เสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 2

มาตามสัญญาครับ สำหรับเสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 2 คราวนี้เราจะมาทำความเข้าใจว่าแต่ละฟีเจอร์ของ iThemes มีอะไรบ้าง เพื่อจะได้เข้าใจและนำไปปรับใช้ให้เหมาะสมกับเว็บของเรากัน หลังอ่านบทความนี้จบคุณจะได้เว็บที่มีความปลอดภัยแน่นปึ๊ก ไม่โดนแฮคง่าย ๆ อีกต่อไป.

ก่อนจะเริ่มกันใครยังไม่อ่าน ตอนที่ 1 ผมเอามาแปะไว้ให้แล้ว

สำหรับใครที่พร้อมแล้วก็มาเริ่มกันเลย

เข้าไปที่ Menu Security > Settings เราจะเจอหน้าสำหรับตั้งค่าปลั๊กอินโดยแบ่งเป็นแต่ละฟีเจอร์ มีอยู่ทั้งหมด 29 ฟีเจอร์ด้วยกัน ( เยอะมากกก )

ฟีเจอร์แรก Security Check

ฟีเจอร์นี้ปลั๊กอินจะตั้งค่าต่างๆให้เราอัตโนมัติเพียงแค่คลิก Secure Site

WordPress Tweaks

ส่วนนี้จะคล้าย ๆ กับส่วนของ System Tweaks แตกต่างกันตรงที่ส่วนนี้จะตั้งค่าในส่วนของ WordPress ตั้งตามภาพได้เลย

System Tweaks

สำหรับส่วนนี้จะเป็นการตั้งค่าเกี่ยวกับสิทธ์ในการเข้าถึงไฟล์ ตรงนี้เป็นอีกจุดหนึ่งที่เว็บส่วนมากโดนแฮคเนื่องจากไม่มีการกำหนดสิทธ์ในการเข้าถึง File หรือ Directory ต่าง ๆ ที่ดีพอ ส่วนนี้ตั้งตามภาพได้เลยครับ

Database Backups

ฟีเจอร์นี้คือสำรองฐานข้อมูลเว็บเรานั่นเอง ตั้งค่าตามภาพได้เลยครับ



อธิบายเพิ่มเติม จากรูปผมตั้งให้ปลั๊กอินทำการสำรองข้อมูล Database เป็นไฟล์ zip และส่งเข้าเมลผมทุกวันนั่นเอง

Away Mode

ฟีเจอร์นี้ผมชอบมากเปรียบเสมือนตั้งเวลาการเข้าใช้งานหลังบ้านเว็บเรานั้นเอง
โดยสามารถตั้งได้ว่าเราจะไม่อนุญาติให้สามารถเข้าหลังบ้านได้ตั้งแต่กี่โมงถึงกี่โมง
สำหรับผมผมตั้งไว้ที่ เที่ยงคืนถึงแปดโมงเช้า จะไม่สามารถเข้าใช้งานหลังบ้านได้  ตามภาพ

ลองนึกภาพว่า WP-ADMIN เป็นประตูบ้านเรานะครับ แล้ว ALWAY MODE เป็นรั้วกั้น พอถึงเวลาเราก็ปิดรั้วกั้นไม่ให้ใครเข้ามาประตูบ้านเราได้ ถ้าเราไม่ตั้ง ALWAY MODE จำกัดช่วงเวลาที่เข้าหลังบ้านเว็บเราได้ก็เปรียบเสมือนบ้านที่ไม่มีรั้วกั้น ใครจะมาเคาะจะมางัดประตูเข้าบ้านเราก็สามารถทำได้ตลอดเวลา

Banned Users

ฟีเจอร์นี้ก็มีไว้สำหรับ แบนผู้ใช้งานนั่นเอง เราสามารถเอาไอพีที่เราต้องการจะแบนมาใส่ไว้ในช่อง ตามภาพ
1 บรรทัดต่อ 1 เลขไอพี ในส่วนนี้ให้ตั้งค่าตามภาพได้เลยครับ
ปล. สำหรับใครที่เพิ่งลงปลั๊กอินครั้งแรกเลขไอพีในช่อง Ban Hosts จะยังไม่มีเหมือนของผมนะ

