Refresh

This website padveewebschool.com/wordpress-security/ is currently offline. Cloudflare's Always Online™ shows a snapshot of this web page from the Internet Archive's Wayback Machine. To check for the live version, click Refresh.

WordPress

ดูแลเว็บไซต์ WordPress อย่างไรให้ปลอดภัย ไม่ให้ถูกแฮค หรือติดไวรัส

ดูแลเว็บไซต์

ในแต่ละสัปดาห์ Google จะตรวจสอบพบเว็บไซต์ที่ติดมัลแวร์ประมาณ 20,000 เว็บ (Website Hacked Trend Report) หากคุณไม่อยากให้เว็บคุณเป็นหนึ่งในนั้น การดูแลเว็บไซต์ WordPress ของคุณให้ปลอดภัยเป็นสิ่งที่จำเป็นมาก

ดูแลเว็บ WordPress

สารบัญเนื้อหา

คลิกดูที่ละหัวข้อได้

  1. ทำไมเราต้องดูแลเว็บไซต์ของเราให้ปลอดภัย
  2. อัพเดท WordPress, Theme, Plugin สม่ำเสมอ
  3. อย่าตั้ง username และ password ให้ง่ายเงินไป
  4. ติดตั้งปลั๊กอินรักษาความปลอดภัยที่จำเป็น
  5. เลือกโฮสที่น่าเชื่อถือ
  6. Backup Backup และ Backup
  7. เว็บที่โดนแฮค หรือติดมัลแวร์จะเป็นยังไง
  8. วิธีการแก้ไขเมื่อเว็บโดนแฮค

1. ทำไมเราต้องดูแลเว็บไซต์ของเราให้ปลอดภัย

หากเว็บไซต์ของคุณถูกแฮคอาจจะส่งผลต่อรายได้ และชื่อเสียงทางธุรกิจของคุณ หากเว็บของคุณมีช่องโหว่ พวกแฮคเกอร์สามารถเข้ามาโขมยข้อมูลลูกค้า หรือฝังมัลแวร์ (Malware)ให้มันกระจายเป็นไวรัสติดไปยังเว็บไซต์อื่นๆ บน server เดียวกันได้อีกด้วย

เว็บถูกแฮค

นอกจากนี้ หาก Google ตรวจพบว่าเว็บเราติดมัลแวร์ แล้วไม่ยอมแก้ไข เว็บของเราอาจติด Blacklist ทำให้ไม่ติดอันดับการค้นหาของ Google และไม่สามารถที่จะลงโฆษณาบน Google AdWords ได้อีกด้วย

“หากคุณจริงจังกับธุรกิจของคุณ คุณต้องจริงจังกับการดูแลเว็บของคุณให้ปลอดภัยด้วยนั้นเอง”

2. อัพเดท WordPress, Theme, Plugin สม่ำเสมอ

ข้อดีของการใช้ WordPress ก็มีอยู่มากมาย แต่ข้อเสียก็มีอยู่ไม่น้อยเช่นเดียว ข้อเสียที่เห็นได้ชัดกับทุกเครื่องมือที่มีคนใช้งานเยอะๆ ก็คือจะเป็นที่หมายปองของบรรดาแฮคเกอร์ที่จะคอยจ้องเจาะระบบนั้นเอง

ดูแลเว็บไซต์

หาคุณใช้งาน WordPress มาสักระยะ คุณจะพบว่า WordPress มีแจ้งเตือนให้เราอัพเดทบ่อยมาก นอกจาก WordPress จะอัพเดทด้านฟีเจอร์การใช้งาน สิ่งที่ WordPress อัพเดทบ่อยที่สุดคือการอัพเดทเกี่ยวกับเรื่องของความปลอดภัยเพื่อปิดช่องโหว่ต่างๆ เพื่อช่วยให้เว็บของเราไม่ถูกแฮคได้ง่ายๆ นั้นเอง

ดังนั้นสิ่งสำคัญที่คุณควรทำเป็นประจำคือ การหมั่นอัพเดท WordPress, Theme และ Plugin ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ

คำแนะนำเพิ่มเติม เนื่องจาก WordPress คือ open source software ที่ต้องทำงานร่วมกับธีมและปลั๊กอินต่างๆมากมาย ที่ไม่ได้ถูกสร้างโดยตรงจาก WordPress นำไปสู่ปัญหาที่เราพบเจออยู่บ่อยๆ สำหรับธีม และปลั๊กอินที่ไม่ค่อยมีคนใช้งาน คือ การหยุดพัฒนาต่อของผู้สร้าง ทำให้ไม่สามารถอัพเดทให้รองรับกับ WordPress เวอร์ชั่นล่าสุดได้นั้นเอง

