- เปลี่ยนการตั้งชื่อ Username ในหน้าล็อกอินเข้า wp-admin
ปกติแล้วคนส่วนมากจะนิยมใช้ username Admin ซึ่งทาง hacker จะเดาชื่อ username และเข้าไปสุ่มรหัสผ่านได้ง่ายขึ้น ควรเปลี่ยน username ให้เป็นชื่ออื่น หรือใช้เป็นชื่ออีเมลก็ได้เช่นกัน
2. ใช้ระบบการยืนยันแบบ 2 ขั้นตอน 2 Factor Authentication (2FA)
ในการล็อคอินหน้า admin ด้วย 2 Factor Authentication (2FA) ท่านสามารถดาวน์โหลดปลั๊กอินที่รองรับ 2 Factor Authentication อย่างเช่น Google Authenticator ลิงค์ https://wordpress.org/plugins/google-authenticator/
3. จำกัดการ Log in หน้า wp-admin เป็นจำนวนมาก
ส่วนมากจะใช้ Bot ในการโจมตีหน้าล็อกอินโดยใช้วิธีสุ่มรหัสผ่าน แนะนำให้จำกัดการ Log in เช่น Log in ไม่เกิน 3 ครั้ง หลังจากนั้นระบบจะทำการบล็อก IP ชั่วคราว สามารถหาปลั๊กอินชื่อ Limit Login Attempts ได้จากลิงค์ข้างล่างนี้
https://th.wordpress.org/plugins/limit-login-attempts-reloaded/
https://th.wordpress.org/plugins/wp-limit-login-attempts/
4. กำหนดสิทธิ์ Admin User แก้ไขไฟล์ที่เกี่ยวข้องกับการติดตั้ง WordPress
การกำหนดสิทธิ์ Admin User ไม่ให้แก้ไขไฟล์ต่างๆ ที่เกี่ยวข้องกับการติดตั้ง WordPress หาก hacker สามารถ Access เข้าถึง Admin User เหล่านั้นได้ก็สามารถเข้าไปตั้งค่าต่างๆ ในหลังบ้านของ WordPress ได้ การแก้ไขให้ทำการใส่โค้ดบรรทัดท้ายสุดของไฟล์ wp-config.php
define(‘DISALLOW_FILE_EDIT’, true);
5. การติดตั้ง SSL Certificate ให้กับเว็บไซต์
การติดตั้ง SSL จะส่งผลให้เว็บไซต์ของท่านมีการรับส่งข้อมูลอย่างปลอดภัย การติดตั้ง SSL Certificate สามารถติดตั้งแบบฟรี (Let ‘s encrypt) หรือแบบเสียเงิน สามารถเข้ารหัสการรับส่งข้อมูลได้เหมือนกัน
6. หาดาวน์โหลดธีมและปลั๊กอินจาก Official Site หรือแหล่งที่หน้าเชื่อถือเท่านั้น
ไม่แนะนำให้โหลด ธีมและปลั๊กอินจากแหล่งที่ไม่ค่อยหน้าเชื่อถือ เช่น เว็บไซต์ที่แจกธีมและปลั๊กอินฟรี หรือเว็บไซต์ bittorrent ฟรีที่มีให้ดาวน์โหลดฟรี ส่วนมากจะพบไฟล์ที่ไม่พึงประสงค์ก็เป็นได้
7. แก้ไขคำขึ้นต้น (prefix) ของตารางฐานข้อมูล
ในขั้นตอนการติดตั้ง wordpress ที่จะมีให้กำหนดคำขึ้นต้น(prefix) ตารางข้อมูล ทาง WordPress จะใช้เป็น Default คือ “wp_” ทาง hacker จะคาดเดาได้ง่ายว่าฐานข้อมูลมีคำขึ้นต้นเป็น “wp_” แนะนำให้เปลี่ยนเพื่อความปลอดภัย วิธีการเปลี่ยนสามารถดูได้ที่ลิงค์นี้ https://help.one.com/hc/en-us/articles/360002107438-Change-the-table-prefix-for-WordPress-
8. หมั่นตรวจสอบเมนู User บน WordPress ว่ามี User แปลกปลอมหรือไม่
ตรวจสอบในเมนู User บน WordPress หากพบ User แปลกปลอม ซึ่งทางเราก็ไม่ได้มีการเพิ่ม User เหล่านั้น ให้สันนิษฐานว่าระบบของท่านโดน hack แล้ว ให้รีบเปลี่ยนรหัสผ่าน Admin User และรหัสเข้าถึง Mysql Database และรหัสผ่าน hosting ต่างๆ ทันที ควรจะเปลี่ยนรหัสผ่านที่มีความคาดเดาได้ยาก
9. อัพเดตธีมและปลั๊กอิน WordPress ให้เป็นเวอร์ชั่นล่าสุดเสมอ
การอัพเดตธีมและปลั๊กให้เป็นเวอร์ชั่นล่าสุดเพื่ออุดช่องโหว่และข้อบกพร่องด้านความปลอดภัยต่างๆ ถ้าอยากให้ wordpress ของท่าน ปลอดภัย ให้ลองหาปลั๊กอินเกี่ยวกับด้านความปลอดภัยมาเสริม เพื่อป้องกันมัลแวร์
https://wordpress.org/plugins/tags/security/
10. หาปลั๊กอิน WordPress ที่ชื่อ WordFence มาช่วยในการป้องการการโจมตีจาก hacker
ปลั๊กอิน Wordfence Security คือ ปลั๊กอินที่สามารถป้องกันการโจมตีจากแฮกเกอร์ เช่น หากมีการแอบแก้ไขไฟล์ หรือแอบฝังไฟล์โดยแฮกเกอร์ ปลั๊กอินสามารถสแกนหาแล้วจัดการแก้ไขได้ทันที หรือสามารถดาวน์โหลดได้ที่นี่ https://wordpress.org/plugins/wordfence/ ส่วนวิธีการติดตั้งและตั้งค่าได้ที่ลิงค์ https://www.wpbeginner.com/plugins/how-to-install-and-setup-wordfence-security-in-wordpress/
11. ลบธีม และ ปลั๊กอินที่ไม่ได้ใช้งาน
ปกติธีมและปลั๊กอินที่ติดตั้งหลายๆ อัน จะมีบางอันที่ไม่ได้ใช้ไปนานๆ แล้วไม่ได้มีการ อัพเดต หรือยกเลิกการสนับสนุน จากผู้พัฒนาแล้ว อาจจะมีช่องโหว่ให้ผู้ที่ไม่ประสงค์ดี เจาะธีมหรือปลั๊กอินที่ไม่มีการอัพเดต แนะนำให้ลบธีมและปลั๊กอินที่ไม่ได้ใช้ได้งานออก
12. ติดตั้งระบบ reCAPTCHA เพื่อป้องกันสแปม Bot
หน้า contact from หรือ หน้า Log in เข้าระบบต่างๆ จะไม่มี reCAPTCHA เพื่อป้องกันระบบ ปลั๊กอิน reCaptcha จะเป็นระบบรักษาความปลอดภัยที่มีประสิทธิภาพที่ปกป้องกับระบบจากสแปม Bot สามารถหาติดตั้งได้จากปลั๊กอิน WordPress ที่ลิงค์ https://th.wordpress.org/plugins/google-captcha/