Security

วันนี้ผมมีวิธีตั้งค่า Plugin iThemes Security มาฝากครับ ถ้าอ่านบทความนี้จบ และเอาไปปรับใช้กับ เว็บไซต์ของคุณ ผมรับรองได้เลยว่าเว็บไซต์ของคุณจะมีความปลอดภัยเพิ่มมากขึ้นแน่นอน WordPress โดนแฮค ทำยังไงดีครับ นี่เป็นอีกคำถามที่ผมเจอบ่อยมาก โดยอาการที่เจอก็จะแตกต่างกันไป ตั้งแต่ หน้าเว็บโดน Redirect ไปเว็บอื่น ,เข้าเว็บแล้วโดน Google เตือนว่าเว็บไม่ปลอดภัย, โดนวาง Backlink ไปเว็บ 18+ บลาๆๆ แล้วแต่ว่าใครจะโดนแบบไหน ถ้าถามผม ผมก็จะตอบว่า ลง WordPress ใหม่ หรือ มี BackUp ไหม Restore กลับไปก่อนหน้าที่จะโดนสิ  สาเหตุที่ผมตอบแบบนี้เพราะถ้าเว็บโดนแฮคไปแล้วเนี่ย มันจะกระจายสคริปฝังไปแทบจะทุกไฟล์ในเว็บเราเลยครับ มาตามแก้นี่ใช้เวลาเยอะมาก อารมณ์เดียวกับ คอมโดนไวรัสนั่นแหละ ลงวินโดวน์ใหม่ง่ายกว่า คงไม่มีใครอยากโดนกับเว็บตัวเองแน่ๆ  ลองนึกภาพวันดีคืนดี มีคนมาบอกว่า ทำไมผมเข้าเว็บคุณแล้วมันขึ้นเป็นเว็บโป๊ล่ะ หรือทำไมเว็บเข้าหลังบ้านไม่ได้ หรือทำไมโดนกูเกิ้ลฟ้องว่าเว็บไม่ปลอดภัย ขึ้นหน้าจอสีแดงหราโชวน์ให้ชาวโลกเค้ารู้กันไปเลย ว่าเว็บโดนแฮคนะ พอจะเห็นภาพใช่ไหมครับว่ามันน่ากลัวแค่ไหน เว็บสุดรักสุดหวงของเราที่ลงทั้งแรงกาย แรงใจสร้างมาจะต้องมาเป็นแบบนี้  แต่ไม่ต้องกังวลไปครับ วันนี้ผมจะมาแนะนำพระเอกของเราที่จะมาช่วยให้เว็บเรามีความปลอดภัยเพิ่มมากขึ้น เปรียบเสมือนกับใส่ vanguard กันเลย ใครรู้จัก vanguard นี้บ่งบอกอายุนะ ( 55...

บทความนี้ผมจะมาแบ่งปันวิธีการทำ http authentication ให้กับ wp-login โดยไม่ต้องใช้ plugin กันครับ มีอยู่ไม่กี่ขั้นตอน ง่าย ๆ เลย.... บอกก่อนว่าผมเป็นคนประเภทที่พยายามใช้ plugin ให้น้อยที่สุดเท่าที่จะเป็นไปได้ อะไรไม่จำเป็นจริง ๆ จะไม่ใช้เลย เพราะ plugin ยิ่งเยอะเท่าไหร่ก็ส่งผลต่อ performance เว็บเรามากเท่านั้น วิธีที่จะป้องกัน wp-login เนี่ยถ้าใช้ plugin มันก็มีให้เลือกหลายวิธีไม่ว่าจะเป็น captcha เพื่อป้องกัน Bruteforce หรือ hide wp-login ซ่อนไฟล์ login เป็นชื่ออื่น หรือเปลี่ยน url เข้าหลังบ้าน หรือ ..... วิธีอื่น ๆ อีกเยอะแยะไปหมดสุดท้ายผมก็ไปเจอวิธี ป้องกัน wp-login ด้วย http authentication มา หลังจากลองใช้ดูแล้วก็รู้สึกว่า เออมันก็เจ๋งดีแฮะ ไม่ต้องใช้ plugin มาให้หน่วงเว็บเราเลยแถมขั้นตอนการทำก็ไม่ยุ่งยากมีอยู่ไม่กี่ขั้นตอนเองเลยอยากเอามาแบ่งปันให้คนอื่นหรือใครที่ไม่อยากใช้ plugin เยอะ ๆ เหมือนผมได้ลองเอาไปใช้กันดูครับ มาดูขั้นตอนการทำ http authentication ว่ามีอะไรบ้าง 1.สร้างไฟล์ชื่อว่า .htpasswd โดยไฟล์นี้เราจะเอาไว้เก็บ...

