ติดตั้งปลั๊กอิน WordPress Security – ป้องกัน wordpress ถูก hack
สวัสดีครับผู้อ่านทุกท่าน เราเรียนกันมาหลายบทเรียนแล้ว มาถึงบทเรียนนี้สักที ผมจะมาสอนเกี่ยวกับการตั้งค่า wordpress security ทำให้ wordpress ของคุณปลอดภัยมากยิ่งขึ้น ไม่ได้ บอกว่าจะกัน hacker ได้ 100% แต่ก็ปลอดภัยในระดับหนึ่ง ดีกว่าไม่ทำอะไรสักอย่าง ดีกว่าการติดตั้ง wordpress ของคุณเอาไว้เฉยๆ แบบดั้งเดิม แบบไม่ทำอะไรเลย
โดยวิธีการนั่นก็แสนง่าย เพียงแค่ติดตั้งปลั๊กอิน และก็มีการตั้งค่านิดๆหน่อย โดยการตั้งค่าเหล่านั้น ผมจะมาสอนในบทความนี้ อย่างละเอียด ถ้าคุณไม่อยากรู้อะไรมาก เลื่อนลงไปดูรูป แล้วก็คลิ๊กๆ ติ๊กๆ ใส่ค่าตามรูปไปได้เลยครับ กดเซฟๆๆ เลื่อนลงไปด้านล่างอีกนิดจะเป็นสารบัญ สามารถเลือกอ่านได้ครับ ถ้าไม่เลือกอ่านก็ค่อยๆ เลื่อนลงไปอ่านจนหมดไปเลย
บทความนี้เป็นลิขสิทธิ์ของ riwwee.com แต่เพียงผู้เดียว ห้ามก๊อปปี้ หรือ ทำซ้ำ เนื้อหา รูปภาพ โดยไม่ได้รับอนุญาตครับ |
ในบทความนี้ผมจะสอนการติดตั้ง Plugin ที่เรียกว่า All in wp one security & firewall มาเริ่มกันเลย
ขั้นตอนที่ 1 ติดตั้งปลั๊กอิน Plug-in
ก่อนอื่นให้ล๊อกอินเข้า wordpress ของตัวเองให้เรียบร้อยก่อน ตามลิงค์นี้
www.โดเมนของคุณ.com/wp-admin
เมื่อล๊อกอินเสร็จ ก็ให้เข้าไปตามรูปด้านล่างเลยครับ เพื่อที่จะติดตั้ง plugin ตามเส้นทางต่อไปนี้ Plugins > Add New
- คลิ๊กที่ Plugins > Add New
- พิมพ์ว่า all in one security
- จะมีผลลัพธ์การค้นหาออกมา ให้คลิ๊กที่ Install Now ตามภาพด้านบนเลย
เมื่อติดตั้งเสร็จ จะขึ้นแบบนี้
กดปุ่ม Activate เพื่อให้มันเริ่มทำงาน และมันจะเด้งมาที่หน้านี้ ด้านล่างตามภาพเลย
ในกรอบสี่เหลี่ยม คือปลั๊กอินที่เราพึ่งจะติดตั้งไป จะมาแสดงอยู่ตรงนี้
ส่วนด้านข้างซ้าย จะเขียนว่า WP Security นี่ล่ะเป็นปลั๊กอินที่พึ่งจะติดตั้งไป เอาเป็นว่าตอนนี้ติดตั้งเสร็จแล้วนะ มาเริ่มต้นขั้นตอนตั้งค่ากันดีกว่า
ขั้นตอนที่ 2 ตั้งค่าปลั๊กอิน
ตั้งค่าเพื่ออะไร เพื่อให้ปลั๊กอินไปปรับแต่งเว็บของเรา ให้ปลอดภัยขึ้น ลดช่องโหว่ ให้ทำตามขั้นตอนไปเรื่อยๆนะครับ โดยเริ่มแรก ให้กดที่ WP Security ที่ด้านซ้ายมือ ดูที่ Dashboard ก่อน
