(http://www.atimedesign.com/webdesign/wp-content/uploads/2019/03/malware-wordpress-main1.jpg)
ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยเว็บไซต์ Sucuri ได้จัดทำรายงานเกี่ยวกับความปลอดภัยของการใช้ CMS โดยพบว่า WordPress ครองแชมป์ผู้ให้บริการ CMS ที่ถูกแฮกมากที่สุดในปี 2018 รองลงมาคือ Magento, Joomla และ Drupal ตามลำดับ
(http://www.atimedesign.com/webdesign/wp-content/uploads/2019/03/1.jpg)
โดยจากรายงานยังเผยถึงสาเหตุที่ถูกแฮ็กว่ามาจากช่องโหว่ของ Plugins และ Theme การตั้งค่าที่ผิดพลาด รวมไปถึงขาดการอัพเดตให้เป็นเวอร์ชั่นล่าสุด เพราะผู้ดูแลระบบมักจะลืม และจากเคสทั้งหมดที่ Sucuri เข้าไปแก้ปัญหา พบว่ามีเว็บไซต์ 56% เท่านั้นที่มีการอัพเดต CMS เป็นเวอร์ชันล่าสุด
ซึ่งจากปัญหาการขาดการอัพเดตนั้น จะพบจาก PrestaShop, OpenCart, Joomla และ Magento เป็นส่วนใหญ่ ในขณะที่ WordPress มีสถิติถูกแฮกสูงสุดแต่กลับพบว่ามีเพียง 36% เท่านั้นที่ขาดการอัพเดตล่าสุด โดยสาเหตุที่เว็บไซต์ e-commerce เหล่านี้หลีกเลี่ยงการอัพเดตนั่นก็เพราะกลัวว่าอัพเดตไปแล้วเกิดข้อผิดพลาดจะเสียรายได้ ทำให้แฮกเกอร์เห็นถึงช่องโหว่ตรงนี้ได้นั่นเอง
(http://www.atimedesign.com/webdesign/wp-content/uploads/2019/03/2.jpg)
นอกจากนี้ยังพบว่า 56% ของเว็บไซต์ที่ถูกแฮกกลายเป็นโฮสต์ให้มัลแวร์สำหรับปฏิบัติการอื่นๆ และอีก 51% ของเว็บไซต์ที่ถูกแฮกกลายเป็นเพจ Spam SEO ซึ่งเพิ่มขึ้นจาก 44% ในปี 2017 โดยบริษัทรายงานว่ามีแรงดึงดูดมาจากบริการโฆษณาต่างๆ ที่สามารถสร้างรายได้ได้
ถึงแม้ว่าการป้องกันจะเป็นสิ่งที่ควรทำ แต่ในบางครั้งก็มีข้อผิดพลาดเกิดขึ้นได้ อาจจะเป็นเพราะทีมงานที่ดูแลมีไม่เพียงพอ เพราะการใช้คนดูแลตลอด 24 ชั่วโมงเป็นไปได้ยาก ต้องใช้งบประมาณในการดูแลส่วนนี้เพิ่มมากขึ้น แต่สิ่งที่สำคัญก็คือเมื่อเว็บไซต์โดน แฮก หรือเปลี่ยนหน้าเว็บ ทีมที่ดูแลต้องรีบทำการแก้ไขอย่างรวดเร็ว เพื่อลดความเสียหาย ยิ่งปล่อยเวลาให้เนิ่นนานเท่าไหร่ ยิ่งจะทำให้ภาพลักษณ์ขององค์กรได้รับความเสียหายมากขึ้นไปด้วย และการอัพเดตแพตช์ล่าสุดให้กับเว็บเหล่านี้เป็นเรื่องสำคัญที่ห้ามละเลย
ที่มา http://www.atimedesign.com/webdesign/wordpress-hacked-cms-most-2018/
คนใช้เยอะจริงๆ ทำเกี่ยวกับ hosting รู้เลย
ก็คุมลำบากอยู่นะครับ ทั้งธีม ทั้งปลั๊กอินต่างๆ นักพัฒนาคงไล่ตรวจกันไม่ไหว
อีกอย่างคนใช้เยอะ :P
เหตุที่ wp ยังคงครองแชมป์ ในการจะถูก hack ผ่านทางช่องทาง plugin เพราะ plugin ไม่มีอัพเดท
ตามกับ core wp ทำให้ เมื่อเป็น plugin เก่า ๆ hacker ก้อวาง blackbone เข้าทางนี้ไปเลย
ดีงามไปเลย
:wanwan009: เพราะคนใช้เยอะ
