WordPress Security plugin ก็ของมันต้องมี

WordPress Security Plugin ก็ของมันต้องมี มีติดไว้ ปลอดภัยกว่า

เรื่องของ Security ยุคนี้มองข้ามกันไม่ได้เลยทีเดียว ผู้บุกรุกเยอะมาก พยายามกันทุกวิธีทาง ทุกหนทาง หลอกกันทุกรูปแบบจริงๆ ดังนั้น เมื่อเราทำการติดตั้ง WordPress เรียบร้อยแล้ว Set ค่าต่างๆ ของเว็บไซต์ อย่างที่ต้องการแล้ว ก็ต้องจัดการเรื่องของ Security ในทันที อย่าปล่อยทิ้งเอาไว้เนิ่นนาน ไม่เป็นผลดีอย่างแน่นอน ซึ่ง WordPress Plugin ที่เกี่ยวข้องกับเรื่องของ Security มีมากมายหลายตัว ให้เราเลือกใช้งานได้ตามความพอใจ และในวันนี้จะนำเสนอ Plugin ตัวที่ชื่นชอบ และใช้งานได้ดี นั่นก็คือ All In One WP Security & Firewall

เล่าให้ฟัง ครั้งหนึ่งเมื่อนานมาแล้ว นานหลายปี แต่ไม่ถึง 5 หรอกนะ เคยติดตั้งเว็บไซต์ WordPress ไว้เล่นๆ บน Host กะว่า เดี๋ยวค่อยมาติดตั้ง Plugin ต่างๆ ในภายหลัง เพราะมืดค่ำแล้ว ง่วงนอน ปรากฏว่า 2 วันให้หลัง เพิ่งจะรู้ตัวว่าเว็บไซต์ของเราถูกเจาะเรียบร้อย พร้อมกับแปะไว้หน้าแรกเลยว่า โดน Hack แล้วนะ แม้จะใช้ WordPress Version ล่าสุดในเวลานั้นก็ตาม น่าจะเป็นเพราะ admin user ยังใช้ค่าตั้งต้น หรือ default ของระบบ ชื่อ admin ก็เลยง่ายในการเจาะ แม้จะไม่ได้ตั้ง Password ง่ายๆ อย่าง 123456 ก็ตาม สุดท้าย จึงลบไฟล์ WordPress ทิ้งทั้งหมด เพราะอาจจะถูกฝัง backdoor ไว้อีก ตั้งแต่นั้นมาเลยจำเป็นบทเรียน ติดตั้ง WordPress เสร็จ ก็จะติดตั้ง Security Plugin ทันที

Security Plugin ไม่ใช่ผู้วิเศษ ที่จะหยุดยั้ง บรรดาผู้บุกรุกได้อย่างราบคาบ หมดจดแต่อย่างใด เพียงแค่ช่วยลดความเสี่ยงลงเท่านั้น เพราะ Plugin ที่เราติดตั้งไว้ โดยเฉพาะที่หมดอายุไปแล้ว เก่ามากแล้ว ไม่มีการ Update ใดๆ ยิ่งตอนนี้ เป็นช่วงเปลี่ยนผ่าน PHP เวอร์ชั่น 5.x ไป 7.x ด้วยแล้ว Plugin เก่าๆ ก็ยิ่งมีความเสี่ยง สรุป แค่ต้องการจะบอกว่า อย่าไว้วางใจ แม้จะติดตั้ง Security Plugin ไปแล้วก็ตาม อ้อ การติดตั้ง Security Plugin แบบฟรีๆ ทั้งหลายนี้ ไม่สามารถยับยั้ง DDOS ได้นะครับ ถ้าโดนโจมตีก็ล่มแน่นอน

Link แปลกปลอมที่ Stats เก็บเอาไว้
Link แปลกปลอมที่ Stats เก็บเอาไว้

ไม่เว้นแม้กระทั่งวันที่เขียนบทความนี้ และติดตั้ง Security Plugin ไว้แล้ว เมื่อกลับไปดู Stat ของ Hosting ก็ยังพบ Link ประหลาดๆ โผล่เข้ามาเป็น Link จากภายนอก ซึ่งทำ link มายังเว็บไซต์ของเรา ซึ่งเดาได้ไม่ค่อยยากว่า จะเป็นอย่างไรถ้าเราคลิกที่ Link นี้ ไปยังเว็บไซต์เหล่านั้น โดยที่เรายัง Login เข้าหน้า Back end ของ WordPress บนเว็บไซต์ของเราค้างเอาไว้อยู่ ชื่อไฟล์มันฟ้องซะขนาดนี้ wp-login.php

