สาเหตุ การป้องกัน และการแก้ไข WordPress Malware (สำหรับคนทั่วไป)

หัวข้อสำคัญในเนื้อหานี้

สำหรับผู้ที่ใช้งาน WordPress อาจจะเคยพบปัญหาเหล่านี้

  • เว็บไซต์เสียหายเข้าใช้งานไม่ได้
  • เว็บไซต์มีการแสดงผล และมีเนื้อหาที่ผิดปกติ
  • เว็บไซต์มีการ Redirect ไปยังเว็บไซต์อื่น
  • พบภาษาญี่ปุ่นในผลการค้นหาเว็บไซต์เราบน Google
  • และอื่นๆ

หนึ่งในสาเหตุของปัญหาเหล่านี้คือเว็บไซต์ “ถูกฝัง Malware”

ภาพตัวอย่างเว็บไซต์ถูกฝังเนื้อหาภาษาญี่ปุ่นในผลการค้นหาของ Google

สาเหตุของการติด Malware

สาเหตุของการติด Malware อาจจะเกิดได้จากหลากหลายสาเหตุ เช่น จากการที่เราไม่ได้อัปเดต WordPress, Plugins หรือ Themes อย่างสม่ำเสมอ หรือใช้งาน Themes หรือ Plugins จากแหล่งดาวน์โหลดที่มีความเสี่ยง หรือการใช้งาน Themes หรือ Plugins ที่ไม่ได้มีการอัปเดตด้านความปลอดภัยแล้ว หรือการใช้งานรหัสผ่านที่ไม่มีความปลอดภัย เป็นต้น

การป้องกัน Malware

สำหรับหัวใจหลักในการป้องกัน Malware คือ การไม่นำ Malware เข้าสู่ระบบ และไม่ให้ Malware มีโอกาสเข้าสู่ระบบเว็บไซต์ของเรา

1. การไม่นำ Malware เข้าสู่ระบบ เช่น

  • ใช้งาน Plugins และ Themes จากแหล่งดาวน์โหลดที่ปลอดภัย เช่น เว็บไซต์ทางการของ WordPress หรือเว็บไซต์ที่น่าเชื่อถือ เพราะการใช้งาน Plugins และ Themes จากแหล่งที่ไม่ปลอดภัยอาจมีโอกาสที่จะถูกฝัง Malware ไว้ตั้งแต่ต้น

WordPress.org เว็บไซต์ทางการของ WordPress ที่สามารถดาวน์โหลด Plugins ได้

2. การป้องกันไม่ให้ Malware มีโอกาสเข้าสู่ระบบ เช่น

  • ใช้งาน Themes และ Plugins ที่ยังมีการอัปเดตด้านความปลอดภัย
  • อัปเดต WordPress, Plugins และ Themes อย่างสม่ำเสมอ (ควรมีการสำรองข้อมูล และทดสอบความเข้ากันได้ก่อน เพราะอาจพบปัญหาว่า WordPress, Plugins และ Themes บางตัวไม่สามารถทำงานร่วมกันได้ในขณะนั้น อาจส่งผลให้เว็บไซต์ไม่สามารถใช้งานได้ครับ)
  • ติดตั้ง Plugin ด้านความปลอดภัยบนเว็บไซต์ WordPress ที่นอกจากจะมีคำแนะนำด้านความปลอดภัยแล้ว บาง Plugin ยังมีฟีเจอร์ที่ช่วยป้องกันเมื่อถูกโจมตีอีกด้วย เช่น การถูกสุ่มรหัสผ่าน ตัวอย่าง Plugins ที่นิยมได้แก่ Wordfence Security, iThemes Security 
  • ใช้งานชื่อผู้ใช้งานและรหัสผ่านที่ปลอดภัย หลีกเลี่ยงการใช้งานใช้งานชื่อผู้ใช้งาน (Username) เป็น admin และรหัสผ่าน (Password) ที่มีความซับซ้อนสูงและเก็บไว้ที่ปลอดภัย ก็จะช่วยลดโอกาสในการถูกโจมตีอีกด้วย รวมถึงการเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ และควรเปลี่ยนรหัสผ่านโดยทันทีหากเว็บไซต์เคยถูกโจมตีหรือติด Malware แล้ว
  • การใช้งาน PHP ที่มีความปลอดภัย ที่ยังคงได้รับการอัปเดตด้านความปลอดภัยจากผู้พัฒนา เช่น เวอร์ชัน 8.x โดย WordPress ได้แนะนำให้ใช้งาน PHP 7.4 หรือใหม่กว่า, MySQL 5.7 หรือใหม่กว่า หรือ MariaDB 10.3 หรือใหม่กว่า ทั้งนี้ PHP เวอร์ชัน 7 ได้สิ้นสุดการสนับสนุนจากผู้พัฒนาแล้ว หมายความว่าจะได้ไม่ได้รับการอัปเดตด้านความปลอดภัยอีกต่อไป (บริการ Next-Gen WordPress Hosting รองรับ PHP 7.4-8.1 และ Mariadb 10.4)
  • ติดตั้ง SSL Certificate ให้กับเว็บไซต์ (วิธีการสร้าง SSL Certificates บน Next-Gen WordPress Hosting)
  • ไม่ตั้งค่า Files Permission ที่ให้สิทธิ์มากเกินไป ไม่แนะนำอย่างยิ่ง สำหรับการกำหนดค่า CHMOD 777
  • ใช้งาน Server ที่มีการอัปเดตความปลอดภัยอย่างสม่ำเสมอ
  • Web-Application Firewall (บริการ Next-Gen WordPress Hosting มาพร้อมโซลูชันความปลอดภัย Imunify360)