ฮิตกันจริงๆ WordPress เนี่ย
ตัว wp เอง ผมว่าเวอร์ชั่นปัจจุบันปลอดภัยมากขึ้นมากครับ
ที่ผมพบปัญหา อันดับ 1 จากธีมเพจโดยเฉพาะ nulled หรือ ธีมเถื่อน
อับดับสองช่องโหว่จาก plugin ครับ
ใช้มากโดนมาก มีส่วนหรือเปล่าครับ
คนใช้เยอะ ยอมเป็นเป้าโจมตี ตัว WP เองความปลอดภัยสูง แต่ถ้าได้ Plugins/Theme ต่างๆ ที่แฝงมากับการโจมตี เสมือนโปรแกรมฟรีที่มีไวรัส เผลอกดรันก็ไว้อาลัยได้เลย
ถ้าใช้ Theme/Plugins ปกติทั่วไปไม่ต้องกังวลเลยค่ะ แต่ถ้าได้มาแบบแจกฟรีมีไวรัสแถม อันนี้ก็ต้องระวังค่ะ
:P
หมั่นอัพเดท ติดตั้ง plugin security ดีๆ สักตัวยังไงก็ปลอดภัยระดับหนึ่งครับ
เราจะไม่รู้ซึ้งถึง ปัญหานี้ จนกว่าจะได้เจอกับตัวเอง
:wanwan004:
คนใช้เยอะ โดนเยอะ
เหมือนที่คนบอกว่า window โดนไวรัสเยอะกว่า mac
ต้องระวังละ
:-[ :-[
ลงปลั๊กอิน security ครับ เห็นทุกอย่าง :wanwan004:
อัพเดทสม่ำเสมอช่วยได้คะ :wanwan003:
opensource ก็งี้แหละครับ คนใช้เยอะ พัฒนากันเยอะ ก็ย่อมโด่นแฮกเยอะตาม :wanwan004: :wanwan004: :wanwan004:
อ้างถึงจาก: jommann ใน 08 มีนาคม 2019, 15:41:26
เหตุที่ wp ยังคงครองแชมป์ ในการจะถูก hack ผ่านทางช่องทาง plugin เพราะ plugin ไม่มีอัพเดท
ตามกับ core wp ทำให้ เมื่อเป็น plugin เก่า ๆ hacker ก้อวาง blackbone เข้าทางนี้ไปเลย
อัพเดทอัตโนมัติต้องมาแล้ว คนใช้เยอะสุด :wanwan011:
อัพเดทบ่อยๆครับ :wanwan003:
คงต้องเริ่มพัฒนาให้บ่อยๆครับ หรือต้องพัฒนาตัวเองเป็น Dev ทำอะไรป้องกันเอง :wanwan004: :wanwan004:
อ้างถึงจาก: stjames ใน 08 มีนาคม 2019, 15:25:25
(http://www.atimedesign.com/webdesign/wp-content/uploads/2019/03/malware-wordpress-main1.jpg)
ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยเว็บไซต์ Sucuri ได้จัดทำรายงานเกี่ยวกับความปลอดภัยของการใช้ CMS โดยพบว่า WordPress ครองแชมป์ผู้ให้บริการ CMS ที่ถูกแฮกมากที่สุดในปี 2018 รองลงมาคือ Magento, Joomla และ Drupal ตามลำดับ
(http://www.atimedesign.com/webdesign/wp-content/uploads/2019/03/1.jpg)
โดยจากรายงานยังเผยถึงสาเหตุที่ถูกแฮ็กว่ามาจากช่องโหว่ของ Plugins และ Theme การตั้งค่าที่ผิดพลาด รวมไปถึงขาดการอัพเดตให้เป็นเวอร์ชั่นล่าสุด เพราะผู้ดูแลระบบมักจะลืม และจากเคสทั้งหมดที่ Sucuri เข้าไปแก้ปัญหา พบว่ามีเว็บไซต์ 56% เท่านั้นที่มีการอัพเดต CMS เป็นเวอร์ชันล่าสุด
ซึ่งจากปัญหาการขาดการอัพเดตนั้น จะพบจาก PrestaShop, OpenCart, Joomla และ Magento เป็นส่วนใหญ่ ในขณะที่ WordPress มีสถิติถูกแฮกสูงสุดแต่กลับพบว่ามีเพียง 36% เท่านั้นที่ขาดการอัพเดตล่าสุด โดยสาเหตุที่เว็บไซต์ e-commerce เหล่านี้หลีกเลี่ยงการอัพเดตนั่นก็เพราะกลัวว่าอัพเดตไปแล้วเกิดข้อผิดพลาดจะเสียรายได้ ทำให้แฮกเกอร์เห็นถึงช่องโหว่ตรงนี้ได้นั่นเอง
