่สุด และดำเนินการตามขั้นตอนเพื่อควบคุมความเสียหาย

แก้ไข:ลบมัลแวร์ฟิชชิ่งออกจากเว็บไซต์ของคุณด้วย MalCare และแนะนำให้ผู้ใช้ของคุณไม่คลิกลิงก์ใดๆ จากภายในอีเมล

6. การเปลี่ยนเส้นทางที่เป็นอันตราย

การแฮ็ก WordPress ที่เลวร้ายที่สุดอย่างหนึ่งคือการแฮ็กการเปลี่ยนเส้นทางที่เป็นอันตราย การเยี่ยมชมเว็บไซต์ของคุณเป็นเรื่องน่าผิดหวังอย่างยิ่ง เพียงเพราะถูกพาไปยังเว็บไซต์สแปมหรือเว็บไซต์หลอกลวงอื่น โดยขายผลิตภัณฑ์และบริการที่น่าสงสัย บ่อยครั้งที่ผู้ดูแลระบบ WordPress ไม่สามารถเข้าสู่เว็บไซต์ของตนได้เนื่องจากมัลแวร์เปลี่ยนเส้นทางที่ถูกแฮ็ก

มัลแวร์นี้มีหลายรูปแบบ และมันติดไฟล์และฐานข้อมูลของเว็บไซต์อย่างสมบูรณ์ เราได้เห็นตัวอย่างมัลแวร์เปลี่ยนเส้นทางที่ถูกแฮ็กในทุกโพสต์ของไซต์ที่มีโพสต์มากกว่า 500 โพสต์ มันเป็นฝันร้าย และผู้ดูแลระบบก็ผิดหวังอย่างเข้าใจ

วิธีเดียวที่จะกำจัดมัลแวร์เปลี่ยนเส้นทางที่เป็นอันตรายคือการใช้ปลั๊กอินความปลอดภัย ที่จริงแล้ว คุณอาจต้องการความช่วยเหลือในการติดตั้งปลั๊กอินเลย เพราะคุณไม่สามารถลงชื่อเข้าใช้เว็บไซต์ของคุณได้ นั่นคือสิ่งที่ทีมสนับสนุนของ MalCare สามารถช่วยได้ พวกเขาจะแนะนำคุณตลอดขั้นตอนการติดตั้ง และหากจำเป็นให้ทำความสะอาดไซต์ให้คุณ

แก้ไข:กำจัดมัลแวร์เปลี่ยนเส้นทางที่ถูกแฮ็กด้วย MalCare

7. รหัสผ่านที่ใช้ซ้ำ

รหัสผ่านที่ใช้ซ้ำอาจเป็นรหัสผ่านที่คาดเดายาก ดังที่เราได้กล่าวไปแล้วในส่วนที่แล้ว แต่ไม่จำเป็นต้องซ้ำกันเสมอไป

ตัวอย่างเช่น บัญชีโซเชียลมีเดียและบัญชีเว็บไซต์ของคุณมีชุดตัวอักษร อักขระ และตัวเลขเหมือนกันสำหรับรหัสผ่าน คุณเคยชินกับการพิมพ์แล้ว และคิดว่าไม่สามารถเดาได้ จึงเป็นรหัสผ่านที่ดี

คุณพูดถูกครึ่งหนึ่ง เป็นรหัสผ่านที่ดี แต่สำหรับบัญชีเดียวเท่านั้น หลักการทั่วไปคืออย่าใช้รหัสผ่านซ้ำในบัญชีต่างๆ และเหตุผลก็คือภัยคุกคามที่อาจเกิดขึ้นจากการละเมิดข้อมูล

GoDaddy มีการละเมิดในเดือนกันยายน 2021 ซึ่งพวกเขาค้นพบในเดือนพฤศจิกายน 2021 เท่านั้น เมื่อถึงตอนนั้น ฐานข้อมูลของผู้ใช้ 1.2 ล้านคนและข้อมูลประจำตัว SFTP ถูกบุกรุก หากผู้ใช้รายใดเคยใช้รหัสผ่านเหล่านั้นในที่อื่น เช่น บัญชีธนาคาร ตอนนี้ข้อมูลนั้นอยู่ในมือของแฮ็กเกอร์แล้ว มันง่ายกว่ามากที่จะเจาะเข้าไปในบัญชีอื่น

