security

6 เทคนิค ง่ายๆเสริมความปลอดภัยให้กับ WordPress

6 เทคนิค ง่ายๆ เพียงเล็กน้อย ไม่กี่ข้อ ต่อไปนี้ จะช่วยทำให้ เว็บไซต์สวยๆ ที่คุณตั้งใจพัฒนาขึ้นมา จากระบบของ WordPress ที่เป็น CMS ยอดนิยม ของโลกตอนนี้ มั่นคง และแข็งแกร่งมากขึ้น อีกมากมาย อย่าปล่อยปะ ละเลย ให้ระบบของคุณ ต้องพบเจอกับ อันตรายต่างๆเพียงลำพัง โดยไม่คิดจะปกป้อง แต่อย่างใด

6 เทคนิค

Security Tips

6 เทคนิค ง่ายๆ ทำได้ ด้วยตัวคุณเอง

แม้คนที่ไม่ได้เป็น Programmer หรือไม่ได้เป็น Developer และยังไม่สามารถ พัฒนาเว็บไซต์ ใดๆได้ แต่เพียงแค่คุณ… เป็นผู้ใช้ WordPress ที่มีความสามารถขึ้นมา สามารถปรับแต่ง ระบบของ wordpress ได้บ้าง สามารถเล่นกับ ระบบของ wordpress ได้บ้าง แค่นั้นก็น่าจะพอ ให้คุณสามารถ ใช้พื้นฐานอันดีเหล่านั้น มาจัดการ เสริมเกราะ สร้างความแข็งแกร่งให้กับ เว็บไซต์ ของคุณได้อย่างแน่นอน

แล้วทำไม…. เราถึงต้องกังวล ในเมื่อเราใช้ WordPress ระบบสร้างเว็บไซต์ ที่ได้ชื่อว่า ยอดนิยม เป็นอันดับต้นๆของโลก ใครๆเค้าก็ใช้งานกัน อืม…. จริงๆก็เพราะว่า ความที่ใครๆ เค้าก็ใช้งานกัน รึเปล่าครับ มันถึงมีคนจำนวนมาก ศึกษา และค้นพบช่องโหว่ต่างๆ ออกมากันมากมาย และมันก็เป็น Open Source ที่หมายความว่า ใครๆก็สามารถ อ่าน Code ได้อีกด้วย

เหล่าบรรดา นักพัฒนาของค่ายนี้ จึงต้องออกมา พยายามทำงานหนักมากๆ เพื่อหาทาง ปกป้อง คุ้มกัน ไม่ให้ ผู้ไม่หวังดีทั้งหลาย เค้ามางัดแงะ แคะ แกะทุกอย่าง ในเว็บไซต์ของคุณ แต่ตัวระบบ wordpress เอง ถูกพัฒนามาอย่างต่อเนื่องก็จริง ก็ยังเห็น เหตุการ การ Update fix Security กันบ่อยๆ อย่างต่อเนื่อง งั้นเรามาลอง หาวิธี ที่สามารถ ทำได้เองง่ายๆ กันดูดีกว่าครับ

Security Update

Security Update

มาเริ่มกันที่ ข้อแรกกันเลยครับ

1. Update WordPress, Themes and Plugins

มาเริ่มกันที่ ข้อง่ายๆที่สุด ที่เชื่อว่า ทุกคนสามารถทำกันได้นะครับ นั้นก็คือ หมั่น update software กันบ่อยๆ เพราะว่า ทุกครั้งที่มีการแก้ไขขึ้นมา แปลว่า เค้าค้นพบช่องโหว่ หรือปัญหาบางอย่างที่เกิดขึ้น ทำให้เราสามารถใช้งานระบบบที่ ดีที่สุด ณ เวลานั้นได้ตลอด และบางที ทีมพัฒนา เค้าก็สร้างสิ่งใหม่ๆ ให้เราไว้ใช้งานง่ายขึ้น สะดวกมากยิ่งขึ้นนั้นแหละครับ

