หลังจากครั้งที่แล้วได้เขียนบทความเกี่ยวกับ ป้องกัน wordpress จากผู้ไม่ประสงค์ดีแบบง่ายๆ แต่ก็ยังไม่ได้ลงลึกเรื่องของ Brute force attack มากเท่าไหร่เพราะส่วนตัวก็โดนเป็นประจำแต่มองเป็นเรื่องธรรมดาไปแล้ว5555+ ประเด็นวันนี้มีเหตุมาจากรำคาญ อีเมลที่แจ้ง Brute force attack ของ ithemesecurity (ไม่ใช่ว่าไม่ดีถ้า set ดีๆมันจะมีโหมด Always Mode ตั้งเวลาเปิดปิดได้)แจ้งมาชนิดที่ว่า เช้า สาย บ่าย เย็น คุณเธอจะมาอะไรเยอะแยะทุกวันปานนั้นก็เลย
ลองเอา reCAPTCHA ไปดักดูสรุปก็เอาไม่อยู่เช่นเคย นั่งๆหาข้อมูลวิธีการป้องกันมาหลายๆเว็บการตั้งค่าแต่ละแบบแต่ละปลั๊กอินก็มีไม่เหมือนกันอยู่ๆ ด้วยความที่ยุ่งยากอยู่ๆก็คิดมาได้ว่าเอ่อทำไมไม่ลองใช้ jetpack ดูล่ะเพื่ออะไรๆจะดีขึ้นอันที่จริงต้องบอกก่อนว่าก่อนที่จะเริ่มใช้ ithemesecurity ใหม่ๆก็ใช้ jetpack เหมือนกันเหตุผลที่โบกมือลา jetpack เพราะคิดว่ามันทำให้เว็บช้าเว็บอึดน่าจะเป็นที่เรามโนไปเองหรือเปล่า 55555 แต่พอได้ลองกลับมาใช้ jetpack แล้วรู้สึก Love ขึ้นเพราะไม่ต้องระแวงว่าจะมี Brute force อีกวันนี้ก็มีเทคนิคดีๆ อยากจะมาแชร์ให้ทุกๆคนลองดูเนอะ
เริ่มต้นที่หน้า login เว็บของเรา /wp-admin บอกลาไปเลย (Blow me one last kiss)
อุปกรณ์ของเราและวิธีการแสนง่าย
1.ติดตั้งปลั๊กอิน jetpack ลงไปใน wordpress ของเราแล้วเชื่อมต่อ Account เราไปที่ wordpress.com (ใครที่ไม่มี Account อย่าลืมสมัครนะ)
2.ไปที่ jetpack แล้วเลือกที่เมนู security ตั้งค่าตามนี้เลยใครที่ต้องการความปลอดภัยเพิ่มขึ้นก็เลือก 2FA นะครับ(ในส่วนของ 2FA ให้ไปตั้งค่าที่ wordpress.com)
3.ลงปลั๊กอิน functionality plugin แนะนำเป็นตัวนี้เลย
4.ไปที่ Snippets แล้วว่างโค้ด
add_filter( 'jetpack_sso_bypass_login_forward_wpcom', '__return_true' ); //redirect ไป login wp.comadd_filter( ‘jetpack_remove_login_form’, ‘__return_true’ ); //บังคับปิดตายหน้า login
ต้องบอกก่อนว่าคำสั่งนี้คือคำสั่งให้ login ผ่าน wordpress.com เท่านั้นเวลาพิมพ์ /wp-admin หรือ /wp-login.php มันก็จะ redirect ไปยัง wordpress.com วิธีนี้เรียกว่า Secure Sign On เป็นการ login wordpress ของเราไว้ที่เดียวฝากผีฝากไข้ให้ wordpress.com รับหน้าแทนดังนั้นเราก็ไม่ต้องกังวลเรื่องของ Brute force อีกแล้ว forever (ตอนนี้ login ก็จะใช้ Account ของ wordpress.com เท่านั้น)
ข้อเสียของวิธีนี้ก็คือเราไม่มีทางรู้เลยว่า wordpress.com จะล่มหรือไม่ล่มตอนไหนถ้าล่มก็จบเลยเข้าเว็บตัวเองไม่ได้เลย T^T แต่ก็เป็นอีกทางเลือกหนึ่งของคนที่อยากปกป้องเว็บของตัวเองไว้ในหิน??? 555555 สำหรับใครอยากศึกษาเรื่องนี้เพิ่มเติมเข้าไปดูได้ที่
https://jetpack.com/support/sso/
