การดูแลเว็บไซต์ wordpress ให้ปลอดภัย ช่วยป้องกันจากการถูกแฮค หรือติดไวรัส

การดูแลเว็บไซต์

ส่วนใหญ่หลายคนเลือกใช้เว็บ WordPress ในการทำ SEO แต่ยังไม่รู้วิธี การดูแลเว็บไซต์ ไม่ให้โดนแฮกต้องทำอย่างไร เพราะปัจจัยที่เว็บ โดนไวรัส หรือ โดน Hack จะประกอบไปด้วยหลายๆอย่าง โดยส่วนใหญ่แล้วมักจะที่ตัวเจ้าของเว็บด้วย อาจจะละเลยหรือประมาทจนเกินไปทำให้ผู้อื่นเข้ามาบุกรุกเว็บของเราได้ง่ายๆ หากไม่อยากเสียเว็บไซต์ไป จะต้องรู้เกี่ยวกับการดูแลรักษาอย่างถูกต้อง

ทำไม ต้องป้องกัน ให้เว็บไซต์ปลอดภัยอยู่ตลอด

ป้องกันไวรัส

เนื่องจากในแต่ละสัปดาห์ทาง google จะทำการตรวจสอบพบเจอเว็บไซต์ที่มีมัลแวร์ประมาณ 20,000 เว็บเลยที่เดียว หากไม่กำจัดออกอาจจะทำให้กูเกิ้ลมองเว็บของเราเป็นเว็บที่ไม่ปลอดภัยได้ อาจติด Blacklist และจะส่งผลให้เว็บเราต้องเสียรายได้อีกด้วย ยิ่งมีช่องโหว่เยอะก็จะเป็นการเปิดโอกาสให้พวกแฮกเกอร์เข้ามาขโมยข้อมูลภายในเว็บไป แถมยังทำการฝังมัลแวร์ เพื่อกระจายไวรัสต่อๆไปยังเว็บอื่นๆได้อีก

สำหรับเว็บไซต์ที่ต้องการทำอันดับ SEO ก็จะทำให้ไม่สามารถติดอันดับบน google พร้อมทั้งยังลงโฆษณา Google AdWords ไม่ได้อีกด้วย เมื่อโดน Malware ถือว่าส่งผลกระทบต่อเว็บไซต์อย่างมาก เพราะฉะนั้นก็ควรรู้จักวิธีการป้องกันเว็บไซต์จากผู้ไม่หวังจะดีที่สุด ยิ่งเป็นเว็บไซต์ที่มุ่งไปทางด้านธรุกิจ ก็ต้องการดูแลเว็บให้ปลอดภัย

อัพเดท WordPress, Theme, Plugin ให้ใหม่อยู่ตลอดเวลา

WordPress มักจะถูกเลือกให้สร้างเว็บไซต์โดยมีข้อดีหลายๆอย่าง ใช้งานง่าย แต่ก็ยังมีข้อเสียอยู่ด้วยเช่นกัน โดยข้อดีนั้นเป็นตัวที่จะทำให้พวกแฮกเกอร์เข้ามาแทรกซึมได้ง่ายๆ ซึ่งนั้นก็คือเครื่องมือต่างๆ หรือ Pluging ที่มีนิยมใช้กันเป็นจำนวนมาก ทำให้เครื่องทำงานผิดพลาดและเกิดการลวนจึงเป็นเป้าหมายหลักของในการเข้ามาลวงเอาข้อมูลจากเว็บไซต์ได้ง่ายๆ

