เมื่อทำเว็บไซต์ WordPress เสร็จแล้ว ขั้นตอนต่อไปก็คือการดูแลเว็บไซต์ หรือ Website Maintenance ซึ่งเป็นกระบวนการที่สำคัญอย่างยิ่ง เพื่อให้เว็บไซต์ใช้งานได้อย่างไหลลื่น ป้องกันไม่ให้เกิดข้อผิดพลาดทั้งส่วนของเนื้อหาและความปลอดภัยครับ

ในบทความนี้ผมจะแชร์ 14 เทคนิค การดูแลเว็บไซต์ WordPress แบบ Best Practice เพื่อให้เว็บของคุณทำงานได้อย่างไหลลื่น ไม่ต้องกลัวโดยแฮ็คครับ


เลือกโฮสติ้งให้ดี

เลือกโฮสดีมีชัยไปกว่าครึ่งครับ โดยทั่วไปแล้วการทำเว็บไซต์ๆ นึง คนทำเว็บก็อาจเลือกโฮสติ้งจากหลากหลายประเภท (อ่านเพิ่มเติม: เว็บโฮสติ้งคืออะไร มีประเภทไหนบ้าง?) ตั้งแต่ Shared Hosting ที่นิยมใช้ จนถึงแบบ Cloud ต่าง ๆ โดยสิทธิ์การปรับแต่งด้านเทคนิค เช่น Security หรือ Firewall ต่าง ๆ ที่โฮสติ้งให้มาในแต่ละประเภทก็จะไม่เหมือนกันครับ

  • Shared Hosting: บางเจ้าให้ปรับไม่ได้เลย หรือปรับได้บ้างหากแค่บางอย่าง ซึ่งตรงนี้ก็เป็นส่วนสำคัญมากครับ เพราะถ้าต่อให้คุณทำเว็บให้ปลอดภัยและแข็งแรงแค่ไหน แต่โฮสติ้งของคุณมีช่องโหว่ในระดับ Server ที่ให้บริการคุณอยู่ หรือเว็บอื่นในเครื่องโดนมัลแวร์ เว็บคุณอาจโดนได้ครับ เพราะโดยธรรมชาติของ Shared Hosting คือเว็บของคุณอยู่รวมกันกับเว็บอื่นใน Server เครื่องเดียวกัน หากเว็บอื่นโดนแฮ็คหรือโดนมัลแวร์ก็มีโอกาสลามมาเว็บของคุณได้ หรือสร้างความเสียหายระดับ Server ได้ครับ
    • เคยมีเคสที่เกิดเมื่อช่วงปี 2024 เว็บโฮสติ้งดังเจ้านึงในไทยโดน Ransomware ทำให้ข้อมูลใน Server และเว็บไซต์ลูกค้าเป็นจำนวนมากในเครือข่ายเดียวกัน เข้าใช้งานไม่ได้ทั้งหมดเพื่อเรียกค่าไถ่ ในเคสนี้ทำอะไรไม่ได้เลยครับ ต่อให้เว็บไซต์ WordPress คุณดีแค่ไหน ถ้าโดนจากฝั่งที่อยู่นอกเหนือการควบคุมครับ ถ้าอยากทราบข้อมูลเพิ่มเติมลอง Google ดูได้ครับ
  • หากคุณใช้ Cloud: เพื่อรันเว็บไซต์ของคุณ เช่น เช่าโดยตรงจาก Vultr, DigitalOcean, AWS ตรงนี้คุณต้องมีความรู้เรื่องการ Config Server ครับ เนื่องจากพวกนี้จะให้ Server เปล่าๆ คุณมา ลง OS ได้ ทำอย่างอื่นได้ แต่ Support ของเขาจะไม่ครอบคลุมถึงความปลอดภัยบนเว็บของคุณครับ คุณต้องดูแลเว็บไซต์ และเครื่อง Cloud ของคุณเอง
    • โดยทั่วไปผมจะใช้ Server Management Service เช่น Runcloud, Gridpane, xCloud.host มาเป็นตัวจัดการเว็บอีก layer นึงครับ โดย Service พวกนี้จะมีเรื่องของ Security ที่จำเป็นมาให้ครับ โดยจะทำในระดับ Server Level เลย ซึ่งก็เป็นเรื่องที่ดีครับในการคุมทั้งหมด แต่ทั้งนี้ผู้ใช้งานก็ควรมีความรู้เรื่อง Server และการทำงานระดับนึงด้วยครับ ข้อดีก็คือไม่ต้องทำทุกอย่างจาก 0 ผมเลยโฟกัสที่การดูแลเว็บไซต์ WordPress ให้ได้มากขึ้นครับ
ตัวอย่างเว็บโฮสติ้งที่หาจากผลการค้นหา Google
ตัวอย่างเว็บโฮสติ้งที่หาจากผลการค้นหา Google

