ต่อไป »

[Jaideejung007™]

ผมใช้ปลั๊กอินนี้ครับ Limit Login Attempts

คือผมตั้งระบบไว้ว่า หากมีการเข้าสู่ระบบ (Admin) ผิดเกิน 4 ครั้งให้ แจ้งเตือนมาอีเมลผม

แม่เจ้า! มันแจ้งเตือนมาทุกวัน วันหนึ่งจำนวนล็อกอินผิดไม่ต่ำกว่า 5-6 ครั้ง มารอบนี้ 12 ครั้ง  

คือพวก Hacker ครับ คุณจะเข้ามาแฮกอะไรเหรอ ว่างมากหรือไง (คือเว็บที่ผมทำ ผมเปิดเป็น Multi-Wordpress สำหรับบุคลากรในวิทยาลัย)

บางทีก็ขนลุกกับพวกนี้นะ

ส่วนอันนี้เป็นไฟล์ Log ครับ แม่เจ้า คือมันพยายามมาก



ผมต้องรู้สึกขอบคุณปลั๊กอินนี้จริงๆ ที่คอยดักทางพวกนี้ไว้ และก็แอบกลัวด้วยว่า ถ้ามันเดารหัสผ่านเข้ามาได้ละ ตายเยี่ยงเขียดแน่

ปล. ใครที่ยังไม่ได้ลงปลั๊กอินนี้ ขอเรียนเชิญ ลงไว้เลยครับ ไม่เสียหายครับ จัดไป
ปลล. บางทีมันก็เดา username ของ admin ถูกด้วยแหะ (พอดีผมใช้ยูสเซอร์เนมของแอดมินชื่อใหม่ครับ) โอย ยิ่งขนลุกไปใหญ่  

[sMongPed]

เป็น botnet น่ะ

เอา wordfence มาใช้สิ สแกนมันทุกวัน block ddos ขำๆได้อีก 

[lanama]

ถ้าเปลี่ยน USER ของ admin เป็นชื่อใหม่แล้ว อย่าลืมไปแก้ user_nicename ให้เป็นชื่ออื่น ใน MySQL database ด้วยนะคะ

ไม่งั้นมันจะโชว์ใน link author อยู่ดี ทำให้พวกชอบแฮ็ค มันรู้ user ใหม่จนได้


ของเราใช้ plugin ตัวที่ จขกท. ใช้เหมือนกัน บางเว็บพยายามแฮ็คกันมาได้ สัปดาห์ละ 700 ครั้ง ด้วย user "admin"

น่ารำคาญมากๆ กำลังมองหา plugin เล็กๆ เบาๆ ที่สามารถ Block คนที่พยายาม login ด้วยชื่อ admin (ที่ไม่ใช่ wordfence) อยู่

แต่ยังหาไม่เจอเลย

ใครมีตัวไหนแนะนำ รบกวนแบ่งปันกันด้วยนะคะ

[zidit]

เค้ารันสคิปเอาครับ ทำเปนร้อยเปนพันครั้งก็ไม่เหนื่อย แต่เรานี่เหนื่อย 

[dingdong8002]

ถ้าเปลี่ยน USER ของ admin เป็นชื่อใหม่แล้ว อย่าลืมไปแก้ user_nicename ให้เป็นชื่ออื่น ใน MySQL database ด้วยนะคะ

ไม่งั้นมันจะโชว์ใน link author อยู่ดี ทำให้พวกชอบแฮ็ค มันรู้ user ใหม่จนได้


ของเราใช้ plugin ตัวที่ จขกท. ใช้เหมือนกัน บางเว็บพยายามแฮ็คกันมาได้ สัปดาห์ละ 700 ครั้ง ด้วย user "admin"

น่ารำคาญมากๆ กำลังมองหา plugin เล็กๆ เบาๆ ที่สามารถ Block คนที่พยายาม login ด้วยชื่อ admin (ที่ไม่ใช่ wordfence) อยู่

แต่ยังหาไม่เจอเลย

ใครมีตัวไหนแนะนำ รบกวนแบ่งปันกันด้วยนะคะ

ผมใช้ ด่านแรก HC Custom WP-Admin URL เพื่อกำหนด url เองแทน /wp-admin  ถ้าพิมพ์ผิดมันก็เด้งเข้าหน้าหลัก



 ถ้าผ่านด่านแรกมาได้ ด่านสอง Captcha on Login เพื่อให้ใส่  Captcha  ป้องกันบอท




ถ้าผ่านสองด่านไปได้ ก็ยังมี Limit Login Attempts อีกด่าน  


แค่ user ก็ไม่ใช่ admin แล้ว เดาอันนี้ให้ได้ก่อนเถอะ  

[undream3]

