ไม่ยอมให้ใครแซง! WordPress ยังครองสถิติผู้ให้บริการ CMS ที่ถูกแฮกมากที่สุด

champooko1 · 03 กันยายน 2020, 09:54:39

คงต้องเริ่มพัฒนาให้บ่อยๆครับ หรือต้องพัฒนาตัวเองเป็น Dev ทำอะไรป้องกันเอง

champooko1 · 03 กันยายน 2020, 09:59:49

อ้างถึงจาก: stjames ใน 08 มีนาคม 2019, 15:25:25

ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยเว็บไซต์ Sucuri ได้จัดทำรายงานเกี่ยวกับความปลอดภัยของการใช้ CMS โดยพบว่า WordPress ครองแชมป์ผู้ให้บริการ CMS ที่ถูกแฮกมากที่สุดในปี 2018 รองลงมาคือ Magento, Joomla และ Drupal ตามลำดับ

โดยจากรายงานยังเผยถึงสาเหตุที่ถูกแฮ็กว่ามาจากช่องโหว่ของ Plugins และ Theme การตั้งค่าที่ผิดพลาด รวมไปถึงขาดการอัพเดตให้เป็นเวอร์ชั่นล่าสุด เพราะผู้ดูแลระบบมักจะลืม และจากเคสทั้งหมดที่ Sucuri เข้าไปแก้ปัญหา พบว่ามีเว็บไซต์ 56% เท่านั้นที่มีการอัพเดต CMS เป็นเวอร์ชันล่าสุด

ซึ่งจากปัญหาการขาดการอัพเดตนั้น จะพบจาก PrestaShop, OpenCart, Joomla และ Magento เป็นส่วนใหญ่ ในขณะที่ WordPress มีสถิติถูกแฮกสูงสุดแต่กลับพบว่ามีเพียง 36% เท่านั้นที่ขาดการอัพเดตล่าสุด โดยสาเหตุที่เว็บไซต์ e-commerce เหล่านี้หลีกเลี่ยงการอัพเดตนั่นก็เพราะกลัวว่าอัพเดตไปแล้วเกิดข้อผิดพลาดจะเสียรายได้ ทำให้แฮกเกอร์เห็นถึงช่องโหว่ตรงนี้ได้นั่นเอง

นอกจากนี้ยังพบว่า 56% ของเว็บไซต์ที่ถูกแฮกกลายเป็นโฮสต์ให้มัลแวร์สำหรับปฏิบัติการอื่นๆ และอีก 51% ของเว็บไซต์ที่ถูกแฮกกลายเป็นเพจ Spam SEO ซึ่งเพิ่มขึ้นจาก 44% ในปี 2017 โดยบริษัทรายงานว่ามีแรงดึงดูดมาจากบริการโฆษณาต่างๆ ที่สามารถสร้างรายได้ได้

ถึงแม้ว่าการป้องกันจะเป็นสิ่งที่ควรทำ แต่ในบางครั้งก็มีข้อผิดพลาดเกิดขึ้นได้ อาจจะเป็นเพราะทีมงานที่ดูแลมีไม่เพียงพอ เพราะการใช้คนดูแลตลอด 24 ชั่วโมงเป็นไปได้ยาก ต้องใช้งบประมาณในการดูแลส่วนนี้เพิ่มมากขึ้น แต่สิ่งที่สำคัญก็คือเมื่อเว็บไซต์โดน แฮก หรือเปลี่ยนหน้าเว็บ ทีมที่ดูแลต้องรีบทำการแก้ไขอย่างรวดเร็ว เพื่อลดความเสียหาย ยิ่งปล่อยเวลาให้เนิ่นนานเท่าไหร่ ยิ่งจะทำให้ภาพลักษณ์ขององค์กรได้รับความเสียหายมากขึ้นไปด้วย และการอัพเดตแพตช์ล่าสุดให้กับเว็บเหล่านี้เป็นเรื่องสำคัญที่ห้ามละเลย

ที่มา http://www.atimedesign.com/webdesign/wordpress-hacked-cms-most-2018/

ที่เป็นแบบนี้เพราะว่ามันมีคนใช้เยอะมากกกก อีกทั้งบางโฮสยังมีระบบสำเร็จติดตั้ง ทำให้มันค่อนข้างสะดวก

