ติดตั้งปลั๊กอิน WordPress Security – ป้องกัน wordpress ถูก hack

ติดตั้งปลั๊กอิน WordPress Security – ป้องกัน wordpress ถูก hack

สวัสดีครับผู้อ่านทุกท่าน  เราเรียนกันมาหลายบทเรียนแล้ว  มาถึงบทเรียนนี้สักที  ผมจะมาสอนเกี่ยวกับการตั้งค่า wordpress security ทำให้ wordpress ของคุณปลอดภัยมากยิ่งขึ้น  ไม่ได้ บอกว่าจะกัน hacker ได้ 100% แต่ก็ปลอดภัยในระดับหนึ่ง ดีกว่าไม่ทำอะไรสักอย่าง ดีกว่าการติดตั้ง wordpress ของคุณเอาไว้เฉยๆ แบบดั้งเดิม แบบไม่ทำอะไรเลย

โดยวิธีการนั่นก็แสนง่าย เพียงแค่ติดตั้งปลั๊กอิน  และก็มีการตั้งค่านิดๆหน่อย  โดยการตั้งค่าเหล่านั้น ผมจะมาสอนในบทความนี้  อย่างละเอียด  ถ้าคุณไม่อยากรู้อะไรมาก  เลื่อนลงไปดูรูป แล้วก็คลิ๊กๆ ติ๊กๆ ใส่ค่าตามรูปไปได้เลยครับ กดเซฟๆๆ  เลื่อนลงไปด้านล่างอีกนิดจะเป็นสารบัญ  สามารถเลือกอ่านได้ครับ  ถ้าไม่เลือกอ่านก็ค่อยๆ เลื่อนลงไปอ่านจนหมดไปเลย

 

บทความนี้เป็นลิขสิทธิ์ของ riwwee.com แต่เพียงผู้เดียว ห้ามก๊อปปี้ หรือ ทำซ้ำ เนื้อหา รูปภาพ โดยไม่ได้รับอนุญาตครับ

สารบัญ

  1. ติดตั้งปลั๊กอิน Plug-in : All-in-one WP Security
  2. ตั้งค่าปลั๊กอิน
  3. ป้องกันการมองเห็น เลข version ของ wordpress
  4. ตั้งค่า User Accounts ใหม่ ไม่ให้เป็น Admin
  5. ปรับแต่งกลไกป้องกันในหน้า User Login
  6. ปรับแต่งป้องกันการเข้าถึง ไฟล์บางไฟล์ของ wordpress
  7. ตั้งค่า Basic Firewall เพื่อป้องกันเว็บไซต์
  8. ตั้งค่ากฎอื่นๆ เพิ่มเติมให้กับ Firewall
  9. ตั้งค่า 6G Blacklist Firewall Rules
  10. ตั้งค่า Prevent Hotlinks
  11. เปลี่ยนลิงค์สำหรับ Login 
  12. เปิดการใช้งาน Honeypot
  13. ป้องกันคนมาสแปม ในกล่อง comment 
  14. ป้องกันคนคลิ๊กขวา และก๊อปปี้เนื้อหาบนเว็บเรา
  15. ป้องการนำเว็บเราไปแสดงใน iFrame ในเว็บคนอื่น
  16. ป้องกันคนหรือบอท มาเปิดดูโปรไฟล์ user ของเราแบบโดยตรง
  17. สรุปดูผลลัพธ์ที่ Dashboard

 

อ่านบทความสอนทำเว็บไซต์ด้วยตนเอง ตั้งแต่เริ่มต้น step by step เข้าถึงสารบัญใหญ่ บทความอื่นๆได้   คลิ๊กที่นี่

 

ในบทความนี้ผมจะสอนการติดตั้ง Plugin ที่เรียกว่า All in wp one security & firewall มาเริ่มกันเลย

ขั้นตอนที่ 1 ติดตั้งปลั๊กอิน Plug-in

ก่อนอื่นให้ล๊อกอินเข้า wordpress ของตัวเองให้เรียบร้อยก่อน ตามลิงค์นี้

www.โดเมนของคุณ.com/wp-admin

เมื่อล๊อกอินเสร็จ ก็ให้เข้าไปตามรูปด้านล่างเลยครับ  เพื่อที่จะติดตั้ง plugin  ตามเส้นทางต่อไปนี้  Plugins > Add New

all in one wp security - wordpress security

ติดตั้ง plugin > all in one wp security

 