จะเห็นรูปที่เข้าใจง่ายๆเลย เป็นมาตรวัด ว่าตอนนี้เว็บเราอ่อนมาก อาจจะเจอสแปม หรือสารพัด อาจจะโดนแฮคได้ ดังนั้นเราต้องกันไว้ก่อนที่จะเกิดเหตุการณ์ไม่คาดคิดขึ้น โดยปรับแต่งมันซะตั้งแต่วันนี้เลย
สำหรับบทความนี้ผมจะไม่ลงลึกถึงขนาดว่าอันนี้คืออะไรๆ บอกไปทุกอัน ผมว่าถ้าบอกหมด คุณเองจะปวดหัว เพราะเรื่องความปลอดภัยในระบบคอมพิวเตอร์ เป็นเรื่องที่ยาก ในบทความนี้ คุณจะได้รู้ในสิ่งที่จำเป็นที่สุด และทำตามได้เลย
ขั้นตอนที่ 3 ป้องกันการมองเห็น เลข version ของ wordpress
ใน wordpress จะมี tag ที่บอกข้อมูลว่า ตอนนี้เว็บ wordpress ที่คุณใช้อยู่นี้เป็นเวอรชั่นอะไร ทำไมถึงไม่ปลอดภัยล่ะ เพราะถ้า hacker รู้ก็จะง่ายสิ เช่น เว็บคุณเองประกาศว่า ตอนนี้ฉันเวอร์ชั่น 10 hacker ก็ทำงานง่ายขึ้น ไปหาช่องโหว่ของ wordpress เวอร์ชั่น 10 มาทำลายเว็บคุณ ฉะนั้นเอาออกซะเลย คลิ๊กตามภาพนะครับ
คลิ๊กไปเลยตามหมายเลข 1 ถึง 4 Save Settings เป็นอันเสร็จ
ขั้นตอนที่ 4 ตั้งค่า User Accounts ใหม่ ไม่ให้เป็น Admin
โดยปกติแล้ว เจ้าของเว็บส่วนใหญ่ชอบใช้ชื่อ username ว่า Admin หรือ administrator ก็แล้วแต่ อันนี้เป็นชื่อที่โหลมาก ดังนั้นถ้าเว็บเราใช้ user ชื่อแบบนี้ แสดงว่างานของ hacker จะง่ายขึ้น ก็แค่มาเดาแค่รหัสผ่านเรา การตั้งค่านี้เราจะต้องทำให้งาน hacker ยากขึ้น โดยไปเปลี่ยนชื่อ username ของเราให้เป็นชื่ออื่น อะไรก็ได้ ที่ไม่ใช่ admin, administrator ประมาณนี้
ลองคลิ๊กตามภาพครับ User Accounts > WP Username ตามหมายเลข 1,2
ที่หมายเลข 3 จะปรากฎว่า user name ที่ใช้อยู่ตอนนี้คืออะไร
ที่หมายเลข 4 จะบอกว่าเราได้คะแนนเต็มหรือเปล่า อย่างของผมในรูป ชื่อ username สำหรับ login เข้าเว็บไซต์ ไม่ตรงกับ admin คือ เดาไม่ง่าย ผมก็จะได้คะแนนเต็มครับ
ถ้าใครไม่ได้คะแนนเต็ม ก็ให้เข้าไปที่ User > Add New ตามภาพ
ไปเพิ่ม ผู้ใช้ใหม่ เติมข้อมูลให้ครบทุกช่อง สำคัญที่ตรง Role นี้ปรับให้เป็น Administrator เลยนะครับ เป็นผู้ควบคุมเว็บคนใหม่เลย กรอกเสร็จแล้วกด Add New User
หลังจากนั้น ให้เรา Log out ออกจากระบบเลยครับ แล้วล๊อกอินด้วย user ใหม่นี้ และเข้าไปลบ user เดิมที่เป็นชื่อ username admin ทิ้งไปเลยครับ
ใครยังจัดการ user ไม่เป็น ให้ไปอ่านบทความนี้ครับ ผมเขียนเอาไว้แล้ว คลิ๊กเลย สอนละเอียดมาก ไปอ่านๆ
