iThemes Security ตอนที่ 1

ก่อนหน้านี้ผมใช้ plugin ที่ชื่อ “All In One WordPress Security” ซึ่งเป็นเครื่องมือช่วยป้องกันเว็บ (เขียนด้วย WordPress) จากการถูกโจมตีหรือถูกเจาะระบบ ซึ่งพบว่าทำงานได้ถูกใจระดับหนึ่ง

แต่พอมาลองใช้?“iThemes Security (formerly Better WP Security)” ผมกลับชอบมากกว่า เพราะมันสามารถป้องกันการถูกบุกรุกได้มากกว่า 30 วิธี

ithem securityinstall

สำหรับฟีเจอร์เจ๋ง ๆ ของตัวนี้มีเยอะ ผมเลยแปลมาให้อ่าน (อาจจะงง ๆ นิดหน่อย เพราะศัพท์เทคนิคเยอะ) อาทิเช่น

Obscure (ปิดบังอำพราง)

  • เปลี่ยน url หน้า dashboard ของ WordPress รวมทั้งหน้า login, admin และอื่น ๆ
  • ไม่ให้ login เข้าสู่ระบบ ภายในช่วงระยะเวลาหนึ่ง (เรียกว่า away mode)
  • เอา? meta “Generator” tag ออกไป
  • ยกเลิกการแจ้งเตือน เรื่องการอัพเดต theme, plugin และอัพเดต core แก่ผู้ใช้ซึ่งไม่มีสิทธิอัพเดตมัน
  • ลบข้อมูล Windows Live Write header ออกไป
  • ลบข้อมูล RSD header ออกไป
  • เปลี่ยนชื่อบัญชี “admin”
  • เปลี่ยนค่า ID ของ user ที่มี ID เป็น 1
  • เปลี่ยนคำนำหน้า (prefix) ของตารางในฐานข้อมูล WordPress
  • เปลี่ยนชื่อไดเรคเทอรี่ของ wp-content (หรือ?wp-content path)
  • ลบข้อความ error จากการ login
  • แสดงหมายเลขเวอร์ชั่นแบบสุ่ม แก่ผู้ใช้ที่ไม่ได้เป็นผู้บริหารระบบ (administrative)

Protect (ป้องกัน)

  • สแกนเว็บเรา พร้อมรายงานช่องโหว่ และวิธีการแก้ไขทันทีภายในไม่กี่วินาที
  • ทำการแบน (ban) พวก user agents, พวกบ็อท (bots) และ โฮส (hosts) อื่น ๆ ที่มาสร้างปัญหา
  • ป้องกันการโจมตีแบบ brute force attacks ด้วยการแบนโฮส และ users ซึ่งพยายาม login แบบผิด ๆ เข้ามาหลาย ๆ ครั้ง
  • เสริมสร้างความปลอดภัยแก่ server
  • บังคับให้ทุก passwod ของทุก account ต้องมีความแข็งแกร่ง (strong passwords) ตามข้อกำหนดขั้นต่ำ
  • บังคับให้มี SSL สำหรับหน้า admin (Server ต้องสนับสนุน)
  • บังคับให้มี SSL สำหรับหน้าใด? ๆ ของเพจ (page) หรือกระทู้ (Server ต้องสนับสนุน)
  • ห้ามแก้ไขไฟล์ที่อยุูภายใต้พื้นที่การดูแลของ admin ระบบ WordPress
  • ตรวจจับและป้องกัน การโจมตีจำนวนมากที่มายัง filesytem และฐานข้อมูล

Detect (ตรวจับ)

  • ตรวจจับบ็อท (bots) และความพยายามใด ๆ ที่จะค้นหาช่องโหว่เว็บเรา
  • มอนิเตอร์ filesytem ที่มีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
  • รับการแจ้งเตือนทางอีเมล์ เมือมีใครสักคนถูกล็อก (locked) หลังจากจากพยายาม login เข้ามาผิด ๆ หลาย ๆ ครั้ง หรือไฟล์ในเว็บเราถูกแก้ไขเปลี่ยนแปลง

Recover (กู้คืน)

  • มีการสำรองข้อมูล (backup) อย่างครบถ้วน และความสามารถกู้คืน หรือการเคลื่อนย้าย WordPress อย่างสะดวก

ประโยชน์อื่น ๆ

  • ทำให้ผู้ใช้งานที่ไม่คุ้นเคยกับ WordPress สามารถจดจำ Login และ URL ของผู้ดูแลระบบ (admin) ได้ง่าย เนื่องจากมันสามารถปรับแต่งเปลี่ยนชื่อ URL ตั้งต้นของ Admin ได้
  • ตรวจับ 404 errors ที่หลบ ๆ ซ่อน ๆ อยู่ในเว็บเรา ซึ่งจะมีผลต่อการทำ SEO ของเรา ดังเช่น ลิงค์ (link) เสีย และรูปภาพหายไป
  • ลบ jQuery รุ่นที่ใช้อยู่ออกไป และแทนที่รุ่นที่ปลอดภัย (เป็นรุ่นเริ่มต้นที่มาพร้อมกับ WordPress)

… และความสามารถอื่น ๆ อีกตั้งมากมาย

ถ้าใครสนใจเกี่ยวกับความปลอดภัย เดี่ยวบทความหน้า ผมจะมาแนะนำการใช้งานฟีเจอร์สำคัญ ๆ ต่อนะครับ

อ้างอิง https://wordpress.org/plugins/better-wp-security/

เขียนโดย แอดมินโฮ โอน้อยออก