Security

วิธีส่งเมลแจ้งเตือนแอดมินเมื่อ User Login เข้าสู่ระบบผิด บทความนี้ CodingDee จะมาแนะนำวิธีทำ มาดูกันเลยว่าทำยังไงเพิ่มโค๊ดชุดนี้เข้าไปที่ไฟล์ function.php function.php จะอยู่ใน /public_html/wp-content/themes/your-theme add_action( 'wp_login_failed', 'codingdee_notify_failed_login' ); function codingdee_notify_failed_login( $user_login ) { date_default_timezone_set("Asia/Bangkok"); $subject = 'Invalid Login Attempt'; $content = 'Description'. "<br>"; $content .= 'User: '.$user_login."<br>"; $content .= 'Date: '.date('d/m/Y H:i:s')."<br>"; if ( ! empty( $_SERVER ) ) { //check ip from...

ผมเขียนบทความวิธีป้องกันนี้ขึ้นมาเนื่องจากว่ามีเพื่อนสมาชิกท่านหนึ่งในกลุ่ม WordPress Bangkok โดนคัดลอกบทความที่เค้าเขียนขึ้นมาโดยไม่ให้เครดิตหรือลิงค์กลับมาที่บทความต้นฉบับเลย ผมนึกขึ้นได้ว่าเคยเจอโค๊ดป้องกันการคัดลอกบทความที่ช่วยป้องกันไม่ให้คัดลอกบทความของเรา (ไปได้ง่าย ๆ) ด้วย javascript ไปดูวิธีกันเลยครับวิธีป้องกัน การโดน Copy บทความด้วย   JavaScript เพิ่มโค๊ดชุดนี้เข้าที่  footer.php <script type="text/javascript"> document.addEventListener('copy', function(e){ e.clipboardData.setData('text/plain', 'Original Content By CodingDee.comrn'); e.preventDefault(); }); </script>การทำงานของโค๊ดชุดนี้คือตรวจสอบว่าเมื่อมีการกด Copy ไม่ว่าจะเป็น คลิกขวาแล้วกด Copy หรือกด Control + C โค๊ดจะทำการแทนที่ข้อความที่ Copy มาด้วย ข้อความที่เรากำหนดไว้ ตัวอย่างข้อความที่ผมกำหนดไว้คือ Original Content By CodingDee.com ใครจะเปลี่ยนก็เปลี่ยนตรงนี้นะครับเป็นข้อความที่เราต้องการตามใจชอบเลยสิ่งที่ควรทำ ก่อนจะโดน Copy บทความหรือโดนแล้วก็ทำได้ครับ คนที่มา Copy เราเค้าจะได้ทำได้ลำบากใส่ความเป็นตัวตนหรือเอกลักษณ์ของเราลงไปเช่น แทนสรรพนามที่เรียกตัวเราเองเป็นชื่อ เว็บเราหรือเป็นชื่อเราไปเลยแบบนี้คนที่ Copy ไปก็ต้องลำบากขึ้นอีกหน่อยต้องมาไล่เปลี่ยนตรงนี้ วิธีจากคุณ Woravut Ikssn Srianant แนะนำว่า "เวลาเขียนเรื่องใหม่ๆ จะพยายามใส่ลิ้งในเนื้อหาให้วิ่งไปหาหน้าหลักหรือหน้าเดียวกันนี้ของเว็บเรา แล้วส่ง url เข้าไปในเครื่องมือเว็บมาสเตอร์ของ search engine...

