ทำไม WordPress ถึงโดนแฮกและฝัง Malwares/Script ก่อกวนผู้ใช้งานอื่นบนเครื่อง?

หลายคนคงสงสัย ทำไม WordPress ของเราถึงถูก Hack?

รู้หรือไม่ จำนวนเว็บไซต์ทั่วโลกมีสูงถึง 1,196,298,727 เว็บไซต์และ WordPress นั้นมีส่วนแบ่งการใช้งานทั่วโลกอยู่ถึง 35% คิดรวมเป็น สี่ร้อยกว่าล้านเว็บไซต์ !!! เมื่อมีจำนวนมากขนาดนี้ ก็ย่อมตกเป็นเป้าสายตาของบรรดา Hacker ทั่วโลกเป็นธรรมดา เนื่องจากว่าหากโจมตีได้แล้วเว็บไซต์นึง นั่นก็หมายความว่าโอกาสที่จะโจมตีเว็บไซต์หลายร้อยล้านเว็บไซต์ได้ด้วยการโจมตีเดียวกัน ซึ่งสาเหตุหลักๆที่ WordPress ของเราจะโดนแฮกนั้น มาจากสิ่งต่างๆดังต่อไปนี้

ไม่มีการอัพเดท Version WordPress, Plugins, Theme (คิดเป็น 90% ของการถูกแฮกทั้งหมด)

เนื่องจาก WordPress เป็น CMS ที่เป็น Open Source และมีการอัพเดทมาจากผู้พัฒนาอยู่เสมอ แต่สิ่งที่คนทำ WordPress มักจะลืมกันอยู่บ่อยๆนั่นก็คือการอัพเกรด Version WordPress ให้เป็นเวอร์ชั่นล่าสุดให้รวดเร็วที่สุด เนื่องจากว่าทุกๆการอัพเดทนั้น นอกจากจะมีการเพิ่มฟีเจอร์ใหม่ๆลงไปแล้วนั้นยังมีการแก้ไขช่องโหว่ทางด้านความปลอดภัยต่างๆเข้ามาอีกด้วย นั่นทำให้ถ้าเมื่อมีเวอร์ชั่นใหม่มาแล้วและถ้าเรายังไม่รีบอัพเดทมัน จะทำให้เว็บไซต์ของเราเสี่ยงต่อการโดน Hack ทันทีนั่นเอง

การตั้งค่ารหัสผ่านที่ง่ายต่อการคาดเดา (คิดเป็น 5% ของการถูกแฮกทั้งหมด)

มีผู้ใช้งานมากมายได้ติดตั้ง WordPress ด้วยรหัสผ่านที่ง่ายมาก เช่น 1234, qwerty, admin, minad, admin1234 ซึ่งเป็นรหัสที่ง่ายต่อการคาดเดา และไม่ควรใช้อย่างยิ่งบนเว็บไซต์ WordPress ของเรา เพราะรหัสพวกนี้ Hacker สามารถเขียนโปรแกรมสุ่มรหัสผ่านและ Login ได้ภายในเวลาไม่ถึง แต่การคิดรหัสผ่านมันยากนี่นา ทำยังไงดีล่ะ

วันนี้ มดน้อยขอเสนอ : lastpass เว็บไซต์ที่จะช่วยให้คุณตั้งค่ารหัสผ่านยากๆในคลิ๊กเดียว

ไม่ได้ใช้ Theme, Plugins จากผู้ผลิตโดยตรง (คิดเป็น 1% ของการถูกแฮกทั้งหมด)

บางครั้ง การโหลด Theme, Plugins จากเว็บไซต์โดยการหาผ่าน google นั้นก็เป็นเหมือนดาบสองคม เพราะบางทีเราอาจจะไปเจอเว็บไซต์ที่ทำลอกเลียนแบบขึ้นมาซึ่งปล่อยให้โหลดไฟล์ที่ผ่านการแก้ไขและฝัง Malwares / Virus ไว้แล้ว เพราะฉะนั้น ก่อนที่จะโหลดไฟล์อะไรมาติดตั้งบนเว็บไซต์ ตรวจสอบสถานที่โหลดให้ดีก่อนว่ามาจากผู้ผลิตโดยตรง

โดนแฮกจากช่องทางอื่นๆ (คิดเป็น 3% ของการถูกแฮกทั้งหมด)

ปัจจัยที่มักจะโดนแฮกจากช่องทางอื่นๆ เช่น

  1. มีช่องโหว่จาก Plugins, Theme มาตั้งแต่ผู้ผลิตเลย ซึ่งถ้าเป็นผู้ผลิต Plugins, Theme ที่มีมาตรฐานมักจะไม่เจอสิ่งนี้ แต่ก็เป็นไปได้ที่เราจะเจอผู้ผลิต Plugins, Theme ที่ไม่ได้มาตรฐาน ก่อนจะสั่งซื้อ Plugins, Theme ก็ลองศึกษารายละเอียดของบริษัทที่ขาย Theme ดีๆ เลือกคนขายที่น่าเชื่อถือ มีการอัพเดทตีมที่ขายอย่างสม่ำเสมอ
  2. โดน Hack จากเว็บไซต์อื่นที่อยู่ภายใน Account เดียวกันกับ Hosting บางครั้ง WordPress ของเราไม่ได้มีปัญหา แต่เว็บไซต์อื่นๆของเราที่ไม่ใช่ WordPress นั่นแหละคือปัญหาทำให้ WordPress ของเราถูกแฮกไปด้วย หากคุณใช้งาน WordPress แบบจริงจังและเว็บไซต์เริ่มมีรายได้แล้ว ขอแนะนำให้แยกเว็บไซต์นั้นๆออกจากโดเมนอื่นๆ เพื่อเป็นการป้องกันอีกทาง

WordPress Hosting ที่ใช้งานไม่ได้ตั้งค่า Security ที่ดีพอ

Hosting ที่ใช้งานไม่ได้มีการตั้งค่า Security ที่ดี ไม่มีการ Update Software ที่ใช้ให้บริการกับลูกค้า ไม่มีการตั้งค่าป้องกันพื้นฐานอย่างที่ควรเป็น ซึ่งหากเป็นข้อนี้ และคุณใช้งาน WordPress Hosting ของทาง Bangmod.Cloud อยู่แล้วล่ะก็ ไม่ต้องกังวล เนื่องจาก WordPress Hosting ของเรามีการติดตั้งซอฟท์แวร์ Security ดังนี้

  1. Atomic Mod Security — WAF (Web Application Firewall) ที่ใช้ป้องกันการถูกโจมตีและถูก Hack พื้นฐาน
  2. ImunifyAV — ระบบ AntiVirus & Malware Scanner ที่มีการอัพเดทฐานข้อมูล Virus ทุกวันและเป็นซอฟท์แวร์ที่ได้รับการยอมรับ รวมถึงมีการติดตั้งทั่วโลก
  3. ClamAV — ระบบ Anti Virus ที่มีฐานข้อมูล Virus มากกว่าหนึ่งล้านรูปแบบ
  4. Daily software Update — เรามีการอัพเดทซอฟท์แวร์ภายในเครื่องทุกวัน ทำให้มั่นใจได้ว่าซอฟท์แวร์ที่ใช้ให้บริการลูกค้าทุกท่านยังเป็นเวอร์ชั่นล่าสุดตลอดเวลา

 

Was this article helpful?

Related Articles