  1. คลิ๊กที่ Plugins > Add New
  2. พิมพ์ว่า  all in one security
  3. จะมีผลลัพธ์การค้นหาออกมา  ให้คลิ๊กที่  Install Now ตามภาพด้านบนเลย

เมื่อติดตั้งเสร็จ จะขึ้นแบบนี้

wordpress security

ติดตั้ง plugin : all in one wordpress security & firewall

 

กดปุ่ม   Activate   เพื่อให้มันเริ่มทำงาน และมันจะเด้งมาที่หน้านี้ ด้านล่างตามภาพเลย

wordpress ความปลอดภัย

ติดตั้งเสร็จแล้ว – wordpress security

ในกรอบสี่เหลี่ยม คือปลั๊กอินที่เราพึ่งจะติดตั้งไป  จะมาแสดงอยู่ตรงนี้

ส่วนด้านข้างซ้าย  จะเขียนว่า  WP Security   นี่ล่ะเป็นปลั๊กอินที่พึ่งจะติดตั้งไป  เอาเป็นว่าตอนนี้ติดตั้งเสร็จแล้วนะ  มาเริ่มต้นขั้นตอนตั้งค่ากันดีกว่า

 

ขั้นตอนที่ 2 ตั้งค่าปลั๊กอิน

ตั้งค่าเพื่ออะไร  เพื่อให้ปลั๊กอินไปปรับแต่งเว็บของเรา ให้ปลอดภัยขึ้น  ลดช่องโหว่  ให้ทำตามขั้นตอนไปเรื่อยๆนะครับ  โดยเริ่มแรก ให้กดที่ WP Security ที่ด้านซ้ายมือ   ดูที่ Dashboard ก่อน

wordpress ถูก hack

wordpress security

จะเห็นรูปที่เข้าใจง่ายๆเลย เป็นมาตรวัด  ว่าตอนนี้เว็บเราอ่อนมาก  อาจจะเจอสแปม หรือสารพัด อาจจะโดนแฮคได้  ดังนั้นเราต้องกันไว้ก่อนที่จะเกิดเหตุการณ์ไม่คาดคิดขึ้น  โดยปรับแต่งมันซะตั้งแต่วันนี้เลย

สำหรับบทความนี้ผมจะไม่ลงลึกถึงขนาดว่าอันนี้คืออะไรๆ บอกไปทุกอัน  ผมว่าถ้าบอกหมด คุณเองจะปวดหัว  เพราะเรื่องความปลอดภัยในระบบคอมพิวเตอร์ เป็นเรื่องที่ยาก  ในบทความนี้  คุณจะได้รู้ในสิ่งที่จำเป็นที่สุด  และทำตามได้เลย

 

ขั้นตอนที่ 3  ป้องกันการมองเห็น เลข version ของ wordpress

ใน wordpress จะมี tag ที่บอกข้อมูลว่า  ตอนนี้เว็บ wordpress ที่คุณใช้อยู่นี้เป็นเวอรชั่นอะไร  ทำไมถึงไม่ปลอดภัยล่ะ  เพราะถ้า hacker รู้ก็จะง่ายสิ  เช่น เว็บคุณเองประกาศว่า  ตอนนี้ฉันเวอร์ชั่น 10 hacker ก็ทำงานง่ายขึ้น  ไปหาช่องโหว่ของ wordpress เวอร์ชั่น 10 มาทำลายเว็บคุณ  ฉะนั้นเอาออกซะเลย  คลิ๊กตามภาพนะครับ

wordpress ถูก hack

ตั้งค่า wordpress ความปลอดภัย – ลบเลข version ของ wordpress

คลิ๊กไปเลยตามหมายเลข 1 ถึง 4  Save Settings เป็นอันเสร็จ

 

ขั้นตอนที่ 4  ตั้งค่า User Accounts ใหม่ ไม่ให้เป็น Admin

โดยปกติแล้ว  เจ้าของเว็บส่วนใหญ่ชอบใช้ชื่อ username ว่า Admin หรือ administrator ก็แล้วแต่  อันนี้เป็นชื่อที่โหลมาก  ดังนั้นถ้าเว็บเราใช้ user ชื่อแบบนี้ แสดงว่างานของ hacker จะง่ายขึ้น ก็แค่มาเดาแค่รหัสผ่านเรา  การตั้งค่านี้เราจะต้องทำให้งาน hacker ยากขึ้น โดยไปเปลี่ยนชื่อ username ของเราให้เป็นชื่ออื่น อะไรก็ได้ ที่ไม่ใช่ admin, administrator ประมาณนี้

