วิธีตั้งค่า WordPress ให้ปลอดภัยสำหรับมือใหม่

หลายคนที่หัดทำเว็บไซต์ด้วย WordPress เมื่อใช้งานไปซักพักอาจจะเจอกับปัญหาเว็บไซต์โดนแฮ็กหรือติดมัลแวร์ บทความนี้จะแนะนำวิธีเพิ่มความปลอดภัยของเว็บไซต์ให้แข็งแกร่งมากขึ้น อาจจะไม่ได้ช่วยป้องกันได้ 100% แต่รับรองว่าบ้านที่ล็อกประตูไว้ ปลอดภัยกว่าบ้านที่ไม่ล็อกประตูไว้อย่างแน่นอน

ตั้งค่าความปลอดภัยให้ WordPress แข็งแกร่งขึ้น

สิ่งที่ต้องทำเพื่อให้เว็บไซต์ปลอดภัย

  • อัพเดทเวอร์ชั่นของ WordPress, ธีมและปลั๊กอินอย่างสม่ำเสมอ ถ้าการอัพเดทไม่ได้ทำให้เว็บพัง ก็แนะนำให้อัพเดท (แนะนำให้ backup ไว้ก่อน)
  • ใช้รหัสผ่านยากๆและการยืนยัน 2 ขั้นตอน จะช่วยให้เว็บไซต์โดนแฮ็กได้ยากขึ้น พยายามใช้รหัสของ WordPress, FTP, DB เป็นคนละชุดกัน
  • ใช้โฮสติ้งดีๆ การตั้งค่า Firewall ของฝั่งโฮสติ้งก็สำคัญ จะทำหน้าที่เหมือนรั้วบ้านป้องกันอีกชั้น ให้เลือกใช้โฮสติ้งที่ให้ความสำคัญเรื่องความปลอดภัย จะป้องกันเว็บไซต์ของเราได้อีกขั้น
  • เลิกใช้ username ว่า admin เพราะมักจะเป็นชื่อแรกที่คนส่วนใหญ่เลือกใช้ แล้วเหล่าแฮ็กเกอร์ก็รู้ว่าเราจะใช้ ให้เปลี่ยนเป็นชื่ออื่นจะช่วยให้เดาได้ยากมากขึ้น
  • ปิดไม่ให้แก้ไขไฟล์ WordPress จะมีตัวช่วยแก้ไขไฟล์ธีมกับปลั๊กอินที่แถมมาด้วย ซึ่งอาจจะทำให้เราแก้ไขเองได้ยากขึ้น ต้องทำผ่าน FTP ทุกครั้ง แต่ก็แนะนำให้ปิดใช้งาน
  • เช็กไฟล์ Permission ของแต่ละโฟลเดอร์ให้ถูกต้อง ป้องกันการโดนวางไฟล์แปลกๆ
  • ปิดไม่ให้ Execute ไฟล์ PHP ในโฟลเดอร์ upload กับ wp-include เพราะทั้ง 2 โฟลเดอร์นี้ไม่จำเป็นต้องรันไฟล์ PHP ใดๆเลย และแฮ็กเกอร์มักจะแอบฝังไฟล์ไว้ในโฟลเดอร์นี้
  • จำกัดจำนวนการล็อกอิน อย่าปล่อยให้ลองสุ่มรหัสมั่วๆได้แบบไม่อั้น เพราะจะมีซักครั้งที่สุ่มจนถูก
  • ปิด XML-RPC ช่องทางนี้ถ้าเปิดไว้จะทำให้ลองสุ่มรหัสเข้าเว็บง่ายขึ้นไปอีกสำหรับแฮ็กเกอร์
  • เปลี่ยน Database Prefix เว็บ WordPress จะตั้งชื่อ prefix ว่า wp_ เป็นค่า default ซึ่งจะยิ่งง่ายในการเจาะเข้ามา
  • แสกนมัลแวร์กับช่องโหว่อย่างสม่ำเสมอ ถึงแม้ว่าวันนี้ปลั๊กอินและเว็บจะปลอดภัยอยู่ ไม่ได้แปลว่าพรุ่งนี้จะปลอดภัยด้วย ให้แสกนแบบสม่ำเสมอ ถ้าเป็นไปได้ อาจจะทำทุกวัน โดยเลือกช่วงเวลาที่คนเข้าเว็บน้อย เช่น ช่วงตี 2 – ตี 3 เพื่อไม่ให้กระทบกับเว็บไซต์
  • สำรองข้อมูลสม่ำเสมอ ถ้าแสกนมัลแวร์แล้วเจอหรือโดนโจมตีไปแล้ว การจะมาไล่หาจุดที่เป็นปัญหาทีละจุด อาจทำให้ช้าและเสียหายได้ การดึงไฟล์ backup ที่ยังไม่โดนโจมตีก็เป็นทางออกแรกที่จะกู้เว็บกลับมาได้เร็วที่สุด
  • ใช้ Cloudflare จะช่วยกรอง traffic ที่เข้ามาได้ในระดับนึง มีการตั้งค่า WAF และป้องกัน DDOS ให้อัตโนมัติ
ปลั๊กอิน iTheme ช่วยตั้งค่าความปลอดภัยให้เว็บไซต์ที่ใช้งาน WordPress

