WORDPRESS-SECURITY

ป้องกัน wordpress จากผู้ไม่ประสงค์ดีแบบง่ายๆ

สวัสดีครับก็วันนี้อาจไม่ใช่เรื่องพาเพลินสักทีเดียวแต่วันนี้จะมีพูดถึงเรื่องการรักษาความปลอดภัยสำหรับผู้ที่ใช้ wordpress จะมาแชร์ประสบการณ์และความรู้เล็กๆน้อยๆของไปร์ทให้ทุกคนได้อ่านกัน อันนี้สามารถไปประยุกต์ใช้กับการดูแลเว็บไซต์ที่ไม่ใช่ wordpress ก็ได้ต้องเกรินก่อนว่าตัว wordpress เองก็มีความปลอดภัยอยู่ระบบหนึ่งแต่ก็น่าเศร้าที่เป็นหนึ่งในเป้าหมายของ Hacker ด้วยเช่นกัน

รูปจาก https://www.whoishostingthis.com/resources/web-hosting/

1.เลือกโฮสดีมีชัยไปกว่าครึ่ง
การเลือกใช้โฮสติ้งก็เหมือนกับการเลือกบ้านที่มีโครงสร้างที่ดีมีความปลอดภัยมียามค่อยดูแลมีรั้วกำแพงที่แน่นนาน หากเลือกบ้านไม่ดีก็อาจเป็นอันตรายกับคนที่อยู่ในบ้านได้ ดังนั้นการเลือกโฮสนั้นต้องดูอย่างละเอียดอย่าดูที่ราคาอย่างเดียว การพิจารณาโฮสของไปร์ทมีดังต่อไปนี้

  • ต้องมีช่องทางการติดต่อที่ชัดเจน
  • แจ้งข่าวสารของโฮสตลอดเวลา (เช่น โฮสขัดข้อง,โฮสโดนโจมตี,การเปลื่ยน hardware และ ฯลฯ)
  • support รวดเร็วทันใจ
  • มีมาตรการ backup ที่ดี
  • บริการแบบตลอด 24/7
  • มีการอัพเดตระบบใหม่เสมอ
  • มีกลุ่มลูกค้าที่เคยใช้บริการ

2.SSL เข้าไว้อุ่นใจกว่าเยอะ
เมื่อพูดถึง ssl เราก็นึกถึงรูปกุญแจสีเขียวๆที่อยู่บนแถบ address ผู้ใช้ทั่วๆคงไม่รู้ว่ามันมีประโยชน์อะไรไปร์ทเลยอยากให้คนทำเว็บทั้งหลายเปลื่ยนมาใช้กันเยอะครับ ssl ย่อมาจาก Secure Sockets Layer มันคือมาตรฐานใหม่ของการรับส่งข้อมูลโดยทำการเข้ารหัสระหว่าง server และ client จึงทำให้ยากต่อการดักฟัง(Hacker)ซึ่งประเภทของ ssl ก็มีหลายระดับตั้งแต่ ปลอดภัย ปลอดภัยมาก ปลอดภัยมากกกกกกกกกกกกกก เมื่อเปรียบเทียบกับเว็บที่ไม่มี ssl แล้วการรับส่งข้อมูลจึงมีความปลอดภัยต่ำ นอกจากนี้แล้วยังได้ประโยชน์อีกต่อนั้นก็คือ Google จะให้คะแนน SEO พิเศษทำให้ง่ายต่อการค้นหาเว็บของเราอีกด้วย ssl นั้นมีอยู่ 2 แบบนั้นก็คือแบบ ฟรี กับ แบบเสียตังค์ ทั้งสองแบบนี้มีความปลอดภัยมากน้อยต่างกันขึ้นอยู่กับความสำคัญของข้อมูลอย่างไปร์ทจะเลือกใช้ ssl ของ letsencrypt ฟรีและดีมากเว็บเราเว็บแค่บล็อกเล็กๆไม่ใด้ใช้อะไรใหญ่โตมาก


รูปจาก http://www.techmotus.com/why-how-keep-wordpress-always-updated/

3.อัพเดตตลอดเวลา
มั่นอัพเดตตัว wordpress และ ปลั๊กอิน ให้สดใหม่เสมอเพราะถ้าเราช้าเราอาจเป็นเป้านิ่งได้!!! นอกจากที่จะอัพเดตตัวระบบแล้วเราต้องอัพเดตข่าวสารข้อมูลเกี่ยวกับระบบที่เราใช้ด้วยนะ เมื่อมีช่องโหว่อะไรจะได้แก้ไขทัน