ลองคลิ๊กตามภาพครับ  User Accounts > WP Username  ตามหมายเลข 1,2

ตั้งค่าให้ user ของระบบ ไม่ใช้ admin, administrator – wordpress security

ที่หมายเลข 3 จะปรากฎว่า  user name ที่ใช้อยู่ตอนนี้คืออะไร

ที่หมายเลข 4 จะบอกว่าเราได้คะแนนเต็มหรือเปล่า  อย่างของผมในรูป  ชื่อ username สำหรับ login เข้าเว็บไซต์ ไม่ตรงกับ admin  คือ เดาไม่ง่าย  ผมก็จะได้คะแนนเต็มครับ

ถ้าใครไม่ได้คะแนนเต็ม ก็ให้เข้าไปที่ User > Add New ตามภาพ

wordpress security

ไปเพิ่ม ผู้ใช้ใหม่ เติมข้อมูลให้ครบทุกช่อง สำคัญที่ตรง Role นี้ปรับให้เป็น Administrator เลยนะครับ  เป็นผู้ควบคุมเว็บคนใหม่เลย  กรอกเสร็จแล้วกด  Add New User

หลังจากนั้น ให้เรา Log out ออกจากระบบเลยครับ แล้วล๊อกอินด้วย user ใหม่นี้ และเข้าไปลบ user เดิมที่เป็นชื่อ username admin ทิ้งไปเลยครับ

ใครยังจัดการ user ไม่เป็น ให้ไปอ่านบทความนี้ครับ ผมเขียนเอาไว้แล้ว  คลิ๊กเลย  สอนละเอียดมาก ไปอ่านๆ

เพิ่มเติมอีกนิด  เพื่อความปลอดภัยของเว็บ  ให้เราเข้าไปที่ user > All User อีกครั้ง และเลือกชื่อผู้ใช้ของเรา คลิ๊ก Edit  ให้เลื่อนลงไปหน่อยจะพบกับหน้าจอแบบนี้ครับ

wordpress security – wordpress ความปลอดภัย

ให้ ตรงที่ผมทาสีไว้ม่วงๆ   คุณต้องกำหนดให้มันต่างกัน

  • User Name – แก้ไขไม่ได้อยู่แล้ว ดังนั้นต้องไปแก้
  • Nickname คือ สิ่งที่เราต้องแก้ให้มันแตกต่างกัน
  • Display name plublicly as  ให้เลือกเป็นชื่อเดียวกับ Nickname ก็ได้

แก้ไขเสร็จแล้วกดปุ่ม  Update Profile   ล่างสุด

แก้แล้วควรเป็นแบบนี้นะครับ

ตรงชื่อ username สีม่วง  ของผมเซนเซอร์ไว้  กับ Nickname และ Display name จะต่างกัน

ลองมาเช็กดูที่ plugin security ของเราบ้าง  คลิ๊กตามภาพเลยครับ

  1. คลิ๊กที่  User Accounts
  2. คลิ๊กที่ Display Name
  3. ดูที่ตำแหน่งนี้ ได้ 5 คะแนนเต็มแล้วครับ

 

ขั้นตอนที่ 5   ปรับแต่งกลไกป้องกันในหน้า User Login

หมายถึงเวลา เราจะ login ที่ wordpress ใน  www.โดเมนเรา.com/wp-admin   ต้องการให้ plugin มีการตรวจสอบความผิดปกติจากการ  login ผิดบ่อยๆ ใส่ user name มั่วๆบ้าง  มั้ย  ถ้ามีความผิดแบบนี้ให้ lock ip มันเลย  ไม่ให้มันเข้าเว็บเราได้ในช่วงเวลาหนึ่ง   ดูที่แทป  Login Lockdown  ตามภาพด้านล่าง

ปรับแต่งกลไก ป้องกันที่หน้า login ของเว็บ wordpress security

ปรับแต่งกลไก ป้องกันที่หน้า login ของเว็บ – wordpress security

 

