แนะนำ Wordpress Plugin ช่วยเพิ่มการป้องกันเว็บโดนแฮก

สำหรับคนที่ใช้ WordPress แล้วติดตั้ง Plugin ที่ชื่อ Limit Login Attempts หากเคยกดเข้าไปดู Total lockouts และ IP Log อาจจะต้องตกใจ เพราะพบว่า ทำไมมีคนพยายามล๊อกอินเข้าเว็บของเราเยอะจัง … ซึ่งผมเองพบเจอกับปัญหานี้เช่นกัน

หลายท่านอาจจะคิดว่ามีคนกลั่นแกล้ง แต่ในความเป็นจริงแล้ว อาจจะไม่ใช่คนทั่วไป หากแต่เป็น Hacker ที่เค้าใช้วิธีการที่เรียกว่า Brute Force Attack ซึ่งเป็นการ สร้าง BOT ขึ้นมา เพื่อพยายามจะล็อกอินเข้าเว็บ WordPress ของเรา ด้วย การสุ่มเดารหัสผ่าน ซึ่งวิธีการนี้ ถือเป็นวิธีการแฮกยอดนิยมวิธีหนึ่งของเหล่าบรรดา Hacker

ในฐานะที่ผมเป็นแค่ผู้ใช้งาน WordPress ธรรมดาๆ คนหนึ่ง ที่ไม่ได้มีความรู้ด้านระบบ Security ไม่รู้ด้าน Hosting / Network หรือ แม้กระทั่งการเขียนโปรแกรม … การให้ไปทำความเข้าใจพวก Script หรือ Code ไฟล์ต่างๆ จึงไม่ใช่เรื่องง่ายเลย ผมจึงพยายามหาวิธีที่ง่ายๆ (แต่ลองแล้วได้ผล) นั่นคือ การเลือกติดตั้ง Plugin ต่างๆของ WordPress เพื่อช่วยลดปัญหาการโดนโจมตีและเพิ่มประสิทธิภาพในการป้องกัน

วันนี้ผมจะมาขอแชร์ประสบการณ์จากการลองผิดลองถูก ในการหาทาง ป้องกันการโดนแฮกเว็บโดยวิธีสุ่มรหัสผ่าน (Brute Force Attack) นี้ ให้ท่านทั้งหลายได้ลองนำไปใช้ดูนะครับ

(มันอาจจะป้องกันไม่ได้ 100% แต่ผมเชื่อว่า จะช่วยลดอัตราลงได้เป็นอย่างมาก เพราะได้ทดสอบดูแล้ว)

แต่ก่อนอื่นผมอยากให้ท่านทั้งหลายได้อ่านวิธี ► ตั้งค่าความปลอดภัยให้เวิร์ดเพรส ก่อน (จากเว็บของ อาจารย์เม่น)

เมื่อท่านอ่านแล้ว จะได้เรียนรู้ถึง วิธีการเบื้องต้นที่จำเป็น นั่นก็คือ

1. ตั้งรหัสผ่านให้ยาก

2. พยายามหลีกเลี่ยงการใช้ user name ชื่อ “admin” (ตอนติดตั้ง WordPress ควรกำหนดเป็นชื่ออื่น)

(แต่จากประสบการณ์ส่วนตัว ยังไง Hacker ก็เดา user name เราได้อยู่ดี โดยดูจาก post author นะ)

ในความเป็นจริง ยังมี Plugin และวิธีการอื่นๆอีกมากมาย ที่ช่วยป้องกัน แต่ผมจะมาแนะนำเฉพาะวิธีการส่วนตัวที่ผมใช้นะครับ ว่าผมได้ติดตั้ง Plugin ตัวไหนไป แล้วเห็นผลที่ดี ในระดับหนึ่งนะ (จากที่ทดลองมาแล้วด้วยตัวเอง)

แนะนำ Plugin ช่วยป้องกัน WordPress จาก Brute Force Attack

1. ติดตั้ง Plugin – “Limit Login Attempts“

เจ้าปลั๊กอินตัวนี้ จะทำให้ WordPress จำกัดการล๊อกอิน ต่อ 1 ไอพี เช่น หากใส่รหัสผิดเกิน 3 ครั้ง (หรือแล้วแต่กำหนด) ระบบจะแบนการล็อกอินที่มาจาก IP นั้นทันที 24 ชั่วโมง (ต้องรอครบกำหนดเวลาถึงจะล็อกอินใหม่ได้) นอกจากนี้มันยังแสดง IP ให้เราเห็นด้วยว่า การล็อกอินที่ใส่รหัสผิดนั้นมาจาก IP อะไร (นี่เองเป็นสาเหตุให้ผมต้องมานั่งหาวิธีการป้องกัน เห็นแล้วมันจิตตก)

“แม้ว่าเราจะจำกัดจำนวนครั้งในการใส่ Password แล้วก็ตาม และต่อให้แบน IP ไปแล้วก็ตาม แต่ปกติแล้ว Hacker นั้น จะมี Bot อยู่ด้วยกันหลายไอพี นั่นหมายถึง ต่อให้ IP โดนแบนเค้าก็ใช้ IP ใหม่ ล็อกอินสุ่มเข้ามาได้อีกเรื่อยๆ“