เพิ่มเติมอีกนิด เพื่อความปลอดภัยของเว็บ ให้เราเข้าไปที่ user > All User อีกครั้ง และเลือกชื่อผู้ใช้ของเรา คลิ๊ก Edit ให้เลื่อนลงไปหน่อยจะพบกับหน้าจอแบบนี้ครับ
ให้ ตรงที่ผมทาสีไว้ม่วงๆ คุณต้องกำหนดให้มันต่างกัน
- User Name – แก้ไขไม่ได้อยู่แล้ว ดังนั้นต้องไปแก้
- Nickname คือ สิ่งที่เราต้องแก้ให้มันแตกต่างกัน
- Display name plublicly as ให้เลือกเป็นชื่อเดียวกับ Nickname ก็ได้
แก้ไขเสร็จแล้วกดปุ่ม Update Profile ล่างสุด
แก้แล้วควรเป็นแบบนี้นะครับ
ตรงชื่อ username สีม่วง ของผมเซนเซอร์ไว้ กับ Nickname และ Display name จะต่างกัน
ลองมาเช็กดูที่ plugin security ของเราบ้าง คลิ๊กตามภาพเลยครับ
- คลิ๊กที่ User Accounts
- คลิ๊กที่ Display Name
- ดูที่ตำแหน่งนี้ ได้ 5 คะแนนเต็มแล้วครับ
ขั้นตอนที่ 5 ปรับแต่งกลไกป้องกันในหน้า User Login
หมายถึงเวลา เราจะ login ที่ wordpress ใน www.โดเมนเรา.com/wp-admin ต้องการให้ plugin มีการตรวจสอบความผิดปกติจากการ login ผิดบ่อยๆ ใส่ user name มั่วๆบ้าง มั้ย ถ้ามีความผิดแบบนี้ให้ lock ip มันเลย ไม่ให้มันเข้าเว็บเราได้ในช่วงเวลาหนึ่ง ดูที่แทป Login Lockdown ตามภาพด้านล่าง
- คลิ๊กที่ WP Security > User Login
- เลือกที่ Login Lockdown
- ให้ใส่ค่าตามรูปด้านบนเลยครับ มีอะไรต้องติ๊กก็ติ๊กตามได้เลย
ยังไม่หมด เลื่อนลงมาอีกนิด ตั้งค่าต่อตามรูปเลย
Instantly Lockout Specific Usernames ตรงนี้ให้ใส่ชื่อผู้ใช้ของเราเอง ที่เรากำลังล๊อกอินใช้งานอยู่นี้ล่ะ เพื่อบอกปลั๊กอินว่า สำหรับ username ของเราต่อไปนี้ ไม่ต้อง lock out หรือ block ip นะ ถ้าทำอะไรผิดพลาด หรือใส่รหัสผ่านผิดหลายๆรอบ
Notify by email ให้ใส่ email ของเราเอง ที่จะให้ plugin ส่งข้อมูลไปหาเรา กรณี มีอะไรที่ต้องสงสัยเกิดขึ้น
ทำตามเสร็จเรียบร้อย กด Save Settings
แล้วจะได้คะแนนเต็ม 20 / 20
ขั้นตอนที่ 6 ปรับแต่งป้องกันการเข้าถึง ไฟล์บางไฟล์ของ wordpress
คำว่า ไฟล์บางไฟล์ในที่นี้ คือ ไฟล์ reame.html, license.txt และ wp-config-sample.php อันนี้เป็นไฟล์ที่อาจจะมีข้อมูลบางอย่างที่ hacker สามารถเอามาทำร้ายเว็บเราได้ ดังนั้น ให้ปิดการเข้าถึงไฟล์นี้ไว้เลย ทำตามรูปภาพด้านล่างนี้
- คลิ๊กที่ WP Security
- คลิ๊กที่ Tab WP File Access
- ติ๊กที่ เช็กบ๊อก หมายเลข 3 ได้เลย เพื่อป้องกันการเข้าถึงไฟล์ที่ผมบอกไป
- Save Setting
