เช้าวันจันทร์ ลูกค้าร้านอาหารทะเลในหาดใหญ่โทรมาด้วยน้ำเสียงสั่น “พี่ครับ เปิดเว็บแล้วมันขึ้นภาษาญี่ปุ่นเต็มไปหมด กดเข้าหลังบ้านก็ไม่ได้แล้ว” เว็บที่เขาใช้รับออเดอร์มา 3 ปี โดน inject สคริปต์ redirect ไปเว็บพนัน และที่แย่กว่านั้นคือ เขาไม่เคย backup เลยสักครั้ง
เรื่องแบบนี้เราเจอบ่อยกว่าที่คิด — เว็บ SME ในภาคใต้ส่วนใหญ่ตั้งเว็บ WordPress เสร็จแล้วก็ปล่อยทิ้ง ไม่อัปเดต ไม่สำรองข้อมูล ไม่มีระบบป้องกัน จนวันที่ปลั๊กอินตัวหนึ่งมีช่องโหว่ หรือรหัสผ่าน admin โดนเดา ทุกอย่างก็จบในไม่กี่ชั่วโมง
ข่าวดีคือ การ backup wordpress และการทำให้เว็บปลอดภัยไม่ใช่เรื่องของโปรแกรมเมอร์เท่านั้น เจ้าของเว็บทั่วไปทำเองได้ ถ้ารู้ลำดับขั้นตอนที่ถูกต้อง บทความนี้คือคู่มือฉบับเต็มที่จะพาคุณตั้งแต่ “ทำไมต้อง backup” ไปจนถึง “กู้เว็บที่โดนแฮ็กกลับมา” และปิดท้ายด้วย checklist ที่ทำตามได้ทันที
backup wordpress คืออะไร และครอบคลุมอะไรบ้าง
Backup wordpress คือการทำสำเนาข้อมูลทั้งหมดของเว็บไซต์ของคุณเก็บไว้ในที่ปลอดภัย เพื่อให้สามารถกู้กลับมาได้เมื่อเว็บเสียหาย ถูกแฮ็ก หรือต้องการย้ายโฮสต์ หลายคนเข้าใจผิดว่า backup คือการ “เซฟไฟล์ธีม” อย่างเดียว แต่จริงๆ แล้วเว็บ WordPress หนึ่งเว็บประกอบด้วยสองส่วนใหญ่ที่ต้องสำรองทั้งคู่:
- ไฟล์ (Files) — รวมถึงโฟลเดอร์
wp-content(ธีม ปลั๊กอิน รูปภาพที่อัปโหลด), ไฟล์ core ของ WordPress และไฟล์ตั้งค่าอย่างwp-config.php - ฐานข้อมูล (Database) — เก็บเนื้อหาทั้งหมด: โพสต์ เพจ ความคิดเห็น ผู้ใช้ การตั้งค่า และข้อมูล WooCommerce ถ้าเป็นเว็บขายของ
ถ้าคุณ backup แค่ไฟล์แต่ลืม database คุณจะได้ “บ้านที่ไม่มีเฟอร์นิเจอร์” — มีธีม มีปลั๊กอิน แต่ไม่มีบทความ ไม่มีออเดอร์ ไม่มีสมาชิกเลย ในทางกลับกัน backup แค่ database ก็จะขาดรูปภาพและไฟล์อัปโหลดทั้งหมด ดังนั้นจำให้ขึ้นใจ: backup ที่สมบูรณ์ = ไฟล์ + ฐานข้อมูล เสมอ
ทำไม backup สำคัญกว่าที่คุณคิด (และสถิติปี 2026)
หลายคนคิดว่า “เว็บฉันเล็กนิดเดียว คงไม่มีใครมาแฮ็กหรอก” แต่ความจริงคือ บอตอัตโนมัติไม่สนใจว่าเว็บคุณใหญ่หรือเล็ก มันสแกนหาช่องโหว่ทั่วอินเทอร์เน็ตตลอด 24 ชั่วโมง ตัวเลขประมาณการในปี 2026 ที่น่าตกใจ:
- WordPress ขับเคลื่อนเว็บไซต์ทั่วโลกราว ~43% ทำให้เป็นเป้าหมายอันดับหนึ่งของแฮ็กเกอร์