2. ติดตั้ง Plugin – “Lockdown WP Admin“

ปลั๊กอินตัวนี้ จะทำให้เราสามารถเปลี่ยนหน้า Login จากปกติ คือ /wp-admin/ เป็น /xxxxxx/ ได้ (ตั้งชื่อ URL login ของเราเอง) ก็จะช่วยลดอัตราการโดนโจมตีได้ในระดับหนึ่ง โดยเราจำเป็นต้อง กดติ๊กถูกช่อง “Hide WP Admin” แล้วทำการตั้งค่า WordPress Login URL ใหม่เอง

“แต่ยังไงเสีย ต่อให้เราเปลี่ยนชื่อ Login เป็นอะไรก็ตาม สุดท้ายหาก Hacker ที่เก่งๆเค้าก็จะล็อกอินผ่าน /wp-login.php/ แทนได้อยู่ดี“

3. ติดตั้ง Plugin – “Google Captcha“

เจ้าปลั๊กอินนี้ ชื่อเต็มคือ Google Captcha (reCAPTCHA) by BestWebSoft ถือว่าเป็นตัวที่ช่วยเราได้มากยิ่งขึ้นไปอีกระดับหนึ่ง โดยสามารถ Login form , Registration form , Reset password form , Comments form และ Contact Form

“เราจำเป็นต้อง ทำการ Authentication ก่อน โดยการ Register กับ Google เพื่อนำ “Site Key” และ “Secret Key” มาทำให้ Plugin ทำงาน (ในหน้า Setting จะมีลิงค์ “here” ให้คลิกเข้าไปทำการ register)“

* ถ้าติดตั้ง 3 ตัวบนแล้วเช็คดูยังมีปัญหายังโดนสุ่ม Login อยู่ให้ทำการติด Plugin ตัวที่ 4 ต่อ

4. ติดตั้ง Plugin – “Jetpack“

Jetpack by WordPress.com ถือปลั๊กอินยอดฮิตอีกตัวที่ความสามารถครอบจักรวาล ซึ่งแน่นอนว่า ในส่วนของ Security นี้ Jetpack ก็จะมีให้เราตั้งค่า Prevent brute force attacks ด้วยเช่นกัน โดยเราจำเป็นต้องไปกด ACTIVE ในส่วนของ Protect เท่านั้นเอง (ง่ายและสบาย) ..

“ก่อนใช้งาน Jetpack คุณต้องมี Account ของ WordPress.com เสียก่อน และทำการเชื่อมต่อ เว็บของคุณกับ WordPress.com ถึงจะใช้งานได้“

* ถ้าติดตั้ง 4 ตัวบนแล้วเช็คดูยังมีปัญหายังโดนสุ่ม Login อยู่ให้ทำการติด Plugin ตัวที่ 5 ต่อ

5. ติดตั้ง Plugin – “Wordfence Security“

Wordfence เป็นปลั๊กอินฟรี ที่ช่วยดูแลด้านความปลอยภัยให้กับ WordPress มีลูกเล่นเยอะ และถือว่าใช้งานได้ดีเยี่ยมทีเดียว (แม้ว่า Wordfence มันอาจจะกินทรัพยากรมากไปหน่อยก็ตามที) แถมยังมีระบบแจ้งเตือนการล็อกอิน ส่งให้เราทางอีเมล์อีก

“ที่ผมตั้งค่าไว้ คือ จะติ๊กถูกตรง Basic Options ทั้ง 3 อันเลย คือ Enable firewall , Enable login security และ Enable Live Traffic View“

* การติดตั้ง Wordfence อาจจะทำให้เว็บมีอาการโหลดช้าลงได้ เพราะมีการเรียกใช้ทรัพยากรค่อนข้างเยอะ

ผลจากการติดตั้งและ Activate ปลั๊กอิน 5 ตัวข้างต้น ทำให้ช่วยลดอัตราการโจมตีจากการสุ่มรหัสผ่าน (Brute Force Attack) บนเว็บไซต์ที่ผมดูแลอยู่ ไปได้มากทีเดียว … จึงอยากนำมาแชร์ให้ทุกท่าน ที่อาจจะโดนโจมตี หรือยังไม่รู้ว่าตัวเองโดนโจมตี ได้ทดลองนำไปใช้กับเว็บไซต์ของท่านดูครับ

JoJho
คนทำเว็บนอกคอก

แถมอีกนิด: สำหรับเว็บใหญ่ๆ อาจจะโดนถล่มจาก Robot ได้ ผมเองมีประสบการณ์ และได้ใช้ วิธีการ Block Bot โดยเข้าไปแก้ติดตั้ง Code ในไฟล์ .htaccess ที่ พี่ต่อ (Satit Tdelphi Thongcheen) อดีต Admin ของ ThaiSEOBoard ได้แนะนำไว้ ซึ่งได้ผลดีมากๆ

คุณ Pittayut Kongpoung (Meaw IE) ได้นำมาโพสไว้ ในบล็อกของท่าน passiveincome.in.th

ขอขอบคุณทั้ง พี่ต่อและคุณเหมี่ยว ครับ ดู Code ► วิธี Block Bot ป้องกันเว็บล่มจากการโดน Robot ถล่ม