เหตุใดโปรแกรมสแกนมัลแวร์ WordPress จึงไร้ค่า

เผยแพร่แล้ว: 2023-07-18

งานวิจัยใหม่จาก Snicco, WeWatchYourWebsite, Automattic-backed GridPane และ PatchStack เปิดเผยว่าโปรแกรมสแกนมัลแวร์ WordPress ที่ทำงานเป็นปลั๊กอินในสภาพแวดล้อมที่ถูกบุกรุกมีข้อบกพร่องโดยพื้นฐาน เครื่องสแกนมัลแวร์เป็นเครื่องมือล้างข้อมูลที่ดีที่สุดสำหรับไซต์ที่ถูกบุกรุกแล้ว พวกมันไม่ใช่แนวป้องกันที่แข็งแกร่ง และ ตอนนี้ พวกมันกำลังพ่ายแพ้อย่างแข็งขันจากมัลแวร์ ปล่อยให้การตรวจจับมัลแวร์เป็นโฮสต์ที่มีคุณภาพ มุ่งเน้นที่นโยบายความปลอดภัยของคุณที่การยืนยันตัวตนการเข้าสู่ระบบที่เข้มงวด การจัดการผู้ใช้ การมอบสิทธิ์ที่เหมาะสม และการจัดการเวอร์ชันที่ระแวดระวัง

ตั้งแต่ปี 2000 และหลังจากนั้น: โปรแกรมสแกนมัลแวร์หมดประโยชน์ไปแล้ว

ปลั๊กอินการตรวจจับมัลแวร์สำหรับ WordPress ย้อนหลังไปถึงปี 2011 เมื่อการโจมตีด้วยการฉีด SQL เป็นเรื่องปกติและมีประสิทธิภาพ ทุกคนที่ทำงานกับ WordPress ในตอนนั้นจะจำไลบรารีการแก้ไขภาพที่ใช้กันอย่างแพร่หลายที่ชื่อว่า TimThumb มันถูกโจมตีแบบ Zero-day ด้วยผลลัพธ์ที่น่าสยดสยองสำหรับไซต์หลายล้านแห่ง

นี่คือบริบทฉุกเฉินของปลั๊กอินความปลอดภัย WordPress ที่เพิ่มขึ้นจากปฏิกิริยา ปลั๊กอินความปลอดภัยบางตัวในปัจจุบันยังคงดูเหมือน Norton Security และ McAfee Anti-Virus สิ่งเหล่านี้เป็นแอพพลิเคชั่นความปลอดภัยยอดนิยมสำหรับ Windows เมื่อ 20-30 ปีที่แล้ว แต่อย่างที่ John McAfee พูดหลังจากออกจากบริษัทที่เขาสร้างขึ้น โปรแกรมสแกนไวรัสของเขาก็กลายเป็น "bloatware" ในความเห็นของเขา มันคือ "ซอฟต์แวร์ที่แย่ที่สุดในโลก"

ข้อสรุปที่คล้ายกันสามารถสรุปได้ในวันนี้เกี่ยวกับโปรแกรมสแกนมัลแวร์ WordPress จากผลการวิจัยล่าสุดของนักวิจัยด้านความปลอดภัย WordPress หลายคน

Malware Madness
โปรแกรมสแกนมัลแวร์จะไม่ปกป้องไซต์ WordPress ของคุณ

“สภาพแวดล้อมที่ถูกบุกรุกแล้วไม่สามารถเชื่อถือได้ในการวิเคราะห์ตัวเอง”

ภาพลวงตาของความปลอดภัย: โปรแกรมสแกนมัลแวร์ WordPress นำไปทดสอบ

ในส่วนแรกของซีรีส์ที่ชื่อว่า “Malware Madness: ทำไมทุกสิ่งที่คุณรู้เกี่ยวกับ WordPress Malware Scanner ของคุณถึงผิด” Calvin Alkan นักวิจัยด้านความปลอดภัยของ WordPress (ผู้ก่อตั้งบริษัทด้านความปลอดภัย Snicco) ได้แบ่งปันผลงานบางส่วนของเขา Alkan ทำงานร่วมกับ Patrick Gallagher (GridPane CEO และผู้ร่วมก่อตั้ง) และ Thomas Raef (เจ้าของ WeWatchYourWebsite.com) เพื่อดูว่าโปรแกรมสแกนมัลแวร์สามารถเอาชนะได้หรือไม่ ไม่น่าแปลกใจเลยที่ปรากฎว่าพวกเขาสามารถพ่ายแพ้ได้อย่างง่ายดายมาก Patchstack ให้การยืนยันผลลัพธ์ของ Alkan อย่างเป็นอิสระ

