จากประสบการณ์ที่ผ่านมา เรามักจะเจอกับคำถามที่ว่า จะสามารถตรวจสอบได้อย่างไรว่าเว็บไซต์ WordPress นั้นกำลังถูกแฮ็กอยู่ เป็นคำถามสุดฮิตที่เจออยู่เป็นประจำ ซึ่งจริง ๆ แล้วการที่เว็บไซต์ถูกแฮ็กนั้นมีสัญญาณบ่งบอก สัญญาณเหล่านี้จะช่วยให้คุณทราบได้ว่า WordPress ของคุณกำลังถูกผู้ไม่หวังดีบุกรุก ดังนั้นบทความนี้เราจะกล่าวถึงสัญญาณเตือนที่พบบ่อยมากที่สุดว่า WordPress ของคุณกำลังถูกรุกล้ำ พร้อมกับบอกแนวทางวิธีการป้องกันและแก้ไข สร้างความปลอดภัยให้เว็บไซต์ของคุณ
อัตราการเข้าชมเว็บไซต์ลดลงอย่างกระทันหัน
หากคุณเข้าไปตรวจดูรายงานการวิเคราะห์ของเว็บไซต์ ปรากฏว่าคุณเห็นอัตราการเข้าชมลดลงอย่างรวดเร็วแบบไม่ทันตั้งตัว และถ้าหากคุณตรวจเช็คเป็นอย่างดีแล้วว่า Google Analytics ทำงานอย่างถูกต้องไม่มีปัญหาใด ๆ ในการวิเคราะห์ นี่เป็นสัญญาณอันตรายที่คุณต้องรีบแก้ไข โดยอาจสื่อได้ว่าเว็บไซต์ของคุณกำลังถูกแฮ็ก
แต่อย่างไรก็ตามปริมาณการเข้าชมที่ลดลงอาจจะเกิดจากปัจจัยอื่น ๆ ได้เช่นกัน ยกตัวอย่างเช่น มัลแวร์บนเว็บไซต์ของคุณอาจจะมีการเปลี่ยนเส้นทางของผู้เข้าชมที่ไม่ได้เข้าสู่ระบบ พาไปยังเว็บเว็บไซต์ที่เป็นสแปมได้
นอกจากนั้นยังมีอีกสาเหตุหนึ่งที่เป็นไปได้สำหรับการลดลงอย่างกระทันหันของปริมาณการเข้าใช้งานเว็บไซต์ อาจเป็นเพราะว่า Google’s safe browsing tool แสดงคำเตือนแก่ผู้ที่จะคลิกเข้าสู่หน้าเว็บไซต์ของคุณว่าไม่ควรเข้า ไม่ปลอดภัย จึงส่งผลทำให้มีอัตราการเข้าชมลดลงอย่างรวดเร็ว
ในแต่ละวันนั้น Google ขึ้นบัญชีดำเว็บไซต์มากถึง 10,000 เว็บไซต์ เมื่อตรวจพบว่าเว็บไซต์มีปัญหา หรือความปลอดภัยต่ำ ดังนั้นหากคุณกำลังเป็นเจ้าของเว็บไซต์ WordPress แนะนำว่าคุณควรให้ความสนใจ และจริงจังต่อมาตรฐานความปลอดภัยของ WordPress
ซึ่งคุณสามารถตรวจสอบเว็บไซต์ โดยใช้เครื่องมือ Google’s safe browsing เพื่อดูการวิเคราะห์และรายงานผลความปลอดภัยของเว็บไซต์คุณ
มีลิงค์ที่ไม่ดี เพิ่มเข้ามายังเว็บไซต์ของคุณ