- เว็บไซต์ถูกแฮ็กเฉลี่ยประมาณ ~30,000 เว็บต่อวัน ทั่วโลก
- กว่า ~90% ของการเจาะ WordPress มาจากปลั๊กอินและธีมที่ไม่อัปเดต ไม่ใช่จากตัว core เอง
- เจ้าของเว็บ SME จำนวนมากใช้เวลาเฉลี่ย ~2-4 สัปดาห์ กว่าจะกู้เว็บที่ไม่มี backup กลับมาได้ และบางรายกู้ไม่ได้เลย
นอกจากภัยจากการแฮ็ก เว็บยังพังได้จากสาเหตุที่ไม่เกี่ยวกับใครเลย เช่น อัปเดตปลั๊กอินแล้วชนกัน, แก้โค้ดผิด, เซิร์ฟเวอร์ล่ม, หรือเผลอลบไฟล์ผิด สิ่งเหล่านี้คือเหตุผลว่าทำไมแม้แต่เว็บที่ปลอดภัยที่สุดก็ยังต้อง backup ถ้าคุณเคยเจอ HTTP Error 500 หลังอัปเดตปลั๊กอิน คุณจะเข้าใจทันทีว่า backup ที่ดีคือ “ปุ่มย้อนเวลา” ที่ช่วยชีวิตได้จริง
กฎทอง 3-2-1: เก็บข้อมูล 3 ชุด, บน 2 ประเภทสื่อที่ต่างกัน, โดยมีอย่างน้อย 1 ชุดเก็บนอกสถานที่ (off-site เช่น cloud) — นี่คือมาตรฐานสากลที่ใช้ได้กับเว็บทุกขนาด
วิธี backup wordpress — 3 วิธีหลักที่ใช้ได้จริง
มีหลายวิธีในการ backup wordpress แต่ละวิธีเหมาะกับคนต่างกัน เรามาดูทั้งสามวิธีหลักพร้อมข้อดีข้อเสีย
| วิธี | ความง่าย | ตั้งเวลาอัตโนมัติ | เหมาะกับใคร |
|---|---|---|---|
| Plugin (UpdraftPlus) | ง่ายมาก | ได้ | เจ้าของเว็บทั่วไป มือใหม่ |
| ผ่านโฮสต์ (Padvee/cPanel) | ง่าย | ได้ (บางแพ็กเกจ) | คนที่ไม่อยากลงปลั๊กอินเพิ่ม |
| Manual (DB + Files) | ยาก | ไม่ได้ | Developer ที่ต้องการควบคุมเต็มที่ |
วิธีที่ 1: ใช้ปลั๊กอิน UpdraftPlus (แนะนำสำหรับมือใหม่)
UpdraftPlus เป็นปลั๊กอิน backup ที่ได้รับความนิยมที่สุด มีผู้ใช้กว่า 3 ล้านเว็บ ใช้งานฟรีได้ครบสำหรับเว็บทั่วไป ขั้นตอน:
- ไปที่ Plugins → Add New ค้นหา “UpdraftPlus” แล้วกด Install และ Activate
- ไปที่ Settings → UpdraftPlus Backups
- กดปุ่ม Backup Now เพื่อทดสอบ backup ครั้งแรก เลือกทั้ง database และ files
- ตั้งค่าอัตโนมัติที่แท็บ Settings — เลือกความถี่ เช่น database ทุกวัน, files ทุกสัปดาห์
- สำคัญที่สุด: เลือก Remote Storage เป็น Google Drive, Dropbox หรือ Amazon S3 — อย่าเก็บ backup ไว้บนเซิร์ฟเวอร์เดียวกับเว็บ เพราะถ้าเซิร์ฟเวอร์โดนแฮ็ก backup ก็หายไปด้วย
ข้อดีของ UpdraftPlus คือกู้คืนได้ด้วยปุ่มเดียว — กด Restore เลือกชุดที่ต้องการ ระบบจะทำให้อัตโนมัติ ไม่ต้องยุ่งกับ phpMyAdmin หรือ FTP เลย