Local Brute Force Protection

ฟีเจอร์นี้จำเป็นอย่างมากต้องเปิดไว้เลย มันก็คือระบบป้องการ Brute Force นั่นเอง สำหรับใครที่ยังไม่รู้จักว่า Brute Force คืออะไร ผมจะอธิบายให้เข้าใจง่าย ๆ
Brute Force คือ เครื่องมือที่ใช้ในการ สุ่ม username password login เข้าระบบนั่นเอง โดยเครื่องมือประเภทนี้จะมี Database List พวก username และ password ยอดฮิตที่ชอบกันเช่น username admin password 1234 เป็นต้น โดยมันจะสุ่ม ส่ง username password เข้ามาที่ระบบเราอยู่เรื่อยๆจนกว่าจะเจอ username password ที่ถูกต้อง ถ้าเราตั้ง username และ password ไม่ดีพอก็จะโดนเครื่องมือพวกนี้เจาะเข้าระบบเราได้ง่าย ๆ นั่นเอง สำหรับ วิธีตั้งรหัสผ่านให้คาดเดาได้ยากและปลอดภัย ผมเขียนไว้ ลองไปอ่านกันดูครับ
วิธีตั้งค่าก็ดูตัวอย่างตามภาพได้เลยครับ

อธิบายจากภาพ ผมตั้งไว้ว่า ถ้า user ใดก็ตามทำการ login เข้าระบบผิดติดต่อกันเกิน 3 ครั้งจะโดนแบน 480 นาที คิดเป็นชั่วโมงก็ 16 ชั่วโมง หลังจากนั้นถึงจะมา login ใหม่ได้
และถ้าใครมาลอง login โดยใช้ username admin จะโดนแบนทันทีเลย หวังว่าไม่มีใครตั้ง username เป็น admin นะ ใครตั้งรีบไปเปลี่ยนเลยด่วน ๆ

Hide Backend

ส่วนนี้จะเป็นการเปลี่ยน url สำหรับเข้าหลังบ้านครับ โดยปกติเวลาเราจะเข้าหลังบ้านของ wordpress เราก็จะพิมพ์ /wp-login.php หรือ /wp-admin แค่นี้มันก็จะ redirect มาหน้า login ให้แล้วซึ่งจริง ๆ แล้วไม่เป็นผลดีเลยครับ ใครก็สามารถหาหน้า login เว็บเราเจอ วิธีเปลี่ยนก็ดูตามรูปเลยครับ

จากรูปผมตั้ง url สำหรับเข้าหลังบ้านเป็น /abc เพียงเท่านี้ เมื่อผู้ไม่หวังดีหรือคนอื่นที่พิเรนมาลองเดา url เข้าหลังบ้านเราด้วย /wp-login.php หรือ /wp-admin เค้าก็จะหาไม่เจอแล้วครับ

Change Database Table Prefix

ส่วนนี้จะทำการเปลี่ยน prefix ชื่อนำหน้าของ table ใน database เว็บเราครับซึ่ง default ของ wordpress คือ wp_ อันนี้ควรจะเปลี่ยนอย่างยิ่งครับเพื่อไม่ให้เดาชื่อ table ใน database เราได้ ทำตามภาพได้เลยครับ
ปล. backup database ก่อนทำตรงนี้นะครับ กันไว้ก่อนเผื่อเกิดเหตุการไม่คาดฝัน

แถมให้ในส่วนของ Logs ครับ

ตัวปลั๊กอินเองจะเก็บ logs ไว้ให้เราดูว่ามีอะไรเกิดขึ้นกับ web ของเราบ้างมาดูกันเลยครับ

จากรูปแสดงให้เห็นว่าในวันที่ 2017-01-28 เวลา 21:07:56 มีการพยายามเข้า url หลังบ้านแต่เจอ Alway mode ที่ตั้งเวลาไว้เลยเข้าไม่ได้ มาลองดูอีกสักอันกันครับ

อันนี้มีการสุ่ม  login ด้วย user ที่ชื่อว่า test เข้ามาหลายครั้งเลยและสุดท้ายก็โดน ban ไปตามที่เราตั้งค่าไว้ครับ ลองคลิกที่เลขไอพีดูว่ามาจากไหน

จากภาพก็มาจาก Jarkata โน่นเลย
เห็นไหมครับว่าวัน ๆ หนึ่งเกิดอะไรขึ้นกับเว็บของเรากันบ้าง ถ้าเราไม่มีการป้องกันที่ดีพอจะเกิดอะไรขึ้นบ้างก็ไม่รู้ ดีไม่ดีอาจต้องทำเว็บใหม่กันเลย

จบแล้ว

ขอบคุณบทความดี ๆ จาก CodingDee ครับ