สมัยนี้ต้องระวังผมเห็นตาเล็กวินโดว โพสอยู่ว่าสมัยนี้ wp มี พวกก xss เยอะมาก

[Jaideejung007™]

+1 ทุกคอมเม้นท์แล้วนะครับ

ขอบคุณที่ร่วมแบ่งปันข้อมูลกันครับ

[Donny jet]

-*- น่ากลัวดี 

[bonkbonk]

เป็นบอทเหรอครับตกลง

[super18xxx]

ขอบคุณครับ ได้ความรู้อีกแล้ว   

[pongpiya]

ถ้าเปลี่ยน USER ของ admin เป็นชื่อใหม่แล้ว อย่าลืมไปแก้ user_nicename ให้เป็นชื่ออื่น ใน MySQL database ด้วยนะคะ

ไม่งั้นมันจะโชว์ใน link author อยู่ดี ทำให้พวกชอบแฮ็ค มันรู้ user ใหม่จนได้


ของเราใช้ plugin ตัวที่ จขกท. ใช้เหมือนกัน บางเว็บพยายามแฮ็คกันมาได้ สัปดาห์ละ 700 ครั้ง ด้วย user "admin"

น่ารำคาญมากๆ กำลังมองหา plugin เล็กๆ เบาๆ ที่สามารถ Block คนที่พยายาม login ด้วยชื่อ admin (ที่ไม่ใช่ wordfence) อยู่

แต่ยังหาไม่เจอเลย

ใครมีตัวไหนแนะนำ รบกวนแบ่งปันกันด้วยนะคะ

ตรงนี้ให้ไปแก้ที่ไฟล์ไหนครับ ทำไมผมหาไม่เจอเลยอ่ะครับ รบกวนขอคำชี้แนะด้วยนะค๊าบบบ 

[musichost]

พระเจ้า น่ากลัว 

[lanama]

ผมใช้ ด่านแรก HC Custom WP-Admin URL เพื่อกำหนด url เองแทน /wp-admin  ถ้าพิมพ์ผิดมันก็เด้งเข้าหน้าหลัก



 ถ้าผ่านด่านแรกมาได้ ด่านสอง Captcha on Login เพื่อให้ใส่  Captcha  ป้องกันบอท




ถ้าผ่านสองด่านไปได้ ก็ยังมี Limit Login Attempts อีกด่าน  


แค่ user ก็ไม่ใช่ admin แล้ว เดาอันนี้ให้ได้ก่อนเถอะ  

ขอบคุณค่ะ บางเว็บของเราใช้ captcha 2plugins (2ชั้น) เลยล่ะ มันยังมีความพยายามจะแฮ็คแบบเย้ยฟ้าท้าดิน 5555


ส่วนวิธีเปลี่ยนหน้า Custom WP-Admin URL ว่าจะทำอยู่ แต่ว่าอยากให้เป็นทางเลือกสุดท้าย อยากได้แบบ ใครก็ตาม ที่พยายามลงชื่อด้วย "admin" โดน Block ไปเลยตลอดชาติ

ถ้าเปลี่ยน USER ของ admin เป็นชื่อใหม่แล้ว อย่าลืมไปแก้ user_nicename ให้เป็นชื่ออื่น ใน MySQL database ด้วยนะคะ

ไม่งั้นมันจะโชว์ใน link author อยู่ดี ทำให้พวกชอบแฮ็ค มันรู้ user ใหม่จนได้


ของเราใช้ plugin ตัวที่ จขกท. ใช้เหมือนกัน บางเว็บพยายามแฮ็คกันมาได้ สัปดาห์ละ 700 ครั้ง ด้วย user "admin"

น่ารำคาญมากๆ กำลังมองหา plugin เล็กๆ เบาๆ ที่สามารถ Block คนที่พยายาม login ด้วยชื่อ admin (ที่ไม่ใช่ wordfence) อยู่

แต่ยังหาไม่เจอเลย

ใครมีตัวไหนแนะนำ รบกวนแบ่งปันกันด้วยนะคะ

ตรงนี้ให้ไปแก้ที่ไฟล์ไหนครับ ทำไมผมหาไม่เจอเลยอ่ะครับ รบกวนขอคำชี้แนะด้วยนะค๊าบบบ 

เข้า phpMyAdmin > เลือก database > คลิก wp_users > คลิก Edit บรรทัดของ user ที่ต้องการ > ตรงช่อง user_nicename ให้เปลี่ยนให้เป็นอะไรก็ได้ ที่เป็นคนละชื่อกับช่อง user_login


ถ้าไม่เปลี่ยน พวกชอบแฮ็คก็จะรู้ user เราอยู่ดี จาก Link :
http://www .เว็บของเรา.com/author/ชื่อuserของadminที่ใช้login/

[zinbad]