วิธีที่ 2: backup ผ่านโฮสต์ (Padvee / cPanel)
โฮสต์ไทยหลายเจ้ารวมถึงแพ็กเกจของ Padvee มักมีระบบ backup ในตัวผ่านแผงควบคุม วิธีนี้ดีตรงที่ไม่ต้องลงปลั๊กอินเพิ่ม ลด overhead บนเว็บ และบางเจ้า backup ให้อัตโนมัติทุกวันถึงสัปดาห์
- เข้าแผงควบคุมโฮสต์ (Padvee panel หรือ cPanel)
- มองหาเมนู Backup / สำรองข้อมูล / JetBackup
- ดาวน์โหลด Full Backup หรือเลือก backup เฉพาะ Home Directory + MySQL Database
- ตรวจสอบว่าโฮสต์เก็บ backup ไว้กี่วัน และเก็บไว้ที่เซิร์ฟเวอร์เดียวกันหรือไม่
ข้อควรระวัง: backup ของโฮสต์มักเป็น “safety net” ของผู้ให้บริการ ไม่ใช่ของคุณโดยตรง บางครั้งเก็บแค่ 7 วัน หรือเก็บบนเครื่องเดียวกับเว็บ จึงไม่ควรพึ่งวิธีนี้อย่างเดียว ให้ดาวน์โหลด full backup ของ Padvee มาเก็บไว้ในเครื่องตัวเองหรือ cloud ของคุณเองเดือนละครั้งเป็นอย่างน้อย
วิธีที่ 3: backup แบบ Manual (DB + Files)
วิธีนี้สำหรับคนที่อยากควบคุมเต็มที่ หรือเว็บที่ใหญ่เกินกว่าปลั๊กอินจะจัดการไหว แบ่งเป็นสองส่วน:
สำรองไฟล์ (Files) ผ่าน FTP/SFTP:
- ใช้โปรแกรม FileZilla เชื่อมต่อเซิร์ฟเวอร์ด้วยข้อมูล FTP/SFTP
- ดาวน์โหลดทั้งโฟลเดอร์ของเว็บ (โดยเฉพาะ
wp-contentและwp-config.php) - บีบอัดเป็น
.zipเก็บไว้
สำรองฐานข้อมูล (Database) ผ่าน phpMyAdmin:
- เข้า phpMyAdmin จากแผงควบคุมโฮสต์
- เลือก database ของเว็บ → กดแท็บ Export
- เลือก Format เป็น SQL → กด Go เพื่อดาวน์โหลดไฟล์
.sql
เก็บทั้งไฟล์ .zip และ .sql ไว้ด้วยกัน พร้อมตั้งชื่อระบุวันที่ เช่น myweb-2026-06-23.zip เพื่อให้รู้ว่าเป็น backup ของวันไหน
กู้คืนและย้ายเว็บ WordPress
backup จะไร้ค่าทันทีถ้าคุณกู้คืนไม่เป็น — และนี่คือจุดที่หลายคนพลาด เคยมีลูกค้า backup ทุกวันอย่างขยัน แต่พอเว็บพังจริงกลับงงว่าจะเอาไฟล์ .sql ไปทำอะไรต่อ ดังนั้น ต้องซ้อมกู้คืนอย่างน้อยปีละครั้ง
กู้คืนด้วย UpdraftPlus
วิธีง่ายที่สุด — ไปที่ Settings → UpdraftPlus → แท็บ Existing Backups → เลือกชุดที่ต้องการ → กด Restore → เลือกองค์ประกอบที่จะกู้ (Database, Plugins, Themes, Uploads) → ยืนยัน ระบบทำให้อัตโนมัติภายในไม่กี่นาที
กู้คืน / ย้ายเว็บแบบ Manual
ถ้าต้องการย้ายเว็บไปโฮสต์ใหม่ หรือกู้จาก backup manual:
- อัปโหลดไฟล์เว็บทั้งหมดขึ้นโฮสต์ใหม่ผ่าน FTP
- สร้าง database เปล่าบนโฮสต์ใหม่ แล้ว Import ไฟล์
.sqlเข้าผ่าน phpMyAdmin - แก้ไฟล์
wp-config.phpให้ชื่อ database, username, password ตรงกับโฮสต์ใหม่ - ถ้าเปลี่ยนชื่อโดเมน ต้องใช้ปลั๊กอินอย่าง Better Search Replace เพื่อแก้ URL เก่าในฐานข้อมูลให้เป็น URL ใหม่ทั้งหมด
- ตั้งค่า Permalink ใหม่ (Settings → Permalinks → Save) เพื่อรีเฟรช
.htaccess
ปลั๊กอินอย่าง Duplicator หรือ All-in-One WP Migration ช่วยให้การย้ายเว็บง่ายขึ้นมาก เพราะรวมไฟล์และ database เป็นแพ็กเกจเดียว เหมาะกับคนที่ไม่อยากยุ่งกับ phpMyAdmin
ความปลอดภัย WordPress — ป้องกันก่อนที่จะต้องกู้
backup คือแผนสำรอง แต่การป้องกันคือแนวรับด่านแรก ยิ่งเว็บปลอดภัย โอกาสที่จะต้องใช้ backup ก็ยิ่งน้อยลง มาดูมาตรการสำคัญที่ต้องทำทุกเว็บ
1. อัปเดต Core, Theme, Plugin เสมอ
อย่างที่บอกไป ~90% ของการแฮ็กมาจากซอฟต์แวร์ที่ไม่อัปเดต เปิด auto-update สำหรับ minor releases และอัปเดต plugin/theme ทันทีที่มีแพตช์ความปลอดภัย ลบปลั๊กอินและธีมที่ไม่ใช้แล้วออกให้หมด เพราะแม้ไม่ได้เปิดใช้งานก็ยังเป็นช่องโหว่ได้ ถ้าจะอัปเดตขึ้นเวอร์ชันใหญ่ ลองอ่าน ฟีเจอร์ใหม่ใน WordPress 7 และ backup ก่อนทุกครั้ง
2. รหัสผ่านที่แข็งแรง + ไม่ใช้ admin
- เปลี่ยน username จาก
adminเป็นชื่ออื่น (บอตเดาadminเป็นอันดับแรก) - ใช้รหัสผ่านยาวอย่างน้อย 16 ตัวอักษร ผสมตัวเลขและสัญลักษณ์
- ใช้ password manager อย่า reuse รหัสเดียวกันหลายที่
3. เปิด Two-Factor Authentication (2FA)
แม้รหัสผ่านหลุด แฮ็กเกอร์ก็เข้าไม่ได้ถ้าไม่มีโค้ดจากมือถือคุณ ติดตั้งปลั๊กอินอย่าง Wordfence Login Security หรือ WP 2FA แล้วผูกกับแอป Google Authenticator — ใช้เวลาตั้งค่าแค่ 5 นาที แต่กันการเจาะ login ได้เกือบ 100%
4. จำกัดการ Login (Limit Login Attempts)
ปลั๊กอินอย่าง Limit Login Attempts Reloaded จะบล็อก IP ที่ใส่รหัสผิดเกินจำนวนที่กำหนด ป้องกันการโจมตีแบบ brute-force ที่บอตเดารหัสซ้ำๆ เป็นพันครั้ง
5. Firewall / WAF และ SSL
- ติดตั้งปลั๊กอินความปลอดภัยอย่าง Wordfence หรือ Sucuri ที่มี Web Application Firewall กรองทราฟฟิกอันตรายก่อนถึงเว็บ
- ใช้ Cloudflare เป็นชั้น WAF ระดับ DNS ช่วยกรอง bot และ DDoS ก่อนถึงเซิร์ฟเวอร์ อ่านวิธีตั้งค่าได้ใน คู่มือ Cloudflare ฉบับสมบูรณ์
