Grumpy Designer โจมตีมัลแวร์ WordPress
เผยแพร่แล้ว: 2022-10-12แม้ว่าบางอาชีพจะค่อยๆ เลือนหายไปตามกาลเวลา แต่นักออกแบบเว็บไซต์ก็ยังมีความจำเป็นอยู่เสมอ ทำไม เพราะในแต่ละปีที่ผ่านไป งานจะซับซ้อนมากขึ้น ความรับผิดชอบใหม่มาถึงแล้วซึ่งเกินขอบเขตของเครื่องมืออัตโนมัติและไม่ต้องใช้รหัส
ความปลอดภัยของเว็บไซต์เป็นตัวอย่างสำคัญ เป็นเรื่องที่น่ากังวลอยู่เสมอ แม้ว่าฉันจะเริ่มต้นเส้นทางนี้ในช่วงกลางทศวรรษ 1990 ก็ตาม ย้อนกลับไป ความกังวลหลักคือรหัสผ่าน FTP ที่ถูกแฮ็กหรืออดีตเพื่อนร่วมงานที่โกรธจัด/ทำลายไฟล์ วันนี้มันมากขึ้นมาก เหมือนแมลงที่น่ารำคาญที่แปรสภาพเป็นสัตว์ทะเลขนาดใหญ่
และสัตว์ประหลาดตัวนั้นได้ห่อหุ้มหนวดของมันไว้รอบนักออกแบบที่ไม่พอใจคนนี้ งานได้กลายเป็นวงจรอุบาทว์ของการติดมัลแวร์ การล้างข้อมูล และการติดเชื้อซ้ำ จากนั้นทำซ้ำ
เป้าหมายหลักของความมุ่งร้ายของสัตว์ประหลาดคือ WordPress ไม่น่าแปลกใจเลย เนื่องจากระบบจัดการเนื้อหา (CMS) ถูกโจมตีอยู่ตลอดเวลา มันมาพร้อมกับอาณาเขตของพลังมากกว่า 40% ของเว็บ
น่าเศร้าที่ฉันรู้ว่าไม่ใช่ฉันคนเดียวที่ต้องเผชิญกับปัญหาแบบนี้ ด้วยเหตุนี้ ฉันจึงอยากแบ่งปันคำพูดจา ความคิด และข้อเสนอแนะบางประการในการนำมอนสเตอร์ตัวนั้นกลับคืนมาแทนที่
ระวังไม่ดีพอ
ความจริงที่เยือกเย็นของการรักษาความปลอดภัยเว็บไซต์คือไม่มีการค้ำประกัน แทบทุกไซต์สามารถถูกมัลแวร์โจมตีได้ มันเกิดขึ้นได้แม้กระทั่งคนที่ระมัดระวังที่สุดในหมู่พวกเรา
เนื่องจากใช้กับ WordPress ความระมัดระวังหมายถึงการรักษาพื้นฐานบางประการ:
- ตรวจสอบธีมและปลั๊กอินที่เราติดตั้ง
- ใช้การอัปเดตเป็นประจำ
- การใช้รหัสผ่านที่ปลอดภัยและซับซ้อน
- โฮสต์เว็บไซต์บนบริการที่ให้ความสำคัญกับความปลอดภัยอย่างจริงจัง
- ตรวจสอบให้แน่ใจว่าการอนุญาตไฟล์นั้นสอดคล้องกับคำแนะนำของ WordPress;
- เพิ่มชั้นการป้องกันเพิ่มเติม เช่น ปลั๊กอินความปลอดภัยและไฟร์วอลล์
แม้ว่าจะมีอะไรมากกว่านั้น การกระทำข้างต้นถือเป็นรากฐานที่มั่นคง แนวคิดคือการป้องกันการโจมตีแบบพื้นฐานที่สุด หวังว่ามันจะขัดขวางความพยายามที่ซับซ้อนมากขึ้นเช่นกัน
แง่มุมที่น่าผิดหวังของแนวทางนี้คือคุณแข็งแกร่งพอๆ กับลิงก์ที่อ่อนแอที่สุดในความปลอดภัยของคุณ แม้แต่ปลั๊กอินที่มีชื่อเสียงก็อาจมีช่องโหว่ด้านความปลอดภัย และมีเวกเตอร์จำนวนมากที่ผู้โจมตีสามารถใช้เพื่อสร้างปัญหาได้ ซึ่งรวมถึงบางเวกเตอร์ที่เราไม่สามารถควบคุมได้โดยตรง
ดังนั้นการระมัดระวังไม่ดีพอที่จะป้องกันการโจมตีทุกครั้ง
การล้างข้อมูลแฮ็กเป็นการสิ้นเปลืองทรัพยากร
