วิธีการเพิ่มความปลอดภัยเว็บไซต์ Wordprss กับ Hosting
เกือบทุกผู้ใช้บริการ Hosting จะมีการโฆษณาเสมอว่าเป็นระบบความปลอดภัยที่ดีที่สุดสำหรับ WordPress แต่เรายังสามารถเพิ่มความปลอดภัยให้กับเว็บไซต์ของเราได้อีกทาง
1.ป้องกันไฟล์ wp-config.php
ไฟล์ wp-config.php เก็บข้อมูลสำคัญเกี่ยวกับการติดตั้ง WordPress ทั้งหมด เป็นไฟล์ที่มีความสำคัญที่สุดในไฟล์ root directory การป้องกันไฟล์นี้ถือเป็นการเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณด้วย เราจะต้องทำการเพิ่มความยากให้กับ Hacker ไม่เข้าถึงไฟล์นี้ได้ง่าย เราจะต้องทำการย้ายไฟล์ไปยังโฟเดอร์ที่มีความปลอดภัยสูงขึ้น แต่สำหรับคนที่ไม่รู้ว่าไฟล์ wp-config.php อยู่ที่ไหน ให้เราทำการเข้าไปที่การจัดการไฟล์ ของ Hosting จะอยู่ที่ root directory ของไฟล์ WordPress ทั้งหมดที่เราวางไว้
2.ไม่อนุญาตให้แก้ไขไฟล์
ถ้า Admin User ในหน้า Dashboard สามารถแก้ไขไฟล์ได้ที่เป็นไฟล์ในการติดตั้งของ WordPress Theme Plugin ถ้าเราไม่ต้องการให้ใครแก้ไขไฟล์เหล่านี้ได้ ถ้าเกิดเหตุการณ์ที่ Hacker สามารถเขาถึงในส่วนของหน้า Dashboard เขาเราได้ เรามีวิธีป้องกันอย่างไร วิธีในการป้องกันคือให้เราเพิ่มคำสั่งนี้ลงไปในไฟล์ wp-config.php จะทำให้ไม่สามารถแก้ไขไฟล์ได้จากหน้า Dashboard
define('DISALLOW_FILE_EDIT', true);
3.เชื่อต่อกับ Serverv อย่างถูกต้อง
การเชื่อมต่อผ่านช่องทาง SFTP หรือ SSH เท่านั้น SFTP เป็นการเชื่อมต่อที่มีความปลอดภัยที่มีความสูงกว่า FTP แบบเดิม
4.ตั้งค่า Directory Permissions ไฟล์อย่างถูกต้อง
สิทธิ์ในไดเรกทอรีที่ไม่ถูกต้องอาจทำให้เว็บพังได้โดยเฉพาะอย่างยิ่งถ้าเราใช้เว็บ Hosting ร่วมกันหลายเว็บ ให้เราทำการเปลี่ยนสิทธิ์ในการเข้าถึงไฟล์เป็น “775” และไฟล์ “664” จะช่วยป้องกันโฟอเอร์และไฟล์ในโฟเดอร์ทั้งหมด เราสามารถตั้งค่า Permissions ได้จากการจัดการไฟล์ของ Dashboard Hosting หรือในโปรแกรม FTP Server ต่างๆ สำหรับข้อมูลเพิ่มเติมดูได้จากเว็บของ WordPress Changing File Permissions
5.ป้องกันรายชื่อ directory listing ด้วย .htaccess
สำหรับโดยปกติถ้าเราเพิ่มโฟเดอร์ในเว็บไซต์ของเรา และถ้าเว็บไซต์ไม่มีไฟล์ index.html เว็บจะแสดงโฟเดอร์ทั้งหมดของเว็บไซต์เราและเข้าถึงได้เหมือนเป็นเจ้าของเว็บไซต์ เช่น “https://www.example.com/data/” ในเว็บบราว์เซอร์ เราจะเข้าถึงไฟล์โดยไม่ต้องมีรหัสผ่านอะไรเลย แต่เราจะป้องกันแบบนี้ได้อย่างไร เราสามารถเพิ่มคำสั่งลงในไฟล์ .htaccess
Options All -Indexes
6.Block all hotlinking
ถ้ามีการค้นหารูปภาพออนไลน์และไปเจอภาพในเว็บเราและเขาจ้องการแชร์ภาพนั้นไปเป็นของเขาเขาต้องได้รับการอนุญาตหรือจ่ายเงินให้กับภาพนั้นก่อน แต่ถ้าไม่มีการป้องกันเขาจะเข้าถึงไฟล์เหล่านี้ได้โดยตรง และนำภาพนั้นไปใช้ในพื้นที่อื่นๆด้วย จากเหตุการณ์ที่เกิดขึ้นนี้เห็นได้เลยว่าเราไม่สามารถควบคุมรูปภาพของเราได้เลย แต่ถ้าเรากำลังต้องการแก้ปัญหาการเชื่อมต่อแบบ hotlinking ป้องกันการขโมยรูป และลด bandwidth ของเซิร์ฟเวอร์ เราสามารถจะใช้ปลั๊กอิน All in One WP ช่วยในการตั้งค่านี้ได้ เพื่อปิดกันการเชื่อมต่อทั้งหมด
7.ป้องกัน DDoS attacks
การโจมตีแบบ DDoS เป็นการโจมตีแบบที่จะมีการส่ง bandwidth จำนวนมากเข้ามาที่เว็บไซต์ขอเรา ถึงแม้การโจมจีนี้จะไม่ส่งผลเสียต่อไฟล์ในเว็บไซต์แต่ จะทำให้ผู้ใช้งานไม่สามารถเข้าเว็บไซต์ได้ถ้าเป็นเว็บไซต์ บริษัท เว็บขายของออนไลน์ หรือเว็บอื่นๆ จะทำให้เกิดความเสียหายจำนวนมาก เพราะจะเสียโอกาสทางการค้าไป ส่วนใหญ่เหตุการณ์แบบนี้จะเกิดจาดกลุ่มผู้ก่อการร้ายในโลกไซเบอร์ มีแรงจุงใจบางอย่างเพื่อสร้างความเสียหายให้กับเจ้าของเว็บไซต์ สำหรับการป้องกันนี้ ผมแนะนำให้ใช้ Cloudflare หรือ Sucuri firewalls เพื่อป้องกัน bandwidth และ block out DDoS attacks ก่อนที่จะมีการเข้ามาถึงเว็บไซต์