Wordfence Security – Firewall & Malware Scan เป็น Plugins ด้านความปลอดภัยยอดนิยมของ WordPress

ตัวอย่างรหัสผ่านที่มีความปลอดภัยที่ Generate โดยอัตโนมัติจากระบบของ WordPress

การแก้ไขเมื่อเว็บไซต์ติด Malware

เมื่อเว็บไซต์ WordPress ของเราติด Malware แล้ว หมายความว่า บางส่วนหรือหลายส่วนของเว็บไซต์ WordPress ของเรามีไฟล์และคำสั่งที่เป็นอันตราย สำหรับการแก้ไขที่ง่ายที่สุดอาจจะเป็นการกู้คืนข้อมูล (Restore) จากไฟล์ที่มีการสำรองข้อมูลไว้ 

บริการ Next-Gen WordPress Hosting มีการสำรองข้อมูลอัตโนมัติ “ทุกวัน” และเก็บย้อนหลังสูงสุดถึง 30 วัน

ในกรณีที่เราไม่สามารถกู้คือข้อมูลได้ การแก้ไขคือการต้องการต้องลบไฟล์หรือคำสั่งเหล่านั้นออกจากเว็บไซต์ของเรา ซึ่งบางไฟล์ก็เป็นไฟล์เดี่ยวที่เราสามารถลบได้ทั้งไฟล์ แต่บางคำสั่งอาจจะถูกแทรกอยู่ในไฟล์ปกติหรือในฐานข้อมูลของเรา ซึ่งเราต้องทำการลบเฉพาะส่วนนั้นออกเพื่อไม่ให้เกิดความเสียหายต่อเว็บไซต์ของเรา แต่งานนี้ไม่ใช่งานง่ายแน่นอน และขอเน้นย้ำแบบตัวใหญ่ๆ ว่าไม่ใช่งานง่ายจริงๆ เพราะหนึ่งเว็บไซต์อาจจะมีไฟล์หรือคำสั่งที่เป็นอัตรายมากถึงหลักพันถึงหลักหมื่นไฟล์! และบางส่วนอาจถูกฝังอยู่ในฐานข้อมูลของเว็บไซต์ของเรา

สถิติ Malicious Files สูงสุดใน 1 เว็บไซต์ที่ถูกตรวจพบและกำจัด ของลูกค้าบริการ Next-Gen WordPress Hosting คือ 11,689 ไฟล์ โดยเป็นการพยายามสร้างไฟล์ .htaccess และมีคำสั่งที่เป็นอัตราย ใน directory ต่างๆ ของเว็บไซต์ WordPress ของลูกค้า และทั้งหมดถูกตรวจพบและแก้ไขโดยอัตโนมัติจากโซลูชันความปลอดภัยของ Bangmod.Cloud ภายในวันเดียว

สำหรับท่านที่ไม่ทราบว่าจะต้องตรวจสอบอย่างไร อาจจะลองติดตั้ง Plugins ของ WordPress ที่สามารถ Scan หา Malware ได้ หรือหากผู้ให้บริการ Hosting ที่ใช้งานมีบริการ Scan Mawalre ก็ติดต่อให้ทางผู้ให้บริการดำเนินการตรวจสอบให้ หลังจากนั้นก็ดำเนินการแก้ไขหรือลบไฟล์ Malware ที่ตรวจสอบพบครับ

Next-Gen WordPress Hosting Security

ภาพตัวอย่างการตรวจพบและกำจัด Malware ในบริการ Next-Gen WordPress Hosting ในวันที่ 9 ธันวาคม 2565 จำนวน 1,809 ไฟล์ 
โดยไฟล์ทั้งหมดมากจากเว็บไซต์เดียว!

