แม้ว่าระบบ WordPress จะมีความปลอดภัยในตัวมันเองสูง แต่อย่างที่เราทราบกันอยู่ว่าระบบมักจะมีการอัพเดตเรื่องความปลอดภัยอยู่เสมอ ซึ่งเพื่อความปลอดภัยที่มากยิ่งขึ้นเราควรจำเป็นต้องมีตัวปกป้องจากแฮกเกอร์ ไวรัส และภัยคุกคามอื่นๆ ที่อาจเกิดขึ้น วิธีหนึ่งคือการใช้ปลั๊กอินด้านความปลอดภัยครับ
ทำความรู้จักปลั๊กอิน All-In-One Security (AIOS)
ปลั๊กอิน All-In-One Security (AIOS) – Security and Firewall จากค่าย All In One WP Security & Firewall Team เป็นปลั๊กอินช่วยดูแลด้านความปลอดภัยแจกฟรีที่ออกแบบมาโดยเฉพาะสำหรับ WordPress เป็นปลั๊กอินจากทีมงานที่ผลิตปลั๊กอินแบ็คอัพชื่อดังอย่าง UpdraftPlus ปลั๊กอิน All-In-One Security มียอดติดตั้งไปกว่า 1 ล้านครั้ง เรทติ้ง 5 ดาว เรียกว่าคะแนนโหดจัดกันเลยทีเดียว ส่วนใหญ่ที่ได้รับความนิยิมเพราะใช้งานง่ายและส่วนที่ใช้งานฟรีทำอะไรได้ค่อนข้างเยอะ
ฟีเจอร์ที่น่าสนใจ
All-In-One Security มีเครื่องมือรักษาความปลอดภัยในการล็อคอินเข้าสู่ระบบ เพื่อป้องกันบอทและปกป้องการโจมตีแบบ brute force มีระบบ Firewall เพื่อป้องกันภัยคุกคามแบบอัตโนมัติ และยังมีคุณสมบัติการป้องกันเนื้อหา กำจัดสแปมที่เข้ามาในความคิดเห็นและป้องกันไม่ให้เว็บไซต์อื่นขโมยเนื้อหาของเราด้วยคุณสมบัติอย่าง การป้องกัน iFrame และการป้องกัน copywriting เดี๋ยวเราจะไปโฟกัสส่วนที่น่าสนใจกันทีละจุดเลยนะครับ
User Security
ป้องกันการโจมตีแบบ Brute Force และป้องกัน Bot All-In-One Security นำคุณสมบัติรักษาความปลอดภัยในการเข้าสู่ระบบเริ่มต้นของ WordPress ไปสู่ระดับใหม่ทั้งหมด
เปลี่ยนชื่อ admin ให้เป็นชื่ออื่น เนื่องจากคาดเดาง่ายเกินไป
ระบบรักษาความปลอดภัยตอน Login เข้าสู่ระบบ
– กำหนดระยะเวลาล็อคการเข้าสู่ระบบ ถ้า user ภายนอกพยายามจะ Login เข้าสู่ระบบหลายครั้งแต่ไม่สำเร็จ และเราสามารถล็อค username ที่ผิดปกติ และปลดล็อคได้
– Force Logout สั่งให้ User ล็อคเอาท์อัตโนมัติหลังจากเข้าเว็บไปแล้วกี่นาทีได้
– Currently logged in users สามารถตรวจเช็คได้ว่าใครกำลังล็อคอินเข้าระบบอยู่
– Manually approval สามารถกำหนดให้ระบบปิดกั้นการรับสมาชิกเว็บใหม่โดยอัตโนมัติ แต่จากต้องมีอนุมติจาก Admin ก่อน
Database security
ส่วนนี้จะเป็นการดูแลความปลอดภัยของดาตาเบสครับ สามารถแก้ไขชื่อตารางที่ระบบ WordPress กำหนดให้แบบพื้นๆ มาตอนติดตั้งเป็นชื่ออื่นได้ โดยปลั๊กอินจะสุ่มตัวอักษรเพิ่มเข้าไปอีก 6 ตัวอักษรแบบ String หรือเราจะตั้งเองก็ได้เช่นกัน
