ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comพัฒนาเว็บไซต์Free Siteคือสงสัยเรื่องการแทรกโค๊ด Wordpress
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: คือสงสัยเรื่องการแทรกโค๊ด Wordpress  (อ่าน 4185 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
lightnow
คนรักเสียว
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 130



ดูรายละเอียด เว็บไซต์
« เมื่อ: 08 มิถุนายน 2022, 16:27:41 »

ผมสัยสัยครับว่า มีวิธีไหนหรอครับที่สามารถ แทรกโค๊ดเข้ามาในเว็บไซต์ wordpress โดยที่ไม่ต้องเข้าหลังบ้านบ้างครับ
เพราะมันมี การทำได้จริงๆ และมีวิธีป้องกันไหมครับ
- เช่น ระบบ Chat มาติดที่เว็บเราโดยที่เค้าไม่ต้องเข้าหลังบ้าน
บันทึกการเข้า

nuengzaxi
ก๊วนเสียว
*

พลังน้ำใจ: 10
ออฟไลน์ ออฟไลน์

กระทู้: 329



ดูรายละเอียด
« ตอบ #1 เมื่อ: 08 มิถุนายน 2022, 17:12:27 »

เว็บเก่าผมที่ระบบป้องกันไม่ดีพอ กับไม่ได้อัพเดทเวอร์ชั่น ก็โดนมัลแวร์จนพังไป เว็บทำงานปกติแต่ส่งไปที่อื่น
เอาจริงๆ ผมมี WAF ที่คอยป้องกัน เว็บหลักผมโดนยิง /xmlrpc.php วันละเป็นร้อย ยังไม่นับที่บอทยิง /admin.php กับ login อีกนับร้อยต่อวัน บอทปลอมอีกเพียบ และอื่นๆ อีกมากมาย พอได้เห็นแล้วก็ไม่กล้าปิด WAF เลยทีเดียว
ส่วนเรื่องแทรกโค๊ดเข้ามา อันนี้ไม่ค่อยรู้ แต่มันทำได้ไม่ยากเลยถ้ามันจะทำ ถ้าเว็บไม่อัพเดท ไม่ป้องกันซะหน่อย เพราะผมก็เคยโดน - -.
บันทึกการเข้า
Zeratul
ก๊วนเสียว
*

พลังน้ำใจ: 9
ออฟไลน์ ออฟไลน์

กระทู้: 241



ดูรายละเอียด
« ตอบ #2 เมื่อ: 08 มิถุนายน 2022, 17:27:30 »

มันจะฝังสคริปมากับไฟล์ PHP ครับ
บันทึกการเข้า

fa555
คนรักเสียว
*

พลังน้ำใจ: 3
ออฟไลน์ ออฟไลน์

กระทู้: 186



ดูรายละเอียด
« ตอบ #3 เมื่อ: 09 มิถุนายน 2022, 02:18:20 »

มาหาความรู้ค่ะ wanwan017
บันทึกการเข้า
ivar
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 70
ออฟไลน์ ออฟไลน์

กระทู้: 2,549



ดูรายละเอียด
« ตอบ #4 เมื่อ: 09 มิถุนายน 2022, 09:27:54 »

wp นี้โดนแฮกง่ายสุดเลยเพราะเป็น opensource ที่คนใช้เยอะ ส่วนมากเกิดจากไม่ได้อัพเดท wp หรือ plugin สม่ำเสมอ หรือใช้ plugin ที่มีช่องโหว่ค่ะ ยิ่งพวก plugin เถื่อนหรือ nulled ระวังให้ดีเลย FTP ด้วย บางทีไวรัสมันมาจากเครื่องที่ ftp ไฟล์ขึ้นไป host ก็มีส่วนบ้างค่ะ อย่างโฮสต์ตัวที่ดิฉันใช้มี Imunify360 ช่วยจัดการไวรัสได้ค่อนข้างดี ก็จะช่วยได้เยอะแต่ยังไงก็ควร update wordpress เรื่อยๆ
บันทึกการเข้า

ชื่อพี หน้าตาดีมาก
สมุนแก๊งเสียว
*

พลังน้ำใจ: 10
ออฟไลน์ ออฟไลน์

กระทู้: 505



ดูรายละเอียด เว็บไซต์
« ตอบ #5 เมื่อ: 09 มิถุนายน 2022, 10:18:08 »

มาเก็บความรู้ครับ   wanwan017 wanwan017
บันทึกการเข้า
forexduck
สมุนแก๊งเสียว
*

พลังน้ำใจ: 3
ออฟไลน์ ออฟไลน์

กระทู้: 525



ดูรายละเอียด เว็บไซต์
« ตอบ #6 เมื่อ: 09 มิถุนายน 2022, 18:15:13 »

รอคำตอบเหมือนกันครับ
บันทึกการเข้า

asa123
ก๊วนเสียว
*

พลังน้ำใจ: 5
ออฟไลน์ ออฟไลน์

กระทู้: 335



ดูรายละเอียด
« ตอบ #7 เมื่อ: 10 มิถุนายน 2022, 00:36:17 »