  1. คลิ๊กที่ WP Security > User Login
  2. เลือกที่  Login Lockdown
  3. ให้ใส่ค่าตามรูปด้านบนเลยครับ  มีอะไรต้องติ๊กก็ติ๊กตามได้เลย

ยังไม่หมด เลื่อนลงมาอีกนิด  ตั้งค่าต่อตามรูปเลย

 

 

Instantly Lockout Specific Usernames  ตรงนี้ให้ใส่ชื่อผู้ใช้ของเราเอง  ที่เรากำลังล๊อกอินใช้งานอยู่นี้ล่ะ  เพื่อบอกปลั๊กอินว่า  สำหรับ username ของเราต่อไปนี้  ไม่ต้อง lock out หรือ block ip นะ ถ้าทำอะไรผิดพลาด หรือใส่รหัสผ่านผิดหลายๆรอบ

Notify by email ให้ใส่ email ของเราเอง  ที่จะให้ plugin ส่งข้อมูลไปหาเรา กรณี มีอะไรที่ต้องสงสัยเกิดขึ้น

ทำตามเสร็จเรียบร้อย  กด  Save Settings 

แล้วจะได้คะแนนเต็ม 20 / 20

 

ขั้นตอนที่ 6  ปรับแต่งป้องกันการเข้าถึง ไฟล์บางไฟล์ของ wordpress

คำว่า ไฟล์บางไฟล์ในที่นี้ คือ ไฟล์ reame.html, license.txt และ wp-config-sample.php  อันนี้เป็นไฟล์ที่อาจจะมีข้อมูลบางอย่างที่ hacker สามารถเอามาทำร้ายเว็บเราได้  ดังนั้น  ให้ปิดการเข้าถึงไฟล์นี้ไว้เลย  ทำตามรูปภาพด้านล่างนี้

wordpress security

ปรับแต่งการเข้าถึงไฟล์ใน wordpress – wordpress ความปลอดภัย

  1. คลิ๊กที่  WP Security
  2. คลิ๊กที่ Tab WP File Access
  3. ติ๊กที่  เช็กบ๊อก หมายเลข 3 ได้เลย เพื่อป้องกันการเข้าถึงไฟล์ที่ผมบอกไป
  4.  Save Setting 

เพียงเท่านี้ ก็จะได้คะแนน 10 เต็ม 10

 

ขั้นตอนที่ 7 ตั้งค่า Basic Firewall เพื่อป้องกันเว็บไซต์

ไฟล์วอล ถ้าแปลตามตัวก็คือกำแพงไฟ  สำหรับในทางคอมพิวเตอร์  firewall เป็นเสมือน ด่านตรวจคนเข้าเมืองนั่นเอง ทีนี้มาดูกันว่าเราจะไปปรับแต่งได้อย่างไร  ก่อนอื่นให้คลิ๊กตามภาพเลยครับ

ป้องกัน wordpress ถูก hack

ปรับแต่ง basic firewall ป้องกันการถูก hack

  1. คลิ๊กที่ WP Security > Firewall
  2. คลิ๊กที่ แท็บ Basic Firewall Rules
  3. ฺBasic Firewall Setting  ให้เลือก Enable Basic Firewall ติ๊กถูก  เพื่อเปิดการทำงานการตรวจสอบพื้นฐาน
  4. Completely Block Access To XMLRPC  พูดภาษาบ้านๆคือไม่อนุญาตให้ใคร ติดต่อหลังบ้านเว็บเรา ผ่านช่องทางที่ชื่อว่า XMLRPC (ถ้าอยากศึกษา XMLRPC ให้ลองค้นหาดูครับ ตอนนี้ไม่ค่อยได้ใช้)  ติ๊กถูก
  5. Disable Pingback Functionality from XMLRPC   ปิดการทำงานช่องทางติดต่อเว็บ XMLRPC ติ๊กถูก

เลื่อนลงมาอีกสักหน่อย

wordpress ความปลอดภัย

  1. Block Access to debug.log File  กดติ๊กถูกเลย เพื่อไม่ให้ใครเข้ามาดูประวัติการแก้ไขเว็บของเรา
  2. เสร็จแล้วกด  Save Basic Firewall settings   เป็นอันเสร็จ

 

