WordPress โดน Hack ง่ายจริงหรือ? ผมได้ยินคำถามนี้มาบ่อยมาก ซึ่งจากประสบการณ์ของผมที่มีลูกค้ามาขอให้แก้ไวรัสบ่อยๆ ส่วนใหญ่แล้วพบว่า เว็บไซต์ไม่เคยอัพเดตอะไรเลย บวกกับเลือกใช้โฮสติ้งคุณภาพไม่ค่อยดี ก็ไม่แปลกที่เว็บไซต์จะโดนแฮก โดนสแปม โดนไวรัสฝังเข้ามา
ถ้าเราดูแลดีๆ อัพเดตอย่างสม่ำเสมอ หาวิธีป้องกันให้รัดกุม โอกาสที่จะโดนแฮกเข้ามา ก็ใช่ว่าจะง่ายครับ แต่สิ่งที่ผมมักจะเน้นย้ำกับลูกค้าบ่อยๆ คือ พยายามฝึก BackUP WordPress สม่ำเสมอ
เว็บ WordPress ที่โดน Hack เป็นยังไง?
โดยปกติแล้วเว็บไซต์ที่โดนแฮก มักจะมีสัญญานอะไรบางอย่างแสดงให้เราเห็น ค่อนข้างชัดเจน ถ้าเพื่อนๆ เจออาการเหล่านี้ก็แสดงว่าโดนของดีเข้าแล้ว เรามาดูด้วยกันว่า มีสัญญานอะไรแสดงให้เราเห็นบ้าง
เว็บไซต์ Redirect ไปที่ลิงค์แปลกๆ

ส่วนใหญ่ WordPress โดน Hack ถูกแทรก Script แปลกๆ เข้ามาแทรกซึมในไฟล์ ในโฟลเดอร์ พอมีคนเข้าเว็บไซต์ก็จะถูก Redirect ไปที่ URL แปลกๆ หรือ มี PopUP เด้งแสดงความยินดีอะไรสักอย่าง
จะด้วยเหตุผลอะไรก็แล้วแต่ที่แฮกเกอร์ทำแบบนั้น แต่ที่แน่ๆ เจ้าของเว็บไซต์ ได้รับความเสียหายเต็มๆ ไม่ว่าจะเป็นเสียลูกค้า ถ้าเป็นบริษัทใหญ่ๆ ก็จะเสียความน่าเชื่อถือ
เบราเซอร์แจ้งเตือนว่ามี Mallware

ถ้าจะเข้าเว็บไซต์แล้วเบราเซอร์ขึ้นสีแดงๆ พร้อมด้วยข้อความว่า “The site ahead contains mallware” นั่นหมายความว่า เว็บไซต์เราน่าจะโดนไวรัส มีมัลแวร์ หรือ มี scirpt แปลกปลอมเข้ามาแน่ๆ
Google แจ้งเตือนว่า “This site may be hacked.”

เมื่อเราค้นหาเว็บไซต์เราใน Google จะมีข้อความพิเศษ “This site may be hacked” ซึ่งกูเกิลกำลังแจ้งเตือนให้เราทราบ ว่าเว็บไซต์เรากำลังตกอยู่ในอันตราย หรือ ปัญหาใหญ่กว่านั้น ฉะนั้นต้องรีบเช็คทันทีที่เห็น
Google Search Console แจ้งเตือนปัญหาความปลอดภัย

ทันที่ที่ Google Search Console เจอปัญหาที่เกี่ยวความปลอดภัย ระบบจะแจ้งเตือนไอคอนสีแดงๆ ทันที และจะส่งอีเมล์แจ้งเตือนเราด้วย ถ้าเราแก้ไขปัญหาแล้ว ให้คลิก “ขอรับการตรวจสอบ” เพื่อให้ระบบปลดการแจ้งเตือนออกไป
มี “ข้อความ” แปลกๆ โผล่ในหน้าเว็บ เช่น Header, Footer

