ผมได้ยินมาบ่อยว่า ใช้ WordPress โดน Hack โดนไวรัสง่าย แต่จริงๆแล้ว ไม่ว่าจะเป็นเพลตฟอร์มอะไร ก็มีสิทธิ์โดนแฮกทั้งนั้น ถ้าเราไม่รู้วิธีป้องกัน อย่างถูกวิธี ซึ่งสาเหตุที่เว็บไซต์ที่ทำด้วย WordPress โดนแฮก มาจากหลายปัจจัย ถ้าเรารู้วิธีป้องกัน ก็ใช่ว่าจะแฮกกันได้ง่ายๆ
เป็นธรรมดาที่เพลตฟอร์มถูกใช้งานอย่างแพร่หลายทั่วโลก รวมถึงในไทยก็ใช้กันเยอะมาก ถูกเพ่งเล็งเป็นพิเศษจากนักทดสอบระบบ หรือแฮกเกอร์ที่ประสงค์ร้าย
ป้องกัน WordPress ไม่ให้โดนแฮก ง่ายกว่ากู้คืนอยู่แล้วครับ
ในบทความนี้ ในฐานะที่ผมเป็นบริษัทรับทำเว็บไซต์อยู่แล้ว และใช้ WordPress ในการทำเว็บให้ลูกค้าค่อนข้างบ่อย จึงอยากจะมาแชร์ ทำความเข้าใจ และแนะนำวิธีป้องกัน WordPress ไม่ให้โดนแฮก
ทำไม WordPress ถึงโดนแฮก?
ในปี 2021 WordPress ครองส่วนแบ่งมากถึง 43% ของเว็บไซต์ทั่วโลก และในตลาด CMS ด้วยกัน ครองส่วนแบ่งถึง 65.1% ซึ่งตัวเลขนี้ บ่งบอกถึงความ Popular หรือ ยอดนิยม จากอดีต WordPress เป็นได้แค่เว็บบล็อค แต่ปัจจุบันเรียกได้ว่าเป็น Framework นึงเลยก็ว่าได้ สามารถพัฒนาเว็บไซต์ทุกรูปภาพ *ขึ้นอยู่กับความสามารถของคนทำด้วยนะ
พอคนใช้เยอะ ก็แน่นอนแหละ เป็นที่จับตามองของเหล่าแฮกเกอร์ประสงค์ร้าย หรือแม่กระทั้งผู้ทดสอบระบบ หรือคนที่ร้อนวิชา อยากจะลอง
สาเหตุที่ WordPress โดนแฮกบ่อย มีหลายปัจจัย ส่วนใหญ่มาจากการที่ผู้ดูแลเว็บไซต์ ประมาทหรือไม่มีความรู้เกี่ยวกับการดูแลเบื้องต้น
เช่น ไม่ได้อัพเดตระบบ WordPress และ Plugin เป็นระยะเวลานาน ก็เสี่ยงที่จะโดนแฮก เพราะการอัพเดตแต่ละครั้ง มันหมายถึงการอัพเดตเรื่อง Security ไปในตัวด้วย
เว็บที่โดนแฮก โดนไวรัส อาการเป็นอย่างไร?
