14 วิธีจบปัญหา WordPress โดน Hack! ที่เริ่มทำได้ทันทีไม่ยาก มีอะไรบ้างมาไล่ดูกันเลยครับ รับรองว่าช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ และหลังบ้านของคุณได้จริงๆ
1. ใช้ 2 Factor Authentication (2FA)
ล็อคอิค Admin Account ด้วย 2 Factor Authentication โดยสามารถดาวน์โหลด Plug-In ที่รองรับ 2FA อย่าง Google Authenticator แต่การใช้ 2FA อาจทำให้คุณยุ่งยากในการใช้งาน เพราะจะไม่สามารถใช้ Remember Login ได้ ก็ยังมีวิธีอื่นๆ อีกลองดูได้ในข้อต่อไปเลยครับ
2. ตั้งชื่อ Username ด้วยชื่อเรียก หรืออีเมลแทนคำว่า Admin
เว็บมาสเตอร์หลายคนไม่ได้เปลี่ยนชื่อ Username ของแอคเคานท์ Admin ซึ่งนี้เป็นจุดสำคัญที่ทำให้แฮกเกอร์เข้าถึงการสุ่มรหัสได้ง่ายขึ้น โดยควรเปลี่ยนจาก admin เป็นชื่ออื่นๆ ที่ยาวขึ้น มีความเฉพาะเจาะจง หรือใช้เป็นอีเมลแอดเดรสก็ได้
3. แก้ไข Log In URL
หากเว็บของคุณใช้ Log In URL ที่เป็นค่าพื้นฐานของ WordPress นั้นคือ “…/wp-login.php” ก็จะทำให้แฮกเกอร์ หรือใครก็ได้ที่คุ้นเคยกับระบบ WordPress สามารถเติมลิงก์ “/wp-login.php” หลังชื่อเว็บไซต์ของคุณ และสามารถเข้าถึงหน้า Log In ของ WordPress เว็บไซต์คุณได้เลย ซึ่งเป็นอีกช่องทางที่แฮกเกอร์ใช้เป็นช่องทางในการส่มชื่อผู้ใช้ และรหัส เพื่อแฮกเข้าหลังบ้านของเว็บไซต์นั้นเอง
ดังนั้นการแก้ไข Log In URL และการไม่ใช้ชื่อ Username ว่า admin จึงเป็นข้อแรกๆ ที่ควรแก้ไข โดยมีตัวอย่างดังนี้ครับ
1) เปลี่ยน wp-login.php เป็น new_login
2) เปลี่ยน /wp-admin/ เป็น new_admin
3) เปลี่ยน /wp-login.php?action=register เป็น new_registeration
4. จำกัด Log In Attempt
การใช้ Bot ในการโจมตีหน้าล็อกอินด้วยการส่มชื่อ Username และรหัสผ่านเพื่อพยายามเข้ามายังหลังบ้านของเราเป็นอีกวิธีที่เกิดขึ้นได้ตลอด การจำกัด Login Attempt เช่น ไม่เกิน 5 ครั้ง ระบบจะทำการบล็อก IP ที่พยายามล็อกอินเป็นการชั่วคราวหลังจากการกรอกรหัสผิดเกิน 5 ครั้ง อย่างไรก็ตาม ควรใช้วิธีนี้ควบคู่ไปกับการเปลี่ยน Log In URL ที่กล่าวถึงในข้อก่อนหน้าด้วย
5. ติดตั้ง SSL สำหรับเว็บไซต์ของคุณ (ส่งผลต่อ SEO ด้วยนะ)
ติดตั้งใบรับรอง SSL (Secure Socket Layer) เพื่อให้เว็บไซต์ของคุณมีการรับส่งข้อมูลที่ปลอดภัย และยังเป็นมาตรฐานใหม่ที่ทาง Google พลักดันให้การไม่มี SSL ส่งผลเสียต่อการแสดงผลใน Search Engine อีกด้วย โดยสามารถอ่านความแตกต่างของระดับ SSL ทั้ง 3 ระดับได้ที่นี้
5. เสริมการป้องกัน WP-Admin
เราสามารถเพิ่มความปลอดภัยให้กับ WP-Admin ได้โดยใช้ปลั๊กอินเพื่อตั้งรหัสชุดที่ 2 ในการเข้าหน้า WP-Admin (กรอกรหัสล็อกอินแล้ว จะเข้าส่วน WP-Admin ก็ต้องกรอกรหัสอีกชุดหนึ่ง) โดยการใช้ปลั๊กอินอย่าง AskApache Password Protection
6. ย้ายที่อยู่ wp.config.php เพื่อป้องกันการส่มเข้าถึงของแฮกเกอร์
Wp.config.php เป็นไฟล์ที่เก็บบันทึกข้อมูลการตั้งค่าต่างๆ ของ WordPress ที่เราใช้ และโดยปกติแล้วเป็นไฟล์ที่จะถูกวางไว้ด้านนอกที่สุดหรือ Root Directory ซึ่งการย้ายไฟล์นี้ไปไว้ในโฟลเดอร์ หรือในระดับที่ลึกลงไปจะช่วยป้องกันการเข้าถึงจากเหล่าแฮกเกอร์ได้ และก็ไม่ต้องกลัวว่าการย้ายไฟล์นี้จะทำให้เว็บไซต์ทำงานผิดพลาดนะครับ เพราะไม่ว่าจะวาง Wp.config.php ไว้ในโฟลเดอร์ไหน ระบบก็ค้นหาได้อยู่ดี
