Security

WordPress Security รวมเทคนิคเสริมความปลอดภัยให้ WordPress ที่คนใช้งานเวิร์ดเพรสต้องรู้ถ้าไม่อยากให้เว็บเราโดนแฮค แนะนำให้ศึกษาไว้ครับ

wpscan

WPScan เครื่องมือที่คนใช้เวิร์ดเพรสต้องรู้

WPScan เครื่องมือที่ชาวเวิร์ดเพรสจำเป็นต้องรู้ ผมใช้เวลาไตร่ตรองอยู่นานพอสมควรว่าจะเขียนบทความนี้ดีไหม เพราะมันเปรียบเสมือนดาบสองคม ถ้านำไปใช้ในทางที่ดีก็ดีไป แต่ถ้านำไปใช้ในทางที่ผิดก็อาจจะทำให้ตัวเองและคนอื่นเดือนร้อนได้เหมือนกัน WPScan เครื่องมือที่คนใช้เวิร์ดเพรสต้องรู้ wpscan คือเครื่องมือที่ใช้ในการตรวจสอบช่องโหว่เว็บที่ทำด้วยเวิร์ดเพรส เช่น หาช่องโหว่ของปลั๊กอิน หาช่องโหว่ของธีม หาช่องโหว่ของตัวเวิร์ดเพรสเอง Brute force บทความนี้ผมจะมาแนะนำทั้งวิธีใช้งานและวิธีป้องกันเลยนะครับ ถ้าพร้อมแล้วเรามาเริ่มกันเลย ติดตั้ง WPScan อันดับแรกเราก็ต้องติดตั้งเครื่องมือที่เราจะใช้กันซะก่อน ดาวน์โหลดและติดตั้งตามคู่มือจากเว็บหลักของเค้าได้ที่นี่เลย  wpscan.org Environment ที่ผมใช้ในการทดสอบครั้งนี้ WordPress 4.8.1 เวอร์ชั่นล่าสุด Theme Storefront 2.2.5 เวอร์ชั่นล่าสุด Plugins WooCommerce 3.1.2 เวอร์ชั่นล่าสุด ตัวอย่างวิธีใช้งาน Scan Username ก่อนจะ Brute force ได้เราต้องรู้ username ก่อนว่าเว็บนี้ใช้ username อะไร...
วิธีซ่อนเวอร์ชั่น WordPress

วิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้

วิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้ เป็นอีกวิธีที่ช่วยเพิ่มความปลอดภัยให้กับเว็บเรา ลองอ่านและนำไปปรับใช้กันดูครับ วิธีซ่อนเวอร์ชั่น WordPress บทความนี้ทีมงาน CodingDee จะมาแนะนำวิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้กันครับ ผลกระทบที่อาจจะเกิดขึ้น ถ้าเราไม่ซ่อนเวอร์ชั่น WordPress จะส่งผลกระทบอะไรบ้างมาดูเหตุการณ์จำลองกัน สมมุติว่าผมเป็นผู้ไม่หวังดีอยากจะโจมตีเว็บ ๆ นึง สิ่งแรกที่ผมจะทำคือหาข้อมูลของเป้าหมายก่อนว่าเค้าใช้ Server อะไร  เวอร์ชั่นอะไร ใช้ CMS ค่ายไหน เวอร์ชั่นอะไร ฯลฯ ยิ่งเราได้ข้อมูลพวกนี้มากเท่าไหร่ เราก็สามารถนำมาวิเคราะห์หาช่องโหว่และวิธีการโจมตีได้มากขึ้นเท่านั้น ถ้าไปเจอ WordPress Version ตำ่ กว่า 4.7.0 เสร็จเลยครับ ช่องโหว่เพียบเลย ผมเคยเจอบางเว็บยังใช้ WordPress เวอร์ชั่น...
วิธีทำให้เวิร์ดเพรสโดนแฮค

วิธีทำให้เวิร์ดเพรสโดนแฮค

หลังจากหยุดยาวสงกรานต์กันมา เรามาดู วิธีทำให้เวิร์ดเพรสโดนแฮค กันครับ ผมรับรองได้เลยว่าทำตามนี้แล้วโดน Hack แน่นอน วิธีทำให้เวิร์ดเพรสโดนแฮค 1.โหลดธีมหรือปลั๊กอินเถื่อนหรือโหลดจากแหล่งที่ไม่น่าเชื่อถือ โหลดปลั๊กอินเถื่อนเพราะฟรี ที่ไหนแจกของฟรีเราโหลดหมด เราเป็นคนประหยัด (งก) 2.ตั้งค่า Permission Folder & File เป็น 777 Permission 777 คือสิทธ์ิในการยินยอมให้ใครก็ได้สามารถสร้างหรือแก้ไขไม่ว่าจะเป็น File หรือ Folder สามารถทำได้หมด เราเป็นคนใจกว้าง ใจดี ใครอยาก สร้างหรือแก้ไขไฟล์อะไรบนเว็บเรา เรายินดี มาจัดการได้เลย 3.อย่าอัพเดทเวอร์ชั่น WordPress ,Themes, Plugin ทุกครั้งที่มีเวอร์ชั่นใหม่ออกมา อย่าอัพเดทครับ ปล่อยไว้อย่างนั้น เพราะทุก...
ซ่อนเวอร์ชั่น Server