สัญญาณอีกอย่างหนึ่งที่พบบ่อยที่สุดสำหรับ WordPress ที่ถูกแฮ็ก ก็คือการสร้าง Backdoor บนเว็บไซต์ WordPress ซึ่งแฮ็กเกอร์จะสามารถเข้าถึงทุกอย่างใน WordPress ของคุณ พวกเขาจะเข้าแก้ไขไฟล์ต่าง ๆ ภายในเว็บไซต์ รวมทั้งเจาะเข้าไปในฐานข้อมูล WordPress ของคุณได้
นักแฮ็กเกอร์จะเพิ่มลิงก์สแปมไปยังเว็บไซต์ของคุณ ซึ่งหากคุณพบเจอลิงก์สแปมคุณสามารถที่จะลบมันทิ้งได้ แต่ก็ไม่ได้รับประกันว่าการลบลิงก์นั้นจะทำให้ลิงก์เหล่านี้ย้อนกลับมาไม่ได้อีก เพราะฉะนั้นสิ่งที่ควรทำก็คือคุณจะต้องค้นหาและเข้าไปแก้ไขในส่วนของ Backdoor ที่แฮ็กเกอร์ทำไว้ และนี่ก็คือคู่มือสำหรับแก้ไข Backdoor สำหรับ WordPress ที่ถูกแฮ็ก
หน้าแรกของเว็บไซต์เสียหายใช้งานไม่ได้
สัญญาณต่อมาที่อาจจะแสดงให้เห็นว่าเว็บไซต์ของคุณกำลังถูกแฮ็ก และเป็นสัญญาณที่ชัดเจนที่สุด นั่นก็คือหน้าแรกของเว็บไซต์เสียหาย ใช้งานไม่ได้ โดยความพยายามในการแฮ็กส่วนใหญ่ของนักแฮ็กเกอร์จะไม่ทำให้หน้าแรกของคุณเสียหายก่อนการเข้าไปแก้ไขในส่วนอื่น ๆ ของเว็บไซต์ เพราะว่าพวกเขาไม่ต้องการส่งสัญญาณให้คุณรับรู้ว่ากำลังโดนแฮ็ก เพื่อป้องกันไม่ให้คุณเข้ามาตรวจสอบเว็บไซต์ และแก้ไขได้ทันถ่วงที
แต่แฮ็กเกอร์บางรายต้องการจะแจ้งให้คุณทราบว่าเว็บไซต์กำลังถูกแฮ็ก เพราะฉะนั้นจะเข้าไปทำลายหน้าแรกให้พังเสียหาย โดยจะแทนที่หน้าแรกด้วยข้อความประหลาด ๆ ที่คุณไม่เคยเจอ และบางคนอาจถึงขั้นต้องการกรรโชกเอาเงินจากเจ้าของเว็บไซต์
คุณไม่สามารถล็อกอินเข้าสู่ระบบของ WordPress ได้
หากคุณไม่สามารถลงชื่อล็อกอินเข้าใช้เว็บไซต์ WordPress ได้ แสดงว่ามีโอกาสที่แฮ็กเกอร์อาจจะลบบัญชีผู้ดูแลระบบของคุณออกไปเรียบร้อยแล้ว เนื่องจากไม่มีบัญชีอยู่ คุณจึงไม่สามารถเข้ารีเซ็ตรหัสผ่านจากหน้าเข้าสู่ระบบได้ แต่อย่าพึ่งตกใจมีวิธีอื่น ๆ ในการเพิ่มปัญชีผู้ดูแลระบบ ซึ่งสามารถใช้ phpMyAdmin หรือ via FTP ก็ได้สำหรับการเพิ่มบัญชีผู้ดูแลระบบเข้าสู่เว็บไซต์ของคุณเมื่อบัญชีเดิมถูกลบออก จากนั้นแนะนำให้รีบเข้าไปตรวจเช็คว่าแฮ็กเกอร์เข้ามาในเว็บไซต์ของคุณอย่างไร แล้วกำจัดพวกเขาออกไปซะ
มีบัญชีผู้ใช้ที่น่าสงสัยเข้ามาใน WordPress