เครื่องสแกนในพื้นที่: การโทรมาจากภายในบ้าน

ในการทดสอบ Alkan และผู้ร่วมงานของเขาดูที่เครื่องสแกนในพื้นที่ก่อน Wordfence, WPMU Defender, All-In-One Security (AIOS) เวอร์ชันฟรี และ NinjaScanner ทำงานทั้งหมดบนเซิร์ฟเวอร์เดียวกันกับไซต์ WordPress ที่ติดตั้งอยู่ ซึ่งหมายความว่าโปรแกรมสแกนมัลแวร์ใช้กระบวนการ PHP เดียวกันกับ WordPress และมัลแวร์ที่ติดไวรัส ไม่มีอะไรหยุดมัลแวร์จากการโต้ตอบกับสแกนเนอร์ มัลแวร์สามารถปิดใช้งานปลั๊กอินความปลอดภัยที่ตรวจพบ เพิ่มรายการที่อนุญาต (รายงานในปี 2018) หรือควบคุมเครื่องสแกนเพื่อไม่ให้ตรวจพบการบุกรุก

“ทั้ง Malware Scanner และ Malware ทำงานภายในกระบวนการ PHP เดียวกัน ซึ่งหมายความว่ามัลแวร์สามารถจัดการหรือแทรกแซงการทำงานของเครื่องสแกนได้ — สถานการณ์ที่เทียบเท่ากันคือจำเลยที่ทำหน้าที่เป็นผู้พิพากษาในการพิจารณาคดีของศาล

จากนั้น Alkan และหุ้นส่วนของเขาได้สร้างหลักฐานเชิงแนวคิดที่ใช้งานได้เพื่อเอาชนะโปรแกรมสแกนมัลแวร์ (พวกเขายังเสนอที่จะแบ่งปันชุดช่องโหว่ของพวกเขาเป็นการส่วนตัวกับนักวิจัยด้านความปลอดภัยและผู้ขายด้วย) Oliver Sild CEO ของ Patchstack กล่าวว่าชุดช่องโหว่ประกอบด้วยโค้ดเพียงไม่กี่บรรทัด

นอกจากนี้ Alkan ยังพบว่ามัลแวร์ "แสดงผล" ซึ่ง "สร้างตัวเองแบบไดนามิกโดยใช้ PHP" นั้นตรวจไม่พบโดยโปรแกรมสแกนมัลแวร์ในเครื่อง ในที่สุด เครื่องสแกนในเครื่องก็ตรวจหามัลแวร์ “ที่อยู่ระหว่างดำเนินการ” ไม่ได้ มัลแวร์ประเภทนี้ “ทำงานเพียงครั้งเดียวแล้วลบตัวเองออกจากระบบโดยไม่ทิ้งร่องรอยของการมีอยู่”

เครื่องสแกนระยะไกล: พ่ายแพ้ด้วยการงัดแงะหลักฐานและการทำความสะอาดสถานที่เกิดเหตุ

เครื่องสแกนที่ทำการวิเคราะห์บนเซิร์ฟเวอร์ระยะไกล ได้แก่ Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri และ JetPack Scan วิธีการสแกนระยะไกลที่ใหม่กว่าเหล่านี้มีข้อดีหลายประการ รวมถึงรอยเท้าที่ลดลงและผลกระทบต่อประสิทธิภาพของเซิร์ฟเวอร์ภายในเครื่องของคุณ เครื่องสแกนภายในใช้ทรัพยากรเซิร์ฟเวอร์ของไซต์ของคุณในการทำงาน ซึ่งมีค่าใช้จ่ายด้านประสิทธิภาพ นอกจากนี้ การวิเคราะห์มัลแวร์ระยะไกลยังได้รับการปกป้องจากการยักย้ายถ่ายเท เนื่องจากไม่ได้เกิดขึ้นภายในกระบวนการ PHP เดียวกันกับการติดมัลแวร์ที่ใช้งานอยู่

สิ่งที่เครื่องสแกนระยะไกลมีความเสี่ยงคือมัลแวร์ที่จัดการข้อมูลที่ส่งกลับไปยังเซิร์ฟเวอร์ระยะไกลเพื่อการวิเคราะห์ Alkan ได้สร้างแนวคิดที่พิสูจน์ได้อีกอย่างหนึ่งซึ่งแสดงให้เห็นว่าเครื่องสแกนระยะไกลสามารถเอาชนะได้ด้วยวิธีนี้ — โดยการซ่อน "หลักฐาน" ของการติดมัลแวร์ Oliver Sild ยืนยันผลลัพธ์นี้เช่นกัน:

