Leportp.com

WordPress เป็นระบบจัดการเว็บไซต์ที่ได้รับความนิยมสูงที่สุดในโลก ด้วยความสามารถที่หลากหลายและใช้งานง่าย ทำให้มีผู้ใช้งานจำนวนมากทั่วโลก แต่นั่นเองก็เป็นเหตุผลที่ทำให้ WordPress กลายเป็นเป้าหมายของเหล่าแฮกเกอร์อยู่เสมอ

แม้ WordPress เองจะมีการอัปเดตความปลอดภัยอย่างต่อเนื่อง แต่ผู้ดูแลเว็บไซต์ก็ยังต้องมีการตั้งค่าความปลอดภัยพื้นฐานให้กับเว็บไซต์ของตน เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการถูกเจาะระบบ

บทความนี้จะพาคุณไปดู วิธีตั้งค่าความปลอดภัยพื้นฐานใน WordPress ที่ทุกเว็บไซต์ควรทำ เพื่อป้องกันการถูกแฮกและเพิ่มความอุ่นใจในการใช้งาน

1. ใช้รหัสผ่านที่คาดเดายาก และเปลี่ยนรหัสผ่านสม่ำเสมอ

บัญชีผู้ใช้ที่มีสิทธิ์ระดับสูงสุด (เช่น Administrator) ควรมีรหัสผ่านที่ซับซ้อนและยากต่อการเดา หลีกเลี่ยงการใช้รหัสง่าย ๆ อย่าง 123456, password, admin123 หรือชื่อเว็บ

คำแนะนำ

• ใช้รหัสผ่านที่มีทั้งตัวอักษรใหญ่–เล็ก ตัวเลข และอักขระพิเศษ
  
• เปลี่ยนรหัสผ่านทุก 3–6 เดือน
  
• หลีกเลี่ยงการใช้รหัสเดียวกันกับบริการอื่น
  

2. เปลี่ยนชื่อ Username ที่ใช้ว่า “admin”

ชื่อผู้ใช้เริ่มต้นของ WordPress คือ admin ซึ่งแฮกเกอร์รู้กันดี และมักจะพยายามเจาะเข้าสู่ระบบด้วยชื่อผู้ใช้นี้ หากยังใช้ชื่อนี้อยู่ ควรสร้างผู้ใช้อื่นที่มีสิทธิ์เป็นผู้ดูแล แล้วลบบัญชี admin ออกไป

วิธีทำง่าย ๆ

• ไปที่เมนู “ผู้ใช้” แล้วสร้างผู้ใช้อื่นใหม่
  
• ตั้งสิทธิ์เป็น “ผู้ดูแลระบบ”
  
• ล็อกอินเข้าผู้ใช้ใหม่นั้น แล้วลบ admin ออก
  

3. ใช้ปลั๊กอินความปลอดภัย

มีปลั๊กอินหลายตัวที่ช่วยป้องกัน WordPress จากการโจมตี เช่น Brute Force, SQL Injection หรือ File Injection ซึ่งสามารถติดตั้งได้ง่ายและให้ความคุ้มครองขั้นพื้นฐาน

แนะนำปลั๊กอินยอดนิยม

• Wordfence Security – ตรวจจับมัลแวร์และป้องกันการโจมตีแบบ Brute Force
  
• Solid Security – เคยเป็นที่รู้จักในชื่อ iThemes Security รวมฟีเจอร์ความปลอดภัยหลายอย่างในปลั๊กอินเดียว
  
• Sucuri Security – ตรวจจับความผิดปกติและป้องกันเว็บไซต์จากภัยคุกคาม
  

4. เปิดใช้งานการยืนยันตัวตนแบบ 2 ชั้น (Two-Factor Authentication)

การล็อกอินเข้าสู่ระบบ WordPress ควรมีการยืนยันตัวตนสองขั้น เพื่อป้องกันการเข้าระบบแม้รหัสผ่านจะถูกขโมย

สามารถเปิดใช้งานได้ผ่านปลั๊กอิน เช่น

• Google Authenticator
  
• WP 2FA
  
• Two Factor Authentication by PluginPad
  

เมื่อเปิดใช้งานแล้ว ทุกครั้งที่ล็อกอิน ระบบจะขอรหัสยืนยันจากแอป Authenticator บนมือถือ ซึ่งช่วยเพิ่มความปลอดภัยอย่างมาก

5. จำกัดจำนวนครั้งการเข้าสู่ระบบผิดพลาด (Login Attempt)

การโจมตีแบบ Brute Force คือการพยายามสุ่มรหัสผ่านไปเรื่อย ๆ จนเจอของจริง หากไม่มีการจำกัดจำนวนครั้งการพยายามเข้าสู่ระบบ ก็เสี่ยงต่อการถูกเจาะระบบได้ง่าย

