กดถูกใจ เป็นกำลังใจให้เรา 😍

VIR9.COM

ขอบคุณน๊าา 🥰

Close

  • ป้องกันการแฮ็ก wordpress

    July 17, 2017

    user เเละ password
    ใช้โปรแกรม ยิงเข้ามา เรื่อยๆ
    – ต้องตั้งชื่อ เเละ pw ให้ยาก
    – ใช้ plugin พวก lockdown และ limit lock in attempt
    – ป้องกันด้วย .htaccess
    สำหรับผู้ที่ใช้โฮสท์ในระบบ linux และใช้ apache เป็น web server จะมีกลไลที่ช่วยป้องกันการเจาะเข้าในระดับไดเรคทอรี่และระดับไฟล์ ซึ่งใช้ได้กับเว็บไซต์ทุกประเภท
    .htaccess เป็นใช้บอกเงื่อนไขว่าเราต้องการควบคุมการเข้าถึงเว็บไซต์ของเราอย่างไร
    หากเราลง WordPress ครั้งแรกและเปิดใช้ permalinks ไว้ ไฟล์นี้จะถูกสร้างขึ้นให้โดยอัตโนมัติที่ตำแหน่ง public_html ซึ่งเราเปิดดูก็จะเป็นดังนี้

    # BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

    เราเพียงแต่เขียนต่อท้ายเข้าไป

    – ป้องกัน wp-config.php
    wp-config.php ไฟล์นี้จะถูกรันทุกครั้งที่มีการเปิดเว็บเพจ ถ้ามีการใส่โค้ดบางอย่างแทรกเข้าไปโค้ดนั้นก็สามารถรันได้ตลอดเวลา วิธีป้องกันไม่ให้ไฟล์นี้ถูกเปลี่ยนแปลงก็คือใส่โค้ดต่อไปนี้ลงไป

    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

    ซึ่งจะเป็นการป้องกันไม่ให้มีการแก้ไขข้อมูลในไฟล์นี้รวมทั้งตัวเราเอง หากเราต้องการเปลี่ยน wp-config.php  เช่นเราต้องการเปลี่ยนรหัสผ่านของฐานข้อมูล ก็ต้องมาปลดล็อกตรงนี้ก่อน

    – ป้องกันการ login จาก IP อื่น
    ปกติเมื่อเราจะเข้าใช้ WordPress ก็จะเข้าผ่านทาง mysite.com/wp-admin ซึ่งคนอื่นที่จะเจาะเข้ามาก็ใช้ช่องทางนี้เช่นกัน ซึ่งอาจจะทำโดยโปรแกรมก็ได้ ถ้าองค์กรของคุณใช้ IP แบบ fix คุณสามารถเจาะจงว่า IP ของคุณเท่านั้นที่สามารถเข้าทางช่องนี้ได้ โดยสร้างไฟล์ .htaccess อีกไฟล์ไว้ภายใต้ public_html/wp-admin

    order deny allow
allow from 203.100.20.5
deny from all

    203.100.20.5 คือ  fix IP ของเรา กรณีใช้ fix IP

    – ป้องกันจาก IP ไม่พึงประสงค์
    เมื่อเราใช้ plugin อย่างเช่น limit login attempt เราจะสังเกตเห็น IP บางตัวที่พยายามเจาะเข้ามา อาจเอาไปตรวจสอบกับ iplocation.net อาจบล็อก IP นั้นหากสงสัย โดยใส่

    <Limit GET POST>
order allow deny
deny from 203.100.21.1
deny from 203.102.181.20
allow from all
</Limit>

    เครื่องที่มี IP หมายเลข 203.100.21.1 และ 203.102.181.20 จะไม่สามารถดูเว็บไซต์ของเราได้ รวมทั้งความพยายามที่จะล็อกอิน
    – อย่าใช้ plugin ที่ไม่มีแหล่งที่มา
    แหล่งที่น่าเชื่อถือที่สุดก็คือจาก wordpress.org หรือจากเจ้าของ plugin ที่มีชื่อเสียงและทำมานาน (ส่วนมากไม่ฟรี)
    แม้ว่าแหล่งที่มาของ plugin จะเป็นที่น่าเชื่อถือ แต่ plugin ที่เขียนมาไม่ดีก็จะเป็นช่องโหว่ให้มีการเจาะเข้ามาได้
    ต้องคอยตามข่าวสารจาก plugin ที่ใช้เสมอ และควรอัพเดทเมื่อมีการแจ้งเตือน ควรเลือกใช้ plugin ที่มีประวัติใช้งานมานานหลายปีและมีการอัพเดทอยู่อย่างสม่ำเสมอ ปกติ plugin ที่ไม่มีการอัพเดทเป็นเวลา 2 ปี WordPress จะแจ้งเตือนไม่ให้ใช้

    นอกจากนี้เเล้ว หากเป็นไปได้ การโมดิฟายใน wordpress เลยดีกว่าการใช้ plugin นอกจาปลอดภัยกว่าเเล้วยังทำงานได้เร็วกว่า


เวอไนน์ไอคอร์ส

ประหยัดเวลากว่า 100 เท่า!

เวอไนน์เว็บไซต์⚡️
สร้างเว็บไซต์ ดูแลเว็บไซต์

Categories