Security

WordPress Security รวมเทคนิคเสริมความปลอดภัยให้ WordPress ที่คนใช้งานเวิร์ดเพรสต้องรู้ถ้าไม่อยากให้เว็บเราโดนแฮค แนะนำให้ศึกษาไว้ครับ

wpscan

WPScan เครื่องมือที่คนใช้เวิร์ดเพรสต้องรู้

WPScan เครื่องมือที่ชาวเวิร์ดเพรสจำเป็นต้องรู้ ผมใช้เวลาไตร่ตรองอยู่นานพอสมควรว่าจะเขียนบทความนี้ดีไหม เพราะมันเปรียบเสมือนดาบสองคม ถ้านำไปใช้ในทางที่ดีก็ดีไป แต่ถ้านำไปใช้ในทางที่ผิดก็อาจจะทำให้ตัวเองและคนอื่นเดือนร้อนได้เหมือนกันWPScan เครื่องมือที่คนใช้เวิร์ดเพรสต้องรู้ wpscan คือเครื่องมือที่ใช้ในการตรวจสอบช่องโหว่เว็บที่ทำด้วยเวิร์ดเพรส เช่นหาช่องโหว่ของปลั๊กอิน หาช่องโหว่ของธีม หาช่องโหว่ของตัวเวิร์ดเพรสเอง Brute forceบทความนี้ผมจะมาแนะนำทั้งวิธีใช้งานและวิธีป้องกันเลยนะครับ ถ้าพร้อมแล้วเรามาเริ่มกันเลย ติดตั้ง WPScan อันดับแรกเราก็ต้องติดตั้งเครื่องมือที่เราจะใช้กันซะก่อน ดาวน์โหลดและติดตั้งตามคู่มือจากเว็บหลักของเค้าได้ที่นี่เลย  wpscan.org Environment ที่ผมใช้ในการทดสอบครั้งนี้WordPress 4.8.1 เวอร์ชั่นล่าสุด Theme Storefront 2.2.5 เวอร์ชั่นล่าสุด Plugins WooCommerce 3.1.2 เวอร์ชั่นล่าสุดตัวอย่างวิธีใช้งาน Scan Username ก่อนจะ Brute force ได้เราต้องรู้ username ก่อนว่าเว็บนี้ใช้ username อะไร...
WordPress

WordPress 4.7.3 ออกแล้วควรอัพเดททันที

WordPress ออกเวอร์ชั่น 4.7.3 แล้วนะ ลองมาดูสักหน่อยว่ามีอะไรบ้าง อัพเดทรอบนี้แก้ไขด้านความปลอดภัยออกมาถึง 6 จุดดังนี้ข้อมูลจาก WordPress.org บอกว่าเวิร์ดเพรสตั้งแต่ เวอร์ชั้น 4.7.2 ลงไป มีช่องโหว่ด้านความปลอดภัยถึง 6 จุดดังนี้Cross-site scripting (XSS) via media file metadata. Control characters can trick redirect URL validation. Unintended files can be deleted by administrators...
ป้องกัน wp-login.php

ป้องกัน wp-login.php ด้วย Http Authentication

บทความนี้ผมจะมาแบ่งปันวิธีการทำ http authentication ให้กับ wp-login โดยไม่ต้องใช้ plugin กันครับ มีอยู่ไม่กี่ขั้นตอน ง่าย ๆ เลย....บอกก่อนว่าผมเป็นคนประเภทที่พยายามใช้ plugin ให้น้อยที่สุดเท่าที่จะเป็นไปได้ อะไรไม่จำเป็นจริง ๆ จะไม่ใช้เลย เพราะ plugin ยิ่งเยอะเท่าไหร่ก็ส่งผลต่อ performance เว็บเรามากเท่านั้นวิธีที่จะป้องกัน wp-login เนี่ยถ้าใช้ plugin มันก็มีให้เลือกหลายวิธีไม่ว่าจะเป็น captcha เพื่อป้องกัน Bruteforce หรือ hide wp-login ซ่อนไฟล์ login...
วิธีซ่อนเวอร์ชั่น WordPress

วิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้

วิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้ เป็นอีกวิธีที่ช่วยเพิ่มความปลอดภัยให้กับเว็บเรา ลองอ่านและนำไปปรับใช้กันดูครับวิธีซ่อนเวอร์ชั่น WordPress บทความนี้ทีมงาน CodingDee จะมาแนะนำวิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้กันครับ ผลกระทบที่อาจจะเกิดขึ้น ถ้าเราไม่ซ่อนเวอร์ชั่น WordPress จะส่งผลกระทบอะไรบ้างมาดูเหตุการณ์จำลองกัน สมมุติว่าผมเป็นผู้ไม่หวังดีอยากจะโจมตีเว็บ ๆ นึง สิ่งแรกที่ผมจะทำคือหาข้อมูลของเป้าหมายก่อนว่าเค้าใช้ Server อะไร  เวอร์ชั่นอะไร ใช้ CMS ค่ายไหน เวอร์ชั่นอะไร ฯลฯ ยิ่งเราได้ข้อมูลพวกนี้มากเท่าไหร่ เราก็สามารถนำมาวิเคราะห์หาช่องโหว่และวิธีการโจมตีได้มากขึ้นเท่านั้น ถ้าไปเจอ WordPress Version ตำ่ กว่า 4.7.0 เสร็จเลยครับ ช่องโหว่เพียบเลย ผมเคยเจอบางเว็บยังใช้ WordPress เวอร์ชั่น...
iThemes

เสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 2

มาตามสัญญาครับ สำหรับเสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 2 คราวนี้เราจะมาทำความเข้าใจว่าแต่ละฟีเจอร์ของ iThemes มีอะไรบ้าง เพื่อจะได้เข้าใจและนำไปปรับใช้ให้เหมาะสมกับเว็บของเรากัน หลังอ่านบทความนี้จบคุณจะได้เว็บที่มีความปลอดภัยแน่นปึ๊ก ไม่โดนแฮคง่าย ๆ อีกต่อไป.ก่อนจะเริ่มกันใครยังไม่อ่าน ตอนที่ 1 ผมเอามาแปะไว้ให้แล้ว สำหรับใครที่พร้อมแล้วก็มาเริ่มกันเลย เข้าไปที่ Menu Security > Settings เราจะเจอหน้าสำหรับตั้งค่าปลั๊กอินโดยแบ่งเป็นแต่ละฟีเจอร์ มีอยู่ทั้งหมด 29 ฟีเจอร์ด้วยกัน ( เยอะมากกก ) ฟีเจอร์แรก Security Check ฟีเจอร์นี้ปลั๊กอินจะตั้งค่าต่างๆให้เราอัตโนมัติเพียงแค่คลิก Secure Siteสำหรับใครที่ขี้เกียจอ่านผมทำเป็นคลิปไว้ให้แล้ว https://www.youtube.com/watch?v=cUfe6_3-iGs WordPress Tweaks ส่วนนี้จะคล้าย ๆ กับส่วนของ System Tweaks...
สร้างเว็บด้วย WordPress

WordPress 4.7.2 ออกแล้วอัพเดทด่วน

WordPress 4.7.2 Security Release มาเป็นบทความสั้นนะครับ ลุกขึ้นมาเขียนตอนนี้ก็ตีสามกว่าๆ เห็นมีเมลมาเตือนว่า WordPress ออกเวอร์ชั่นแล้วนะเลยมาดูสักหน่อยว่ามีอะไรบ้างโดยอัพเดทรอบนี้มีแก้ไขออกมา 3 จุดดังนี้ปรับ User Interface ในส่วนของ taxonomy อุดช่องโหว่ SQL Injection อุดช่องโหว่ cross-site scripting (XSS)รีบๆไปอัพเดทกันครับ อย่าลืม Backup ก่อน Update ทุกครั้งด้วยนะครับ ตอนนี้ขอตัวไปนอนก่อนหากอ่านแล้วชอบบทความจาก CodingDee ก็ฝาก กดไลค์เพจ ด้วยนะครับ จะได้ไม่พลาดข่าวสารเทคนิคดี ๆ จากเรา...
เสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 1

เสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 1

วันนี้ผมมีวิธีตั้งค่า Plugin iThemes Security มาฝากครับ ถ้าอ่านบทความนี้จบ และเอาไปปรับใช้กับ เว็บไซต์ของคุณ ผมรับรองได้เลยว่าเว็บไซต์ของคุณจะมีความปลอดภัยเพิ่มมากขึ้นแน่นอนWordPress โดนแฮค ทำยังไงดีครับ นี่เป็นอีกคำถามที่ผมเจอบ่อยมาก โดยอาการที่เจอก็จะแตกต่างกันไป ตั้งแต่ หน้าเว็บโดน Redirect ไปเว็บอื่น ,เข้าเว็บแล้วโดน Google เตือนว่าเว็บไม่ปลอดภัย, โดนวาง Backlink ไปเว็บ 18+ บลาๆๆ แล้วแต่ว่าใครจะโดนแบบไหนถ้าถามผม ผมก็จะตอบว่า ลง WordPress ใหม่ หรือ มี BackUp ไหม Restore กลับไปก่อนหน้าที่จะโดนสิ...

Google Tag Manager

Facebook Pixel with Google Tag Manager

Facebook Pixel สำหรับใครที่ทำงานด้าน Digital Marketing ผมมั่นใจว่าต้องได้ติดกันแน่นอน สำหรับออฟฟิศที่มี โปรแกรมเมอร์ก็อาจจะให้เค้าช่วยติดให้ได้ แต่ถ้าไม่มีล่ะ หรือโปรแกรมเมอร์งานยุ่งมาก ยังไม่ว่างติดให้หรอก เราจะทำยังไงดีFacebook Pixel with...