สิ่งที่ควรหลีกเลี่ยงจากการแฮ็กของ GoDaddy ในเดือนพฤศจิกายน 2021
เผยแพร่แล้ว: 2021-11-23เมื่อวันที่ 6 กันยายน พ.ศ. 2564 ผู้ดำเนินการที่ไม่รู้จักได้ละเมิดและเข้าถึงข้อมูลของลูกค้า GoDaddy จำนวน 1,200,000 ราย GoDaddy สังเกตเห็นการละเมิดเมื่อวันที่ 17 พฤศจิกายน ประมาณ 36 วันต่อมา มีการรายงานการละเมิดต่อสำนักงาน ก.ล.ต. ในอีกห้าวันต่อมาและ 41 วันหลังจากข้อเท็จจริง
ในขณะที่การสอบสวนยังดำเนินอยู่ เราทราบดีว่ามีการเปิดเผยอีเมลลูกค้าและหมายเลขลูกค้า ลูกค้า WordPress ที่มีการจัดการที่ใช้งานอยู่ยังได้เห็นข้อมูลประจำตัวของพวกเขาถูกเปิดเผย ซึ่งรวมถึงข้อมูลประจำตัวสำหรับฐานข้อมูล sFTP และ WordPress ลูกค้าบางรายยังเปิดเผยคีย์ส่วนตัวของ SSL อีกด้วย
ก่อนที่เราจะดำเนินการต่อ หากคุณสงสัยว่าบัญชีของคุณถูกเปิดเผย ตรวจสอบให้แน่ใจว่าคุณได้เปลี่ยนรหัสผ่านทั้งหมดของคุณทันที
คุณอาจต้องแจ้งลูกค้าของคุณเกี่ยวกับการละเมิด เนื่องจากนี่เป็นข้อกำหนดด้านกฎระเบียบ คุณจะต้องตรวจสอบว่ากฎหมายและระเบียบข้อบังคับใดในเขตอำนาจศาลของคุณบังคับให้คุณทำ
GoDaddy เป็นฝ่ายผิดหรือไม่ เรายังไม่ทราบ – การสอบสวนยังดำเนินอยู่ อย่างไรก็ตาม นี่เป็นจุดที่สงสัยด้วยเหตุผลหลายประการ
ความปลอดภัยของ WordPress เช่นเดียวกับการรักษาความปลอดภัยรูปแบบอื่น ๆ เป็นสิ่งสำคัญอันดับแรกเกี่ยวกับการจัดการความเสี่ยง
แฮกเกอร์และซอฟต์แวร์รักษาความปลอดภัย/ผู้เชี่ยวชาญถูกขังอยู่ในการชักเย่อที่ไม่สิ้นสุด ส่วนใหญ่ปมยังคงปังอยู่ตรงกลาง อย่างไรก็ตาม ช่องโหว่ เทคโนโลยีใหม่ และสิ่งอื่น ๆ มากมายอาจทำให้สมดุลที่ละเอียดอ่อนนี้เสียหายได้ทุกเมื่อ ความสมดุลนั้นมักจะได้รับการฟื้นฟูอย่างรวดเร็ว อย่างไรก็ตาม สิ่งนี้ยังคงเป็นหน้าต่างแห่งโอกาส แม้จะไม่กี่นาทีสำหรับความเสียหายที่บางครั้งแก้ไขไม่ได้
ด้วยเหตุนี้จึงไม่มีระบบใดที่สามารถต้านทานการโจมตีได้อย่างสมบูรณ์ แน่นอนว่าผู้ให้บริการมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าทุกอย่างได้รับการอัปเดตและปลอดภัย – และความรับผิดชอบส่วนหนึ่งก็ตกอยู่กับพวกเขา นี่ไม่ได้หมายความว่าเราอยู่ในความเมตตาของพวกเขา ผู้ดูแลระบบและเจ้าของ WordPress ยังคงสามารถดำเนินการรักษาความปลอดภัยให้ตัวเองได้มากที่สุดเพื่อลดความเสี่ยง
