ต่อไป »

[ptteppawong]

อ่านจากกระทู้นี้แล้วเป็นกังวลครับ เลยขอแชร์ความรู้สักหน่อย

http://www.thaiseoboard.com/index.php/topic,315629.0.html

ขอบอกก่อนเลยนะครับว่าวิธีที่ผมบอกต่อไปนี้ ไม่รับประกันว่ามันจะสามารถป้องกันได้ 100 % จริงหรือไม่ แต่ก็กันไว้ดีกว่าแก้ครับ

1.  หาวิธีในการเปลี่ยนเส้นทางในการเข้าบ้านกันก่อนครับ เปลี่ยนหน้า wp-login.php ให้มันเป็นหน้าอื่นซะ

   โดยการใช้ plugin ดังนี้ ที่จริงมันมีอีก แต่ 2 ตัวนี้ใช้งานง่ายสุดแล้วครับ จะสอนวิธีการเซ็ทค่าไปด้วยนะครับ

เลือกใช้ตัวใดตัวนึงก็พอนะครับ เดี๋ยวมันจะงงกันเอง

plugin เปลี่ยนหน้า login ตัวที่หนึ่ง  

http://wordpress.org/extend/plugins/stealth-login-page/

วิธ๊ีใช้งานตามภาพครับ







plugin เปลี่ยนหน้า login ตัวที่สอง
http://wordpress.org/extend/plugins/lockdown-wp-admin/







ปล.  หากตั้งค่าแล้วผิดพลาดเข้าเว็บไม่ได้ ให้ ftp เข้าโฮสต์ แล้ว ลบ plugin ออก


2.  จำกัดจำนวนครั้งในการ login เข้ามา  หากเกินจำนวนครั้งระบบก็จะล็อกเอาไว้  ถึงจะกรอกถูกอีก  มันก็จะไม่ให้เข้าสู่ระบบ ต้องรออีกช่วงเวลาในการเข้า้สู่ระบบใหม่ ฉะนั้นท่านต้องพยายามอย่ากรอกผิดเกินจำนวนครั้งที่กำหนด
ด้วย plugin
http://wordpress.org/extend/plugins/s2member/

ความสามารถตัวนี้มีเยอะครับ เอาไว้ทำระบบสมาชิกได้สุดยอด แต่ผมสังเกตุมันมีฟังก์ชั่นในเรื่องนี้ด้วย เลยแนะนำ







3. ด่านสุดท่ายแล้วครับในการตั้งระบบผ่านเข้าสู่ระบบ  

User  name คงรู้กันดี    admin  อย่าไปใช้ ใช้ชื่ออื่นครับ

การตั้ง password บางคนบอกต้องตั้งยาว ๆ   บางคนบอกต้องตั้งยากผสมตัวเล็กตัวใหญ่ ตัวเลขบ้าง ตัวอักขระพิเศษบ้าง   ผมไม่ใช้วิธีนี้ครับ

ผมใช้วิธีตั้งแบบให้มีการต้องกดปุ่มในการเปลี่ยนภาษา

เช่น  ผมจะตั้งโดยจะอ่านเป็นภาษาไทยว่า    น่ารักดี

ผมก็จะตั้งแบบนี้     (แป้นภาษาอังกฤษ)น่ารัก(กดปุ่มเปลี่ยนเป็นภาษาไทย)ดี

รวม ๆ  แล้วมันจะเป็น      ojkiydดี   ไม่ใช่   ojkiydfu

ในการเข้าสู่ระบบมันก็จะต้องกดปุ่มเปลี่ยนภาษาด้วยมันถึงจะเข้า password ได้ถูก  คุณอาจจะพลิกแพลงอีกก็ได้เช่น

แป้นอังกฤษ(ใช้ภาษาไทย)  แป้นไทย(ใช้ภาษาอังกฤษ)

แป้นไทย(ใช้ภาษาอังกฤษ)  แป้นอังกฤษ (ใช้ภาษาไทย)

ลอง ๆ สลับกันดูเองนะครับ  

ไม่รู้ว่างงกันหรือเปล่านะครับ แต่เคยทำเอาลูกค้าผมงงไปหลายรายแล้วล่ะ

ถ้ามันสามารถ hack ไดด้ถึงกับมานั่งกดปุ่มเปลี่ยนภาษาเองได้ ก็ปล่อยให้มัน Hack ไปเถอะครับ สักวันกรรมก็จะตามสนองมันเอง

[xvlnw.com]

