เป็นที่ทราบกันดีอยู่แล้วว่าโฟลเดอร์ wp-admin นั้นเป็นโฟลเดอร์ที่เข้าถึง Dashboard หรือส่วนควบคุมของ WordPress นั่นเอง ส่วนนี้ จะเข้าถึงได้ก็ต่อเมื่อป้อนชื่อผู้ใช้และรหัสผ่านถูกต้อง แต่ถ้าบล็อกถูก hack จะทำอย่างไรล่ะ ไม่ให้เข้าถึงได้ มันมีทางเป็นไปได้ไหม???
มีทางเป็นไปได้ครับ นั่นก็คือ การกำหนดให้เฉพาะ IP ที่เรากำหนดสามารถเข้าถึงโฟลเดอร์ wp-admin ได้เท่านั้น ซึ่งเมื่อเรากำหนด IP ไปแล้ว หากมีใครเข้าสู่ระบบแล้ว แต่เลข IP ของเครื่องที่เข้าสู่ระบบไม่ตรงกับที่กำหนดเอาไว้ ก็ไม่สามารถเข้าถึงได้ แม้แต่คุณเองก็ตาม ก็อาจหมดสิทธิ์ได้ ถ้า IP ไม่ตรงตามที่กำหนดเอาไว้
การกำหนดเลข IP นี้ กำหนดได้โดยการสร้างไฟล์ .htaccess แล้วใส่โค้ดที่อยู่ด้านล่างนี้
order deny,allow allow from xxx.xxx.xxx.xxx deny from all
ตรง xxx.xxx.xxx.xxx คือเลข IP ของเครื่องคุณเอง (ที่ได้รับจาก ISP นะไม่ใช่ IP ในเครือข่าย) ที่จะต้องป้อน สามารถป้อนแบบเต็มทั้ง 4 ชุดเลย เช่น 203.156.24.196 หรือจะใส่เฉพาะ ชุดที่ 1 เช่น 203 หรือ ชุดที่ 1 และ ชุดที่ 2 ก็ได้ เช่น 203.156 ในกรณีที่ใส่ไม่ครบ 4 ชุด ก็จะครอบคลุม subnet ที่เหลือทั้งหมด
ในกรณีที่มี IP หลาย ๆ กลุ่ม เราก็เพิ่ม allow from xxx.xxx.xxx.xxx ตามกลุ่มที่เราต้องการ เช่น คุณอาจจะได้รับ IP เริ่มต้นเป็น 203 บ้าง เป็น 61 บ้าง เราก็เพิ่มเข้าไปตามกลุ่ม IP นั้น ๆ
order deny,allow allow from 203.156.24.196 deny from all
ตัวอย่างด้านบนนี้ จะเข้าถึงโฟลเดอร์ wp-admin ได้เฉพาะเครื่องที่มี IP คือ 203.156.24.196 เท่านั้น
order deny,allow allow from 203.156.24.196 allow from 61 deny from all
ตัวอย่างด้านบนนี้เพิ่มแถว allow from 61 เข้ามา นั่นหมายความว่า เครื่องที่มี IP เป็น 203.156.24.196 และ IP ที่ขึ้นต้นด้วย 61 เท่านั้นที่จะสามารถเข้า wp-admin ได้ ซึ่งหากมีคน hack บล็อกของคุณเข้าสู่ระบบ โดยป้อนชื่อผู้ใช้และรหัสผ่านถูกต้อง แต่ IP ไม่ตรงกับที่เรากำหนดไว้ใน .htaccess ก็จะเข้าถึง Dashboard ไม่ได้
- allow from คือ อนุญาตให้เข้าถึงได้ตาม IP ที่กำหนด
- deny from all คือ ปฏิเสธการเข้าถึงจากทุก ๆ IP ที่ไม่ตรงกับ allow from
เมื่อกำหนดหมายเลข IP ได้แล้วก็นำโค้ดเหล่านั้นไปใส่ในไฟล์ .htaccess แล้วอัพโหลดไปไว้ในโฟลเดอร์ wp-admin
หากต้องการทดสอบว่าใช้งานได้จริงหรือไม่ ให้คุณกำหนด IP ที่ไม่ใช่เครื่องของคุณในบรรทัด allow from แล้วอัพโหลดไปไว้ในโฟลเดอร์ wp-admin แล้วลองเข้าสู่ระบบดูว่า จะสามารถเข้าได้หรือไม่ หากต้องการเข้าใช้งานจริง ๆ ก็ให้ลบไฟล์ .htaccess ออก
และเมื่อทดลองแล้ว ก็อย่าลืมแก้ IP ใหม่ให้ตรงกับเครื่องของคุณเองนะครับ
มีวิธีอื่นอีกไหมคะ คือว่าการที่จะลอค IP ไว้มันจะไม่ค่อยสะดวกเท่าไหร่อ่ึ่ะคะ
ทำการ Protect Directory ครับ ป้องกันการเข้าถึงโฟลเดอร์ wp-admin ด้วยรหัสผ่าน ตั้งค่านี้ได้จาก Control Panel ในโฮสติ้งนะครับ
Pingback: ป้องกันการเข้าถึงโฟลเดอร์ wp-admin | จุ๊บแจง