เข้าเว็บไซต์ครั้งแรก ถูก redirect ไปลิงคือะไรไม่รู้
เบราเซอร์ขึ้นหน้าสีแดง ด้วยข้อความ “The site ahead contains mallware” แสดงว่าเว็บไซต์เรา อาจจะมีไวรัส หรือ URL ที่ไม่พึงประสงค์แผงอยู่
เวลาค้นหาใน Google จะมีข้อความใต้โดเมนว่า “This site may be hacked.“
Google Web Master tools แจ้งเตือนว่าเว็บไซต์อาจจะโดนแฮก
9 วิธี การป้องกันเว็บไซต์ ไม่ให้โดนแฮก
1. อัพเดต WordPress และ อัพเดต Plugin
WordPress จะมีการอัพเดตเวอร์ชั่นเป็นช่วงๆ แต่ละการอัพเดต จะมีการเพิ่มฟีเจอร์ใหม่ๆ แก้ไขปัญหา(Bug fixes) การปรับปรุงประสิทธิภาพให้ดีขึ้น และที่สำคัญ อาจจะมีการอัพเดตในเรื่องความปลอดภัย ปิดช่องโหว่ต่างๆ ที่มีความเสี่ยงที่จะโดนแฮก
เช่นเดียวกันกับ Plugin ก็จะมีเวอร์ชั่นใหม่ๆ คลอดออกมาตลอดเวลา ซึ่งแต่ละการอัพเดต ก็จะมีการเพิ่มฟีเจอร์ แก้ไขปัญหา(Bug fixes) ปรับปรุงประสิทธิภาพให้ดีขึ้น และอัพเดตในเรื่องความปลอดภัย ปิดช่องโหว่ต่างๆ
ห้ามทิ้งช่วงการอัพเดตให้มันห่างเกินไป ควรอัพเดตทันที ที่มีเวอร์ชั่นล่าสุดออกมา หากทิ้งช่วงนานๆ ก็เสี่ยงที่จะโดนแฮกได้
หลายคนบ่นว่าทำไม WordPress โอนแฮกง่ายจัง? จริงๆ ระบบของเวิร์ดเพรสเองมันดีมากอยู่แล้ว สาเหตุหลักมาจากที่ผู้ดูแลเว็บไซต์เอง ที่ดูแลได้ไม่ดี หรือไม่ได้อัพเดตเวอร์ชั่นเป็นระยะเวลานาน
วิธีอัพเดต WordPress
คลิกที่ Please update now
จะมีปุ่ม Update Now สีฟ้าๆ ให้คลิกอัพเดตเลยครับ …แต่ช้าก่อนคับ
ก่อนที่จะอัพเดต ต้อง BackUP WordPress ก่อนทุกครั้ง เผื่อหลังจากอัพเดตแล้วมันพัง จะได้ไม่เจ็บตัว
วิธีอัพเดต Plugins
ปลั๊กอินในเว็บไซต์ WordPress บางเว็บไซต์มีปลั๊กอินเยอะ บางเว็บมีน้อย ขึ้นอยู่กับคนทำเว็บ ว่าจะใส่อะไรลงไปบ้าง
อันดับแรก ก่อนที่จะอัพเดตปลั๊กอิน ควรสำรองข้อมูล BackUP ก่อนเสมอ หากใช้ปลั๊กอิน All in one WP Migration ในการสำรอง ก็จะง่ายขึ้น
แนะนำว่า อัพเดตทีละตัว น่าจะปลอดภัยที่สุด เพราะบางกรณีบางเคส ปลั๊กอินเวอร์ชั่นล่าสุด อาจจะไม่เข้ากับ Theme ที่เราใช้อยู่ ทำให้เกิดการตีกัน ทำให้เว็บไซต์พังได้
2. เลือกโฮสที่มีคุณภาพ และมีระบบป้องกันที่ดี
Hosting หรือ โฮสติ้ง, แชร์โฮส, คลาวด์โฮส, วีพีเอส ต่างก็เป็นพื้นที่สำหรับติดตั้งตัวเว็บไซต์ การเลือกโฮสติ้งที่มีคุณภาพ สำหรับผม ถือว่าเป็นปัจจัยหลักในการตัดสินค้า อย่าดูแต่ราคาเพียงอย่างเดียว
บางโฮส ราคา 500บาท คุณภาพย่อมสอดคล้องกับราคา อยากให้ลองศึกษาแต่ละแพคเกจ ว่าเค้าให้อะไรกับเรามาบ้าง โฮสที่แพงๆ อาจหมายถึง เค้ามีระบบ Security ที่ดีเยี่ยมก็เป็นได้
เลือก Host เจ้าใหนดี? วิธีเลือกโฮสที่เหมาะกับ WordPress
- โฮสที่มีระบบ Security ที่มีคุณภาพ สามารถป้องกันการ Hack ได้หลายรูปแบบ
- แนะนำให้ใช้ Hosting / Server ที่ติดตั้ง PHP version 7.3 ขึ้นไป และ MySQL 5.6 หรือ MariaDB 10.1 ขึ้นไป
