เว็บไซต์ WordPress นับพันที่อาจใช้ปลั๊กอินที่มีช่องโหว่: ต่อไปนี้คือวิธีรักษาเว็บไซต์ของคุณให้ปลอดภัย
เผยแพร่แล้ว: 2024-05-06ในเดือนมีนาคม 2024 มีการค้นพบช่องโหว่ร้ายแรงในปลั๊กอิน WordPress WordPress Automatic WordPress Automatic มีให้บริการในตลาด Code Canyon โดยเป็นโปรแกรมขูดเนื้อหาอัตโนมัติที่ดึงบทความ วิดีโอ ผลิตภัณฑ์ รูปภาพ และเนื้อหาประเภทอื่นๆ จากแหล่งภายนอก และเผยแพร่เนื้อหานั้นบนเว็บไซต์ของคุณอีกครั้งโดยอัตโนมัติ
บริษัทวิจัย Patchstack ค้นพบช่องโหว่นี้ ซึ่งทำให้ผู้ประสงค์ร้ายสามารถใช้การโจมตีแบบฉีด SQL เพื่อควบคุมเว็บไซต์ที่มีช่องโหว่ได้เต็มรูปแบบ เว็บไซต์ทุกประเภท ตั้งแต่ร้าน vape ไปจนถึงบล็อกส่วนตัว มีความเสี่ยงที่จะถูกโจมตีหากพวกเขาใช้ปลั๊กอินเวอร์ชันที่ไม่ได้รับการติดตั้ง
แม้ว่าปลั๊กอินจะได้รับแพตช์ทันที แต่เจ้าของเว็บไซต์บางรายไม่ได้ติดตั้งแพตช์เนื่องจากไม่ทราบถึงความร้ายแรงของปัญหา บทวิจารณ์ของผู้ใช้ล่าสุดสำหรับปลั๊กอิน WordPress อัตโนมัติแนะนำว่ามีเว็บไซต์อย่างน้อยสองสามแห่งที่สูญหายไปโดยสิ้นเชิงเนื่องจากช่องโหว่
ไม่มีเว็บไซต์ใดที่รอดพ้นจากการถูกแฮ็กได้อย่างสมบูรณ์ และ WordPress ซึ่งขับเคลื่อนประมาณ 43 เปอร์เซ็นต์ของเว็บไซต์ทั้งหมดในโลก ก็เป็นเป้าหมายสำคัญสำหรับผู้ไม่ประสงค์ดี
แต่ข่าวดีก็คือ เมื่อเว็บไซต์ถูกแฮ็ก โดยปกติจะไม่ได้เกิดขึ้นเนื่องจากแฮกเกอร์กำหนดเป้าหมายไปที่ไซต์นั้นโดยเฉพาะ บ่อยครั้งที่เว็บไซต์ถูกแฮ็กเนื่องจากใช้งานธีมหรือปลั๊กอิน WordPress ที่มีช่องโหว่ซึ่งถูกค้นพบผ่านการใช้เครื่องสแกนอัตโนมัติ
กล่าวอีกนัยหนึ่ง หากไซต์ของคุณไม่มีช่องโหว่ที่ตรวจพบได้ง่ายด้วยเครื่องสแกนและถูกโจมตีด้วยวิธีอัตโนมัติ แฮกเกอร์มักจะดำเนินการต่อไป
ด้วยเหตุนี้ คุณสามารถทำให้ไซต์ WordPress ของคุณปลอดภัยได้โดยปฏิบัติตามหลักปฏิบัติด้านความปลอดภัยทั่วไปบางประการ ในคู่มือนี้ เราจะอธิบายอย่างชัดเจนถึงสิ่งที่คุณต้องทำเพื่อลดความเสี่ยงของปลั๊กอินที่ไม่ปลอดภัยที่ทำให้เว็บไซต์ของคุณล่มสลายก่อนวัยอันควร
อัปเดตธีมและปลั๊กอินของคุณทันที
