Category Archives: WordPress/SMF

วิธี Patch upgrade PHPMailer < 5.2.18 Remote Code Execution

วิธี Patch upgrade PHPMailer < 5.2.18 Remote Code Execution

วิธี Patch upgrade PHPMailer < 5.2.18 Remote Code Execution (CVE-2016-10033) และ Contact Form 7 สำหรับผู้ใข้ WordPress บน VPS หรือ Dedicated server และ Shared hosting (ย้ำ case นี้เจ้าของเว็บไซต์ต้องแก้ไขเอง เพราะ class นี้กระจากอยู่)

ขั้นตอนย้ายโดเมนเนมและอัพเดต WordPress Site URLs ด้วย phpMyAdmin

รายละเอียดด้านล่างนี้เป็นขั้นตอนการดำเนินการย้ายข้อมูลเว็บไซต์ไปยังโดเมนเนมใหม่ เลยจดบันทึกไว้เพื่อเป็นความรู้สำหรับผู้แวะเข้ามาเยี่ยมเยือนครับ รายละเอียด: Sitecore: ใช้ WordPress Web Hosting Provided: วางใจเลือกใช้ Appserv Hosting Registration Service Provided: AppServ ปัจจุบันเป็นผู้ให้บริการจดทะเบียนโดเมนเองแล้ว (โดยไม่ต้องไปขอจดทะเบียนโดเมนเนมผ่าน leader providing resellers worldwide) สำหรับโดเมนเนม .in.th ยังคงต้องไปจดทะเบียนโดเมนเนมเองกับทีเอชนิค (thnic) ซึ่งถือครองและดูแลอยู่ .th อยู่ หรือผ่านตัวแทนจำหน่าย (THNIC Reseller) ฟีเจอร์เมื่อจดทะเบียนโดเมนเนมกับทาง AppServ (Target ในประเทศ เราไม่จำเป็นต้องไปเลือกใช้เว็บโฮสติ้งจากประเทศก็ได้ครับ) – โดเมนเป็นของท่านเอง 100%

เร่งประสิทธิภาพโค้ด PHP ให้กับ SMF ด้วยแคช APC accelerators (Alterative PHP Cache)

เห็นในส่วนของ Server Settings บน SMF detected เจอะ Alterative PHP Cache (APC) ซึ่ง SMF สนับสนุนอยู่แล้ว เลยลองตั้งค่าดูครับ เข้าไปที่ Admin > Server Settings > Caching APC is a free, open source accelerator that optimizes PHP intermediate code and caches data and compiled code

11 ปลั๊กอินดีๆ สำหรับ WordPress (WordPress SEO plugin to optimize your site)

มีปลั๊กอินดีๆ มาแนะนำครับ ปลั๊กอินบางตัวผมก็ใช้งานอยู่บนเว็บ Blog ส่วนปลั๊กอินบางตัวก็เหมาะกับการทำ SEO 1. TinyMCE Advanced เพิ่มฟีเจอร์ในการเขียน content //wordpress.org/plugins/tinymce-advanced/ 2. PP Auto Thai URL ปลั๊กอินที่จะเปลี่ยน url ภาษาไทยให้ยาว (ไม่ถูกตัดสั้นจนกุด) ช่วยให้ SEO ดีขึ้นด้วยครับ //wordpress.org/support/view/plugin-reviews/pp-thai-url 3. Advanced Custom Fields เพิ่มฟิวด์ตามความต้องการ //wordpress.org/plugins/advanced-custom-fields/ 4. Advanced Custom Fields และ Location Field add-on กำหนดฟิลด์ให้ทำงานร่วมกับแผนที่ Google map

Track anonymous hacker (Hacked WordPress with eShop Plugin)

จากบทความ [1], [2] Case Study: Web sites hacked, WordPress โดนแฮก และการแกะรอยแฮกเกอร์ คราวนี้มาดูรายละเอียดจาก access_log ไฟล์กันบ้างครับ ### –> START: ACCESS YOUR SITE ### ### –> START ATTACKING ###เปิดเว็บไซต์พาท /wp-content/themes/อีช้อปปิ้ง/upload/upload.php โดยใช่ช่องโหว่ของปลั๊กอิน จากนั้นแฮกเกอร์อัพโหลดไฟล์สคริปต์ (idca.php) ไฟล์นี้เข้ารหัสไว้มากกว่าหนึ่งฟังก์ชั่น จากนั้นรันเรียกไฟล์สคริปต์ตามด้วยพาทที่ต้องการ (?y ดีฟอลล์พาทที่เก็บข้อมูลเว็บไซต์) ### –> [1] END ATTACKED SUCCESS