บางเคส ไม่ได้ร้ายแรงถึงขนาดเข้าเว็บแล้วพัง อาจจะแค่มี Link แปลกๆ โผล่บางจุดในหน้าเว็บไซต์ ถ้าไม่ใช่สิ่งที่เราทำแต่แรก ก็นั่นหมายถึงเว็บเราอาจจะโดนมัลแวร์ หรือ ไวรัสแน่ๆ เช่น ภาพด้านบน เว็บไซต์ลูกค้าผมเอง อยู่ดีๆ มีข้อความเกี่ยวกับ Bitcoin ซึ่งไม่เกี่ยวกับเว็บเลย
ทำไม WordPress ถึงโดน Hack?
- ไม่เคยอัพเดต WordPress Core, Plugin และ Theme
- ตั้งรหัสผ่านที่ง่ายเงินไป
- ใช้ Plugin และ Theme ที่ไม่ปลอดภัย
- เลือกใช้ Hosting ที่มีความปลอดภัยต่ำ ราคาถูกมากๆ
- ไม่ได้ติดตั้ง Plugin Security
- ตั้ง Permission ไม่ถูกต้อง เช่น 777
- ไม่ได้ลบ User ที่ไม่ได้ใช้
วิธีแก้เว็บ WordPress โดน Hack
01 การแก้ไขไวรัสเบื้องต้น
เป็นการจัดการไวรัสผ่านระบบหลังบ้านของ WordPress ในกรณีที่ยังเข้าหลังบ้านได้อยู่ ก็สามารถใช้วิธีการนี้ได้ แต่ขอเน้นย้ำว่า BackUP WordPress ก่อนที่จะจัดการกับไวรัส เพื่อให้แน่ใจว่ายังมีไฟล์ต้นฉบับอยู่ ถ้ามันพึงขึ้นมา ก็ยังมีสำรองอยู่
1.1 Reset Passwords
เมื่อเว็บไซต์โดนแฮกแล้ว เราไม่รู้ว่าเค้าใช้รหัสผ่านชุดไหนในการเข้าถึง รหัสผ่านอาจจะเป็นหนึ่งในช่องโหว่ที่โดนเจาะเข้ามา เพราะผมเชื่อว่ายังมีเว็บไซต์อีกเยอะ ที่ตั้งรหัสผ่านแบบง่ายๆ เน้นจำง่ายพิมพ์ง่าย ฉะนั้นแล้วสิ่งที่ต้องทำคือ รีเซ็ตรหัสผ่าน WordPress, รหัสผ่าน Database, รหัสผ่าน FTP พยายามเจนรหัสผ่านที่ยากต่อการคาดเดา
1.2 อัพเดต Plugin และ Theme

อัพเดต Plugin ที่ใช้ ให้เป็นเวอร์ชั่นล่าสุดทุกตัว เพราะเราไม่รู้ว่าตัวไหนบ้างที่เป็นช่องโหว่ที่โดนเจาะเข้ามา และปลั๊กอินที่ไม่ได้อัพเดตัวเองมาเกิน 1 ปี พยายามหลีกเลี่ยงอย่าใช้
อัพเดต Theme ที่ใช้ให้เป็นเวอร์ชั่นล่าสุด ถ้าเป็นตัวฟรีน่าจะกดอัพเดตได้เลย แต่ถ้าเป็นตัวพรีเมี่ยม น่าจะต้องไปโหลดจากแหล่งที่ซื้อมา และลบธีมที่ไม่ได้ใช้ออกให้หมด ให้เหลือแค่ตัวที่ใช้งานตัวเดียว
ใน WordPress 5.5 เราสามารถเปิดระบบ Auto Update ให้กับ Plugin และ Theme ได้แล้ว เพื่อความสะดวกไม่ต้องมานั่งอัพเดตแต่ละตัว
1.3 อัพเดต WordPress Core

อัพเดต WordPress Core ให้เป็นเวอร์ชั่นล่าสุด ผมเดาเว่าบางส่วนเว็บไซต์ที่โดนแฮก ไม่เคยอัพเดตเวอร์ชั่นเลย ยิ่งนานก็ยิ่งห่างขึ้นเรื่อยๆ อย่าลืมว่าทุกครั้งที่มีเวอร์ชั่นใหม่ๆ จะมีการอัพเดตในเรื่อง Security เสมอ
ใน WordPress 5.6
1.4 สแกนไวรัสด้วย WordFence
หลังจากที่เราอัพเดต Plugin, Theme และ WordPress Core เพื่อให้มั่นใจว่ากำลังใช้เวอร์ชั่นล่าสุดที่ปลอดภัย และคลิก BackUP อีกรอบนึงครับ
ติดตั้งปลั๊กอินชื่อ “Wordfence Security” แล้วไปที่เมนู Wordfence –> Scan