เพียงเท่านี้ ก็จะได้คะแนน 10 เต็ม 10
ขั้นตอนที่ 7 ตั้งค่า Basic Firewall เพื่อป้องกันเว็บไซต์
ไฟล์วอล ถ้าแปลตามตัวก็คือกำแพงไฟ สำหรับในทางคอมพิวเตอร์ firewall เป็นเสมือน ด่านตรวจคนเข้าเมืองนั่นเอง ทีนี้มาดูกันว่าเราจะไปปรับแต่งได้อย่างไร ก่อนอื่นให้คลิ๊กตามภาพเลยครับ
- คลิ๊กที่ WP Security > Firewall
- คลิ๊กที่ แท็บ Basic Firewall Rules
- ฺBasic Firewall Setting ให้เลือก Enable Basic Firewall ติ๊กถูก เพื่อเปิดการทำงานการตรวจสอบพื้นฐาน
- Completely Block Access To XMLRPC พูดภาษาบ้านๆคือไม่อนุญาตให้ใคร ติดต่อหลังบ้านเว็บเรา ผ่านช่องทางที่ชื่อว่า XMLRPC (ถ้าอยากศึกษา XMLRPC ให้ลองค้นหาดูครับ ตอนนี้ไม่ค่อยได้ใช้) ติ๊กถูก
- Disable Pingback Functionality from XMLRPC ปิดการทำงานช่องทางติดต่อเว็บ XMLRPC ติ๊กถูก
เลื่อนลงมาอีกสักหน่อย
- Block Access to debug.log File กดติ๊กถูกเลย เพื่อไม่ให้ใครเข้ามาดูประวัติการแก้ไขเว็บของเรา
- เสร็จแล้วกด Save Basic Firewall settings เป็นอันเสร็จ
ขั้นตอนที่ 8 ตั้งค่ากฎอื่นๆ เพิ่มเติมให้กับ Firewall
ตรงส่วนนี้ ต่อจากขั้นตอนที่ 7 นะครับ ให้คลิ๊กไปที่ Tab ที่ชื่อว่า Additional Firewall Rules เพื่อปรับแต่งเพิ่มความปลอดภัยอีกตามภาพด้านล่างนี้
- คลิ๊กที่แท๊บ Additional Firewall Rules
- Disable Index View กดติ๊ก เพื่อไม่ให้ใครเข้าถึง directory ที่เก็บไฟล์ของเราได้
- Disable Trace & Track กดติ๊ก เพื่อไม่ให้เข้าถึง header, cookies หรือข้อมูลที่สำคัญของระบบ
- Forbid Proxy Comment Posting กดติ๊ก เพื่อปฏิเสธการโพสต์คอมเม้นในเว็บไซต์ ที่ทำผ่าน proxy (ปกติการโพสต์จะทำผ่านคอมเรากับเว็บไซต์โดยตรง แต่ถ้าโพสต์เม้นผ่าน proxy หมายความว่า สมมติคนโพสต์อยู่ที่ไทย แต่ปลอมตัวเองว่าไปอยู่ลาว แล้วก็ทำการโพสต์เม้นจากลาว เป็นการปกปิดตัวตน ประสงค์ร้าย)
- Deny Bad Query Strings กดติ๊ก เพื่อป้องกันไม่ให้ใครมาล๊อกอินเว็บเรา โดยใช้รหัสอักษรแปลกๆ เพื่อเจาะระบบเรา
- Enable Advanced Character String Filter กดติ๊กเพื่อ ป้องกันเหมือนข้อที่ 5 เลย แต่ advance กว่า
- กด Save Additional Firewall Settings เพื่อบันทึกการเปลี่ยนแปลง
เรียบร้อยครับ
ขั้นตอนที่ 9 ตั้งค่า 6G Blacklist Firewall Rules
ไปอีก tab หนึ่งนะครับ ดูตามภาพแล้วกดตามเลยครับ