เพราะฉนั้น ในการเลือกเว็บโฮสติ้ง ถ้ามองถึงความปลอดภัย ให้ลองมองหาตามนี้ครับ:

  • มี Web Application Firewall ลองเมลหรือโทรถามโฮสติ้งก็ได้ครับ ว่าเขามีแนวทางการทำงานอย่างไรบ้าง บางเจ้ามีแก้ไขมัลแวร์ให้ฟรีครับ
  • มี Anti-Malware เช่น Imunify360 เป็นต้น ทำงานเหมือน Antivirus ในคอมพิวเตอร์ครับ
    • ถึงแม้ข้อนี้จะเป็นข้อเสริม แต่ส่วนใหญ่ใน Shared Hosting ผู้ให้บริการจะตั้งให้มันสแกนเว็บไซต์ทุก ๆ วันครับ หากเจอไฟล์แปลกปลอมจะล้างออกให้ทันที
  • มี DDOS Protection ป้องกันเว็บไซต์โดนโจมตี ส่วนใหญ่จะเป็น Bot พยายามโจมตีโดยทำตัวเหมือนคนเข้าเว็บปริมาณมาก ๆ ให้เว็บรับไม่ไหวและล่มครับ
    • ข้อนี้ใช้ Cloudflare ช่วยได้ แต่ในระดับ Web Hosting ก็ควรมีครับ
  • มี Backup รายวันได้ยิ่งดีครับ ถ้าเว็บเกิดปัญหา โดนแฮ็คมา สามารถกู้ไปก่อนที่จะโดนเพื่อแก้ไขได้ทันครับ

ใช้ Plugin ให้น้อย ๆ เลือก Theme ดี ๆ และหมั่นอัพเดทบ่อย ๆ

ข้อนี้สำคัญครับ เพราะช่องโหว่ที่ทำให้เว็บโดนแฮ็คได้ในการทำเว็บไซต์ WordPress มีได้ทั้งจากตัว WordPress เอง และผ่าน Theme, Plugin ต่าง ๆ ครับ เพราะฉนั้นในการทำเว็บไซต์เพื่อใช้งานในระยะยาว ผมแนะนำดังนี้

  1. ใช้ Plugin เท่าที่จำเป็น อันไหนไม่ใช้ลบทิ้งไป เอาเก็บไว้เท่าที่ตัวเว็บใช้งานดีกว่าครับ
  2. กดอัพเดท WordPress/Theme/Plugin ตลอดเวลา ส่วนใหญ่ปัญหาของทั้ง 3 อย่างนี้ในการทำเว็บ WordPress มักจะเกิดจากการที่มีช่องโหว่ที่มักพบเจอได้ในเวอร์ชั่นเก่า ๆ ซึ่งเวอร์ชั่นใหม่ ๆ ผู้พัฒนาก็มักจะปรับแก้เรียบร้อยครับ จากนั้นให้ดูข้อ 3) โดยผมแนะนำว่าให้ทำเดือนละครั้งหรือสัปดาห์ละครั้งยิ่งดีเลยครับ โดยก่อนทำอย่าลืม Backup ไว้ด้วยนะครับกันพัง
  3. เลือกใช้ Theme และ Plugin มาทำเว็บไซต์จากแหล่งและผู้พัฒนาที่เชื่อถือได้ เลือกจาก WordPress.org หรือหากเป็นข้างนอกให้เลือกจากเจ้าที่ดูน่าเชื่อถือ และเปิดบริการนานแล้วดีกว่าครับ โดยเฉพาะข้อหลังสำคัญเพราะหากไปซื้อเจ้าโนเนมมาแล้วเขาเลิกซัพพอร์ตหรือเลิกให้บริการ นั่นแปลว่า Theme หรือ Plugin ตัวนั้นก็จะไม่มีการอัพเดทอีกต่อไป ทำให้เว็บโดนได้ง่ายครับ

