Security

WordPress โดนแฮกแก้ยังไง

📅 2026-02-09 | โดย อ.บอม กิตติทัศน์ เจริญพนาสิทธิ์ — SiamCafe.net Since 1997

WordPress โดนแฮก: กู้ชีพเว็บสุดรัก ฉบับ อ.บอม

เฮ้อ... พูดแล้วเศร้า สมัยผมทำร้านเน็ต SiamCafe ก็เคยเจอเคสเว็บโดนแฮกบ่อยๆ ยิ่ง WordPress นี่ตัวดีเลย เพราะคนใช้เยอะ ช่องโหว่ก็เยอะตามไปด้วย พวก Hacker ก็จ้องจะเจาะอยู่ตลอดเวลา

การโดนแฮกนี่ไม่ใช่เรื่องเล่นๆ นะ นอกจากข้อมูลจะรั่วไหลแล้ว เว็บเราอาจจะโดนฝัง Code อันตราย กลายเป็นเครื่องมือแพร่กระจาย Malware หรือหนักกว่านั้นคือโดนลบข้อมูลทิ้งหมดเลย แล้วจะกู้คืนก็ยากแสนยาก

ทำไม WordPress ถึงโดนแฮกง่าย?

หลักๆ เลยก็มาจาก:

• Plugin/Theme เก่า: พวกนี้แหละตัวดี มักจะมีช่องโหว่ที่ Hacker รู้แล้วเอามาใช้เจาะ
• Password อ่อนแอ: "password" "123456" ยังมีคนใช้อยู่อีกเหรอ?
• ไม่ได้อัพเดท WordPress: เวอร์ชั่นใหม่ๆ จะมี Patch แก้ช่องโหว่อยู่เสมอ ไม่อัพเดทก็เหมือนเปิดบ้านรอโจร
• Host ไม่ปลอดภัย: บางทีก็เป็นที่ Server ของ Host เราเอง ไม่ได้ตั้งค่าความปลอดภัยให้ดี

ถ้าเว็บคุณโดนแฮกแล้ว สิ่งแรกที่ต้องทำคือ "อย่าตกใจ" ตั้งสติ แล้วทำตามขั้นตอนที่ผมกำลังจะบอกต่อไปนี้

ขั้นตอนกู้ชีพ WordPress หลังโดนแฮก

ผมจะแบ่งขั้นตอนออกเป็น 3 ส่วนหลักๆ คือ:

1. ตรวจสอบความเสียหาย: ดูว่าโดน Hack ไปถึงไหนแล้ว
2. กำจัดสิ่งแปลกปลอม: ลบ Code อันตรายออกไป
3. ป้องกันการโดน Hack ซ้ำ: อุดช่องโหว่ต่างๆ

1. ตรวจสอบความเสียหาย: หาให้เจอว่าโดน Hack ตรงไหน

ขั้นตอนนี้สำคัญมาก เราต้องรู้ก่อนว่า Hacker เข้ามาทำอะไรบ้าง จะได้แก้ไขได้ถูกจุด

1. เช็ค File System: เข้าไปดูใน Folder WordPress ของเรา (ปกติคือ /public_html/ หรือ /www/) ว่ามี File แปลกปลอมโผล่มาไหม สังเกตวันที่แก้ไข File ด้วย ถ้ามี File ที่เราไม่ได้สร้าง แถมวันที่แก้ไขเป็นช่วงเวลาที่เราไม่ได้ทำอะไรกับเว็บเลย ให้สงสัยไว้ก่อน
2. เช็ค Database: อันนี้สำคัญกว่า File System อีก เพราะข้อมูลทุกอย่างของเว็บเราอยู่ในนี้ Hacker อาจจะแทรก Code อันตรายเข้าไปใน Table ต่างๆ ได้
3. เช็ค User Accounts: ดูว่ามี User แปลกๆ โผล่เข้ามาไหม หรือ User เดิมของเราโดนเปลี่ยนสิทธิ์ (Role) ไปหรือเปล่า
4. ใช้ Security Scanner: พวก Plugin หรือ Service ที่ช่วย Scan หา Malware และช่องโหว่ต่างๆ ในเว็บเรา

ตัวอย่าง Code (การใช้ grep หา Code อันตรายใน File):

grep -r "" /path/to/wordpress/

คำสั่งนี้จะช่วยค้นหา File ที่มี <script>evil_code</script> อยู่ข้างใน (เปลี่ยน evil_code เป็น Code ที่คุณสงสัย)