ซ่อนเวอร์ชั่น Server กันเถอะ

วิธี ซ่อนเวอร์ชั่น server ที่ช่วยให้เว็บเราปลอดภัยมากขึ้น วิธีนี้เป็นวิธีง่าย ๆ ที่ช่วยเพิ่มความปลอดภัยให้เว็บเรา คงไม่ดีแน่ถ้าใครมารู้ว่าเราใช้ server อะไรอยู่ เพราะการรู้ข้อมูลพวกนี้ สามารถส่งผลให้ผู้ไม่หวังดีนำไปค้นหาช่องโจมตีได้ง่ายขึ้น เพราะเค้ารู้แล้วว่าเราใช้ server อะไร เวอร์ชั่นอะไร มาดูวิธีกันป้องกัน ง่าย ๆ ตรวจสอบก่อนว่า server เราแสดงข้อมูลเหล่านี้ไหม เปิดเว็บของเราขึ้นมาโดยใส่ url ตามนี้ เปลี่ยนเป็นชื่อเว็บเราเองนะครับ yourdomain.com/.htaccess ภาพด้านล่างนี้คือก่อนที่เราจะซ่อนเวอร์ชั่น webserver ครับ แสดงข้อมูลออกมาหมดเลย เราต้องรีบไปซ่อนกันแล้ว เพิ่มโค๊ดชุดนี้เข้าไปที่ไฟล์ .htaccess #Disable server signature ServerSignature Off เรียบร้อยครับไม่แสดงข้อมูลอะไรออกมาแล้ว แค่นี้ก็ช่วยให้เว็บเราปลอดภัยขึ้นแล้วครับ จบแล้ว หากอ่านแล้วชอบบทความจาก CodingDee...
วิธีส่งเมลแจ้งเตือนแอดมินเมื่อ User Login เข้าสู่ระบบผิด

วิธีส่งเมลแจ้งเตือนแอดมินเมื่อ User Login เข้าสู่ระบบผิด

วิธีส่งเมลแจ้งเตือนแอดมินเมื่อ User Login เข้าสู่ระบบผิด บทความนี้ CodingDee จะมาแนะนำวิธีทำ มาดูกันเลยว่าทำยังไง เพิ่มโค๊ดชุดนี้เข้าไปที่ไฟล์ function.php function.php จะอยู่ใน /public_html/wp-content/themes/your-theme add_action( 'wp_login_failed', 'codingdee_notify_failed_login' ); function codingdee_notify_failed_login( $user_login ) { date_default_timezone_set("Asia/Bangkok"); $subject = 'Invalid Login Attempt'; $content = 'Description'. "<br>"; $content .=...
สร้างเว็บด้วย WordPress

WordPress 4.7.2 ออกแล้วอัพเดทด่วน

WordPress 4.7.2 Security Release มาเป็นบทความสั้นนะครับ ลุกขึ้นมาเขียนตอนนี้ก็ตีสามกว่าๆ เห็นมีเมลมาเตือนว่า WordPress ออกเวอร์ชั่นแล้วนะเลยมาดูสักหน่อยว่ามีอะไรบ้าง โดยอัพเดทรอบนี้มีแก้ไขออกมา 3 จุดดังนี้ ปรับ User Interface ในส่วนของ taxonomy อุดช่องโหว่ SQL Injection อุดช่องโหว่ cross-site scripting (XSS) รีบๆไปอัพเดทกันครับ อย่าลืม Backup ก่อน Update ทุกครั้งด้วยนะครับ ตอนนี้ขอตัวไปนอนก่อน หากอ่านแล้วชอบบทความจาก CodingDee ก็ฝาก กดไลค์เพจ ด้วยนะครับ จะได้ไม่พลาดข่าวสารเทคนิคดี ๆ จากเรา...
WordPress

WordPress 4.7.3 ออกแล้วควรอัพเดททันที

WordPress ออกเวอร์ชั่น 4.7.3 แล้วนะ ลองมาดูสักหน่อยว่ามีอะไรบ้าง อัพเดทรอบนี้แก้ไขด้านความปลอดภัยออกมาถึง 6 จุดดังนี้ ข้อมูลจาก WordPress.org บอกว่าเวิร์ดเพรสตั้งแต่ เวอร์ชั้น 4.7.2 ลงไป มีช่องโหว่ด้านความปลอดภัยถึง 6 จุดดังนี้ Cross-site scripting (XSS) via media file metadata. Control characters can trick redirect URL validation. Unintended files can be deleted by administrators...

Google Tag Manager

Ecommerce Tracking For Woocommerce

Ecommerce Tracking สร้างได้ใน 7 ขั้นตอน ช่วยให้เราวัดผล Conversion บนเว็บไซต์ได้ง่ายขึ้น เหมาะสำหรับทีม Marketing เพื่อวิเคราะห์ข้อมูลการสั่งซื้อสินค้า..  Ecommerce Tracking สำหรับใครที่ยังไม่รู้ว่า E-commerce Tracking...