AntiquePeanut · 03 กันยายน 2020, 15:49:22

สรุปที่โดนเยอะ เพราะคนใช้เยอะแต่ไม่ค่อยตรวจสอบเว็บตัวเองกันบ่อยๆ

เด็กหลังห้อง · 03 กันยายน 2020, 16:36:34

จริงๆคือ มันใช้เยอะด้วยหรือเปล่า ตามคนใช้น้นล่ะ

Jotaro · 03 กันยายน 2020, 17:26:18

"และจากเคสทั้งหมดที่ Sucuri เข้าไปแก้ปัญหา พบว่ามีเว็บไซต์ 56% เท่านั้นที่มีการอัพเดต CMS เป็นเวอร์ชันล่าสุด"

โดนจาก plugin อยู่ดี เพราะ plugin บางเจ้ากว่าจะขยับทีนึงก็นานเสียเหลือเกิน หนักสุดคือถ้าไม่ conflict กับบางอย่างก็ไม่ update

ZYB3R_F1ST · 03 กันยายน 2020, 21:55:26

Number 1

stjames · 03 กันยายน 2020, 22:15:15

อ้างถึงจาก: AntiquePeanut ใน 03 กันยายน 2020, 15:49:22
สรุปที่โดนเยอะ เพราะคนใช้เยอะแต่ไม่ค่อยตรวจสอบเว็บตัวเองกันบ่อยๆ

จากประสบการณ์ผมนะ ถ้าไม่เข้าเดือนนึงนี่ก็เสี่ยงแล้ว บางคนเข้าทุกสัปดาห์ แต่ผมเข้าทุกวัน

SpaRK · 03 กันยายน 2020, 22:16:30

เช็คทุกวัน และมีแบคอัพอีกชั้น จะได้จัดการง่ายเวลาโดนจริงๆ

stjames · 03 กันยายน 2020, 22:20:19

อ้างถึงจาก: SpaRK ใน 03 กันยายน 2020, 22:16:30
เช็คทุกวัน และมีแบคอัพอีกชั้น จะได้จัดการง่ายเวลาโดนจริงๆ

ใช่ครับเพราะส่วนใหญ่ที่เสี่ยงคือให้อัพเดท plugin หรือไม่ก็ให้อัพเดทเวอร์ชั่น wp
อย่าง plugin ฟรีถ้าไม่อัพเดทบ่อยๆ จะมีช่องโหว่ อ้ออีกอันนึง theme ถ้าไปเอาของฟรีมานี่ระวังกันให้ดีเลยครับ

l3master · 03 กันยายน 2020, 23:18:28

ไม่รู้ว่าเว็บต้นทางเขาเก็บสถิติอย่างไรนะ แต่ในควาามเห็นผม
ต้องเทียบเปอร์เซ็นระหว่าง จำนวนเว็บไซต์ที่สร้างด้วย Wordpress ทั้งหมด หารด้วยจำนวนเว็บไซต์ Wordpress ที่โดนแฮก
จะได้ทราบว่าเว็บไซต์ที่ใช้งาน Wordpress ถูกแฮกจริงๆเนี่ย คิดเป็นกี่ % ของเว็บ Wordpress ทั้งหมด แบบนี้สิถึงจะแฟร์
งั้นถ้าดูตามสถิติถูกแฮก 90% หมายความว่าเว็บ Wordpress 100 เว็บ โดนแฮ็กไปแล้วทันที 90 เว็บ ผมว่ามันไม่ขนาดนั้นหรอกมั้งครับ

CMS บางตัวคนใช้งานแค่หลักหมื่น กับ CMS อีกตัวคนใช้งานเป็นล้าน
เอามาเทียบกันตรงๆ แบบนี้ก็ไม่แฟร์กับ Wordpress สิ
เพราะจำนวนผู้ใช้งาน CMS Wordpress ย่อมแปรผันตรงกับจำนวนเว็บไซต์ที่ถูกแฮกด้วย

