ป้องกันการเข้าถึงโฟลเดอร์ wp-admin

เป็นที่ทราบกันดีอยู่แล้วว่าโฟลเดอร์ wp-admin นั้นเป็นโฟลเดอร์ที่เข้าถึง Dashboard หรือส่วนควบคุมของ WordPress นั่นเอง ส่วนนี้ จะเข้าถึงได้ก็ต่อเมื่อป้อนชื่อผู้ใช้และรหัสผ่านถูกต้อง แต่ถ้าบล็อกถูก hack จะทำอย่างไรล่ะ ไม่ให้เข้าถึงได้ มันมีทางเป็นไปได้ไหม???

มีทางเป็นไปได้ครับ นั่นก็คือ การกำหนดให้เฉพาะ IP ที่เรากำหนดสามารถเข้าถึงโฟลเดอร์ wp-admin ได้เท่านั้น ซึ่งเมื่อเรากำหนด IP ไปแล้ว หากมีใครเข้าสู่ระบบแล้ว แต่เลข IP ของเครื่องที่เข้าสู่ระบบไม่ตรงกับที่กำหนดเอาไว้ ก็ไม่สามารถเข้าถึงได้ แม้แต่คุณเองก็ตาม ก็อาจหมดสิทธิ์ได้ ถ้า IP ไม่ตรงตามที่กำหนดเอาไว้

การกำหนดเลข IP นี้ กำหนดได้โดยการสร้างไฟล์ .htaccess แล้วใส่โค้ดที่อยู่ด้านล่างนี้

order deny,allow 
allow from xxx.xxx.xxx.xxx  
deny from all

ตรง xxx.xxx.xxx.xxx คือเลข IP ของเครื่องคุณเอง (ที่ได้รับจาก ISP นะไม่ใช่ IP ในเครือข่าย) ที่จะต้องป้อน สามารถป้อนแบบเต็มทั้ง 4 ชุดเลย เช่น 203.156.24.196 หรือจะใส่เฉพาะ ชุดที่ 1 เช่น 203 หรือ ชุดที่ 1 และ ชุดที่ 2 ก็ได้ เช่น 203.156 ในกรณีที่ใส่ไม่ครบ 4 ชุด ก็จะครอบคลุม subnet ที่เหลือทั้งหมด

ในกรณีที่มี IP หลาย ๆ กลุ่ม เราก็เพิ่ม allow from xxx.xxx.xxx.xxx ตามกลุ่มที่เราต้องการ เช่น คุณอาจจะได้รับ IP เริ่มต้นเป็น 203 บ้าง เป็น 61 บ้าง เราก็เพิ่มเข้าไปตามกลุ่ม IP นั้น ๆ

order deny,allow 
allow from 203.156.24.196  
deny from all

ตัวอย่างด้านบนนี้ จะเข้าถึงโฟลเดอร์ wp-admin ได้เฉพาะเครื่องที่มี IP คือ 203.156.24.196 เท่านั้น

order deny,allow 
allow from 203.156.24.196  
allow from 61
deny from all

ตัวอย่างด้านบนนี้เพิ่มแถว allow from 61 เข้ามา นั่นหมายความว่า เครื่องที่มี IP เป็น 203.156.24.196 และ IP ที่ขึ้นต้นด้วย 61 เท่านั้นที่จะสามารถเข้า wp-admin ได้ ซึ่งหากมีคน hack บล็อกของคุณเข้าสู่ระบบ โดยป้อนชื่อผู้ใช้และรหัสผ่านถูกต้อง แต่ IP ไม่ตรงกับที่เรากำหนดไว้ใน .htaccess ก็จะเข้าถึง Dashboard ไม่ได้

  • allow from คือ อนุญาตให้เข้าถึงได้ตาม IP ที่กำหนด
  • deny from all คือ ปฏิเสธการเข้าถึงจากทุก ๆ IP ที่ไม่ตรงกับ allow from

เมื่อกำหนดหมายเลข IP ได้แล้วก็นำโค้ดเหล่านั้นไปใส่ในไฟล์ .htaccess แล้วอัพโหลดไปไว้ในโฟลเดอร์ wp-admin

หากต้องการทดสอบว่าใช้งานได้จริงหรือไม่ ให้คุณกำหนด IP ที่ไม่ใช่เครื่องของคุณในบรรทัด allow from แล้วอัพโหลดไปไว้ในโฟลเดอร์ wp-admin แล้วลองเข้าสู่ระบบดูว่า จะสามารถเข้าได้หรือไม่ หากต้องการเข้าใช้งานจริง ๆ ก็ให้ลบไฟล์ .htaccess ออก

และเมื่อทดลองแล้ว ก็อย่าลืมแก้ IP ใหม่ให้ตรงกับเครื่องของคุณเองนะครับ

5 Comments

  1. มีวิธีอื่นอีกไหมคะ คือว่าการที่จะลอค IP ไว้มันจะไม่ค่อยสะดวกเท่าไหร่อ่ึ่ะคะ

  2. ทำการ Protect Directory ครับ ป้องกันการเข้าถึงโฟลเดอร์ wp-admin ด้วยรหัสผ่าน ตั้งค่านี้ได้จาก Control Panel ในโฮสติ้งนะครับ

  3. เพิ่มได้เรื่อย ๆ โดยการเพิ่มบรรทัดครับ

Leave a Reply

Your email address will not be published. Required fields are marked *


*