เป็นไปได้ว่าเว็บเหล่านั้นจะดักจับ cookie ของเว็บไซต์เรา ที่เรา Login ระบบ Admin ค้างเอาไว้ แล้ว submit ส่งให้ผู้ไม่ประสงค์ดีทันที ที่เราคลิก Link ประหลาดๆ เหล่านั้น ดังนั้น ถ้าเห็น Link ประหลาดๆ ใน Stats ของเรา ก็อย่าคลิกสุ่มห้าสุ่มหกไป บางทีเราก็จะตกหลุมพลางง่ายๆ เหล่านี้ได้เหมือนกัน

เอาล่ะ กลับมายังเรื่องของ Security Plugin ของ WordPress กันต่อ เนื่องจาก Plugin เหล่านี้มีจำนวนมากมายหลายตัว ซึ่งแต่ละตัวนี้ มีผู้นิยมใช้ไม่น้อยเลย ถ้าเราไปค้นหาใน Search engine ก็จะพบกับความเห็นที่หลากหลายมากๆ แนะนำ และโน้มน้าวกันอย่างสนุกสนาน ว่าตัวนั้น ตัวนี้ดี จนกระทั่งบางคนระบุด้วยซ้ำว่า ไม่ต้องติดตั้งหรอก เพราะ Plugin แต่ละตัว ก็มีช่องโหว่ด้วยกันทั้งนั้น ดังนั้น ก็แล้วแต่ท่านๆจะพิจารณากันก็แล้วกัน แต่วันนี้จะแนะนำ All In One WP Security & Firewall อย่างที่กล่าวไว้ว่า ผูกผันกับตัวนี้มาแต่ไหนแต่ไร

Security Plugin มีมากมายอย่างที่เห็น
Security Plugin มีมากมายอย่างที่เห็น

Security Plugin ของ WordPress มีอยู่เป็นจำนวนมากอย่างที่เห็น ที่นิยมที่สุดก็หนีไม่พ้น Wordfence ที่มีผู้ ใช้งานอยู่มากกว่า 1 ล้านเว็บ ส่วน All In One WP Security & Firewall มีอยู่ 7 แสนเว็บ ซึ่งก็ไม่น้อยกว่ากันนัก (เข้าข้างตัวเองน่ะนะ) จัดการติดตั้ง และ Active ได้เลย

หน้า dashboard ของ All In One WP Security & Firewall
หน้า dashboard ของ All In One WP Security & Firewall

เข้ามาสู่หน้า Dashboard เมื่อเราเข้าสู่หน้า Setting ของ Plugin บอกความแข็งแรง ของการตั้งค่า Security เป็นรูปมิเตอร์กลมๆ แบบเข้าใจง่าย ซึ่งขณะนี้ ของผมอยู่ที่ 345 จาก 505 แล้วทำไมไม่ใส่ไปเต็มๆ เอาคะแนนเต็มล่ะ คำตอบคือ ค่อยๆ ลอง ค่อยๆ ทดสอบไปครับ อันไหนไม่เห็นว่า จำเป็น ก็ตัดทิ้งไป ถ้าเราไปตามล่าหาการตั้งค่าใน Internet จาก guru กูรู้ ทั้งหลาย จะพบว่า คำแนะนำแต่ละเว็บไม่ตรงกันเลย นั่นก็เพราะความรู้สึก ความคิดเห็น ของแต่ละคนไม่เหมือนกัน บางคนคิดว่าจำเป็น แต่อีกหลายคนบอกว่า ไม่ช่วยอะไร ก็เลยข้ามไป มันก็เป็นเช่นนั้น ดังนั้น วันนี้จะแนะนำเฉพาะเจาะจงว่า ต้องมี และสมควรปรับตั้งค่าเอาไว้ และเพียงพอ แข็งแรงต่อการบุกรุกแล้ว ส่วนนอกเหนือจากนี้ ขอให้ไปค้นหากันต่อเองแล้วกัน