โดยเฉพาะอย่างยิ่ง WordPress ขึ้นอยู่กับระบบย่อยหลายระบบในการทำงาน ซึ่งแต่ละระบบอาจอ่อนไหวต่อช่องโหว่และการโจมตี นโยบายการรักษาความปลอดภัยของ WordPress ที่ดีนั้นใช้แนวทางแบบ 360 องศา และทำให้แน่ใจว่ากระบวนการรักษาความปลอดภัยของ WordPress แบบวนซ้ำนั้นสามารถจัดการความเสี่ยงและข้อกังวลด้านความปลอดภัยที่เกิดขึ้นได้อย่างเท่าเทียมกัน
การละเมิดอาจใช้เวลานานมากในการสังเกต
GoDaddy หนึ่งในบริษัทโฮสติ้งที่ใหญ่ที่สุดในโลก ใช้เวลา 36 วันในการสังเกตว่าพวกเขาถูกแฮ็ก สามสิบหกวันอาจดูเหมือนมาก แต่รายงานของ IBM แสดงให้เห็นว่าโดยเฉลี่ยแล้ว บริษัทต่างๆ ใช้เวลาเกือบ 200 วันในการสังเกตการละเมิด ทำให้ 36 วันดูสมเหตุสมผล แต่ก็ยังมีหลายอย่างเกิดขึ้นได้ใน 36 วัน
ความจริงก็คือแฮ็กเกอร์ได้เปลี่ยนกระบวนการปกปิดร่องรอยของพวกเขาให้กลายเป็นรูปแบบศิลปะ ทำให้ยากสำหรับแม้แต่บริษัทที่ใหญ่ที่สุดที่จะรู้ว่าพวกเขาถูกละเมิด สิ่งนี้รุนแรงขึ้นจากข้อเท็จจริงที่ว่าแฮ็กเกอร์จำนวนมากได้รับการสนับสนุนจากงบประมาณที่แข็งแกร่ง ซึ่งในบางกรณีได้รับทุนจากรัฐ
คุณอาจคิดว่ารัฐที่ปกครองโดยเผด็จการอาจไม่สนใจเว็บไซต์ WordPress ของคุณ แต่สิ่งนี้อาจไม่เป็นความจริงเสมอไป แม้ว่าพวกเขาจะไม่สนใจเว็บไซต์ของคุณ โดยเฉพาะอย่างยิ่ง แต่ก็ยังสามารถติดอยู่ในกองไฟ ผลลัพธ์ที่ได้ก็สร้างความเสียหายได้เช่นเดียวกัน
แม้ว่าการเปิดโปงการแฮ็กจะยากขึ้นเรื่อยๆ แต่ทุกอย่างก็ขึ้นอยู่กับการจัดการความเสี่ยง ซึ่งรวมถึงการตรวจสอบให้แน่ใจว่าคุณมีระบบที่จำเป็นในการบันทึกการเข้าถึงทรัพยากร
บน WordPress ปลั๊กอินบันทึกกิจกรรมสามารถสร้างความแตกต่างได้ ยิ่งขอบเขตของบันทึกกิจกรรมกว้างขึ้นเท่าใด ขอบเขตการมองเห็นของคุณก็จะยิ่งกว้างขึ้นเท่านั้น – ช่วยให้คุณมั่นใจได้ว่าไม่มีสิ่งใดหลบเลี่ยงการตรวจสอบข้อเท็จจริง
บันทึกกิจกรรม WP ของปลั๊กอินของเราครอบคลุมกิจกรรมผู้ใช้และระบบที่หลากหลาย และรวมถึงส่วนขยายบันทึกกิจกรรมมากมายสำหรับการสนับสนุนปลั๊กอิน WordPress ของบริษัทอื่น เช่น WooCommerce สิ่งนี้ทำให้ผู้ดูแลระบบสบายใจได้ว่าทุกด้านของเว็บไซต์กำลังถูกตรวจสอบ ลดความเสี่ยงของกิจกรรมที่ผิดกฎหมายภายใต้เรดาร์ได้อย่างมาก