รอจนกว่าปลั๊กอินจะแสกนเสร็จ จะมีผลลัพธ์บอกตรง Results ว่าเว็บไซต์เรามีไวรัส มีมัลแวร์ตรงจุดไหนบ้าง
สิ่งที่ WordFence บอกให้เราคือ

- Filename : ชื่อไฟล์ที่เป็นไวรัส ชื่อะไรบ้าง
- File Type : ประเภทไฟล์ เช่น “Not a core, theme, or plugin file from wordpress.org.” หรือ “Core” ทำให้เรารู้ได้ว่า ไฟล์นั้นควรลบ หรือ ควรแก้ ถ้าไม่ใช่ไฟล์ Core ให้กด DELETE FILE ได้เลย
- View File : เปิดดูไฟล์ที่ติดไวรัส ว่ามีหน้าตาอย่างไร
- View Differences : เทียบไฟล์ระหว่างต้นฉบับ กับที่โดนไวรัส ว่ามีถูกแก้จุดไหนบ้าง
- Repair : กรณีที่เป็นไฟล์ประเภท “Core” สามารถคลิก Repair หรือ ซ่อมแซมไฟล์ได้
- File Type : “Note a core…..” ให้คลิก Delete File
- File Type : “Core” ให้คลิก Repair ที่มุมขวาบนของแต่ละไฟล์ไวรัส
02 การแก้ไขไวรัสแบบเด็ดขาด
จะมีกรณีที่ WordPess โดน Hack แล้วเข้าเว็บไม่ได้เลย แม้กระทั่ง wp-admin ก็เข้าไม่ได้ จะใช้วิธีแบบปกติไม่ได้แน่ๆ ฉะนั้น วิธีการคือ ต้องไล่ทีละจุด
หรือ กรณีที่แก้ยังไงก็ไม่หาย ลบไวรัสกี่รอบๆ ก็มันกลับมาเหมือนเดิม
2.1 ลบไฟล์ WordPress Core
บ่อยครั้งที่เว็บไซต์ลูกค้าผมเจอไวรัส ไฟล์ Core มักจะโดนบ่อย เพื่อให้มั่นใจว่าจะไม่มีไวรัสแทรกซึมเข้าไปในไฟล์ WordPress Core ต้องไปโหลด WordPress เวอร์ชั่นล่าสุด ไปทับแทนที่ไฟล์เก่าทั้งหมด *แต่โหลด BackUP ไฟล์เก่าก่อนก็ดีนะ
ลบไฟล์ตามรูปภาพด้านล่างนี้ (แต่อย่าลืมเก็บไฟล์ชื่อ wp-config.php และ .htaccess ไม่ต้องลบ)

- ด้านซ้ายคือ ไฟล์ WordPress ต้นฉบับที่โหลดมาล่าสุด, ขวาคือ ไฟล์เก่าที่ใช้กับเว็บไซต์
- Delete เฉพาะ File และ Folder ที่ผมวงสีแดงไว้ครับ
- Add ไฟล์เฉพาะที่ผมวงสีเขียวครับ
- ด้านขวามือ สังเกตดีๆ มันมี File Virus ที่แทรกตัวอยู่ ถ้าไม่สังเกตดีๆ เราจะไม่รู้เลย ชื่อ “wp-signups.php” นี้แหละคือเหตุผลทำไมต้องอัพใหม่ทั้งก้อน
อัพโหลดไฟล์ผ่าน FTP หากไม่ทราบว่าจะเอารหัส FTP มาจากไหน ลองอ่านบทความ ติดตั้ง WordPress ผ่าน FTP หรือ สอบถามโฮสติ้งที่เช่าอยู่
2.2 ติดตั้ง Plugins ใหม่
ไปดูใน folder /wp-content/plugins/… ว่าเว็บไซต์เราใช้ปลั๊กอินอะไรบ้าง