“การปลอมแปลงข้อมูลสามารถทำได้ในเชิงแนวคิดโดยปลั๊กอินในเครื่องเป็นเป้าหมายของการหลอกลวง เราได้รับการพิสูจน์แนวคิดที่แสดงให้เห็นอย่างชัดเจน”

กลวิธีของมัลแวร์ที่แตกต่างกันเล็กน้อยอาจเกี่ยวข้องกับการ “ขัดถูสถานที่เกิดเหตุ” และไม่ทิ้งร่องรอยของการติดไวรัสให้สแกน Alkan แนะนำว่าเป็นไปได้ แต่ไม่ได้ให้หลักฐานของแนวคิด

โปรดทราบว่าการสแกนความสมบูรณ์ของไฟล์ที่มองหาการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตอาจมีประโยชน์เมื่อคุณพยายามตรวจหาการติดมัลแวร์ การสแกนประเภทนี้จะเปรียบเทียบไฟล์ในเครื่องกับที่เก็บรหัสระยะไกลที่ได้รับการป้องกัน เพื่อตรวจหาการเปลี่ยนแปลงที่ไม่เป็นทางการในไฟล์คอร์หรือปลั๊กอินของ WordPress และไฟล์ธีม น่าเสียดายที่การตรวจจับการเปลี่ยนแปลงอาจพ่ายแพ้ได้หากกระบวนการถูกดัดแปลงโดยมัลแวร์

ไม่ใช่แค่เรื่องสมมุติ: มัลแวร์ได้ปิดการใช้งาน WordPress Security Scanners ไปแล้ว

ตามชุดการโจมตีของ Alkan การเปิดเผยที่ใหญ่ที่สุดในรายงานของ Snicco มาจาก Thomas Raef ซีอีโอของ We Watch Your Website ซึ่งตรวจจับและล้างไซต์ WordPress ที่ถูกแฮ็ก:

“ในช่วง 60 วันที่ผ่านมา ไซต์ 52,848 แห่งถูกแฮ็กด้วย WordFence ที่ติดตั้งไว้ก่อนที่จะติดไวรัส มัลแวร์ที่ติดตั้งดัดแปลงไฟล์ WordFence ใน 14% ของกรณีทั้งหมด (7,399) บริการยอดนิยมอื่น ๆ มีเปอร์เซ็นต์ที่สูงกว่า MalCare อยู่ที่ 22% และ VirusDie ที่ 24%”

สำหรับบัญชีโดยละเอียดเกี่ยวกับการวิเคราะห์ของ We Watch Your Website โปรดดูรายงานของ Thomas Raef เรื่อง “วิธีที่เราระบุไซต์ WordPress ที่ถูกแฮ็กเกือบ 150,000 แห่งใน 60 วัน”

นั่นคือเกมจบสำหรับปลั๊กอินสแกนมัลแวร์ มันบอกเราว่าการสแกนมัลแวร์ WordPress เป็นการรักษาความปลอดภัยอย่างแท้จริง — “แนวทางปฏิบัติของการใช้มาตรการรักษาความปลอดภัยที่ได้รับการพิจารณาว่าให้ความรู้สึกของการรักษาความปลอดภัยที่ดีขึ้นในขณะที่ทำเพียงเล็กน้อยหรือไม่ทำอะไรเลยเพื่อให้บรรลุผลสำเร็จ”

ไม่ต้องสงสัยเลยว่าสิ่งนี้เกิดขึ้นเป็นเวลานานเช่นกัน

Kathy Zant ผู้คร่ำหวอดในอุตสาหกรรมความปลอดภัยและผู้อำนวยการฝ่ายการตลาดของ Kadence บอกกับ Alkan ว่า:

“ในช่วงเวลาประมาณ 18 เดือน ฉันทำความสะอาดเว็บไซต์ WordPress ให้กับบริษัทที่มีชื่อเสียงใน WordPress กำจัดมัลแวร์ออกจากเว็บไซต์กว่า 2,000 แห่งในช่วงที่ฉันดำรงตำแหน่ง ระยะเวลาแรกสุดที่ฉันเห็น [การสแกนมัลแวร์ที่เอาชนะมัลแวร์] คือช่วงกลางถึงปลายปี 2017 [….] ฉันแน่ใจว่ายังคงมีอยู่ และอาจมีตัวแปรเพิ่มเติมที่ดำเนินการคล้ายกัน หรือแย่กว่านั้นก็ได้”