- มี SSL ให้ใช้
- หาโฮสที่รองรับ WordPress
- มีทีม Support ที่แก้ปัญหาได้รวดเร็ว
3. ตั้งรหัสผ่านให้ยากต่อการคาดเดา
เมื่อวันที่ 2 พฤษภาคม ที่ผ่านมา ถือเป็นวัน World Password Day ซึ่งก็จะมีสถิติต่างๆ ออกมาให้เห็นที่เกี่ยวข้องกับการตั้งรหัสผ่าน
ทราบใหมครับว่า มีผู้ใช้จำนวนถึง 25% ที่ไม่เคยเปลี่ยนรหัสผ่านเลย และยังมีอีกผู้ใช้ส่วนใหญ่ ตั้งรหัสผ่านที่ง่ายถึงง่ายมาก เช่น 1234, abcd, admin, webmaster ง่ายต่อการเดา
และยังมีสถิติบอกอีกว่า มากกว่า 50% ใช้รหัสผ่านเดียวกัน ใช้ทุกบัญชีที่มีอยู่บนเว็บ
นี่เป็นปัญหาใหญ่ทางด้าน Cyber Security เลยนะ ต่อให้ระบบโฮสติ้ง หรือ Server มีระบบความปลอดภัยที่แน่นหนาแค่ใหน ถ้าตกม้าตายง่ายๆ ด้วยการตั้งรหัสผ่านที่แสนจะเดาง่าย ก็มีสิทธิ์โดนแฮกกันง่ายๆ
การตั้งรหัสผ่านที่ยากๆ ทำให้ยากต่อการ Crack หรือพยายามเข้าสู่ระบบ
แนะนำว่า ให้ตั้งรห้สผ่านที่ยากถึงยากที่สุด ไม่มีใครจำได้ แม้กระทั่งตัวเอง < _ >
การหลีกเลี่ยง การตั้งรหัสผ่านง่าย ตั้งรหัสผ่านเหมือนกันทุกเว็บที่ใช้งาน มันช่วยให้เว็บไซต์เราโดนแฮกยากขึ้น และปลอดภัยมากขึ้น
แล้วรหัสผ่านที่แข็งแกร่งที่สุด มีหน้าตาอย่างไร?
เช่น
- cwqB%yjQ!TCe
- ^uRv8Lc&jRVx
- pOl@hU*K0Hqr
ผมชอบใช้เว็บไซต์ LastPass ในการสร้างชุดรหัสผ่าน เพื่อให้มั่นใจว่า เว็บไซต์ WordPress ของเราปลอดภัย
4. อัพเดตและเลือกธีม ที่มีคุณภาพ
ทุกธีมที่เว็บเราใช้ จะมีการแจ้งเตือน เมื่อมีเวอร์ชั่นใหม่ออกมา ควรอัพเดตธีมทุกครั้งที่มีเวอร์ชั่นใหม่ ซึ่งโดยปกติแล้ว เวอร์ชั่นใหม่ หมายถึงการอัพเดตฟีเจอร์ใหม่ๆ การอัพเดตด้าน Security การอัพเดตธีมให้รองรับ WordPress เวอร์ชั่นล่าสุดด้วย
แต่ก่อนที่จะอัพเดตธีม ควรเช็คก่อนว่า ธีมที่เราใช้ รองรับ WordPress ล่าสุดหรือเปล่า และก่อนที่จะอัพเดตจริงๆ ควรสำรองเว็บ หรือ BackUP ก่อนสักครั้ง
หากใครที่ซื้อ Theme WordPress จากเว็บไซต์ Themeforest ระบบจะแจ้งเตือนทางอีเมล์เมื่อมีเวอร์ชั่นใหม่ล่าสุด
ก่อนที่จะตัดสินใจซื้อ Theme WordPress ควรดูจากหลายปัจจัย
- เลือก Theme ที่มีการอัพเดตบ่อยๆ
- เลือก Theme ที่มียอดขายเยอะ
- เลือก Theme ที่มี Rating สูงๆ
- หาข้อมูลก่อนว่า ทีม Support ช่วยเหลือได้เร็วแค่ใหน
- สุดท้าย ควรพิจารณาที่คุณภาพ ในภาพรวม
5. ติดตั้ง Plugin ด้าน Security
การติดตั้ง Plugin ด้าน Security เพื่อป้องกันพวก Malware สแปม ก็เป็นวิธีที่ใช้ได้ผลในระดับนึง สามารถลดความเสี่ยงลงได้ และช่วยเพิ่มความแข็งแกร่งให้กับ WordPress ของเรา
ปลั๊กอินที่ผมใช้อยู่บ่อยๆ และมันเวิร์คมากๆ ปลั๊กอิน All In One WP Security & Firewall มีฟีเจอร์ค่อนข้างครบ ตั้งแต่ การตั้งค่าความปลอดภัยให้กับ Account, Login, Registration, Database, Files, Blacklist, Firewall, Span etc..