2.Choose Themes and Plugins

Theme หรือหน้าตาของ WordPress เป็นอีกหนึ่งความสำคัญ ของระบบ เพราะเป็นสิ่งที่เราต้อง คิดถึงมากๆ ในการเลืือกใช้งาน เพื่อให้ Design หน้าตาต่างๆ ออกมาตรง ตามที่เราต้องการ แต่มันมีทั้งแบบฟรี และแบบเสียเงิน ซึ่งแน่นอน ผมว่ามีคนจำนวนไม่น้อย ที่เลือกแบบฟรีมาใช้งาน แต่หากคุณเลือกแบบฟรี คุณก็ควรจะเลือก รูปแบบที่ไว้ใจได้ จากแหล่งผลิตที่เชื่อถือได้

แต่ถึงแม้ คุณจะใช้งานเแลกกับ Theme สวยๆมา คุณก็ควรตรวจสอบให้แน่ใจ ว่า Code ของเค้า ค่อนข้างดี ไว้ใจได้ และมี Support อย่างต่อเนื่อง มีการ update อยู่ตลอดเวลา ไม่ล้มหาย ตายจากไปง่ายๆ

และปลั๊กอิน ก็เช่นเดียวกันครับ ปลั๊กอินที่ไม่ดีอาจส่งผลกระทบ ต่อประสิทธิภาพการทำงาน อาจเกิดการรั่วไหลของข้อมูลส่วนตัว หรือถึงขั้นให้สิทธิ์การเข้าถึงแบบอื่น ที่ไม่ถูกต้อง ไม่เหมาะสม และถ้าเป็นไปได้ ลองใช้งานและเช็คทุกอย่าง บนเครื่อง Local ของคุณก่อนน่าจะดี แล้วค่อบย้ายขึ้นไปบน Host จริงๆนะครับ

ใครที่อยากได้แหล่งซื้อขาย Theme และ Plugin ที่เชื่อถือได้ ลองดูที่ themeforest.net ครับ

3.Plugin Security

ติดตั้งเครื่องมือ เสริมความแข็งแกร่ง หรือ Plugin ทางด้าน Security ให้กับระบบของคุณ ซึ่ง Plugin ด้านนี้ มีให้เลือกมากมาย และแต่ละตัว ก็มีความสามารถ มากมายล้นเหลือ ทั้งหลบซ่อน ทั้งปกปิด ทั้งบดบัง ไม่ยอมให้ใคร ใช้ข้อมูลพื้นฐานต่างๆ ในการเข้าสู่ระบบของคุณ

ตรงนี้มีทั้ง Plugin ที่เป็นแบบฟรี ดีๆ เช่น iThemes Security, Wordfence Security คุณสามารถอ่านบทความเกี่ยวกับ plugin เหล่านี้เพิ่มเติมได้ที่
Best wordpress security plugins 

หรือคุณอาจจะเลือก Plugin ที่มีคนทำขึ้นมาขาย เพื่อปกป้องคุณ จากภัยคุกคามอันไม่พึงประสงค์เหล่านี้อย่าง

4.Roles and Capabilities

การกำหนดสิทธิ ให้กับผู้ใช้งานแต่ละคน อย่างเหมาะสม เพราะผู้ใช้งานแต่ละคน อาจจะมีความสามรถ ในการใช้งานที่แตกต่างกัน หรือมีความจำเป็น มีบทบาท มีหน้าที่ ที่แตกต่างกัน ในการใช้งานระบบ ทำให้คุณ ควรจะออกแบบ และกำหนดสิทธิต่างๆให้กับผู้ใช้งาน อย่างเหมาะสม