เมื่อคุณเข้าสู่ระบบ WordPress คุณจะเห็นการแจ้งเตือนในแถบด้านข้างเสมอ หากมีการอัปเดตสำหรับธีมหรือปลั๊กอินของเว็บไซต์ของคุณ ในบางกรณี ปลั๊กอินที่รอการอัปเดตจะแสดงข้อความที่ด้านบนของหน้าด้วย หากไซต์ของคุณมีปลั๊กอินจำนวนมาก คุณอาจเห็นการแจ้งเตือนการอัปเดตเกือบทุกครั้งที่คุณเข้าสู่ระบบ และบางครั้งอาจมีแนวโน้มที่จะผัดวันประกันพรุ่งเมื่อต้องดาวน์โหลดและติดตั้งการอัปเดตเหล่านั้น คุณทำเช่นนั้นด้วยความเสี่ยง เนื่องจากคุณไม่มีทางรู้ว่าเมื่อใดที่การอัปเดตอาจมีการแก้ไขปัญหาด้านความปลอดภัยที่สำคัญ
ปลั๊กอิน WordPress Automatic ได้รับการอัปเดตทันทีเมื่อผู้สร้างได้รับแจ้งเกี่ยวกับข้อบกพร่องด้านความปลอดภัย อย่างไรก็ตาม มีรายงานว่ามีข้อตกลงไม่เปิดเผยข้อมูลทำให้ผู้สร้างปลั๊กอินไม่สามารถพูดคุยถึงข้อบกพร่องได้จนกว่า Patchstack จะเปิดเผยต่อสาธารณะ ด้วยเหตุผลดังกล่าว ผู้ใช้บางรายจึงเพิกเฉยต่อการอัปเดต
รักษาการสำรองไซต์และฐานข้อมูลแบบเต็ม
เป็นเรื่องปกติมากขึ้นที่โฮสต์เว็บจะเสนอการสำรองข้อมูลเว็บไซต์และฐานข้อมูลอัตโนมัติเต็มรูปแบบ ซึ่งเป็นสิ่งที่ดีสำหรับการรักษาความปลอดภัย หากเว็บไซต์ของคุณถูกแฮ็ก การมีการสำรองข้อมูลหมายความว่าคุณสามารถคืนค่าไซต์ให้กลับสู่สถานะก่อนหน้าได้ – บางครั้งทำได้ด้วยการคลิกเพียงครั้งเดียว หากโฮสต์ของคุณไม่มีบริการนี้ ปลั๊กอิน WordPress หลายตัวสามารถช่วยคุณได้ อย่างไรก็ตาม สิ่งสำคัญคือต้องดูแลรักษาไลบรารีการสำรองข้อมูลจากจุดต่างๆ ในเวลาต่างๆ หากเว็บไซต์ของคุณถูกแฮ็ก อาจต้องใช้เวลาสักครู่ก่อนที่คุณจะสังเกตเห็น
พิจารณาเรียกใช้ปลั๊กอินความปลอดภัย
หากเว็บไซต์ของคุณคือธุรกิจของคุณ ไม่มีข้อแก้ตัวที่จะไม่มีโซลูชันด้านความปลอดภัยใดๆ ปลั๊กอินความปลอดภัยสามารถตรวจสอบความพยายามในการเข้าถึงและบล็อกผู้ใช้ที่ดูเหมือนจะเป็นอันตรายได้โดยอัตโนมัติ เครือข่ายการจัดส่งเนื้อหาบางแห่งก็ให้บริการนี้เช่นกัน ปลั๊กอินความปลอดภัยยังสามารถตรวจสอบไฟล์และโค้ดดิบของเว็บไซต์ของคุณ และแจ้งให้คุณทราบหากมีการเปลี่ยนแปลงใดๆ โดยไม่คาดคิด หากจู่ๆ ไฟล์ใหม่เริ่มปรากฏบนเซิร์ฟเวอร์ของคุณ แสดงว่าเว็บไซต์ของคุณอาจถูกแฮ็ก
รับธีมและปลั๊กอินของคุณจากแหล่งที่เชื่อถือได้