หลังจากหยุดยาวสงกรานต์กันมา เรามาดู วิธีทำให้เวิร์ดเพรสโดนแฮค กันครับ ผมรับรองได้เลยว่าทำตามนี้แล้วโดน Hack แน่นอนวิธีทำให้เวิร์ดเพรสโดนแฮค 1.โหลดธีมหรือปลั๊กอินเถื่อนหรือโหลดจากแหล่งที่ไม่น่าเชื่อถือ โหลดปลั๊กอินเถื่อนเพราะฟรี ที่ไหนแจกของฟรีเราโหลดหมด เราเป็นคนประหยัด (งก) 2.ตั้งค่า Permission Folder & File เป็น 777 Permission 777 คือสิทธ์ิในการยินยอมให้ใครก็ได้สามารถสร้างหรือแก้ไขไม่ว่าจะเป็น File หรือ Folder สามารถทำได้หมด เราเป็นคนใจกว้าง ใจดี ใครอยาก สร้างหรือแก้ไขไฟล์อะไรบนเว็บเรา เรายินดี มาจัดการได้เลย 3.อย่าอัพเดทเวอร์ชั่น WordPress ,Themes, Plugin ทุกครั้งที่มีเวอร์ชั่นใหม่ออกมา อย่าอัพเดทครับ ปล่อยไว้อย่างนั้น เพราะทุก ๆ อัพเดททางผู้พัฒนาเค้าก็จะปรับปรุงโค๊ด เพิ่มประสิทธิภาพให้มันเสถียรขึ้น อุดช่องโหว่ต่าง ๆ ที่มีในเวอร์ชั่นเก่า เราไม่ชอบของใหม่ เราจะใช้ของเก่า เราเป็นนักอนุรักษ์ของเก่า เพราะฉะนั้นเราจะไม่อัพเดทอะไรทั้งสิ้น 4.ตั้ง Username ให้ง่าย ๆ ผมแนะนำให้ตั้ง Username เป็นชื่อพวกนี้admin ชื่อเว็บคุณเอง admin12345.ตั้ง Password ให้จำได้ง่าย ๆ ตั้งให้จำง่าย เข้าไว้อะไรจำยาก ๆ อย่าไปตั้งเช่นadmin1234 ...

วิธี ซ่อนเวอร์ชั่น server ที่ช่วยให้เว็บเราปลอดภัยมากขึ้น วิธีนี้เป็นวิธีง่าย ๆ ที่ช่วยเพิ่มความปลอดภัยให้เว็บเรา คงไม่ดีแน่ถ้าใครมารู้ว่าเราใช้ server อะไรอยู่ เพราะการรู้ข้อมูลพวกนี้ สามารถส่งผลให้ผู้ไม่หวังดีนำไปค้นหาช่องโจมตีได้ง่ายขึ้น เพราะเค้ารู้แล้วว่าเราใช้ server อะไร เวอร์ชั่นอะไร มาดูวิธีกันป้องกัน ง่าย ๆตรวจสอบก่อนว่า server เราแสดงข้อมูลเหล่านี้ไหม เปิดเว็บของเราขึ้นมาโดยใส่ url ตามนี้ เปลี่ยนเป็นชื่อเว็บเราเองนะครับyourdomain.com/.htaccessภาพด้านล่างนี้คือก่อนที่เราจะซ่อนเวอร์ชั่น webserver ครับ แสดงข้อมูลออกมาหมดเลย เราต้องรีบไปซ่อนกันแล้วเพิ่มโค๊ดชุดนี้เข้าไปที่ไฟล์ .htaccess #Disable server signature ServerSignature Offเรียบร้อยครับไม่แสดงข้อมูลอะไรออกมาแล้ว แค่นี้ก็ช่วยให้เว็บเราปลอดภัยขึ้นแล้วครับ จบแล้ว หากอ่านแล้วชอบบทความจาก CodingDee ก็ฝาก กดไลค์เพจ ด้วยนะครับ จะได้ไม่พลาดข่าวสารเทคนิคดี ๆ จากเรา หรือติดปัญหาตรงไหนก็คอมเมนต์ไว้ด้านล่างนี้ได้ ไว้พบกันบทความต่อไปครับ