ใช้ปลั๊กอิน Security ช่วยเบาแรง

สำหรับคนที่ใช้ WordPress จะมีปลั๊กอิน Security หลายตัวเลย มาช่วยให้เราเซ็ตค่าต่างๆ ตามลิสต์ด้านบนได้ง่ายขึ้น เช่น iThemes, Securi เป็นต้น สำหรับบทความนี้จะแนะนำให้ใช้เป็นตัว iThemes Security ตัวฟรี เพราะเซ็ตค่าได้หลายอย่างมากๆ

iThemes Security ตัวฟรี ช่วยให้เราเซ็ตอะไรได้บ้าง?

  • จำกัดจำนวนล็อกอิน ว่าผิดได้ไม่เกินกี่ครั้งแล้วแบน
  • บล็อก bot ตาม user-agent ได้
  • สั่งแบนคนที่พยายามล็อกอินด้วย user admin อัตโนมัติ
  • backup ข้อมูล database แล้วส่งไปที่เมลอัตโนมัติ
  • ปิด XML-RPC
  • ปิด REST API
  • เปลี่ยนลิงก์ล็อกอินได้ จาก wp-admin เป็นลิงก์อื่นตามที่เราต้องการ
  • ปิดไม่ให้ค้นหาโฟลเดอร์ต่างๆของเว็บได้
  • ปิดไม่ให้ Execute ไฟล์ PHP ในโฟลเดอร์ upload, themes และ plugins ได้
  • เปลี่ยน Database Prefix ผ่านปลั๊กอินได้เลย
  • เช็กไฟล์ Permission ผ่านปลั๊กอินได้
  • เปลี่ยน Salt ผ่านปลั๊กอินได้ (ทำแล้วต้องล็อกอินใหม่)
  • บังคับให้ใช้ SSL
  • ตรวจจับการแก้ไขไฟล์ ถ้ามีไฟล์แปลกแจ้งเตือนเข้ามาก็สงสัยได้เลยว่าโดนแล้วแน่ๆ
  • ทำล็อกอินสองชั้น (Two-Factor Authentication) ได้

ถ้าทำได้ทั้งหมดนี้จากความปลอดภัยระดับลูกไก่จะเพิ่มขึ้นมาเป็นระดับสิงห์โตเฝ้าบ้านเลยทีเดียว ไม่ว่าจะทำเว็บไซต์เองหรือจ้างทำเว็บไซต์ ก็อย่าลืมเอาเรื่องความปลอดภัยเป็นเรื่องสำคัญหลัก เพราะ bot โจมตีเราทุกวันไม่มีวันหยุด