10 สิ่งที่คุณพลาดไปในการรักษาความปลอดภัยบน WordPress

หลายครั้งผู้ใช้งานอาจไม่รู้ว่าพลาดทำอะไรที่ส่งผลต่อการรักษาความปลอดภัย หรือบางครั้งก็เผลอมองข้ามความสำคัญในส่วนนี้ไป ดังนั้นบทความนี้จะเปิดเผย 10 อันดับสิ่งที่คุณพลาดไปในการรักษาความปลอดภัยบน WordPress ครับ

อันดับที่ 10 เปลี่ยน URL เว็บไซต์ของ WordPress ในการเข้าล็อกอิน
ผู้ใช้บางส่วนอาจคิดว่าการเปลี่ยน URL สำหรับล็อกอินเข้าหลังบ้านของ WordPress อย่าง wp-login.php เป็นอย่างอื่นที่แตกต่างไปโดยสิ้นเชิงนั้น จะช่วยรักษาความปลอดภัยได้เป็นอย่างดี แต่ที่จริงแล้วนั้นแทนที่จะเปลี่ยน URL มีทางเลือกอื่นที่ช่วยรักษาความปลอดภัยได้ดีกว่าครับ
• เปิดการ brute force protections: สำหรับผู้ที่ติดตั้ง Wordfence สามารถเข้าไปที่ firewall options แล้วเปิดการ brute force protection ซึ่งมีให้ใช้งานทั้งในเวอร์ชั่นฟรีและพรีเมียม
• ตั้งรหัสผ่านที่คาดเดาได้ยาก: เพื่อป้องกันการถูก brute force attack หรือการถูกแฮกโดยการสุ่มเดา password จนถูกต้อง ดังนั้นจึงควรตั้งรหัสผ่านที่มีความรัดกุมเพื่อความปลอดภัยที่มากขึ้น
• สร้างไฟล์ .htpasswd ในส่วน wp-admin: วิธีนี้จะช่วยให้คุณสามารถป้องกันรหัสผ่านของไดเรกเทอรีได้
• ทำการยืนยันตัวตน 2 ขั้นตอน: สามารถเปิดทำการยืนยันตัวตน 2 ขั้นตอนได้ใน Wordfence โดยเข้าไปที่หน้าแดชบอร์ดแล้วไปยังส่วน login security ในส่วนนี้ก็มีให้ใช้งานทั้งในเวอร์ชั่นฟรีและเวอร์ชั่นพรีเมียมครับ

อันดับที่ 9 ไม่ได้ติดตั้ง SSL/TLS บน WordPress
การติดตั้ง SSL/TLS บนเว็บไซต์มักเป็นขั้นตอนที่ถูกมองข้ามไป แต่รู้หรือไม่ครับว่าการติดตั้ง SSL/TLS นั้นช่วยปกป้องข้อมูลที่ส่งจากเบราว์เซอร์ของผู้เยี่ยมชมเว็บไซต์ไปยังเซิร์ฟเวอร์ และยังมีผลต่อการจัดอับเว็บไซต์บน Google อีกด้วย เนื่องจาก Google นั้นจะให้คะแนนเว็บไซต์ที่ติดตั้ง SSL ดีกว่าครับ

อันดับที่ 8 ใช้ชื่อว่า “admin” เป็น Username ในการล็อกอินเข้าหลังบ้าน WordPress
อีกหนึ่งความผิดพลาดที่พบได้บ่อยๆคือการใช้ Username ว่า admin การไม่เปลี่ยนชื่อผู้ใช้ในบัญชีผู้ดูแลระบบนั้นถือเป็นการเปิดช่องโหว่ให้ผู้บุกรุกเข้ามาโจมตีได้ง่ายขึ้น ดังนั้นวิธีการแก้ไขคือสร้าง User แอคเคาท์ใหม่ขึ้นมาและตั้งชื่อใหม่ และลบแอคเคาท์ admin อันเดิมนั้นทิ้งไป หรือจะเปลี่ยน Username ใน Database ก็สามารถทำได้เช่นกัน โดย Username ที่ตั้งขึ้นมาใหม่นั้นควรจะมีความซับซ้อนเพื่อไม่ให้แฮกเกอร์คาดเดาได้ง่ายครับ