ขั้นตอนที่ 8 ตั้งค่ากฎอื่นๆ เพิ่มเติมให้กับ Firewall

ตรงส่วนนี้ ต่อจากขั้นตอนที่ 7 นะครับ  ให้คลิ๊กไปที่ Tab ที่ชื่อว่า Additional Firewall Rules  เพื่อปรับแต่งเพิ่มความปลอดภัยอีกตามภาพด้านล่างนี้

ตั้งค่า firewall เพิ่มเติม

ตั้งค่า firewall เพิ่มเติม – wordpress ความปลอดภัย

  1. คลิ๊กที่แท๊บ Additional Firewall Rules
  2. Disable Index View  กดติ๊ก  เพื่อไม่ให้ใครเข้าถึง directory ที่เก็บไฟล์ของเราได้
  3. Disable Trace & Track  กดติ๊ก เพื่อไม่ให้เข้าถึง header, cookies หรือข้อมูลที่สำคัญของระบบ
  4. Forbid Proxy Comment Posting กดติ๊ก เพื่อปฏิเสธการโพสต์คอมเม้นในเว็บไซต์ ที่ทำผ่าน proxy (ปกติการโพสต์จะทำผ่านคอมเรากับเว็บไซต์โดยตรง  แต่ถ้าโพสต์เม้นผ่าน proxy หมายความว่า สมมติคนโพสต์อยู่ที่ไทย แต่ปลอมตัวเองว่าไปอยู่ลาว  แล้วก็ทำการโพสต์เม้นจากลาว  เป็นการปกปิดตัวตน ประสงค์ร้าย)
  5. Deny Bad Query Strings กดติ๊ก เพื่อป้องกันไม่ให้ใครมาล๊อกอินเว็บเรา โดยใช้รหัสอักษรแปลกๆ เพื่อเจาะระบบเรา
  6. Enable Advanced Character String Filter กดติ๊กเพื่อ ป้องกันเหมือนข้อที่ 5 เลย แต่ advance กว่า
  7. กด   Save Additional Firewall Settings   เพื่อบันทึกการเปลี่ยนแปลง

เรียบร้อยครับ

 

ขั้นตอนที่ 9 ตั้งค่า 6G Blacklist Firewall Rules

ไปอีก tab หนึ่งนะครับ  ดูตามภาพแล้วกดตามเลยครับ

ตั้งค่า 6G Blacklist Firewall กัน wordpress ถูก hack

ตั้งค่า 6G Blacklist Firewall – ป้องกัน wordpress ถูก hack

  1. กดที่ 6G Blacklist Firewall Rules  ยังอยู่ที่การตั้งค่าไฟล์วอลนะครับ
  2. Enable 6G Firewall Protection   กดติ๊กเลยครับ
  3. Enable legacy 5G Firewall Protection   กดติ๊กเลยครับ
  4. กด  Save 5G/6G Firewall Settings 

 

ขั้นตอนที่ 10 ตั้งค่า Prevent Hotlinks

Hotlinks คือ  ปกติเราเขียนบทความจะมีรูปภาพใช่มั้ยครับ รูปภาพในบทความเรา  บางคนอาจจะดึงรูปเราไปแสดงที่เว็บตัวเองเลย  ไม่ได้ก๊อปปี้แล้วไปอัพโหลดลงเว็บเขาใหม่นะครับ  แต่เป็นการดึงรูปจากเว็บเราไปเลย  ผลคือ hosting หรือคอมที่เปิดเว็บเราจะทำงานหนัก  ถ้าโดนเยอะๆก็จะทำงาานหนักมาก  อาจจะทำให้เว็บเราล่มได้  ดังนั้น การป้องกัน Hotlinks จะช่วยให้ไม่อนุญาตใครมาดึงรูปเราไปแสดงบนเว็บเขา  ทำตามภาพเลยครับ

ตั้งค่าป้องกัน Prevent Hotlinks - wordpress ความปลอดภัย

ตั้งค่าป้องกัน Prevent Hotlinks – ป้องกัน wordpress ถูก hack

  1. กดที่ tab  Prevent Hotlinks
  2. กดติ๊กที่  Prevent Image Hotlinking  เพื่อไม่อนุญาตให้ใครมาดึงรูปเราไปแสดงนั่นเอง
  3. กด  Save Settings 

เรียบร้อยครับ สำหรับ Firewall เราจะตั้งค่าไว้แค่นี้  เราจะไปตั้งค่าต่อที่หัวข้ออื่นต่อกันครับ

