เล่น Whack-a-Mole ด้วย WordPress Security

การรักษาความปลอดภัยเว็บไซต์ในยุคนี้ (แม้แต่เว็บไซต์เล็กๆ) นั้นยากขึ้นเรื่อยๆ และหากคุณใช้ WordPress คุณอาจมีเป้าเก่าขนาดใหญ่อยู่บนหลังของคุณ ระหว่างผู้คนที่ชั่วร้ายและบอทที่ไม่หยุดยั้ง ทุกนาทีของทุกวันกลายเป็นสมรภูมิ

ส่วนที่น่าทึ่งอย่างแท้จริงของสิ่งนี้คือคุณสามารถทำสิ่งที่ถูกต้องเกือบทั้งหมดและยังจบลงด้วยไซต์ที่ถูกแฮ็ก ไปข้างหน้าและอัปเดตปลั๊กอินและธีมของคุณ เรียกใช้ปลั๊กอินความปลอดภัยหรือสร้างอุปสรรคอื่น ๆ ในการเข้า ทำทั้งหมดนั้นและคุณอาจยังพบว่าตัวเองอยู่ในสถานะที่ถูกประนีประนอม

เมื่อเร็ว ๆ นี้ฉันพบความจริงที่ยากลำบากนี้สำหรับตัวฉันเอง ฉันช่วยเพื่อนร่วมงานเกี่ยวกับไซต์ที่ประสบปัญหามากมาย แม้ว่าเราจะคิดว่าเรากำลังทำสิ่งที่ "ถูกต้อง" เป็นแรงบันดาลใจให้ฉันนั่งลงและคิดเกี่ยวกับประสบการณ์ ด้วยเหตุนี้ ต่อไปนี้คือแนวคิดบางประการเกี่ยวกับสิ่งที่ฉันได้เรียนรู้และทฤษฎีบางอย่างเกี่ยวกับขั้นตอนเพิ่มเติมที่เราสามารถทำได้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ได้ดียิ่งขึ้น

อดีตสามารถหลอกหลอนคุณได้

คอร์ ปลั๊กอิน และธีมของ WordPress ล้วนมีข้อบกพร่องด้านความปลอดภัยของตัวเอง แกนกลางมักจะได้รับการแก้ไขอย่างรวดเร็ว ในขณะที่คุณหวังและอธิษฐานว่าปลั๊กอินและธีมจะได้รับการรักษาแบบเดียวกัน แต่อย่างที่เราได้เห็น การอุดรูไม่เพียงพอเสมอไป

หากไซต์ของคุณสร้างขึ้นเมื่อสองสามปีก่อน คุณอาจได้รับช่องโหว่ที่คุณไม่เคยรู้มาก่อน บางทีพวกเขาอาจได้รับการแก้ไข ... หรืออาจจะไม่ แม้ว่าปัญหาจะได้รับการแก้ไขแล้ว แต่ไซต์ของคุณอาจถูกเปิดเผยเป็นระยะเวลาหนึ่งจนกว่าคุณจะติดตั้งโปรแกรมแก้ไขหรือลบรายการทั้งหมด เกิดอะไรขึ้นในช่วงเวลาระหว่าง? คุณอาจจะไม่ทราบสักครู่

ตัวอย่างเช่น ขณะลอดผ่านไซต์ที่มีปัญหานั้นที่ฉันกล่าวถึงก่อนหน้านี้ พบไฟล์ที่เป็นอันตรายในไดเร็กทอรี /wp-includes/ แต่ละไฟล์เป็นไฟล์ .php ที่เลียนแบบชื่อและวันที่แก้ไขของไฟล์ที่ถูกต้องตามกฎหมายอื่นๆ ในไดเร็กทอรีนั้น ในตอนนี้ เป็นไปได้ว่าไฟล์ต่างๆ นั้นได้รับการสำรองข้อมูลไปแล้วเพื่อให้ดูเหมือนกับว่าอยู่ที่นั่นมาโดยตลอด แต่เมื่อพิจารณาตามมูลค่าแล้ว ดูเหมือนว่าเรามีกรณีของมัลแวร์ที่อยู่เฉยๆ เหมือนกับไวรัสคอมพิวเตอร์ที่ส่งเพย์โหลดบางส่วนในวันและเวลาที่กำหนด โค้ดที่เป็นอันตรายนี้อาจ "ได้รับสาย" เพื่อดำเนินการ

ประเด็นก็คือว่าการติดตั้งปลั๊กอินที่ไม่ถูกต้องในเวลาที่ไม่ถูกต้องอาจทำให้คุณปวดหัวได้ในอนาคต การอัปเดตอยู่เสมอเป็นกลยุทธ์ที่ดี แต่ก็ไม่สามารถป้องกันได้ เพียงแค่เห็นปลั๊กอินจำนวนหนึ่งที่จงใจแจกจ่ายโค้ดที่เป็นอันตรายเมื่อเร็ว ๆ นี้แสดงว่าคุณอยู่ใน catch-22