ตามค่ะ wanwan017
บันทึกการเข้า
aieaie1234
ก๊วนเสียว
*

พลังน้ำใจ: 3
ออฟไลน์ ออฟไลน์

กระทู้: 284



ดูรายละเอียด
« ตอบ #8 เมื่อ: 10 มิถุนายน 2022, 23:48:57 »

ตามด้วยคนค่ะ wanwan044
บันทึกการเข้า

ห้ามลิ้งพนัน
lightnow
คนรักเสียว
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 130



ดูรายละเอียด เว็บไซต์
« ตอบ #9 เมื่อ: 11 มิถุนายน 2022, 15:47:50 »

มันจะฝังสคริปมากับไฟล์ PHP ครับ
คือมีเว็บผมเป็นคนดูแลเอง แต่ประเด็นคือ มีการทำการตลาด ทีนี้ทีมการตลาดที่จ้างมา แล้วเค้านำโค๊ด Chat มาแทรกได้โดยไม่ต้องเข้าหลังบ้านเลย งงๆ ว่ามีวิธีไหนด้วยหรอ แค่อยากทราบไว้ครับ แต่ทางนั้นน่าจะไม่บอกเป็นความลับ...
บันทึกการเข้า

Legolas
Global Moderator
เจ้าพ่อบอร์ดเสียว
*****

พลังน้ำใจ: 886
ออฟไลน์ ออฟไลน์

กระทู้: 10,084



ดูรายละเอียด
« ตอบ #10 เมื่อ: 11 มิถุนายน 2022, 20:37:31 »

เค้าไม่บอกเหรอครับว่าเอาโค้ดเข้ามายังไง
« แก้ไขครั้งสุดท้าย: 12 มิถุนายน 2022, 02:44:08 โดย Legolas » บันทึกการเข้า




ตอนนี้มีโปร $29.99 Creative Fabrica ถูกที่สุดสำหรับทำ POD,KDP
ขาย License wp theme 5 ธีมจา่ก Themeforest Newspaper, KALLYAS, Puzzle, Valenti, Jarida ราคาถูกมาก pm มาได้เลยครับ
รับทำ vdo avartar สำหรับนำเสนอ aff ต่างประเท
Aort2022
คนรักเสียว
*

พลังน้ำใจ: 3
ออฟไลน์ ออฟไลน์

กระทู้: 108



ดูรายละเอียด เว็บไซต์
« ตอบ #11 เมื่อ: 11 มิถุนายน 2022, 22:31:29 »

ไม่เข้าหลังบ้าน แต่อาจเข้าไปทาง DA หรือ FTP หรือเปล่าครับ หากเคยให้ข้อมูลการจัดการโฮสไป เขาก็ทำได้ทุกอย่าง WP ต่อให้ใส่รหัสผ่านงงแค่ไหน ก็เปลี่ยนได้ง่ายๆ แต่หากว่าแฮกเข้าไปผมว่ามันก็คงไม่ง่ายนะ ส่วนมากจะโม้กันว่าแฮกนั้นนี้นั่น การจะแฮกมันจะมีที่มาที่ไปคนแฮกต้องปูทางให้ตัวเอง อาทิฝังโค๊ดไว้กับปลักอิน หรือโยนบางอย่างขึ้นโฮสถึงจะทำได้  จู่ๆมาแฮกดื้อๆเลยก็ต้องมือโปรจริงๆถึงทำได้  แต่ประเด็นที่เจ้าของกระทู้บอกผมคิดว่าเขาฝังโค๊ดในสคริปต์ โดยการจัดการโยนไฟล์เข้าโฮสเลย ก็คล้ายๆกับการโมโค๊ดนั่นแหละครับ ไม่จำเป็นต้องเข้าหลังบ้าน
บันทึกการเข้า

talad108.com  รับโม Smf ตามใจท่านต้องการ เริ่มต้น 999 บาท ติดต่อได้ที่ https://talad108.com/
kumjuju
Newbie
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 96



ดูรายละเอียด เว็บไซต์
« ตอบ #12 เมื่อ: 12 มิถุนายน 2022, 10:49:21 »

มาเก็บข้อมูลค่ะ
บันทึกการเข้า
prapanich
Newbie
*

พลังน้ำใจ: 0
ออฟไลน์ ออฟไลน์

กระทู้: 5



ดูรายละเอียด
« ตอบ #13 เมื่อ: 02 พฤศจิกายน 2022, 19:53:26 »

มาหาความรู้ค่ะ
บันทึกการเข้า
TG_Min
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 161
ออฟไลน์ ออฟไลน์

กระทู้: 1,462



ดูรายละเอียด เว็บไซต์
« ตอบ #14 เมื่อ: 03 พฤศจิกายน 2022, 11:40:31 »

