Wordfence Security เป็น WordPress Plugin ทำหน้าที่เป็น Anti-virus, Firewall and Malware Scan โดยในบทความนี้จะเป็นการแนะนำวิธีการ ยกระดับความปลอดภัยให้กับ WordPress กับการปรับแต่งค่าเพิ่มเติมเพื่อยกระดับความปลอดภัยให้มากขึ้นไปอีก
ซึ่งในบทความที่แล้วทาง IndyDiary.com ได้แนะนำการปรับแต่ง Contact Form 7 กับการป้องกัน Spam โดยหากสนใจสามารถเข้าไปอ่านได้ที่ Contact Form 7 กับการป้องกัน Spam และ บทความ JetPack และ Akismet Anti-Spam สามารถเข้าไปอ่านบทความได้ที่ JetPack และ Akismet Anti-Spam โดยบทความนี้เราจะมาแนะนำการปรับแต่ง Wordfence เพื่อยกระดับความปลอดภัยให้กับ WordPress ของเรา
Wordfence Security คืออะไร
เป็นปลั๊กอิน WordPress รักษาความปลอดภัยที่ช่วยให้คุณปกป้องเว็บไซต์ของคุณจากภัยคุกคามด้านความปลอดภัย เช่น การแฮ็คมัลแวร์ การโจมตี DDOS และ การโจมตีแบบ Brute Force Protection มาพร้อมกับเว็บไฟร์วอลล์ ซึ่งกรองการรับส่งข้อมูลทั้งหมดไปยังเว็บไซต์ของคุณและบล็อกคำขอที่น่าสงสัย สรุปง่ายๆมันก็คือ Web Application Firewall นั่นเอง
การปรับแต่ง Wordfence Security
ในบทความนี้จะไม่ได้เขียนในส่วนของการ ติดตั้งใชงาน Plugin แต่ทาง IndyDiary.com จะแนะนำในส่วนของการปรับแต่ง เพื่อยกระดับความปลอดภัยให้กับ Website มากยิ่งขึ้น โดยการปรับแต่งให้เลือกที่เมนู Wordfence > All Options โดยทาง IndyDiary.com จะอธิบายดังนี้
Brute Force Protection
เพื่อป้องกันการ Brute Force Password กับเว็บไซต์เรามากเกินไป ทาง Indydiary.com แนะนำให้ลองปรับแต่งเพิ่มเติมดังนี้ เนื่องจากคาเริ่มต้นกำหนดไว้ 20 ครั้งแล้วเริ่ม Block แต่ทาง Indy แนะนำให้ปรับแต่งซัก 5 ครั้งพอ
- Lock out after how many login failures ให้ตั้งค่าไว้ 5 ครั้งพอ เพราะคงไม่มีใครเข้ามา Login เว็บตัวเองผิดเกิน 5 ครั้งแน่นอน
- Lock out after how many forgot password attempts แนะนำ 5 ครั้ง
- Count failures over what time period 1 วัน เหตุผลคือให้แบนไปเลย 1 วัน เพื่อลดการเข้ามา Spam ในอนาคน
- Amount of time a user is locked out 1 วัน
- Immediately lock out invalid usernames แนะนำให้เลือกเมนูนี้ หากมีการพยายาม Login ด้วย user ที่ไม่อยู่ใน WordPress ให้ Logout เลย
Login Security Settings
เป็นการปรับแต่งเพื่อทำ 2FA กับทาง Google Authentication เป็นการยื่นยันตัวตนก่อนเข้าระบบอีกครั้ง ซึ่งแน่นอนเจ้าของเว็บไซต์สามารถเข้าใช้งานได้อยู่แล้ว เพราะเรามี Key 2FA ส่วน Hacker ก็จะ Access ไม่ได้ โดยขั้นตอนจะอ้างอิงจาก Wordfence Website เลย โดนขั้นตอนการทำ 2FA ตาม VDO
จาก VDO แนะนำให้ทำ Enable reCAPTCHA on the login and user registration pages โดยบทความการสมัคร Google reCAPTCHA อยู่ในบทความการตั้งค่า ความปลอดภัยให้กับ Contact form 7 โดยเราจะนำค่า API มาใส่ เพื่อให้เกิด reCAPTCHA เวลามีคนพยายาม Login เว็บของเราแบบสแปม หรือ Hack และที่สำคัญเราจะได้ลดการลง Plugins reCAPTCHA ลงอีก 1 ตัว
Wordfence กับการ Scan หาช่องโหว่
เป็นการ Scan ตัวเว็บไต์ของเรา หรือ Blog เพื่อหาช่องโหว โดยปกติ Wordfence จะทำการ Scan ให้อัตโนมัติอยู่แล้ว เราจะใช้การ Scan ในกรณีที่เราสงสัยว่า Blog ของเราจะโดน Hack หรือ เราใช้ Plugin ที่อยู่นอกเหนือจาก WordPress ซึ่งการใช้งานเมนูนี้ก็ไปที่ Wordfence > Scan และ กด Start Scan
สรุป
Wordfence เป็น Web Application Firewall อีกตัวที่น่าสนใจแค่ Version Free ก็เพียงพอต่อการใช้งานแล้ว และเป็นการยกระดับความปลอดภัยให้กับ Website หรือ Blog ของเราอีกด้วย ป้องกัน Hacker เข้ามา Hack เว็บของเรา ทำให้ Web/Blog ของเราออนไลน์ได้อย่างนิ่ง