ผมเขียนบทความวิธีป้องกันนี้ขึ้นมาเนื่องจากว่ามีเพื่อนสมาชิกท่านหนึ่งในกลุ่ม WordPress Bangkok โดนคัดลอกบทความที่เค้าเขียนขึ้นมาโดยไม่ให้เครดิตหรือลิงค์กลับมาที่บทความต้นฉบับเลย ผมนึกขึ้นได้ว่าเคยเจอโค๊ดป้องกันการคัดลอกบทความที่ช่วยป้องกันไม่ให้คัดลอกบทความของเรา (ไปได้ง่าย ๆ) ด้วย javascript ไปดูวิธีกันเลยครับ วิธีป้องกัน การโดน Copy บทความด้วย   JavaScript เพิ่มโค๊ดชุดนี้เข้าที่  footer.php <script type="text/javascript"> document.addEventListener('copy', function(e){ e.clipboardData.setData('text/plain', 'Original Content By CodingDee.comrn'); e.preventDefault(); }); </script> การทำงานของโค๊ดชุดนี้คือ ตรวจสอบว่าเมื่อมีการกด Copy ไม่ว่าจะเป็น คลิกขวาแล้วกด Copy หรือกด Control + C โค๊ดจะทำการแทนที่ข้อความที่ Copy มาด้วย ข้อความที่เรากำหนดไว้ ตัวอย่างข้อความที่ผมกำหนดไว้คือ Original Content By CodingDee.com ใครจะเปลี่ยนก็เปลี่ยนตรงนี้นะครับเป็นข้อความที่เราต้องการตามใจชอบเลย สิ่งที่ควรทำ ก่อนจะโดน Copy บทความหรือโดนแล้วก็ทำได้ครับ คนที่มา Copy เราเค้าจะได้ทำได้ลำบาก ใส่ความเป็นตัวตนหรือเอกลักษณ์ของเราลงไปเช่น แทนสรรพนามที่เรียกตัวเราเองเป็นชื่อ เว็บเราหรือเป็นชื่อเราไปเลยแบบนี้คนที่ Copy ไปก็ต้องลำบากขึ้นอีกหน่อยต้องมาไล่เปลี่ยนตรงนี้ วิธีจากคุณ Woravut Ikssn Srianant แนะนำว่า "เวลาเขียนเรื่องใหม่ๆ จะพยายามใส่ลิ้งในเนื้อหาให้วิ่งไปหาหน้าหลักหรือหน้าเดียวกันนี้ของเว็บเรา แล้วส่ง url เข้าไปในเครื่องมือเว็บมาสเตอร์ของ search engine...

วิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้ เป็นอีกวิธีที่ช่วยเพิ่มความปลอดภัยให้กับเว็บเรา ลองอ่านและนำไปปรับใช้กันดูครับ วิธีซ่อนเวอร์ชั่น WordPress บทความนี้ทีมงาน CodingDee จะมาแนะนำวิธีซ่อนเวอร์ชั่น WordPress ไม่ให้ใครรู้กันครับ ผลกระทบที่อาจจะเกิดขึ้น ถ้าเราไม่ซ่อนเวอร์ชั่น WordPress จะส่งผลกระทบอะไรบ้างมาดูเหตุการณ์จำลองกัน สมมุติว่าผมเป็นผู้ไม่หวังดีอยากจะโจมตีเว็บ ๆ นึง สิ่งแรกที่ผมจะทำคือหาข้อมูลของเป้าหมายก่อนว่าเค้าใช้ Server อะไร  เวอร์ชั่นอะไร ใช้ CMS ค่ายไหน เวอร์ชั่นอะไร ฯลฯ ยิ่งเราได้ข้อมูลพวกนี้มากเท่าไหร่ เราก็สามารถนำมาวิเคราะห์หาช่องโหว่และวิธีการโจมตีได้มากขึ้นเท่านั้น ถ้าไปเจอ WordPress Version ตำ่ กว่า 4.7.0 เสร็จเลยครับ ช่องโหว่เพียบเลย ผมเคยเจอบางเว็บยังใช้ WordPress เวอร์ชั่น 3.8.x อยู่ก็มี ถ้าใครเคยดู The Fast and the Furious ภาคที่ลากตู้เซฟอ่ะ ผมจำภาคไม่ได้ว่าภาคไหน จะมีอยู่ช่วงหนึ่งที่ฝ่ายของตัวเอกแบ่งทีมกันออกไปเก็บข้อมูลของเป้าหมาย ว่าใช้ตู้เซฟยี่ห้ออะไร รุ่นอะไร เก็บไว้ที่ไหน แล้วนำข้อมูลที่ได้มาวิเคราะห์ หาวิธีการโจมตีต่อไป เห็นไหมครับว่าข้อมูลพวกนี้ถ้าเราไม่ปิดไว้ มันไม่เป็นผลดีกับเราเลย วิธีซ่อนก็ไม่ยากอะไรมากมาย มาดูวิธีทำกันเลยครับ อัพเดทเวอร์ชั่นใหม่เสมอ วิธีนี้เป็นวิธีที่ดีครับ คือ Update WordPress ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ แต่ก็อาจจะมีบางสาเหตุที่เรายังไม่สามารถ Update...

WPScan เครื่องมือที่ชาวเวิร์ดเพรสจำเป็นต้องรู้ ผมใช้เวลาไตร่ตรองอยู่นานพอสมควรว่าจะเขียนบทความนี้ดีไหม เพราะมันเปรียบเสมือนดาบสองคม ถ้านำไปใช้ในทางที่ดีก็ดีไป แต่ถ้านำไปใช้ในทางที่ผิดก็อาจจะทำให้ตัวเองและคนอื่นเดือนร้อนได้เหมือนกัน WPScan เครื่องมือที่คนใช้เวิร์ดเพรสต้องรู้ wpscan คือเครื่องมือที่ใช้ในการตรวจสอบช่องโหว่เว็บที่ทำด้วยเวิร์ดเพรส เช่น หาช่องโหว่ของปลั๊กอิน หาช่องโหว่ของธีม หาช่องโหว่ของตัวเวิร์ดเพรสเอง Brute force บทความนี้ผมจะมาแนะนำทั้งวิธีใช้งานและวิธีป้องกันเลยนะครับ ถ้าพร้อมแล้วเรามาเริ่มกันเลย ติดตั้ง WPScan อันดับแรกเราก็ต้องติดตั้งเครื่องมือที่เราจะใช้กันซะก่อน ดาวน์โหลดและติดตั้งตามคู่มือจากเว็บหลักของเค้าได้ที่นี่เลย  wpscan.org Environment ที่ผมใช้ในการทดสอบครั้งนี้ WordPress 4.8.1 เวอร์ชั่นล่าสุด Theme Storefront 2.2.5 เวอร์ชั่นล่าสุด Plugins WooCommerce 3.1.2 เวอร์ชั่นล่าสุด ตัวอย่างวิธีใช้งาน Scan Username ก่อนจะ Brute force ได้เราต้องรู้ username ก่อนว่าเว็บนี้ใช้ username อะไร มี 2 วิธีที่เราจะได้มา หาในหน้าบทความส่วนท้ายของบทความมักจะมีรายละเอียด ชื่อผู้เขียนอยู่ อลงดูภาพข้างล่างนี้ครับ โดยค่าเริ่มต้นที่ wordpress ให้มามันใช้ชื่อเล่นและ username เป็นชื่อเดียวกันถ้าเราไม่ได้ไปเปลี่ยนมัน มันก็จะใช้ค่าเริ่มต้นที่ระบบกำหนดมา จากรูปผมตั้ง username ชื่อ admin และไม่ได้ไปเปลี่ยนชื่อเล่น ระบบมันก็จะใช้ชื่อ username เป็นชื่อเล่นและนำมาแสดงในรูปที่ผมให้ดู วิธีที่ 2 ใช้เครื่องมือสแกนดังนี้ ใช้เวลาแค่ 39 วินาทีเราก็จะได้ชื่อ username มาตามภาพ ตัวอย่างวิธีใช้งาน Brute...