อันดับที่ 7 ตั้งรหัสผ่านที่คาดเดาได้ง่าย
ความผิดพลาดที่พบได้บ่อยที่สุดไม่เพียงแต่ใน WordPress เท่านั้น คือการไม่ตั้งรหัสผ่านที่รัดกุมมากพอ ทั้งที่จริงแล้วการตั้งรหัสผ่านที่รัดกุมแทบจะเป็นส่วนสำคัญที่สุดที่จะช่วยปกป้องให้เว็บไซต์ของคุณปลอดภัยได้ ดังนั้นการตั้งรหัสผ่านอย่าง ‘password1234,’ ‘qwerty,’ ‘mydogsname’ นั้นถือเป็นการเปิดโอกาสให้แฮกเกอร์ใช้เวลาเพียงไม่กี่วินาทีในการเข้าสู่บัญชีของคุณครับ ผมจึงมีแนวทางดีๆมาแนะนำให้ลองปฏิบัติตามครับ
• ตั้งรหัสผ่านที่มีความซับซ้อน: รหัสผ่านนั้นควรมีความยาวเกิน 10 ตัวอักษร โดยประกอบด้วยตัวเลข, สัญลักษณ์ รวมทั้งตัวอักษรพิมพ์ใหญ่อย่างน้อยหนึ่งตัว
• ใช้โปรแกรม Password Manager: โปรแกรมนี้จะช่วยคุณในการจดจำรหัสผ่านในเว็บไซต์ต่างๆ ดังนั้นคุณจึงไม่ต้องใช้รหัสผ่านเดียวกันทุกเว็บไซต์ ซึ่งถ้าหากบัญชีใดบัญชีนึงของคุณถูกบุกรุกอาจทำให้บัญชีอื่นๆที่ใช้รหัสผ่านเดียวกันถูกบุกรุกได้ครับ
• ตรวจสอบรหัสผ่านของคุณที่ haveibeenpwnd.com: เว็บไซต์นี้จะช่วยตรวจสอบให้ได้ว่ารหัสผ่านของเราถูกขโมยหรือไม่ ซึ่งในกรณีที่ตรวจสอบแล้วพบว่ารหัสผ่านของเราถูกบุกรุกให้รีบเปลี่ยนรหัสใหม่ให้เร็วที่สุด

อันดับที่ 6 ไม่ใช้ Web Application Firewall
ใน WordPress นั้นมี Web Application Firewall มากมายให้ติดตั้งเสริมเพื่อเพิ่มมาตรการความปลอดภัยให้กับเว็บไซต์ของเราครับ ซึ่งการติดตั้งปลั๊กอินในส่วนนี้เพิ่มจะช่วยปกป้องเว็บไซต์ของคุณจากการถูกบุกรุก รวมทั้งบล๊อกผู้ที่พยายามอาศัยช่องโหว่จากธีมและปลั๊กอินต่างๆเพื่อเข้ามาโจมตีเรา ดังนั้นการไม่ติดตั้งไฟร์วอลล์ก็เหมือนเป็นการปลดล็อคประตูบ้านของคุณเปิดทางให้เหยื่อสามารถเข้ามาโจมตีได้ง่ายๆนั่นเองครับ

อันดับที่ 5 Hosting ที่เลือกใช้ไม่มีการรักษาความปลอดภัยที่ดี
ถ้าหากคุณเลือกผู้ให้บริการ Hosting ที่ไม่ดีอาจส่งผลให้ WordPress ของคุณไม่ปลอดภัยได้ ดังนั้นเมื่อคุณตั้งค่า Hosting ให้ลองตรวจสอบหัวข้อเหล่านี้
• บัญชีของคุณไม่ได้ถูกใช้ร่วมกับผู้อื่น: ตรวจสอบให้แน่ใจว่าบัญชีของคุณถูกแยกออกเป็นส่วนตัว รวมทั้งไม่ได้มีการใช้งานไซต์อื่นๆในบัญชีโฮสติ้งเดียวกัน
• ผู้ให้บริการโฮสติ้งอนุญาตให้ติดตั้ง SSL/TLS ได้ฟรีหรือไม่: ผู้ให้บริการโฮสติ้งส่วนใหญ่มักจะแสดงให้เห็นว่าเค้าคำนึงถึงความปลอดภัย โดยจะนำเสนอการติดตั้ง SSL/TSL ผ่าน Let’s Encrypt ฟรีมาให้ในแพคเกจโฮสติ้งแล้ว
• คุณมี IP address ส่วนตัวหรือไม่: การแชร์ที่อยู่ IP address ร่วมกับผู้อื่นอาจทำให้เกิดปัญหาตามมาในภายหลังได้ถ้าหาก เว็บไซต์อื่นที่อยู่ใน IP เดียวกันถูกแฮ็กและถูกขึ้นบัญชีดำก็อาจส่งผลต่อชื่อเสียงของเว็บไซต์คุณได้