แต่ละเรื่อง ระบบจะแนะนำและมีการให้คะแนน ข้อใหนเราทำตาม เราก็จะได้คะแนน Security เพิ่มขึ้น แนะนำว่า ให้ศึกษาคู่มืออย่างละเอียด ก่อนที่จะติ๊กๆ ตามใจชอบ แต่อย่าลืมนะครับ ควร BackUP ก่อนทุกครั้ง
6. ลบ Theme และ Plugin ที่ไม่ได้ใช้งาน
Theme และ Plugin ของ WordPress มีมากมายมหาศาล บางคนถึงกับทดลองใช้ธีมฟรี หรือไปโหลดมาติดตั้ง แล้วดูว่าหน้าตาเป็นอย่างไร ถ้าไม่ชอบก็เปลี่ยนเป็นธีมอื่น และ Plugin ก็มีเยอะมากๆ เช่นเดียวกัน ปลั๊กอินประเดียวกัน ก็มีหลายยี่ห้ออีก
Theme
ติดตั้งธีมเฉพาะที่ต้องใช้จริงๆ เท่านั้น ตัวใหนที่ลงแล้วไม่ได้ใช้ ลบทิ้งซะดีกว่า นอกจากเปลืองพื้นที่ Disk ของโฮสติ้ง ยังมีความเสี่ยงที่จะโดน Malware ฝังก็เป็นไปได้
Plugin
Plugin WordPress มีเยอะเหลือเกินในปัจจุบัน แต่ละประเภท แต่ะลหมวด จะมีหลากหลายผู้พัฒนา หรือหลายยี่ห้อ เช่น ปลั๊กอินทางด้านการเก็บแคช(Cache) จะมียี่ห้อดังๆ เช่น W3 Total Cache, WP Fastest Cache, WP Rocket, etc…
เลือกใช้แค่ตัวเดียวในแต่ละหมวด หากติดตั้งแล้วไม่ได้ Active Plugin ไว้ ก็แนะนำว่า ถอนการติดตั้งดีกว่าครับ
ควรเลือกใช้ Plugin ที่อัพเดตล่าสุดไม่เกิน 1 ปี
7. ฝึก BackUP บ่อยๆ
ที่ผมพูดถึงในข้อ 1-6 เป็นแค่วิธีนึงในการป้องกัน แต่ก็ไม่ได้ยืนยันว่า เว็บไซต์ของคุณจะปลอดภัยต่อไวรัส หรือ มัลแวร์ 100%
WordPress จะมีทั้งไฟล์ Core ของระบบเอง มีไฟล์ของ Plugin และ Theme ซึ่งเราไม่รู้ว่า ช่องโหว่จะอยู่ที่จุดใหน และเมื่อเว็บไซต์เราถูก Spam หรือ ไวรัส หรือ Malware การแก้ไขปัญหา ย่อมใช้เวลาพอสมควร หากไม่ชำนาญ WordPress ก็ต้องจ้างคนที่ทำเว็บไซต์ให้เรา
การที่เรารู้วิธี BackUp เว็บไซต์ ถือเป็นการป้องกันวิธีนึง สามารถสำรองเว็บไซต์เราได้ 100% เมื่อไหร่ที่โดนไวรัสโจมตี เราสามารถกู้คืนได้ตลอดเวลา
ปลั๊กอินสำหรับแบ็คอัพเว็บไซต์ ที่ยอดนิยมที่สุด และผมเองก็ใช้อยู่ คือ All-in-One WP Migration ใช้งายง่าย และกู้คืน หรือย้ายเว็บไซต์ ได้เหมือนต้นฉบับ 100%
Plugin BackUP WordPress ยอดนิยม
- All-in-One WP Migration
- UpdraftPlus WordPress Backup Plugin
- VaultPress (Jetpack Backups)
- Backup & Staging – BlogVault Backups