เราไว้วางใจบริการและเว็บไซต์ต่างๆ เพื่อรักษาความปลอดภัยข้อมูลของเรา แต่ไม่มีระบบใดที่ป้องกันกระสุนได้อย่างสมบูรณ์ สิ่งต่าง ๆ สามารถและจะพังในบางโอกาส เป้าหมายคือการจำกัดความเสียหายให้มากที่สุด การสร้างรหัสผ่านที่รัดกุมและไม่ซ้ำใครสำหรับทุกบัญชีจะช่วยให้คุณทำเช่นนั้นได้

แก้ไข:ตั้งรหัสผ่านที่ไม่ซ้ำกันและใช้ตัวจัดการรหัสผ่านเพื่อจดจำ

8. ซอฟต์แวร์เปล่า

ปลั๊กอินและธีมที่เป็นโมฆะเป็นเวอร์ชันพรีเมียมพร้อมสิทธิ์ใช้งานแบบแคร็กที่มีให้ออนไลน์ฟรี นอกเหนือจากมิติทางศีลธรรมของการขโมยจากนักพัฒนาซอฟต์แวร์ nulled เป็นความเสี่ยงด้านความปลอดภัยของ WordPress อย่างมาก

ธีมและปลั๊กอินที่เป็นโมฆะส่วนใหญ่มักเต็มไปด้วยมัลแวร์ แฮกเกอร์พึ่งพาผู้คนที่ต้องการข้อเสนอดีๆ จากผลิตภัณฑ์ระดับพรีเมียม และรอให้พวกเขาติดตั้ง เว็บไซต์ได้รับมัลแวร์จำนวนหนึ่งส่งถึงมือ และขณะนี้ไซต์ถูกแฮ็ก นี่เป็นเหตุผลเดียวที่ทุกคนรบกวนการถอดรหัสซอฟต์แวร์ระดับพรีเมียมตั้งแต่แรก Robin Hood ไม่เกี่ยวข้องกับระบบนิเวศของ WordPress

แม้ว่าธีมและปลั๊กอินที่เป็นโมฆะจะไม่มีมัลแวร์อยู่ ซึ่งหาได้ยากมาก คุณไม่สามารถอัปเดตได้ เนื่องจากไม่ใช่เวอร์ชันที่เป็นทางการ เห็นได้ชัดว่าพวกเขาไม่ได้รับการสนับสนุนจากนักพัฒนา ดังนั้น หากพบช่องโหว่และนักพัฒนาซอฟต์แวร์ออกแพตช์ความปลอดภัย ซอฟต์แวร์ที่เป็นโมฆะก็ล้าสมัยด้วยช่องโหว่ นอกเหนือไปจากการติดตั้งมัลแวร์ไว้ด้วย

แก้ไข:หลีกเลี่ยงปลั๊กอินและธีมที่เป็นโมฆะ เช่น โรคระบาด

9. แบ็คดอร์บนเว็บไซต์ WordPress ของคุณ

แบ็คดอร์ก็เหมือนกับชื่อที่บอกเป็นนัย เป็นทางเลือกและวิธีอื่นที่ผิดกฎหมายในการเข้าถึงโค้ดของเว็บไซต์ของคุณ นอกจากมัลแวร์แล้ว แฮ็กเกอร์ยังแทรกโค้ดลับๆ เข้าไปในเว็บไซต์ของคุณ ดังนั้นหากมัลแวร์ถูกค้นพบและลบออก คุณก็จะสามารถเข้าถึงกลับคืนมาได้โดยใช้แบ็คดอร์

แบ็คดอร์เป็นหนึ่งในเหตุผลหลักที่เราไม่แนะนำให้ล้างมัลแวร์ด้วยตนเองจากเว็บไซต์ของคุณ คุณอาจสามารถค้นหาสคริปต์มัลแวร์และลบออกได้ แต่แบ็คดอร์สามารถซ่อนไว้อย่างชาญฉลาดและแทบจะมองไม่เห็น