แม้จะทำตามขั้นตอนต่างๆ เพื่อหลีกเลี่ยงปัญหาด้านความปลอดภัย แต่การแฮ็กก็ยังเกิดขึ้น และเมื่อทำเช่นนั้น การทำความสะอาดผลที่ตามมาอาจเป็นงานที่ยากลำบาก
กระบวนการนี้เกี่ยวข้องกับการระบุไฟล์ที่เป็นอันตราย – รวมถึงไฟล์หลักของ WordPress ที่ถูกต้องซึ่งสามารถแก้ไขได้ เครื่องสแกนความปลอดภัยเช่นเดียวกับที่พบในปลั๊กอิน Wordfence สามารถช่วยในการระบุไฟล์ได้ แต่มีข้อแม้
หากบัญชีผู้ดูแลระบบของไซต์ถูกบุกรุก หรือผู้โจมตีใช้ช่องโหว่ด้านความปลอดภัยเพื่อเข้าถึงแดชบอร์ดของ WordPress การเดิมพันทั้งหมดจะปิดลง พวกเขาสามารถปิดใช้งานปลั๊กอินความปลอดภัยได้ จากที่นั่นพวกเขาสามารถสร้างความหายนะได้ทุกประเภทในขณะที่ไม่ถูกตรวจจับ
นอกจากนี้ การพิจารณาว่ามัลแวร์มาที่ไซต์ของคุณได้อย่างไรนั้นแทบจะไม่ง่ายเลย ฉันไม่สามารถนับจำนวนครั้งที่ฉันคิดว่าฉันพบผู้กระทำความผิดได้ เพียงเพื่อจะพิสูจน์ได้ว่าผิดหลังจากติดเชื้อในครั้งต่อๆ ไป มักจะต้องรวบรวมไฟล์และศึกษาบล็อกความปลอดภัยเพื่อให้ได้คำตอบ ทว่าบางประเด็นยังคงเป็นปริศนา
สิ่งนี้ไม่เพียงแต่จะสร้างความเครียดให้กับทุกคนที่เกี่ยวข้องเท่านั้น แต่ยังขัดขวางความสามารถในการทำงานในโครงการอื่นๆ อีกด้วย การละเมิดความปลอดภัยเป็นสถานการณ์ที่เกิดขึ้นเองทั้งหมด หากคุณเป็นฟรีแลนซ์ มือของคุณจะถูกมัดอย่างหลีกเลี่ยงไม่ได้กับการแก้ไขไซต์ที่ถูกแฮ็ก
นักออกแบบเว็บไซต์สามารถทำอะไรได้อีก?
ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ มีเพียงมากเท่านั้นที่อยู่ในการควบคุมของเรา นักออกแบบเว็บไซต์สามารถตัดสินใจได้อย่างมีข้อมูล แต่โครงการของเรายังคงตกเป็นเหยื่อของมัลแวร์ ในบางแง่ ดูเหมือนสถานการณ์ที่สิ้นหวัง
อย่างไรก็ตาม ภัยคุกคามด้านความปลอดภัยจะไม่หายไป หากมีสิ่งใดพวกเขาจะเติบโตแบบทวีคูณ นั่นหมายถึงเราต้องพยายามต่อไป
ต่อไปนี้คือกลยุทธ์บางอย่างที่อาจช่วยได้:
เป็นปลั๊กอินที่เรียบง่าย
แม้ว่าไม่ควรติดตั้งปลั๊กอิน WordPress ที่ไม่จำเป็น แต่ก็อาจเป็นอันตรายได้เช่นกัน นั่นเป็นเหตุผลว่าทำไมจึงคุ้มค่าที่จะลบสิ่งที่คุณไม่ต้องการออก
ในบางกรณี มันอาจจะคุ้มค่าที่จะสร้างปลั๊กอินแบบกำหนดเองของแบร์โบนเมื่อเป็นไปได้ บอทที่เป็นอันตรายพยายามที่จะดมกลิ่นช่องโหว่ที่รู้จักภายในแกนหลักของ WordPress และปลั๊กอินเฉพาะ นี่อาจเป็นวิธีการลดความเสี่ยงในขณะที่ยังคงฟังก์ชันการทำงานไว้
อย่างไรก็ตาม คุณควรติดตามสิ่งที่เกิดขึ้นกับปลั๊กอินที่คุณติดตั้งด้วย ตรวจสอบให้แน่ใจว่าพวกเขาได้รับการปรับปรุงอย่างสม่ำเสมอและพยายามหลีกเลี่ยงสิ่งที่ไม่ได้รับการดูแลอีกต่อไป
ขอให้ลูกค้าลงทุนในความปลอดภัย
