การแก้ปัญหาและป้องกันไม่ให้เว็บไซต์ WordPress ถูกแฮ็ก

WordPress เป็นระบบจัดการเว็บไซต์ที่ได้รับความนิยมสูงที่สุดในโลก ใช้งานอยู่บนเว็บไซต์มากกว่า 40% ของเว็บทั้งหมด ทำให้กลายเป็นเป้าหมายสำคัญของเหล่าแฮ็กเกอร์โดยตรง เมื่อเว็บไซต์ถูกแฮ็ก ไม่ได้กระทบแค่หน้าตาเว็บ แต่ยังอาจส่งผลต่อรายได้ ความน่าเชื่อถือ อันดับ SEO และข้อมูลของลูกค้าโดยตรง

ทุกวันนี้มีสถิติว่ามีเว็บไซต์จำนวนมากถูกใส่มัลแวร์หรือถูกใช้เป็นเว็บหลอกลวง (Phishing) และถูก Google ขึ้นคำเตือนหรือแบนออกจากผลการค้นหาวันละหลายพันเว็บไซต์ ข่าวดีคือ เจ้าของเว็บไซต์สามารถลดความเสี่ยงเหล่านี้ได้มาก หากเข้าใจวิธี แก้ปัญหาเมื่อถูกแฮ็ก และ ป้องกันไม่ให้เกิดขึ้นซ้ำ อย่างเป็นระบบ โดยบทความนี้จะแบ่งหัวข้อออกเป็น 2 ส่วนใหญ่ ๆ คือ

  1. วิธีรับมือและแก้ปัญหาเมื่อ WordPress ถูกแฮ็ก
  2. วิธีป้องกันล่วงหน้าไม่ให้ WordPress ถูกแฮ็กซ้ำอีก

ทำไมเว็บไซต์ WordPress ถึงตกเป็นเป้าโจมตีอยู่บ่อย ๆ?

สาเหตุหลัก ๆ ที่ทำให้ WordPress ถูกแฮ็กอยู่บ่อย ๆ มักมาจาก…

  • ความนิยมสูง – เมื่อ WordPress ถูกใช้มาก แฮ็กเกอร์ก็ยิ่งโฟกัสค้นหาช่องโหว่มากขึ้น
  • ปลั๊กอินและธีมจำนวนมาก – มากกว่า 60,000 ปลั๊กอินบนคลัง WordPress และจากข้อมูลบางรายงานพบว่า มากกว่า 50% ของช่องโหว่เกี่ยวข้องกับปลั๊กอินที่มีปัญหาหรือไม่ได้อัปเดต
  • เว็บไซต์ไม่ได้อัปเดตสม่ำเสมอ – Core, ธีม และปลั๊กอินที่เก่า เปิดช่องให้ใช้ช่องโหว่ที่รู้กันอยู่แล้วเจาะได้ง่าย
  • รหัสผ่านอ่อนแอ หรือใช้ซ้ำหลายที่ – เป็นหนึ่งในวิธีโจมตีที่เจอบ่อยที่สุด
  • โฮสติ้งหรือเซิร์ฟเวอร์ไม่มีการ Harden ความปลอดภัย – เปิดช่องให้โดนโจมตีทั้งเครื่อง (Server-side attacks)

สัญญาณที่บอกว่าเว็บไซต์ WordPress อาจถูกแฮ็กแล้ว

ถ้าเริ่มเจออาการต่อไปนี้ มีโอกาสสูงว่าเว็บไซต์ของคุณกำลังมีปัญหาด้านความปลอดภัย

  • หน้าเว็บไซต์ถูกเปลี่ยน เช่น หน้าแรกมีข้อความที่ไม่รู้จัก หรือมีโฆษณา/ลิงก์แปลก ๆ
  • ถูก Redirect ไปยังเว็บอื่นโดยที่ไม่ได้ตั้งไว้
  • มี Pop-up แปลก ๆ หรือมีการโหลดสคริปต์จากโดเมนที่ไม่คุ้นเคย
  • พบ User แอดมินที่ไม่รู้จัก หรือสิทธิ์ผู้ใช้บางคนถูกปรับเป็น Admin เอง
  • จู่ ๆ ทราฟฟิกจากประเทศแปลก ๆ พุ่งสูงผิดปกติ
  • Google ขึ้น Warning ว่าเว็บอาจมีมัลแวร์ หรือเว็บหายจากผลการค้นหาอย่างรวดเร็ว
  • โฮสติ้งแจ้งเตือนว่าไฟล์มีมัลแวร์ หรือมีทราฟฟิกผิดปกติ / ใช้ทรัพยากรสูงมากผิดปกติ