ดังนั้น เราจำเป็นต้องมีหลักการเลือกธีม และปลั๊กอิน ที่ดี เพื่อให้เว็บของเราไม่เสี่ยงต่อการถูกแฮค หรือเว็บพังในระยะยาว ผมแนะนำให้คุณอ่านบทความนี้ก่อน หลักการเลือกธีมให้เหมาะกับ WordPress

หลักการเลือกธีม

“คำแนะนำที่เข้าใจง่ายที่สุดสำหรับการเลือกธีมและปลั๊กอินก็คือ ไม่ควรใช้ธีมเถื่อน หรือซื้อมาจากแหล่งที่ไม่น่าเชื่อถือ และไม่ควรใช้ธีมกับปลั๊กอินที่ไม่มีการอัพเดทแล้วนั้นเอง”

3. อย่าตั้ง username และ password ให้ง่ายเกินไป

ช่องโหว่ที่ทำให้เว็บไซต์เราถูกแฮคได้ง่ายๆ คือการตั้งรหัสผ่านง่ายต่อการคาดเดามากเกินไป ซึ่งการแฮคที่จะเจาะเข้ามาตรงหน้า login นั้น เราเรียกกันว่า การโจมตี Brute Force Attack

การตั้งรหัสผ่าน

เพื่อให้เว็บไซต์คุณปลอดภัย ไม่ถูกแฮคได้ง่ายๆ คุณควรมีหลักในการตั้งชื่อ usename และ password ที่ดี ดังนี้

  • ห้ามตั้งชื่อ username ว่า admin เด็ดขาด
  • ห้ามใช้ชื่อโดเมน หรือ อีเมล มาเป็นส่วนหนึ่งของการตั้งชื่อ
  • ไม่ควรตั้งชื่อ password ด้วยคำที่มีความหมายทั่วไป หรือคำที่มีปรากฏใน Dictionary
  • ไม่ควรตั้งชื่อตรงกับคำที่เป็น password อันตราย ดูรหัสสต้องห้ามที่บทความนี้ก่อนนะ
    These are The 50 most common passwords in 2018.
  • ความยาวของ password ควรมี 8 ตัวอักษรขึ้นไป
  • Password ที่ดีควรประกอบด้วย ตัวอักษรพิมพ์เล็ก, ตัวอักษรพิมพ์ใหญ่, ตัวเลข และอักขระพิเศษ เช่น @ ! # * % ลงไปด้วย
  • ควรเปลี่ยนรหัสผ่านใหม่ทุกๆ 3 เดือน

4. ติดตั้งปลั๊กอินรักษาความปลอดภัยที่จำเป็น

การติดตั้งปลั๊กอิน security เพื่อต้องเพิ่มฟังชั่นบางอย่าง ที่เราไม่สามารถทำเองได้เช่น

  • จำกัดจำนวนครั้งของการ login (Limit login attempts)
  • การสร้าง Firewall ป้องกันการเข้าไปแก้ไขข้อมูลของผู้ที่ไม่หวังดี
  • การทำ Captcha เพื่อป้องกัน Bot มา login

สำหรับปลั๊กอินที่ผมแนะนำให้ใช้มีดังนี้ครับ

  • Wordfence คือ ปลั๊กอินการรักษาความปลอดภัยสำหรับเว็บ WordPress ที่ช่วยปกป้องเว็บไซต์ของคุณจากภัยคุกคามด้านความปลอดภัย เช่น การถูกแฮ็ก, ถูกมัลแวร์, DDoS และโดน Brute force attacks มาพร้อมกับ website application firewall ซึ่งจะกรองการเข้าถึงและบล็อกคำขอที่น่าสงสัย ทั้งหมด ที่ส่งมายังเว็บไซต์ของคุณ

ปลั๊กอินรักษาความปลอดภัย

สำหรับการตั้งค่า ผมแนะนำให้ตั้งค่าตาม wizard ช่วยการติดตตั้งไปเลย คือให้ใช้ค่า default ที่มากับปลั๊กอินเลยนั้น ซึ่งฟังชั่นหลักๆ ที่เราต้องการมีอยู่ 3 อย่าง คือ Limit login attempts, Web Application Firewall และ Brute Force Protection ตัวปลั๊กอินเขาเปิดใช้งานมาให้เราแล้วนั้นเอง