เริ่มแรก WP Version Info ก่อนเลย
เริ่มแรก WP Version Info ก่อนเลย

WordPress แต่ละเวอร์ชั่น ก็จะมี Bug อยู่อย่างแน่นอน แต่ใครจะรู้ก่อนกันระหว่างผู้พัฒนา กับผู้ไม่หวังดี และรายละเอียด Version ของ WrodPress ที่เราติดตั้งไว้ จะถูกแสดงเอาไว้อยู่ใน Code ของเว็บเราด้วย ดังนั้น เพื่อความมั่นใจว่า ผู้บุกรุก จะไม่สามารถได้ข้อมูล Version ของ WordPress เราไปได้ง่ายๆ ก็ลบ Info ตัวนี้ทิ้งไปซะ ทำเครื่องหมายที่ Remove WP Generator Meta Info แล้วเราจะได้มา 5 คะแนน เป็น 5 เต็ม 5 ซึ่ง All In One WP Security & Firewall จะคิดคะแนนให้ในการตั้งค่าของแต่ละส่วน ถ้าส่วนไหนมีคะแนนมากๆ นั่นหมายความว่า ส่วนนั้น มีความสำคัญมากๆ อย่างตัวอย่างแรกนี้ มีเพียงแค่ 5 คะแนน ซึ่งเป็นคะแนนต่ำสุดของการตั้งค่าแล้ว แสดงว่า ส่วนนี้ไม่สำคัญมาก แต่ก็ลบไปเถอะ เพื่อความสบายใจ

ข้ามไปส่วน Login ก่อน เมนูซ้ายมือ WP Security - User Login
ข้ามไปส่วน Login ก่อน เมนูซ้ายมือ WP Security – User Login

ส่วนแรกที่สมควรจัดการก่อนเพื่อน คือส่วนของการ Login เข้าสู่หน้า Admin ของระบบ หรือ Back end ของระบบ WordPress ซึ่งในส่วนนี้ มีคะแนนถึง 20 คะแนน บ่งบอกได้ว่า สำคัญมาก ดังนั้น อย่านิ่งเฉย เซ็ตค่าตามรูปได้เลย ซึ่งเข้ามาหน้านี้โดยเมนูทางด้านซ้าย WP Security – User Login

คำอธิบายก็คือ Enable Login Lockdown Feature ตัวเลือกนี้ต้องติ๊ก เพื่อจะเปิดใช้งาน ถัดมา Max Login Attempts คือ จำนวนครั้งสูงสุดที่อนุญาตให้ Login ได้ ถ้าเกินจากนี้จะล็อค IP นั้นเอาไว้ (จะบอกว่าตั้งเอาไว้ 3 นี่ บางทีตัวเองยังพลาด โดน Lock IP ไว้เลย ไม่ต้องผู้บุกรุกหรอก เพราะความมือไว รีบพิมพ์ บางทีก็ผิด) ถัดมา Login Retry Time Period (min) ถ้าพยายามลอง Login จนถึงจำนวนครั้งสูงสุดที่อนุญาต ในที่นี้คือ 3 แล้ว และอยู่ภายในระยะเวลาที่กำหนดนี้ ในที่นี้คือ 5 min หรือ 5 นาที ก็จะถูกล็อค IP เช่นกัน ถัดมา Time Length of Lockout (min) เป็นการกำหนดระยะเวลา ให้กับ IP ที่เกิดการ Login ผิดปกติ ไม่สามารถ Login ได้อีก จนกว่าจะพ้นระยะเวลาที่กำหนด ในที่นี้คือ 60 min หรือ 60 นาที นั่นเอง ส่วน Instantly Lockout Invalid Usernames เป็นการกำหนดเอาไว้ว่า ถ้า Username ที่ถูกป้อนในหน้า Login ถูกป้อนมาแบบมั่วๆ เช่น Admin ซึ่งไม่เคย User name นี้ใน database ของเรา ระบบก็จะระงับไป โดยอัตโนมัติ ตัวตั้งค่าสุดท้ายในส่วนนี้ Instantly Lockout Specific Usernames จะเป็นการบอกกับระบบว่า ถ้ามีรายชื่อดังนี้มา Login ในระบบของเรา ก็ให้ระงับไปซะดื้อๆ เลย อย่ารีรอ ใครจะระงับ ไม่ให้ใช้ชื่อ yaya หรือ nadech มา Login เว็บไซต์เราได้ ก็ใส่ไปตรงนี้นะ จากนั้นก็ Save Settings เป็นอันจบ

แถบถัดมา Failed Login Records
แถบถัดมา Failed Login Records

แถบถัดมาเป็น Failed Login Records ซึ่งระบบจะแสดงรายการ IP ที่ Login เข้ามาในช่วงเวลาต่างๆ และ Login ผิด ซึ่งถูกเก็บเป็น Log แบบนี้ให้เราพิจารณา และระมัดระวังตัวเอาไว้

ถัดมา Rename Login Page กับคะแนน 10 เต็ม 10
ถัดมา Rename Login Page กับคะแนน 10 เต็ม 10