- ติดตั้ง SSL (HTTPS) ให้ทุกหน้า — ปัจจุบันโฮสต์ส่วนใหญ่ให้ Let’s Encrypt ฟรี ไม่มีข้ออ้างที่จะไม่ใช้
6. ซ่อน / ป้องกันหน้า wp-admin และ wp-login
- เปลี่ยน URL หน้า login ด้วยปลั๊กอิน WPS Hide Login จาก
/wp-adminเป็นอย่างอื่น เพื่อหลบบอต - จำกัดการเข้าถึง
wp-login.phpด้วย IP whitelist ถ้าคุณเข้าจากที่ทำงานประจำ - ปิดการแก้ไฟล์ผ่าน dashboard โดยเพิ่ม
define('DISALLOW_FILE_EDIT', true);ในwp-config.php
สัญญาณว่าเว็บโดนแฮ็ก + วิธีกู้
รู้ทันเร็วเท่าไร กู้ง่ายเท่านั้น สังเกตสัญญาณเหล่านี้:
- เว็บ redirect ไปเว็บแปลกๆ (พนัน ขายยา ภาษาต่างประเทศ)
- มีหน้าหรือโพสต์ที่คุณไม่ได้สร้างโผล่ขึ้นมา
- Google Search Console แจ้งเตือน “This site may be hacked” หรือ “Deceptive site ahead”
- เว็บช้าผิดปกติ หรือมี user admin แปลกหน้าเพิ่มเข้ามา
- โฮสต์ระงับบัญชีเพราะตรวจพบ malware
ขั้นตอนกู้เว็บที่โดนแฮ็ก:
- อย่าตื่นตระหนก แต่รีบทำ — เปลี่ยนรหัสผ่านทั้งหมด (admin, FTP, database, โฮสต์) ทันที
- นำเว็บออฟไลน์ชั่วคราว หรือเปิด maintenance mode เพื่อไม่ให้กระจาย malware
- สแกนด้วย Wordfence หรือ Sucuri เพื่อหาไฟล์ที่ถูก inject
- กู้จาก backup ชุดที่สะอาด (ก่อนวันที่โดนแฮ็ก) — นี่คือเหตุผลที่ต้องมี backup หลายชุด
- อัปเดตทุกอย่าง core, theme, plugin ให้เป็นเวอร์ชันล่าสุด และลบปลั๊กอินที่ไม่จำเป็น
- ขอ review จาก Google ใน Search Console เพื่อลบป้ายเตือน “hacked” หลังทำความสะอาดเสร็จ
ถ้าเว็บโดนหนักมากและคุณกู้เองไม่ไหว การจ้างผู้เชี่ยวชาญทำความสะอาดมัลแวร์ (malware removal) คุ้มกว่าการนั่งงมเอง เพราะแฮ็กเกอร์มักฝัง backdoor ไว้หลายจุดที่มองไม่เห็น
WordPress Hardening Checklist (ปริ้นต์เก็บไว้ได้เลย)
ทำตามรายการนี้ครบ เว็บคุณจะปลอดภัยกว่า ~95% ของเว็บ WordPress ทั่วไป:
- ตั้ง backup อัตโนมัติ (database รายวัน, files รายสัปดาห์) เก็บ off-site
- ทดสอบกู้คืน backup อย่างน้อยปีละครั้ง
- อัปเดต core, theme, plugin ให้เป็นล่าสุดเสมอ
- ลบ theme/plugin ที่ไม่ใช้ทั้งหมด
- เปลี่ยน username
adminเป็นชื่ออื่น + รหัสผ่านแข็งแรง 16+ ตัว - เปิด 2FA สำหรับทุกบัญชี admin
- ติดตั้ง Limit Login Attempts