  • Google reCAPTCHA คือ ระบบพิสูจน์ความเป็นมนุษย์เพื่อป้องกันบอทมาแอบ login เข้ามาใช้งานเว็บของเรา สำหรับปลั๊กอินที่ผมแนะนำให้ใช้งาน คือตัวนี้ครับ Google Captcha (reCAPTCHA) by BestWebSoft
google recaptcha

สำหรับวิธีการตั้งค่าเพื่อเปิดใช้งาน มีดังนี้ครับ

  1. ติดตั้งปลั๊กอิน Google Captcha และคลิก activate เปิดใช้งานให้เรียบร้อย
  2. เข้าไปที่ส่วนการตั้งค่าของปลั๊กอิน Google Captcha > Settings
  3. จากนั้นเราต้องเชื่อมต่อเว็บเรากับ Google ผ่าน API ให้ทำตามดังนี้ครับ คลิกที่ Get the API Keys

ระบบก็จะพาเราเข้าสู่หน้า Manage your reCAPTCHA API keys

ecaptcha api keys

ให้เราตั้งค่าตามนี้ครับ

Label: ให้ใส่ชื่อเรา หรือชื่อเว็บที่เรากำลังทำก็ได้

Choose the type of reCAPTCHA: ให้เราเลือกแบบ reCAPTCHA v2 > Checkbox

หากคุณอยากรู้ว่า reCAPTCHA แต่ละประเภท แตกต่างกันอย่างไร ลองศึกษาเพิ่มจากบทความนี้นะ Types of reCAPTCHA

Domains: ให้เราใส่ชื่อโดเมนของเราลงไปได้เลย ซึ่งเราสามารถเปิดใช้งานร่วมกันได้หลายโดเมนอีกด้วย

จากนั้นให้เราคลิก Register ให้เรียบร้อยครับ

4. เราก็จะได้ API keys มาเรียบร้อย จากนั้นให้เราคัดลอก รหัสทั้ง Site key และ Secret key มาใส่ที่ Settings ของปลั๊กอินบนเว็บเราได้เลยครับ

api key

นำรหัสด้านบนมาใส่ที่ Google Captcha settings และกด Save Changes ให้เรียบร้อยครับ

api key setting plugin

จากนั้นให้ลอง logout และ login เข้าเว็บดูใหม่ เราจะผมส่วนที่เป็น captcha ป้องกัน bot มาเจาะเว็บเราแล้วครับผม

google recaptcha login

สำหรับการดูแลเว็บไซต์ให้ปลอดภัย ส่วนต่อไปเราจะพูดถึงเรื่อง Host รายละเอียดตามนี้เลยนะ

5. เลือกโฮสที่น่าเชื่อถือ

5.1 เลือกโฮสที่เป็น PHP 7+

เว็บจะมีประสิทธิภาพดีหรือไม่ดี โฮสมีส่วนสำคัญอยู่ไม่น้อย ก่อนที่เราจะเลือกใช้บริการโฮสติ้งกับเจ้าไหนดี สิ่งที่เราต้องรู้ก่อน ก็คือ ตัวโฮสติ้งที่ WordPress แนะนำมีเสปคอย่างไรบ้าง

wordpress hosting

อ่านข้อมูลเกี่ยวกับเรื่องนี้เพิ่มเติมได้ที่ wordpress.org/about/requirements/

สำหรับประเด็ยของ Host ที่เกี่ยวข้องกับ Security โดยตรงก็คือส่วนของ web server ว่าทำงานอยู่บน PHP เวอร์ชั่นอะไร เราควรจะเลือกโฮสที่รองรับ PHP 7.2 ขึ้นไปเท่านั้นครับ

จากข่าวล่าสุดที่ประกาศจากผู้พัฒนา PHP โดยตรงแจ้งเอาไว้ดังนี้ PHP 5.6 รุ่นสุดท้ายในซีรีส์ PHP 5.x จะหมดระยะซัพพอร์ตในวันที่ 31 ธันวาคม 2018 นั่นแปลว่าเมื่อขึ้นปี 2019 เป็นต้นไป PHP 5.x จะไม่มีแพตช์ความปลอดภัยอีกแล้ว หากมีช่องโหว่ใหม่ถูกค้นพบ ก็เป็นความเสี่ยงอย่างมากที่จะถูกโจมตี อ่านข่าวนี้ฉบับเต็มได้ที่ ถึงจุดอวสาน PHP 5.x ในอีก 2 เดือนข้างหน้า

php5-dangerous

5.2 แจ้งโฮส block IP ในต่างประเทศเอาไว้ให้อ่านได้อย่างเดียว

สาเหตุเนื่องจาก IP จากต่างประเทศส่วนใหญ่กว่า 95% พยายามเข้ามา spam comment / brute-force password / hack เว็บไซต์ที่อาจลืมอัพเดทจนเวอร์ชั่นล้าสมัยมากมีช่องโหว่ด้านความปลอดภัย หรือใส่ captcha ป้องกันแสปม

