WordPress โดนแฮก แก้ไขอย่างไร

wordpress-hacked-how-to-fix

เมื่อเว็บไซต์ที่คุณดูแลมีพื้นฐานมาจาก WordPress โดนแฮกเกอร์โจมตีหลังบ้าน

เนื้อหาสำคัญ

WordPress คือโปรแกรมสำเร็จรูปที่ใช้สร้างและจัดการเนื้อหาเว็บไซต์ หรือที่เรียกว่า Content Management System (CMS) เขียนด้วยภาษา PHP และใช้ระบบจัดการฐานข้อมูล MySQL

จุดเด่นของ WordPress

  • ใช้งานง่าย โดยไม่ต้องมีความรู้ด้านโปรแกรมมิ่ง
  • มีธีม (Theme) ให้เลือกใช้มากมายทั้งฟรีและเสียเงิน ช่วยให้ออกแบบเว็บไซต์ได้สวยงามโดยไม่ต้องเขียนโค้ด
  • มีปลั๊กอิน (Plugin) เพิ่มเติมฟังก์ชั่นการทำงานให้กับเว็บไซต์ได้หลากหลาย
  • เป็นโอเพนซอร์ส (Open Source) ใช้งานฟรี และสามารถพัฒนาต่อได้เอง
    รองรับภาษาไทย
  • มีชุมชนผู้ใช้ขนาดใหญ่
  • หาความรู้และความช่วยเหลือได้ง่าย

รู้ได้อย่างไรเมื่อ WordPress โดนแฮก

เมื่อ WordPress ที่คุณดูแล หากคุณเป็นมือใหม่ คุณจะไม่อาจทราบได้ว่ามีการโจมตีจากแฮกเกอร์ หรือผู้ไม่ประสงค์ดีแอบมาเข้าทางหลังบ้าน หาก WordPress ที่คุณใช้งานในระดับสำนักงาน หรืออินทราเน็ตที่เป็นอินเตอร์เน็ตส่วนตัวจะไม่มีปัญหา แต่ถ้าหากคุณใช้งานบนอินเตอร์เน็ตที่เข้าทั่วถึงได้ทุกมุมโลก คุณไม่อาจจะหลีกเลี่ยงจากการโจมตีได้

หากคุณต้องการทราบเมื่อ WordPress โดนโจมตี ควรทำอย่างไร

  1. ก่อนเช่า Host ควรดูมีระบบความปลอดภัยเช่น แอนตี้ไวรัสด้วยหรือไม่
  2. ควรติดตั้ง Plugin ที่เกี่ยวข้องกับความปลอดภัยเช่น : “Limit Login Attempts Reloaded” และ “WP All in One Security (AIOS)” 

ภายหลังจากการติดตั้ง Plugin สองตัวที่กล่าวมานั้น ที่ Dashboard ของคุณจะคอยรายงานแฮกเกอร์ที่มาเยี่ยมหลังบ้านเพื่อที่จะทำการเข้าระบบ การติดตั้ง Plugin ดังกล่าวจะช่วยให้คุณทราบได้ว่า มีผู้ไม่ประสงค์ดีมาจากที่ใดบ้าง

wordpress-hacked-plugin-security-01
limit login attempts และ wp all in one security

WordPress โดนแฮก ป้องกันอย่างไร

ภายหลังจากที่คุณทราบตัวเลขของผู้ไม่ประสงค์ดีที่พยายามแฮก WordPress ของคุณแล้ว แม้ว่าคุณจะใช้งาน Plugin อย่าง Limit Login Attempts Reloaded และ WP All in One Security (AIOS) แล้ว หากคุณใช้งานปลั๊กอินในระดับพรีเมี่ยมเพื่อปลดล็อกฟังก์ชันในระดับโปร ก็จะช่วยคุณได้มาก จนคุณแทบไม่จำเป็นต้องทำอะไรต่อไป