 

ขั้นตอนที่ 11 เปลี่ยนลิงค์สำหรับ Login เข้าเว็บไซต์เรา

ปกติแล้วหลังจากติดตั้ง wordpress ของตนเองเสร็จ  หน้า login ทุกคนจะอยู่ที่นี่ครับ

www.โดเมนเรา.com/wp-admin

เห็นมัย  ว่า wp-admin ต่อท้าย อันนี้เป็นลิงค์ที่ใครที่มี wordpress ก็ต้องรู้  ว่ามันคือทางเข้าเว็บ ทางเข้าหลังบ้านของเราเอง  ทีนี้  ถ้าเรามีทางเข้าหลังบ้านเปิดเผยซะขนาดนี้ มันก็ต้องมีคนไม่ประสงค์ดี  พยายามมางัดแงะอยู่แล้ว  ถ้าเว็บคุณเริ่มมีคนเข้าเว็บประมาณ 1000 คนต่อเดือน  เดี๋ยวจะมีพวกงัดแงะมาเคาะประตูบ้านประจำครับ  ประจำขนาดไหน อาจจะรายชั่วโมงเลย เคาะทั้งวันครับ

คำว่าเคาะนี้ก็คือ พยายามมาแฮค ใส่รหัสผ่าน  ใช้โปรแกรมเข้ามาใส่รหัสผ่านเว็บเราอัตโนมัติ  ไม่ประสงค์ดีนั่นเอง  ดังนั้น  เราควรจะเปลี่ยนทางเข้าเว็บใหม่ไปเลยครับ เป็นชื่ออื่น  ให้ทำตามนี้ตรับ ดูรูป

เปลี่ยนลิงค์ สำหรับ login เข้าหลังบ้าน wordpress

เปลี่ยนลิงค์ สำหรับ login เข้าหลังบ้าน wordpress  –  ป้องกัน wordpress ถูก hack

  1. กด Brute Force
  2. ด้านบนสุดจะแสดง tab หลายๆ tab แต่แท๊บที่เราอยู่คือ Rename Login Page  ให้เลื่อนลงมาหน่อยจะเจอหน้าจอแบบรูปด้านบน
  3. ให้ไปติ๊ก Enable Rename Login Page  ว่าให้เปิดการทำงาน
  4. Login Page URL  ให้เราใส่ชื่อใหม่  เห็นมั้ยครับว่าผมใส่ abcd
  5. กด  Save Settings 

ดังนั้นหลังจากนี้ เวลาเราจะล๊อกอินเข้าเว็บไซต์ของเรา  ให้เข้าผ่านลิงค์ใหม่ของคุณ เอง  ถ้าอย่างของผมผมต้องเข้า

www.โดเมนเรา.com/abcd  แทนที่อันเก่าคือ www.โดเมนเรา.com/wp-admin ลิงค์เก่านี้จะใช้ไม่ได้แล้ว

 

ขั้นตอนที่ 12 เปิดการใช้งาน Honeypot

Honeypot  จะเป็นการเพิ่มค่าอีกค่าหนึ่ง  เป็นเหมือนช่องที่ให้กรอก username กับ password ล่ะ ในหน้า login page แต่ว่า ช่องนี้คนจะไม่เห็น แต่ robot อัตโนมัติจะเห็น   ปกติแล้วถ้าเป็นคนก็ต้องกรอกแค่ username และ password เท่านั้น เพราะเราเห็นแค่สองช่องนี้  แต่บอทมันจะเห็นอีกช่องหนึ่งที่เรียกว่า honeypot นี้ด้วย  มันก็จะไปกรอก  และกดปุ่ม login เอง

ทีนี้ล่ะติดกับเรา คือ ถ้าใครไปกรอกที่ช่องนี้ แสดงว่าไม่ใช่คน  ระบบเราจะบล๊อก บอท ไม่ให้เข้าถึงเว็บเราทันที

ดังนั้นให้เรามาตั้งค่า honey pot นี้ด้วย  เรายังคงอยู่ที่ Brute Force เหมือนเดิม  ให้คลิ๊กไปที่ tab ใหม่ ที่ชื่อว่า Honeypot ตามภาพด้านล่างนี้

