ทำอย่างไรเมื่อ WordPress ถูก Hack

petcharin
Date: 08/12/2025
Categories: Wordpress

WordPress เป็น CMS ที่นิยมมาก จึงเป็นเป้าหมายของผู้โจมตีอยู่เสมอ แนวทางด้านล่างเป็น “ขั้นตอนกู้เว็บแบบปลอดภัย” ที่โฟกัสการกลับมาออนไลน์ให้เร็ว โดยไม่เอาไฟล์ติดเชื้อกลับเข้าระบบ

หมายเหตุ อาการถูกแฮ็กมีหลายแบบ คู่มือนี้เน้นแนวทางมาตรฐานที่ใช้ได้กับเคสส่วนใหญ่ หากเว็บเป็นร้านค้าหรือมีข้อมูลสำคัญ หรือสงสัยว่ามีผลกระทบกว้าง ให้ประสานผู้ให้บริการโฮสติ้งร่วมตรวจด้วย

ขั้นตอนกู้เว็บแบบ Clean Restore (แนะนำทำตามลำดับ)

ขั้นที่ 1: ทำ Backup และดาวน์โหลดเก็บไว้ในเครื่อง

ทำ Backup และดาวน์โหลดไฟล์ Backup เก็บไว้ที่เครื่อง เพื่อย้อนกลับได้หากทำพลาดระหว่างกู้เว็บ

อ้างอิง

2) ดาวน์โหลดไฟล์เว็บเดิมทั้งชุดมาเก็บไว้ (เก็บไว้ตรวจ ไม่ใช่เอากลับมาใช้)

ดาวน์โหลดไฟล์เว็บไซต์ทั้งหมดผ่าน FTP หรือ File Manager มาเก็บไว้ที่เครื่อง แล้วติดป้ายชัด ๆ ว่าเป็น ชุดไฟล์ที่โดนแฮ็ก เพราะมีไฟล์แปลกปลอมปะปนอยู่ ไม่แนะนำให้เอากลับมาใช้ทั้งชุด

เหตุผลที่ต้องเก็บไว้:

ใช้ตรวจหาไฟล์ที่ถูกฝังโค้ดหรือ Backdoor
ใช้ “กู้เฉพาะส่วนที่จำเป็น” โดยเฉพาะ wp-content/uploads และข้อมูลเชื่อมฐานข้อมูลจาก wp-config.php

3) อัปเดต WordPress และปลั๊กอินให้ล่าสุด และปิดปลั๊กอินทั้งหมด

อัปเดต WordPress ให้เป็นเวอร์ชันล่าสุด
อัปเดตปลั๊กอินให้ล่าสุด แล้ว Disable ปลั๊กอินหรือส่วนเสริมทั้งหมด เพื่อแยกปัญหา

แนะนำ ถ้าเว็บยังมีอาการผิดปกติหลังทำขั้นนี้ แนะนำไปขั้นตอน ลงใหม่ต่อทันที

4) สลับไปใช้ธีมมาตรฐานของ WordPress ชั่วคราว

เพื่อเคลียร์ config และเช็กว่าอาการมาจากธีมหรือไม่ ให้เปลี่ยนเป็นธีมมาตรฐานของ WordPress ชั่วคราว ขณะที่เขียนแนวทางการแก้ไขนี้เป็นปี 2026 ปัจจุบันธีมมาตรฐานคือ Twenty Twenty-Five

5) ลงใหม่ พร้อมสร้างโฟลเดอร์ที่ชื่อว่า `cleanups` แล้วแยกไฟล์ที่จำเป็นต้องเก็บ

1. เข้า Control Panel หรือที่เก็บไฟล์ของโดเมนที่พบปัญหา

2. สร้างโฟลเดอร์ชื่อ cleanups

3. ย้าย ไฟล์ wp-config.php และโฟลเดอร์ wp-content/uploads ไปไว้ใน cleanups

6) ลบ WordPress เดิมออกทั้งหมด (ให้เหลือแค่ `cleanups`)

ลบไฟล์ WordPress เดิมทั้งหมดออกให้หมด และให้เหลือเพียงโฟลเดอร์ cleanups ไว้

ข้อควรระวัง ให้ลบแค่ไฟล์ของ wordpress เท่านั้น แต่ห้ามลบ database เด็ดขาด

7) นำไฟล์ WordPress ใหม่อับโหลดขึ้นมาแทนไฟล์เก่า

นำไฟล์ wordpress ใหม่ upload ขึ้นมาแทนไฟล์เก่าโดยดาวน์โหลดจากเว็บทางการ: https://wordpress.org/download/

และให้แตกไฟล์ตามคู่มือต่อไปนี้

8) ตรวจ `uploads` ก่อนย้ายกลับ (จุดที่พลาดกันบ่อย)

เข้า cleanups/uploads แล้วไล่ดูไฟล์แปลกปลอม:

ปกติ uploads ควรเป็นไฟล์รูป, เอกสาร หรือวิดีโอ เช่น .png .jpg .jpeg .webp .pdf .mp4 เป็นต้น
ถ้าเจอไฟล์ที่ไม่ควรมี โดยเฉพาะไฟล์สคริปต์หรือไฟล์แปลก ๆ ให้ลบออกก่อน

จากนั้นค่อยย้าย uploads กลับไปไว้ที่ wp-content/uploads ของ WordPress ที่ติดตั้งใหม่

