iThemes

มาตามสัญญาครับ สำหรับเสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 2 คราวนี้เราจะมาทำความเข้าใจว่าแต่ละฟีเจอร์ของ iThemes มีอะไรบ้าง เพื่อจะได้เข้าใจและนำไปปรับใช้ให้เหมาะสมกับเว็บของเรากัน หลังอ่านบทความนี้จบคุณจะได้เว็บที่มีความปลอดภัยแน่นปึ๊ก ไม่โดนแฮคง่าย ๆ อีกต่อไป.

ก่อนจะเริ่มกันใครยังไม่อ่าน ตอนที่ 1 ผมเอามาแปะไว้ให้แล้ว

สำหรับใครที่พร้อมแล้วก็มาเริ่มกันเลย

เข้าไปที่ Menu Security > Settings เราจะเจอหน้าสำหรับตั้งค่าปลั๊กอินโดยแบ่งเป็นแต่ละฟีเจอร์ มีอยู่ทั้งหมด 29 ฟีเจอร์ด้วยกัน ( เยอะมากกก )

ฟีเจอร์แรก Security Check

ฟีเจอร์นี้ปลั๊กอินจะตั้งค่าต่างๆให้เราอัตโนมัติเพียงแค่คลิก Secure Site
security check

สำหรับใครที่ขี้เกียจอ่านผมทำเป็นคลิปไว้ให้แล้ว

WordPress Tweaks

ส่วนนี้จะคล้าย ๆ กับส่วนของ System Tweaks แตกต่างกันตรงที่ส่วนนี้จะตั้งค่าในส่วนของ WordPress ตั้งตามภาพได้เลย
WordPress Tweaks1
WordPress Tweaks2 1
WordPress Tweaks3
WordPress Tweaks4
WordPress Tweaks5

System Tweaks

สำหรับส่วนนี้จะเป็นการตั้งค่าเกี่ยวกับสิทธ์ในการเข้าถึงไฟล์ ตรงนี้เป็นอีกจุดหนึ่งที่เว็บส่วนมากโดนแฮคเนื่องจากไม่มีการกำหนดสิทธ์ในการเข้าถึง File หรือ Directory ต่าง ๆ ที่ดีพอ ส่วนนี้ตั้งตามภาพได้เลยครับ
System Tweaks1
System Tweaks2
System Tweaks3

Database Backups

ฟีเจอร์นี้คือสำรองฐานข้อมูลเว็บเรานั่นเอง ตั้งค่าตามภาพได้เลยครับ
database backup 1
database backup 2
database backup 3
อธิบายเพิ่มเติม จากรูปผมตั้งให้ปลั๊กอินทำการสำรองข้อมูล Database เป็นไฟล์ zip และส่งเข้าเมลผมทุกวันนั่นเอง

Away Mode

ฟีเจอร์นี้ผมชอบมากเปรียบเสมือนตั้งเวลาการเข้าใช้งานหลังบ้านเว็บเรานั้นเอง
โดยสามารถตั้งได้ว่าเราจะไม่อนุญาติให้สามารถเข้าหลังบ้านได้ตั้งแต่กี่โมงถึงกี่โมง
สำหรับผมผมตั้งไว้ที่ เที่ยงคืนถึงแปดโมงเช้า จะไม่สามารถเข้าใช้งานหลังบ้านได้  ตามภาพ
away mode

ลองนึกภาพว่า wp-admin เป็นประตูบ้านเรานะครับ แล้ว Alway Mode เป็นรั้วกั้น พอถึงเวลาเราก็ปิดรั้วกั้นไม่ให้ใครเข้ามาประตูบ้านเราได้ ถ้าเราไม่ตั้ง Alway Mode จำกัดช่วงเวลาที่เข้าหลังบ้านเว็บเราได้ก็เปรียบเสมือนบ้านที่ไม่มีรั้วกั้น ใครจะมาเคาะจะมางัดประตูเข้าบ้านเราก็สามารถทำได้ตลอดเวลา

Banned Users

ฟีเจอร์นี้ก็มีไว้สำหรับ แบนผู้ใช้งานนั่นเอง เราสามารถเอาไอพีที่เราต้องการจะแบนมาใส่ไว้ในช่อง ตามภาพ
1 บรรทัดต่อ 1 เลขไอพี ในส่วนนี้ให้ตั้งค่าตามภาพได้เลยครับ
ปล. สำหรับใครที่เพิ่งลงปลั๊กอินครั้งแรกเลขไอพีในช่อง Ban Hosts จะยังไม่มีเหมือนของผมนะ
banned users