หลังจากหยุดยาวสงกรานต์กันมา เรามาดู วิธีทำให้เวิร์ดเพรสโดนแฮค กันครับ ผมรับรองได้เลยว่าทำตามนี้แล้วโดน Hack แน่นอน วิธีทำให้เวิร์ดเพรสโดนแฮค 1.โหลดธีมหรือปลั๊กอินเถื่อนหรือโหลดจากแหล่งที่ไม่น่าเชื่อถือ โหลดปลั๊กอินเถื่อนเพราะฟรี ที่ไหนแจกของฟรีเราโหลดหมด เราเป็นคนประหยัด (งก) 2.ตั้งค่า Permission Folder & File เป็น 777 Permission 777 คือสิทธ์ิในการยินยอมให้ใครก็ได้สามารถสร้างหรือแก้ไขไม่ว่าจะเป็น File หรือ Folder สามารถทำได้หมด เราเป็นคนใจกว้าง ใจดี ใครอยาก สร้างหรือแก้ไขไฟล์อะไรบนเว็บเรา เรายินดี มาจัดการได้เลย 3.อย่าอัพเดทเวอร์ชั่น WordPress ,Themes, Plugin ทุกครั้งที่มีเวอร์ชั่นใหม่ออกมา อย่าอัพเดทครับ ปล่อยไว้อย่างนั้น เพราะทุก ๆ อัพเดททางผู้พัฒนาเค้าก็จะปรับปรุงโค๊ด เพิ่มประสิทธิภาพให้มันเสถียรขึ้น อุดช่องโหว่ต่าง ๆ ที่มีในเวอร์ชั่นเก่า เราไม่ชอบของใหม่ เราจะใช้ของเก่า เราเป็นนักอนุรักษ์ของเก่า เพราะฉะนั้นเราจะไม่อัพเดทอะไรทั้งสิ้น 4.ตั้ง Username ให้ง่าย ๆ ผมแนะนำให้ตั้ง Username เป็นชื่อพวกนี้ admin ชื่อเว็บคุณเอง admin1234 5.ตั้ง Password ให้จำได้ง่าย ๆ ตั้งให้จำง่าย เข้าไว้อะไรจำยาก ๆ อย่าไปตั้งเช่น admin1234 ...

วิธีส่งเมลแจ้งเตือนแอดมินเมื่อ User Login เข้าสู่ระบบผิด บทความนี้ CodingDee จะมาแนะนำวิธีทำ มาดูกันเลยว่าทำยังไง เพิ่มโค๊ดชุดนี้เข้าไปที่ไฟล์ function.php function.php จะอยู่ใน /public_html/wp-content/themes/your-theme add_action( 'wp_login_failed', 'codingdee_notify_failed_login' ); function codingdee_notify_failed_login( $user_login ) { date_default_timezone_set("Asia/Bangkok"); $subject = 'Invalid Login Attempt'; $content = 'Description'. "<br>"; $content .= 'User: '.$user_login."<br>"; $content .= 'Date: '.date('d/m/Y H:i:s')."<br>"; if ( ! empty( $_SERVER ) ) { //check ip from...