ให้แก้ไขไฟล์ .htaccess ได้ดังนี้
#show no image when hotlinked RewriteRule \.(jpg|png|gif)$ - [NC,F,L]
สำหรับผม คงไม่เขียนคำสั่งป้องกัน คิดว่าแบ่ง ๆ เขาไปเถอะ ถือซะว่าสร้างประโยชน์ให้กับคนอื่น
ขอบคุณที่แวะมา
สวัสดี
ใน WordPress จะมีอยู่ 2 โฟลเดอร์ที่คนชอบเข้าไปดูมากพอสมควร ก็คือโฟลเดอร์ themes กับ plugins ทั้งนี้ก็เพื่อดูว่า บล็อกนี้ใช้ธีมอะไรบ้าง หรือใช้ปลั๊กอินอะไรบ้าง แล้วหากใช้ปลั๊กอินรุ่นเก่า ๆ hacker รู้และอาจจะ hack เข้าบล็อกของคุณได้ ดังนั้นการปิดโฟลเดอร์ไม่ให้แสดงรายชื่อไฟล์และโฟลเดอร์ต่าง ๆ เป็นหนทางแห่งความปลอดภัยเพื่อบล็อกของคุณเอง
โฟลเดอร์ wp-content ของ WordPress รุ่นเ่ก่า ๆ ที่นั้นจะไม่มีไฟล์ index.php ที่เป็นไฟล์เปล่า ๆ เมื่อคนเปิดเข้ามาดู ก็จะเห็นรายชื่อโฟลเดอร์ต่าง ๆ ในโฟลเดอร์นี้เต็ม ๆ เลย แต่เท่าที่สังเกตุ WordPress 2.8.2 (ดูรุ่นเดียว) ตอนนี้โฟลเดอร์ทั้ง wp-content, themes และ plugins มีไฟล์ index.php มาแล้ว ดังนั้น เมื่อใครเปิดดูโฟลเดอร์ดังกล่าว ก็จะแสดงหน้าเพจเปล่า ๆ
แต่หากเป็น WordPress รุ่นเก่า ๆ ที่เราไม่ค่อยได้อัพเดทในโฟลเดอร์ wp-content เลย มีความเป็นไปได้ว่า จะไม่มีไฟล์ index.php อยู่ ซึ่งทำให้ผู้ชมสามารถดูรายชื่อไฟล์และโฟลเดอร์ต่าง ๆ ได้ ดังนั้น เราจะมาสร้างไฟล์ .htaccess เพื่อป้องกันการดูข้อมูลต่าง ๆ ในโฟลเดอร์
การสร้างไฟล์ .htaccess ง่าย ๆ เลย ให้คุณเปิด Notepad ขึ้นมา จากนั้นให้พิมพ์โค้ดดังต่อไปนี้
ปัญหาที่มักจะเกิดขึ้นหลังจากติดตั้ง WordPress บนโฮสติ้งที่ใช้ Control Panel ที่ไม่ใช่ Cpanel เช่น อัพโหลดไฟล์ไม่ได้ ตั้ง Permalinks ไม่ได้ หรือแก้ไขไฟล์ธีมไม่ได้เป็นต้น
วันนี้จะเสนอวิธีแก้ไขง่าย ๆ สำหรับปัญหาดังกล่าว ซึ่งควรที่จะศึกษาไว้ และ/หรือควรทำหลังจากติดตั้ง WordPress เสร็จ นั่นคือ
ปัญหาเหล่านี้ จะไม่เกิดขึ้นหากใช้งานบนเครื่องคอมพิวเตอร์ส่วนบุคคลติดตั้ง WordPress อ้อ! ลืมไป… ในคอมพิวเตอร์ส่วนบุคคล หากมีปัญหาเรื่อง Permalinks ให้ไปเปิด Mod_Rewrite ใน Apache ก่อนครับ
ขอบคุณ: Xirbit.com สำหรับบทความครับ
เพิ่มเติม: ผมเองเคยมีปัญหาเรื่องนี้จริงตอนย้ายจาก Cpanel มาใช้ DirectAdmin ต้องมา CHMOD 777 ให้กับ uploads และ themes แล้วต้องมาสร้าง .htaccess เพื่อปรุงแต่ง url
เป็นที่ทราบกันดีอยู่แล้วว่าโฟลเดอร์ wp-admin นั้นเป็นโฟลเดอร์ที่เข้าถึง Dashboard หรือส่วนควบคุมของ WordPress นั่นเอง ส่วนนี้ จะเข้าถึงได้ก็ต่อเมื่อป้อนชื่อผู้ใช้และรหัสผ่านถูกต้อง แต่ถ้าบล็อกถูก hack จะทำอย่างไรล่ะ ไม่ให้เข้าถึงได้ มันมีทางเป็นไปได้ไหม???