7. ตั้งค่าไม่ให้ Admin User แก้ไขไฟล์ที่เกี่ยวข้องกับการติดตั้ง WordPress ได้
การให้สิทธิ์ Admin กับ User หลังบ้านเท่ากับเป็นการอนุญาตให้เข้าถึง แลสามารถแก้ไขไฟล์สำคัญต่างๆ ที่เกี่ยวข้องกับการติดตั้ง WordPress ซึ่งหากแฮกเกอร์สามารถเข้าถึง Adin User เหล่านี้เท่ากับแฮกเกอร์มีอำนาจในการตั้งค่าต่างๆ ได้มากเช่นกัน จึงแนะนำให้ปิดไม่ให้ Admin สามารถแก้ไขไฟล์สำคัญได้ โดยการใส่โค้ดต่อไปนี้ที่ท้ายสุดของไฟล์ wp-config.php
define(‘DISALLOW_FILE_EDIT’, true);
8. เชื่อมต่อกับเซิร์ฟเวอร์อย่างปลอดภัยด้วย SFTP หรือ SSH
ซึ่งเป็นรูปแบบการเชื่อมต่อทีมีการเข้ารหัส และปลอดภัยกว่าการใช้ FTP แบบปกติ (คล้ายๆ กับ HTTP vs HTTPS) ที่จะช่วยให้มั่นใจว่าการเชื่อมต่อเพื่อโอนไฟล์เข้าออกเซิร์ฟเวอร์มีความปลอดภัย และผู้ให้บริการเซิร์ฟเวอร์อย่าง VPS HiSpeed เองก็รองรับการเชื่อมต่อแบบ SFTP เช่นกัน
9. ปิดการแสดงรายการใน Directory ด้วยการแก้ไขไฟล์ .htaccess
หากคุณสร้าง Directory ขึ้นมาบนโดเมนของคุณแต่ลืมใส่ไฟล์ index.html เข้าไป จะทำให้บุคคลภายนอกทั่วไปเห็นไฟล์ใน Directory นั้นได้ทั้งหมด ยกตัวอย่างเช่น คุณสร้าง Directory ชื่อ “VPS” บุคคลทั่วไปก็จะสามารถเข้าถึง Directory นี้ได้โดยการพิมพ์ www.websitename.com/vps/ ก็จะเหน และเข้าถึงทุกอย่างได้ทันทีโดยไม่ต้องทำการกรอดรหัสใดๆ
ซึ่งคุณสามารถป้องกันไว้ก่อนโดยการเพิ่มโค้ดเข้าไปในไฟล์ .htaccess โดยเพิ่มโค้ดว่า
Options All -Indexes
10. ซื้อธีม และปลั๊กอินจาก Official Site หรือแหล่งที่น่าเชื่อถือเท่านั้น
เลือกซื้อธีม และปลั๊กอินต่างๆ จาก Official Site เท่านั้น เพราะการซื้อ Premium ธีม หรือปลั๊กอินราคาถูกจากแหล่งอื่นๆ อาจทำให้คุณได้ไฟล์ติดตั้งที่ผ่านการดัดแปลง และมาพร้อมกับ Malware หรือโค้ดที่ทำให้ WordPress ถูก Hack ได้
11. แม้จะใช้ธีมฟรี ก็ต้องเลือกให้ปลอดภัยไว้ก่อน
ถ้าคุณจะธีมฟรี คุณจะเลือกใช้ธีมจากที่ไหนก็ได้ ไม่ได้! เพราะธีม และปลั๊กอินฟรีก็เสี่ยงจากการได้รับธีมที่มีโค้ดอันตราย และช่องโหว่แอบซ่อนมาด้วย เสี่ยงต่อการถูกแฮค และถูกขโมยข้อมูลภายในเว็บไซต์
12. แก้ไขคำขึ้นต้นของตารางฐานข้อมูล
คำขึ้นต้นตารางข้อมูลที่ WordPress ใช้เป็น Default คือ “wp_” ก็เป็นอีกหนึ่งจุดช่วยให้แฮคเกอร์เดา และเข้าถึงไม่ได้ยากเช่นกัน ดังนั้นการแก้ไขชื่อขึ้นต้นนี้เองก็ช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ได้เช่นกัน
13. ติดตั้งปลั๊กอินตรวจสอบโค้ดแปลกปลอม
แม้ทีมงานจะมีความระมัดระวังต่อการออกแบบ และสร้างเว็บไซต์เป็นอย่างมาก ก็อาจมีมันมีหลุดกันได้ การติดตั้งปลั๊กอินที่ช่วยในการตรวจสอบโค้ดแปลกปลอมบนเว็บไซต์ก็เป็นอีกเครื่องมือทุ่นแรง และยังช่วยเป็นหูเป็นตาให้คุณได้อีกด้วย
14. อัพเดต WordPress ของคุณอยู่เสมอ
ข้อสุดท้ายที่เป็นแนวทางปฏิบัติสุดเบสิก นั้นคือการอัพเดตเวอร์ชั่นของ WordPress อยู่เสมอ เพราะสิ่งสำคัญอย่างหนึ่งที่ได้มากับการอัพเดตคือการแก้ไขช่องโหว่ และข้อบกพร่องด้านความปลอดภัยต่างๆ นั้นเอง
เรื่องอื่นๆ ที่เกี่ยวข้อง
5 เทรนด์เว็บไซต์มาแรงในปี 2019
3 เครื่องมือวัดประสิทธิภาพเว็บที่นักพัฒนาต้องใช้