RevealTheme logo

คู่มือ · อัปเดตแล้ว 2026

รายการตรวจสอบความปลอดภัยของ WordPress: 30 ขั้นตอนที่สำคัญจริงๆ

คำแนะนำด้านความปลอดภัย WordPress ส่วนใหญ่เป็นแบบทั่วไป ตื่นตระหนก และลืมสิ่งที่สำคัญจริงๆ รายการนี้จัดเรียงมาตรการความปลอดภัยตามผลกระทบที่แท้จริง โดยอ้างอิงจากรูปแบบการโจมตีจริงที่ใช้กับเว็บไซต์ WordPress (brute force, ปลั๊กอินที่มีช่องโหว่, ข้อมูลรับรองที่อ่อนแอ, แกนหลักที่ล้าสมัย)

5 สิ่งจำเป็น: ทำก่อน

  1. อัปเดตแกนหลักของ WordPress ธีม และปลั๊กอินให้ทันสมัยอยู่เสมอ ปลั๊กอินที่มีช่องโหว่เป็นเวกเตอร์การโจมตีอันดับ 1 เปิดใช้งานการอัปเดตอัตโนมัติของเวอร์ชันย่อย (WordPress 5.6+ ทำสิ่งนี้โดยค่าเริ่มต้น) สำหรับเวอร์ชันหลัก อัปเดตภายใน 7 วันหลังการเปิดตัว สำหรับปลั๊กอิน เปิดใช้งานการอัปเดตอัตโนมัติของตัวที่เชื่อถือได้; ตรวจสอบบันทึกการเปลี่ยนแปลงของปลั๊กอินที่สำคัญด้วยตนเอง
  2. ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับทุกบัญชี WordPress โดยเฉพาะของผู้ดูแลระบบ ใช้ตัวจัดการรหัสผ่าน (1Password, Bitwarden) ปิดใช้งานชื่อผู้ใช้ «admin»: สร้างผู้ดูแลระบบใหม่และลบตัวเก่า
  3. เปิดใช้งานการยืนยันตัวตนสองปัจจัย ใช้ Wordfence Login Security (ฟรี) หรือเครื่องมือสร้าง QR 2FA ของเรากับแอป TOTP ใดก็ได้ 2FA เอาชนะการโจมตีแบบ credential stuffing ได้มากกว่า 99%
  4. ติดตั้งปลั๊กอินความปลอดภัยที่เชื่อถือได้ Wordfence (เวอร์ชันฟรีเพียงพอสำหรับเว็บไซต์ส่วนใหญ่) หรือ Solid Security อย่าซ้อนกันหลายตัว: พวกมันขัดแย้งกัน ปลั๊กอินจัดการการจำกัดความพยายามเข้าสู่ระบบ การตรวจสอบความสมบูรณ์ของไฟล์ และการสแกนมัลแวร์
  5. สำรองข้อมูลรายวันนอกเว็บไซต์ UpdraftPlus → Dropbox/Google Drive ทำการสำรองข้อมูลก่อนที่คุณจะต้องการมัน ทดสอบกระบวนการกู้คืนอย่างน้อยหนึ่งครั้ง