- กดที่ 6G Blacklist Firewall Rules ยังอยู่ที่การตั้งค่าไฟล์วอลนะครับ
- Enable 6G Firewall Protection กดติ๊กเลยครับ
- Enable legacy 5G Firewall Protection กดติ๊กเลยครับ
- กด Save 5G/6G Firewall Settings
ขั้นตอนที่ 10 ตั้งค่า Prevent Hotlinks
Hotlinks คือ ปกติเราเขียนบทความจะมีรูปภาพใช่มั้ยครับ รูปภาพในบทความเรา บางคนอาจจะดึงรูปเราไปแสดงที่เว็บตัวเองเลย ไม่ได้ก๊อปปี้แล้วไปอัพโหลดลงเว็บเขาใหม่นะครับ แต่เป็นการดึงรูปจากเว็บเราไปเลย ผลคือ hosting หรือคอมที่เปิดเว็บเราจะทำงานหนัก ถ้าโดนเยอะๆก็จะทำงาานหนักมาก อาจจะทำให้เว็บเราล่มได้ ดังนั้น การป้องกัน Hotlinks จะช่วยให้ไม่อนุญาตใครมาดึงรูปเราไปแสดงบนเว็บเขา ทำตามภาพเลยครับ
- กดที่ tab Prevent Hotlinks
- กดติ๊กที่ Prevent Image Hotlinking เพื่อไม่อนุญาตให้ใครมาดึงรูปเราไปแสดงนั่นเอง
- กด Save Settings
เรียบร้อยครับ สำหรับ Firewall เราจะตั้งค่าไว้แค่นี้ เราจะไปตั้งค่าต่อที่หัวข้ออื่นต่อกันครับ
ขั้นตอนที่ 11 เปลี่ยนลิงค์สำหรับ Login เข้าเว็บไซต์เรา
ปกติแล้วหลังจากติดตั้ง wordpress ของตนเองเสร็จ หน้า login ทุกคนจะอยู่ที่นี่ครับ
www.โดเมนเรา.com/wp-admin
เห็นมัย ว่า wp-admin ต่อท้าย อันนี้เป็นลิงค์ที่ใครที่มี wordpress ก็ต้องรู้ ว่ามันคือทางเข้าเว็บ ทางเข้าหลังบ้านของเราเอง ทีนี้ ถ้าเรามีทางเข้าหลังบ้านเปิดเผยซะขนาดนี้ มันก็ต้องมีคนไม่ประสงค์ดี พยายามมางัดแงะอยู่แล้ว ถ้าเว็บคุณเริ่มมีคนเข้าเว็บประมาณ 1000 คนต่อเดือน เดี๋ยวจะมีพวกงัดแงะมาเคาะประตูบ้านประจำครับ ประจำขนาดไหน อาจจะรายชั่วโมงเลย เคาะทั้งวันครับ
คำว่าเคาะนี้ก็คือ พยายามมาแฮค ใส่รหัสผ่าน ใช้โปรแกรมเข้ามาใส่รหัสผ่านเว็บเราอัตโนมัติ ไม่ประสงค์ดีนั่นเอง ดังนั้น เราควรจะเปลี่ยนทางเข้าเว็บใหม่ไปเลยครับ เป็นชื่ออื่น ให้ทำตามนี้ตรับ ดูรูป
- กด Brute Force
- ด้านบนสุดจะแสดง tab หลายๆ tab แต่แท๊บที่เราอยู่คือ Rename Login Page ให้เลื่อนลงมาหน่อยจะเจอหน้าจอแบบรูปด้านบน
- ให้ไปติ๊ก Enable Rename Login Page ว่าให้เปิดการทำงาน
- Login Page URL ให้เราใส่ชื่อใหม่ เห็นมั้ยครับว่าผมใส่ abcd
- กด Save Settings
ดังนั้นหลังจากนี้ เวลาเราจะล๊อกอินเข้าเว็บไซต์ของเรา ให้เข้าผ่านลิงค์ใหม่ของคุณ เอง ถ้าอย่างของผมผมต้องเข้า
