ปัจจุบัน WordPress เป็น CMS ที่นิยมกันมากที่สุดในตอนนี้สำหรับเหล่าบรรดาคนที่ทำเว็บทั้ง Web Blog, Corporate, E-Commerce อื่นๆอีกมากมายแต่ส่วนใหญ่ผู้ที่ใช้งานไม่ได้คำนึงถึงเรื่องของ Security จึงทำให้เวปไซต์ 30-50% ในปัจจุบันมีช่องโหว่ให้ผู้ไม่หวังดีเข้ามาโจมตีได้ทั้งทาง Plugin,Themes,Brute Force Attack เป็นต้น ต้องบอกก่อนว่าช่องโหว่ส่วนใหญ่ไม่ได้เป็นที่ทาง wordpress.org แต่เป็นเพราะ Plugin หรือ Themes เป็นส่วนใหญ่ถูกพัฒนามาจากบุคคลทั่วไปที่มาร่วมพัฒนาทั้งแจกฟรีและแบบเสียเงิน จึงได้ขอคำปรึกษากับทางบริษัท Datafarm ผู้ให้บริการ Security Consult และรับทำพวก Penetration Testing ถึงแนวทางการแก้ไขปัญหานี้ จึงแนะนำให้ผมได้รู้จักกับ Plugin ชื่อว่า NinjaFirewall ซึ่งการทำงานคือ Plugin จะมี Rule ต่างๆที่เป็นการโจมตีอยู่และจะสามารถ Detect ได้เบื้องต้นและทำเป็น report ให้ว่ามีการโจมตีเข้ามาและจะทำการ reject ผู้โจมตีให้อัตโนมัติ
ชั้นตอนการติดตั้ง NinjaFirewall
1 > Search หา Plugin และทำการ Install
2 > ให้เลือกโหมดการทำงาน แนะนำ PHP5 Module
3 > กลังจากนั้นตัว Plugin จะให้เรายอมรับให้ทำการเขียนไฟล์ .htaccess ให้กด Nextstep ได้เลยครับ
# BEGIN NinjaFirewall php_value auto_prepend_file/home/xxxxxx/public_html/wp-content/plugins/ninjafirewall/lib/firewall.php # END NinjaFirewall
เพียงเท่านี้ก็เสร็จขั้นตอนการติดตั้ง
และสำหรับผู้ที่ต้องการความ Advance สามารถเข้าไปปรับแต่ง Rule ได้ตามความต้องการ (หากไม่ชัวไม่แนะนำให้ปรับแต่งนะครับเพราะอาจจะทำให้เวปไม่สามารถเข้าใช้งานได้เพราะเขียน rule ผิด ^ ^)
report สำหรับตรวจดูว่ามีการโจมตีเข้ามาที่ Web Application ของเราหรือเปล่าสามารถดูได้ที่หน้า report
สำหรับคนที่สนใจหลักการทำงานของ Plugin ตัวนี้ก็สามารถเข้าไปเปิด source code ดูได้ซึ่งไมได้ถูกเข้ารหัสไว้ที่ Path : /wp-content/plugins/ninjafirewall/lib/firewall.php
Ref : https://wordpress.org/plugins/ninjafirewall