ซึ่งเราเรียกการ Block การใช้งานจากต่างประเทศเป็นศัพท์เทคนิคว่า Apache Mod Rewrite ซึ่งตรงจุดนี้เราแจ้งโฮสจัดการให้ได้เลยครับ

ปล. แต่ไม่ใช่ทุกโฮสจะมีบริการ หรือทำให้เราได้นะ ถ้าคุณยังไม่รู้ว่าจะใช้บริการโฮสเจ้าไหนดี ผมแนะนำเจ้านี้ครับ Hostatom ซึ่งเป็นโฮสที่ผมใช้เองอยู่ด้วย และผ่านเกณฑ์ตามที่ผมแนะนำไว้ด้านบน คือ เป็น php 7.2 และมีการทำ Apache Mod Rewrite ช่วย block ip จากต่างประเทศไม่ใช้เข้ามาแก้ไขไฟล์เว็บเราได้นั้นเอง

โฮสติ้งสำหรับ WordPress ที่ผมแนะนำ หากคุณคลิกเข้าไปใช้บริการโฮสผ่านการแนะนำของผม ผมจะได้รับค่าแนะนำเป็นอาหารแมว 1 ถุง

6. Backup Backup และ Backup

การดูแลเว็บไซต์ WordPress ให้ปลอดภัย ตามที่ผมแนะนำมาทั้งหมดไม่ได้เป็นการการันตี 100% ว่าเว็บของคุณจะไม่ถูกแฮค ดังนั้น หากคุณจริงจังกับธุรกิจของคุณ จริงกับการทำเว็บไซต์ สิ่งที่จะช่วยให้อุ่นใจมากที่สุด คือ การ Backup (สำรองข้อมูล) เว็บไซต์ของเราเป็นประจำๆ นั้นเอง

wordpress backup

บางครั้งหากเว็บเราถูกแฮค ติดมัลแวร์ หรือไวรัส การที่จะเข้าไปนั่งลบไฟล์ไวรัสที่ถูกแพร่กระจายไปแล้วบนเว็บของเรา บางครั้งมันอาจจากยากเกินไป วิธีการแก้ปัญหาที่ง่ายที่สุด ลบเว็บที่ถูกแฮคทิ้ง แล้วไปกู้คืนเว็บจากไฟล์ที่เรา Backup กลับมาแทนที่จะดีที่สุดนั้นเอง

ปลั๊กอินสำหรับการย้ายเว็บที่ผมแนะนำครับตัวนี้ครับ All-in-One WP Migration สำหรับวิธีการใช้งานปลั๊กอินเพื่อ backup และกู้คืนเว็บ อ่านบทความนี้ครับ วิธี backup เว็บไซต์ กู้คืน หรือย้ายเว็บ WordPress

7. เว็บที่โดนแฮค หรือติดมัลแวร์จะเป็นยังไง

แน่นอนไม่มีใครอยากเว็บตัวเองโดนแฮค แต่บางทีเราอาจโชคไม่ดีเว็บถูกแฮคโดยที่ไม่รู้ตัว หลายต่อหลายเว็บเราถูกแฮคมานานหลายเดือน แต่รู้ตัวช้าเกินไป จนอันดับเว็บร่วงหายไปจาก Google ดีไม่ดีอาจถูก google ลงโทษขั้นรุนแรงสุด คือ ban ชื่อโดเมนออกไปจากการค้นหาเลยก็ได้

หลักการเช็คเว็บโดนแฮค แล้วรึยัง? ดังนี้

  • เว็บที่โดนแฮคแล้วเห็นชัดเจน คือ กดเข้าเว็บตัวเอง แล้ว redirect ออกไปเว็บไหนก็ไม่รู้

เว็บติดมัลแวร์

  • ได้รับการแจ้งเตือนจาก google โดยตรง พอเข้าเว็บจะมีการแจ้งเตือนแบบนี้ขึ้นมาทันที