อัพเดท WordPress

เมื่อคุณใช้งานเครื่องมือหรือปลั๊กอินไปสักระยะ จะมีการแจ้งเตือนให้เราทำการอัพเดทอยู่บ่อยๆ เพราะต้องการที่จะปรับปรุงเรื่องระบบรักษาความปลอดภัย ทุกฟีเจอร์การใช้งานได้อย่างดี ช่วยปิดช่องโหว่ในทุกๆด้าน ส่งผลให้เว็บไซต์ของเราไม่โดนแฮกได้อย่างง่ายดายนั้นเอง ฉะนั้นสิ่งสำคัญที่ไม่อยากให้โดนขโมยข้อมูลก็ต้องควรทำการอัพเดทอย่างสม่ำเสมอ ไม่ว่าจะเป็นเวอร์ชั่น WordPress , Theme และ Plugin ให้เป็นเวอร์ชั่นล่าสุด

หากคุณเลือกใช้เครื่องมือหรือปลั๊กอินที่ไม่ค่อยมีคนใช้งาน มีการหยุดพัฒนา ไม่มีการอัพเดทเวอร์ชั่นใหม่ ก็ควรเปลี่ยนมาใช้ธีม ปลั๊กอิน ที่ดีมีคุณภาพ และมีการปรับปรุงเวอร์ชั่นให้ใช้งานกับ WordPress ได้อย่างเหมาะสม ก็จะไม่เสี่ยงต่อการถูกแฮคแน่นอน

ตั้ง user / password ให้ยาก เพื่อให้โอกาส ในการสุ่มเข้าได้น้อยลง

สิ่งที่หลายคนไม่คาดคิด ที่จะช่วยทำให้ การดูแลเว็บไซต์ ทำได้ง่ายขึ้น นั้นก็คือ การตั้งพาสเวิร์ด ให้ยากเอาไว้ แต่ทว่าคนส่วนใหญ่ ก็มักจะตั้งพาสที่จำง่ายเอาไว้ก่อน และนั่นก็มากพร้อมกับ การคาดเดาที่ง่ายอีกด้วย และนั่นก็เป็นสิ่งที่จะทำให้หลายเว็บ มักจะถูกเจาะจากบรรดา แฮคเกอร์ ได้อย่างง่ายดาย ดังนั้นควรตั้งรหัสให้ยากเอาไว้ก่อน เพื่อเป็นการป้องกันการโจมตี ที่เรียกว่า Brute Force Attack

วิธีการตั้งค่า User Pass

วิธีการตั้งค่า User / Pass เพื่อป้องกันการถูกแฮค

– ไม่ควรตั้ง User ว่า Admin เพราะคนส่วนใหญ่ก็มักจะตั้งกันแบบนี้

– ไม่ควรใช้ชื่อของ โดเมน มาเป็น Username เด็ดขาด

– ไม่ควรตั้ง Pass ให้เหมือนกับคำที่มีอยู่ใน Dictionary

– ควรมีความยาว Password ตั้งแต่ 8 ตัวอักษร

– พาสเวิร์ดที่ดี ควรที่จะมีทั้ง ตัวพิมพ์เล็ก , ตัวพิมพ์ใหญ่ , ตัวเลข และตัวอักษรพิเศษ อยู่ข้างในด้วย

– ควรมีการเปลี่ยนแปลง หรือ อัพเดทพาสเวิร์ด ทุกๆ 3 เดือน

เลือกใช้ปลั๊กอิน ที่ช่วยรักษา และป้องกัน เว็บไซต์

แน่นอนว่าปัจจุบันมี ปลั๊กอิน ให้เลือกใช้งานจำนวนมาก และก็จะมีอยู่หลากหลายปลั๊กอิน ที่จะช่วยทำให้เว็บไซต์ของเรา ไม่ถูกแฮคหรือโดนมัลแวร์ ได้ในระดับหนึ่งเลยทีเดียว ดังนั้นแล้วเราจึงต้องติดตั้งแอพ เพื่อที่จะเพิ่มฟังชั่นบางอย่าง ที่ปกติภายในเว็บไม่มี ไม่ว่าจะเป็น การจำกัดจำนวนครั้งในการเข้าสู่ระบบ , การสร้าง Firewall เพื่อป้องกันการเข้าไปแก้ไขข้อมูล รวมไปถึงการสร้าง Captcha เพื่อไม่ให้ bot มายุ่งกับเว็บเรานั่นเอง