วิธีเดียวที่จะลบแบ็คดอร์ออกจากเว็บไซต์ของคุณคือการใช้ปลั๊กอินความปลอดภัย WordPress เช่น MalCare MalCare กำจัดแบ็คดอร์และมัลแวร์อย่างรวดเร็วและง่ายดายด้วยคุณสมบัติทำความสะอาดอัตโนมัติ

แก้ไข:ใช้ปลั๊กอินความปลอดภัยเพื่อลบแบ็คดอร์

10. มัลแวร์ wp-vcd.php

มัลแวร์ wp-vcd.php ทำให้เกิดป๊อปอัปสแปมบนเว็บไซต์ WordPress ของคุณซึ่งนำผู้ใช้ไปยังเว็บไซต์อื่น มีจุดประสงค์เดียวกับแฮ็ค SEO สแปมและการเปลี่ยนเส้นทางที่เป็นอันตราย แต่ทำงานต่างกัน มีรูปแบบต่างๆ เช่น wp-tmp.php และ wp-feed.php

มัลแวร์ wp-vcd.php ติดไวรัสเว็บไซต์ด้วยโค้ดที่รันทุกครั้งที่ไซต์โหลด เป็นหนึ่งในแฮ็กที่น่าผิดหวังที่สุดที่แพร่ระบาดในไซต์ WordPress เพราะทันทีที่คุณลบออก ดูเหมือนว่าจะกลับมาทันที ในบางกรณีทันที หากเคยมีมัลแวร์ที่สามารถเปรียบได้กับไวรัสที่เกิดซ้ำซึ่งไม่สามารถถูกเตะได้ wp-vcd.php เป็นหนึ่งเดียว

มัลแวร์ wp-vcd.php แพร่ระบาดเว็บไซต์ส่วนใหญ่ผ่านปลั๊กอินและธีมที่ไม่มีค่า Wordfence เรียกได้ว่า:"มัลแวร์ที่คุณติดตั้งบนไซต์ของคุณเอง"; ซึ่งเราคิดว่าค่อนข้างรุนแรง แต่ก็เน้นย้ำถึงอันตรายของซอฟต์แวร์ที่เป็นโมฆะ

แก้ไข:กำจัดมัลแวร์ wp-vcd.php ออกจากเว็บไซต์ของคุณทันทีด้วย MalCare

11. การโจมตีด้วยกำลังดุร้าย

แฮกเกอร์ใช้บอทเพื่อโจมตีหน้าเข้าสู่ระบบของคุณด้วยชื่อผู้ใช้และรหัสผ่านร่วมกัน เพื่อเข้าถึง วิธีนี้เรียกว่าการโจมตีด้วยกำลังเดรัจฉาน และสามารถสำเร็จได้หากรหัสผ่านไม่รัดกุมหรือเหมือนกับที่พบในการละเมิดข้อมูล

การโจมตีด้วยกำลังดุร้ายไม่ได้เป็นเพียงเรื่องที่น่ากลัวสำหรับความปลอดภัยเท่านั้น แต่ยังใช้ทรัพยากรเซิร์ฟเวอร์ของไซต์ของคุณด้วย ทุกครั้งที่โหลดหน้าเข้าสู่ระบบ ต้องใช้ทรัพยากรบางอย่าง โดยปกติการใช้งานดิสก์จะเล็กน้อย จึงไม่ส่งผลต่อประสิทธิภาพอย่างเห็นได้ชัด แต่บ็อตกำลังดุร้ายทุบหน้าเข้าสู่ระบบด้วยอัตราหลายร้อย—ถ้าไม่ใช่พัน—ครั้งต่อนาที หากไซต์ของคุณใช้โฮสติ้งที่ใช้ร่วมกัน จะมีผลที่ตามมาที่เห็นได้ชัดเจน

วิธีรับมือกับการโจมตีแบบเดรัจฉานคือต้องมีการป้องกันบอทสำหรับเว็บไซต์ของคุณ รวมทั้งจำกัดความพยายามในการเข้าสู่ระบบที่ไม่ถูกต้อง MalCare มาพร้อมกับการป้องกันบอทในปลั๊กอินความปลอดภัย