(http://www.atimedesign.com/webdesign/wp-content/uploads/2019/03/2.jpg)
นอกจากนี้ยังพบว่า 56% ของเว็บไซต์ที่ถูกแฮกกลายเป็นโฮสต์ให้มัลแวร์สำหรับปฏิบัติการอื่นๆ และอีก 51% ของเว็บไซต์ที่ถูกแฮกกลายเป็นเพจ Spam SEO ซึ่งเพิ่มขึ้นจาก 44% ในปี 2017 โดยบริษัทรายงานว่ามีแรงดึงดูดมาจากบริการโฆษณาต่างๆ ที่สามารถสร้างรายได้ได้
ถึงแม้ว่าการป้องกันจะเป็นสิ่งที่ควรทำ แต่ในบางครั้งก็มีข้อผิดพลาดเกิดขึ้นได้ อาจจะเป็นเพราะทีมงานที่ดูแลมีไม่เพียงพอ เพราะการใช้คนดูแลตลอด 24 ชั่วโมงเป็นไปได้ยาก ต้องใช้งบประมาณในการดูแลส่วนนี้เพิ่มมากขึ้น แต่สิ่งที่สำคัญก็คือเมื่อเว็บไซต์โดน แฮก หรือเปลี่ยนหน้าเว็บ ทีมที่ดูแลต้องรีบทำการแก้ไขอย่างรวดเร็ว เพื่อลดความเสียหาย ยิ่งปล่อยเวลาให้เนิ่นนานเท่าไหร่ ยิ่งจะทำให้ภาพลักษณ์ขององค์กรได้รับความเสียหายมากขึ้นไปด้วย และการอัพเดตแพตช์ล่าสุดให้กับเว็บเหล่านี้เป็นเรื่องสำคัญที่ห้ามละเลย
ที่มา http://www.atimedesign.com/webdesign/wordpress-hacked-cms-most-2018/
ที่เป็นแบบนี้เพราะว่ามันมีคนใช้เยอะมากกกก อีกทั้งบางโฮสยังมีระบบสำเร็จติดตั้ง ทำให้มันค่อนข้างสะดวก
สรุปที่โดนเยอะ เพราะคนใช้เยอะแต่ไม่ค่อยตรวจสอบเว็บตัวเองกันบ่อยๆ :o
จริงๆคือ มันใช้เยอะด้วยหรือเปล่า ตามคนใช้น้นล่ะ :P
"และจากเคสทั้งหมดที่ Sucuri เข้าไปแก้ปัญหา พบว่ามีเว็บไซต์ 56% เท่านั้นที่มีการอัพเดต CMS เป็นเวอร์ชันล่าสุด"
โดนจาก plugin อยู่ดี เพราะ plugin บางเจ้ากว่าจะขยับทีนึงก็นานเสียเหลือเกิน หนักสุดคือถ้าไม่ conflict กับบางอย่างก็ไม่ update :wanwan019: :wanwan019:
:wanwan013: Number 1
อ้างถึงจาก: AntiquePeanut ใน 03 กันยายน 2020, 15:49:22
สรุปที่โดนเยอะ เพราะคนใช้เยอะแต่ไม่ค่อยตรวจสอบเว็บตัวเองกันบ่อยๆ :o
จากประสบการณ์ผมนะ ถ้าไม่เข้าเดือนนึงนี่ก็เสี่ยงแล้ว บางคนเข้าทุกสัปดาห์ แต่ผมเข้าทุกวัน
เช็คทุกวัน และมีแบคอัพอีกชั้น จะได้จัดการง่ายเวลาโดนจริงๆ
อ้างถึงจาก: SpaRK ใน 03 กันยายน 2020, 22:16:30
เช็คทุกวัน และมีแบคอัพอีกชั้น จะได้จัดการง่ายเวลาโดนจริงๆ
ใช่ครับเพราะส่วนใหญ่ที่เสี่ยงคือให้อัพเดท plugin หรือไม่ก็ให้อัพเดทเวอร์ชั่น wp
อย่าง plugin ฟรีถ้าไม่อัพเดทบ่อยๆ จะมีช่องโหว่ อ้ออีกอันนึง theme ถ้าไปเอาของฟรีมานี่ระวังกันให้ดีเลยครับ
ไม่รู้ว่าเว็บต้นทางเขาเก็บสถิติอย่างไรนะ แต่ในควาามเห็นผม
ต้องเทียบเปอร์เซ็นระหว่าง จำนวนเว็บไซต์ที่สร้างด้วย Wordpress ทั้งหมด หารด้วยจำนวนเว็บไซต์ Wordpress ที่โดนแฮก