www.โดเมนเรา.com/abcd แทนที่อันเก่าคือ www.โดเมนเรา.com/wp-admin ลิงค์เก่านี้จะใช้ไม่ได้แล้ว
ขั้นตอนที่ 12 เปิดการใช้งาน Honeypot
Honeypot จะเป็นการเพิ่มค่าอีกค่าหนึ่ง เป็นเหมือนช่องที่ให้กรอก username กับ password ล่ะ ในหน้า login page แต่ว่า ช่องนี้คนจะไม่เห็น แต่ robot อัตโนมัติจะเห็น ปกติแล้วถ้าเป็นคนก็ต้องกรอกแค่ username และ password เท่านั้น เพราะเราเห็นแค่สองช่องนี้ แต่บอทมันจะเห็นอีกช่องหนึ่งที่เรียกว่า honeypot นี้ด้วย มันก็จะไปกรอก และกดปุ่ม login เอง
ทีนี้ล่ะติดกับเรา คือ ถ้าใครไปกรอกที่ช่องนี้ แสดงว่าไม่ใช่คน ระบบเราจะบล๊อก บอท ไม่ให้เข้าถึงเว็บเราทันที
ดังนั้นให้เรามาตั้งค่า honey pot นี้ด้วย เรายังคงอยู่ที่ Brute Force เหมือนเดิม ให้คลิ๊กไปที่ tab ใหม่ ที่ชื่อว่า Honeypot ตามภาพด้านล่างนี้
หลังจากนั้น ให้ไปติ๊กที่ Enable Honeypot On Login ตามภาพด้านบน
หลังจากนั้นกด Save Settings เพื่อบันทึก ก็เสร็จเรียบร้อยครับ
ขั้นตอนที่ 13 ป้องกันคนมาสแปม ในกล่อง comment ที่เว็บไซต์เรา
พวก สแปมเมอร์ ชอบไปสแปมเว็บไซต์คนอื่น มาเม้นมั่วๆ เหตุผลคือเพราะอยากใส่ลิงค์เว็บไซต์ของตัวเองในเว็บของเรา ทีนี้เราจะมาป้องกันพวกนี้กัน โดยกันตั้งค่า Comment SPAM ตามภาพเลยครับ ด้านล่าง
- กดไปที่ WP Security > SPAM Prevention
- เลือกที่ Tab Comment SPAM
- Enable Captcha on comment form ให้ติ๊กถูก เพื่อให้มันมีภาพแคปช่า ที่เป็นตัวเลขๆ ให้เรากรอกตาม ก่อนกดส่งคอมเม้น เป็นการป้องกัน robot ที่ไม่ใช่คนมากด เพราะบอทจะอ่าน captcha ไม่ออก (ปัจจุบันนี้ก็ออกอ่านออกมาได้ แต่ก็ไม่ได้ 100% ดังนั้นการตั้ง Captcha ไว้ก็เป็นการป้องกันไว้ได้ส่วนหนึ่งเลยล่ะ
- Block Spambots from Posting Comments ให้ติ๊กถูก เพื่ออนุญาตให้แค่การคอมเม้นที่เกิดจากภายในเว็บเราเท่านั้น ที่จะสามารถคอมเม้นได้ แต่ถ้าเป็นการส่งคอมเม้นโดยประแกรมมาจากเว็บอื่นมาเข้าเว็บเราจะไม่อนุญาต
- กด Save Settings เพื่อบันทึกข้อมูล
ขั้นตอนที่ 14 ป้องกันคนคลิ๊กขวา และก๊อปปี้เนื้อหาบนเว็บเรา
ฟีเจอร์นี้เป็นการตั้งค่าให้เว็บเราไม่สามารถคลิ๊กขวาได้ และไม่สามารถเลือกข้อความบนเว็บเราได้ เหตุผลคือเราไม่อยากให้เขาก๊อปปี้ทรัพย์สินทางปัญญาของเรา แต่ผมจะบอกว่าไม่สามารถป้องกันได้ทั้งหมดจริงๆ แม้จะเปิดฟีเจอร์นี้แล้วถ้าคนมันจะก๊อปจริงๆก็ยังทำได้ แต่สามารถป้องกันได้ส่วนหนึ่ง พวกคนที่ไม่เก่งคอม แต่ชอบก๊อป อันนี้ป้องกันได้อยู่ครับ มาดูกันเลยว่าตั้งค่ายังไง ตามภาพด้านล่างนี