คุณยังสามารถเปิดใช้งาน CAPTCHA ในหน้าเข้าสู่ระบบของคุณ คุณอาจเห็นคำแนะนำในการซ่อนหน้าเข้าสู่ระบบโดยเปลี่ยน URL เริ่มต้น แต่อย่าทำเช่นนี้ เป็นการยากที่จะเรียกคืนหาก URL นั้นหายไป และคุณจะถูกล็อคไม่ให้เข้าเว็บไซต์พร้อมกับแฮกเกอร์

แก้ไข:จำกัดความพยายามในการเข้าสู่ระบบและรับการป้องกันบอทสำหรับเว็บไซต์ของคุณ

12. การฉีด SQL

เว็บไซต์ WordPress ทั้งหมดมีฐานข้อมูลที่เก็บข้อมูลสำคัญเกี่ยวกับเว็บไซต์ สิ่งต่างๆ เช่น ผู้ใช้ รหัสผ่านที่แฮช โพสต์ เพจ ความคิดเห็น จะถูกจัดเก็บไว้ในตารางและแก้ไขและเรียกค้นข้อมูลเป็นประจำโดยไฟล์เว็บไซต์ ฐานข้อมูลเข้าถึงได้ไม่บ่อยนัก และถูกควบคุมโดยไฟล์เว็บไซต์เพื่อความปลอดภัย

การฉีด SQL เป็นการโจมตีที่อันตรายอย่างยิ่ง เนื่องจากแฮกเกอร์สามารถโต้ตอบกับฐานข้อมูลได้โดยตรง พวกเขาใช้แบบฟอร์มบนเว็บไซต์ของคุณเพื่อแทรกข้อความค้นหา SQL ซึ่งอนุญาตให้จัดการหรืออ่านจากฐานข้อมูล SQL เป็นภาษาโปรแกรมที่ใช้ในการเปลี่ยนแปลงฐานข้อมูล เช่น การเพิ่ม การลบ การแก้ไข หรือการเรียกข้อมูล นี่คือสาเหตุที่การโจมตีด้วยการฉีด SQL นั้นอันตรายมาก

วิธีแก้ไขคือทำให้ปลั๊กอินและธีมของคุณอัปเดตอยู่เสมอ เนื่องจากช่องโหว่ด้านความปลอดภัยของ WordPress เช่น อินพุตที่ไม่ถูกสุขอนามัยจะนำไปสู่การโจมตี SQL Injection ที่ประสบความสำเร็จ นอกจากนี้ ไฟร์วอลล์ที่ดีจะป้องกันผู้ไม่หวังดีจากเว็บไซต์ของคุณ

แก้ไข:อัปเดตทุกอย่าง และติดตั้งไฟร์วอลล์

13. การโจมตีแบบ Cross-site scripting

การโจมตีแบบ Cross-site scripting หรือ XSS บนเว็บไซต์นั้นคล้ายกับการแทรก SQL โดยที่แฮ็กเกอร์จะแทรกโค้ดลงในเว็บไซต์ The difference is that the code targets the next visitor on your website, instead of your website database.

In an XSS attack, the malware is added to your website. A visitor comes along, and their browser thinks that the malware is part of your website, and thus the visitor is attacked. Generally, cross-site scripting attacks are used to steal data from unsuspecting visitors.

The way to protect your site visitors is to make sure that XSS vulnerabilities don’t exist on your website. The simplest way to do this is to make sure that your website is fully updated. You can take the security to the next level by installing a WordPress firewall plugin as well.

Fix:Install a WordPress firewall, and keep everything on the website updated.

14. Website is on HTTP not HTTPS

You may have noticed that many websites now have a green lock near the URL bar. This is a trust badge for the visitor to say that the website is using SSL. SSL is a security protocol that encrypts traffic back and forth from a website.

A good analogy for this is to think of a telephone call. The data passing between two people on the line is intended to stay between them as a private conversation. However, if a third person was able to tap into that line, they would understand the data and therefore it is no longer private. However, if two original people were to use a code which only they are able to decipher, regardless of how much the third person overhears, the information’s true meaning is hidden from them.

This is how SSL works for websites. It encrypts the data being sent to and from the website, so that sensitive information cannot be read by a third party and used illegitimately.