ความปลอดภัยสามารถกลายเป็นส่วนสำคัญของงานของนักออกแบบเว็บไซต์ได้ มีการทำงานมากมายในการเสริมสร้างความเข้มแข็งให้กับเว็บไซต์และบรรเทาปัญหาที่เกิดขึ้น แต่ราคาของเราไม่ได้สะท้อนถึงความเป็นจริงนั้นเสมอไป
ดังนั้นจึงควรขอให้ลูกค้าลงทุนในพื้นที่นี้ ด้วยการแนะนำเครื่องมือและบริการที่เกี่ยวข้องกับความปลอดภัย คุณกำลังเพิ่มชั้นการป้องกันเพิ่มเติมในเชิงรุก และเมื่อรวมการตรวจสอบความปลอดภัยเป็นประจำไว้ในแพ็คเกจการบำรุงรักษา คุณจะคอยจับตาดูสิ่งที่เกิดขึ้น
ประโยชน์อีกประการของกลยุทธ์นี้คือ คุณกำลังสร้างความตระหนักด้านความปลอดภัย เมื่อลูกค้ามีความเข้าใจในเรื่องดังกล่าวมากขึ้น พวกเขาก็จะมีแนวโน้มที่จะใช้มาตรการป้องกันมากขึ้น
วางแผนการล้างข้อมูล
พูดได้อย่างปลอดภัยว่าเราไม่มีใครต้องการจัดการกับไซต์ที่ถูกแฮ็ก เราทำทุกอย่างที่ทำได้เพื่อพยายามป้องกันไม่ให้เกิดขึ้น และ…มันเกิดขึ้นต่อไป
ดังนั้น เป็นการดีกว่าที่จะเตรียมตัวสำหรับสถานการณ์นี้ แทนที่จะฝังหัวของคุณลงในทราย พัฒนากระบวนการที่ช่วยให้คุณทำความสะอาดไซต์ที่ถูกบุกรุกได้อย่างมีประสิทธิภาพ
อาจใช้ไม่ได้ในครั้งแรก (หรือครั้งที่สอง) เสมอไป แต่ความล้มเหลวแต่ละครั้งเป็นประสบการณ์การเรียนรู้ที่ดี ในที่สุด คุณจะปรับแต่งกระบวนการและเพิ่มโอกาสในการประสบความสำเร็จ
รับความช่วยเหลือจากผู้เชี่ยวชาญ
การจัดการความปลอดภัยของเว็บไซต์เป็นเรื่องยุ่งยากและน่าหงุดหงิด เพียงพอที่จะนำพาพวกเราทุกคนเข้าสู่การบำบัด ความช่วยเหลือจากมืออาชีพแบบนั้นยินดีต้อนรับเสมอ แต่ไม่ใช่แบบที่ฉันพูดถึงที่นี่
ฉันกำลังพูดถึงการทำงานกับผู้เชี่ยวชาญด้านความปลอดภัย ตัวอย่างเช่น บริการที่ช่วยล็อคเว็บไซต์ของลูกค้าและกำจัดการติดไวรัส
มีค่าใช้จ่ายที่เกี่ยวข้อง – คุณสามารถส่งต่อให้กับลูกค้าของคุณได้ และอาจช่วยให้มีสติสัมปชัญญะของคุณได้ในระยะยาว
ความโกลาหลของมัลแวร์คือความปกติใหม่
ในบางวิธี การรักษาความปลอดภัยเว็บไซต์ก็เหมือนเกมแมวกับเมาส์ ทุกช่องว่างที่คุณปิด ช่องว่างอื่นจะปรากฏขึ้น นักแสดงที่มุ่งร้ายกำลังพัฒนาวิธีการในการเจาะ WordPress และแพลตฟอร์มอื่นๆ อย่างต่อเนื่อง และพวกเราไม่มีใครมีภูมิคุ้มกัน
ทำให้งานของเรายากขึ้นและใช้เวลานานขึ้น และยังทำให้การดูแลเว็บไซต์มีราคาแพงขึ้นสำหรับลูกค้าของเรา
แน่นอนว่านี่ไม่ใช่สิ่งที่ฉันคิดไว้เมื่อเริ่มเป็นนักออกแบบเว็บไซต์ ไม่น่าเป็นไปได้ที่พวกเราหลายคนจะเข้าสู่อุตสาหกรรมนี้เพราะเราสนุกกับการล้างมัลแวร์ แต่จะชอบหรือไม่ นี่คือความปกติใหม่ และเราเป็นแนวป้องกันสุดท้ายจากสัตว์ทะเลที่เป็นที่เลื่องลือตัวนี้ เราไม่สามารถลงไปได้โดยไม่มีการต่อสู้