ภูมิทัศน์ที่เปลี่ยนแปลงตลอดเวลา

ถ้าถูกถาม ฉันคิดว่าพวกเราหลายคนคงบอกว่าตอนนี้เราทำงานได้ดีกว่าเมื่อสองสามปีก่อน เราเรียนรู้ พัฒนา และนำความรู้ใหม่นั้นไปใช้กับงานของเรา ด้วยเหตุนี้ ตัวเลือกของเราในการสร้างเว็บไซต์ก็พัฒนาขึ้นเช่นกัน เครื่องมือและเทคนิคที่เราใช้นั้นแทบจะไม่เหมือนกันทุกปี

WordPress และระบบนิเวศของมันผ่านกระบวนการเดียวกัน – แต่เร็วกว่ามาก ปลั๊กอินที่ต้องมีของเมื่อวานสามารถเปลี่ยนเป็นฝุ่นได้ในวันพรุ่งนี้ การอัปเดตที่ยุ่งยากเพียงครั้งเดียวสามารถส่งผู้ใช้ออกไปเป็นจำนวนมาก

ดังนั้นไซต์ที่คุณสร้างเมื่อไม่กี่ปีก่อนและส่งต่อให้กับลูกค้าอาจใช้ปลั๊กอินที่คุณไม่คิดว่าจะใช้ได้ในปัจจุบัน ดังคำโบราณกล่าวไว้ว่า “พ้นสายตา ให้พ้นใจ”

ต้องใช้ความระมัดระวังเพื่อให้แน่ใจว่าคุณไม่เพียงแต่ใช้เวอร์ชันล่าสุดเท่านั้น แต่ยังเปลี่ยนรายการที่ไม่ใช่ตัวเลือกที่ดีที่สุดอีกต่อไปด้วย น่าเสียดายที่การให้ความสนใจอย่างต่อเนื่องแบบนั้นมักใช้ไม่ได้กับนักออกแบบหลายคนเสมอไป เราไม่ได้มีเวลาเสมอไป และลูกค้าก็ไม่มีงบประมาณที่จะทุ่มเทให้กับสิ่งนี้เสมอไป ไม่ต้องพูดถึงความจริงที่ว่าการเปลี่ยนปลั๊กอินอาจเป็นงานที่ค่อนข้างใหญ่ในบางกรณี ธีมอาจยากขึ้นอีก

ในความเป็นจริง สิ่งทั้งหมดเป็นเหมือนเกมตีตัวตุ่นยักษ์ บางครั้งดูเหมือนว่าการป้องกันเพียงอย่างเดียวของคุณคือยืนให้พร้อมด้วยค้อนในมือ พร้อมที่จะตบสัตว์ตัวต่อไปที่โผล่ขึ้นมา ต้องมีวิธีที่ดีกว่านี้

เราจะทำอะไรได้อีก?

ดังนั้นเราจึงใช้การอัปเดตและกำหนดมาตรการรักษาความปลอดภัยเพิ่มเติมเป็นประจำ เราใช้รหัสผ่านที่รัดกุมและพยายามทำให้การเข้าถึงเว็บไซต์ของเราโดยไม่ได้รับอนุญาตทำได้ยากที่สุด แต่เรายังคงเผชิญกับการโจมตีอย่างต่อเนื่อง ซึ่งบางกรณีก็ผ่านไปได้

ฉันยอมรับว่าฉันไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยระดับแนวหน้า แต่ฉันมีความคิดบางอย่างเกี่ยวกับขั้นตอนเพิ่มเติมที่เราสามารถทำได้เพื่อให้ไซต์ของเราปลอดจากมัลแวร์และสิ่งที่คล้ายกัน อาจมีบางคนที่ไม่ค่อยเข้าใจ แต่ความหวังของฉันคือการจุดประกายการสนทนาแทนที่จะช่วยมนุษยชาติทั้งหมด

การตรวจสอบปลั๊กอิน
นี่เป็นสิ่งที่เราสามารถทำได้เองเป็นประจำและเรียกเก็บเงินจากลูกค้าจริงๆ แนวคิดคือให้พิจารณาเป็นประจำ (อาจ 2-3 ครั้งต่อปี) เพื่อดูว่ามีการติดตั้งปลั๊กอินใดบ้างและกำจัดปลั๊กอินที่อาจมีปัญหา มองหาปลั๊กอินที่ถือว่าถูกละทิ้ง (โดยไม่มีการอัปเดตเป็นเวลาอย่างน้อยสองปี) หรือลบออกจากที่เก็บปลั๊กอินของ WordPress ทั้งหมด จากนั้นทำการเปลี่ยนเมื่อจำเป็น