นั่นเป็นข่าวร้าย: โปรแกรมสแกนมัลแวร์ไม่สามารถเชื่อถือได้ ข่าวดีก็คือพวกเขาไม่เคยเสนอการป้องกันที่แท้จริง หากสิ่งที่คุณสูญเสียไปคือภาพลวงตาของการรักษาความปลอดภัย นั่นคือขั้นตอนสู่การได้รับความปลอดภัยที่แท้จริง

วิธีรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ - ถูกต้อง

ตามรายงานอย่าง Snicco's คำถามใหญ่ก็คือ “เว็บไซต์ WordPress มีความมั่นใจในความปลอดภัยสูงได้อย่างไร”

Alkan เชื่อว่าวิธีการรักษาความปลอดภัยต้องได้รับการปรับแต่งให้เหมาะกับเซิร์ฟเวอร์แต่ละชุด และการสแกนมัลแวร์ฝั่งเซิร์ฟเวอร์ที่ดำเนินการโดยโฮสต์นั้นเป็นการสแกนประเภทเดียวที่คุ้มค่าสำหรับเจ้าของไซต์

“ปลั๊กอินความปลอดภัยของ WordPress ควรทำสิ่งที่สามารถทำได้ดีที่สุดในชั้นของแอปพลิเคชัน/PHP เท่านั้น” เขาเน้นย้ำ

“ชุมชน WordPress จำเป็นต้องเปลี่ยนวิธีการรักษาความปลอดภัยจากการตรวจจับเป็นการป้องกัน ในขณะที่ยังคงรักษาความสำคัญของการสแกนมัลแวร์เพื่อตรวจสอบประสิทธิภาพของความปลอดภัย 'เลเยอร์ที่สูงขึ้น'”

การรักษาความปลอดภัยในการเข้าสู่ระบบของผู้ใช้ที่แข็งแกร่ง เช่น การยืนยันตัวตนแบบสองปัจจัยและรหัสผ่านควบคู่ไปกับการรักษาความปลอดภัยเซสชันเป็นสิ่งที่ Alkan กล่าวว่าปลั๊กอิน WordPress สามารถช่วยได้ — ปลั๊กอินเช่น iThemes Security นั่นเป็นปรัชญาแนวทางของทีมพัฒนาของเราเสมอ — ปลั๊กอินความปลอดภัยเหมาะที่สุดสำหรับการทำให้ไซต์แข็งแกร่งขึ้นและลดพื้นผิวการโจมตี

วิธีที่จำเป็นอื่น ๆ ในการทำให้การป้องกันไซต์ WordPress ของคุณแข็งแกร่งขึ้น ได้แก่ การจัดการผู้ใช้อย่างระมัดระวังตามหลักการของสิทธิ์ขั้นต่ำ: อย่าให้อำนาจแก่ผู้ใช้มากเกินความจำเป็น และสำหรับผู้ใช้ที่มีสิทธิ์มากกว่า พวกเขาต้องการมาตรฐานการรักษาความปลอดภัยที่สูงขึ้น — 2FA, รหัสผ่าน, อุปกรณ์ที่เชื่อถือได้ และรหัสผ่านที่รัดกุมซึ่งไม่เคยปรากฏในการละเมิดที่ทราบมาก่อน

แนวโน้มการโจมตีในปัจจุบันกำหนดเป้าหมายธุรกิจขนาดเล็กถึงขนาดกลางอย่างชาญฉลาดด้วยการยัดรหัสผ่าน ฟิชชิง และสเปียร์ฟิชชิง เวกเตอร์การโจมตีเหล่านี้ใช้ประโยชน์จากการตรวจสอบการเข้าสู่ระบบที่อ่อนแอและข้อผิดพลาดของมนุษย์ พวกเขาใช้กำลังดุร้ายและกลยุทธ์วิศวกรรมสังคมที่ชาญฉลาดเพื่อประนีประนอมบัญชีผู้ใช้แต่ละราย ด้วยบัญชีผู้ใช้ที่ถูกแฮ็ก ผู้โจมตีสามารถสร้างความเสียหายได้มากมาย พวกเขาอาจทำอันตรายมากขึ้นหากพวกเขาเห็นปลั๊กอินที่มีช่องโหว่เพื่อใช้ประโยชน์ เมื่อเข้าไปในระบบของคุณแล้ว ผู้โจมตีสามารถสร้างประตูหลังเพื่อแอบกลับเข้ามาได้ตลอดเวลา

ปลั๊กอินความปลอดภัยที่เน้นโปรแกรมสแกนมัลแวร์จะไม่หยุดการทำงานเหล่านี้