ปลั๊กอินที่ช่วยเรื่องนี้

• Limit Login Attempts Reloaded
  
• Loginizer
  

สามารถตั้งค่าให้ล็อก IP ชั่วคราวหากมีการใส่รหัสผิดเกินจำนวนที่กำหนด

6. ซ่อนหน้าล็อกอิน (wp-login.php)

การเปลี่ยน URL สำหรับล็อกอิน WordPress จาก yoursite.com/wp-login.php เป็น URL อื่น จะช่วยลดโอกาสที่แฮกเกอร์จะเจอหน้าล็อกอินได้

ปลั๊กอินที่ช่วยได้

• WPS Hide Login
  

เพียงเปลี่ยนเส้นทาง URL ล็อกอิน เช่น จาก wp-login.php ไปเป็น mylogin123 ก็ช่วยลดโอกาสโดนแฮกได้มากขึ้น

7. อัปเดต WordPress ธีม และปลั๊กอินให้เป็นเวอร์ชันล่าสุดเสมอ

แฮกเกอร์มักเจาะระบบผ่านช่องโหว่ในธีมหรือปลั๊กอินที่ล้าสมัย การอัปเดตระบบเป็นประจำจึงจำเป็นอย่างยิ่ง

แนวทางที่ดี

• ตรวจสอบการอัปเดตทุกสัปดาห์
  
• สำรองข้อมูลก่อนอัปเดต
  
• หากใช้ปลั๊กอินหรือธีมที่ไม่มีอัปเดตบ่อย ควรพิจารณาเปลี่ยนเป็นตัวอื่นที่มีทีมดูแล
  

8. ติดตั้ง SSL (HTTPS)

การติดตั้ง SSL ช่วยเข้ารหัสข้อมูลระหว่างผู้ใช้กับเว็บไซต์ ป้องกันข้อมูลถูกดักจับระหว่างทาง เช่น รหัสผ่าน หรือข้อมูลส่วนตัว

โฮสติ้งหลายแห่งมีบริการ Let’s Encrypt ให้ใช้ฟรี หรือติดตั้ง SSL แบบเสียเงินก็ได้ เพื่อความน่าเชื่อถือมากขึ้น

เมื่อใช้ HTTPS แล้ว

• URL จะมีรูปแม่กุญแจสีเขียว
  
• เว็บไซต์ดูปลอดภัยมากขึ้น
  
• ดีต่อ SEO ด้วย
  

9. สำรองข้อมูลเว็บไซต์อย่างสม่ำเสมอ

ถึงแม้จะมีระบบป้องกันดีแค่ไหน เว็บไซต์ก็ยังมีโอกาสถูกแฮกหรือเกิดข้อผิดพลาดได้ การมีระบบสำรองข้อมูล (Backup) จึงจำเป็นมาก

ปลั๊กอินสำหรับสำรองข้อมูลที่แนะนำ

• UpdraftPlus
  
• BackWPup
  
• WPvivid Backup
  

ควรตั้งให้สำรองข้อมูลอัตโนมัติเป็นรายวันหรือรายสัปดาห์ และเก็บไว้ทั้งในเซิร์ฟเวอร์และบนคลาวด์ เช่น Google Drive หรือ Dropbox

10. จำกัดสิทธิ์การใช้งานผู้ใช้

หากมีผู้ใช้หลายคนในระบบ อย่ามอบสิทธิ์เป็น “ผู้ดูแลระบบ” ให้ทุกคนโดยไม่จำเป็น ควรกำหนดสิทธิ์ตามหน้าที่ เช่น

• ผู้ดูแลระบบ (Administrator) – มีสิทธิ์ทั้งหมด
  
• ผู้เขียนบทความ (Author) – สร้าง/แก้ไขบทความตัวเอง
  
• ผู้ดูแลบทความ (Editor) – แก้ไขบทความของทุกคน
  
• ผู้เยี่ยมชม (Subscriber) – ดูเนื้อหาอย่างเดียว
  

ความปลอดภัยพื้นฐานที่ไม่ควรมองข้าม

เว็บไซต์ WordPress อาจดูใช้งานง่าย แต่เรื่องความปลอดภัยไม่ควรละเลย การตั้งค่าป้องกันเบื้องต้นทั้งหมดที่กล่าวมา จะช่วยลดความเสี่ยงต่อการถูกแฮกได้อย่างมาก และช่วยให้คุณดูแลเว็บไซต์ได้อย่างมั่นใจมากขึ้น

หากคุณยังไม่แน่ใจว่าตั้งค่าเหล่านี้ครบหรือไม่ ลองเริ่มจากจุดเล็ก ๆ เช่น เปลี่ยนรหัสผ่าน เปิด 2FA และติดตั้งปลั๊กอินความปลอดภัย แล้วค่อยๆ ขยับไปสู่วิธีที่ลึกขึ้นตามลำดับ