ปรับแต่ง honeypot เพื่อหลอก บอท ที่ประสงค์ร้าย

ปรับแต่ง honeypot เพื่อหลอก บอท ที่ประสงค์ร้าย  –  ป้องกัน wordpress ถูก hack

หลังจากนั้น  ให้ไปติ๊กที่  Enable Honeypot On Login  ตามภาพด้านบน

หลังจากนั้นกด  Save Settings   เพื่อบันทึก ก็เสร็จเรียบร้อยครับ

 

ขั้นตอนที่ 13 ป้องกันคนมาสแปม ในกล่อง comment ที่เว็บไซต์เรา

พวก สแปมเมอร์  ชอบไปสแปมเว็บไซต์คนอื่น  มาเม้นมั่วๆ เหตุผลคือเพราะอยากใส่ลิงค์เว็บไซต์ของตัวเองในเว็บของเรา  ทีนี้เราจะมาป้องกันพวกนี้กัน โดยกันตั้งค่า  Comment SPAM ตามภาพเลยครับ ด้านล่าง

ป้องกัน Comment SPAM - wordpress security

ป้องกัน Comment SPAM  – wordpress ความปลอดภัย

  1. กดไปที่ WP Security > SPAM Prevention
  2. เลือกที่ Tab  Comment SPAM
  3. Enable Captcha on comment form  ให้ติ๊กถูก  เพื่อให้มันมีภาพแคปช่า ที่เป็นตัวเลขๆ ให้เรากรอกตาม ก่อนกดส่งคอมเม้น  เป็นการป้องกัน robot ที่ไม่ใช่คนมากด  เพราะบอทจะอ่าน captcha ไม่ออก (ปัจจุบันนี้ก็ออกอ่านออกมาได้  แต่ก็ไม่ได้ 100%  ดังนั้นการตั้ง Captcha ไว้ก็เป็นการป้องกันไว้ได้ส่วนหนึ่งเลยล่ะ
  4. Block Spambots from Posting Comments ให้ติ๊กถูก  เพื่ออนุญาตให้แค่การคอมเม้นที่เกิดจากภายในเว็บเราเท่านั้น ที่จะสามารถคอมเม้นได้  แต่ถ้าเป็นการส่งคอมเม้นโดยประแกรมมาจากเว็บอื่นมาเข้าเว็บเราจะไม่อนุญาต
  5. กด  Save Settings เพื่อบันทึกข้อมูล

 

ขั้นตอนที่ 14  ป้องกันคนคลิ๊กขวา และก๊อปปี้เนื้อหาบนเว็บเรา

ฟีเจอร์นี้เป็นการตั้งค่าให้เว็บเราไม่สามารถคลิ๊กขวาได้  และไม่สามารถเลือกข้อความบนเว็บเราได้  เหตุผลคือเราไม่อยากให้เขาก๊อปปี้ทรัพย์สินทางปัญญาของเรา  แต่ผมจะบอกว่าไม่สามารถป้องกันได้ทั้งหมดจริงๆ แม้จะเปิดฟีเจอร์นี้แล้วถ้าคนมันจะก๊อปจริงๆก็ยังทำได้  แต่สามารถป้องกันได้ส่วนหนึ่ง พวกคนที่ไม่เก่งคอม  แต่ชอบก๊อป อันนี้ป้องกันได้อยู่ครับ  มาดูกันเลยว่าตั้งค่ายังไง ตามภาพด้านล่างนี

ป้องกันการ ก๊อปปี้ บทความ - wordpress ถูก hack

ป้องกันการ ก๊อปปี้ บทความ – wordpress ถูก hack

  1. เลือก WP Security > Miscellaneous
  2. เลือก Tab Copy Protection
  3. Enable Copy Protection ให้ติ๊กถูก
  4. กด  Save Copy Protection Settings 

เพียงเท่านี้คนอื่นๆ ที่ไม่ใช่เรา เวลาเข้ามาในเว็บเราแล้ว จะไม่สามารถคลิ๊กลากเลือกข้อความได้  คลิ๊กขวาก็ไม่ได้  แต่ตราบใดที่เรายังล๊อกอินเป็น แอดมินอยู่เมื่อเราอยู่หน้าเว็บ เราก็ยังสามารถเลือกข้อความได้ ก๊อปปี้ได้อยู่ครับ เฉพาะเราเท่านั้นที่ทำได้

 