- ติดตั้ง WAF (Wordfence/Sucuri) + Cloudflare
- เปิด SSL (HTTPS) ทุกหน้า
- เปลี่ยน/ซ่อน URL หน้า login
- เพิ่ม
DISALLOW_FILE_EDITในwp-config.php - ตั้งสิทธิ์ไฟล์ (file permission) ให้
wp-config.phpเป็น 600 และโฟลเดอร์เป็น 755 - ตรวจสอบ user admin แปลกหน้าเป็นประจำ
นอกจากความปลอดภัยแล้ว เว็บที่ดีต้องเร็วด้วย ลองอ่านวิธี เพิ่มความเร็ว WordPress ควบคู่กันไป เพราะเว็บที่ปลอดภัยและเร็วคือเว็บที่ติดอันดับและขายได้
คำถามที่พบบ่อย (FAQ)
ควร backup wordpress บ่อยแค่ไหน? ขึ้นกับความถี่ในการอัปเดตเนื้อหา เว็บข่าว/ขายของควร backup database ทุกวัน ส่วนเว็บบริษัทที่อัปเดตน้อยอาจสัปดาห์ละครั้งก็พอ แต่ files ที่ไม่ค่อยเปลี่ยน backup รายสัปดาห์ถึงรายเดือนได้
UpdraftPlus ฟรีพอใช้ไหม หรือต้องจ่ายเงิน? เวอร์ชันฟรีพอสำหรับเว็บส่วนใหญ่ — backup ครบ ตั้งเวลาได้ ส่งขึ้น cloud ได้ เวอร์ชันเสียเงินเพิ่ม incremental backup, migration และ multisite ซึ่งจำเป็นเฉพาะเว็บใหญ่
เก็บ backup ไว้บนเซิร์ฟเวอร์เดียวกับเว็บได้ไหม? ไม่แนะนำอย่างยิ่ง ถ้าเซิร์ฟเวอร์ถูกแฮ็กหรือล่ม backup ก็หายไปด้วย ให้เก็บ off-site บน Google Drive, Dropbox หรือ S3 เสมอ
เว็บโดนแฮ็กแล้วแต่ไม่มี backup เลย ทำยังไง? สแกนหาและลบไฟล์มัลแวร์ด้วย Wordfence/Sucuri ติดตั้ง WordPress core ใหม่ทับ และตรวจ database หาโค้ดแปลกปลอม กระบวนการนี้ยุ่งยากและไม่การันตี 100% — จึงเป็นเหตุผลว่าทำไม backup สำคัญตั้งแต่วันแรก
สรุป
backup wordpress และความปลอดภัยไม่ใช่ “งานเสริม” แต่คือประกันชีวิตของเว็บไซต์คุณ สรุปสามสิ่งที่ต้องจำ:
- Backup ที่สมบูรณ์ = ไฟล์ + ฐานข้อมูล เก็บ off-site ด้วยกฎ 3-2-1 และซ้อมกู้คืนจริง
- ป้องกันด่านแรกคือการอัปเดต + 2FA + WAF — กันการแฮ็กได้ส่วนใหญ่ก่อนที่จะต้องใช้ backup
- รู้สัญญาณเว็บโดนแฮ็กและขั้นตอนกู้ จะช่วยให้คุณตอบสนองได้ทันก่อนความเสียหายลุกลาม
ที่ Southern Whale เราดูแลเว็บ WordPress ให้ SME ภาคใต้แบบครบวงจร — ตั้งแต่ตั้งระบบ backup อัตโนมัติ, hardening ความปลอดภัย, ไปจนถึงกู้เว็บที่โดนแฮ็กกลับมาให้ใช้งานได้ ถ้าคุณอยากให้เว็บปลอดภัย เร็ว และนอนหลับสบายไม่ต้องกังวลว่าจะตื่นมาเจอเว็บพัง ดูบริการพัฒนาและดูแลเว็บไซต์ของเรา ได้เลย เราพร้อมช่วยให้เว็บของคุณแข็งแรงตั้งแต่ฐานราก