อันดับที่ 4 มีการจัดการบทบาทหลังบ้านที่ไม่ดี
การจัดการบทบาทหลังบ้านมักเป็นสิ่งที่ถูกมองข้ามไป แต่ส่วนที่หลายคนมองข้ามไปเหล่านี้มีความสำคัญแล้วก็ส่งผลต่อความปลอดภัยเป็นอย่างยิ่งครับ ดังนั้นควรจำกัดสิทธิ์ในการเข้าถึงเนื้อหาสำคัญ มีการตั้งรหัสผ่านที่รัดกุมสำหรับผู้ดูแลระบบ รวมทั้งเปิดการยืนยันตัวตน 2 ขั้นตอน และถ้าหากเป็นไปได้การปิดการลงทะเบียนผู้ใช้ก็จะช่วยลดความเสี่ยงได้อีกด้วย

อันดับที่ 3 ใช้ธีมหรือปลั๊กอิน crack
การติดตั้งธีมหรือปลั๊กอินที่มีการ crack ออกมาแจกฟรี มักมีโค้ดที่เป็นอันตรายทำให้เว็บไซต์ของคุณติดไวรัส หรืออาจทำให้เว็บไซต์ของคุณโดนแฮคได้ ดังนั้นควรเลือกดาวน์โหลดและติดตั้งธีมจากเว็บไซต์/ผู้พัฒนาที่น่าเชื่อถือ หรือ wordpress.org ครับ

อันดับที่ 2 ใช้รหัสผ่านซ้ำกันในทุกบัญชี
อีกหนึ่งข้อผิดพลาดที่พบได้ทั่วไปคือการใช้ใช้รหัสผ่านซ้ำกันในทุกบัญชีไม่ว่าจะเป็นบัญชี hosting บัญชีเว็บไซต์ WordPress และบัญชี FTP ซึ่งถ้าบัญชีใดบัญชีหนึ่งถูกบุกรุก บัญชีทั้งหมดก็จะโดนไปด้วย เพราะฉะนั้นจึงไม่ควรใช้รหัสผ่านซ้ำกัน ซึ่งสามารถใช้โปรแกรมช่วยจดจำรหัสผ่านอย่าง 1Password หรือ LastPass ได้ครับ

อันดับที่ 1 ไม่ทำการอัพเดต WordPress ธีม และปลั๊กอิน
หลายครั้งแฮกเกอร์ใช้ช่องโหว่จากการใช้ WordPress เวอร์ชั่นเก่าที่ยังมีข้อบกพร่องเรื่องความปลอดภัยในด้านต่างๆที่ยังไม่ได้รับการแก้ไขเข้ามาบุกรุกในเว็บไซต์ของเราดังนั้น การหมั่นอัพเดต WordPress และปลั๊กอินต่างๆให้เป็นเวอร์ชั่นล่าสุดทันทีที่มีการปล่อยออกมา จะช่วยลดข้อบกพร่องและช่วยปกปิดช่องโหว่ ทำให้เว็บไซต์ของเราปลอดภัยมากขึ้นครับ

 

อ้างอิง: https://www.wordfence.com

Hostingdynamo

Read Previous

Web Hosting แบบไหนดี ที่เหมาะกับธุรกิจของคุณ?

Read Next

Cloud Hosting ตัวเลือกที่ดีที่สุดสำหรับสตาร์ทอัพ

Leave a Reply

Your email address will not be published. Required fields are marked *