จะได้ทราบว่าเว็บไซต์ที่ใช้งาน Wordpress ถูกแฮกจริงๆเนี่ย คิดเป็นกี่ % ของเว็บ Wordpress ทั้งหมด แบบนี้สิถึงจะแฟร์
งั้นถ้าดูตามสถิติถูกแฮก 90% หมายความว่าเว็บ Wordpress 100 เว็บ โดนแฮ็กไปแล้วทันที 90 เว็บ ผมว่ามันไม่ขนาดนั้นหรอกมั้งครับ
CMS บางตัวคนใช้งานแค่หลักหมื่น กับ CMS อีกตัวคนใช้งานเป็นล้าน
เอามาเทียบกันตรงๆ แบบนี้ก็ไม่แฟร์กับ Wordpress สิ
เพราะจำนวนผู้ใช้งาน CMS Wordpress ย่อมแปรผันตรงกับจำนวนเว็บไซต์ที่ถูกแฮกด้วย
อ้างถึงจาก: l3master ใน 03 กันยายน 2020, 23:18:28
ไม่รู้ว่าเว็บต้นทางเขาเก็บสถิติอย่างไรนะ แต่ในควาามเห็นผม
ต้องเทียบเปอร์เซ็นระหว่าง จำนวนเว็บไซต์ที่สร้างด้วย Wordpress ทั้งหมด หารด้วยจำนวนเว็บไซต์ Wordpress ที่โดนแฮก
จะได้ทราบว่าเว็บไซต์ที่ใช้งาน Wordpress ถูกแฮกจริงๆเนี่ย คิดเป็นกี่ % ของเว็บ Wordpress ทั้งหมด แบบนี้สิถึงจะแฟร์
งั้นถ้าดูตามสถิติถูกแฮก 90% หมายความว่าเว็บ Wordpress 100 เว็บ โดนแฮ็กไปแล้วทันที 90 เว็บ ผมว่ามันไม่ขนาดนั้นหรอกมั้งครับ
CMS บางตัวคนใช้งานแค่หลักหมื่น กับ CMS อีกตัวคนใช้งานเป็นล้าน
เอามาเทียบกันตรงๆ แบบนี้ก็ไม่แฟร์กับ Wordpress สิ
เพราะจำนวนผู้ใช้งาน CMS Wordpress ย่อมแปรผันตรงกับจำนวนเว็บไซต์ที่ถูกแฮกด้วย
แต่ก็ต้องงยอมรับว่า ด้วยความที่มันเป็น opensource มันก็มีช่องโหว่และรูรั่วจริงๆ ถ้าใครมีเวลาแกะโค้ดแล้วนั่งหารูรั่ว คิดว่าคงเจอแน่ๆ และ wordpressก็ทราบดีถึงจุดนี้ จึงออกแพทธ์อัพเดทมาบ่อยๆเสมอ เขาเจอเราอุด ไปเรื่อยๆ
WP เวอร์ชั่นปัจจุบัน รองรับการ Auto Update Plugin, Theme แล้วนะครับ ไปอัพเดตใช้งานกันได้
อ้างถึงจาก: xvlnw.com ใน 05 กันยายน 2020, 17:21:15
WP เวอร์ชั่นปัจจุบัน รองรับการ Auto Update Plugin, Theme แล้วนะครับ ไปอัพเดตใช้งานกันได้
ผมเลือกที่จะปิดมันครับ เพราะบางครั้งอัพเดทปุ้บ เว็บพัง ก็มี ต้องเลือกอัพเดทเองทีละตัว
จากประสบการณ์ คือ ลูกค้าไม่อัพเดททั้งตัว wp / plugins / themes เลยครับ
อ้างถึงจาก: JeffyPluS ใน 06 กันยายน 2020, 11:39:01
จากประสบการณ์ คือ ลูกค้าไม่อัพเดททั้งตัว wp / plugins / themes เลยครับ
ส่วนใหญ่พวกนี้เขาทำเว็บเสร็จก็แทบไม่เข้ามาดูเลยครับ ถ้าไม่มีพนักงานประจำมานั่งดูแลจริงๆ
จาก สถิติ คิดเป็น %
เว็บไซต์ทั้งหมด ประมาณกว่า 60% ที่ใช้ WP
แต่จากสถิติ คิดเป็น % เหมือนกัน
เว็บไซต์ที่โดนเฮก สูงถึง 90% ที่ใช้ WP (ไม่ได้หมายความว่า คนใช้ 100 web จะโดนไป 90 นะครับ) ต้องนี้เขาเทียบกับ CMS ตัวอื่นว่าโอกาสถูกเฮกมากที่สุด
อยากให้ core ของ WP หันมาพัฒนาบน Framework จริงๆ แล้วบังคับให้คนเขียน Plugin ต้องเขียนตามหลักความปลอดภัย
และ เอา Plugin Themes ที่ไม่อัพเดด ออกจาก store
ตามค่ะ