เว็บโดนแบน

  • เว็บโดนแฮคแต่ไม่รู้ตัวว่า ถูกแฮคโดยการถูกฝั่งมัลแวร์ วิธีการเช็คให้ทำตามนี้ครับ ให้เราพิมพ์คำว่า site:yourdomain.com ลงไปที่ browser (ให้พิมพ์คำว่า site:ตามด้วยชื่อโดเมนของเราลงไป) การพิมพ์ site: คือเป็นการเช็คว่าเว็บเรามีหน้าที่ถูก index ไว้บน google มีจำนวนเท่าไหร่ มีหน้าอะไรบ้าง ใครเช็คแล้วเจอเว็บแปลกๆ เป็นภาษาต่างประเทศ ภาษาต่างดาว ปรากฏขึ้นมา แสดงว่าเว็บของคุณโดนแฮคไปเป็นที่เรียบร้อยแล้วครับผม

เว็บติดไวรัส

  • อันดับต่อมา จุดที่เราควรหมั่นสังเกต คือให้ไปดูที่ user (ชื่อผู้ใช้งาน) มีการเพิ่มจำนวนของ user ที่เราไม่ได้สร้างเอง และมีสถานะ role เป็น Administrator แสดงว่าเว็บคุณโดนแฮคไปเรียบร้อยแล้วครับ
  • มีจำนวนบทความ (post) ที่เราไม่ได้เป็นคนเขียนเองเพิ่มเข้ามาที่เว็บไซต์ของเรา
  • ใช้ปลั๊กอิน Wordfence ในการแสกนตรวจเช็คไฟล์ที่ผิดปกติ

ปลั๊กอินแสกนไวรัส

เว็บของใครที่มีอาการตามตัวอย่างข้างบน ให้ตั้งสติก่อน แล้วรีบจัดการแก้ไขเว็บของเราให้ปลอดภัย โดยการทำตามคำแนะนำเบื้องต้น ให้หัวข้อถัดไปนะ

8.วิธีการแก้ไขเมื่อเว็บเราโดนแฮค

วิธีการแก้ไขเว็บที่โดนแฮคไปแล้ว ที่ง่ายและได้ผลที่สุด คือการให้ลบเว็บเก่าทิ้งไปเลย แล้วกู้คืนเว็บจากไฟล์ที่เราได้ backup เว็บเก็บเอาไว้ แต่ต้องแน่ใจนะว่า เป็นไฟล์ช่วงก่อนที่เราจะโดนไวรัส

แก้ไขเว็บโดนแฮค

หากใครไม่แน่ใจ ลองแจ้งให้โฮสช่วยแสกนเว็บของเราดูก็ได้ ว่ามีไฟล์อะไรผิดปกติเข้ามาในระบบของเราบ้างมั้ย และถ้ามีไฟล์นั้นเริ่มเข้าสู่เว็บของเราตอนไหน ก็ให้เอาไฟล์ backup ก่อนหน้านั้นยกไปใส่แทน

แต่หากยังไม่มั่นใจว่าไฟล์ที่ backup ไว้นั้นปลอดภัยหรือไม่ เพราะหากเราลบพวกที่เป็นไฟล์ไวรัสออกไม่หมด เดี๋ยวเวลาผ่านไปอาการของเว็บโดนแฮคก็จะกลับมาอีก

วิธีการแก้เว็บโดนแฮคอีกวิธีซึ่งอาจจะค่อนข้างซับซ้อนหน่อย แต่ได้ผล 100% ให้ทำตามขั้นตอนตามบทความนี้ครับ ทำอย่างไรเมื่อ WordPress ถูก Hack

เดี๋ยวในบทความถัดไปผมจะเขียนบทความพร้อมรูปภาพประกอบ สำหรับวิธีแก้ไขเว็บที่โดนแฮค อีกครั้งนะจะได้เห็นภาพและทำตามไปด้วยกันได้นั้นเอง

สรุป : ดูแลเว็บไซต์ WordPress อย่างไรให้ปลอดภัย

หากคุณจริงจังกับธุรกิจของคุณ คุณต้องจริงจังกับการดูแลเว็บของคุณให้ปลอดภัยด้วย หลักการง่ายๆ ก็คือ หมั่นอัพเดท WordPress ธีม และปลั๊กอินให้เป็นเวอร์ชั่นล่าสุดเสมอ ไม่ควรใช้ธีมเถื่อน หรือซื้อมาจากแหล่งที่ไม่น่าเชื่อถือ แต่บนโลกออนไลน์ ไม่มีอะไรที่ปลอดภัย 100% คุณควรหมั่น backup เว็บไซต์ของตัวเองไว้ให้บ่อยๆ นั้นเอง

พัดวี

รักการทำเว็บไซต์และชอบอ่านหนังสือเป็นชีวิตจิตใจ Freelance | Entrepreneur | Content Marketer

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *