จากที่เว็บ www.swenth.com นี้ ทำงานด้วย CMS อย่าง WordPress และก็ถูกโจมตีอย่างต่อเนื่องจนต้องหาทางป้องกันให้วุ่นวาย
บ่อยครั้งที่จำเป็นต้องใช้ Plugin เพื่อเป็นตัวช่วยทำให้ตัวเว็บไซต์ปลอดภัยยิ่งขึ้น แต่หารู้ไม่ ช่องโหว่ของ WordPress เกือบ 30% นั้นมาจาก Plugin จนทำให้คิดว่าถ้าหากเลือก Plugin ผิด ชีวิตก็อาจเปลี่ยนไปอย่างแน่นอน (จะยุ่งวุ่นวายมากขึ้นนั่นเอง)
ช่องโหว่เกือบ 30% มาจาก Plugin
จากรายงานของทาง Patchstack ซึ่งเป็นผู้นำด้านความปลอดภัยให้กับเว็บไซต์หลายประเภท หนึ่งในนั้นก็มี WordPress ได้ออกมาเปิดเผยถึงเกี่ยวกับรายงานด้านความปลอดภัยว่า ในช่วงปี ค.ศ. 2021 นั้น มีการค้นพบช่องโหว่ในระบบเพิ่มสูงขึ้นจากปี 2020 ก่อนนี้ถึง 150% ทีเดียว และจากรายงานดังกล่าวยังระบุอีกว่า จำนวนกว่า 29% เป็นช่องโหว่ในระบบ Plugin ของ WordPress เอง
โดย 0.58% เป็นช่องโหว่บน Plugin ของระบบ WordPress โดยตรง ส่วนที่เหลืออีก 91.38% นั้น เป็น Plugin ฟรี ที่ดาวน์โหลดมาใช้งานกันอย่างอย่างอิสระ อีก 8.62% ที่เหลือนั้นจะเป็นช่องโหว่บน Plugin แบบที่ต้องจ่ายเงินซื้อ (จ่ายแล้วยังได้ของแถมสินะ)
ซึ่ง Plugin ที่สร้างปัญหามากที่สุดให้แก่ระบบนั่นก็คือตระกูล “All in One” หรือ Plugin ประเภท SEO ต่างๆ ยอดนิยม โดยรายงานระบุว่า plugin จำพวกที่กล่าวมานี้สร้างความเสียหายให้กับเว็บไซต์ไปแล้วกว่า 3 ล้านแห่ง ตามมาด้วย “OptinMonster” โดยมีเว็บไซต์ที่ตกเป็นเหยื่อของช่องโหว่นี้ราว 1 ล้านเว็บไซต์
ตายห่าตายโหง www.swenth.com ก็ใช้ตระกูล All in One และ plugin จำพวก SEO เพียบเลยเช่นกัน แต่จากรายงานนั้นไม่ได้ระบุอย่างชัดเจนว่าเป็นชื่อ plugin อะไร
ช่องโหว่ที่เหลือมาจาก Theme
ด้านช่องโหว่ที่ทำให้การใช้งาน WordPress มีปัญหารองจากตัว Plugin นั้นก็คือ “Theme” และส่วนใหญ่ ผู้ใช้ก็ขาดไม่ได้เสียดย การใช้งาน Theme ที่มีช่องโหว่นั้นจะส่งผลกระทบ ทำให้ผู้ดูแลไม่สามารถอัปโหลดไฟล์ขึ้นบนเว็บไซต์ได้อย่างสะดวก และมีการรายงานว่า Theme ที่มีช่องโหว่ส่วนใหญ่จะไปก่อปัญหาเกี่ยวกับการอัปโหลดไฟล์
และนอกจากนี้แล้ว ทาง Patchstack ยังได้ระบุเพิ่มเติมอีกว่า Cross-Site Scripting (XSS) เป็นจุดที่ได้รับรายงานข้อบกพร่องของระบบเข้ามามากที่สุด มากถึง 49.82% อีกจุดที่ถูกรายงานข้อบกพร่องที่เปิดโอกาสให้เกิดช่องโหว่ได้นั่นก็คือแบบผสม หรือ Mixed ที่ถูกรายงานเข้ามามากถึง 13.29% ส่วนรูปแบบอื่น ก็มีเล็กน้อย แต่ใช่ว่าจะไม่มีเลย
ทางทีมรักษาความปลอดภัยได้แนะนำให้เหล่าผู้ดูแลทำการคัดเลือก Plugin แบบที่เป็นการเสียค่าบริการ มีโอกาสที่จะได้รับความปลอดภัยกว่าการใช้ Plugin แบบฟรี รวมทั้งได้กำชับให้คอยสำรวจเวอร์ชันของ Plugin ให้อัปเดตเป็นปัจจุบันอยู่เสมอเพื่อความปลอดภัยในการใช้งานที่เพิ่มมากขึ้น
อ้างอิง/ภาพ : news.thaiware.com/20426.html
เรียบเรียงโดย : www.swenth.com