มีทางเป็นไปได้ครับ นั่นก็คือ การกำหนดให้เฉพาะ IP ที่เรากำหนดสามารถเข้าถึงโฟลเดอร์ wp-admin ได้เท่านั้น ซึ่งเมื่อเรากำหนด IP ไปแล้ว หากมีใครเข้าสู่ระบบแล้ว แต่เลข IP ของเครื่องที่เข้าสู่ระบบไม่ตรงกับที่กำหนดเอาไว้ ก็ไม่สามารถเข้าถึงได้ แม้แต่คุณเองก็ตาม ก็อาจหมดสิทธิ์ได้ ถ้า IP ไม่ตรงตามที่กำหนดเอาไว้
การกำหนดเลข IP นี้ กำหนดได้โดยการสร้างไฟล์ .htaccess แล้วใส่โค้ดที่อยู่ด้านล่างนี้
Results
order deny,allow
allow from xxx.xxx.xxx.xxx
deny from allตรง xxx.xxx.xxx.xxx คือเลข IP ของเครื่องคุณเอง (ที่ได้รับจาก ISP นะไม่ใช่ IP ในเครือข่าย) ที่จะต้องป้อน สามารถป้อนแบบเต็มทั้ง 4 ชุดเลย เช่น 203.156.24.196 หรือจะใส่เฉพาะ ชุดที่ 1 เช่น 203 หรือ ชุดที่ 1 และ ชุดที่ 2 ก็ได้ เช่น 203.156 ในกรณีที่ใส่ไม่ครบ 4 ชุด ก็จะครอบคลุม subnet ที่เหลือทั้งหมด
การย้ายโฟลเดอร์ของ WordPress แล้วผู้ใช้ไม่สามารถเข้าถึงบทความเดิมได้ หรือหาไม่เจอนั้น ผมไม่แน่ใจว่ามีผู้ใช้พบปัญหาอย่างนี้หรือไม่ เช่น สมมติว่า ตอนแรกอาจจะลองทำบล็อกที่ http://domain.com/wordpress พอนาน ๆ เข้า อยากจะเปลี่ยนเป็น http://domain.com/blog หรือจาก http://domain.com/blog แต่อยากจะเปลี่ยนเป็น http://domain.com แต่ทำไงดี บทความเยอะ มีคนอ้างอิงเยอะ หากจะเปลี่ยน ผู้ใช้ก็จะไม่เจอบทความเดิม
ปัญหานี้มีทางออก กล่าวคือ ให้คุณสร้างไฟล์ .htaccess แล้วบรรจุข้อความ
Options +FollowSymLinks
RewriteEngine on
RewriteRule (.*) http://newurl/$1 [R=301,L]
ตรง http://newurl คือชื่อ URL ใหม่ของบล็อกนั่นเอง แล้วนำไฟล์ไปไว้ในโฟลเดอร์ของบล็อกเดิม เมื่อผู้ใช้เปิดบทความตาม url เดิม ก็จะทำการ redirect (เปลี่ยนหน้า) ไปเปิดหน้าบทความตาม url ใหม่ ทำให้ผู้ใช้ยังคงเข้าถึงเนื้อหาของบทความได้เหมือนเดิม
ขอบคุณ Xirbit.com สำหรับบทความดี ๆ
เพิ่มเติม : จากบทความดังกล่าว ผมคิดว่าต้องหาตัวอย่างมาเพิ่มเติม ว่าเวลาใช้งานจริงต้องเขียนว่าอย่างไร แต่จำได้ว่าตอนย้ายบล็อกนี้ก็มีปัญหาเช่นกัน ผมต้องมานั่งไล่แก้ไฟล์แนบต่าง ๆ ไม่รู้เกี่ยวกันรึเปล่านะ ส่วนพาร์ธอื่น ๆ ผมไปนั่งไล่แก้ใน PHP MyAdmin
