จากบทความที่แล้ว วิธีการ Clean Install WordPress ใหม่ทั้งหมด [โดนแฮก] เป็นวิธีการแก้ไขหลังจากที่โดน Hack ไปแล้ว, สำหรับบทความนี้เราจะมาดูวิธีการป้องกันไม่ให้โดนแฮกกันนะครับ
เพราะว่าบางครั้ง ถึงแม้ว่าเราจะใช้ซอฟต์แวร์ต่างๆให้เป็นเวอร์ชั่นล่าสุดแล้วก็ตาม ช่องโหว่ที่อาจจะทำให้โดนแฮกก็เกิดขึ้นได้นะครับ เพราะฉะนั้น พวก CMS ต่างๆจึงต้องทำการอัพเดตให้เป็นรุ่นล่าสุดอยู่เสมอๆ และมีการพัฒนาอยู่เสมอๆนั่นเอง เพื่อให้ทันต่อโลกปัจจุบันและความปลอดภัยต่างๆ วันนี้ผมจึงอยากจะแนะนำตัว Plugin ตัวหนึ่งที่มีความสามารถในการป้องกันการโดนแฮกจากการ Injection ต่างๆผ่านช่องโหว่ของ PHP Script ได้เป็นอย่างดีเลยทีเดียว โดยมันมีชื่อว่า All In One WP Security & Firewall หลังจากติดตั้งแล้ว ให้ไปที่เมนู Firewall และเปิดการตั้งค่าตามนี้ครับ
- Enable Pingback Protection
- Block Access to debug.log File
- Disable Trace and Track
- Forbid Proxy Comment Posting
- Deny Bad Query Strings
- Enable Advanced Character String Filter
- Enable 6G Firewall Protection
- Enable legacy 5G Firewall Protection
นอกจากนี้ยังมีส่วนที่แนะนำอื่นๆ เช่น เปลี่ยน prefix ของ Database ในเมนู Database Security, เปลี่ยน Display user ในเมนู User Accounts เป็นต้น
Plugin ตัวนี้จะใช้ความสามารถของ .htaccess ในการป้องกัน, หลังจากที่ตั้งค่าเสร็จแล้ว ลองไปดูในไฟล์ .htaccess จะเห็นว่ามีโค๊ดเพิ่มขึ้นเยอะแยะมากมาย มันจึงใช้งานได้เฉพาะเว็บเซิฟเวอร์ที่เป็น Apache เท่านั้น, หรือจะใช้ Apache เป็น Backend และใช้ Nginx เป็น Proxy แบบนี้ก็ยังใช้งานได้ปกตินะครับ