แนะนำปลั๊กอิน ที่ช่วยทำให้ การดูแลเว็บไซต์ ง่ายขึ้น

Wordfence

– Wordfence คือปลั๊กอิน ที่จะช่วยป้องกันเว็บไซต์ ให้ปลอดภัยจากการคุกคามของบรรดา แฮคเกอร์ กับ มัลแวร์ ต่างๆได้เป็นอย่างดี นอกจากนั้นแล้วทางแอพก็ยังมีการ กรองการเข้าถึงหลากหลายรูปแบบ ทำให้เว็บไซต์ของคุณ มีความปลอดภัยได้มากขึ้นกว่าเดิม ส่วนการติดตั้งก็ไม่ใช่เรื่องยาก เพราะว่าเราสามารถใช้ค่า default ที่มากับปลั๊กอินได้เลย เนื่องจากมีการตั้งค่าให้ใช้งานได้เต็มที่ ตั้งแต่ติดตั้งมาแล้ว

Google reCAPTCHA

– Google reCAPTCHA อีกหนึ่งปลั๊กอิน ที่ควรมีติดเว็บเอาไว้เป็นอย่างมาก เพราะว่าจะเป็นสิ่งที่ช่วยทำให้กรอกว่า คนที่เข้ามานั้นคือคนจริงหรือเปล่า เนื่องจากจะมีการป้องกันบอท เข้ามาล็อคอินเข้าเว็บไซต์เรา ดังนั้นแล้วควรที่จะมีติดเอาไว้ในเว็บด้วย

ใช้โฮสที่มีการป้องกันที่ดี และน่าเชื่อถือ

การเลือกโฮสเอาไว้ใช้งาน ก็จะมีหลากหลายรูปแบบ ไม่ว่าจะเป็นทั้งของในประเทศ ต่างประเทศ ซึ่งก็มีหลากหลายเจ้า ที่เปิดให้บริการ แต่ถึงอย่างไร ก็มีอีกหลายสิ่ง ที่เราจะต้องทำความเข้าใจ และเลือกใช้ให้เป็น และวันนี้เราก็พาไปดูสิ่งที่ต้องเลือก ก่อนที่จะเช่าโฮสมาใช้งาน ว่ามีอะไรบ้าง

เลือกโฮสแบบไหนดี และควรแจ้งอะไรบ้าง

โฮส PHP 7+

– พยายามเลือกใช้งาน โฮสที่เป็น PHP 7+

เว็บจะดีหรือไม่ จริงๆแล้วไม่ได้อยู่ที่การออกแบบ หรือเว็บเพียงอย่างเดียว แต่ปัจจัยหลักๆนั้นก็คือ โฮส แน่นอนว่าถ้าหากเราเลือกใช้บริการโฮสที่ไม่ดี ก็จะทำให้เกิดปัญหาในภายหลัง ดังนั้นเราต้องรู้ก่อนว่า โฮสติ้งที่เราเลือกใช้ มีสเปคอะไรบ้าง ซึ่งประเด็นหลักๆเลยก็คือ เราต้องดูว่า web server ที่เราใช้นั้นทำงานบน PHP เวอร์ชั้นอะไร โดยที่เราแนะนำ ก็ควรที่จะเลือกโฮสที่รองรับ การใช้งาน PHP 7.2 ขั้นไป และถ้าหากเป็นเวอร์ชั่นที่ต่ำกว่าที่เราแนะนำ ก็มีโอกาสถูกเจาะได้ง่ายขึ้น เพราะว่าจะไม่มี แพตช์ความปลอดภัยนั่นเอง