Rename Login Page Settings ต้องไปที่ เมนู WP Security – Brute Force , ตามปกติ WordPress จะเข้าสู่หน้า Login ด้วย https://9wit.com/wp-admin แต่ค่านี้เป็นค่าพื้นฐาน ที่ใครๆ ก็รู้ ดังนั้น สมควรเปลี่ยน URL นี้เป็นค่าอื่นๆ ที่ไม่มีใครรู้ รวมไปถึงตัวเรา เอ้ย ผู้บุกรุก ที่ไม่สามารถคาดเดาถูก ติ๊กทำเครื่องหมายที่ Enable Rename Login Page Feature ไว้เลย จากนั้นก็มาเป็นค่าในช่องของ Login Page URL เป็นค่าอะไรก็ได้ ที่เราจะจำได้ และขอให้ยาวพอสมควร และขอร้อง อย่าตั้ง 123456 เป็นอันขาด หรือจะตั้ง whoyouknow ก็ยังได้ ถ้าใครเป็นแฟนพันธุ์แท้ของ แฮรี่พร็อตเตอร์น่ะนะ ตั้งเสร็จแล้วอย่าบอกใครล่ะ แม้กระทั่งตัวเอง เสร็จแล้วก็อย่าลืมคลิกที่ Save Settings

Login Form Captcha Settings พิสูจน์ความเป็นมนุษย์
Login Form Captcha Settings พิสูจน์ความเป็นมนุษย์

ไปที่ WP Security – Brute Force เลือก Tab ชื่อ Login Captcha , คะแนนสูงถึง 20 คะแนน ตรง tab นี้มีให้เลือกหลายตัวเลือก แต่ผมเลือกใช้เพียงตัวเลือกเดียว คือ Login Form Captcha Settings นี้ เมื่อเลือกแล้ว ที่หน้า Login จะปรากฏช่องกรอกข้อมูลใหม่ขึ้นมา เป็นการบวกเลขพื้นฐาน เพื่อพิสูจน์ความเป็นมนุษย์ ไม่ใช่ Robot จำแลงกายมาบุกรุกเว็บของเรา

หน้านี้ ตั้งค่า Firewall
หน้านี้ ตั้งค่า Firewall

หน้านี้ตั้งค่าตามนี้ได้เลยนะครับ และมายังหน้านี้ได้โดย เมนูด้านซ้าย WP Security – Firewall ซึ่ง อันดับแรก Enable Basic Firewall Protection ติ๊กได้เลย อยากรู้ป้องกันอะไรบ้าง คลิกที่ More Info นะ ส่วนถัดมา WordPress XMLRPC & Pingback Vulerability Protection ถ้าใครไม่ได้ใช้ Plugin Jetpack หรือ Plugin ใดๆ ที่เชื่อมต่อกับระบบของ WordPress ของเราก็ปิดเถอะครับ ซึ่ง xmlrpc มันเป็นเหมือนตัวเชื่อมต่อ เป็นรีโมตฟังก์ชั่น ที่ทำให้เราสามารถเรียกใช้งานที่เว็บไซต์ของเรา จากเครื่องอื่น โปรแกรมอื่นๆ ได้ เช่น โปรแกรม จำพวกที่ Post บทความเข้า WordPress ของเราได้ ถ้าไม่ได้ใช้งาน ก็ปิดไปได้เลย โดนจู่โจมกันมามากแล้ว เพราะฟังก์ชั่นตัวนี้ ส่วนถัดมา Block Access to Debug Log File ป้องกันความพยายาม ผู้ไม่หวังดี ตามไปค้นหา Log ของเราเพื่อหาข้อผิดพลาด ช่องโหว่ หรืออื่นๆ

15 คะแนน ในส่วนนี้
15 คะแนน ในส่วนนี้

อย่างที่ได้บอกไปแล้ว User name ที่ใช้ในการ Login ไม่ควรจะเป็น Admin ซึ่ง WordPress เวอร์ชั่นใหม่ๆ ไม่ได้กำหนดให้ Admin เป็นค่าเริ่มต้นให้กับเราแล้ว แต่ถ้าใครยังใช้ ก็สมควรเปลี่ยนทันที ผมไม่ต้องทำอะไรเพิ่มเติม และได้แถบสีเขียวแบบนี้ และมาที่หน้านี้โดย เมนูด้านซ้ายมือ WP Security – User Accounts

ส่วนนี้มีค่าเพียง 5 คะแนน
ส่วนนี้มีค่าเพียง 5 คะแนน

ส่วนนี้เป็นการแก้ไขตัว Display name ซึ่งไม่ควรจะซ้ำกับ User Login เด็ดขาด เพราะจะเป็นตัวเลือกแรกๆ ที่ผู้ไม่หวังดี เลือกมาทดลอง Login เว็บไซต์ของเราเอง Display name เราสามารถไปแก้ไขได้ที่ เมนูด้านซ้าย Users – Your Profile