แต่หากเว็บไซต์ Wordprss ของคุณมีงบประมาณที่ไม่มากพอที่จะใช้ฟังก์ชันโปรเหล่านั้นได้ คุณสามารถปฏิบัติการต่อได้ดังนี้

ติดตั้ง Plugin ที่เกี่ยวข้อง

Plugin ที่ควรมีติด WordPress เพื่อป้องกันการโดนแฮก

  1. Limit Login Attempts Reloaded : Plugin สำหรับจำกัดความพยายามในการเข้าสู่ระบบ ฟังก์ชั่นโหลดซ้ำเป็นตัวยับยั้งที่แข็งแกร่งต่อการโจมตีแบบ bruteforceเสริมมาตรการรักษาความปลอดภัยของเว็บไซต์ของคุณและเพิ่มประสิทธิภาพการทำงาน ซึ่งทำได้โดยการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่อนุญาต การใช้งาน ไม่จำเป็นต้องตั้งค่าอะไรเพิ่มเติม ติดตั้งแล้ว Active ก็เพียงพอ
  2. WP All in One Security (AIOS) : เป็นปลั๊กอินความปลอดภัยที่ออกแบบมาโดยเฉพาะสำหรับ WordPress รักษาความปลอดภัยในการเข้าสู่ระบบเพื่อป้องกันบอทและปกป้องเว็บไซต์ของคุณจากการโจมตีแบบดุร้าย การใช้งาน ไม่จำเป็นต้องตั้งค่าอะไรเพิ่มเติม ติดตั้งแล้ว Active ก็เพียงพอ
  3. Fullestop Lockdown Admin : เป็นปลั๊กอินสำหรับย้ายหลังบ้านไปยัง URL อื่น  การใช้งาน ภายหลังจากการติดตั้งปลั๊กอินนี้แล้วให้ไปที่เมนู “Fullestop Lockdown Admin” ใส่เครื่องหมายถูกที่ช่อง “Please Checked here to hide wp-admin:” และกำหนด URL หลังบ้านใหม่ที่ต้องการ (อย่าลืม URL ใหม่นี้โดยเด็ดขาด)
ตั้งค่า Fullestop Lock Down Admin

ปิดการเข้าถึง IP Address จากต่างประเทศ

หากคุณยังไม่มั่นใจ คุณสามารถที่จะตั้งค่า เพื่อปิดกั้น IP Address ในบางประเทศ หรือกำหนดเฉพาะ IP Address ในการเข้าถึง WordPress ของคุณได้ เพื่อป้องกันการโดนแฮกได้อีกขั้นตอน การตั้งค่าเหล่านี้สามารถตั้งค่าได้ที่ปลั๊กอิน WP All in One Security ควรกระทำอย่างระมัดระวังและมีความรู้เกี่ยวกับ IP Address ด้วย 

Cloudflare WAF

หากคุณใช้บริการ Cloudflare ในการจดโดเมน หรือ โดเมนเนมของคุณอยู่ภายใต้บริการของ Cloudflare เป็นเรื่องที่ดี เพราะ Cloudflare มีระบบป้องกัน “Web Application Firewall (WAF)” ซึ่งเป็นบริการความปลอดภัยสำหรับเว็บไซต์ ใช้งานได้ฟรี 5 กฏ ซึ่งเท่านี้ก็เพียงพอแล้ว 

การตั้งค่า Cloudflare WAF

การตั้งค่า Cloudflare WAF สำหรับ WordPress จะมีอยู่ 2 กฎ หรือมากกว่านั้นตามความต้องการของคุณ หากเกิน 5 กฎ คุณจำเป็นต้องจ่ายค่าบริการเพิ่มเติม โดยการตั้งค่าที่จะเป็นการบล็อกไม่ให้เข้าหน้าเว็บไซต์ต้องห้าม หรือหลังบ้านนั้นเอง ทั้งนี้ขึ้นอยู่กับวิธีการหลอกล่อเหล่าแฮกเกอร์จากคุณในการตั้งค่าเหล่านี้