- BackWPup – WordPress Backup Plugin
- Duplicator – WordPress Migration Plugin
8. ติดตั้งระบบ reCAPTCHA ทุกแบบฟอร์ม
reCAPTCHA คือ ระบบป้องกันเว็บไซต์ของเราจาก Spam(สแปม) หรือ Bot(โปรแกรมอัตโนมัติ) โดยใช้ระบบการวิเคราะห์ความเสี่ยงขั้นสูง พัฒนาโดย Google ช่วยสกรีนพวกสแปม หรือบอต ที่มาก่อกวน หรือประสงค์ที่จะทำร้ายระบบเรา reCAPTCHA ช่วยสร้างความยากลำบากให้กับ Bot และง่ายต่อการใช้งาน
ปัจจุบัน reCAPTCHA ได้พัฒนามาถึง Version 3 ใช้งานง่ายขึ้น และมีประสิทธิภาพมากขึ้นเช่นกัน
บน WordPress สามารถเปิดใช้งาน reCAPTCHA ได้ผ่านปลั๊กอิน สามารถเปิดใช้งานผ่านปลัีกอิน All In One Security & Firewall ที่ผมได้กล่าวในข้อ 5 หรือ จะติดตั้งปลั๊กอินเสริมเข้ามาต่างหาก เช่นปลั๊กอิน Invisible reCaptcha for WordPress
โดยปกติพวก Spam หรือ Bot พยายามแทรกซึมเข้ามา ผ่านระบบแบบฟอร์มต่างๆ เช่น ฟอร์ม Login, Register, Checkout, Contact Form, Comment เราควรติด reCAPTCHA ไว้ทุกแบบฟอร์ม เพื่อสกัดกั้น Spam และ Bot
9. ติดตั้ง SSL หรือ https
SSL มากจากคำว่า Secure Socket Layer ทำหน้าที่ในการเข้ารหัสข้อมูล ช่วยเพิ่ม Security ในการรับ-ส่งข้อมูลในเว็บไซต์ สังเกตง่ายๆ เว็บไซต์ติดตั้งระบบ SSL ด้านบนซ้าย จะมีรูปแม่กุญแจสีเขียว https ซึ่งเป็นใบรับรองอิเล็กทรอนิกส์ที่มีความน่าเชื่อถือสูง
ทำไมต้องติดตั้ง SSL หรือ https ?
ความปลอดภัย SSL ทำหน้าที่ในการเข้ารหัสข้อมูล เพราะฉะนั้น มันช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ ให้ปลอดภัยจากการแอบขโมยข้อมูล ยิ่งเป็นเว็บไซต์ E-commerce จำเป็นต้องใช้อย่างยิ่ง
ความน่าเชื่อถือ เคยสังเกตใหมครับ เวลาเข้าเว็บไซต์ที่ไม่ได้ติดตั้ง SSL ด้านบนซ้าย เว็บเบราเซอร์จะแจ้งเตือน สีแดงๆ “Your connection to this site is not sere” หรือบางที ภาษาไทย จะเขียนว่า “ไม่ปลอดภัย” ทำให้ลดความน่าเชื่อถือ
SEO การติดตั้ง SSL ถือเป็นโครงสร้างพื้นฐานของการทำ SEO กูเกิลให้ความสำคัญกับความปลอดภัย และความน่าเชื่อถือ เว็บไซต์ใหนที่มี SSL ได้เปรียบแน่นอนในเรื่องการจัดอันดับ
การติดตั้ง SSL เป็นมาตรฐานของเว็บไซต์ในปัจจุบัน ที่ควรติดตั้ง
WordPress โดน Hack แก้อย่างไร?