บทความนี้ผมจะมาแบ่งปันวิธีการทำ http authentication ให้กับ wp-login โดยไม่ต้องใช้ plugin กันครับ มีอยู่ไม่กี่ขั้นตอน ง่าย ๆ เลย....บอกก่อนว่าผมเป็นคนประเภทที่พยายามใช้ plugin ให้น้อยที่สุดเท่าที่จะเป็นไปได้ อะไรไม่จำเป็นจริง ๆ จะไม่ใช้เลย เพราะ plugin ยิ่งเยอะเท่าไหร่ก็ส่งผลต่อ performance เว็บเรามากเท่านั้นวิธีที่จะป้องกัน wp-login เนี่ยถ้าใช้ plugin มันก็มีให้เลือกหลายวิธีไม่ว่าจะเป็น captcha เพื่อป้องกัน Bruteforce หรือ hide wp-login ซ่อนไฟล์ login เป็นชื่ออื่น หรือเปลี่ยน url เข้าหลังบ้าน หรือ ..... วิธีอื่น ๆ อีกเยอะแยะไปหมดสุดท้ายผมก็ไปเจอวิธี ป้องกัน wp-login ด้วย http authentication มา หลังจากลองใช้ดูแล้วก็รู้สึกว่า เออมันก็เจ๋งดีแฮะ ไม่ต้องใช้ plugin มาให้หน่วงเว็บเราเลยแถมขั้นตอนการทำก็ไม่ยุ่งยากมีอยู่ไม่กี่ขั้นตอนเองเลยอยากเอามาแบ่งปันให้คนอื่นหรือใครที่ไม่อยากใช้ plugin เยอะ ๆ เหมือนผมได้ลองเอาไปใช้กันดูครับ มาดูขั้นตอนการทำ http authentication ว่ามีอะไรบ้าง 1.สร้างไฟล์ชื่อว่า .htpasswd โดยไฟล์นี้เราจะเอาไว้เก็บ...

มาตามสัญญาครับ สำหรับเสริมเกราะให้เวิร์ดเพรสด้วย iThemes Security ตอนที่ 2 คราวนี้เราจะมาทำความเข้าใจว่าแต่ละฟีเจอร์ของ iThemes มีอะไรบ้าง เพื่อจะได้เข้าใจและนำไปปรับใช้ให้เหมาะสมกับเว็บของเรากัน หลังอ่านบทความนี้จบคุณจะได้เว็บที่มีความปลอดภัยแน่นปึ๊ก ไม่โดนแฮคง่าย ๆ อีกต่อไป.ก่อนจะเริ่มกันใครยังไม่อ่าน ตอนที่ 1 ผมเอามาแปะไว้ให้แล้ว สำหรับใครที่พร้อมแล้วก็มาเริ่มกันเลย เข้าไปที่ Menu Security > Settings เราจะเจอหน้าสำหรับตั้งค่าปลั๊กอินโดยแบ่งเป็นแต่ละฟีเจอร์ มีอยู่ทั้งหมด 29 ฟีเจอร์ด้วยกัน ( เยอะมากกก ) ฟีเจอร์แรก Security Check ฟีเจอร์นี้ปลั๊กอินจะตั้งค่าต่างๆให้เราอัตโนมัติเพียงแค่คลิก Secure Siteสำหรับใครที่ขี้เกียจอ่านผมทำเป็นคลิปไว้ให้แล้ว https://www.youtube.com/watch?v=cUfe6_3-iGs WordPress Tweaks ส่วนนี้จะคล้าย ๆ กับส่วนของ System Tweaks แตกต่างกันตรงที่ส่วนนี้จะตั้งค่าในส่วนของ WordPress ตั้งตามภาพได้เลยSystem Tweaks สำหรับส่วนนี้จะเป็นการตั้งค่าเกี่ยวกับสิทธ์ในการเข้าถึงไฟล์ ตรงนี้เป็นอีกจุดหนึ่งที่เว็บส่วนมากโดนแฮคเนื่องจากไม่มีการกำหนดสิทธ์ในการเข้าถึง File หรือ Directory ต่าง ๆ ที่ดีพอ ส่วนนี้ตั้งตามภาพได้เลยครับDatabase Backups ฟีเจอร์นี้คือสำรองฐานข้อมูลเว็บเรานั่นเอง ตั้งค่าตามภาพได้เลยครับอธิบายเพิ่มเติม จากรูปผมตั้งให้ปลั๊กอินทำการสำรองข้อมูล Database เป็นไฟล์ zip และส่งเข้าเมลผมทุกวันนั่นเอง Away Mode ฟีเจอร์นี้ผมชอบมากเปรียบเสมือนตั้งเวลาการเข้าใช้งานหลังบ้านเว็บเรานั้นเอง โดยสามารถตั้งได้ว่าเราจะไม่อนุญาติให้สามารถเข้าหลังบ้านได้ตั้งแต่กี่โมงถึงกี่โมง สำหรับผมผมตั้งไว้ที่ เที่ยงคืนถึงแปดโมงเช้า จะไม่สามารถเข้าใช้งานหลังบ้านได้  ตามภาพลองนึกภาพว่า wp-admin เป็นประตูบ้านเรานะครับ...