4.กันหลังบ้านไว้
wp-admin ถือเป็นค่าเริ่มต้นของ wordpress ที่ทุกคนจำง่ายและก็เป็นหลังบ้านที่ Hacker เข้ามาได้ง่ายเหมือนกัน ไปร์ทมีวิธีป้องกันแบบง่ายๆมาแชร์กัน
4.1 ใช้ปลั๊กอินของ iQ Block Country บล็อคทุกประเทศที่ไม่ใช่ประเทศไทยเข้ามาได้!!! เพราะถ้าเปิดหลังบ้านให้แขกผู้มีเกียรติเข้ามาจากทั่วทุกมุมโลกมีสนุกแน่ตัวนี้ก็จะเป็นเกาะป้องกันตัวที่ 1 ของไปร์ทนั้นเอง
ตัวอย่างการโจมตีหลังบ้านบล็อคโดย   iQ Block Country ^^
4.2 ต่อมาเป็นตัว Invisible reCaptcha for WordPress ตัวนี้มีไว้ป้องกัน bot มาวุ่นวายหลังบ้านของเรานั้นเองความเจ๋งของเจ้าตัวนี้คือไม่ต้องกรอกยืนยันอะไรให้ยุ่งยากเพราะมันมี AI ค่อยตรวจว่าคนที่เข้ามาหลังบ้านเป็น คน หรือ bot ถ้ามันสงสัยว่าเป็น bot มันจะส่งรูปภาพมาทดสอบเรานั้นเอง
4.3  Two Factor Authentication ถึงแม้จะมีจะมี ssl แล้วแต่มันก็ไม่ได้การันตีมาว่าระบบปลอดภัยการล็อคสองชั้นนั้นปลอดภัยมากกว่า

5.ติดตั้งปลั๊กอิน security
ปลั๊กอินของ security ของ wordpress ไปร์ทจะเลือกใช้เป็นตัว iThemes Security ตัวเดียวครบเกือบทุกฟังก์ชั่น ตั้งค่าง่าย ใช้งานง่าย ชอบมากๆ แต่ถ้าอยากใช้ครบทุกฟังก์ชั่นก็เลือกใช้แบบ pro ไปก็ได้ครับ

6.back up ไว้บ้างก็ดีนะ
ถึงจะมีระบบปลอดภัยมากน้อยแค่ไหนแต่ก็อย่าลืมการสำรองข้อมูลด้วยนะครับ เพราะข้อมูลอันมีค่าของเราสำคัญมาก>..<
ไปร์ทจะเลือกใช้ตัว All-in-One WP Migration ข้อดีของตัวนี้คือสามารถ back up เว็บเราได้ทั้งก้อน ตัวนี้ฟรีแต่ในอนาคตอาจใช้เสียเงินเพราะ back up ได้แค่ 512 MB ความคุ้มของตัวนี้คือซื้อครั้งเดียวใช้ชั่วชีวิต55555+

7.ตั้งรหัสผ่านให้ซับซ้อน
กฏพื้นฐานของความปลอดภัยเลยคืออย่าตั้งรหัสผ่านอะไรง่ายๆ เพราะเรามีโอกาสโดนแฮ็คง่ายๆเหมือนกันเนอะ การตั้งรหัสผ่านที่ดีนั้นควรมีอย่างอักษร 8 ตัวขึ้นไปตัวอักษรเล็กใหญ่สลับกับและที่สำคัญควรมีอักษรพิเศษเช่น @ # ! $ / * – หรืออื่นๆแล้วแต่จะตั้งเลยครับ

8.อย่าตั้ง username เป็น admin
อันนี้สำหรับใครไม่รู้จริงไม่จะเป็นเว็บใดๆบนโลกนี้ก็ตามอย่าใช่ user เป็น admin เพราะง่ายต่อการเดาและการสุ่มแฮ็คได้ง่ายดังนั้นควรตั้งชื่ออื่นๆเพื่อเลี่ยงความเสี่ยงที่เกิดขึ้นนะครับ

ที่พูดมาไม่ได้ค่าโฆษณานะใช้ดีจริงๆ5555+ สำหรับ Tips ที่ไปร์ทแชร์ในวันนี้อาจเป็นประโยชน์ไม่มากก็น้อยหากมีอะไรผิดพลาดก็ขออภัยมา ณ ที่นี่ด้วยครับแล้วพบกับบทความหน้านะครับ