หากเว็บไซต์ของคุณนั้นมีการเปิดให้ผู้ใช้เข้าลงทะเบียน แต่ทว่าคุณไม่ได้สร้างมาตรการป้องกันการลงทะเบียนที่เป็นสแปม อาจจะพบเจอกับบัญชีที่เป็นสแปมได้ ซึ่งส่งผลให้เว็บไซต์มีความเสี่ยงในการถูกแฮ็ก คุณต้องเข้าตรวจสอบบัญชีผู้ใช้ที่ต้องสงสัยทันที และหากพบว่าบัญชีผู้ใช้ที่คุณกำลังสงสัยนั้นมีบทบาทเป็นผู้ดูแลระบบของเว็บไซต์โดยที่คุณไม่ได้เป็นคนอนุญาต แสดงว่าเป็นพวกแฮ็กเกอร์ และที่สำคัญคุณไม่สามารถลบบัญชีสแปมนี้ออกจากส่วนผู้ดูแลระบบของ WordPress ได้อีกด้วย
เจอไฟล์และสคริปต์ที่คุณไม่รู้จักบนเซิร์ฟเวอร์ของคุณ
หากคุณใช้ปลั๊กอินเครื่องมือสแกนเว็บไซต์ เช่น Sucuri ซึ่งปลั๊กอินเหล่านี้จะแจ้งเตือนคุณเมื่อสแกนพบไฟล์หรือสคริปต์ที่ไม่รู้จักบนเซิร์ฟเวอร์ของคุณ และถ้าคุณต้องการค้นหาไฟล์อันตรายพวกนี้ จะต้องเชื่อมต่อกับเว็บไซต์ WordPress โดยใช้ FTP client ซึ่งตำแหน่งที่คุณจะพบไฟล์และสคริปต์ที่เป็นอันตราย คือ /wp-content/ folder
โดยปกติแล้วไฟล์เหล่านี้จะมีชื่อคล้ายกับไฟล์ WordPress เพื่อสามารถแฝงตัวอยู่ในเซิร์ฟเวอร์และหลุดรอดจากการตรวจสอบได้ ดังนั้นคุณจะต้องเข้าไปตรวจสอบโครงสร้างไฟล์ และไดเร็กทอรี แต่อย่างไรก็ตามการลบไฟล์เหล่านี้ไม่ได้รับประกันว่าไฟล์อันตรวยพวกนี้จะกลับมาไม่ได้อีก
การทำงานของเว็บไซต์จะช้าลง หรือไม่มีการตอบสนองเลย
เว็บไซต์ทั้งหมดบนอินเตอร์เน็ตสามารถกลายเป็นเป้าหมายของการถูกแฮ็กได้ ซึ่งอาจจะเจอกับการโจมตีเว็บไซต์ แบบ DDoS attacks จากแฮ็กเกอร์ โดยการโจมตีเหล่านี้จะใช้คอมพิวเตอร์ และเซิร์ฟเวอร์ที่ถูกแฮ็กหลาย ๆ เครื่องจากทั่วโลก และใช้ที่อยู่ IP ปลอม บางครั้งเหล่าแฮ็กเกอร์จะพยายามส่งคำขอไปยังเซิร์ฟเวอร์ของคุณ เพื่อที่จะเจาะเข้าไปในเว็บไซต์ของคุณให้ได้
โดยการส่งคำขอเข้ามายังเซิร์ฟเวอร์ของคุณมากเกินไปนี้จะส่งผลทำให้เว็บไซต์ทำงานได้ช้าลง ไม่ตอบสนอง และอาจใช้งานไม่ได้ เพราะฉะนั้นคุณต้องเข้าไปตรวจสอบในส่วนบันทึกเซิร์ฟเวอร์ เพื่อดูว่า IP ใดที่สร้างคำขอเข้ามาในเซิร์ฟเวอร์มากเกินไป จากนั้นทำการบล็อก IP เหล่านั้นเสีย แต่อย่างไรก็ตามหากแฮ็กเกอร์เปลี่ยนที่อยู่ IP การบล็อกก็ไม่ได้ช่วยอะไร