ไม่ต้องกลัวครับ   ....,มีโอกาสโดนทุกคน  โดนจนชินแ้ล้ว  เป็นประสบการณ์   ที่ปลอดภัย  คือต้อง Backup ข้อมูลตลอด

[jorjee001]

แค่นี้น้อยมากครับ   ไปดูพวกโฮสติ้ง - เซิฟเวอร์ว่าเขาโดน brute force attack  วันนึงเท่าไร

[pongpiya]

ผมใช้ ด่านแรก HC Custom WP-Admin URL เพื่อกำหนด url เองแทน /wp-admin  ถ้าพิมพ์ผิดมันก็เด้งเข้าหน้าหลัก



 ถ้าผ่านด่านแรกมาได้ ด่านสอง Captcha on Login เพื่อให้ใส่  Captcha  ป้องกันบอท




ถ้าผ่านสองด่านไปได้ ก็ยังมี Limit Login Attempts อีกด่าน  


แค่ user ก็ไม่ใช่ admin แล้ว เดาอันนี้ให้ได้ก่อนเถอะ  

ขอบคุณค่ะ บางเว็บของเราใช้ captcha 2plugins (2ชั้น) เลยล่ะ มันยังมีความพยายามจะแฮ็คแบบเย้ยฟ้าท้าดิน 5555


ส่วนวิธีเปลี่ยนหน้า Custom WP-Admin URL ว่าจะทำอยู่ แต่ว่าอยากให้เป็นทางเลือกสุดท้าย อยากได้แบบ ใครก็ตาม ที่พยายามลงชื่อด้วย "admin" โดน Block ไปเลยตลอดชาติ

ถ้าเปลี่ยน USER ของ admin เป็นชื่อใหม่แล้ว อย่าลืมไปแก้ user_nicename ให้เป็นชื่ออื่น ใน MySQL database ด้วยนะคะ

ไม่งั้นมันจะโชว์ใน link author อยู่ดี ทำให้พวกชอบแฮ็ค มันรู้ user ใหม่จนได้


ของเราใช้ plugin ตัวที่ จขกท. ใช้เหมือนกัน บางเว็บพยายามแฮ็คกันมาได้ สัปดาห์ละ 700 ครั้ง ด้วย user "admin"

น่ารำคาญมากๆ กำลังมองหา plugin เล็กๆ เบาๆ ที่สามารถ Block คนที่พยายาม login ด้วยชื่อ admin (ที่ไม่ใช่ wordfence) อยู่

แต่ยังหาไม่เจอเลย

ใครมีตัวไหนแนะนำ รบกวนแบ่งปันกันด้วยนะคะ

ตรงนี้ให้ไปแก้ที่ไฟล์ไหนครับ ทำไมผมหาไม่เจอเลยอ่ะครับ รบกวนขอคำชี้แนะด้วยนะค๊าบบบ 

เข้า phpMyAdmin > เลือก database > คลิก wp_users > คลิก Edit บรรทัดของ user ที่ต้องการ > ตรงช่อง user_nicename ให้เปลี่ยนให้เป็นอะไรก็ได้ ที่เป็นคนละชื่อกับช่อง user_login


ถ้าไม่เปลี่ยน พวกชอบแฮ็คก็จะรู้ user เราอยู่ดี จาก Link :
http://www .เว็บของเรา.com/author/ชื่อuserของadminที่ใช้login/

ขอบคุณมากๆ ครับ +1 

[fangbif]

Jetpack มันก็บล็อกได้พอสมควรนะคะ

[nonkungzacb]

มาฟังด้วยคนครับจะได้ป้องกัน

[lekrabbit]

ผมเคยโดนครั้งหนึ่งครับ แล้วแก้ปัญหาดังนี้
1. ป้องกันโดยใช้ Plugin Lockin Lock
แล้วตั้งค่าโหดๆ เช่น Lock In ผิด 2ครั้ง ใน 2นาที Block IP 60000 นาที


2. ตั้ง Password ยาวๆ มีตัวใหญ่ เล็ก อักษรพิเศษและ ตัวเลข
ตัวอย่าง Password ที่ใช้: ak2#Qdm1$&8d9)idkQitr%5pj;Gs9&mD^aV0jkc
แล้วเก็บ Password ไว้ใน Excel อีกครั้ง (กันลืม กันหาย)

3. เปลี่ยน Password ในข้อ 2 ทุกเดือน Plug-In นี้บังคับเปลี่ยน

ตอนนี้รอดปลอดภัย แต่ก็มีเตือนเข้ามาทุกวันว่ามี คนพยายาม Login เข้ามาวันละหลายสิบ IP

[CreamStrawzbery]

คือผมเปลี่ยนลิ้งล็อคอินไปเลย มันจะช่วยอะไรไหมครับ ใช้วิธีนี้อยู่