wordpress ป้องกัน brute force เข้าสู่ระบบ wp-login.php

หากเราพบว่า server ของเรามีค่า loadaverage และค่า cpu ขึ่นสูงปกติ รีบูทเครื่องกลับมาก็ไม่หาย และพอเรา top -H ดูก็พบว่ามี process ของ php-cgi เต็มไปหมด ใช้คำสั่ง kill process มันก็กลับมาอีก ไม่หาย ให้เราลองเข้าไปดูใน access_log ของ webserver หากพบว่ามีการเรียก /wp-login.php มารัวๆจากหลายๆ ip แสดงว่าโดนเข้าแล้ว วิธีแก้มีหลายวิธี แต่ที่ลองแล้วใช้ได้จริงมาแล้วคือ ใช้ htaccess htpasswd ทำ basic auth กันในหน้า wp-login

1.แก้ไข .htaccess เพิ่มส่วน basic auth หากเรียกหน้า wp-login

<Files wp-login.php>
AuthUserFile /fullpath/.../.htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>
# END WordPress

2.เพิ่มไฟล์ htpasswd ตาม path ในข้อ 1 โดยสร้างค่ามาจากเว็บสร้าง htpasswd

อ่านวิธีแก้ที่มาจาก codex.wordpress.org

Related posts:

This entry was posted in wordpress. Bookmark the permalink.