1. ไม่เคยอัพเดต WordPress,Plugin และ Theme
2. ตั้ง user pass ที่ง่ายเงินไป
3. ใช้ Plugin และ Theme ที่ไม่ปลอดภัย
4. ไม่ได้ติดตั้ง Plugin Security
5. ตั้ง Permission ไม่ถูกต้อง เช่น 777
6. ไม่ได้ลบ User ที่ไม่ได้ใช้
วิธีป้องกันไม่ให้ WordPress โดน Hack หรือ โดนไวรัส
1. อัพเดต WordPress, Theme และ Plugin
WordPress,Theme,Plugin จะมีเวอร์ชั่นใหม่ออกมาตลอด แต่ละครั้งที่มีการอัพเดต ส่วนใหญ่จะเป็นการเพิ่มฟีเจอร์ใหม่ แก้ไขปัญหาเดิม และบางครั้งจะมีการอัพเดตเรื่อง Security ด้วย ด้วยเหตุนี้จึงควรเข้ามาเช็คตลอด ถ้ามีเวอร์ชั่นใหม่ก็ควรกด Update อย่างน้อยเข้ามาดูเดือนละ 1 ครั้ง อย่าทิ้งช่วงให้ห่างมากเกินไป
2. ตั้งรหัสผ่านให้ยากต่อการคาดเดา
ถ้าเรายังจำรหัสผ่านอยู่แสดงว่า เรายังตั้งง่ายเงินไป รหัสผ่านประเภท admin, 123456, abcdefg เหล่านี้ ควรเลิกได้แล้วครับ และไม่ต้องห่วงว่าตั้งรหัสผ่านยากๆ แล้วจะจำไม่ได้ เพราะเบราเซอร์มีระบบจดจำรหัสผ่านอยู่แล้วครับ
ผมแนะนำให้ใช้ระบบบ Password generator tool ของ LastPass ในการสร้างชุดรหัสผ่าน โดยเราสามารถกำหนดรูปแบบและความยาวได้ครับ
3.เลือกใช้ Theme และ Plugin ที่มีคุณภาพ
Theme และ Plugin ที่ใช้ ถ้าเป็นเวอร์ชั่นฟรี ให้ดาว์นโหลดผ่านเว็บไซต์ wordpress.org เท่านั้น และหลีกเลี่ยง Theme และ Plugin เถื่อน เพราะมันจะมีของแถมที่เราไม่ต้องการเสมอ
วิธีพิจารณาเลือก Theme และ Plugin
เลือกจากที่ยอดดาว์นโหลดเยอะๆ บ่งบอกถึงเป็น Theme และ Plugin ที่ดี
Rated : เลือกดูปลั๊กอินที่มีเรทรีวิว 5 ดาว และมีคนเขียนรีวิวสวยๆ
Last updated : ดูว่าอัพเดตครั้งล่าสุดเมื่อไหร่ ซึ่งก็ไม่ควรเกิน 1 ปี
หารีวิวตามเว็บไซต์ต่างๆ ใน Youtube หรือใน facebook ว่าเค้าใช้แล้วดีหรือไม่ดี มีปัญหาอะไรกันบ้าง
ถ้าเป็น Theme และ Plugin แบบ Premium ที่ต้องเสียเงินซื้อ แนะนำให้ดูที่มีเรทติ้งและยอดขายสูงๆ
วิธีเลือก WordPress Theme คุณภาพ
วิธีเลือก WordPress Plugin คุณภาพ
10 ธีม WordPress สวยๆ ที่ขายดีที่สุดใน Themeforest
4. ติดตั้ง Plugin ด้าน Security
Plugin ด้าน Security เป็นหนึ่งในปลั๊กอินที่ควรติดตั้ง ตัวที่ผมใช้บ่อยสุดชื่อ All In One WP Security & Firewall มีการตั้งค่าละเอียดและครอบคลุมพอสมควร เป็นหนึ่งใน 11 Plugin WordPress ที่ผมแนะนำ ทุกเว็บไซต์ควรติดไว้
จุดเด่นของปลั๊กอิน
ป้องกันบัญชีผู้ใช้
ป้องกันการ Login
ป้องกันการสมัครสมาชิก
ป้องกันฐานข้อมูล
ป้องกันไฟล์ต่างๆ ของเว็บไซต์
ระบบสำรองไฟล์ .htaccess และ wp-config
ระบบกรองบัญชีแปลกปลอม (Blacklist)
