วิธีการป้องกัน WordPress โดนแฮก [Hack WordPress] ด้วย WordPress Plugin

จากบทความที่แล้ว วิธีการ Clean Install WordPress ใหม่ทั้งหมด [โดนแฮก] เป็นวิธีการแก้ไขหลังจากที่โดน Hack ไปแล้ว, สำหรับบทความนี้เราจะมาดูวิธีการป้องกันเว็บ WordPress CMS โดนแฮกด้วยวิธีการติดตั้ง WordPress Plugin กันนะครับ

WordPress Security Plugin

เพราะว่าบางครั้ง ถึงแม้ว่าเราจะใช้ซอฟต์แวร์ต่างๆให้เป็นเวอร์ชั่นล่าสุดแล้วก็ตาม ช่องโหว่ที่อาจจะทำให้โดนแฮกก็เกิดขึ้นได้นะครับ เพราะฉะนั้น พวก CMS ต่างๆจึงต้องทำการอัพเดตให้เป็นรุ่นล่าสุดอยู่เสมอๆ และมีการพัฒนาอยู่เสมอๆนั่นเอง เพื่อให้ทันต่อโลกปัจจุบันและความปลอดภัยต่างๆ วันนี้ผมจึงอยากจะแนะนำตัว Plugin ตัวหนึ่งที่มีความสามารถในการป้องกันการโดนแฮกจากการ Injection ต่างๆผ่านช่องโหว่ของ PHP Script ได้เป็นอย่างดีเลยทีเดียว โดยมันมีชื่อว่า All In One WP Security & Firewall หลังจากติดตั้งแล้ว ให้ไปที่เมนู Firewall และเปิดการตั้งค่าตามนี้ครับ

• Enable Pingback Protection
• Block Access to debug.log File
• Disable Trace and Track
• Forbid Proxy Comment Posting
• Deny Bad Query Strings
• Enable Advanced Character String Filter
• Enable 6G Firewall Protection
• Enable legacy 5G Firewall Protection

นอกจากนี้ยังมีส่วนที่แนะนำอื่นๆ เช่น เปลี่ยน prefix ของ Database ในเมนู Database Security, เปลี่ยน Display user ในเมนู User Accounts เป็นต้น

การทำงานของ All in one WP Security & Firewall

Plugin ตัวนี้จะใช้ความสามารถของ .htaccess ในการป้องกัน, หลังจากที่ตั้งค่าเสร็จแล้ว ลองไปดูในไฟล์ .htaccess จะเห็นว่ามีโค๊ดเพิ่มขึ้นเยอะแยะมากมาย มันจึงใช้งานได้เฉพาะเว็บเซิฟเวอร์ที่เป็น Apache เท่านั้น, หรือจะใช้ Apache เป็น Backend และใช้ Nginx เป็น Proxy แบบนี้ก็ยังใช้งานได้ปกตินะครับ

สำหรับท่านที่ใช้งาน Openlitespeed หรือ Litespeed Web Server ก็จะรองรับ Rule บางอย่าง อาจจะเรียกว่าไม่ทั้งหมด เพราะว่าเป็นการแปลง .htaccess ให้ไปทำงานใน LSWS อีกทีครับ ซึ่งตรงนี้อาจจะมีการพัฒนาในอนาคตให้รองรับคำสั่งทั้งหมด

ทดสอบการทำงานของ Plugin

ลองใส่ค่านี้ต่อท้าย URL ของโดเมนเรา

[php]

?id=include/etc/passwd

[/php]

ข้อดีของการใช้ .htaccess

ข้อดีของ .htaccess ก็คือ มันทำงานระดับ Web Server ซึ่งยังเข้าไม่ถึง Script ของเรา หาก Rule ตรงกับที่เราตั้งค่าไว้ Web Server ก็จะทำการ Denine Request นั้นๆออกไป ทำให้ไม่ต้องมาประมวลผลที่ PHP Script ที่ทำงานระดับ Backend นั่นเองครับ

หากเทียบกับ Security Plugin ตัวอื่นๆ หากมีการเก็บข้อมูลใน Database หรือประมวลผลด้วย PHP Script จะเห็นได้ชัดว่ามันจะทำงานช้าครับ เพราะว่าเป็นระดับ Backend นั่นเอง

บทสรุปความปลอดภัยของ WordPress Plugin

การเลือกใช้งาน WordPress Plugin เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ของเรา เป็นตัวเลือกหนึ่งในการใช้งานที่ง่ายที่สุด เพราะสามารถดาวน์โหลดและติดตั้ง Plugin ได้ที่ระบบหลังบ้านของ WordPress เองเลย และไม่จำเป็นต้องมีความรู้เกี่ยวกับ Security Rule มากมายครับ เพียงแค่คลิกๆก็เปิดใช้งานด้านความปลอดภัยให้เราแล้วนั่นเอง

1412

Blog ส่วนตัว ที่จะแชร์เรื่องร่าวต่างๆที่พบเจอมา จากประสบการณ์จริง เพื่อเป็นประโยชน์ต่อสังคมและผู้ที่กำลังศึกษาหาความรู้เรื่องต่างๆ ไม่ว่าจะเป็น Server, Network, Security, ทำเว็บไซต์, เขียนโปรแกรม, ฯลฯ ขอบคุณทุกๆการติดตามครับ 😉

★ บริการ Cloud Server ★

Related posts:

วิธีป้องกัน WordPress Brute Force Attack ด้วย Cloudflare Rule เร่งความเร็ว WordPress ให้ทะลุจอ [ปัญหา+วิธีการ] วิธีการ Clean Install WordPress ใหม่ทั้งหมด [โดนแฮก] WordPress โดนยิง xmlrpc.php + วิธีป้องกัน