การเข้าถึงข้อมูลที่ดีขึ้น
ที่ดีไปกว่านั้นคือบริการขนาดใหญ่ที่คอยแจ้งเราว่าปลั๊กอินใดเก่า/เป็นอันตราย/ถูกลบ นักพัฒนาและเจ้าของเว็บไซต์จะได้รับประโยชน์อย่างมากจากการมีทรัพยากรประเภทนี้อยู่ใกล้แค่เอื้อม เพียงแค่รู้ว่าเกิดอะไรขึ้นภายในระบบนิเวศของ WordPress ก็สามารถช่วยให้เราหลีกเลี่ยงปัญหาอื่นๆ ได้

ตัดสินใจอย่างชาญฉลาด
เรามักจะทำสิ่งที่เรารู้สึกว่าเป็นการตัดสินใจที่ดีที่สุด ณ เวลานั้น แต่เราสามารถทำได้ดีกว่า ตัวอย่างเช่น การเลือกปลั๊กอินมักเป็นการค้นหาวิธีแก้ไขปัญหาที่รวดเร็วที่สุด แต่วิธีแก้ปัญหาที่เร็วที่สุดก็ไม่ใช่วิธีที่ดีที่สุดเสมอไป การตรวจสอบปลั๊กอินสำหรับคุณภาพควรมีความสำคัญพอ ๆ กับฟังก์ชันการทำงาน เราไม่ได้ทำให้ถูกต้องเสมอไป แต่การดูบันทึกการเปลี่ยนแปลงและฟอรัมการสนับสนุนอาจช่วยได้มากในการตัดสินใจ

เข้าใจเกม
เมื่อเราเปิดตัวเว็บไซต์ที่สร้างขึ้นใหม่ ไม่ได้หมายความว่างานของเราสิ้นสุด เพื่อรักษาความปลอดภัย เราต้องให้ความสนใจกับสิ่งที่เกิดขึ้นต่อไป ส่วนหนึ่งอาจใช้ปลั๊กอินความปลอดภัยอัตโนมัติที่ส่งอีเมลถึงเราเมื่อมีบางอย่างผิดปกติ แต่ยังเกี่ยวกับการมองไปรอบๆ ด้วยตนเองเป็นระยะๆ ด้วย ตรวจสอบแดชบอร์ดของ WordPress และดูโครงสร้างไฟล์ของไซต์เพื่อค้นหาสิ่งที่น่าสงสัย

โฮสติ้งเชิงรุก
ฉันต้องการคิดว่าเว็บโฮสต์ส่วนใหญ่ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก แต่นั่นไม่ได้หมายความว่าไม่มีที่ว่างสำหรับการปรับปรุง จากประสบการณ์ของฉันเอง ดูเหมือนว่าโฮสต์มักจะตอบสนองต่อปัญหาหลังจากที่เกิดขึ้น ฉันเชื่อว่าเราสามารถได้รับประโยชน์จากโฮสต์ที่มีความกระตือรือร้นมากขึ้นในแนวทางการรักษาความปลอดภัย ตัวอย่างเช่น การแจ้งเตือนลูกค้าถึงข้อมูลเกี่ยวกับภัยคุกคามด้านความปลอดภัยล่าสุดและวิธีทำให้เว็บไซต์ของคุณแข็งแกร่งขึ้น

ฝึกอบรมลูกค้า
สุดท้ายนี้ การฝึกอบรมลูกค้าเกี่ยวกับสิ่งที่ควรทำและไม่ควรทำของ WordPress เป็นสิ่งสำคัญ หากพวกเขาเข้าถึงส่วนหลังของไซต์ พวกเขาควรทราบความเสี่ยงที่อาจเกิดขึ้นจากการติดตั้งปลั๊กอินหรือให้ข้อมูลบัญชีแก่ผู้อื่น พวกเขามีบทบาทสำคัญในการรักษาไซต์ของตนเองให้ปลอดภัย

เป้าหมายเสมอ

WordPress ถูกใช้อย่างแพร่หลายมากจนไม่น่าแปลกใจว่าทำไมมันถึงตกเป็นเป้าของแฮกเกอร์ น่าเสียดายที่นี่คือสิ่งที่มาพร้อมกับความสำเร็จอันยิ่งใหญ่ทั้งหมดนั้น

ด้วยเหตุนี้ เราทุกคนจึงต้องยกระดับในเรื่องแนวปฏิบัติด้านความปลอดภัยของเรา ตามหลักการแล้ว นั่นหมายถึงการตรวจสอบเว็บไซต์เป็นประจำ และที่สำคัญที่สุดคือการเข้าถึงข้อมูลที่สำคัญ ความรู้เป็นกุญแจสำคัญในการท้าทาย หากไม่มีสิ่งนี้ เราจะติดอยู่กับการเล่นเกมคาร์นิวัลตลอดไป