9) ตั้งค่า wp-config ใหม่ และคัดลอกค่าฐานข้อมูลจาก wp-config เดิม (เฉพาะส่วนที่จำเป็น)

เปิด cleanups/wp-config.php แล้วคัดลอกค่าตามนี้เก็บไว้ใน Notepad ก่อน

				
					define( 'DB_NAME', 'ชื่อเดิมไม่ต้องเปลี่ยนอะไรให้copyมาตามนั้น' );
/** MySQL database username */
define( 'DB_USER', 'ชื่อเดิมไม่ต้องเปลี่ยนอะไรให้copyมาตามนั้น' );
/* MySQL database password */
define( 'DB_PASSWORD', 'ชื่อเดิมไม่ต้องเปลี่ยนอะไรให้copyมาตามนั้น' );

แล้วเลื่อนลงไปหา $table_prefix (ค่าเดิมไม่ต้องเปลี่ยนแปลงใดๆ) และคัดลอกเก็บไว้ด้วย

10) นำไปวางทับในไฟล์ `wp-config-simple.php` ของเว็บใหม่

ไปที่ WordPress ที่ติดตั้งใหม่ แล้วเปิดไฟล์ wp-config-simple.php
นำค่าที่คัดลอกไว้ไปวางทับส่วนนี้:

				
					define( 'DB_NAME', 'database_name_here' );
/** Database username */
define( 'DB_USER', 'username_here' );
/* Database password */
define( 'DB_PASSWORD', 'password_here' );

เลื่อนลงมาหา $table_prefix เดิมไปวางทับของใหม่ (เช่น wp_) ด้วย

11) เปลี่ยน Security Keys/SALTs ใหม่ (สำคัญ)

ในส่วนคีย์เดิม:

				
					define( 'AUTH_KEY', 'put your unique phrase here' );
define( 'SECURE_AUTH_KEY', 'put your unique phrase here' );
define( 'LOGGED_IN_KEY', 'put your unique phrase here' );
define( 'NONCE_KEY', 'put your unique phrase here' );
define( 'AUTH_SALT', 'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT', 'put your unique phrase here' );
define( 'NONCE_SALT', 'put your unique phrase here' );

ให้นำ code ที่ได้จาก https://api.wordpress.org/secret-key/1.1/salt นำมาวางใส่แทน

12) บันทึกไฟล์และเปลี่ยนชื่อเป็น `wp-config.php`

เซฟไฟล์ แล้วเปลี่ยนชื่อจาก wp-config-simple.php ไปเป็น wp-config.php

1.เพิ่มไฟล์ .htaccess

2. เพิ่ม code ดังนี้

				
					# BEGIN WordPress

RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

หมายเหตุ ถึงขั้นนี้ เว็บควรกลับมาเปิดได้แล้ว แต่หน้าตา หรือฟังก์ชันอาจยังไม่เหมือนเดิมจนกว่าจะลงธีม หรือปลั๊กอินกลับแบบที่ไม่มีไฟล์แปลกปลอมหรือ backdoor

13) หลังเว็บกลับมาออนไลน์ ให้เปลี่ยนรหัสผ่านทั้งหมด

เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับเว็บ เช่น บัญชีแอดมิน WordPress, อีเมลแอดมิน, FTP, Control Panel ฯลฯ

และให้ดำเนินการตรวจสอบผู้ใช้งาน (user) เพื่อยืนยันว่าเป็นผู้ใช้งานในระบบเราจริงทั้งหมด และไม่ใช่บัญชีของแฮกเกอร์

14) ติดตั้งธีม/ปลั๊กอินใหม่เท่านั้น (ห้ามใช้ไฟล์เก่าจากข้อ 2)

ห้ามนำธีม, ปลั๊กอินหรือไฟล์เสริมจากชุดไฟล์เดิม (ข้อ 2) กลับมาใช้ เพราะอาจมี Backdoor ซ่อนอยู่
ควรดาวน์โหลดจากแหล่งที่เชื่อถือได้เท่านั้น และหลีกเลี่ยงพวก nulled หรือ crack เพราะล้วนแต่มี Backdoor

15) ติดตั้งปลั๊กอินความปลอดภัยเพื่อสแกนและอุดช่องโหว่

เราขอแนะนำ 2 ตัวนี้ โดยให้เลือกตัวใดตัวหนึ่งระหว่าง

16) เสริมความปลอดภัยเพิ่มอีก 1 จุด (แนะนำ)

ปิดการแก้ไฟล์ธีม หรือปลั๊กอินจากหลังบ้าน WordPress เพื่อลดความเสี่ยงโดนยึดบัญชีแอดมินแล้วใส่โค้ดอันตราย โดยให้ใส่บรรทัดนี้ใน wp-config.php

				
					define( 'DISALLOW_FILE_EDIT', true );

ถ้าต้องการกู้เว็บแบบเร่งด่วน หรืออยากทำให้กู้แล้วไม่โดนแฮกซ้ำทีม hostatom ช่วยตรวจและวางแนวทางได้ พร้อมบริการเสริมความปลอดภัยและดูแลโฮสติ้งสำหรับ WordPress

WordPress Hosting: https://www.hostatom.com/wordpress-hosting
Imunify360 (ระบบป้องกันมัลแวร์/สแกนบนเซิร์ฟเวอร์): https://www.hostatom.com/imunify360

Tags : hack, wordpress