ใช้ Username และรหัสผ่านที่เดายาก ๆ

เจอบ่อยครับเวลาใช้ WordPress แล้วตั้ง Username เป็นแค่ “admin” (เพราะว่าชื่อนี้มักจะโดนกันได้ง่ายๆ) หรือรหัสง่าย ๆ ครับ แนะนำให้ตั้งให้ยาก ๆ ครับ มีตัวพิมพ์ใหญ่เล็กปะปนกัน มีตัวอักษรพิเศษ เช่น @%& ยิ่งดี


ใช้ Cloudflare มาช่วย

ตัวอย่างการตั้งค่า Cloudflare
ตัวอย่างการตั้งค่า Cloudflare

Cloudflare.com เป็น Service ที่นำมาครอบตัวเว็บไซต์อีกทีครับ โดยจะช่วยเพิ่มในเรื่องของการป้องกันตัวเว็บไม่ให้โดนโจมตีจากข้างนอกได้ระดับนึงครับ แค่ตัวฟรีก็โอเคแล้วครับ โดยการทำงานมันจะปิด IP ของ Server ไม่ให้หาเจอได้ และสามารถใช้ฟังค์ชั่นพวกนี้ในการเพิ่มความปลอดภัยให้เว็บ WordPress ได้ แต่ก็อาจต้องมีความรู้ด้านเทคนิคนิดดดดนึงครับ เช่น

  • บล็อกไม่ให้คนจากประเทศอื่นเข้าเว็บได้ หรืออนุญาตให้คนจากประเทศที่คุณเลือกไว้เข้าได้เท่านั้น ตรงนี้ถ้ามีข้อมูลว่าเว็บของคุณเน้นกลุ่มผู้ชมจากที่ไหน ก็จะช่วยได้มากครับ
  • ตั้ง Cloudflare Rules บล็อกไม่ให้คนเข้าหน้า login ได้หากไม่ติ๊ก captcha หรือบล็อกไฟล์ xmlrpc.php เลย
  • บล็อกไม่ให้ Bot ที่น่าสงสัยเข้ามา หรือ Bot AI เข้ามาเก็บข้อมูลไป Train AI ได้โดยการเปิดโหมด Bot Fight Mode และ Block AI Crawler

ปิดไม่ให้แก้ไฟล์ Theme/Plugin ใน WordPress ได้ และปิด XML-RPC

โดยทั่วไปแล้ว WordPress จะมีตัว Theme File Editor, Plugin File Editor หลังบ้าน โดยเป็นช่องที่ทำให้หาไฟล์ได้และแก้ไขไฟล์ได้ทันที เป็นช่องโหว่ช่องนึงที่ทำให้ Hacker ที่เข้ามาในระบบสามารถแก้ไฟล์ได้โดยตรง โดยวิธีปิดก็คือเข้าหาไฟล์ wp-config.php และเพิ่มบรรทัดต่อไปนี้เข้าไป

define('DISALLOW_FILE_EDIT', true);

ตัวอย่างดังภาพ

14 เทคนิค ดูแลเว็บไซต์ WordPress อย่างไรให้ปลอดภัย ไม่ให้โดนแฮ็ค
แก้ไข File wp-config.php