ให้ไปโหลด Plugin ทีละตัวเลยครับ ลบ Folder เก่าแล้วเอา ตัวที่โหลดมาล่าสุดมาแทนที่ แต่ละเว็บไซต์มากมีน้อยต่างกัน ยิ่งเว็บไซต์มีปลั๊กอินเยอะๆ คงเหนื่อยน่าดู (เอาใจช่วย ^^)
ปลั๊กอินตัวไหนที่ไม่ได้ใช้ หรือ ไม่ได้ Active ไว้ ลบทิ้งไปเลยครับ ไม่ต้องเก็บไว้ให้ไวรัสซ่อนตัวนะ
2.3 ติดตั้ง Themes ใหม่
ไปดูใน folder /wp-content/themes/… ว่าเว็บไซต์เราใช้ธีมอะไรบ้าง

ถ้าใช้ Theme ที่ซื้อมา ให้ไปโหลดในเว็บที่ซื้อมาครับ แล้วเอาตัวล่าสุด มาแทนที่ครับ
แต่กรณีที่มีคนเคยเข้าไปแก้ไฟล์ Core ของ Theme อาจจะทำให้เว็บไซต์เปลี่ยนไปก็ได้ หลังจากแก้ไขไวรัสเสร็จ ฉะนั้นควร BackUP ไฟล์เก่าไว้ก่อนก็ดีครับ นั่นคือเหตุผลทำไมต้องใช้ Child Theme ในการแก้หรือ Custom ต่างๆ เวลาอัพเดตจะได้ไม่มีปัญหา
2.4 ลบไฟล์แปลกปลอม
ไวรัสมันคงไม่ได้บอกเราว่ามันอยู่ตรงไหนกันบ้าง เราต้องไปงัดแงะดูตาม Folder ต่างๆ แต่ถ้าทำตามข้อ 2.2 – 2-3 ไวรัสก็น่าจะหายไปพอสมควร
จุดสังเกตไฟล์แปลกปลอม ลองเช็คตามนี้
- wp-content/cache
- wp-content/languages
- wp-content/upgrade
- wp-content/uploads
- เช็คตามไฟล์ index.php ใน folder ต่างๆ บางเคส ไวรัสมาซ่อนตัวอย่างเนียนตา อยู่ในไฟล์ index ต้องลองเปิดไฟล์ขึ้นมาดูครับ
ตัวอย่างไฟล์แปลกปลอม หรือ ไวรัส