ระบบ Firewall
ระบบป้องกันการโจมตีผ่านระบบ Login
ระบบสแกนเนอร์
ระบบกรอง Spam comment
ระบบป้องกันการ Copy ผ่านหน้าเว็บ
ลบ Theme และ Plugin ที่ไม่ได้ใช้งาน
Theme และ Plugin ที่ถูกติดตั้งแต่ไม่ได้ใช้งาน อย่าเสียดายที่จะลบทิ้งครับ นอกจากมันทำให้ฐานข้อมูลบวมแล้ว ยังเปลืองพื้นที่ของโฮสติ้งด้วยครับ และอาจจะเป็นช่องโหว่ที่จะโดนแฮกเข้ามาก็ได้ครับ
ผมแนะนำให้ใช้ “วิชาตัวเบา” หมายถึงพยายามทำให้เว็บไซต์เราเบาที่สุดเท่าที่จะทำให้ เพราะเวลาโดนแฮก หรือจะย้ายเว็บไซต์ จะทำได้ไวขึ้นเยอะครับ ถ้าเราลบทิ้งพวกขยะต่างๆ
5. BackUP บ่อยๆ
เรื่องการสำรองข้อมูล หรือ การ BackUP เว็บไซต์ ผมอยากให้เพื่อนๆ ทำเป็นประจำหรือทุกครั้งหลังจากที่อัพเดตข้อมูล การสำรองข้อมูล ถือเป็นวิธีที่ประหยดัที่สุด ปลอดภัยที่สุดแล้วครับ เวลาเว็บไซต์มีปัญหา ไม่ว่าจะโดนแฮก หรือจะพังด้วยเหตุผลอื่น เรายังมีไฟล์สำรองที่พร้อมกู้คืนในไม่กี่นาที
วิธี BackUP เว็บไซต์ WordPress ไม่ยากครับ มีปลั๊กอินหลายตัวเลยที่น่าสนใจ ส่วนตัวผมชอบใช้ All-in-One WP Migration รู้สึกว่าใช้ง่ายดี ตั้งค่าไม่เยอะ
All-in-One WP Migration
UpdraftPlus WordPress Backup Plugin
Duplicator
BackWPup
Backup Buddy
6. ติดตั้งระบบ reCAPTCHA ทุกแบบฟอร์ม
reCAPTCHA คือ ระบบป้องกันเว็บไซต์ของเราจาก Spam หรือ Bot ใช้ระบบการวิเคราะห์ความเสี่ยงขั้นสูง พัฒนาโดย Google ช่วยกรองสแปมหรือบอต ที่มาก่อกวน หรือมีวัตถุประสงค์ไม่ดี
ทุกจุดที่มี Form ควรติดระบบ reCaptcha ทุกครั้งครับ ปลั๊กอินสร้างแบบฟอร์มน่าจะมีฟังก์ชันนี้เกือบทุกตัวอยู่แล้ว
มันจะช่วยลดพวก Spam Mail ที่ถูกยิงมาจากพวก Form ต่างๆ ที่อยู่ในหน้าเว็บ
7. ติดตั้ง SSL หรือ https
SSL ทำหน้าที่ในการเข้ารหัสข้อมูล ช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ ให้มีความปลอดภัยมากขึ้นจากการแอบขโมยข้อมูล ยิ่งเป็นเว็บไซต์ E-commerce จำเป็นต้องใช้อย่างยิ่ง โดยส่วนใหญ่โฮสติ้งจะมี Free SSL ให้เราใช้อยู่แล้ว คือ Let’s Encrypt
สังเกตด้านบนซ้ายของเบราเซอร์ ด้านหน้าชื่อ Domain จะมีรูปแม่กุญแจสีเขียวๆ https
มันส่งผลในเรื่อง “ความน่าเชื่อถือ” ด้วยครับ ลองสังเกตเว็บไซต์ที่ไม่ได้ติดตั้ง SSL ด้านบนซ้ายของเบราเซอร์จะแจ้งเตือน สีแดงๆ “Your connection to this site is not sere” หรือบางที ภาษาไทย จะเขียนว่า “ไม่ปลอดภัย” ทำให้ดูไม่ค่อยน่าเชื่อถือ
และยังส่งผลในเรื่อง “SEO” เว็บไซต์ไหนที่ติดตั้ง SSL ย่อมดูน่าเชื่อถือกว่าอยู่แล้ว ส่งผลให้ประสบการณ์ในการท่องเว็บดีไปด้วย และได้เปรียบในเรื่องการจัดอันดับ