Sunday, 24 November 2024

เพิ่มความปลอดภัยให้ WordPress ด้วยการป้องกันการเข้าถึง Directory

บทความนี้จะมาอธิบายถึงการ เพิ่มความปลอดภัยให้ WordPress เพื่อป้องกันการ Hack WordPress ด้วยการป้องกันการเข้าถึง directory โดยใช้ .htaccess ซึ่งเป็น feature ของทาง Apache ในการป้องกันการเข้าถึง WordPress Directory โดยจุดประสงค์ เพื่อลดโอกาส การเข้าถึง Path ของ Directory Folder ที่เก็บรูปภาพ หรือ เก็บ Code โดยอธิบายพอสังเขปดังนี้

ทำไมต้อง เพิ่มความปลอดภัยให้ WordPress

จากบทความเรื่อง Plugins ที่จำเป็นสำหรับ Web Blog WordPress ซึ่งทาง Indydiary ได้อธิบาย ไว้ในบทความที่แล้ว อ่านบทความ “รวม WordPress Plugins ที่ทาง IndyDiary.com ใช้งาน” ซึ่งแน่นอนมีการกล่าวถึง Plugins ตัวหนึงชื่อว่า Wordfence Security แต่เท่าที่ทาง indydiary ได้สังเกตุพบว่า WordPress Directory ไม่ได้มีการป้องกันเอาไว้ ยกตัวอย่างเช่น Path ของรูปภาพ หรือ Path Cache หากเราสุ่มเข้า Path เหล่านั้นไป เราอาจะเจอช่องโหว่ และ หาก Hacker เจอก็อาจจะ เข้ามา Hack ข้อมูลของ Web Blog ของเราเอาไปได้ ต้องเสียเวลามานั่งกู้ข้อมูล หรือ แก้ไขในส่วนที่ถูก Hack อีก

WordPress Directory คืออะไร

Wordpress Directory

จากรูป WordPress directory คือ path ที่ใช้เก็บ wp-config, wp-plugins, wp-content ซึ่งแน่นอนถ้าหากมีใครไปเจอ path แบบในรูปนี้แล้ว ก็จะเห็นข้อมูลทั้งหมดของแต่ละ Path ได้เลย และ ในขณะเดียวกัน ก็ส่งผลให้ทาง hacker ส่ง code เข้ามา hack path นี้ได้เลย ส่งผลให้ wordPress ของเราทำงานไม่ปกติ อาการคือ ติดไวรัส นั่นเอง โดยต้องมานั่งเสียเวลากู้คืนระบบให้วุ่นวายอีก และ ที่สำคัญ บางอย่าง อาจจะกู้ไม่ได้ เช่นชื่อเสียงของ Website ของเรา

เราจะ เพิ่มความปลอดภัยให้ WordPress directory ได้อย่างไร

เนื่องจากผู้เขียนใช้ Host ของทาง namecheap และใช้ Web server เป็น apache ซึ่งการป้องกันคือการเข้าไปแก้ไข File .htaccess ไม่ให้เข้าถึง WordPress directory โดยวิธีการแก้ไขคือ FTP เข้าไปที่ host หรือใช้ผ่าน Control ของ Hosting ที่เราใช้ เข้าไปแก้ไขโดยการเพิ่มคำสั่ง ใน file .htaccess ดังนี้

Options All -Indexes

เพียงแค่นี้ WordPress path directory ของเราจะแสดงผลเป็นหน้า 404 error แทน ดังรูป ซึ่งการแสดงผลจะขึ้นอยู่กับ Theme ของ wordpress ที่ตั้งเอาไว้

Wordpress Directory

เนื่องจากทาง indydiary ใช้งาน hostที่เป็น apache จึงมีแค่บทความที่เป็นของ apache ในอนคตหากจะใช้งาน Nginx อาจะเอาประสบการณ์มาเล่าให้ฟังอีกที

บทสรุป

การป้องกันไมให้เข้าถึง WordPress Directory เป็นการป้องกันการแอบมาใส่ Code หรือ ป้องกันคนอื่นแอบเข้ามาส่อง Plugins ที่เราใช้งาน หรือดูข้อมูลใน Path Upload ออกไป ไม่ได้เป็นการป้องกันความปลอดภัยของ WordPress ทั้งหมด

เว็บไซต์ของเรามีการใช้งานคุกกี้ (Cookies) เพื่อมอบประสบการณ์ที่ดียิ่งขึ้นให้แก่คุณ รวมถึงเสนอสิทธิประโยชน์ที่ตรงตามความสนใจของคุณมากที่สุด ถ้าคุณยังใช้งานต่อไปโดยไม่ปฏิเสธคุกกี้ เราจะเก็บคุกกี้เพื่อวัตถุประสงค์ข้างต้น ทั้งนี้ คุณสามารถศึกษารายละเอียดเกี่ยวกับการใช้คุกกี้ของเราได้ที่ นโยบายความเป็นส่วนตัว และ นโยบายการใช้คุกกี้

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

Allow All
Manage Consent Preferences
  • Always Active

Save