อีกทางเลือกในการป้องกันและแก้ไข Malware

นั่นคือการเปลี่ยนมาใช้บริการ Next-Gen WordPress Hosting ของ Bangmod.Cloud เพราะเป็นโฮสติ้งที่มาพร้อมโซลูชันด้านความปลอดภัยระดับพรีเมี่ยมจาก Imunify360 ที่สามารถป้องกันการโจมตีจากผู้ไม่ประสงค์ดีจากช่องทางต่างๆ โดยอัตโนมัติ รวมถึงการป้องกันและแก้ไข Malware!

Imunify360 จะทำการ Scan Malware ในเซิร์ฟเวอร์อัตโนมัติ “ทุกวัน” รวมถึงการ Scan แบบ Real-Time เมื่อมีการอัปโหลดไฟล์เข้าสู่เซิร์ฟเวอร์ รวมถึงการตรวจสอบฐานข้อมูลของ WordPress (WordPress Database) ที่อาจถูกแทรก Javascript, Iframes หรือคำสั่งที่อาจเป็นอันตรายต่อเซิร์ฟเวอร์ เมื่อระบบตรวจพบว่าไฟล์นั้นอาจเป็นอัตรายก็จะทำการแยกหรือกำจัดความเสี่ยงนั้นทันที พร้อมแสดงข้อมูลใน Dashboard ความปลอดภัยให้เราสามารถตรวจสอบข้อมูลได้ (วิธีการ Scan และ Clean Malware และตรวจสอบความปลอดภัยด้วย Imunify360)

นอกจากนี้ลูกค้าที่ใช้บริการ Next-Gen WordPress Hosting ของ Bangmod.Cloud ยังสามารถแจ้งให้เจ้าหน้าที่ Support ของเราเข้าไปช่วยดูแลและกำจัด Malware ให้ได้เมื่อเว็บไซต์ติด Malware

ใช้งาน Next-Gen WordPress Hosting แล้ว จะยังมีโอกาสติด Malware หรือไม่?

คำตอบคือ “มี” ครับ 

Malware ก็เปรียบเสมือนโรคที่พร้อมทำอัตรายเราเมื่อร่างกายของเราไม่แข็งแรง Malware จะถูกพัฒนาอยู่เสมอเพื่อหาช่องโหว่และเข้าโจมตีเว็บไซต์หรือระบบของเรา ดังนั้นการอัปเดตเว็บไซต์ WordPress, Plugins และ Themes ของเราให้มีความปลอดภัยอย่างสม่ำเสมอ รวมถึงการใช้งานรหัสผ่านที่มีความปลอดภัยจึงเป็นเหตุผลที่สำคัญที่จะช่วยลดโอกาสในการถูกโจมตีจาก Malware ได้ การใช้โซลูชันความปลอดภัยจะเป็นอีกหนึ่งส่วนที่ช่วยป้องกันและอำนวยความในการป้องกันและแก้ไขเว็บไซต์ของเราจาก Malware ครับ

WordPress Hosting ใหม่ล่าสุด รับฟรี Elementor Pro

ลูกค้าบริการ Next Generation WordPress Hosting ของ Bangmod.Cloud สามารถขอรับฟรี Elementor Pro สูงสุด 10 Licenses!!

Facebook
Twitter
Telegram

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

Allow All
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    คุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้ นอกจากนี้เรายังมีการใช้งาน Google Anlytics เพื่อเก็บข้อมูลสถิติการใช้งาน โดยข้อมูล IP ได้ถูกตั้งค่าให้ถูกจัดเก็บแบบนิรนาม (Anonymized IP)

  • คุกกี้เพื่อการวิเคราะห์และโฆษณา

    คุกกี้ประเภทนี้จะเก็บข้อมูลต่าง ๆ รวมทั้งข้อมูลวส่วนบบุคลเกี่ยวกับตัวคุณเพื่อเราสามารถนำมาวิเคราะห์ และนำเสนอเนื้อหา ให้ตรงกับความเหมาะสมกับความสนใจของคุณ ถ้าหากคุณไม่ยินยอมเราจะไม่สามารถนำเสนอเนื้อหาและโฆษณาได้ไม่ตรงกับความสนใจของคุณ
    Cookies ที่เราใช้งานได้แก่ Facebook Pixel

Save