WordPress Repository เป็นสถานที่ที่น่าเชื่อถือที่สุดในการค้นหาธีมและปลั๊กอินสำหรับเว็บไซต์ของคุณ เนื่องจากทุกอย่างบนเว็บไซต์ WordPress.org นั้นฟรีและเป็นโอเพ่นซอร์ส ปลั๊กอินและธีมทั้งหมดจึงมีการตรวจสอบโดยชุมชนอาสาสมัคร WordPress ขนาดใหญ่มาก อย่างไรก็ตาม ในหลายกรณี คุณอาจต้องการฟังก์ชันที่ไม่มีในธีมหรือปลั๊กอินฟรี และในกรณีนี้ คุณจะต้องชำระค่าซอฟต์แวร์ระดับพรีเมียม ตรวจสอบให้แน่ใจว่ามีคนตรวจสอบโค้ดและประกาศว่าปลอดภัยแล้ว
ลบธีมและปลั๊กอินที่ไม่ได้ใช้
ทุกธีมและปลั๊กอินทุกตัวที่ติดตั้งบนเว็บไซต์ WordPress ของคุณควรถือเป็นช่องโหว่ด้านความปลอดภัย เนื่องจากนั่นคือสิ่งที่แฮ็กเกอร์กำลังทำอยู่ พวกเขากำลังตรวจสอบโค้ด WordPress ทุกส่วนที่มีอยู่อย่างต่อเนื่องและมองหาช่องโหว่ที่จะใช้ประโยชน์ ทุกครั้งที่คุณลบธีมหรือปลั๊กอินออกจากไซต์ของคุณ คุณกำลังกำจัดจุดที่อาจเป็นทางเข้าออก ตรวจสอบปลั๊กอินและธีมของไซต์ของคุณ และลบสิ่งที่คุณไม่ได้ใช้ เป็นความคิดที่ดีที่จะตรวจสอบปลั๊กอินที่ใช้งานอยู่และตรวจสอบให้แน่ใจว่าคุณจำเป็นต้องใช้ทั้งหมดจริงๆ
ค้นหาการแทนที่สำหรับปลั๊กอินที่ถูกละทิ้ง
ครั้งสุดท้ายที่คุณเห็นการแจ้งเตือนการอัปเดตสำหรับปลั๊กอินใดปลั๊กอินหนึ่งเป็นเวลานานแล้วหรือไม่ หากเป็นเช่นนั้น คุณอาจต้องการตรวจสอบบันทึกการเปลี่ยนแปลงของปลั๊กอินเพื่อดูว่ามีการอัปเดตครั้งล่าสุดเมื่อใด เว้นแต่ฟังก์ชันการทำงานของปลั๊กอินจะเรียบง่ายมาก คุณควรพิจารณาว่าผู้เขียนละทิ้งปลั๊กอินนั้นไป หากไม่ได้รับการอัปเดตเป็นเวลานานกว่าหนึ่งปีหรือมากกว่านั้น ในกรณีนี้ คุณควรค้นหาปลั๊กอินที่มีฟังก์ชันการทำงานเหมือนกันและยังคงมีการอัปเดตอยู่ ช่องโหว่ด้านความปลอดภัยอาจซ่อนตัวอยู่ในปลั๊กอินเก่าเป็นเวลานานก่อนที่จะถูกค้นพบ และหากผู้เขียนไม่ได้อัปเดตปลั๊กอินที่มีช่องโหว่อีกต่อไป ช่องโหว่ดังกล่าวจะไม่ได้รับการแก้ไข
จ้างนักพัฒนาเพื่อตรวจสอบปลั๊กอินและธีมเก่า
สมมติว่าเว็บไซต์ของคุณมีปลั๊กอินที่สำคัญต่อภารกิจซึ่งนักพัฒนาละทิ้งไปและไม่ได้รับการอัปเดตอีกต่อไป ในกรณีนั้น คุณจะต้องดำเนินการด้วยตัวเองเพื่อให้แน่ใจว่าปลั๊กอินมีความปลอดภัยและไม่มีช่องโหว่ ในกรณีนี้ การจ้างนักพัฒนาและให้บุคคลนั้นตรวจสอบปลั๊กอินให้คุณถือเป็นความคิดที่ดีมาก การบำรุงรักษาปลั๊กอินอาจเป็นค่าใช้จ่ายต่อเนื่องจนกว่าคุณจะพบปลั๊กอินทดแทน