รู้ได้ไงว่าเขาไม่ได้เข้าหลังบ้าน

wp แฮกไม่ง่ายนะครับ ถ้าง่ายขนาดนั้น ป่านนี้ cms ตัวนี้เจ๊งไปแล้ว ที่โดนกันส่วนใหญ่ไปตั้งค่ามั่วซั่ว
- ตั้งให้คนสมัครสมาชิกเป็น admin หรือใกล้เคียงได้
- ใช้ plugin/theme เถื่อน แต่ก็มีอันที่ผ่านการตรวจ จะมีช่องโหว่ให้คนเก่งๆ เข้าไปแฮ็กได้เยอะเหมือนกัน (ซึ่งก็ไม่ใช่ว่าจะเจาะกันง่ายๆ)
  ข้อนี้ มันจะไปโดนการเปิดสิทธิ์เข้าถึง folder uploads ให้สามารถโหลดไฟล์เข้าระบบได้ง่ายๆ เช่น พวกเว็บบอร์ด ที่ปล่อยให้แทรก html / upload ไฟล์ได้เยอะๆ ฯลฯ เสร็จโจรอ่ะ เพราะมันโหลดทีนึง พอมีการเรียกใช้ไฟล์ก็เหมือนโทรจัน มันจะก๊อบตัวเองไปอยู่ทั่วไปหมด และซ่อนต้นฉบับเอาไว้เนียนๆ ลบยังไงก็ไม่หาย บางคนต้องล้างทั้ง host ก็มีมาแล้ว
- ใช้ wp รุ่นเก่า
- โม theme เองโดยไม่ผ่าน child theme และ update ไม่ได้เพราะมันจะพัง
- ไปเปิดสิทธิ์ wp-config.php มั่วซั่ว เช่น เปิดให้ upload ไฟล์ขึ้น host ได้
- host ใช้ php รุ่นเก่า หรือถูกแฮกผ่านเว็บอื่นใน host เดียวกัน

เอาจริงๆ เงื่อนไขที่ทำให้ระบบที่ถูกวางไว้ดีๆ พังหมดมีเยอะกว่านี้ ก็อยู่ที่ admin ล้วนๆ ว่าเก่งแค่ไหน
------------------

วิธีแก้ทั่วไปคือ เมื่อมีประกาศ update ก็ต้องรีบทำ ก่อนจะโดนเจาะ และควรขยันเข้า host เพื่อสแกนช่องโหว่ แล้วบอกให้ host ปิดกั้น หรือกดปรับปรุงด้วยตัวเอง บลาๆๆ

ส่วนสิ่งที่คนไม่หวังดีทั่วไปทำได้ ก็แค่ยิงผ่าน xmlrpc.php ถ้าปิดการใช้งานไฟล์นี้ไปก็ยิงไปเหอะ กระสุนตกทะเลหมด

อ้างถึง
ใช้ .htaccess ป้องกันการเข้าถึงไฟล์ xmlrpc.php โดยโค๊ด
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

อีกตัวนึงก็เป็น wp-cron.php แต่ถ้าปิดเราก็ทำงานลำบาก ก็ไปติดตั้ง plugin พวกจำกัดสิทธิ์การเข้าถึง อย่างที่เพื่อนๆ ข้างบนบอกก็จบ

อ้างถึง
ปิดการใช้งาน cronjob เข้าไปเพิ่ม code นี้ใน wp-config.php

define(‘DISABLE_WP_CRON’, ‘true’);

-----------------
ทีนี้เรามาดูกันว่า เขาแทรก code ยังไง
- ถ้าไม่เข้า ftp ก็ต้องเข้าหลังบ้าน ไม่มีทางอื่น เพราะสิทธิ์ทุกอย่างอยู่กับ administrator อยู่ๆ จะให้ลุงเก่งคอม เข้าเว็บมาแล้วแทรก code ลงไปได้เลย มันเป็นไปไม่ได้หรอกครับ ระบบเขาระดับโลก และผมเชื่อว่า wordpress เป็น cms ที่ปลอดภัยสูงอันดับต้นๆ
- ลง plugin เถื่อน ยังไงก็ต้องใช้สิทธิ์ admin ที่จะกด activate ไม่งั้นโหลดขึ้น ftp แล้วหลอกให้ admin กด active เอาก็ได้
- admin เองเปิดให้ user upload ไฟล์ขึ้นไปเอง ตามที่เขียนไว้บนๆ

ก็อย่างที่บอกไว้ล่ะฮะ ตัว wp เองถ้าใช้ plugin/theme ที่ได้มาตรฐาน เอาของที่มันมีแบบธรรมดาๆ ที่แจกในเว็บหลักนั่น และไม่ลง security อะไรเลย ก็แทบจะเจาะไม่เข้าแล้ว
บันทึกการเข้า

bell Arisa
Newbie
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 82



ดูรายละเอียด
« ตอบ #15 เมื่อ: 04 พฤศจิกายน 2022, 11:25:18 »

เข้ามาหาความรู้ :wanwan017:ค่ะ
บันทึกการเข้า
ivar
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 70
ออฟไลน์ ออฟไลน์

กระทู้: 2,549



ดูรายละเอียด
« ตอบ #16 เมื่อ: 04 พฤศจิกายน 2022, 17:48:46 »

เราว่าอย่าไปสนใจว่ามาอย่างไร อัพ wp + plugin สม่ำเสมอดีกว่าค่ะ ช่วยให้เว็บไวขึ้นด้วย
บันทึกการเข้า

หน้า: [1]   ขึ้นบน
พิมพ์