นอกจากนั้นปัจจัยที่ทำให้เว็บไซต์ทำงานช้าก็มีหลายปัจจัย ซึ่งอาจจะไม่ได้เกี่ยวข้องกับการถูกแฮ็ก ถ้าตรวจสอบอย่างละเอียดแล้วว่าเว็บไซต์ไม่ได้ถูกแฮ็ก แนะนำว่าให้ทำตามคู่มือเพิ่มความเร็ว และปรับปรุงประสิทธิภาพของ WordPress นี้ เพื่อแก้ไขให้เว็บไซต์ทำงานได้รวดเร็วยิ่งขึ้น
เกิดความผิดปกติในบันทึกของเซิร์ฟเวอร์
บันทึกของเซิร์ฟเวอร์จะเป็นไฟล์ข้อความธรรมดาที่จัดเก็บไว้ ไฟล์เหล่านี้จะมีหน้าที่ในการบันทึกข้อผิดพลาดทั้งหมดที่เกิดขึ้นบนเซิร์ฟเวอร์ตลอดจนถึงปริมาณการใช้อินนเตอร์เน็ตทั้งหมดของคุณ ซึ่งคุณสามารถเข้าถึงข้อมูลส่วนนี้จากแดชบอร์ด cPanel ของบัญชี WordPress hosting และบันทึกเซิร์ฟเวอร์เหล่านี้สามารถช่วยให้คุณเข้าใจว่าเกิดอะไรขึ้น เมื่อ WordPress ถูกโจมตี
นอกจากนั้นยังมีการบันทึก IP Address ทั้งหมดที่ใช้ในการเข้าถึงเว็บไซต์ของคุณ ดังนั้นคุณสามารถเข้าไปบล็อก IP Address ที่น่าสงสัยได้ รวมทั้งจะระบุข้อผิดพลาดของเซิร์ฟเวอร์ที่คุณอาจมองไม่เห็นในแดชบอร์ดของ WordPress ซึ่งข้อผิดพลาดที่เกิดขึ้นนี้อาจจะทำให้เว็บไซต์ของคุณล่ม หรือไม่ตอบสนองได้
เกิดความล้มเหลวในการส่งหรือรับ WordPress Email
เซิร์ฟเวอร์ที่ถูกแฮ็กมักถูกใช้ในการส่งสแปม ซึ่งบริษัท WordPress Hosting ส่วนใหญ่จะมีบัญชีอีเมลฟรีพร้อมกับโฮสติ้งของคุณอยู่ ซึ่งเจ้าของ WordPress จำนวนมากจะใช้เซิร์ฟเวอร์อีเมลของโฮสต์ในการส่งอีเมล WordPress ดังนั้นหากคุณไม่สามารถส่งข้อความ หรือรับอีเมล WordPress ได้ อาจเป็นสัญญาณเตือนว่าเซิร์ฟเวอร์อีเมลของคุณจะถูกแฮ็กเพื่อใช้ในการส่งอีเมลขยะ หรืออีเมลที่เป็นสแปม
มี Suspicious Schedule Tasks ที่ผิดปกติ
Suspicious Scheduled Tasks หมายถึง งานที่ถูกตั้งค่าไว้ล่วงหน้าในระบบปฏิบัติการเพื่อให้ทำงานอัตโนมัติตามเวลาที่กำหนด แต่มีความเสี่ยงที่จะเป็นโปรแกรมอันตรายหรือมัลแวร์ที่ถูกสร้างขึ้นมาเพื่อทำลายหรือขโมยข้อมูลจากเครื่องคอมพิวเตอร์ได้
Web Servers ช่วยให้ผู้ใช้สามารถตั้งค่า Cron jobs เพื่อให้เกิดการทำงานตามเวลาที่กำหนดบนเซิร์ฟเวอร์ได้ โดย WordPress เองใช้ Cron เพื่อตั้งค่างานที่ต้องทำตามเวลาเช่นการเผยแพร่โพสต์ตามกำหนด, ลบคอมเมนต์เก่าออกจากถังขยะ และอื่นๆ