หากพบสัญญาณเหล่านี้ 1-2 ข้อขึ้นไป ให้คิดว่าเว็บไซต์ของคุณอาจกำลังถูกแฮ็ก และเริ่มตรวจสอบตามหัวข้อต่อไปในทันที

สิ่งที่ควรทำเมื่อรู้ว่าเว็บไซต์ WordPress ถูกแฮ็กแล้ว

ถ้าพบว่าเว็บไซต์ถูกแฮ็กแล้ว ให้ดำเนินการตามขั้นตอนต่อไปนี้ เพื่อลดความเสียหายและทำให้การกู้คืนเป็นระบบมากขึ้น

1. ตั้งสติและเก็บข้อมูลก่อน

  • ถ่ายภาพหน้าจอ (Screenshot) หน้าเว็บที่ผิดปกติ
  • จดเวลาที่พบปัญหา และสิ่งที่ทำล่าสุดก่อนหน้านั้น (เพิ่งอัปเดตปลั๊กอิน / ลงธีมใหม่ / เปลี่ยนเซิร์ฟเวอร์ ฯลฯ)
  • ถ้าโฮสติ้งมี Log ให้เก็บ Access Log / Error Log ช่วงเวลานั้นไว้

ข้อมูลเหล่านี้จะช่วยให้วิเคราะห์ย้อนหลังได้ง่ายขึ้น และช่วยให้ทีมเทคนิคหาต้นเหตุได้เร็วขึ้น

2. ปิดเว็บชั่วคราว หรือเปิดหน้า Maintenance

ใช้ปลั๊กอิน Maintenance / Coming Soon หรือใช้การตั้งค่าจากโฮสติ้ง เพื่อป้องกันไม่ให้ผู้ใช้และ Google เจอหน้าเว็บที่มีมัลแวร์ เพื่อลดความเสียหายต่อภาพลักษณ์และ SEO

3. เปลี่ยนรหัสผ่านทุกบัญชีสำคัญ

เน้นว่า “ทุกบัญชีที่เชื่อมกับเว็บนี้” ไม่ใช่เฉพาะ WordPress เท่านั้น

  • WordPress Admin / Editor ทุก User
  • บัญชีโฮสติ้ง (cPanel / DirectAdmin / Plesk ฯลฯ)
  • FTP / SFTP / SSH
  • ฐานข้อมูล (Database user)
  • อีเมลโดเมน เช่น admin@yourdomain.com ถ้าใช้กับเว็บ

ควรใช้รหัสผ่านแบบสุ่มที่ยาว และใช้ Password Manager ช่วย

4. ตรวจสอบและลบผู้ใช้ (Users) ที่ไม่รู้จัก

  • เข้าไปที่ Users ใน WordPress
  • ลบผู้ใช้ที่ไม่รู้จักทันที โดยเฉพาะ Role เป็น Administrator
  • ตรวจสอบว่าไม่มีการเปลี่ยน Role ให้ผู้ใช้ที่ไม่ควรมีสิทธิ์สูง

5. สแกนไฟล์ด้วยปลั๊กอินความปลอดภัย

ติดตั้งและรันปลั๊กอินด้านความปลอดภัยเพื่อสแกนมัลแวร์ เช่น

  • Wordfence Security
  • Sucuri Security
  • Solid Security (เดิม iThemes Security) หรือ All In One WP Security & Firewall

ให้สแกนทั้งไฟล์ Core, ปลั๊กอิน, ธีม และฐานข้อมูล หากพบไฟล์ต้องสงสัยให้พิจารณาลบ หรือแทนที่ด้วยไฟล์จากซอร์สเดิมที่ปลอดภัย

6. กู้คืนจาก Backup ที่ปลอดภัย

ถ้าเว็บไซต์มีระบบสำรองข้อมูล จะช่วยได้มาก

  • เลือก Backup จากไฟล์ก่อนช่วงที่เริ่มมีปัญหา (เช็คให้แน่ใจว่าไฟล์ Backup นั้นยังไม่โดนมัลแวร์)
  • กู้คืนทั้งไฟล์และฐานข้อมูล
  • หลัง Restore แล้ว ให้ อัปเดตทุกอย่างให้เป็นเวอร์ชันล่าสุดทันที