2.5 ทำความสะอาด Database
ปกติแล้ว WordPress จะเก็บ Data ทุกอย่างไว้ในฐานข้อมูลใช่ไหมครับ แต่ละครั้งที่เราอัพเดตข้อมูล มันจะถูกเขียนเพิ่มขึ้นเรื่อยๆ ยิ่งนานยิ่งบวมขึ้นเรื่อยๆ
ส่วนใหญ่มาจาก ข้อมูลของเราจริงๆ ซึ่งก็ไม่ใช่ปัญหา
แต่ปัญหาคือ พวกค่าข้อมูลขยะ เช่น Post revisioins, Auto-draft posts, trashed posts, Trashed Comments, etc… และ table ที่เกิดจากที่เรา ติดตั้ง Plugin และได้ถอนไปแล้ว แต่ table ในฐานข้อมูลยังอยู่ไม่ได้หายไปไหน
การทำความสะอาด Database สักครั้ง ทำให้ทุกอย่าง Clean และยังทำให้เว็บไซต์โหลดไวขึ้นด้วยนะ
ปลั๊กอินสำหรับทำความสะอาด Database มีหลายตัว เช่น
- ปลั๊กอิน WP-Optimize
- ปลั๊กอิน Plugins Garbage Collector
- ปลั๊กอิน WP-Sweep
อ่านบทความ : วิธี Clean wordpress database
2.6 สแกนด้วย WordFence อีกรอบ
หลังจากที่ได้จัดหนัก ตั้งแต่ข้อที่ 2.1 – 2.5 คิดว่าไวรัสคงหายไปแล้วละ เพื่อให้แน่ใจว่ามันหายไปหมดเกลี้ยงจริงๆ ลองสแกนด้วย WordFence อีกสักรอบครับ
ถ้าทุกอย่าง Clean ก็ต้องรีบ BackUP โดยด่วนครับ เผื่อมันกลับมาใหม่ เราจะได้เอาเวอร์ชั่นที่สำรองไว้ มาลงใหม่
9 วิธีป้องกันไม่ให้ WordPress โดน Hack โดนไวรัส
1. อัพเดต WordPress, Theme และ Plugin
WordPress Core, Theme, Plugin จะมีเวอร์ชั่นใหม่ออกมาตลอด แต่ละครั้งที่มีการอัพเดต ส่วนใหญ่จะเป็นการเพิ่มฟีเจอร์ใหม่ แก้ไขปัญหาเดิม และบางครั้งจะมีการอัพเดตเรื่อง Security ด้วย ด้วยเหตุนี้จึงควรเข้ามาเช็คตลอด ถ้ามีเวอร์ชั่นใหม่ก็ควรกด Update อย่างน้อยเข้ามาดูเดือนละ 1 ครั้ง อย่าทิ้งช่วงให้ห่างมากเกินไป
ใน WordPress 5.5 เราสามารถเปิดระบบ Auto Update ให้กับ Plugin และ Theme ได้แล้ว เพื่อความสะดวกไม่ต้องมานั่งอัพเดตแต่ละตัว
ส่วนของ Theme ให้ติดตั้ง Child-Theme เข้าไปด้วย เวลาจะอัพเดตเวอร์ชั่น จะได้ไม่มีปัญหา
สำคัญ : ควรทำการ BackUP ก่อนที่จะอัพเดตทุกครั้ง ป้องกันกรณีอัพเดตแล้วพัง
2. เลือก WordPress Hosting ที่มีคุณภาพ และมีระบบป้องกันที่ดี
เวลาเลือก WordPress Hosting อย่าเลือกที่ราคาเป็นหลัก ผมเข้าใจเลยว่าเดี๋ยวนี้มีโฮสติ้งราคาถูกล่อตามาก แต่อยากให้เลือกที่ “คุณภาพ” และ “การบริการ” เป็นอันดับแรก ต่อด้วยพิจารณาที่ราคา หรือ เลือกที่คนในกลุ่มพูดถึงและแนะนำกันเยอะๆ
และดูด้วยว่าโฮสติ้งที่เรากำลังดู รองรับ WordPress หรือเปล่า มันจะมีบางโฮสติ้งที่ไม่รองรับ มักจะมีปัญหาเวลาอัพเดตต่างๆ หรือ ฟังก์ชันบางอย่างทำงานไม่สมบูรณ์
วิธีเลือกโฮสติ้งที่เหมาะกับ WordPress
- หาโฮสติ้งที่รองรับ WordPress 100%
- โฮสติ้งที่มีระบบ Security ที่ดี สามารถป้องกันการ Hack ได้หลายรูปแบบ
- PHP version 7.X ขึ้นไป
- มี SSL ให้ใช้
- มีระบบ BackUP
- มีทีม Support ที่แก้ปัญหาได้รวดเร็ว
3. ตั้งรหัสผ่านให้ยากต่อการคาดเดา
ถ้าเรายังจำรหัสผ่านอยู่แสดงว่า เรายังตั้งง่ายเงินไป รหัสผ่านประเภท admin, 12345, abcdefg เหล่านี้ ควรเลิกได้แล้วครับ และไม่ต้องห่วงว่าตั้งรหัสผ่านยากๆ แล้วจะจำไม่ได้ เพราะเบราเซอร์มีระบบจดจำรหัสผ่านอยู่แล้วครับ
ผมแนะนำให้ใช้ระบบบ Password generator tool ของ LastPass ในการสร้างชุดรหัสผ่าน โดยเราสามารถกำหนดรูปแบบและความยาวได้ครับ

