หลังจากคุณติดตั้ง wordpress เสร็จเรียบร้อยแล้ว คุณคงมีความสุขกับการสร้าง และออกแบบเว็บไซต์ของคุณ โดยอาจจะไม่รู้ว่า อันตรายกำลังมาถึงตัว !!

หากคุณ แค่เพียงติดตั้งเว็บไซต์ด้วยเจ้าเว็บไซต์สำเร็จรูปอย่าง Wordpress แล้วคิดว่าเว็บไซต์จะไม่มีอันตรายใดๆ คุณคิดผิดมหันต์ !!

เพราะทุกวันนี้เหล่าผู้ไม่ประสงค์ดีทั้งหลาย (Hacker) เพิ่มมากขึ้น โปรแกรม และเทคนิคในการช่วย Hack เว็บไซต์ของคุณ ก็มีเพิ่มมากขึ้นด้วยเช่นกัน เพราะฉะนั้นหากคุณไม่ได้กำหนดสิทธิ์การเข้าถึงไฟล์อย่างถูกต้องแล้ว คุณจะตกเป็นเหยื่อของพวกโปรแกรม Hack ได้อย่างง่ายดาย

ยกตัวอย่างง่ายๆ นะครับ หากคุณสร้างไฟล์บนคอมพิวเตอร์ของคุณขึ้นมาซักไฟล์นึง ซึ่งบรรจุ Password ทั้งหมดของคุณไว้ คุณจะให้สิทธิ์ทุกคนในการเข้าถึงไฟล์นี้หรือเปล่าครับ ??

ใช่มั้ยหล่ะครับ.. ไม่แน่นอน!  นั่นแหล่ะครับ ผมถึงบอกว่าทำไมการตั้งค่าสิทธิ์ files และ Folders บนเว็บไซต์ของคุณนั้นเป็นสิ่งสำคัญ และจำเป็นมากๆ

หากเว็บไซต์ของคุณเป็นแค่ HTML ธรรมด๊าา ธรรมดา ก็คงไม่เป็นอะไรมาก แต่หากมากับ Platform อย่าง wordpress หรือ ระบบ CMS อื่นๆ คุณควรจะต้องระวังการติดตั้งเป็นอย่างมาก

เป็นที่ทราบกันดีว่า Wordpress ได้ถูกเขียนด้วยภาษา PHP และ ภาษา PHP ได้ถูก execute โดย web server ถ้าเว็บไซต์คุณถูกตั้งค่าไว้อย่างไม่ปลอดภัย แน่นอนว่า เหล่า Hacker สามารถสร้างไฟล์ PHP Script ขึ้นมาภายใต้เว็บไซต์ของคุณอย่างง่ายดาย และแน่นอนว่า script นั้น คงไม่ใช่ script “Hello World” เป็นแน่แท้..

Hacker สามารถดึงข้อมูลของ server ของคุณออกมา, ลบ/สร้าง/แก้ไข files หรือ folders ของคุณได้อย่างง่ายดาย .. บางคนอาจจะบอกว่า เอ๊ะ! ก็เห็นเว็บไซต์มันยังดูดีอยู่นี่ ไม่เห็นจะมีอะไรน่าเป็นห่วงเลย! ผมขอบอกไว้ตรงนี้เลยว่า ถ้าคุณคิดอย่างนั้น นั่นแหล่ะน่าเป็นห่วงมากที่สุด !

ทำไมหน่ะหรือครับ คุณลองคิดดูนะครับ หากมีคนพยายามจะใช้ wifi บ้านคุณฟรีๆ เมื่อเขา hack จนใช้งาน wifi จากบ้านคุณได้แล้ว เขาจะปิดการใช้งาน wifi ของบ้านคุณมั้ยครับ แน่นอนครับว่าไม่.. คุณจะไม่รู้อะไรเลย.. แค่รู้สึกว่า เล่น Internet ช้าลงเท่านั้น..

เช่นกันครับ เมื่อ Hacker ได้ทำการ Hack เข้ามาได้แล้ว จะทำการสร้างไฟล์ หรือ ระบบ ใดๆ ขึ้นมา เพื่อหวังใช้ประโยชน์จาก ทรัพยากร (Resource) จากเว็บไซต์ / Server ของคุณครับ เช่นการส่งอีเมล์ออกเป็น หมื่นๆ แสนๆ ฉบับ (เพื่อโปรโมทสินค้า ฯลฯ) จาก Email Account ของคุณ ทีนี้เมื่อส่งเป็นปริมาณมากๆ Bandwidth เว็บคุณก็จะสูงขึ้นโดยไม่ทราบสาเหตุ หรือคุณอาจจะส่งเมล์ไม่ได้ เพราะ LIMIT ในการส่งออกอีเมล์เต็ม หรืออาจจะใช้เว็บไซต์ของคุณในการไป Hack เว็บไซต์อื่นๆ ต่อไป เป็นต้น

ทีนี้พอจะมองภาพออกกันบ้างหรือยังครับ ว่ามันอันตรายแค่ไหน...

ฉะนั้น สิทธิ์ในการเข้าถึง files/folders ควรจะเป็นดังนี้ครับ :

1. ที่ Root Directory ของ wordpress ที่คุณติดตั้งควรจะตั้งค่าเป็น 0755 แบบ recursively
2. Folders ทั้งหมด ควรจะมีการตั้งค่าสิทธิ์เป็น 0755
3. Files ทั้งหมด ควรตั้งค่าเป็น 0644
4. ควรตรวจสอบให้แน่ใจว่าในเว็บของคุณไม่มีการตั้งค่า Folder เป็น 0777 ถึงแม้จะเป็น folder “upload” เพราะนั่นเป็นการบอกว่า “ทุกคน” สามารถเข้าถึงฉันได้ ควรจะใช้เป็น 0755 หรือ 0775 แทน

หากท่านไม่ทราบว่าจะทำการตั้งค่าสิทธิ์อย่างไร คลิกที่นี่

นอกจากนี้แล้ว Wordpress ยังมี plugin ดีๆ มากมายในการช่วยให้เว็บไซต์ของคุณปลอดภัยมากขึ้น อย่างเช่น “WP Security Scan” เป็นอีก 1 plugin ที่ควรจะมีติดตั้งไว้กับ wordpress ของคุณเป็นอย่างมาก เพราะ plugin นี้จะช่วยแนะนำให้คุณว่าทำอย่างไรเว็บไซต์ของคุณถึงจะปลอดภัย คุณแค่ทำตามที่ระบบบอกแค่นั้นเองครับ