7. อัปเดต WordPress, ปลั๊กอิน และธีมทั้งหมด

หลังจากที่เว็บกลับมาทำงานได้แล้ว…

  • อัปเดต WordPress Core เป็นเวอร์ชันล่าสุด
  • อัปเดตธีมและปลั๊กอินทั้งหมด
  • ลบปลั๊กอินและธีมที่ไม่ได้ใช้งานออกไปเพื่อลดจุดเสี่ยง (มีสถิติว่าช่องโหว่จำนวนมากมาจากปลั๊กอินที่ล้าสมัยหรือไม่ได้ดูแลแล้ว)

8. ตรวจสอบไฟล์สำคัญด้วยตัวเองอีกครั้ง

โดยเฉพาะไฟล์เหล่านี้…

  • wp-config.php
  • .htaccess
  • ไฟล์ในโฟลเดอร์ /wp-content/uploads/ ที่เป็น .php (ควรไม่มีในโฟลเดอร์นี้ตามปกติ)

หากพบโค้ดแปลก ๆ เช่น base64, eval, หรือโค้ดที่ยาวผิดปกติในจุดที่ไม่ควรมี ให้ปรึกษาผู้เชี่ยวชาญด้านความปลอดภัยเพื่อช่วยเช็กเพิ่มเติม

สิ่งที่ควรทำเพื่อป้องกันไม่ให้เว็บไซต์ WordPress ถูกแฮ็กซ้ำ

หลังจากกู้เว็บกลับมาได้แล้ว สิ่งสำคัญคือ ต้องทำให้ไม่ให้เหตุการณ์เดิมเกิดขึ้นอีก นี่คือแนวทาง Hardening เว็บไซต์ให้แข็งแรงขึ้น

1. อัปเดต WordPress, ธีม และปลั๊กอินสม่ำเสมอ

  • เปิดใช้ Auto Update สำหรับปลั๊กอินและธีมที่ไว้ใจได้
  • ตรวจสอบหน้า Updates อย่างน้อยสัปดาห์ละ 1 ครั้ง
  • หลีกเลี่ยงปลั๊กอิน/ธีมที่ไม่มีอัปเดตมานานหลายปี

2. เสริมความแข็งแรงให้การล็อกอิน (Login Security)

  • ใช้รหัสผ่านที่ซับซ้อน และไม่ใช้ซ้ำกับระบบอื่น
  • เปิดใช้ Two-Factor Authentication (2FA) สำหรับแอดมิน และบัญชีสำคัญ
  • จำกัดจำนวนครั้งในการล็อกอินผิด (Limit Login Attempts)
  • เปิดใช้ CAPTCHA หรือ reCAPTCHA บนหน้า Login
  • เปลี่ยน URL การล็อกอินจาก /wp-login.php หรือ /wp-admin เป็น URL ที่เดายากขึ้น เช่น ผ่านปลั๊กอินความปลอดภัย

3. ติดตั้งปลั๊กอินด้านความปลอดภัย (Security Plugin)

ปลั๊กอินความปลอดภัยที่ดีควรช่วย…

  • สแกนมัลแวร์ และไฟล์ต้องสงสัย
  • บล็อก Brute-force / Login Attack
  • เพิ่ม Firewall ระดับ Application (WAF)
  • ทำ Hardening จุดสำคัญ เช่น ปิดการแก้ไขไฟล์จาก wp-admin, ปิด Directory Listing, ปิด XML-RPC ฯลฯ

ควรเลือกใช้จากผู้พัฒนาที่น่าเชื่อถือ มีรีวิวดี และอัปเดตสม่ำเสมอ

4. ตั้งค่าระบบสำรองข้อมูล (Backup) อัตโนมัติ

  • ตั้งให้ Backup ทั้งไฟล์และฐานข้อมูลเป็นประจำ
  • เก็บ Backup ไว้นอกเซิร์ฟเวอร์หลัก เช่น Cloud Storage (S3, Google Drive ฯลฯ)
  • ทดสอบการ Restore เป็นระยะ เพื่อให้มั่นใจว่า Backup ใช้งานได้จริง ไม่เสียหาย

5. จัดการสิทธิ์ผู้ใช้ (User Roles & Permissions)

  • ใช้หลัก Least Privilege – ใครที่ทำแค่โพสต์บทความ ให้สิทธิ์เป็น Author/Editor ไม่จำเป็นต้องเป็น Administrator
  • ปิดหรือเปลี่ยนรหัสผ่านบัญชีที่ไม่ใช้งาน
  • หลีกเลี่ยงการแชร์ User เดียวกันหลายคน (ทำ Log และตรวจสอบภายหลังยาก)

