วิธีซ่อนเวอร์ชั่น WordPress

วิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้ เป็นอีกวิธีที่ช่วยเพิ่มความปลอดภัยให้กับเว็บเรา ลองอ่านและนำไปปรับใช้กันดูครับ

วิธีซ่อนเวอร์ชั่น WordPress

บทความนี้ทีมงาน CodingDee จะมาแนะนำวิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้กันครับ

ผลกระทบที่อาจจะเกิดขึ้น

ถ้าเราไม่ซ่อนเวอร์ชั่น WordPress จะส่งผลกระทบอะไรบ้างมาดูเหตุการณ์จำลองกัน
สมมุติว่าผมเป็นผู้ไม่หวังดีอยากจะโจมตีเว็บ ๆ นึง สิ่งแรกที่ผมจะทำคือหาข้อมูลของเป้าหมายก่อนว่าเค้าใช้ Server อะไร  เวอร์ชั่นอะไร
ใช้ CMS ค่ายไหน เวอร์ชั่นอะไร ฯลฯ ยิ่งเราได้ข้อมูลพวกนี้มากเท่าไหร่ เราก็สามารถนำมาวิเคราะห์หาช่องโหว่และวิธีการโจมตีได้มากขึ้นเท่านั้น ถ้าไปเจอ WordPress Version ตำ่ กว่า 4.7.0 เสร็จเลยครับ ช่องโหว่เพียบเลย ผมเคยเจอบางเว็บยังใช้ WordPress เวอร์ชั่น 3.8.x อยู่ก็มี

ถ้าใครเคยดู The Fast and the Furious ภาคที่ลากตู้เซฟอ่ะ ผมจำภาคไม่ได้ว่าภาคไหน จะมีอยู่ช่วงหนึ่งที่ฝ่ายของตัวเอกแบ่งทีมกันออกไปเก็บข้อมูลของเป้าหมาย ว่าใช้ตู้เซฟยี่ห้ออะไร รุ่นอะไร เก็บไว้ที่ไหน แล้วนำข้อมูลที่ได้มาวิเคราะห์ หาวิธีการโจมตีต่อไป เห็นไหมครับว่าข้อมูลพวกนี้ถ้าเราไม่ปิดไว้ มันไม่เป็นผลดีกับเราเลย วิธีซ่อนก็ไม่ยากอะไรมากมาย มาดูวิธีทำกันเลยครับ

อัพเดทเวอร์ชั่นใหม่เสมอ

วิธีนี้เป็นวิธีที่ดีครับ คือ Update WordPress ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ แต่ก็อาจจะมีบางสาเหตุที่เรายังไม่สามารถ Update ไปเวอร์ชั่นล่าสุดได้เช่น

  • Theme ที่เราใช้ยังไม่รองรับ ต้องรอให้ทีมพัฒนา Theme เค้าออกเวอร์ชั่นใหม่ที่ Compatible กันได้ซะก่อน
  • Plugins ที่เราใช้ยังไม่รองรับ ก็คล้าย ๆ กับธีมครับ ถ้าไม่กระทบมากก็ฝืน ๆ อัพไปได้แต่ถ้าเป็น Plugin หลักที่เราใช้ในเว็บก็อาจจะทำให้เว็บพังได้เหมือนกัน

เพราะแบบนี้ระหว่างที่รอเราก็ควรจะซ่อนเวอร์ชั่น WordPress ไว้ไม่ให้ใครรู้ว่าเราใช้ WordPress เวอร์ชั่นอะไรอยู่ จริง ๆ ไม่มีเหตุผลจำเป็นอะไรที่เราจะต้องให้ใครมารู้นี่เนอะว่าเราใช้เวอรืชั่นอะไร ซ่อนเถอะ ดีที่สุด

วิธีตรวจสอบ

วิธีตรวจดูว่าเว็บเราซ่อนเวอร์ชั่น WordPress ไว้หรือยัง ให้เราเราลองเข้า yourdomain.com/feed ดูครับแล้วมองหา บรรทัดข้างล่างนี่

<generator>https://wordpress.org/?v=4.7.5</generator>

ถ้าเจอก็แสดงว่าเรายังไม่ได้ซ่อนเวอร์ชั่นครับ

เพิ่มโค๊ดชุดนี้เข้าไปที่ function.php

remove_action('wp_head', 'wp_generator');
add_filter('the_generator', 'codingdee_remove_version');
function codingdee_remove_version() {
  return '';
}

Plugin Hide WP Version

สำหรับใครที่ไม่ใช่ Dev หรือที่คิดว่าวิธีด้านบนใช้ยากไป ผมทำเป็นปลั๊กอินไว้ให้โหลดไปติดตั้งได้เลยครับ

แนะนำอีกบทความคือ

ซ่อนเวอร์ชั่น webserver ช่วยให้เว็บเราปลอดภัยมากขึ้น

จบแล้ว

การปกปิดข้อมูลพวกนี้ไว้ไม่เปิดเผยให้คนอื่นรู้เป็นสิ่งสำคัญที่เราควรทำและไม่ควรมองข้ามนะครับ เพื่อความปลอดภัยซ่อนไว้ดีกว่าเปิดเผยข้อมูลให้คนภายนอกรู้ได้ง่าย ๆ ลองนำไปปรับใช้กันดูครับ

หากอ่านแล้วชอบบทความจาก CodingDee ก็ฝาก กดไลค์เพจ ด้วยนะครับ จะได้ไม่พลาดข่าวสารเทคนิคดี ๆ จากเรา หรือติดปัญหาตรงไหนก็คอมเมนต์ไว้ด้านล่างนี้ได้ ไว้เจอกันบทความต่อไปครับ