ขั้นตอนที่ 15  ป้องการนำเว็บเราไปแสดงใน iFrame ในเว็บคนอื่น

ตามหัวข้อเลยครับ  คือเราไม่ต้องการให้คนอื่นนำเว็บเราไปแสดง ภายในหน้าของเว็บคนอื่น  ด้วยเหตุที่เราจะสูญเสียแบนด์วิด ทำให้คอมพิวเตอร์ที่เราวางเว็บไว้ทำงานหนักขึ้น โดยที่เราไม่ได้อะไร  ดังนั้นเราจะมาป้องกันกัน  ยังอยู่ในหมวดหมู่เดิมนะครับ WP Security > Miscellaneous  ต่อมาให้คลิ๊กที่แท๊บที่ชื่อว่า  Frames

ป้องกันคนดึงเนื้อหาเว็บเราไปแสดงในเว็บเขา - wordpress security

ป้องกันคนดึงเนื้อหาเว็บเราไปแสดงในเว็บเขา – wordpress security

กดติ๊กถูกที่  Enable iFrame Protection แล้วกดปุ่ม  Save Settings  เท่านี้ก็เสร็จครับ

 

ขั้นตอนที่ 16  ป้องกันคนหรือบอท มาเปิดดูโปรไฟล์ user ของเราแบบโดยตรง

คือปกติแล้วถ้าเรา เขียน /?author=1  ต่อท้าย user หลักของเว็บไซต์จะเป็นการสั่งให้ wordpress แสดงข้อมูลของ user  นั่นก็คือ user ใครก็ได้ในเว็บเรา หรือของเราเอง เพื่อเป็นการป้องกัน ไม่ให้ใครก็ได้มาดูตรงส่วนนี้โดยพละการ  เราจะตั้งค่าห้ามกัน ตามภาพเลย  ยังอยู่ที่ WP Security > Miscellaneous

ตั้งค่า User Enumeration ป้องกัน บอท เข้าถึง profile ของ user ในเว็บเรา

ตั้งค่า User Enumeration ป้องกัน บอท เข้าถึง profile ของ user ในเว็บเรา

คลิ๊กไปที่ แท๊บ User Enumberation

มองไปที่ Disable users Enumberation   ให้ติ๊กถูก  เพื่อเริ่มการป้องกัน

กด   Save Settings   กเเพื่อบันทึกการตั้งค่า

 

ขั้นตอนที่ 17 สรุปดูผลลัพธ์ที่ Dashboard

ตอนแรก ก่อนการตั้งค่า  ดูที่มาตรวัดด้านซ้ายมือ ยังน้อยอยู่  ความแข็งแกร่งอยู่ที่ 45

ตรวจสอบภาพรวมความปลอดภัย

ตรวจสอบภาพรวมความปลอดภัย

 

หลังการตั้งค่าเสร็จ  ความแข็งแกร่ง อยู่ที่ 255 เพียงพอในระดับหนึ่งแล้วครับ

ตรวจสอบภาพรวมความปลอดภัย (หลังตั้งค่า)

ตรวจสอบภาพรวมความปลอดภัย (หลังตั้งค่า)

ถามว่าเราสามารถปรับให้มันเต็ม max เลยได้มั้ย  สามารถทำได้ครับ  แต่ว่าผมว่ามันหงุดหงิด  เพราะแม้แต่เราเองก็จะเข้าเว็บยากขึ้นมีหลายขั้นตอน อันนี้ผมสอนปรับเว็บให้มีความปลอดภัยแบบกลางๆ ก็ถือว่าเพียงพอแล้วครับ

 

สำหรับบทความนี้จบแล้วครับ  ไปลองทำกันดูนะ

About วิรากร

แอดมินประจำริววี ผู้ก่อตั้ง อยากให้ที่นี่เป็นเว็บที่รวบรวมแต่ รีวิวและความรู้ที่มีประโยชน์ เป็นความรู้ที่ผมศึกษามาด้วยตนเองทั้งหมด ประสบการณ์: Internet Marketing, SEO, Content Marketing, Passive Income, Make Online Money, E-commerce, Forex, เทรดออฟชั่น, Website Creator, IOS App Developer ติดต่อ riwwee@gmail.com | line@ : @riwwee | www.facebook.com/riwwee

Leave a Reply

Your email address will not be published. Required fields are marked *

twenty − twenty =