6. ลดความเสี่ยงจากปลั๊กอินและธีม

  • ติดตั้งเฉพาะปลั๊กอิน/ธีมที่จำเป็นต่อธุรกิจจริง ๆ
  • หลีกเลี่ยง Nulled Theme / Nulled Plugin อย่างเด็ดขาด เพราะมักมีโค้ดแอบแฝง
  • ตรวจสอบประวัติผู้พัฒนา รีวิว และความถี่ในการอัปเดตก่อนติดตั้ง
  • ลบปลั๊กอินหรือธีมที่ไม่ได้ใช้ออกจากระบบ ไม่ใช่แค่ Deactivate

7. เพิ่มความปลอดภัยในระดับเซิร์ฟเวอร์และไฟล์

  • ใช้โฮสติ้งที่มีการดูแลความปลอดภัยเชิงรุก (Firewall, Malware Scan, Isolation ระหว่างบัญชี)
  • เปิดใช้ SSL/HTTPS ให้ทั้งเว็บไซต์ ไม่เฉพาะหน้า Login
  • ปิดการแก้ไขไฟล์ผ่าน wp-admin (DISALLOW_FILE_EDIT)
  • จำกัดสิทธิ์ไฟล์และโฟลเดอร์ไม่ให้เขียนได้เกินความจำเป็น
  • ปิด XML-RPC หากไม่ใช้งาน เพราะเป็นช่องทางโจมตี Brute-force ได้บ่อยครั้ง

8. ตรวจความปลอดภัยเว็บไซต์เป็นประจำ

  • ตรวจ Log การล็อกอิน และกิจกรรมในเว็บ
  • ตรวจสอบว่าไม่มีปลั๊กอิน/ธีมที่ขึ้น “มีช่องโหว่” จากผู้พัฒนา
  • ใช้บริการ Scanner ภายนอกช่วยตรวจมัลแวร์และ Blacklist ของโดเมนเป็นระยะ

ตัวอย่างแผนดูแลความปลอดภัยเว็บไซต์ WordPress

ทุกสัปดาห์

  • เช็กและอัปเดต WordPress, ธีม, ปลั๊กอิน
  • ดู Report จากปลั๊กอินความปลอดภัย / Firewall

ทุกเดือน

  • ทดสอบ Restore จาก Backup อย่างน้อย 1 ครั้ง
  • ตรวจ Users และ Role ว่ามีบัญชีแปลก ๆ หรือไม่
  • ตรวจ Error Log / Access Log ช่วงทราฟฟิกพุ่งผิดปกติ

ทุกไตรมาส

  • เช็กปลั๊กอินและธีม ถอนการติดตั้งตัวที่ไม่จำเป็นออก
  • ตรวจสอบแผนทรัพยากรของโฮสติ้ง และการ Harden ระบบด้านความปลอดภัยร่วมกับผู้ให้บริการ

อย่างไรก็ตาม ไม่มีระบบไหนที่ปลอดภัย 100% แม้แต่เว็บไซต์องค์กรขนาดใหญ่หรือหน่วยงานรัฐก็ยังเคยถูกแฮ็กมาแล้ว สิ่งที่เจ้าของเว็บไซต์ควรโฟกัสคือ

  • ลดโอกาสถูกโจมตีด้วยการอัปเดตและเสริมความปลอดภัยอย่างสม่ำเสมอ
  • เตรียมแผนสำรอง (Backup + วิธี Restore) ให้พร้อม
  • มี Checklist การรับมือเมื่อเกิดเหตุจริง เพื่อลดความเสียหายให้น้อยที่สุด

หรือหากคุณรู้สึกว่าไม่มีเวลาหรือความเชี่ยวชาญด้านเทคนิคมากพอ การให้ทีมผู้เชี่ยวชาญช่วยตรวจสอบและตั้งค่าความปลอดภัย WordPress ให้เหมาะกับเว็บไซต์ของคุณ ก็เป็นการลงทุนที่คุ้มค่ากับภาพลักษณ์และรายได้ระยะยาวของธุรกิจเช่นกัน

หากคุณกำลังมองหาผู้เชี่ยวชาญที่ช่วยตรวจสอบความปลอดภัยเว็บไซต์ WordPress ของคุณ สามารถดูรายละเอียดแพ็กเกจ WordPress Hosting ของเราได้ที่
👉 https://www.hostatom.com/wordpress-hosting

Was this article helpful?

Yes No

Related Articles