2. กำจัดสิ่งแปลกปลอม: ล้างบาง Code อันตราย

เมื่อรู้แล้วว่าโดน Hack ตรงไหน ก็ถึงเวลาลงมือจัดการ

1. ลบ File แปลกปลอม: ลบ File ที่เราสงสัยว่า Hacker สร้างขึ้นมาทิ้งไปเลย
2. ลบ Code อันตรายใน Database: อันนี้ต้องระวังหน่อย ถ้าไม่ชัวร์อย่าลบเอง ให้ปรึกษาผู้เชี่ยวชาญดีกว่า
3. Restore Backup: ถ้ามี Backup เว็บที่ยังไม่โดน Hack ก็ Restore กลับไปเลย วิธีนี้ง่ายและเร็วที่สุด แต่ต้องมั่นใจว่า Backup ที่เรามีนั้นสะอาดจริงๆ
4. Update WordPress, Plugin, Theme: อัพเดททุกอย่างให้เป็นเวอร์ชั่นล่าสุด เพื่อ Patch ช่องโหว่ต่างๆ
5. เปลี่ยน Password: เปลี่ยน Password ของ User ทุกคนใน WordPress ให้เป็น Password ที่คาดเดายาก

ข้อควรระวัง: ก่อนจะลบอะไร ให้ Backup ไว้ก่อนเสมอ เผื่อผิดพลาดจะได้กู้คืนได้

3. ป้องกันการโดน Hack ซ้ำ: อุดทุกรูรั่ว

หลังจากกู้ชีพเว็บกลับมาได้แล้ว สิ่งที่สำคัญที่สุดคือ "ป้องกันไม่ให้โดน Hack ซ้ำ" เพราะถ้าโดนอีกรอบ รับรองว่าเข็ด

1. ติดตั้ง Security Plugin: พวก Wordfence, Sucuri Security หรือ iThemes Security ช่วยป้องกันได้เยอะ
2. เปิดใช้งาน Two-Factor Authentication (2FA): เพิ่มความปลอดภัยอีกชั้น เวลา Login ต้องใส่รหัสที่ส่งมาทาง SMS หรือ App ด้วย
3. จำกัดจำนวนครั้งที่ Login ผิด: ป้องกันการ Brute-Force Attack (การสุ่ม Password)
4. เปลี่ยน Default Login URL: ปกติ WordPress จะใช้ /wp-admin/ เป็นหน้า Login Hacker รู้แน่นอน เปลี่ยนเป็นอย่างอื่นที่เดายากกว่า
5. Monitor Website: คอยตรวจสอบ Log File และ Activity ต่างๆ ในเว็บเราอยู่เสมอ

ตัวอย่าง Code (การเปลี่ยน Default Login URL ใน .htaccess):

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^เข้าสู่ระบบของฉัน/?$ /wp-login.php [NC,L]
RewriteRule ^ล็อกอินของฉัน/?$ /wp-login.php [NC,L]
</IfModule>

Code นี้จะเปลี่ยนหน้า Login จาก /wp-admin/ เป็น /เข้าสู่ระบบของฉัน/ และ /ล็อกอินของฉัน/ (อย่าลืมเปลี่ยนตามใจชอบ)

ตารางเปรียบเทียบ Security Plugin ยอดนิยม

Plugin	คุณสมบัติเด่น	ราคา
Wordfence	Firewall, Scan Malware, Login Security	Free (มี Premium)
Sucuri Security	Scan Malware, Firewall, Hardening	Free (มี Premium)
iThemes Security	Login Security, Brute Force Protection, Database Backup	Free (มี Premium)

เลือก Plugin ที่เหมาะกับความต้องการและงบประมาณของคุณครับ

สรุป: WordPress โดนแฮก ไม่ใช่เรื่องน่ากลัว ถ้าทำตามนี้

การโดน Hack เป็นเรื่องที่เกิดขึ้นได้ แต่ถ้าเราเตรียมตัวและมีสติ ก็สามารถรับมือและกู้ชีพเว็บกลับมาได้ ที่สำคัญคือ "อย่าประมาท" คอยอัพเดท, ใช้ Password ที่แข็งแรง, และติดตั้ง Security Plugin เอาไว้เสมอ

หวังว่าบทความนี้จะเป็นประโยชน์กับทุกคนนะครับ ถ้ามีคำถามอะไรเพิ่มเติม ถามมาได้เลยที่ SiamCafe Blog ยินดีให้คำปรึกษาเสมอ

อย่าลืมเข้าไปอ่านบทความอื่นๆ ที่ SiamCafe Blog นะครับ มีเรื่อง IT สนุกๆ อีกเยอะเลย

Best Practices / เคล็ดลับจากประสบการณ์

Backup เป็นเรื่องสำคัญ อย่ามองข้าม

สมัยผมทำร้านเน็ตนี่ Backup คือชีวิตเลยครับ WordPress ก็เหมือนกัน ทำ Backup สม่ำเสมอ สำคัญมากๆ โดนแฮกมาจะได้กู้คืนได้ง่ายๆ ผมแนะนำให้ใช้ Plugin Backup ดีๆ สักตัว หรือถ้าเก่งหน่อยก็ Backup ฐานข้อมูลเองเลยก็ได้

