WordPress เป็น CMS ที่เป็นที่นิยมมากจึงเป็นเป้าของเหล่า Hacker หาทางเจาะเว็บไซต์
เช่น วิธีการโจมตี Brute Force หรือ สุ่มรหัสผ่าน ปัจจุบัน 2015 ไม่มีระบบป้องกันการสุ่มรหัสผ่านทางการ Login ผิดเกินกว่าจำนวนครั้งที่ตั้งไว้ จะมีระบบระงับ IP
อาจไม่จำเป็นแค่ตั้งรหัสผ่านยากๆ ก็สุ่มไม่ได้แล้ว แต่ Hacker ใช้ Botnet สุ่มรหัสผ่านเข้ามาจำนวนมาก ทุกครั้งที่เกิดการ Login WordPress จะสั่งให้ Login Script ไป Query เช็ครหัสผ่านในตารางฐานข้อมูล ระดับหลายพันครั้งต่อนาทีจะทำให้ Web ช้าลง ทำให้ส่งผล CPU และ RAM และหาก Server ตั้งค่าการจัดการทรัพยากรระบบไม่ดีอาจทำให้ Server ล่มได้
ใช้ Plugin พวก Limit Login ป้องกัน
Plugin พัฒนาด้วย php ทำให้ยังมีการทำงานบน PHP Layer และการ Query Database อยู่ ถึงแม้จะตั้งว่า Login เกิน 3 ครั้ง IP ถูก Block แต่ Hacker มี Botnet ในมือจำนวนหลายพันหลายหมื่น IP กว่าจะ Block IP ทั้งชุดหมด ก็โดนสุ่มไปเป็นแสนครั้งแล้ว
วิธีการ Block ที่ได้ผลและมีประสิทธิภาพ จริงๆ ควรใช้ HTTP Authentication ครับ เริ่มด้วยการ เพิ่ม Code นี้แทรกเข้าไปในไฟล์ .htaccess ของ WordPress
# Protect wp-login
<Files wp-login.php>
AuthUserFile /home/user/domains/yourdomain.com/public_html/.htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>แล้วไปที่ http://www.htaccesstools.com/htpasswd-generator/
เมื่อได้ code มาให้ สร้างไฟล์ .htpasswd ใส่ code ในไฟล์นี้ แล้ว Upload ใน Directory เดียวกับไฟล์ .htaccess
เปลี่ยนตาม system directory ตามที่ใช้งาน จากนั้นทดลอง Login ดูได้ จะพบว่ามีหน้าต่างให้ Login แสดงขึ้นมาอีกชุด
การ Login ลักษณะนี้ไม่ได้ทำงานบน PHP Layer และไม่มีการใช้งาน Database ทำให้ใช้ทรัพยากรระบบน้อยกว่ามาก จะสุ่มมาเป็นแสนๆ ครั้งก็ไม่เป็นไร
ถ้า Hacker จะเอาให้ได้ก็ต้องสุ่มรหัสผ่านนี้ก่อน จึงจะเจอหน้า Login ของ WordPress แล้วเข้าไปสุ่ม WordPress อีกรอบ จากประสบการณ์หากทำ HTTP Authentication ดักไว้ถ้า hacker botnet ผ่านมาเจอเข้าก็จะจากไปทันที ไม่เสียเวลาทำ Brute force
support.hostatom.com/knowledgebase/361/วธปองกน-Brute-Force-Attack-สำหรบ-Wordpress.html
seenual.com/เจาะระบบ-web-app-php-mysql-และการป้องกั/
https://www.thaicreate.com/php/forum/025056.html
rundiz.com/web-resources/ตัวอย่างโค้ด-php-device-cookies-ป้องกันก