หากเว็บไซต์มีอาการเหมือนที่ผมกล่าวก่อนหน้า แสดงว่าเว็บไซต์ถูกแฮกแน่นอนครับ ทีนี้วิธีแก้ไขปัญหา ถ้าเว็บไซต์เรายังเข้าระบบหลังบ้านของ WordPress ได้อยู่ เราสามารถใช้ปลั๊กอิน Wordfence Security – Firewall & Malware Scan ในการสแกนหาไวรัสได้ครับ จริงๆ มีอีกหลายตัว แต่จากประสบการณ์ Wordfence น่าจะดีสุด
ดาว์นโหลดปลั๊กอิน แล้ว Active ให้เรียบร้อย จะมีเมนูด้านซ้ายมือชื่อ “Wordfence” แล้วคลิกที่ Scan
กด START NEW SCAN แล้วรอจนกว่าระบบจะสแกนถึงขั้นตอนสุดท้าย
หลังจากสแกนเสร็จแล้ว จะมีผลลัพธ์จากการสแกน “Result Found(…)” ในส่วนนี้ระบบจะแสดงผล ถ้าหากติดไวรัส หรือ มัลแวร์ จะขึ้นสีแดง และยังมีสถานะบอกด้วยว่า ความเสี่ยงระดับใหน เช่น High, Medium เป็นต้น
หากคลิก DETAILS แต่ละรายการ โดยเฉพาะที่เป็นสีแดง เราสามารถคลิกแสดงไฟล์ที่โดนไวรัสได้ หรือจะ Delete ไฟล์ไปเลยก็ได้ แต่ระบบจะอธิบายว่า ไฟล์ที่โดน คือไฟล์ Core ของระบบ หรืออื่นๆ หากมั่นใจพอ คลิก Delete จากตรงนี้ก็ได้ครับ ก่อนที่จะกด Delete แนะนำให้ BackUP ก่อน
อีกวิธีนึง เราสามารถลบไฟล์ไวรัส ผ่าน FTP ของ Hosting ได้โดยตรง เราสามารถดูตำแหน่งของไฟล์ไวรัส (Path) โดยการคลิก DETAILS ของแต่ละรายการ
หากลบไฟล์ที่ติดไวรัสออกหมดแล้ว แต่ก็ยังมีอาการเดิม เช่น มีการ Redirect ไปยัง URL แปลกๆ ให้ลองไล่เช็คทีละสเต็ปดังนี้
- ลอง Deactive Theme ที่ใช้อยู่ปัจจุบัน แล้วลอง Active หรือ ใช้งาน Theme พื้นฐานก่อน แล้วลองดูว่า ยังมีอาการอยู่หรือไม่
- ลอง Deactive Plugin ทั้งหมด หรือทีละตัวก็ได้ แล้วลองสังเกตอาการดูอีกที
- หากได้ลองทั้ง Theme และ Plugin แล้ว เดาว่าไวรัส น่าจะหลงเหลืออยู่ในไฟล์ Core หรือไฟล์หลัก ของ WordPress แนะนำว่า ให้โหลดไฟล์ WordPress ล่าสุด มาทับไฟล์เก่า
สรุป
WordPress โดน Hack ส่วนใหญ่ไม่ได้เกิดจากตัวระบบไม่ดี แต่เกิดจากการที่แอดมินของเว็บไซต์เอง ไม่ได้อัพเตด WordPress และ Plugin เลย บางเว็บใช้ Plugin ที่ไม่ได้อัพเตดมา 3-4 ปี หากเราอัพเดตให้เว็บไซต์เราเป็นเวอร์ชั่นล่าสุดตลอด และ Set-up ความปลอดภัยให้ถูกต้อง แค่ก็ปลอดภัยหายห่วงแล้วครับ
อย่างไรก็ได้ แนะนำให้ใช้วิธี BackUP เก็บไว้ จะปลอดภัยที่สุด เมื่อไหร่ที่โดน เราสามารถกู้คืนเว็บไซต์ได้ในไม่กี่นาที ไม่ต้องเสียเวลาไปเครียดในการหาไฟล์ไวรัส สแปม หรือมัลแวร์