เคยเจอเคสลูกค้า Hosting โดนแฮก แล้วไม่ได้ Backup อะไรไว้เลย ข้อมูลหายหมด กู้คืนอะไรไม่ได้เลย เสียหายเยอะมากครับ บทเรียนราคาแพงเลย

Update ทุกอย่างให้เป็นปัจจุบัน

WordPress, Theme, Plugin อะไรก็ตาม Update ให้หมดครับ พวกช่องโหว่เก่าๆ นี่ตัวดีเลย แฮกเกอร์ชอบมาก Update ป้องกันไว้ดีกว่าแก้ครับ

ผมเคยเจอ Theme ฟรีที่ไม่ได้ Update มานาน มีช่องโหว่ แฮกเกอร์เจาะเข้ามาฝัง Code อันตรายไว้ ลูกค้าไม่รู้เรื่องเลย เว็บไซต์โดน Redirect ไปเว็บพนัน

จำกัดสิทธิ์การเข้าถึง

ให้สิทธิ์ User เท่าที่จำเป็น อย่าให้ใครมีสิทธิ์ Admin ง่ายๆ ถ้าไม่จำเป็นจริงๆ สมัยผมทำร้านเกมส์ ผมให้เด็กที่ร้านมีสิทธิ์แค่เปิด-ปิดเครื่องเท่านั้น สิทธิ์อื่นๆ ผมจัดการเองหมด

เคยเจอคนให้สิทธิ์ Admin กับทุกคนในทีม สุดท้ายโดนแฮกเกอร์แฮก Account Admin ไป แล้วก็เข้าไปทำอะไรต่อมิอะไรในระบบได้หมด

ใช้ Password ที่คาดเดายาก

Password ต้องยากพอสมควร อย่าใช้ Password ที่เดาง่าย เช่น "password", "123456" หรือวันเดือนปีเกิดตัวเอง ผมแนะนำให้ใช้ Password Generator สร้าง Password ที่ซับซ้อน แล้วเก็บไว้ใน Password Manager ครับ

เคยเจอคนใช้ Password เหมือนกันทุก Account สุดท้าย Account นึงโดนแฮก ที่เหลือก็โดนหมด เพราะแฮกเกอร์เอา Password ที่ได้ไปลอง Login ที่อื่น

iCafeForex

FAQ คำถามที่พบบ่อย

ทำไมเว็บไซต์ WordPress ของฉันถึงโดนแฮก?

มีหลายสาเหตุครับ หลักๆ เลยคือ ช่องโหว่จาก Plugin, Theme ที่ไม่ได้ Update หรือ Password ที่คาดเดาง่าย นอกจากนี้อาจจะมาจากการติด Malware จากคอมพิวเตอร์ส่วนตัวของคุณเองก็ได้

ฉันควรทำอย่างไรถ้าเว็บไซต์โดนแฮกไปแล้ว?

อันดับแรกคือ พยายามกู้คืน Backup ที่มี ถ้าไม่มี Backup ให้ติดต่อ Hosting Provider เพื่อขอความช่วยเหลือ หลังจากนั้นให้เปลี่ยน Password ทุก Account และตรวจสอบหา Malware ในระบบ

ฉันจะป้องกันเว็บไซต์ WordPress ของฉันจากการโดนแฮกได้อย่างไร?

Backup สม่ำเสมอ, Update ทุกอย่างให้เป็นปัจจุบัน, จำกัดสิทธิ์การเข้าถึง, ใช้ Password ที่คาดเดายาก, ติดตั้ง Security Plugin และ Monitor Website ของคุณอย่างสม่ำเสมอครับ

Security Plugin ตัวไหนที่แนะนำ?

มีหลายตัวให้เลือกครับ เช่น Wordfence, Sucuri, iThemes Security ลองศึกษาดูว่าตัวไหนเหมาะกับความต้องการของคุณมากที่สุด แต่แนะนำว่าเลือกใช้แค่ตัวเดียวนะครับ อย่าลงหลายตัวพร้อมกัน อาจจะตีกันได้

SiamCafe Blog

สรุป

การป้องกัน WordPress จากการโดนแฮกเป็นเรื่องที่ต้องใส่ใจอย่างสม่ำเสมอ อย่าประมาทคิดว่า "คงไม่เกิดกับเราหรอก" เพราะถ้าโดนขึ้นมาแล้ว จะเสียเวลาและค่าใช้จ่ายมากกว่าการป้องกันเยอะครับ ทำตาม Best Practices ที่ผมแนะนำไป รับรองว่าเว็บไซต์ของคุณจะปลอดภัยขึ้นอีกเยอะครับ