File security
ป้องกันไฟล์ของเราให้ปลอดภัยมากขึ้นด้วย File Protection สามารถสั่งป้องกันหรือลบไฟล์ readme.html, license.txt และ wp-config-sample.php ได้หลังจากเราอัพเดตระบบเรียบร้อย
ป้องกันการทำ hotlinking มาที่ไฟล์รูปภาพในเว็บเรา และป้องกันการเขียนไฟล์ PHP
Enable copy protection ป้องกันการก๊อปปี้ข้อความจากเว็บเรา
iFrame Protection ป้องกันเว็บอื่นดึงเว็บเราไปแสดงใน iFrame
Firewall
ในส่วนของ Firewall มีให้เลือกตั้งค่าป้องกันหลากหลายมาก
PHP rules เป็นการตั้งค่าเกี่ยวกับ PHP Firewall เช่น…
– ป้องกันการเข้าถึงไฟล์ XML-RPC ที่เกี่ยวกับฟังก์ชั่นของระบบ WordPress
– อนุญาติให้ใช้ XMLRPC แต่ป้องกันการ Pingback
– ปิดการทำงานของ RSS Feed และ ATOM Feed
– ป้องกันการโจมตีด้วย XSS
– ป้องกันการคอมเม้นท์ที่เป็นสแปมที่ใช้เซิร์ฟเวอร์ Proxy
.htaccess rules กำหนดป้องกันไฟล์ .htaccess
6G firewall rules เป็นการเปิดการใช้งาน Firewall แบบ 6G ส่วนแบบ 5G firewall กำลังจะถูกนำออกในอนาคตครับ
Internet bot rules ป้องกันพวกบอทปลอม อย่าง Googlebots หรือ Blank HTTP headers
Blacklist กำหนดการแบน IP Address ที่ต้องการ
นอกจากนี้ยังกำหนด IP Address ที่อนุญาติได้ด้วยในแถบ Advance settings
Brute force
ป้องกันการโจมตีแบบ Brute force
Rename login page แก้ชื่อหน้า Login ใหม่ เพื่อความปลอดภัย
Cookie based brute force attack prevention เป็นส่วนป้องกันการโจมตีแบบ Brute Force
กำหนดค่า Captcha ส่วนของ Brute force ยังมีฟีเจอร์ให้เรากำหนดพวก Captcha ได้ด้วยนะ
Login whitelist สามารถกำหนด IP ที่ล็อคอินเข้าระบบที่เราอนุญาติ
404 Detection ตรวจการทำงานเมื่อมีคนพยายามเข้าหน้า 404 ซ้ำๆ ที่ผิดปกติ
Spam prevention
ส่วนนี้เป็นการป้องกัน Spam เข้ามาคอมเม้นท์ในเว็บเราครับ สามารถตั้งค่าป้องกันตรงนี้ได้เลย
Scanner
เป็นส่วนที่ให้เราสามารถสั่งสแกนหาไฟล์ที่ผิดปกติในระบบได้ โดยแบ่งเป็น File change detection และ Malware scan (เวอร์ชั่น Pro)
นอกจากนี้ยังมีส่วนของการตั้งค่าปลีกย่อยอีกนะครับ เรียกว่าเป็นปลั๊กอินฟรีที่คุ้มค่าเอามากๆ ตั้งค่ากันแทบไม่หมดกันเลยทีเดียว ส่วนเวอร์ชั่น Premium จะได้ฟีเจอร์การใช้งานระดับสูงที่ป้องกันได้ละเอียดขึ้น รวมถึงสามารถสแกนหามัลแวร์ในเว็บได้ด้วยครับ ใครสนใจลองหามาติดตั้งกันดูนะจ๊ะ
Related Posts