Nickname ควรเป็นชื่อใดๆ ที่ไม่ตรงกับ Username ซึ่งเป็น Login name เข้าสู่หน้า Admin ของเรา
Nickname ควรเป็นชื่อใดๆ ที่ไม่ตรงกับ Username ซึ่งเป็น Login name เข้าสู่หน้า Admin ของเรา

เราไปแก้ไขได้ที่หน้า Users – Your Profiles ซึ่งเราจะแก้ไขที่ Nickname เป็นชื่ออะไรก็ได้ แต่ต้องไม่ซ้ำกับ Username นะ จากนัั้นก็แก้ Drop down ด้านล่าง ที่เขียนว่า Display name publicly as เป็นชื่อ ที่เราเพิ่งจะตั้งไปล่าสุดนี้ จากนั้นก็ Save ค่าไว้

Display name จะถูกใช้ในหน้าเว็บเราแบบนี้
Display name จะถูกใช้ในหน้าเว็บเราแบบนี้
Database Prefix อีกส่วนหนึ่งที่สำคัญ
Database Prefix อีกส่วนหนึ่งที่สำคัญ

มาถึงเรื่องของ Database กันบ้าง มาที่หน้านี้โดย เมนูทางด้านซ้าย WP Security – Database Security , ตามที่เคยบอกไปแล้ว เมื่อครั้งพูดถึงการติดตั้ง WordPress แบบอัตโนมัติ ซึ่งระบบติดตั้ง จะเลือกใช้ค่า Default ของ WordPress เอง โดยใช้ Prefix ของตาราง Database ทุกตัวเป็น wp_ แต่ผู้บุกรุก ก็รู้เรื่องนี้เช่นกัน ดังนั้น เราควรจะปรับแก้ชื่อตารางใน Database ของเราซะใหม่ เป็นอะไรก็ได้ ที่ไม่ใช่ wp_ อย่างเดิม ซึ่ง Plugin Security ตัวนี้ช่วยท่านได้ เลือกชื่อที่ต้องการแล้ว คลิกที่ Change DB Prefix ได้เลย ถ้าเป็นไปได้ ควรทำตามคำเตือนในกรอบสีแดงๆ นั่นก่อน ซึ่งก็คือการ Backup Database ของเราเอาไว้ เพื่อป้องกันความผิดพลาด

เรื่องของไฟล์ เรื่องสำคัญ
เรื่องของไฟล์ เรื่องสำคัญ

อีกส่วนหนึ่งที่สำคัญมากๆ เช่นกัน กับคะแนนที่มากถึง 20 คะแนน มาที่หน้านี้โดย เมนูด้านซ้าย WP Security – Filesystem Security , ในตารางนี้ จะแสดงค่าของ Current Permission กับ Recommended Permissions ที่ถูกตั้งไว้สำหรับไฟล์ และโฟลเดอร์ต่างๆ ใน hosting ของเรา ถ้าบรรทัดไหน มีค่าของ Current Permissions ไม่ตรงกับ Recommended Permissions ก็จะมีปุ่ม สีเทาๆ ขึ้นมาข้างหลัง เมื่อเราคลิกที่ปุ่ม ระบบก็จะจัดการแก้ไขค่า Permission ให้กับเราตามค่า Recommended อย่างที่เห็น แต่สำหรับ บรรทัดแรก root directory นั้น Hosting แต่ละแห่ง จะมีตั้งค่าไว้ไม่ตรงกัน บางแห่งก็ตั้งเป็น 0750 แบบนี้ บางแห่งก็เป็น 0755 แต่ถ้านอกเหนือจากสองค่านี้ ก็คลิกที่ปุ่มเทาๆ เถอะครับ ผิดปกติแล้ว

สุดท้าย จบบทความเรื่องความปลอดภัย หรือ Security ของ WordPress แบบเบื้องต้นเอาไว้เพียงเท่านี้ก่อน WordPress Security Plugin ยังมีอยู่อีกมาก วันหลังจะนำมาเปรียบเทียบ และหาคำแนะนำ ใครว่าอะไร กล่าวถึงไว้อย่างไรบ้าง มาให้อ่านกันอีกครั้ง สำหรับวันนี้ ขอจบเรื่องเครียดๆ ไว้เพียงเท่านี้ครับ

Leave a Comment

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

5 × four =

This site uses Akismet to reduce spam. Learn how your comment data is processed.