ปลั๊กอินสำคัญอีกตัวหนึ่งที่ควรกล่าวถึงคือ ปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์สำหรับ WordPress ปลั๊กอินนี้ใช้ลายนิ้วมือของไฟล์เว็บไซต์ WordPress ของคุณทุกครั้งที่สแกนและเปรียบเทียบผลลัพธ์กับการสแกนครั้งก่อนเพื่อรายงานการเปลี่ยนแปลงในนาทีสุดท้าย
รหัสผ่านคือกุญแจสู่โครงสร้างพื้นฐานทั้งหมดของคุณอย่างแท้จริง
การตรวจสอบเบื้องต้นแสดงให้เห็นว่าแฮ็ค GoDaddy ทั้งหมดเกิดขึ้นได้เนื่องจากรหัสผ่านถูกบุกรุก การเห็นว่ารหัสผ่านเดียวสามารถทำให้คนทั้งบ้านล่มสลายได้ ทำให้เราตระหนักดีว่ารหัสผ่านแต่ละอันมีความสำคัญเพียงใด
แน่นอน เราไม่ได้คาดเดาเกี่ยวกับคดีของ GoDaddy เนื่องจากรายละเอียดทั้งหมดยังไม่เปิดเผย ถึงกระนั้น เรารู้สิ่งหนึ่งหรือสองอย่างเกี่ยวกับรหัสผ่าน WordPress และวิธีเปลี่ยนรหัสผ่านจากความรับผิดที่อาจเกิดขึ้นให้เหมาะสมกับคุณ
นโยบายความปลอดภัยรหัสผ่าน WordPress ที่เข้มงวดซึ่งมีความซับซ้อนที่จำเป็นและการหมดอายุโดยอัตโนมัติเป็นจุดเริ่มต้นที่ดี คุณควรบล็อกผู้ใช้ที่ไม่ใช้งานและบล็อกบัญชีผู้ใช้หลังจากพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้ง สิ่งเหล่านี้สามารถกำหนดค่าได้อย่างง่ายดายผ่าน WPassword ซึ่งเป็นปลั๊กอินที่เพิ่มการเจาะรหัสผ่านของคุณอย่างจริงจัง
แน่นอนว่าการรับรองความถูกต้องด้วยสองปัจจัยบน WordPress ซึ่งแพร่หลายอย่างรวดเร็วเหมือนกับรหัสผ่านเองนั้นมีความสำคัญอย่างยิ่งต่อการรักษาความปลอดภัยของบัญชี WP 2FA นำเสนอแนวทางที่ปรับแต่งได้อย่างเต็มที่สำหรับการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress ซึ่งช่วยให้คุณปกป้องผู้ใช้และ WordPress ของคุณโดยไม่ต้องสร้างวงล้อใหม่
ก้าวไปข้างหน้า
ปฏิเสธไม่ได้ว่าผู้ให้บริการโฮสต์มีหน้าที่รับผิดชอบด้านความปลอดภัย – และควรรับผิดชอบต่อความล้มเหลวหากพบสิ่งเหล่านี้ อย่างไรก็ตาม ไม่มีการรับประกันว่าการละเมิดจะไม่เกิดขึ้น ด้วยเหตุนี้เราจึงต้องมองว่าการรักษาความปลอดภัยเป็นความรับผิดชอบร่วมกัน
วันนี้ เจ้าของ WordPress มีแหล่งข้อมูลที่ดีเยี่ยม ตั้งแต่ข้อมูลไปจนถึงผลิตภัณฑ์และบริการที่ออกแบบมาเพื่อช่วยให้พวกเขาปลอดภัย เมื่อทุกอย่างเสร็จสิ้นแล้ว เราเป็นหนี้ผู้ใช้และลูกค้าของเราในการรักษาความปลอดภัยและต้องทำทุกวิถีทางเพื่อให้มั่นใจว่าข้อมูลของพวกเขาจะปลอดภัยเมื่ออยู่กับเรา