แจ้งโฮสบล็อค IP

– มีบริการแจ้งโฮส บล็อค IP ได้

แน่นอนว่า การที่โฮสสามารถ block ip ให้กับเราได้ จะทำให้เราป้องกันการ spam comment ได้เป็นอย่างดี เนื่องจากส่วนใหญ่แล้ว คนต่างประเทศมักจะ พยายามเข้ามา spam / brute-force password หรือ hack เว็บเราอยู่ตลอดเวลา ถ้าหากเราลืมอัพเดทให้ใหม่อยู่เสมอ ดังนั้นแล้วควรเลือกโอสที่แจ้งบล็อตได้ด้วย

backup ข้อมูลให้บ่อยให้ที่สุด

แม้ว่าคุณจะทำทุกขั้นตอนตามวิธี การดูแลเว็บไซต์ แต่ถึงอย่างไรการที่จะทำให้ปลอดภัยมากที่สุด ก็คือการที่เราคอย แบล็คอัพ ข้อมูลอยู่ตลอดเวลา เพราะไม่ว่าคุณจะถูกแฮค หรืออะไรก็แล้วแต่ คุณก็ยังมีข้อมูลทั้งหมดอยู่นั่นเอง ดังนั้นแล้วถ้าหากเว็บนี้คือเว็บสำคัญของคุณ ก็พยายาม backup ให้บ่อยที่สุดนั่นเอง

backup

นั่นก็เพราะว่าบางครั้งเมื่อเราถูกแฮค หรือไวรัส มันก็จะกระจายไปทั่วทั้งเว็บไซต์ทันที และการที่จะมานั่งแก้ไขทั้งหมด ก็ถือว่าเป็นเรื่องที่ยากมาก ดังนั้นวิธีการแก้ไขง่ายๆ และสามารถทำได้ทุกวันก็คือ การแบ็คอัพไฟล์เอาไว้ ซึ่งถือว่าเป็นวิธีการกู้คืนเว็บ กลับมาเหมือนเดิม ได้อย่างสมบูรณ์แบบมากที่สุดด้วย

อาการของ เว็บที่ถูกแฮค หรือติดมัลแวร์

เชื่อว่าคงไม่มีใครอยากให้เว็บไซต์ของตัวเองถูกแฮกแน่นอน แต่ในบางครั้งก็อาจจะโชคไม่ดีเว็บถูกแฮกโดยที่เราไม่รู้ตัว และมีหลายต่อหลายครั้งที่เว็บของเราถูกแฮกมานานหลายวันหรือหลายเดือน แต่พอมารู้ตัวก็ช้าเกินไปจนทำให้อันดับร่วงลงหายไปจากหน้า Google หรืออาจถูก กูเกิ้ล ลงโทษขั้นร้ายแรงคือการโดน ban ชื่อโดเมนของเราหายออกไปจากหน้าค้นหาเลยก็ได้

วิธีการเช็คว่า เว็บโดนแฮก แล้วหรือยัง

  • เว็บที่โดนแฮกเราจะเห็นได้ชัดเจนว่า หลังจากที่กดเข้าเว็บมาแล้วจะถูก redirect ออกไปเว็บอื่นที่ไม่รู้จัก

คุกกี้เว็บไซต์

  • ได้รับการแจ้งเตือนจาก Google โดยตรง สังเกตง่ายๆ หลังจากที่กดเข้าเว็บมาแล้วจะมีการแจ้งเตือนแบบนี้ขึ้นมาในทันที

ถูกฝังมัลแวร์

  • การที่เว็บโดนแฮกจากการถูกฝังมัลแวร์แต่เราไม่รู้ตัว สามารถเช็คได้ด้วยตัวเอง โดยการพิมพ์คำว่า site:yourdomain.com ลงไปที่ช่อง browser (ให้พิมพ์ site:ชื่อโดเมนของคุณ) การพิมพ์ site: เป็นการเช็คว่าเว็บของเรานั้นมีหน้าที่ถูก index ไปแล้วบนกูเกิ้ลทั้งหมดเท่าไหร่และมีหน้าอะไรบ้าง หากเช็คแล้วปรากฏเจอเว็บแปลกๆ เป็นภาษต่างประเทศหรือภาษาที่เราไม่รู้จัก แสดงว่าเว็บของเรานั้นโดนแฮกไปเรียบร้อยแล้วนั่นเอง