หรือถ้าใช้ LastPass ในการจดจำรหัสผ่านให้เราเลย ก็จะดีมากครับ
4. เลือกใช้ Theme และ Plugin ที่มีคุณภาพ
Theme และ Plugin ที่ใช้ ถ้าเป็นเวอร์ชั่นฟรี ให้ดาว์นโหลดผ่านเว็บไซต์ wordpress.org เท่านั้น และหลีกเลี่ยง Theme และ Plugin เถื่อน เพราะมันจะมีของแถมที่เราไม่ต้องการเสมอ
วิธีพิจารณาเลือก Theme และ Plugin
- เลือกจากที่ยอดดาว์นโหลดเยอะๆ บ่งบอกถึงเป็น Theme และ Plugin ที่ดี
- Rated : เลือกดูปลั๊กอินที่มีเรทรีวิว 5 ดาว และมีคนเขียนรีวิวสวยๆ
- Last updated : ดูว่าอัพเดตครั้งล่าสุดเมื่อไหร่ ซึ่งก็ไม่ควรเกิน 1 ปี
- หารีวิวตามเว็บไซต์ต่างๆ ใน Youtube หรือใน facebook ว่าเค้าใช้แล้วดีหรือไม่ดี มีปัญหาอะไรกันบ้าง
- ถ้าเป็น Theme และ Plugin แบบ Premium ที่ต้องเสียเงินซื้อ แนะนำให้ดูที่มีเรทติ้งและยอดขายสูงๆ
5. ติดตั้ง Plugin ด้าน Security
Plugin ด้าน Security เป็นหนึ่งในปลั๊กอินที่ควรติดตั้ง ตัวที่ผมใช้บ่อยสุดชื่อ All In One WP Security & Firewall มีการตั้งค่าละเอียดและครอบคลุมพอสมควร เป็นหนึ่งใน 11 Plugin WordPress ที่ผมแนะนำ ทุกเว็บไซต์ควรติดไว้
จุดเด่นของปลั๊กอิน
- ป้องกันบัญชีผู้ใช้
- ป้องกันการ Login
- ป้องกันการสมัครสมาชิก
- ป้องกันฐานข้อมูล
- ป้องกันไฟล์ต่างๆ ของเว็บไซต์
- ระบบสำรองไฟล์ .htaccess และ wp-config
- ระบบกรองบัญชีแปลกปลอม (Blacklist)
- ระบบ Firewall
- ระบบป้องกันการโจมตีผ่านระบบ Login
- ระบบสแกนเนอร์
- ระบบกรอง Spam comment
- ระบบป้องกันการ Copy ผ่านหน้าเว็บ
6. ลบ Theme และ Plugin ที่ไม่ได้ใช้งาน
Theme และ Plugin ที่ถูกติดตั้งแต่ไม่ได้ใช้งาน อย่าเสียดายที่จะลบทิ้งครับ นอกจากมันทำให้ฐานข้อมูลบวมแล้ว ยังเปลืองพื้นที่ของโฮสติ้งด้วยครับ และอาจจะเป็นช่องโหว่ที่จะโดนแฮกเข้ามาก็ได้ครับ
ผมแนะนำให้ใช้ “วิชาตัวเบา” หมายถึงพยายามทำให้เว็บไซต์เราเบาที่สุดเท่าที่จะทำให้ เพราะเวลาโดนแฮก หรือจะย้ายเว็บไซต์ จะทำได้ไวขึ้นเยอะครับ ถ้าเราลบทิ้งพวกขยะต่างๆ
7. ฝึก BackUP บ่อยๆ
เรื่องการสำรอง หรือ การ BackUP เว็บไซต์ ผมอยากให้เพื่อนๆ ทำเป็นประจำหรือทุกครั้งหลังจากที่อัพเดตข้อมูล การสำรองข้อมูล ถือเป็นวิธีที่ประหยดัที่สุด ปลอดภัยที่สุดแล้วครับ เวลาเว็บไซต์มีปัญหา ไม่ว่าจะโดนแฮก หรือจะพังด้วยเหตุผลอื่น เรายังมีไฟล์สำรองที่พร้อมกู้คืนในไม่กี่นาที
วิธี BackUP เว็บไซต์ WordPress ไม่ยากครับ มีปลั๊กอินหลายตัวเลยที่น่าสนใจ ส่วนตัวผมชอบใช้ All-in-One WP Migration รู้สึกว่าใช้ง่ายดี ตั้งค่าไม่เยอะ
บางโฮสติ้งเค้าจะ BackUP ให้เราทุกวันอยู่แล้วครับ ตัวอย่างเช่น SiteGround มันจะมีระบบ Manage Backups ให้เราอัตโนมัติทุกวัน สามารถกดกู้คืนได้ไม่กี่นาที
8. ติดตั้งระบบ reCAPTCHA ทุกแบบฟอร์ม