สิทธิพื้นฐานของ wordpress ก็คือ

  • Super Admin
    หมายถึงคนที่สามารถ ควบคุมทุกอย่าง ในระบบของ website ได้แม้จะเป็นเว็บไซต์แบบ ที่มีเว็บไซต์ย่อยอยู่ในตัว หรือ Multiple WordPress ก็ตาม
  • Administrator
    หมายถึง คนที่สามารถจัดการทุกอย่างได้ครบถ้วนทั้งหมด ในรูปแบบของ Single Site หรือเว็บไซต์เพียงเว็บเดียวที่คุณทำนั้นแหละ
  • Editor
    หมายถึงคนที่สามารถ พิมพ์ Post บทความ ข่าวสารและแก้ไขเนื้อหาต่างๆของ User คนอื่นๆและของตัวเองได้
  • Author
    หมายถึงคนที่สามารถ เขียนบทความ ข่าวสารของตัวเองได้ และแก้ไขได้เฉพาะเนื้อหาที่ตัวเองเขียนขึ้นมานั้นแหละ
  • Contributor
    หมายถึงคนที่สามารถ เข้ามาร่วมเขียนเนื้อหา และบทความต่างๆภายในเ.ว็บไซต์ของคุณได้ แต่ไม่มีสิทธิที่จะแก้ไขหรือเพยแพร่สู่สาธารณะ
  • Subscriber
    หมายถึงแฟนๆบนเว็บไซต์ของคุณ เค้าจะสามารถ จัดการ แก้ไขข้อมูลส่วนตัว ของเค้าเองได้ แต่ทำอย่างอื่นไม่ได้

Plugin ที่ผมแนะนำในการจัดการคือ

5.Change, Move And Hide

มาถึงข้อนี้ น่าจะเป็น ข้อที่ยากที่สุด สำหรับ บทความตอนนี้แล้วครับ เพระามันเป็นการ เข้าไปยุ่งกับเรื่องของ Code บ้าง แต่ไม่ใช่ เป็นการให้คุณเข้าไปเขียนอะไรมากมายหรอกนะ เป็นแค่เพียงการเข้าไป ปรับแต่ง ข้อมูลบางอย่าง เช่น

  • ย้ายไฟล์ wp-config.php ออกไปจากจุดที่ควรอยู่ซะ เมื่อคุณตั้งระบบเสร็จแล้ว ไฟล์นี้ก็ไม่จำเป็นต้องอยู่ ในที่ๆระบบ ออกแบบไว้ตอนแรกแล้ว เราย้ายมันไปไว้ที่อื่นได้ เช่น Folder ข้างนอกถัดออกมา
  • เปลี่ยน url สำหรับเข้า Login ซะ แทนที่จะเป็น wp-login จากไฟล์ wp-login.php ก็เปลี่ยนเป็นแบบอื่นซะ หรือจะซ่อนไฟล์นี้ไปด้วยเลยก็เข้าท่า
  • เปลี่ยนชื่อ Folder สำหรับ Upload หรือพวก directory ต่างๆซะ
  • Disable หน้าที่ไม่จำเป็น เช่น WordPress archives, categories, tags, pages, posts แบบนี้เพื่อไม่ให้เข้ามาเจอข้อมูลอื่นๆ
  • เปลี่ยน File Permission ซะ เพื่อกำหนดสิทธิ์ที่ถูกต้อง
  • ซ่อนเวอร์ชั่นของระบบและ Theme ไม่ให้ค้นเจอ

เดินทางมาถึง ข้อสุดท้ายกันแล้วครับ

6.Use Https

ข้อนี้ น่าจะง่าย ไม่น่าจะยากอะไร แค่ย้ายจาก HTTP ธรรมดา ไปเป็น HTTPS เพื่อเพิ่มความปลอดภัย ให้กับระบบของคุณครับ ส่วนเรื่องราวของ HTTPS นั้นคืออะไร ใช้เพื่ออะไร แนะนำให้อ่านละเอียดขึ้นได้ที่ บทความนี้นะครับ SSL CERTIFICATE เว็บเราจำเป็นต้องมีไหมและมีไปทำไม

เรียบร้อยแล้ว หวังว่า เพื่อนๆคงได้ความรู้ เกี่ยวกับการ ปกป้องตัวเอง จากภัยคุกคาม จากศาสตร์มืด กันไปได้ ไม่มากก็น้อยนะครับ พยายามหยิบเอาเรื่อง 6 เทคนิค ง่ายๆ ที่น่าจะพอทำกันได้เองมาฝาก แล้วพบกันใหม่ครับ

ขอบคุณรูปภาพจาก Unsplash