แต่อฮ็กเกอร์สามารถใช้โอกาสนี้เพื่อเข้าถึง Cron jobs และตั้งค่างานที่ต้องทำตามเวลาบนเซิร์ฟเวอร์ของคุณได้โดยไม่ให้คุณรู้ตัว ดังนั้นหากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Cron jobs โดยเฉพาะใน WordPress คุณสามารถดูได้ในเรื่องราวของเราเกี่ยวกับวิธีการดูและควบคุม Cron Jobs ของ WordPress
มีผลการค้นหาที่ถูกแทนที่ด้วยเนื้อหาไม่เกี่ยวข้องหรือไม่เหมาะสม
หากผลการค้นหาจากเว็บไซต์ของคุณแสดงชื่อหรือคำอธิบายเมตาไม่ถูกต้อง หรือผลการค้นหาที่ถูกแทนที่ด้วยเนื้อหาไม่เกี่ยวข้องหรือไม่เหมาะสม แสดงว่าเว็บไซต์ WordPress ของคุณถูกแฮ็ก พวกแฮ็กเกอร์จะแทรกโค้ดที่เป็นอันตรายลงไปในระบบเว็บไซต์ของคุณ ซึ่งจะเข้าไปแก้ไขข้อมูลในระบบ โดยคุณจะไม่สามารถมองเห็นได้ มีเพียงแค่เครื่องมือค้นหาเท่านั้นที่มองเห็นการเปลี่ยนแปลงนี้ได้
ปรากฏป็อปอัปโฆษณาแปลกๆ บนเซ็บไซต์ของคุณ
การแฮ็กประเภทนี้ เป็นการพยายามสร้างรายได้ด้วยการแสดงโฆษณาสแปมบนเว็บไซต์ของคุณ ซึ่งป็อปอัปเหล่านี้จะไม่ปรากฏสำหรับผู้เยี่ยมชมที่มีการล็อกอินเข้าสู่ระบบ หรือผู้เยี่ยมชมที่เข้าถึงเว็บไซต์โดยตรง ซึ่งป็อปอัปสแปมเหล่านี้จะปรากฏต่อผู้ใช้งานเว็บไซต์ที่เข้าชมจากเครื่องมือค้นหาเท่านั้น
Pop-under ads (โฆษณาแบบ Pop-under) เป็นรูปแบบหนึ่งของการโฆษณาออนไลน์ที่เปิดหน้าต่างเว็บบราวเซอร์ใหม่ที่อยู่หลังหน้าต่างปัจจุบันที่ผู้ใช้กำลังเรียกดูอยู่ ไม่เหมือนกับโฆษณาแบบ Pop-up ที่ปรากฏบนหน้าต่างปัจจุบัน โฆษณาแบบ Pop-under จะถูกซ่อนอยู่ด้านหลังของหน้าต่างหลักและจะปรากฏขึ้นมาเมื่อผู้ใช้ปิดหรือย่อหน้าต่างหลักลง
ไฟล์หลักของ WordPress มีการเปลี่ยนแปลง
หากไฟล์หลักของ WordPress (Core WordPress Files) มีการเปลี่ยนแปลงหรือแก้ไขโดยที่คุณไม่ได้มีส่วนเกี่ยวข้อง นั่นเป็นสัญญาณสำคัญว่าเว็บไซต์ WordPress ของคุณถูกแฮ็ก ซึ่งแฮ็กเกอร์อาจจะแก้ไขไฟล์ WordPress หลักและวางโค้ดของตีวเองไว่ข้างใน นอกจากนี้ยังอาจสร้างไฟล์ที่มีชื่อคล้ายกันกับไฟล์หลักของ WordPress
วิธีที่ง่ายที่สุดในการติดตามไฟล์อันตรายเหล่านั้นคือการติดตั้งปลั๊กอินความปลอดภัย WordPress (WordPress Security Plugin) ซึ่งปลั๊กอินจะทำหน้าที่ตรวจสอบความสมบูรณ์ของไฟล์หลักใน WordPress นอกจากนั้นคุณยังสามารถตรวจสอบโฟลเดอร์ใน WordPress เพื่อค้นหาไฟล์หรือสคริปต์ที่น่าสงสัย