The Internet as a whole has been moving towards data security and privacy in the recent decade, and SSL has emerged as one of the fundamental ways to achieve that purpose. Even Google strongly advocates for SSL-enabled websites, going as far as to penalise non-SSL websites on their search results.

Fix:Install an SSL certificate on your website.

15. Spam emails being sent from WordPress

Emails are a cornerstone of digital marketing, and it is a way to engage and interact with website visitors. People are also becoming increasingly judicious about the emails they want to receive, so there is an underlying trust that exists.

Given the delicate nature of trust, it is awful to think that a hacker can insert malware into your website and email spam to your visitors. And yet, that is exactly what some malware does. It hijacks the WordPress core function wp_mail() to send out spam emails.

Malware ordinarily causes Google blacklists and web host suspensions, but in the case of spam emails your web host will also blacklist your email service and you will see a bunch of other errors. In fact, if the spammer adds email addresses to your website as well, then you are in danger of having your email blacklisted altogether.

Fix:Clean the spam email malware from your website, and use an email marketing tool instead.

16. Dormant user accounts

Users on a website change constantly. If you run a blog with multiple authors and editors, for instance, chances are that new writers are added to the website often, while older writers leave.

The crux over here are the old user accounts that aren’t removed promptly become a WordPress security issue over time. Because the accounts exist but passwords aren’t updated regularly, they are vulnerable to attack. Dormant user accounts suffer from the same dangers of compromised passwords, so removing any accounts not in active use is necessary housekeeping.

Additionally, it is important to know who is doing what on your website. Unusual or unexpected user actions are an early signal of hacked accounts.

Fix:Remove inactive user accounts and use an activity log.

Best practices to prevent WordPress security concerns

WordPress security issues are constantly evolving, and it is hard to stay on top of them in addition to all the other work that goes into running a website. Therefore, here are a few good security practices that can help you protect your website from malware and hackers, without extra effort on your part.

• Install a security plugin: The best defence your WordPress has against hackers is a good security plugin like MalCare. A WordPress security plugin should have a malware scanner and cleaner. Ideally, it should also come with a firewall, brute force protection, bot protection and an activity log. MalCare has all this, and security experts readily available for any help. It is a hands-off solution, only alerting you when action is necessary, and doesn’t hog up server resources in the bargain. Install MalCare now, and breathe a sigh of relief.

• Use a firewall: A web application firewall protects your website from all kinds of bad actors. Hackers want to exploit vulnerabilities on your website, in addition to other WordPress security issues. A firewall prevents that, by only letting in legitimate visitors. It is a must-have for your website, and it is even better if it comes bundled with your security plugin.
• Keep everything updated :Ensure that WordPress core, plugins and themes are always updated. Updates often contain security patches for vulnerabilities, and therefore it is critical to update as soon as possible. However, we know that applying updates is not always straightforward. To minimise risk, safely update your website using BlogVault. Your site is backed up just before the update, and you can see how the update performs on staging first before updating your live website.
• Have two-factor authentication: Passwords can get cracked, especially if they aren’t particularly strong or have been reused. Two-factor authentication generates a real-time login token in addition to passwords that is much harder to crack. You can enable two-factor authentication using a plugin, like WP 2FA or another one off of this list.
• Enforce strong password policies: We cannot stress the importance of strong and unique passwords enough. We recommend using a password manager. In order to protect your website from security issues, like brute force attacks, your security plugin should limit login attempts as well.
• Regular backups: Sometimes backups are the last resort with a hack, and your website should always have a backup that is stored away from your website server. Learn more about how to backup your WordPress site.

• Use SSL: Install an SSL certificate on your website to encrypt communication back and forth from it. SSL has become a de facto standard, and Google actively promotes its use for a safer browsing experience.