10 ข้อถัดไป: มาตรการเพิ่มเติมที่มีผลกระทบสูง

  1. บังคับใช้ HTTPS Let's Encrypt ฟรีบนโฮสติ้งสมัยใหม่ทุกตัว เปลี่ยนเส้นทาง HTTP ไปยัง HTTPS ที่ระดับเซิร์ฟเวอร์
  2. เปลี่ยนคำนำหน้าตารางฐานข้อมูล WordPress ใช้ wp_ โดยค่าเริ่มต้น; เปลี่ยนเป็นอะไรที่กำหนดเองระหว่างการติดตั้ง ไม่ป้องกันการโจมตี แต่ทำให้รูปแบบการโจมตีบางอย่างยากขึ้น
  3. ปิดใช้งาน XML-RPC หากคุณไม่ได้ใช้ XML-RPC เป็นเวกเตอร์การขยาย brute force ทั่วไป หากคุณไม่ได้ใช้แอปมือถือ Jetpack หรือการเผยแพร่ระยะไกล ให้ปิดใช้งานผ่าน .htaccess หรือปลั๊กอิน
  4. จำกัดความพยายามเข้าสู่ระบบ Wordfence ทำสิ่งนี้โดยอัตโนมัติ ป้องกัน credential stuffing แบบ brute force
  5. หมุนเวียนคีย์/salts การยืนยันตัวตนของ WordPress ใช้เครื่องมือสร้าง Salts ของ WordPress ของเรา หมุนเวียนหลังจากสงสัยว่ามีการถูกบุกรุก หลังจากลบผู้ดูแลระบบที่ถูกบุกรุก และทุก 6-12 เดือนตามปกติ
  6. ใช้ SSH หรือ SFTP เพื่อถ่ายโอนไฟล์ ไม่ใช่ FTP ธรรมดา FTP ส่งข้อมูลรับรองในรูปแบบข้อความธรรมดา
  7. จำกัดการเข้าถึง wp-admin ตาม IP หากเป็นไปได้ หากทีมของคุณใช้ IP คงที่ (สำนักงาน, VPN) ให้จำกัด wp-admin เฉพาะ IP เหล่านั้น ผ่าน .htaccess หรือการตั้งค่า Nginx
  8. ปิดใช้งานการแก้ไขไฟล์ใน wp-config.php เพิ่ม: define('DISALLOW_FILE_EDIT', true); ป้องกันไม่ให้ผู้โจมตีแก้ไขธีม/ปลั๊กอินจากแผงควบคุมหากพวกเขาบุกรุกบัญชี
  9. ซ่อนหมายเลขเวอร์ชันของ WordPress ลบเมตาแท็ก generator ไม่ป้องกันการโจมตี แต่ลด fingerprinting
  10. ล็อกสิทธิ์ไฟล์ ไฟล์ 644, ไดเรกทอรี 755, wp-config.php 600 โฮสติ้งแบบ managed ส่วนใหญ่ทำสิ่งนี้โดยอัตโนมัติ; บน VPS ให้ตั้งค่าอย่างชัดเจน

การขัดเกลา: ดีแต่ไม่สำคัญยิ่งยวด

  1. URL เข้าสู่ระบบที่กำหนดเอง (เช่น WPS Hide Login) ส่วนใหญ่ลดเสียงรบกวนจากปริมาณการเข้าชมของบอท; ไม่ใช่ความปลอดภัยที่แท้จริง
  2. CAPTCHA บนแบบฟอร์มเข้าสู่ระบบ แรงเสียดทานเล็กน้อยสำหรับการโจมตีอัตโนมัติ
  3. ปิดใช้งานการเรียกใช้ PHP ใน /uploads/ ป้องกันไม่ให้ shell PHP ที่อัปโหลดถูกเรียกใช้
  4. ใช้ WAF ของ Cloudflare (ระดับฟรี) กรองปริมาณการเข้าชมที่เป็นอันตรายก่อนที่จะถึงเซิร์ฟเวอร์ของคุณ
  5. ตั้งค่าการแจ้งเตือนทางอีเมลของผู้ดูแลระบบสำหรับการอัปเดตปลั๊กอิน/แกนหลัก
  6. ใช้ HSTS preload เพื่อบังคับใช้ HTTPS ที่ระดับเบราว์เซอร์
  7. ปิดใช้งานการแจกแจงผู้ใช้ผ่าน REST API (Solid Security หรือ Wordfence จัดการสิ่งนี้)
  8. ใช้ส่วนหัว Content Security Policy (CSP)
  9. ปิดใช้งานการเรียกดูไดเรกทอรี (โฮสติ้งส่วนใหญ่ทำโดยค่าเริ่มต้น)
  10. ตรวจสอบเวลาทำงาน + ความสมบูรณ์ด้วยบริการภายนอก (ระดับฟรีของ UptimeRobot + Sucuri SiteCheck รายสัปดาห์)
  11. จำกัดบทบาทผู้ใช้ให้มีสิทธิ์น้อยที่สุด ผู้ร่วมเขียนส่วนใหญ่ไม่ต้องการการเข้าถึงระดับ editor
  12. การเข้ารหัสการสำรองข้อมูลฐานข้อมูล (UpdraftPlus Premium มีให้)
  13. การโฮสต์รูปภาพนอกโดเมนผ่าน CDN (ลดพื้นผิวการโจมตี)
  14. การตรวจสอบบันทึกการตรวจสอบความปลอดภัยเป็นระยะ
  15. การทดสอบเจาะระบบประจำปีหากเว็บไซต์สร้างรายได้อย่างมีนัยสำคัญ