User ผู้ใช้งาน

  • อีกหนึ่งจุดที่ควรหมั่นสังเกต คือการดูที่ User หรือผู้ใช้งาน ว่ามีการเพิ่มจำนวนผู้ใช้งานที่เราไม่ได้สร้าง และสถานะ role ขึ้นเป็น Administrator นั่นหมายถึงเว็บของเราโดนแฮกไปเรียบร้อยแล้ว
  • สังเกตจากจำนวนของบทความหรือ post ที่เราไม่ได้เป็นผู้เขียนขึ้นมาเองปรากฏขึ้นมาบนเว็บของเรา
  • ติดตั้งปลั๊กอิน Wordfence เพื่อใช้ในการตรวจหาหรือเช็คไฟล์ที่มีความผิดปกติ

Wordfence ตรวจสอบ

หากเว็บของใครมีอาการเหมือนกับตัวอย่างที่แสดงอยู่ด้านบน อย่าเพิ่งตกใจให้ทำการตั้งสติก่อนและจัดการแก้ไขปัญหาให้เว็บของเราปลอดภัยด้วยการทำตามคำแนะนำเบื้องต้นจากหัวข้อถัดไป

แนะนำ วิธีการดูแลเว็บไซต์ เมื่อถูกแฮค

สำหรับการแก้ไขปัญหาเว็บที่โดนแฮกไปแล้วแบบง่ายๆ และได้ผลดีที่สุดนั้นคือ การลบเว็บเก่าที่โดนแฮกทิ้งไปเลยและทำการกูคืนจากไฟล์ที่เราได้ทำการ Backup เอาไว้ แต่จะต้องแน่ใจแล้วว่าไฟล์นั้นเป็นช่วงก่อนหน้าที่จะโดนแฮกหรือไวรัส

แจ้งโฮสสแกนเว็บ

หากคุณยังไม่แน่ใจอาจแจ้งโฮสให้ลองช่วยสแกนเว็บของเราดูอีกครั้งก็ได้ ว่ามีความผิดปกติหรือไฟล์อะไรแปลกๆ เข้ามาในระบบของเรามั้ย หากเจอไฟล์นั้นก็ให้เช็คดูว่าเข้ามาสู่เว็บเราตอนไหน ก็ให้ทำการเอาไฟล์ที่ได้ backup ไว้ก่อนหน้านั้นไปใส่แทน แต่นั้นหมายถึงคุณต้องแน่ใจก่อนว่าไฟล์แบ็คอัพที่นำไปลงต้องปลอดภัย เพราะหากไฟล์ที่เราลงไปนั้นลบไวรัสออกไม่หมด เมื่อเวลาผ่านไปอาการของเว็บที่โดนแฮกก็จะกลับมาอีกนั่นเอง

การทำธุรกิจผ่านทางเซ้บไซต์หรือธุรกิจอะไรก็แล้วแต่คุณต้องมีความจริงจัง รวมไปถึง การดูแลเว็บไซต์ wordpress  ของคุณให้ปลอดภัยเสมอ หลักการง่ายๆ คือการหมั่นอัพเดทเวอร์ชั่นของ WorldPress, Theme และ Plug-in ให้ใหม่อยู่เสมอ การใช้ธีมเถื่อนหรือซื้อมาจากแหล่งที่ไม่น่าเชื่อถือนั้นไม่สมควรอย่างยิ่ง แต่อย่างที่รู้กันดีว่าบนโลกออนไลน์ไม่มีอะไรที่ปลอดภัยแน่นอน 100% ดั้งนั้นคุณควรหมั่นที่จะแบ็คอัพเว็บของตัวเองไว้บ่อยๆ ถือเป็นการดีที่สุดนั่นเอง