.htaccess Security Hacks ตั้งค่าปกป้องเว็บไซต์จาก Hacker ได้ง่ายๆ • HeadPhoneSloud

ไฟล์ .htaccess เป็นเครื่องมือสำคัญที่ช่วยเสริมความปลอดภัยให้กับเว็บไซต์ WordPress โดยสามารถใช้ป้องกันการโจมตี ปิดกั้นการเข้าถึงไฟล์สำคัญ และลดความเสี่ยงจากแฮกเกอร์ได้ง่ายๆ มาดูวิธีตั้งค่าความปลอดภัยที่ควรรู้

1 ปิดการเข้าถึงไฟล์สำคัญของ WordPress

ไฟล์หลักของ WordPress เช่น wp-config.php และ .htaccess เป็นเป้าหมายสำคัญของแฮกเกอร์ ควรปิดการเข้าถึงไฟล์เหล่านี้เพื่อป้องกันการถูกขโมยข้อมูล

cssคัดลอกแก้ไข<files wp-config.php>
order allow,deny
deny from all
</files>

<files .htaccess>
order allow,deny
deny from all
</files>

2 ป้องกันการเรียกใช้ไฟล์ PHP ในโฟลเดอร์สำคัญ

แฮกเกอร์มักอัปโหลดไฟล์ PHP อันตรายไปยังโฟลเดอร์เช่น wp-content/uploads เพื่อรันโค้ดอันตราย สามารถป้องกันได้โดยปิดการทำงานของ PHP ในโฟลเดอร์นี้

phpคัดลอกแก้ไข<Directory "/wp-content/uploads/">
    <FilesMatch "\.php$">
        deny from all
    </FilesMatch>
</Directory>

3 ป้องกันการเข้าถึง Directory โดยตรง

หากไม่ได้ป้องกันไว้ แฮกเกอร์สามารถเข้าถึงไดเรกทอรีของเว็บไซต์และดูไฟล์ที่อยู่ภายในได้ ควรปิดการแสดงรายการไดเรกทอรีด้วยโค้ดนี้

mathematicaคัดลอกแก้ไขOptions -Indexes

4 บล็อกการเข้าถึงไฟล์ .htaccess จากภายนอก

เพื่อป้องกันไม่ให้แฮกเกอร์แก้ไขหรือดูค่าในไฟล์ .htaccess สามารถใช้โค้ดนี้เพื่อบล็อกการเข้าถึง

cssคัดลอกแก้ไข<files .htaccess>
order allow,deny
deny from all
</files>

5 จำกัดการเข้าถึงหน้า wp-admin

แฮกเกอร์มักพยายามเข้าถึงหน้า wp-admin เพื่อลองสุ่มรหัสผ่าน สามารถตั้งค่าให้เฉพาะ IP ที่ระบุเข้าถึงได้

pgsqlคัดลอกแก้ไข<Files wp-login.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>

เปลี่ยน “xxx.xxx.xxx.xxx” เป็น IP ของคุณ หรือถ้าใช้หลาย IP สามารถเพิ่มบรรทัด allow from ตามจำนวนที่ต้องการ

6 ป้องกันการโจมตี Brute Force

Brute Force Attack คือการเดารหัสผ่านซ้ำๆ จนสามารถเข้าระบบได้ สามารถลดความเสี่ยงได้โดยจำกัดจำนวนการเข้าถึง

pgsqlคัดลอกแก้ไข<Limit LOGIN>
    Order Deny,Allow
    Deny from all
    Allow from xxx.xxx.xxx.xxx
</Limit>

7 บล็อกบอทอันตรายและผู้ไม่หวังดี

หากพบว่ามีบอทหรือ IP แปลกๆ เข้าถึงเว็บบ่อยๆ สามารถบล็อกได้ด้วย .htaccess

nginxคัดลอกแก้ไขDeny from 123.456.789.000
Deny from 111.222.333.444

เปลี่ยนเป็น IP ที่ต้องการบล็อก หรือหากต้องการบล็อก User-Agent ที่เป็นอันตราย

scssคัดลอกแก้ไขRewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (badbot|maliciousbot|evilbot) [NC]
RewriteRule .* - [F,L]

8 เปิดใช้งาน HTTP Security Headers

ช่วยป้องกันการโจมตีประเภท XSS และ Clickjacking โดยเพิ่มเฮดเดอร์ความปลอดภัยใน .htaccess

pgsqlคัดลอกแก้ไขHeader set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"

สรุป

การใช้ .htaccess เพื่อเสริมความปลอดภัยช่วยป้องกันเว็บไซต์จากแฮกเกอร์ได้อย่างมีประสิทธิภาพ ควรตั้งค่าตามแนวทางที่เหมาะสมกับเว็บไซต์ และสำรองไฟล์ .htaccess ก่อนแก้ไขทุกครั้งเพื่อป้องกันข้อผิดพลาดที่อาจทำให้เว็บไซต์ใช้งานไม่ได้