เว็บไซต์ที่ทำด้วย WordPress หรือแม้แต่ทำด้วยเพลตฟอร์มอื่นๆ ก็มักจะเจอปัญหาเว็บไซต์โดนแฮ็คบ่อยครั้ง, ส่วนใหญ่แล้วล้วนมาจาก การที่ผู้ดูแลเว็บไซต์เอง ที่ไม่ทำตามคำแนะนำของผู้พัฒนาเพลตฟอร์มนั้นๆ เช่น ไม่ได้อัพเดตระบบมาค่อนข้างนาน ก็เสี่ยงที่จะโดนแฮ็คได้ครับ หรือโดนแฮ็คเพราะตั้งรหัสง่ายเกินไป เช่น 1234 พอโอนแฮ็คก็โทษคนทำเว็บว่า ทำเว็บมาไม่ดี เลยโดนแฮ็ค ในบทความนี้ ผมจะมาอธิบายว่า สาเหตุที่เว็บที่ทำด้วย WordPress โดน Hack! เป็นเพราะอะไรกันแน่.
1. WordPress, Plugin, Theme
WordPress เป็น CMS ที่มีการพัฒนาอยู่ตลอดเวลา ทุกๆการอัพเดตเวอร์ชั่น ก็มักจะมีการอัพเดตเรื่องความปลอดภัย(Security) ผู้ดูแลเว็บไซต์เห็นมีเวอร์ชั่นล่าสุดก็เฉยเมยไป คิดว่าไม่ได้กระทบอะไรมากมาย แต่! หารู้ใหมว่าคุณกำลังคิดผิด เพราะการที่ผู้ดูแลเว็บไซต์ ไม่ได้อัพเดตเป็นเวลานาน ก็หมายความว่า ไม่ได้ปรับปรุงเรื่องความปลอดภัยเลย ก็ไม่แปลจะมีการโดนแฮ็ค
เช่นเดียวกันกับ Plugin, Theme ก็จะมีการอัพเดตเวอร์ชั่นกันบ่อย ส่วนหนึ่งก็เป็นการอัพเดตเรื่องความปลอดภัยนั้นเอง เพราะฉะนั้นผมขอฝากไปยังผู้ดูแลเว็บ WordPress ด้วยครับ อัพเดตให้เป็นเวอร์ชั่นล่าสุดเถอะครับ เพื่อความปลอดภัยของเว็บไซต์ของคุณ
– โปรดระวัง ก่อนที่จะอัพเดต WordPress, Plugin, Theme ควรทำการสำรองข้อมูลเว็บไวต์ก่อน(BackUp) เพื่อว่าบางปลั๊กอิน หลังอัพเดตแล้วทำให้เว็บไซต์แสดงผลผิดเพี้ยน
2. ตั้งรหัสผ่านนง่ายเกินไป
อีกหนึ่งปัญหาของคนไทยคือ ชอบตั้งรหัสผ่านง่ายเกินไป เช่น 1234, admin/admin ก็เข้าใจได้ว่าเพื่อความจำได้ง่ายๆ แต่รู้ใหมครับ การที่เว็บไซต์ของเราโดนแฮ็ค ไม่ใช่เพราะคนที่เป็น Hacker ลงมือทำเอง แต่เค้ามีสคริปต์หรือ bot ที่เค้าเขียนขึ้นมาให้ไปเจาะเว็บไซต์ต่างๆ อาจจะโดยการสุ่มรหัสผ่านเป็นพันๆ หรือหมื่นครั้ง ถ้าเราตั้งรหัสผ่านง่ายๆ แน่นอนไม่นาน bot ก็หารหัสของเราเจอในที่สุด
ขอแนะนำเว็บไซต์ www.lastpass.com/password-generator เครื่องมือสร้างรหัสผ่านที่ปลอดภัย อาจจะจำยากนิดนึง แต่รับรองรับเว็บไม่โดนแฮ็คแน่นอนครับ ถ้าจะยิ่งดี ควรตั้ง Passwor Length หรือความยาวของรหัสผ่านให้เยอะๆครับ
3. ติดตั้ง Plugin ด้านความปลอดภัย
WordPress มีปลั๊กอินด้านความปลอดภัยหลายตัวเลยครับ ตัวที่ผมใช้อยู่ชื่อปลั๊กอินคือ All in one Security ซึ่งเป็นปลั๊กอินค่อนข้างครอบเครื่อง และที่สำคัญฟรี!
4. ติดตั้ง SSL หรือ https
เคยสังเกตใหมครับ เวลาเข้าเว็บไซต์ ด้านบนซ้ายจะมีรูปแบบของ url คือ http และ htts( มี S ) พร้อมมีคำว่า “ปลอดภัย” กำกับไว้ เพื่อให้การรับรองว่าเว็บไซต์นี้ปลอดภัย ซึ่ง SSL จะช่วยเข้ารหัสข้อมูลเว็บไซต์เรา ซึ่งหลายๆโฮสติ้งจะมีบริการ SSL แบบฟรี ลองใช้ดูนะครับ
5. เลือก Hosting ที่มีคุณภาพ
หลายๆคน เวลาเลือกซื้ออะไรบางอย่าง มักจะเปรียบเทียบเรื่องราคา อันใหนถูกก็เอาอันนั้นเลย แต่ผมแนะนำว่า ให้ดูที่สเปคหรือรายละเอียดของโฮสติ้งก่อนเลยครับ โดยเฉพาะเรื่อง Security
6. BackUp เว็บไซต์เป็นประจำ
WordPress มีปลั๊กอินสำหรับ BackUp ค่อนข้างใช้งานง่าย ตัวที่ผมชอบมากคือ All-in-One WP Migration แน่นอนครับใช้งานได้ฟรีๆ เราสามารถ Export ตัวเว็บไซต์ WordPress ของเรา และโหลดเก็บไว้ในเครื่องเรา เผื่อสมมติเกิดเหตุเว็บโดน Hack จริงๆ เราจะได้เอากลับมาได้เร็วๆ ซึ่งเหมาะสำหรับผู้ดูแลเว็บไซต์ที่ไม่ต้องการปวดหัวเวลาเจอปัญหา!
สรุปบทความ
ก็ฝากสำหรับคนที่ดูแลเว็บไซต์ WordPress อยู่ ลองทำตามนี้ดูนะครับ รับรองว่าเว็บไซต์ของท่านปลอดภัยขึ้นแน่นอนครับ