ก่อนหน้านี้ผมใช้ plugin ที่ชื่อ “All In One WordPress Security” ซึ่งเป็นเครื่องมือช่วยป้องกันเว็บ (เขียนด้วย WordPress) จากการถูกโจมตีหรือถูกเจาะระบบ ซึ่งพบว่าทำงานได้ถูกใจระดับหนึ่ง
แต่พอมาลองใช้?
“iThemes Security (formerly Better WP Security)” ผมกลับชอบมากกว่า เพราะมันสามารถป้องกันการถูกบุกรุกได้มากกว่า 30 วิธี
สำหรับฟีเจอร์เจ๋ง ๆ ของตัวนี้มีเยอะ ผมเลยแปลมาให้อ่าน (อาจจะงง ๆ นิดหน่อย เพราะศัพท์เทคนิคเยอะ) อาทิเช่นObscure (ปิดบังอำพราง)
- เปลี่ยน url หน้า dashboard ของ WordPress รวมทั้งหน้า login, admin และอื่น ๆ
- ไม่ให้ login เข้าสู่ระบบ ภายในช่วงระยะเวลาหนึ่ง (เรียกว่า away mode)
- เอา? meta “Generator” tag ออกไป
- ยกเลิกการแจ้งเตือน เรื่องการอัพเดต theme, plugin และอัพเดต core แก่ผู้ใช้ซึ่งไม่มีสิทธิอัพเดตมัน
- ลบข้อมูล Windows Live Write header ออกไป
- ลบข้อมูล RSD header ออกไป
- เปลี่ยนชื่อบัญชี “admin”
- เปลี่ยนค่า ID ของ user ที่มี ID เป็น 1
- เปลี่ยนคำนำหน้า (prefix) ของตารางในฐานข้อมูล WordPress
- เปลี่ยนชื่อไดเรคเทอรี่ของ wp-content (หรือ?wp-content path)
- ลบข้อความ error จากการ login
- แสดงหมายเลขเวอร์ชั่นแบบสุ่ม แก่ผู้ใช้ที่ไม่ได้เป็นผู้บริหารระบบ (administrative)
Protect (ป้องกัน)
- สแกนเว็บเรา พร้อมรายงานช่องโหว่ และวิธีการแก้ไขทันทีภายในไม่กี่วินาที
- ทำการแบน (ban) พวก user agents, พวกบ็อท (bots) และ โฮส (hosts) อื่น ๆ ที่มาสร้างปัญหา
- ป้องกันการโจมตีแบบ brute force attacks ด้วยการแบนโฮส และ users ซึ่งพยายาม login แบบผิด ๆ เข้ามาหลาย ๆ ครั้ง
- เสริมสร้างความปลอดภัยแก่ server
- บังคับให้ทุก passwod ของทุก account ต้องมีความแข็งแกร่ง (strong passwords) ตามข้อกำหนดขั้นต่ำ
- บังคับให้มี SSL สำหรับหน้า admin (Server ต้องสนับสนุน)
- บังคับให้มี SSL สำหรับหน้าใด? ๆ ของเพจ (page) หรือกระทู้ (Server ต้องสนับสนุน)
- ห้ามแก้ไขไฟล์ที่อยุูภายใต้พื้นที่การดูแลของ admin ระบบ WordPress
- ตรวจจับและป้องกัน การโจมตีจำนวนมากที่มายัง filesytem และฐานข้อมูล
Detect (ตรวจับ)
- ตรวจจับบ็อท (bots) และความพยายามใด ๆ ที่จะค้นหาช่องโหว่เว็บเรา
- มอนิเตอร์ filesytem ที่มีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
- รับ การแจ้งเตือนทางอีเมล์ เมือมีใครสักคนถูกล็อก (locked) หลังจากจากพยายาม login เข้ามาผิด ๆ หลาย ๆ ครั้ง หรือไฟล์ในเว็บเราถูกแก้ไขเปลี่ยนแปลง
Recover (กู้คืน)
- มีการสำรองข้อมูล (backup) อย่างครบถ้วน และความสามารถกู้คืน หรือการเคลื่อนย้าย WordPress อย่างสะดวก
ประโยชน์อื่น ๆ
- ทำ ให้ผู้ใช้งานที่ไม่คุ้นเคยกับ WordPress สามารถจดจำ Login และ URL ของผู้ดูแลระบบ (admin) ได้ง่าย เนื่องจากมันสามารถปรับแต่งเปลี่ยนชื่อ URL ตั้งต้นของ Admin ได้
- ตรวจับ 404 errors ที่หลบ ๆ ซ่อน ๆ อยู่ในเว็บเรา ซึ่งจะมีผลต่อการทำ SEO ของเรา ดังเช่น ลิงค์ (link) เสีย และรูปภาพหายไป
- ลบ jQuery รุ่นที่ใช้อยู่ออกไป และแทนที่รุ่นที่ปลอดภัย (เป็นรุ่นเริ่มต้นที่มาพร้อมกับ WordPress)
… และความสามารถอื่น ๆ อีกตั้งมากมายถ้าใครสนใจเกี่ยวกับความปลอดภัย เดี่ยวบทความหน้า ผมจะมาแนะนำการใช้งานฟีเจอร์สำคัญ ๆ ต่อนะครับ
อ้างอิง https://wordpress.org/plugins/better-wp-security/ที่มา:
http://www.patanasongsivilai.com/blog/ithemes-security-%E0%B8%95%E0%B8%AD%E0%B8%99%E0%B8%97%E0%B8%B5%E0%B9%88-1/