SpaRK · 04 กันยายน 2020, 19:24:24

อ้างถึงจาก: l3master ใน 03 กันยายน 2020, 23:18:28
ไม่รู้ว่าเว็บต้นทางเขาเก็บสถิติอย่างไรนะ แต่ในควาามเห็นผม
ต้องเทียบเปอร์เซ็นระหว่าง จำนวนเว็บไซต์ที่สร้างด้วย Wordpress ทั้งหมด หารด้วยจำนวนเว็บไซต์ Wordpress ที่โดนแฮก
จะได้ทราบว่าเว็บไซต์ที่ใช้งาน Wordpress ถูกแฮกจริงๆเนี่ย คิดเป็นกี่ % ของเว็บ Wordpress ทั้งหมด แบบนี้สิถึงจะแฟร์
งั้นถ้าดูตามสถิติถูกแฮก 90% หมายความว่าเว็บ Wordpress 100 เว็บ โดนแฮ็กไปแล้วทันที 90 เว็บ ผมว่ามันไม่ขนาดนั้นหรอกมั้งครับ

CMS บางตัวคนใช้งานแค่หลักหมื่น กับ CMS อีกตัวคนใช้งานเป็นล้าน
เอามาเทียบกันตรงๆ แบบนี้ก็ไม่แฟร์กับ Wordpress สิ
เพราะจำนวนผู้ใช้งาน CMS Wordpress ย่อมแปรผันตรงกับจำนวนเว็บไซต์ที่ถูกแฮกด้วย

แต่ก็ต้องงยอมรับว่า ด้วยความที่มันเป็น opensource มันก็มีช่องโหว่และรูรั่วจริงๆ ถ้าใครมีเวลาแกะโค้ดแล้วนั่งหารูรั่ว คิดว่าคงเจอแน่ๆ และ wordpressก็ทราบดีถึงจุดนี้ จึงออกแพทธ์อัพเดทมาบ่อยๆเสมอ เขาเจอเราอุด ไปเรื่อยๆ

xvlnw.com · 05 กันยายน 2020, 17:21:15

WP เวอร์ชั่นปัจจุบัน รองรับการ Auto Update Plugin, Theme แล้วนะครับ ไปอัพเดตใช้งานกันได้

sarode · 06 กันยายน 2020, 09:37:11

อ้างถึงจาก: xvlnw.com ใน 05 กันยายน 2020, 17:21:15
WP เวอร์ชั่นปัจจุบัน รองรับการ Auto Update Plugin, Theme แล้วนะครับ ไปอัพเดตใช้งานกันได้

ผมเลือกที่จะปิดมันครับ เพราะบางครั้งอัพเดทปุ้บ เว็บพัง ก็มี ต้องเลือกอัพเดทเองทีละตัว

JeffyPluS · 06 กันยายน 2020, 11:39:01

จากประสบการณ์ คือ ลูกค้าไม่อัพเดททั้งตัว wp / plugins / themes เลยครับ

stjames · 06 กันยายน 2020, 16:03:51

อ้างถึงจาก: JeffyPluS ใน 06 กันยายน 2020, 11:39:01
จากประสบการณ์ คือ ลูกค้าไม่อัพเดททั้งตัว wp / plugins / themes เลยครับ

ส่วนใหญ่พวกนี้เขาทำเว็บเสร็จก็แทบไม่เข้ามาดูเลยครับ ถ้าไม่มีพนักงานประจำมานั่งดูแลจริงๆ

watyai · 06 กันยายน 2020, 16:42:37

จาก สถิติ คิดเป็น %
เว็บไซต์ทั้งหมด ประมาณกว่า 60% ที่ใช้ WP
แต่จากสถิติ คิดเป็น % เหมือนกัน
เว็บไซต์ที่โดนเฮก สูงถึง 90% ที่ใช้ WP (ไม่ได้หมายความว่า คนใช้ 100 web จะโดนไป 90 นะครับ) ต้องนี้เขาเทียบกับ CMS ตัวอื่นว่าโอกาสถูกเฮกมากที่สุด

อยากให้ core ของ WP หันมาพัฒนาบน Framework จริงๆ แล้วบังคับให้คนเขียน Plugin ต้องเขียนตามหลักความปลอดภัย
และ เอา Plugin Themes ที่ไม่อัพเดด ออกจาก store

PreedeeSuk · 10 พฤษภาคม 2021, 12:36:22

ตามค่ะ