ติดตั้ง WordPress อย่างไรให้ปลอดภัย ใช้งานได้มั่นใจตั้งแต่วันแรก

เพราะ WordPress เป็นมากกว่าแค่แพลตฟอร์ม

WordPress อาจเริ่มจากระบบบล็อก แต่ทุกวันนี้กลายเป็นรากฐานของเว็บไซต์หลายสิบล้านแห่งทั่วโลก ตั้งแต่เว็บข่าวจนถึงอีคอมเมิร์ซ ปัญหาคือ ยิ่งมีคนใช้มาก ยิ่งตกเป็นเป้าหมายของแฮกเกอร์โดยไม่รู้ตัว การติดตั้งแบบ “คลิกไปเรื่อย ๆ จนเสร็จ” อาจเปิดช่องโหว่โดยไม่รู้ตัว บทความนี้จึงชวนติดตั้ง WordPress อย่างมีสติ เพื่อไม่ให้เว็บล่มเพราะความประมาท

ทางเลือกในการติดตั้ง: อัตโนมัติ vs. แมนนวล

ติดตั้งแบบอัตโนมัติผ่าน Hosting Control Panel

หลายโฮสติ้งมีระบบติดตั้ง WordPress อัตโนมัติ เช่น Softaculous หรือ Installatron สะดวกและรวดเร็ว แต่ควรเปลี่ยนค่า default ให้หมด เช่น username, database prefix และ directory ชั่วคราว

ติดตั้งแบบแมนนวล (Manual)

เหมาะกับผู้ที่ต้องการควบคุมความปลอดภัยทุกขั้นตอน เช่น:

• ดาวน์โหลด WordPress จาก wordpress.org

• อัปโหลดไฟล์ผ่าน FTP

• สร้างฐานข้อมูลเอง พร้อม user และรหัสผ่าน

• ตั้งค่า wp-config.php โดยกำหนด SALT Key แบบ custom
  การติดตั้งแบบแมนนวลอาจใช้เวลานานกว่า แต่ให้ความปลอดภัยสูงกว่าในระยะยาว

จุดเสี่ยงที่ควรระวังตั้งแต่เริ่มติดตั้ง

1. Username “admin” คือเป้าหมายแรกของบอท

เปลี่ยนชื่อผู้ใช้งานหลักเป็นชื่อเฉพาะตัว หลีกเลี่ยงชื่อเดาง่าย เช่นชื่อเว็บไซต์ หรือคำทั่วไป

2. อย่าปล่อยให้ directory มีสิทธิ์ 777

การให้สิทธิ์อ่าน–เขียน–รันแบบ 777 คือการเปิดบ้านทิ้งไว้แบบไม่มีประตูล็อก ใช้แค่ 755 สำหรับโฟลเดอร์ และ 644 สำหรับไฟล์จะดีกว่า

3. ปรับ wp-config.php ให้ปลอดภัยยิ่งขึ้น

นอกจาก SALT Key ยังควรย้าย wp-config.php ไปอยู่นอก root directory (ถ้าโฮสติ้งรองรับ) เพื่อลดโอกาสถูกดักข้อมูล

ปลั๊กอินความปลอดภัย: เสริมเกราะก่อนโดนเจาะ

Wordfence, iThemes Security, All-In-One WP Security

ปลั๊กอินเหล่านี้มีระบบตรวจจับความผิดปกติ การล็อกอินผิดซ้ำ ๆ และสามารถบล็อก IP แปลก ๆ ได้ทันที อย่าลืมตั้งค่าระบบแจ้งเตือนผ่านอีเมล

Login Limiter & reCAPTCHA

ติดตั้งปลั๊กอินที่จำกัดจำนวนครั้งในการพิมพ์รหัสผ่านผิด และใส่ reCAPTCHA เพื่อป้องกันบอทพยายามเดารหัส

เลือกโฮสติ้งที่ให้มากกว่าแค่พื้นที่

โฮสติ้งที่ดีควรมีระบบป้องกัน DDoS, backup อัตโนมัติรายวัน และให้สิทธิ์จัดการ SSL อย่างอิสระ อย่ามองแค่ราคาถูก เพราะความเสียหายจากการโดนแฮกอาจแพงกว่าค่าโฮสต์หลายเท่า

Backup คือเพื่อนที่คุณต้องมี แม้ไม่เคยใช้

ตั้งระบบสำรองข้อมูลอัตโนมัติทุกวันและทุกครั้งก่อนอัปเดตระบบหรือปลั๊กอิน เก็บไฟล์ไว้ทั้งในเซิร์ฟเวอร์และนอกเซิร์ฟเวอร์ เช่น Google Drive หรือ Dropbox

SSL: ไม่ใช่แค่ https แต่คือความน่าเชื่อถือ

ติดตั้ง SSL Certificate และบังคับให้ redirect ไปที่ https เสมอ เว็บไซต์ที่ไม่มี https มักถูก Google เตือนว่า “ไม่ปลอดภัย” และผู้ใช้จะกดปิดทันที

อย่าลืมตั้ง 2FA สำหรับผู้ดูแลระบบ

Two-Factor Authentication คือเกราะอีกชั้นที่ช่วยล็อกอินปลอดภัยขึ้น แม้แฮกเกอร์จะเดารหัสผ่านได้ แต่จะข้ามขั้นตอน OTP ไม่ได้ถ้าไม่มีอุปกรณ์ของคุณ

สิ่งที่ไม่ควรทำเด็ดขาด

– ใช้ปลั๊กอินหรือธีมจากแหล่งละเมิดลิขสิทธิ์

ไฟล์เหล่านี้มักมี backdoor แฝงอยู่ ถ้าราคาแพง ให้มองหา Open Source หรือรุ่นฟรีจากผู้พัฒนาตัวจริงจะปลอดภัยกว่า

– ใช้รหัสผ่านซ้ำกับบริการอื่น

การรั่วไหลเพียงครั้งเดียว อาจทำให้ทุกบัญชีของคุณตกอยู่ในความเสี่ยง ใช้ Password Manager ช่วยจัดการจะดีกว่า

เว็บไซต์ที่ดูปลอดภัย ไม่ได้เกิดจากการ “หวังว่าจะไม่โดน” แต่เกิดจากการ “เตรียมรับมือไว้ล่วงหน้า” การติดตั้ง WordPress อย่างมีชั้นเชิง อาจดูช้าในวันนี้ แต่ช่วยให้คุณนอนหลับสบายในวันต่อ ๆ ไป