Case Study: Web sites hacked, WordPress โดนแฮก และการแกะรอยแฮกเกอร์ #2

ต่อจากบทความที่แล้ว Case Study ก็คือแฮกเกอร์ทำการเจาะเข้าไปในระบบ (เจาะผ่านช่องทางไหน?) เพื่อเปลี่ยนแปลงข้อมูลเว็บไซต์ (ส่วนมากแล้ว หน้าแรก index ไฟล์) ส่วนข้อมูลใหม่ที่แสดงก็ขึ้นอยู่กับกลุ่มแฮกเกอร์เหล่านั้นใช้รูปภาพสัญญาลักษณ์อะไร หรืออาจถ้อยคำไม่สุขภาพ เป็นต้น แต่ที่สำคัญ case นี้แฮกเกอร์ไม่ได้ทำเท่าที่ว่ามา มีการรันสคริปต์ผ่านเว็บเบราว์เซอร์เพื่อให้ในการดึงข้อมูลระบบมาแสดง (รายละเอียดอธิบายด้านล่างครับ) มาเริ่มเลยล่ะกัน [ขั้นตอนที่ 1] – ให้สำรองไดรเรกทอรีที่ติดเชื้อไว้ทั้งหมด (ไดร์เรกทอรี WordPress) [ขั้นตอนที่ 2] – สั่งหยุดการทำงานของเว็บเซิร์ฟเวอร์ (Apache) [ขั้นตอนที่ 3] – แก้ไขปัญหาที่เกิดขึ้นอย่างรวดเร็ว (แบบชั่วคราวก่อน) [3.1] ตรวจสอบไดร์เรกทอรี “wp-connent/uploads/” ว่ามีไฟล์แปลกบ้างไหม (ปกติ

Case Study: Web sites hacked, WordPress โดนแฮก และการแกะรอยแฮกเกอร์ (FingerPrint)

เหยื่อหรือเครื่องเป้าหมาย: your domain การหาเหยื่อหาได้ไม่ยากครับ เครื่องมือต่างๆ เช่น Vulnerability Scanner, Sucurity Site Check Scanner อื่นๆ Google มีเยอะ แฮกเกอร์: ลักษณะการแฮก คือผู้ไม่หวังดีทำการอัพโหลดไฟล์ PHP สคริปต์ที่เขียนขึ้นเอง (ตัวอย่าง) ผ่านช่องโหว่ของปลั๊กอินสคริปต์อัพโหลดของ WordPress (“wp-content/uploads”) ขึ้นไปยังเว็บโฮสติ้ง โดยใช้ช่องโหว่ของ PHP 5.3.8 (exploits and vulnerabilities) ทำการ bypass ฟังก์ชั่น open_baseddir ให้เป็น Off (php.ini) หรือสมัครสมาชิกบนเว็บไซต์หลอกๆ แล้วเจาะช่องโหว่ผ่านยูสเซอร์

SMF Google Analytics Code

เป็นม็อดอีกตัวที่ช่วยให้เราใส่โค้ดของ Google Analytics ได้อย่างง่ายดายครับ เริ่มไปดาวน์โหลด mod Google Analytics Code นี้ก่อนเลย จากนั้นล็อคอินเข้าเมนูผู้ดูแลระบบแล้วทำการติดตั้งแพคเกจ หลังจากติดตั้งเสร็จ ก็กรอกรหัสโค้ด เช่น UA-12345678-1 ที่ฟีเจอร์ของม็อด แต่ไม่ใช่ว่าใส่รหัสโค้ดแล้วจะใช้งานได้เลย ให้ตรวจสอบดังนี้ ไฟล์สำคัญจะอยู่ที่ไฟล์ index.template.php ในธีม default ถ้าเราใช้ธีมอื่นๆ จะใช้งานไม่ได้ ดังนั้นให้ไปคัดลอกโค้ดจาก /Themes/default/index.template.php เปิดไฟล์ /Themes/default/index.template.php ค้นหา จากนั้นคัดลอกโค้ดด้านล่างนี้ จากนั้นเปิดไฟล์ index.template.php ในพาทธีมปัจจุบันที่ใช้งาน ค้นหา ก่อน </body> นำโค้ดมาแทรก แต่ถ้า mod ยังใช้งานไม่ได้ก็ลองตรวจสอบที่ไฟล์

SMF Requires a user to login to see the post with mod “View Only Boards”

ขั้นตอนการติดตั้ง 1. ติดตั้ง mod View_Only_Boards_1.2a.zip ดาวน์โหลด 2. ล็อคอิน admin เข้าไปที่เมนู Features and Options > แท็บ Basic Features > ใต้บรรทัด Allow guests to browse the forum คลิกเลือก Show the message index for “view only” boards ขั้นตอนถัดมา 3. ไปที่เมนู Forum > Boards เลือกบอร์ดที่ต้องการให้ผู้ใช้ล็อคอินก่อนดูโพสต์

SMF Hide Post for SMF 1.1.16

เมื่อคืนนั้งปั่น mod ตัวหนึ่งชื่อ Hide Post ซึ่งเป็น mod สำหรับซ่อนข้อความ น่าจะคล้ายๆ กับ mod “Hide Tag Special”แต่ Hide Tag Special ลูกเล่นจะออกไปแนว เช่น ต้องตอบกระทู้ก่อน 10 กระทู้ข้อความที่ถูกซ่อนถึงจะแสดง แต่เจ้า Hide Post นี้ลูกเล่นน่าสนใจก็ตั้งค่าให้ผู้ใช้ล็อคอินก่อนถึงจะแสดงกระทู้นั้นๆ จากออบชั่นแล้วน่าสนใจ 1. Login: It requires a user to login to see the post. 2.