ขอบคุณครับ

[ptteppawong]

1.  จำกัดจำนวนครั้งในการ login เข้ามา  หากเกินจำนวนครั้งระบบก็จะล็อกเอาไว้  ถึงจะกรอกถูกอีก  มันก็จะไม่ให้เข้าสู่ระบบ ต้องรออีกช่วงเวลาในการเข้า้สู่ระบบใหม่ ฉะนั้นท่านต้องพยายามอย่ากรอกผิดเกินจำนวนครั้งที่กำหนด
ด้วย plugin
http://wordpress.org/extend/plugins/s2member/

ความสามารถตัวนี้มีเยอะครับ เอาไว้ทำระบบสมาชิกได้สุดยอด แต่ผมสังเกตุมันมีฟังก์ชั่นในเรื่องนี้ด้วย เลยแนะนำ








เดี๋ยวต่ออีกด่านสุดท้ายครับ

[iak1]

ป้องกัน Brute-force attack

แต่ระวัง Plugin ที่ลง  ด้วยนะครับ

[ptteppawong]

3. ด่านสุดท่ายแล้วครับในการตั้งระบบผ่านเข้าสู่ระบบ  

User  name คงรู้กันดี    admin  อย่าไปใช้ ใช้ชื่ออื่นครับ

การตั้ง password บางคนบอกต้องตั้งยาว ๆ   บางคนบอกต้องตั้งยากผสมตัวเล็กตัวใหญ่ ตัวเลขบ้าง ตัวอักขระพิเศษบ้าง   ผมไม่ใช้วิธีนี้ครับ

ผมใช้วิธีตั้งแบบให้มีการต้องกดปุ่มในการเปลี่ยนภาษา

เช่น  ผมจะตั้งโดยจะอ่านเป็นภาษาไทยว่า    น่ารักดี

ผมก็จะตั้งแบบนี้     (แป้นภาษาอังกฤษ)น่ารัก(กดปุ่มเปลี่ยนเป็นภาษาไทย)ดี

รวม ๆ  แล้วมันจะเป็น      ojkiydดี   ไม่ใช่   ojkiydfu

ในการเข้าสู่ระบบมันก็จะต้องกดปุ่มเปลี่ยนภาษาด้วยมันถึงจะเข้า password ได้ถูก  คุณอาจจะพลิกแพลงอีกก็ได้เช่น

แป้นอังกฤษ(ใช้ภาษาไทย)  แป้นไทย(ใช้ภาษาอังกฤษ)

แป้นไทย(ใช้ภาษาอังกฤษ)  แป้นอังกฤษ (ใช้ภาษาไทย)

ลอง ๆ สลับกันดูเองนะครับ 

ไม่รู้ว่างงกันหรือเปล่านะครับ แต่เคยทำเอาลูกค้าผมงงไปหลายรายแล้วล่ะ

ถ้ามันสามารถ hack ไดด้ถึงกับมานั่งกดปุ่มเปลี่ยนภาษาเองได้ ก็ปล่อยให้มัน Hack ไปเถอะครับ สักวันกรรมก็จะตามสนองมันเอง

ขอบคุณครับ จากผู้เขียนเว็บ  http://www.watsangkaew.com/

[ชาตินี้ขอแค่ 1000 ล้าน พอ]

ขอบคุณมากครับ

[pingenter]

ขอบคุณมากๆครับ

[nuvatchai]

ขอบคุณครับ

[Putter™]

ขอบคุณเจ้าของกระทู้สำหรับการแชร์ข้อมูลครับ 

หลักๆเลยที่โดนๆกันนะครับ

1. Brute Force Attack หน้า /wp-admin

2. โหลด Themes จากเวปแจกฟรีต่างๆ แต่โดนฝัง backdoor มาด้วย

โค๊ด:

https://github.com/wpscanteam/wpscan/blob/master/data/theme_vulns.xml

3. Plugin มีช่องโหว่

โค๊ด:

https://github.com/wpscanteam/wpscan/blob/master/data/plugin_vulns.xml

เคยดูจาก Log พวกนี้ Brute Force กระจาย



ถ้าอยากลองเอาไปเช็คความปลอดภัยให้เวปตัวเองมี Tools แนะนำอยู่ตัวนึงครับ (** ย้ำนะครับ เว็บตัวเอง)

โค๊ด:

https://github.com/wpscanteam/wpscan

** แค่ระดับหนึ่งเท่านั้น ปัจจัยที่ทำให้โดนแฮ็กมามากมายครับ

[nuttdam]