• Conduct a security audit every few months: Review users and their actions on the website, with an activity log. Unusual activity can be an early warning signal of malware. It is also advisable to implement the least privileges policy for admin and user accounts. Finally, purge any unused plugins or themes on your website. Deactivated themes and plugins are overlooked for updates, and WordPess security vulnerabilities go unchecked causing websites to be hacked.
• Choose reputable plugins and themes: This is slightly subjective as a security measure, but it is worth using the best plugins and themes on your website. Check if the developer regularly updates their product, for instance. In addition to online reviews and support experiences of other users, this is an important metric. Additionally, premium software is generally a better bet overall. But most crucially, never use nulled software. It often carries malware in the code, having been cracked for that very reason. It is just not a worthwhile risk.

You can also harden your WordPress website, and educate yourself on how WordPress security works.

Top causes of hacks on WordPress sites

There are two weak links in the security of your WordPress site:vulnerabilities and passwords . 90%+ of malware is injected via vulnerabilities, 5%+ because of compromised or weak passwords, and <1% are because of other causes, like poor web host services.

Vulnerabilities

While WordPress itself is secure, websites are built with more than just core WordPress. We use plugins and themes to extend functionality of our websites, add features, have a nice design, and interact with website visitors. All this is achieved with plugins and themes.

Plugins and themes, like WordPress, are built with code. When developers write code, they can make mistakes that result in loopholes. Loopholes in code can be exploited by hackers to perform actions that were not intended by the developer.

For instance, if your website allows users to upload images, say for a profile picture, the upload should only be an image file. However, if the developer has not put in those constraints, a hacker can upload a PHP file full of malware instead. Once it is uploaded to the website, the hacker can then execute the file and the malware will spread to the rest of the site. These loopholes are vulnerabilities. There are other types, of course, but these are the major ones that afflict WordPress sites.

Compromised passwords

If a hacker has your account credentials, they don’t need to hack into your website. That’s why strong passwords are so important.

There are two principal ways that passwords become the weakest link in the WordPress security chain. One is by using easy-to-remember passwords, which are consequently easy for hackers and their bots to guess. And the second way is when users reuse passwords across websites and services.

Data breaches are all too common. For example, a user has the same password for two different accounts:an ecommerce website and their Twitter account. If the ecommerce website has a data breach, where user data is stolen, their Twitter account is now compromised. The hacker can log into the account and cause all manner of havoc.

Both vulnerabilities and compromised passwords are WordPress security risks you can deal with easily, with the right tools and the right advice. Fortunately, both of those things are here.

บทสรุป

WordPress security issues can be daunting to an inexperienced admin, but that doesn’t mean there is no solution to them. Security issues can be resolved easily, by listening to expert advice. We, at MalCare, firmly believe that WordPress security should be a hands-off affair, leaving you free to do other things with peace of mind.

We hope that the article helped allay any fears. If there is something we have not addressed, please do let us know. We would love to hear from you.

คำถามที่พบบ่อย

Does WordPress have security issues?

WordPress is a secure system, but like any other system, it is not perfect. Plugins and themes add functionality and complexity to a website, but also bring in security risks. However, there are ways to mitigate those successfully, so WordPress websites are protected from hackers.

Is WordPress easily hacked?

WordPress is not easily hacked, however, some of its plugins and themes may not be as secure. Installing a security plugin with an integrated firewall, like MalCare will make a WordPress website much more secure.

Is WordPress secure for commerce?

WordPress is secure for commerce, if the website has a security plugin with a firewall installed. The security plugin will perform daily scans to alert users of malware. MalCare is a great security plugin that not only scans the website, but provides a 1-click auto-clean option as well. MalCare also comes with a firewall to keep away bad traffic from the commerce website, in addition to protecting the website from bots that scrape data.

What are your must-have WordPress security requirements?

The must-have WordPress security requirements are:

• เครื่องสแกนมัลแวร์
• Malware cleaner
• WordPress firewall
• การป้องกันกำลังดุร้าย
• การป้องกันบอท
• Activity log
• การตรวจสอบสิทธิ์แบบสองปัจจัย

These features go a long way toward protecting websites from WordPress security issues.

Are outdated WordPress plugins a security risk for a site?

Yes, outdated WordPress plugins are a security risk for a website. Plugin updates usually contain security patches that address errors in the plugin code. These errors are known as vulnerabilities and can be exploited by hackers to gain unauthorised access to a website. Therefore it is critically important to update WordPress plugins as soon as possible. Same goes for WordPress themes.