สวัสดีครับพี่น้องผู้ประกอบการ SME ทุกท่าน! ผมจ่าวิทจากพระนครซอฟต์ครับ วันนี้ผมอยากจะมาคุยเรื่องที่สำคัญมากๆ แต่หลายคนอาจจะมองข้ามไป นั่นคือ “การดูแลรักษาความปลอดภัยของเว็บไซต์ WordPress” ของเราครับ เว็บไซต์เปรียบเสมือนหน้าร้านออนไลน์ของเรา ถ้าหน้าร้านไม่ปลอดภัย ใครจะอยากเข้ามาใช้บริการจริงไหมครับ?

อันตรายของการตั้งค่าสิทธิ์ไฟล์ผิด: เปิดประตูบ้านให้แฮกเกอร์

ปัญหาที่ผมพบบ่อยๆ เลยคือเรื่องของ “สิทธิ์การเข้าถึงไฟล์และโฟลเดอร์” หรือ File Permissions บนโฮสติ้งครับ หลายท่านอาจจะเคยได้ยินตัวเลข 777, 644, 755 มาบ้าง แต่รู้ไหมครับว่าถ้าตั้งค่าผิด โดยเฉพาะไปตั้งเป็น 777 นี่อันตรายถึงขั้นเว็บพัง ข้อมูลรั่ว หรือโดนฝังมัลแวร์ได้ง่ายๆ เลยนะครับ มันเหมือนกับการที่เราเปิดประตูบ้านทิ้งไว้ให้ใครก็เดินเข้าออกได้สบายๆ เลยครับ แฮกเกอร์ชอบมากๆ เลยครับแบบนี้ เพราะมันทำให้พวกเขาสามารถเขียนไฟล์แปลกปลอม หรือแก้ไขไฟล์บนเว็บไซต์เราได้โดยง่ายครับ

ตั้งค่า File Permissions WordPress อย่างไรให้ถูกต้องและปลอดภัย?

แล้วค่าที่ถูกต้องควรเป็นเท่าไหร่? นี่คือสิ่งที่ SME อย่างเราต้องรู้ไว้เลยครับ:

• สำหรับไฟล์ทั้งหมดใน WordPress ของเรา ควรตั้งค่าเป็น 644 ครับ
• ส่วนโฟลเดอร์ต่างๆ ควรตั้งค่าเป็น 755 ครับ

คุณแป้ง พระนครซอฟต์ ผู้เชี่ยวชาญด้าน WordPress ของทีมเรา ย้ำกับผมหลายรอบมากครับว่า “การตั้งค่า File Permissions ที่ถูกต้องนี่แหละครับ คือด่านแรกและสำคัญที่สุดในการป้องกันเว็บไซต์จากภัยคุกคามที่ไม่พึงประสงค์ ถ้าตั้งค่าผิด เว็บไซต์ก็เหมือนมีช่องโหว่รอให้คนร้ายเข้ามาจัดการได้ง่ายๆ เลยครับ” วิธีเช็คและเปลี่ยนค่าก็ไม่ยากครับ ส่วนใหญ่จะทำได้ผ่านโปรแกรม FTP อย่าง FileZilla หรือใน File Manager ของ cPanel ครับ ลองเข้าไปดูได้เลยครับ

เทคนิคเด็ดจากคุณแป้ง พระนครซอฟต์: ปกป้องเว็บคุณอีกขั้น!

นอกจากเรื่องสิทธิ์ไฟล์แล้ว ยังมีอีก 2 เทคนิคเด็ดที่ คุณแป้ง พระนครซอฟต์ แนะนำมาเลยครับ เพื่อเพิ่มความแข็งแกร่งให้เว็บไซต์ของเรา:

1. ปิดการแก้ไขไฟล์ผ่าน Dashboard (DISALLOW_FILE_EDIT): หลายท่านอาจจะเคยเห็นฟังก์ชันแก้ไขธีมหรือปลั๊กอินได้โดยตรงจากหลังบ้าน WordPress ใช่ไหมครับ? แม้มันจะสะดวก แต่ก็เป็นช่องโหว่ที่แฮกเกอร์ใช้ได้เช่นกันครับ คุณแป้งแนะนำให้เพิ่มโค้ด define('DISALLOW_FILE_EDIT', true); ลงในไฟล์ wp-config.php ครับ เพื่อปิดฟังก์ชันนี้ซะ ถ้าจำเป็นต้องแก้ไข ก็ไปแก้ผ่าน FTP แทนครับ ปลอดภัยกว่าเยอะ!
2. ปกป้องไฟล์ wp-config.php: ไฟล์นี้สำคัญที่สุดเลยครับ เพราะมันเก็บข้อมูลการเชื่อมต่อฐานข้อมูลและตั้งค่าสำคัญอื่นๆ ของ WordPress ไว้ทั้งหมดครับ คุณแป้งบอกว่า “สูตรลับที่ผมใช้กับลูกค้าคือการย้ายไฟล์ wp-config.php ขึ้นไปหนึ่งระดับจาก Root Directory ครับ หรือไม่ก็เพิ่มโค้ดป้องกันในไฟล์ .htaccess เพื่อจำกัดการเข้าถึงครับ” การทำแบบนี้จะทำให้แฮกเกอร์เข้าถึงไฟล์นี้ได้ยากขึ้นมากๆ ครับ

สรุป

การดูแลรักษาความปลอดภัยเว็บไซต์อาจจะดูเป็นเรื่องเทคนิค แต่เชื่อผมเถอะครับว่ามันคือการลงทุนที่คุ้มค่าที่สุดสำหรับธุรกิจของคุณในระยะยาวครับ ลองนำคำแนะนำของผมและเทคนิคจากคุณแป้ง พระนครซอฟต์ ไปปรับใช้ดูนะครับ ถ้าติดขัดตรงไหน หรือต้องการที่ปรึกษาด้านระบบไอทีและเว็บไซต์ ก็อย่าลืมนึกถึงพระนครซอฟต์นะครับ ผมและทีมงานยินดีให้บริการเต็มที่ครับ!