ผู้ที่เข้าใช้งานเว็บไซต์จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่รู้จัก
ถ้าหากเว็บไซต์ของคุณมีการเปลี่ยนเส้นทางผู้เข้าเยี่ยมชมไปยังเว็บไซต์อื่น ๆ ที่ไม่รู้จัก นั่นเป็นสัญญาณสำคัญอีกประการหนึ่งว่าเว็บไซต์ของคุณอาจจะถูกแฮ็ก การแฮ็กด้วยวิธีนี้เกิดจาก Backdoor หรือมัลแวร์ที่ติดตั้งบนเว็บไซต์ของคุณ
วิธีการรักษาความปลอดภัย และแก้ไขเว็บไซต์ WordPress จากการถูกแฮ็ก
การทำความสะอาดเว็บไซต์ WordPress ที่ถูกแฮ็กอาจเป็นเรื่องที่ยากมาก แต่ก็ยังมีวิธีแนวทางในการป้องกันและแก้ไข จึงอยากแนะนำให้ทำความสะอาดเว็บไซต์อยู่เป็นประจำ ซึ่งสามารถใช้ Sucuri เพื่อปกป้องเว็บไซค์ไม่ให้ถูกแฮ็กได้ โดนจะบล็อกการโจมตีจากแฮ็กเกอร์
ไม่เพียงเท่านั้น Sucuri ยังสามารถตรวจสอบเว็บไซต์ได้อีกด้วย และถ้าหากเว็บไซต์ของคุณเคยถูกแฮ็กมาก่อน เครื่องมือนี้จะช่วยทำความสะอาดให้เว็บไซต์ของคุณ หากคุณต้องการทำความสะอาดเว็บไซต์ด้วยตัวเอง ลองดูคู่มือสำหรับผู้เริ่มต้นของเราเกี่ยวกับการแก้ไขเว็บไซต์ WordPress ที่ถูกแฮ็ก
การรักษาเว็บไซต์ WordPress ของคุณให้ปลอดภัยจากการโจมตีในอนาคต
เมื่อคุณเคลียร์เว็บไซต์จนสะอาดแล้ว คุณสามารถรักษาความปลอดภัยได้ด้วยการทำให้แฮ็กเกอร์เข้าถึงเว็บไซต์ของคุณได้ยากขึ้น การรักษาความปลอดภัยในเว็บไซต์ WordPress เกี่ยวข้องกับการเพิ่มชั้นมาตรการป้องกันในเว็บไซต์ เช่น การสร้างรหัสผ่านที่เดายาก การยืนยันแบบ 2 ขั้นตอน วิธีเหล่านี้จะสามารถป้องกันพื้นที่ผู้ดูแลระบบ WordPress ไม่ให้ถูกรุกล้ำจากจากผู้ไม่หวังดี
และคุณยังสามารถบล็อกการเข้าถึงไฟล์ WordPress ที่สำคัญได้ โดยตั้งค่าการอนุญาตเข้าถึงไฟล์ และโฟล์เดอร์ของ WordPress ไม่ว่าใครจะเข้ามาที่ส่วนนี้จะต้องได้รับการอนุญาตก่อนเสมอ เพื่อป้องกันการเจาะเข้าถึงข้อมูลหลังบ้านจากพวกแฮ็กเกอร์ หวังว่าบทความนี้จะช่วยให้คุณเรียนรู้สัญญาณที่บ่งบอกถึงการถูกแฮ็ก เพื่อที่จะได้แก้ไขได้ทันถ่วงที สร้างความปลอดภัยให้กับเว็บไซต์ของคุณ