 

การตั้งค่าบล็อก /wp-login

 เป็นหน้าที่ใช้ในการ Login เพื่อเข้าระบบหลังบ้าน การปกป้องไม่ให้เข้าใช้งานได้ เป็นการลดความเสี่ยงจากการโจมตี คุณควรเปิดให้ใช้งานเฉพาะไอพีแอดเดรสของคุณเท่านั้น ทั้งนี้ หากคุณย้ายหลังบ้านหนีไปเป็นลิงค์อื่นแล้ว wp-login ก็ควรปิดใช้งาน

  1. การตั้งค่า Login : Cloudflare เลือกเว็บไซต์ของคุณ -> ที่เมนู Security -> WAF
  2. กดที่ปุ่ม
+ Create rule
  1. สร้างกฏ
    – ที่ช่อง “Rule name (required)” : ทำการตั้งชื่อกฎที่ต้องการสร้าง เช่น “WP-Login Protect”
    – ในช่อง”If incoming requests match…” : Field เลือก “URI Path” , Operator เลือก “contains”, Value ใส่ค่า “/wp-login”
    – ที่ช่อง “Then take action” ให้เลือก “Block”

การตั้งค่าบล็อก /xmlrpc.php

 ไฟล์ xmmrpc.php เป็นอีกไฟล์ที่เหล่าแฮกเกอร์มักจะยิงสคริปต์ไปที่ไฟล์นี้ คุณควรสร้างกฏเพื่อทำการปิดไฟล์นี้ด้วยที่หน้าเดียวกันกับ WAF

  1. กดที่ปุ่ม
+ Create rule
  1. สร้างกฏ
    – ที่ช่อง “Rule name (required)” : ทำการตั้งชื่อกฎที่ต้องการสร้าง เช่น “WP-Login Protect”
    – ในช่อง”If incoming requests match…” : Field เลือก “URI Path” , Operator เลือก “contains”, Value ใส่ค่า “/xmlrpc.php”
    – ที่ช่อง “Then take action” ให้เลือก “Block”
wordpress-hacked-cloud-flare-waf

หมายเหตุ : หากเกิดคำถาม เมื่อไม่ได้จดโดเมนที่ Cloudflare สามารถ ทำการตั้งค่า WAF ได้หรือไม่ ?

คำตอบ : ไม่แน่ใจ เนื่องจากผู้เขียนใช้บริการของ Cloundflare

การติดตั้ง Plugin เพิ่มเติม

คุณสามารถติดตั้ง Plugin เพิ่มเติมสำหรับเว็บไซต์ WordPress ของคุณเช่น 

  • การติดตั้ง Plugin ที่รองรับ การยืนยันตัวตน 2 ขั้นตอน
  • การติดตั้ง Plugin ที่ต้องยืนยันด้วยรูปภาพ reCAPTCHA

การ Backup หรือการสำรองข้อมูล

ควรทำการสำรองข้อมูลเป็นประจำ หาก Host ที่คุณใช้งานมีระบบสำรองข้อมูลอัตโนมัติ คุณควรตรวจสอบไฟล์สำรองข้อมูลเหล่านั้น และควรสำรองข้อมูลทั้งระบบอย่างน้อยเดือนละ 1 ครั้ง ซึ่งสามารถจัดการได้ใน cPanel ของ Host ได้เลย และควรสำรองข้อมูลเว็บไซต์ของ WordPress โดยไปที่ “settings -> export ->” ทำการ export file.xml ไว้

ทั้งนี้ก็เพื่อป้องกันความผิดพลาดจากตั้งค่าต่างๆ ของคุณ และแฮกเกอร์  คุณสามารถเรียกไฟล์สำรองข้อมูลเหล่านั้นใช้งานได้ หากไม่สามารถเข้าใช้งานระบบได้

เนื้อหาล่าสุด

อ่านเนื้อหาล่าสุดภายในเว็บบล็อกของเรา