ขอบคุณมากครับ

[ptteppawong]

ขอบคุณเจ้าของกระทู้สำหรับการแชร์ข้อมูลครับ 

หลักๆเลยที่โดนๆกันนะครับ

1. Brute Force Attack หน้า /wp-admin

2. โหลด Themes จากเวปแจกฟรีต่างๆ แต่โดนฝัง backdoor มาด้วย

โค๊ด:

https://github.com/wpscanteam/wpscan/blob/master/data/theme_vulns.xml

3. Plugin มีช่องโหว่

โค๊ด:

https://github.com/wpscanteam/wpscan/blob/master/data/plugin_vulns.xml

เคยดูจาก Log พวกนี้ Brute Force กระจาย


ถ้าอยากลองเอาไปเช็คความปลอดภัยให้เวปตัวเองมี Tools แนะนำอยู่ตัวนึงครับ (** ย้ำนะครับ เว็บตัวเอง)

โค๊ด:

https://github.com/wpscanteam/wpscan

** แค่ระดับหนึ่งเท่านั้น ปัจจัยที่ทำให้โดนแฮ็กมามากมายครับ

ขอบคุณครับ แชร์ข้อมูลกัน ผมทำได้เท่าที่จะป้องกันได้ครับ ใครมีอะไรดี ๆ ก็แชร์กันไว้ครับ

[siamseo]

ขอบคุณครับ

[(~''๐''~)ปลาแซลมอล]

ไม่ได้กลัวมันเข้ามาทาง wp-admin กลัวมันเข้ามาทาง uploads กับ FTP

[ptteppawong]

ไม่ได้กลัวมันเข้ามาทาง wp-admin กลัวมันเข้ามาทาง uploads กับ FTP

โปรแกรม ftp เปลี่ยนไปใช้ตัวอื่นที่ไม่ใช่ filezilla

Core FTP Pro  ก็เจ๋ง

ส่วน wp-admin มันมีวิธีเปลี่ยนนะ แต่ขอหาข้อมูลดูก่อนนะครับ  เคยเห็นผ่านๆ

[manow]

ชื้อ antivirus ที่เสียเงินครับ เอาของดี หน่อยครับ

ผมใช้ bit แท้ ตัวละ 750 มาสองปีแล้วครับ  ตั้งแต่เสียเงินชื้อ ผมไม่ได้ format เครื่องเลยครับ

เอาเว็บเสี่ยงก็ยังไม่โดนนะครับ

แค่ 1 เสียงครับ

[reviewer]

ไม่ได้กลัวมันเข้ามาทาง wp-admin กลัวมันเข้ามาทาง uploads กับ FTP

antivirus + upload ผ่าน Control panel ของโฮส
 ของผมประมาณนี้

[konghyper]

เข้ามาเก็บความรู้ ขอบคุณครับ - เห็นเคยอ่านของใครในนี้ผมจำไม่ได้แล้วว่า spybot มันจะพยายามสุ่มหารหัสเพื่อ login ทำให้เกิดการ login ซ้ำๆ อาจทำให้ cpu เกิน อันนี้จริงหรือเปล่าครับ ไม่ค่อยรู้เรื่อง ถ้าจริงทำไงล่ะ ป้องกันแฮกได้แต่โดนโฮสแตะซวยเหมือนเดิม

[l3za4zone]

ขอบคุณครับ

[asnowman]

ขอบคุณคร้าบๆ

[ptteppawong]

อันนี้มันก็เป็นวิธีที่ผมใช้ป้องกันในส่วนหนึ่ง  ส่วนมันจะ Hack เข้ามาแบบไหนกันบ้างนั้น ก็คงต้องร่วมด้วยช่วยกันแชร์ความรู้กันครับ

[deebedding]

ขอบคุณมากค่ะ +1ให้ด้วยค่ะ

[anirud]

php shall > readable โดนหมดล่ะครับ หา host ดีๆ ด้วยน่ะครับ  

[dtscript]

เยียมเลยครับ

[dingdong8002]

เคยโดนแฮกครั้งหนึ่ง บังเอิญลืมเปลี่ยน user ยังใช้ค่าเดิมคือ admin    อันไหนที่ชื่อ user ที่ล็อกอินไม่ใช่ admin ไม่ได้กินเราดอก. 

[topsitemp4]

ผมว่าดีมากครับ

[thussana]

ขอบคุณมากครับ