- เลือก WP Security > Miscellaneous
- เลือก Tab Copy Protection
- Enable Copy Protection ให้ติ๊กถูก
- กด Save Copy Protection Settings
เพียงเท่านี้คนอื่นๆ ที่ไม่ใช่เรา เวลาเข้ามาในเว็บเราแล้ว จะไม่สามารถคลิ๊กลากเลือกข้อความได้ คลิ๊กขวาก็ไม่ได้ แต่ตราบใดที่เรายังล๊อกอินเป็น แอดมินอยู่เมื่อเราอยู่หน้าเว็บ เราก็ยังสามารถเลือกข้อความได้ ก๊อปปี้ได้อยู่ครับ เฉพาะเราเท่านั้นที่ทำได้
ขั้นตอนที่ 15 ป้องการนำเว็บเราไปแสดงใน iFrame ในเว็บคนอื่น
ตามหัวข้อเลยครับ คือเราไม่ต้องการให้คนอื่นนำเว็บเราไปแสดง ภายในหน้าของเว็บคนอื่น ด้วยเหตุที่เราจะสูญเสียแบนด์วิด ทำให้คอมพิวเตอร์ที่เราวางเว็บไว้ทำงานหนักขึ้น โดยที่เราไม่ได้อะไร ดังนั้นเราจะมาป้องกันกัน ยังอยู่ในหมวดหมู่เดิมนะครับ WP Security > Miscellaneous ต่อมาให้คลิ๊กที่แท๊บที่ชื่อว่า Frames
กดติ๊กถูกที่ Enable iFrame Protection แล้วกดปุ่ม Save Settings เท่านี้ก็เสร็จครับ
ขั้นตอนที่ 16 ป้องกันคนหรือบอท มาเปิดดูโปรไฟล์ user ของเราแบบโดยตรง
คือปกติแล้วถ้าเรา เขียน /?author=1 ต่อท้าย user หลักของเว็บไซต์จะเป็นการสั่งให้ wordpress แสดงข้อมูลของ user นั่นก็คือ user ใครก็ได้ในเว็บเรา หรือของเราเอง เพื่อเป็นการป้องกัน ไม่ให้ใครก็ได้มาดูตรงส่วนนี้โดยพละการ เราจะตั้งค่าห้ามกัน ตามภาพเลย ยังอยู่ที่ WP Security > Miscellaneous
คลิ๊กไปที่ แท๊บ User Enumberation
มองไปที่ Disable users Enumberation ให้ติ๊กถูก เพื่อเริ่มการป้องกัน
กด Save Settings กเเพื่อบันทึกการตั้งค่า
ขั้นตอนที่ 17 สรุปดูผลลัพธ์ที่ Dashboard
ตอนแรก ก่อนการตั้งค่า ดูที่มาตรวัดด้านซ้ายมือ ยังน้อยอยู่ ความแข็งแกร่งอยู่ที่ 45
หลังการตั้งค่าเสร็จ ความแข็งแกร่ง อยู่ที่ 255 เพียงพอในระดับหนึ่งแล้วครับ
ถามว่าเราสามารถปรับให้มันเต็ม max เลยได้มั้ย สามารถทำได้ครับ แต่ว่าผมว่ามันหงุดหงิด เพราะแม้แต่เราเองก็จะเข้าเว็บยากขึ้นมีหลายขั้นตอน อันนี้ผมสอนปรับเว็บให้มีความปลอดภัยแบบกลางๆ ก็ถือว่าเพียงพอแล้วครับ
สำหรับบทความนี้จบแล้วครับ ไปลองทำกันดูนะ