เมื่อ wordpress ถูก hack

เมื่อวานผมประสบปัญหาว่า ลิ้งค์ที่ถูกรีไดเร็คจากเฟสบุ๊คเข้ามาที่บล็อกของผมจะถูกรีไดเร็คอีกต่อไปโผล่เว็บอาไรก็ไม่รู้คล้ายกับเว็บขายโฆษณา แต่ถ้าเข้าจากการพิมพ์ URL ตรงๆจะไม่เป็นอะไร

จริงๆเรื่องนี้ไม่ใช่ว่าจะพึ่งเกิดขึ้นเมื่อวาน แต่เกิดขึ้นมาซักพักใหญ่ๆแล้วแต่ตอนนั้นผมไม่ได้สนใจ จนได้เอาเรื่องนี้ไปเล่าในกรุ๊ป บล็อกกันวันละหน แล้วพี่ Theerasak Maneeneim ช่วนแนะนำลิ้งค์นี้มาให้ http://mysitemyway.com/support/topic/website-hacked ซึ้งเจ้าของเค้าเขียนเล่าประสบการณ์ว่าเจอเหตุการณ์เหมือนผมเลย ซึ่งสาเหตุก็คือเค้าถูกฝังโค้ด

eval(base64_decode(“DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF…

ไว้ในไฟล์ใดไฟล์หนึ่ง ซึ่งของผมและของเค้าโดนในไฟล์เดียวกันคือ wp-config.php วิธีแก้ง่ายๆ ก็คือลบโค้ดส่วนนี้ออกซะ หรือ ไม่ก็อัพโหลดขึ้นไปใหม่ แต่วิธีที่ง่ายและเด็ดกว่านั้นอีก คือใช้ใช้ปลั๊กอินตัวนี้ http://wordpress.org/plugins/wordfence/ มันเจ๊งมากเลยครับ พอติดตั้ง เปิดใช้งาน แล้วกดแสกน มันจะฟ้องขึ้นมาให้เลยครับว่า wordpress ของเรามีปัญหาตรงไหนบ้าง แล้วสามารถเรียกดูโค้ดบริเวณนั้นขึ้นมาได้เลย พร้อมทั้งมีตัวเลือกในการแก้ปัญหาให้เลือกกดเป็นได้เป็นข้อๆ เช่น ลบไฟล์นี้, เรียกคืนค่าตั้งต้น เป็นต้น นอกจากนี้ยังเตือนจุดที่เป็นช่องโหวงอื่นให้อีก มันยอดเยี่ยมมากเลยครับ ที่สำคัญคือมันฟรี แต่ก็มีเวอร์ชั่นโปรขาย พร้อมกับความสามารถที่มากขึ้นเช่นตั้งเวลาให้ทำการตรวจเช็คอัตโนมัติได้ มีทีมงานค่อยตอบคำถาม-แก้ปัญหาต่างๆให้ได้ เป็นต้น

และขอฝากคำแนะนำเรื่องการรักษาความปลอดภัยขั้นพื้นฐานของตัว wordpress ของเราไว้อีกซักเล็กน้อยดังนี้

  1. อย่าใช้ username ว่า admin
  2. รหัสผ่านควรมีความยาวอย่างน้อย 8 ตัวอักษร และต้องประกอบด้วยตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และ อักขระพิเศษ ([email protected]#$%^&*)
  3. อย่าใช้ database prefix มารตรฐานของ wordpress (wp_)

 

ปล. สาเหตุของการถูกแฮกครั้งนี้ของผมมาจากเมื่อประมาณการปี hosting ที่ผมใช้บริการอยู่ถูกแฮก แต่ทาง hosting ไม่ยอมแจ้งว่าถูกแฮก กลับส่งเมลมาบอกแค่ว่าตรวจพบการเชื่อมต่อมาจากต่างประเทศจึงทำการเปลี่ยนพอร์ท FTP จะจาก 21 เป็นพอร์ท xxxx แทน ผมเองก็ไม่ได้ เอะใจอะไร เลยไม่ได้ตรวจสอบว่าข้อมูลในเราปกติดีอยู่รึเปล่า เหตุการณ์การจึงลงเอยด้วยประการฉะนี้…