reCAPTCHA คือ ระบบป้องกันเว็บไซต์ของเราจาก Spam หรือ Bot ใช้ระบบการวิเคราะห์ความเสี่ยงขั้นสูง พัฒนาโดย Google ช่วยกรองสแปมหรือบอต ที่มาก่อกวน หรือมีวัตถุประสงค์ไม่ดี
ทุกจุดที่มี Form ควรติดระบบ reCaptcha ทุกครั้งครับ ปลั๊กอินสร้างแบบฟอร์มน่าจะมีฟังก์ชันนี้เกือบทุกตัวอยู่แล้ว
มันจะช่วยลดพวก Spam Mail ที่ถูกยิงมาจากพวก Form ต่างๆ ที่อยู่ในหน้าเว็บ
9. ติดตั้ง SSL หรือ https
SSL ทำหน้าที่ในการเข้ารหัสข้อมูล ช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ ให้มีความปลอดภัยมากขึ้นจากการแอบขโมยข้อมูล ยิ่งเป็นเว็บไซต์ E-commerce จำเป็นต้องใช้อย่างยิ่ง โดยส่วนใหญ่โฮสติ้งจะมี Free SSL ให้เราใช้อยู่แล้ว คือ Let’s Encrypt
สังเกตด้านบนซ้ายของเบราเซอร์ ด้านหน้าชื่อ Domain จะมีรูปแม่กุญแจสีเขียวๆ https
มันส่งผลในเรื่อง “ความน่าเชื่อถือ” ด้วยครับ ลองสังเกตเว็บไซต์ที่ไม่ได้ติดตั้ง SSL ด้านบนซ้ายของเบราเซอร์จะแจ้งเตือน สีแดงๆ “Your connection to this site is not sere” หรือบางที ภาษาไทย จะเขียนว่า “ไม่ปลอดภัย” ทำให้ดูไม่ค่อยน่าเชื่อถือ
และยังส่งผลในเรื่อง “SEO” เว็บไซต์ไหนที่ติดตั้ง SSL ย่อมดูน่าเชื่อถือกว่าอยู่แล้ว ส่งผลให้ประสบการณ์ในการท่องเว็บดีไปด้วย และได้เปรียบในเรื่องการจัดอันดับ
สรุป
ไม่ว่าเว็บไซต์พัฒนาด้วยเครื่องมืออะไร ก็มีสิทธิ์โดนแฮกทั้งนั้นครับ WordPress โดน Hack บ่อย อาจจะเป็นเพราะสัดส่วนคนใช้เยอะมาก และส่วนใหญ่ที่โดนแฮก มาจากเจ้าของเว็บไซต์ละเลย ไม่ใส่ใจ ไม่ได้หาวิธีการป้องกันที่ถูกต้อง
ถ้าเว็บไซต์เพื่อนๆ โดน Hack ลองทำตามที่ผมแนะนำดูครับ คิดว่าจะช่วยได้แน่นอน แต่อย่าลืมตรวจเช็ค 9 ข้อ วิธีป้องกันไม่ให้ WordPress โดน Hack จะได้ไม่ต้องมานั่งปวดหัวอีกในอนาคต
เพิ่มเติมเรื่องการตั้งค่าไฟล์ Permission
ขอบคุณครับ, ใน All in one security มีให้ตั้งค่าอยู่ครับ เดี๋ยวผมอัพเดตบทความคร้าบ
เว็บโดนแบบนี้อ่ะครับ เข้าเว็บจะขึ้นว่า
THIS WEBSITE HAS BEEN SEIZED
This site has been seized by the Federal Bureau of Investigation in accordance with a seizure warrant obtained by the U.S. Attorney’s Office for the Southern District of California issued pursuant to 18 U.S.C. §§ 981 and 982.
A VPN IS NEEDED TO BYPASS THE BLOCKINGD
You don’t need to take any additional actions. The VPN app will start downloading in 10 seconds.
If the download didn’t start or you accidentally canceled it, click here
แล้วมันจะมีไฟล์โหลดมาให้เราเลย ทันที
ใช้ Wordfence สแกนก็ไม่เจออะไรเลยครับ
เบื้องต้นผมแนะนำแบบนี้ครับ
1. โหลด wp core มาแทนที่อันเดิมใหม่หมด
2. โหลดปลั๊กอินทุกตัว แล้วไปแทนที่อันเดิม
3. โหลดธีมไปแทนที่อันเดิม
ถ้ายังมีอีก อาจจะต้องลองแวะไปดูใน Database ใน table ต่างๆครับ บางทีอาจจะมี script แทรกอยู่ครับ