ส่วน XML-RPC คือฟังค์ชั่นที่เป็นจุดอ่อนของ WordPress ที่ใหญ่มากกกกกกก ซึ่งโดยขนานเดิมมันถูกออกแบบมาให้ระบบภายนอกติดต่อกับตัวเว็บได้ ในปัจจุบันในเว็บ WordPress แทบไม่ได้มีการใช้งานเลยครับ ทำให้คุณอาจโดนสุ่ม Login ผ่านจุดนี้ได้เพื่อเข้าระบบครับ หรือใช้เว็บของคุณเป็นฐานในการโจมตี DDOS เจ้าอื่น

โดยวิธีปิดส่วนใหญ่แล้วปลั๊กอิน Security มักจะมีอยู่ (ลองดูบทความ: ปลั๊กอินความปลอดภัย Security ได้ครับ) โดยทำได้ดังนี้

  • ระดับ Server Level บางที่ก็มี Option ให้กดปิดได้ ลองหาใน Control Panel นะครับ
  • หากใช้ Cloudflare สามารถตั้ง Rule Block xmlrpc.php ได้เลย
  • หากไม่มี สามารถหาไฟล์ .htaccess ใน directory ที่ติดตั้ง WordPress และเพิ่มโค้ดต่อไปนี้เข้าไปได้ครับ
#Block WordPress xmlrpc.php requests 
<Files xmlrpc.php> order deny,allow 
deny from all 
</Files>

ปิด Comment (หากไม่ได้ใช้)

โดยปกติแล้ว WordPress จะแถมระบบ Comment มาให้สำหรับ “เรื่อง” หรือพวกบทความนั่นเอง และบ่อยครั้งที่ช่องทางนี้ถูกใช้เป็นช่องทางที่ทำให้เว็บไซต์โดนสแปมได้โดยง่าย และมักจะติดลิ้งค์ไปยังเว็บไซต์เทาหรือดำเสมอ ๆ โดยหากไม่ใช้สามารถปิดได้โดยไปที่ Settings > Discussion และติ๊กออกในข้อ Allow people to submit comments on new posts

วิธีปิด Comment ใน WordPress (ให้ติ๊กออกนะ)
วิธีปิด Comment ใน WordPress (ให้ติ๊กออกนะ)

หา Plugin Security มาใช้ก็ได้นะ

หากคุณต้องการเสริมความปลอดภัยกับเว็บไซต์ WordPress เข้าไปอีกขั้น สามารถลองเลือกใช้ Plugin Security เช่น Wordfence หรือ Solid Security Pro มาลงได้ โดยจะเสริมความปลอดภัยจากข้ออื่นๆ เข้าไปได้ เช่นเป็น Firewall เสริมให้กับเว็บไซต์ สแกนไฟล์ และ Monitor การเข้าออกเว็บไซต์ว่าน่าสงสัยไหม จนไปถึง Monitor ไฟล์ต่าง ๆ ว่าโดนเปลี่ยนแปลงไหม

โดยจะเหมาะกับเว็บที่มีการเก็บข้อมูลลูกค้า เช่น เป็นเว็บไซต์ขายของออนไลน์ E-Commerce หรือทำเว็บไซต์บริษัทที่มีการเก็บข้อมูลลูกค้าเป็นต้น โดยผมมีเขียนไว้ที่บทความ ปลั๊กอินความปลอดภัย Security ที่ผมบอกข้อดีและข้อเสียไว้ให้เรียบร้อยนะครับ


โดยสรุปแล้วก็คือ การทำเว็บไซต์ก็ต้องเริ่มจากการมี Best Practice ที่ดีตั้งแต่ต้น เพื่อให้การดูแลเว็บไซต์เป็นไปได้อย่างราบรื่น ไม่ว่าจะเป็นการเลือกใช้ปลั๊กอิน ธีม การเลือกใช้โฮสติ้ง จนไปถึงการดูแลเว็บไซต์ของผู้ดูแลเองก็ตามครับ