วันนี้ผมมีวิธีตั้งค่า Plugin iThemes Security มาฝากครับ ถ้าอ่านบทความนี้จบ และเอาไปปรับใช้กับ เว็บไซต์ของคุณ ผมรับรองได้เลยว่าเว็บไซต์ของคุณจะมีความปลอดภัยเพิ่มมากขึ้นแน่นอนWordPress โดนแฮค ทำยังไงดีครับ นี่เป็นอีกคำถามที่ผมเจอบ่อยมาก โดยอาการที่เจอก็จะแตกต่างกันไป ตั้งแต่ หน้าเว็บโดน Redirect ไปเว็บอื่น ,เข้าเว็บแล้วโดน Google เตือนว่าเว็บไม่ปลอดภัย, โดนวาง Backlink ไปเว็บ 18+ บลาๆๆ แล้วแต่ว่าใครจะโดนแบบไหนถ้าถามผม ผมก็จะตอบว่า ลง WordPress ใหม่ หรือ มี BackUp ไหม Restore กลับไปก่อนหน้าที่จะโดนสิ  สาเหตุที่ผมตอบแบบนี้เพราะถ้าเว็บโดนแฮคไปแล้วเนี่ย มันจะกระจายสคริปฝังไปแทบจะทุกไฟล์ในเว็บเราเลยครับ มาตามแก้นี่ใช้เวลาเยอะมาก อารมณ์เดียวกับ คอมโดนไวรัสนั่นแหละ ลงวินโดวน์ใหม่ง่ายกว่าคงไม่มีใครอยากโดนกับเว็บตัวเองแน่ๆ  ลองนึกภาพวันดีคืนดี มีคนมาบอกว่า ทำไมผมเข้าเว็บคุณแล้วมันขึ้นเป็นเว็บโป๊ล่ะ หรือทำไมเว็บเข้าหลังบ้านไม่ได้ หรือทำไมโดนกูเกิ้ลฟ้องว่าเว็บไม่ปลอดภัย ขึ้นหน้าจอสีแดงหราโชวน์ให้ชาวโลกเค้ารู้กันไปเลย ว่าเว็บโดนแฮคนะพอจะเห็นภาพใช่ไหมครับว่ามันน่ากลัวแค่ไหน เว็บสุดรักสุดหวงของเราที่ลงทั้งแรงกาย แรงใจสร้างมาจะต้องมาเป็นแบบนี้  แต่ไม่ต้องกังวลไปครับ วันนี้ผมจะมาแนะนำพระเอกของเราที่จะมาช่วยให้เว็บเรามีความปลอดภัยเพิ่มมากขึ้น เปรียบเสมือนกับใส่ vanguard กันเลย ใครรู้จัก vanguard นี้บ่งบอกอายุนะ ( 55...