ตำนานความปลอดภัยของ WordPress: ข้ามไปได้

มาตรการ «ความปลอดภัย» ที่แนะนำกันอย่างมากหลายอย่างให้การป้องกันที่แท้จริงน้อยมาก: (1) «ซ่อนเวอร์ชันของ WordPress»: การรู้เวอร์ชันของคุณช่วยการโจมตีแบบเจาะจงเป้าหมายเล็กน้อย แต่วิธีแก้ที่แท้จริงคือการอัปเดต ไม่ใช่การซ่อน (2) «ย้าย wp-config.php ไว้เหนือ public_html»: ให้ประโยชน์ด้านความปลอดภัยแทบเป็นศูนย์; ไฟล์นี้ได้รับการป้องกันโดย .htaccess อยู่แล้ว (3) «ปิดใช้งาน REST API»: ทำให้ปลั๊กอินจำนวนมากเสียหายและบล็อกได้น้อย ให้จำกัด endpoint ที่เฉพาะเจาะจงแทน (4) «ซ้อนปลั๊กอินความปลอดภัยหลายตัว»: พวกมันขัดแย้งและทับซ้อนกัน ปลั๊กอินที่เชื่อถือได้หนึ่งตัว (Wordfence หรือ Solid Security) ครอบคลุมสิ่งที่สามตัวจะทำ (5) «เปลี่ยนชื่อ wp-login.php»: ความปลอดภัยโดยความคลุมเครือ; ผู้โจมตีพบ URL ใหม่ได้ง่ายผ่านการเปลี่ยนเส้นทาง

หากคุณถูกแฮ็ก: รายการการกู้คืน

  1. อย่าตื่นตระหนก; อย่าลบสิ่งต่างๆ ทันที ถ่ายภาพรวมของสถานะปัจจุบันก่อนสำหรับการวิเคราะห์เชิงนิติเวช
  2. นำเว็บไซต์ออฟไลน์ (ปลั๊กอินโหมดบำรุงรักษาหรือการเปลี่ยนเส้นทาง .htaccess ไปยังหน้าสแตติก)
  3. เปลี่ยนรหัสผ่านผู้ดูแลระบบทั้งหมดและหมุนเวียน salts ของ WordPress
  4. ตรวจสอบบัญชีผู้ใช้: ลบบัญชีผู้ดูแลระบบที่ไม่รู้จักทันที
  5. สแกนหามัลแวร์ด้วย Wordfence Premium หรือ Sucuri
  6. เปรียบเทียบไฟล์ปัจจุบันกับการดาวน์โหลด WordPress ที่สะอาด: diff เผยให้เห็นไฟล์แกนหลักที่ถูกแก้ไข
  7. ตรวจสอบตาราง wp_options ของฐานข้อมูลหาเอนทรีที่ไม่คาดคิด (มักมี JS ที่ฉีดเข้ามา)
  8. กู้คืนจากการสำรองข้อมูลที่สะอาดล่าสุด (นี่คือเหตุผลที่การสำรองข้อมูลรายวันสำคัญ)
  9. เมื่อกู้คืนแล้ว ตรวจสอบปลั๊กอินแต่ละตัว: ลบตัวที่ไม่ได้ใช้ อัปเดตทั้งหมด และแทนที่ตัวใดก็ตามที่มี CVE สาธารณะ
  10. อัปเดตแกนหลักของ WordPress เป็นเวอร์ชันล่าสุด
  11. เปิดใช้งานเว็บไซต์อีกครั้งและเฝ้าระวังการติดเชื้อซ้ำเป็นเวลา 30 วัน
สร้าง salts ใหม่ของ WordPress ตอนนี้

คำถามที่พบบ่อย

WordPress ปลอดภัยน้อยกว่า CMS อื่นๆ หรือไม่?
ไม่โดยเนื้อแท้ ชื่อเสียงของ WordPress ในฐานะความเสี่ยงด้านความปลอดภัยมาจากสองปัจจัย: มันขับเคลื่อน 43% ของเว็บ ดังนั้นผู้โจมตีจึงพุ่งเป้าไปที่มัน; และผู้ใช้ทั่วไปติดตั้งปลั๊กอินที่มีช่องโหว่โดยไม่ตรวจสอบ เว็บไซต์ WordPress ที่ได้รับการบำรุงรักษาด้วยปลั๊กอินที่ตรวจสอบแล้วปลอดภัยพอๆ กับ Drupal หรือ Joomla เว็บไซต์ WordPress ที่ถูกทิ้งร้างด้วยปลั๊กอินที่ล้าสมัย 30 ตัวเป็นเป้าหมายที่ง่าย
ฉันต้องการปลั๊กอินความปลอดภัยแบบเสียเงินหรือไม่?
เว็บไซต์ส่วนใหญ่ไม่ต้องการ Wordfence Free ครอบคลุมสิ่งที่เว็บไซต์ WordPress 90% ต้องการ: firewall, การสแกนมัลแวร์, ความปลอดภัยการเข้าสู่ระบบ, ความสมบูรณ์ของไฟล์ เวอร์ชัน Premium เพิ่มการอัปเดตภัยคุกคามแบบเรียลไทม์ (เทียบกับความล่าช้า 30 วัน) การบล็อกตามประเทศ และการสนับสนุนที่มีลำดับความสำคัญ: คุ้มค่าสำหรับเว็บไซต์ที่มีรายได้จริง เป็นทางเลือกในกรณีอื่นๆ
ฉันควรอัปเดต WordPress บ่อยแค่ไหน?
เวอร์ชันย่อย (5.6.1 → 5.6.2): อัตโนมัติ ทันที เวอร์ชันหลัก (5.x → 6.x): ภายใน 7 วันหลังการเปิดตัว การอัปเดตปลั๊กอิน: ตรวจสอบรายสัปดาห์; อัปเดตอัตโนมัติหากคุณมีการสำรองข้อมูล; ตรวจสอบด้วยตนเองสำหรับปลั๊กอินที่สำคัญ (ความปลอดภัย, อีคอมเมิร์ซ, โค้ดที่กำหนดเอง)
วิธีที่พบบ่อยที่สุดที่เว็บไซต์ WordPress ถูกแฮ็กคืออะไร?
ปลั๊กอินที่มีช่องโหว่ รับผิดชอบ ~55% ของการโจมตี WordPress ที่ประสบความสำเร็จตามรายงานประจำปีของ Wordfence โค้ดของปลั๊กอินเองมีช่องโหว่ที่ผู้โจมตีใช้ประโยชน์ การบรรเทา: อัปเดตปลั๊กอินให้ทันสมัย ลบตัวที่ไม่ได้ใช้ และติดตั้งเฉพาะปลั๊กอินจากนักพัฒนาที่เชื่อถือได้
ฉันควรใช้โฮสติ้งที่มีความปลอดภัย WordPress ในตัวหรือไม่?
โฮสติ้ง WordPress แบบ managed (Kinsta, WP Engine, Pressable) รวม WAF, การสแกนมัลแวร์ และการอัปเดตแกนหลักอัตโนมัติ: สิ่งที่เพิ่มเข้ามาที่มีนัยสำคัญ การที่มันคุ้มกับราคาพรีเมียมหรือไม่ขึ้นอยู่กับปริมาณการเข้าชมและโปรไฟล์ภัยคุกคามของคุณ สำหรับเว็บไซต์ธุรกิจขนาดเล็ก การติดตั้ง Wordfence ฟรีบนโฮสติ้ง shared ครอบคลุมภัยคุกคามส่วนใหญ่

บทความที่เกี่ยวข้อง

สมัครรับข่าวสารอัปเดต

เราไม่ขายอีเมลของคุณ เราไม่ส่งสแปม

© 2026 RevealTheme. All rights reserved.