Local Brute Force Protection

ฟีเจอร์นี้จำเป็นอย่างมากต้องเปิดไว้เลย มันก็คือระบบป้องการ Brute Force นั่นเอง สำหรับใครที่ยังไม่รู้จักว่า Brute Force คืออะไร ผมจะอธิบายให้เข้าใจง่าย ๆ
Brute Force คือ เครื่องมือที่ใช้ในการ สุ่ม username password login เข้าระบบนั่นเอง โดยเครื่องมือประเภทนี้จะมี Database List พวก username และ password ยอดฮิตที่ชอบกันเช่น username admin password 1234 เป็นต้น โดยมันจะสุ่ม ส่ง username password เข้ามาที่ระบบเราอยู่เรื่อยๆจนกว่าจะเจอ username password ที่ถูกต้อง ถ้าเราตั้ง username และ password ไม่ดีพอก็จะโดนเครื่องมือพวกนี้เจาะเข้าระบบเราได้ง่าย ๆ นั่นเอง สำหรับ วิธีตั้งรหัสผ่านให้คาดเดาได้ยากและปลอดภัย ผมเขียนไว้ ลองไปอ่านกันดูครับ
วิธีตั้งค่าก็ดูตัวอย่างตามภาพได้เลยครับ
local brute force
อธิบายจากภาพ ผมตั้งไว้ว่า ถ้า user ใดก็ตามทำการ login เข้าระบบผิดติดต่อกันเกิน 3 ครั้งจะโดนแบน 480 นาที คิดเป็นชั่วโมงก็ 16 ชั่วโมง หลังจากนั้นถึงจะมา login ใหม่ได้
และถ้าใครมาลอง login โดยใช้ username admin จะโดนแบนทันทีเลย หวังว่าไม่มีใครตั้ง username เป็น admin นะ ใครตั้งรีบไปเปลี่ยนเลยด่วน ๆ

Hide Backend

ส่วนนี้จะเป็นการเปลี่ยน url สำหรับเข้าหลังบ้านครับ โดยปกติเวลาเราจะเข้าหลังบ้านของ wordpress เราก็จะพิมพ์ /wp-login.php หรือ /wp-admin แค่นี้มันก็จะ redirect มาหน้า login ให้แล้วซึ่งจริง ๆ แล้วไม่เป็นผลดีเลยครับ ใครก็สามารถหาหน้า login เว็บเราเจอ วิธีเปลี่ยนก็ดูตามรูปเลยครับ
hide login
จากรูปผมตั้ง url สำหรับเข้าหลังบ้านเป็น /abc เพียงเท่านี้ เมื่อผู้ไม่หวังดีหรือคนอื่นที่พิเรนมาลองเดา url เข้าหลังบ้านเราด้วย /wp-login.php หรือ /wp-admin เค้าก็จะหาไม่เจอแล้วครับ

Change Database Table Prefix

ส่วนนี้จะทำการเปลี่ยน prefix ชื่อนำหน้าของ table ใน database เว็บเราครับซึ่ง default ของ wordpress คือ wp_ อันนี้ควรจะเปลี่ยนอย่างยิ่งครับเพื่อไม่ให้เดาชื่อ table ใน database เราได้ ทำตามภาพได้เลยครับ
ปล. backup database ก่อนทำตรงนี้นะครับ กันไว้ก่อนเผื่อเกิดเหตุการไม่คาดฝัน
table

แถมให้ในส่วนของ Logs ครับ

ตัวปลั๊กอินเองจะเก็บ logs ไว้ให้เราดูว่ามีอะไรเกิดขึ้นกับ web ของเราบ้างมาดูกันเลยครับ
logs1

จากรูปแสดงให้เห็นว่าในวันที่ 2017-01-28 เวลา 21:07:56 มีการพยายามเข้า url หลังบ้านแต่เจอ Alway mode ที่ตั้งเวลาไว้เลยเข้าไม่ได้ มาลองดูอีกสักอันกันครับ
logs2

อันนี้มีการสุ่ม  login ด้วย user ที่ชื่อว่า test เข้ามาหลายครั้งเลยและสุดท้ายก็โดน ban ไปตามที่เราตั้งค่าไว้ครับ ลองคลิกที่เลขไอพีดูว่ามาจากไหน
Screen Shot 2560 01 28 at 21.15.40
จากภาพก็มาจาก Jarkata โน่นเลย
เห็นไหมครับว่าวัน ๆ หนึ่งเกิดอะไรขึ้นกับเว็บของเรากันบ้าง ถ้าเราไม่มีการป้องกันที่ดีพอจะเกิดอะไรขึ้นบ้างก็ไม่รู้ ดีไม่ดีอาจต้องทำเว็บใหม่กันเลย

จบแล้ว

หากอ่านแล้วชอบบทความจากCodingDeeก็ฝากกดไลค์เพจด้วยนะครับ จะได้ไม่พลาดข่าวสารเทคนิคดี ๆ จากเรา หรือติดปัญหาตรงไหนก็คอมเมนต์ไว้ด้านล่างนี้ได้ ไว้พบกันบทความต่อไปครับ

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน