สวัสดีครับพี่น้องผู้ประกอบการ SME ทุกท่าน วันนี้จ่าวิทมีเรื่องสำคัญที่อยากจะย้ำเตือนกันอีกครั้ง นั่นคือเรื่อง ความปลอดภัย WordPress โดยเฉพาะการตั้งค่าสิทธิ์ไฟล์และโฟลเดอร์หลังบ้าน หรือที่เราเรียกกันว่า File Permissions ครับ

หลายท่านอาจจะเคยได้ยินคำว่า 644 หรือ 755 มาบ้าง แต่ไม่รู้ว่ามันสำคัญยังไง ผมจะเล่าให้ฟังแบบง่ายๆ เหมือนเรามีบ้านหลังหนึ่งครับ

อันตรายของการตั้งค่าสิทธิ์ไฟล์หลังบ้านผิด (เช่น 777)

ลองนึกภาพว่าเว็บไซต์ WordPress ของคุณคือบ้านหลังหนึ่ง ไฟล์และโฟลเดอร์ต่างๆ ก็คือข้าวของและห้องหับในบ้าน ถ้าคุณตั้งค่าสิทธิ์ไฟล์ผิดพลาดไปเป็น 777 นั่นหมายความว่าคุณกำลัง เปิดประตูบ้านทิ้งไว้ กุญแจก็วางอยู่หน้าบ้าน ใครเดินผ่านไปผ่านมาก็สามารถเข้ามาเขียนอะไรลงไปในบ้านคุณได้ง่ายๆ เลยครับ! แฮกเกอร์ชอบตรงนี้มาก เพราะมันคือช่องทางชั้นดีที่จะแทรกไฟล์แปลกปลอม, สคริปต์อันตราย หรือแม้แต่ฝังมัลแวร์ลงไปในเว็บไซต์คุณได้อย่างสบายๆ โดยที่คุณไม่รู้ตัวเลยครับ

ผลกระทบเหรอครับ? เว็บไซต์ช้าลง, แสดงโฆษณาแปลกๆ, ถูกนำไปใช้ส่งสแปม, หรือร้ายแรงที่สุดคือโดนลบข้อมูลทิ้งทั้งหมดครับ

วิธีตรวจสอบและตั้งค่าสิทธิ์โฟลเดอร์และไฟล์ที่ถูกต้อง

ไม่ต้องกังวลครับ การแก้ไขเรื่องนี้ไม่ยากอย่างที่คิด เรามาทำความเข้าใจค่าที่ถูกต้องกัน:

• สำหรับไฟล์ทั้งหมด (Files): ควรตั้งค่าเป็น 644 ครับ หมายถึง เจ้าของไฟล์สามารถอ่านและเขียนได้, กลุ่มผู้ใช้งานและคนอื่นๆ สามารถอ่านได้อย่างเดียวครับ
• สำหรับโฟลเดอร์ทั้งหมด (Folders): ควรตั้งค่าเป็น 755 ครับ หมายถึง เจ้าของโฟลเดอร์สามารถอ่าน เขียน และเข้าถึงได้, กลุ่มผู้ใช้งานและคนอื่นๆ สามารถอ่านและเข้าถึงได้อย่างเดียวครับ

การปรับค่านี้มักจะทำผ่านโปรแกรม FTP Client (เช่น FileZilla) หรือผ่าน File Manager ใน cPanel ครับ หากไม่แน่ใจ แนะนำให้ปรึกษาผู้เชี่ยวชาญครับ

เทคนิคพิเศษจากคุณแป้ง พระนครซอฟต์ เพื่อความปลอดภัยสูงสุด

เรื่อง ความปลอดภัย WordPress นี่ คุณแป้ง พระนครซอฟต์ ย้ำกับผมหลายรอบมากครับว่า นอกจาก File Permissions แล้ว ยังมีเทคนิคสำคัญที่ผู้ประกอบการ SME ไม่ควรมองข้ามเลยครับ

1. ปิดการแก้ไขไฟล์ผ่าน Dashboard (DISALLOW_FILE_EDIT)

ในฐานะผู้เชี่ยวชาญ คุณแป้ง แนะนำมาเลยครับว่า ควรปิดความสามารถในการแก้ไขไฟล์ธีมและปลั๊กอินผ่าน WordPress Dashboard ครับ เพราะถ้าแฮกเกอร์เจาะระบบเข้ามาได้แค่รหัสผ่านหลังบ้าน เขาก็จะแก้ไขไฟล์สำคัญๆ ได้ทันที ซึ่งเป็นอันตรายมากครับ

วิธีการคือ เพิ่มโค้ดบรรทัดนี้ลงในไฟล์ wp-config.php ของคุณครับ:

define('DISALLOW_FILE_EDIT', true);

ง่ายๆ แค่นี้ก็ช่วย ป้องกันสิทธิ์ไฟล์หลังบ้าน ได้อีกชั้นแล้วครับ

2. การปกป้องไฟล์ wp-config.php หัวใจของเว็บไซต์

ไฟล์ wp-config.php คือหัวใจของเว็บไซต์ WordPress ของคุณเลยครับ เพราะมันเก็บข้อมูลสำคัญ เช่น ข้อมูลการเชื่อมต่อฐานข้อมูล ซึ่งถ้าหลุดไป แฮกเกอร์ก็ควบคุมเว็บไซต์คุณได้ทันที

สูตรลับที่คุณแป้ง พระนครซอฟต์ นำมาปรับแต่งให้ระบบหลังบ้านลูกค้าพ้นขีดอันตรายคือ การย้ายไฟล์ wp-config.php ไปไว้ในตำแหน่งที่ปลอดภัยขึ้น เช่น ย้ายไปอยู่นอก Root Directory ของ WordPress ครับ (แต่ต้องมั่นใจว่าเซิร์ฟเวอร์ของคุณรองรับและตั้งค่าถูกต้องนะครับ ซึ่งเทคนิคนี้ค่อนข้างแอดวานซ์ ถ้าไม่แน่ใจ ควรให้ผู้เชี่ยวชาญดูแลครับ) นอกจากนี้ คุณแป้งยังแนะนำให้จำกัดสิทธิ์การเข้าถึงไฟล์ wp-config.php ให้เป็น 400 หรือ 440 เพื่อให้มีเพียงเจ้าของเท่านั้นที่อ่านได้ และไม่มีใครสามารถเขียนหรือแก้ไขได้เลยครับ

เห็นไหมครับพี่น้อง การ ตั้งค่า File Permissions WordPress และการดูแลไฟล์สำคัญๆ ไม่ใช่เรื่องไกลตัวเลยครับ มันคือการลงทุนเพื่อความปลอดภัยและความยั่งยืนของธุรกิจออนไลน์ของคุณเองครับ

ถ้าใครอ่านแล้วรู้สึกว่ายากเกินไป หรือไม่มีเวลาดูแลเรื่องพวกนี้เอง ไม่ต้องกังวลนะครับ ทาง PhranakornSoft ยินดีให้คำปรึกษาและดูแลเว็บไซต์ของคุณให้ปลอดภัยไร้กังวลครับ ติดต่อเข้ามาได้เลยนะครับ