จะแน่ใจได้อย่างไรว่าเว็บไซต์ WordPress ของคุณปลอดภัย

เผยแพร่แล้ว: 2022-03-08

เมื่อสองหรือสองสามทศวรรษก่อน การโจรกรรมถูกจำกัดให้ทำลายเพื่อขโมยรายได้หรือของมีค่าของใครบางคน ตอนนี้คงจะเป็นพวกก่อกวนและพวกโจร เข้าเรื่องประเภทของแฮกเกอร์ ทุกคนที่ค้นหาและหาประโยชน์จากช่องโหว่ของโปรแกรมซอฟต์แวร์เพื่อได้มาซึ่งบุคคลหรือสาเหตุทางการเมือง

ก่อนที่ฉันจะเริ่มต้น คุณต้องรู้ว่าโพสต์นี้ไม่ได้พูดถึงความปลอดภัย WP แต่เป็นการพูดถึงทริกเกอร์สำหรับช่องโหว่ของ WordPress หากนั่นไม่ใช่สิ่งที่คุณกำลังมองหา เราขอแนะนำให้คุณศึกษา – “Beefing Up WordPress Security – A Full Information To Secure WordPress Web pages” แม้ว่าฉันควรจะระบุว่าการทำความเข้าใจธรรมชาติของแม่ของช่องโหว่ WP ในครั้งก่อน ให้ความเข้าใจที่ดีเกี่ยวกับวิธีที่คุณสามารถกำหนดโปรโตคอลการป้องกันของเว็บไซต์ของคุณได้

ทำไมผู้คนถึงแยกออกเป็นไซต์และศูนย์ความรู้ ? การเจาะเข้าไปในเว็บไซต์อินเทอร์เน็ตที่มีข้อเท็จจริงของลูกค้า รหัสอีเมล ตัวเลขบัตรเครดิต ฯลฯ ให้ผลตอบแทนทางการเงินมากกว่าการปล้นผู้ให้กู้ หากคุณเปิดเว็บไซต์ที่เจริญรุ่งเรืองพอสมควร ฉันเชื่อว่ามีคนพยายามเข้าถึงรายละเอียดเว็บไซต์ของคุณจำนวนนับไม่ถ้วน

เมื่อไม่นานนี้ AshleyMadison.com ถูกแฮ็กและรายละเอียดของผู้ซื้อ 37 ล้านคนถูกขโมยไป แฮกเกอร์ได้เรียกร้องให้ปิดเว็บไซต์ ล้มเหลว ซึ่งพวกเขาจะเปิดรายละเอียดข้อมูลของผู้ใช้ที่ถูกขโมย ซึ่งรวมถึงจินตนาการทางเพศ สิ่งนี้แสดงให้คุณเห็นถึงรูปแบบการทำลายล้างที่แฮ็กเกอร์สามารถทำได้โดยเพียงแค่เข้าถึงข้อเท็จจริง

การรักษาความปลอดภัยของเว็บทั่วโลกเป็นหัวข้อที่สำคัญอย่างยิ่งและมีการเพิ่มขึ้นอย่างมากโดยระบุช่วงของเว็บไซต์ที่ปรากฏขึ้นเพื่อรับข้อมูลส่วนตัวและข้อเท็จจริงของผู้บริโภค

มากถึง 65% ของเน็ตใช้งาน WordPress เป็นกระบวนการจัดการเนื้อหาที่เป็นลายลักษณ์อักษร ดังนั้นวันนี้ผมจะมาพูดถึงความเสถียรของ WordPress และวิธีที่เว็บไซต์ WP ผ่านการรับรองหรือถูกแฮ็กในครั้งก่อน

เหตุใดจึงต้องมีกลยุทธ์ด้านความปลอดภัยที่ดีเยี่ยม ?

  • คุณเป็นหนี้ผู้ซื้อและลูกค้าของคุณที่พึ่งพาคุณด้วยข้อมูลส่วนบุคคลและข้อเท็จจริงที่ละเอียดอ่อนเพื่อรักษาความปลอดภัย
  • เว็บไซต์ของคุณถูกแฮ็ก – คุณสูญเสียรายได้
  • เว็บไซต์ของคุณถูกแฮ็ก – การจัดอันดับเอ็นจิ้นการค้นหาของคุณใช้เวลาเพียงเที่ยวเดียวสู่นรก

เว็บไซต์อินเทอร์เน็ต WordPress ถูกแฮ็กโดยคนนับ 1,000 คน หากไม่ใช่หลายร้อยเว็บไซต์ ไม่ใช่การศึกษาหน้าเว็บแต่ละครั้งที่พวกเขาถูกแฮ็กในครั้งก่อน ไม่ใช่การสนับสนุนที่ดีสำหรับชื่อแบรนด์ของพวกเขาอย่างที่คุณคาดเดา

ฉันต้องการให้ความกระจ่างเกี่ยวกับข้อกำหนดสำหรับโพสต์เกี่ยวกับความปลอดภัยของ WordPress นี้

จากการวิจัยที่แบ่งปันโดย Sandro Gucci (ผู้ก่อตั้งการคุ้มครองใบอนุญาต)

  • 73.2% ของการติดตั้ง WordPress ที่ได้รับความนิยมมากที่สุดมีความเสี่ยงต่อช่องโหว่ซึ่งสามารถตรวจพบได้โดยใช้ทรัพยากรอัตโนมัติฟรี
  • มีเพียง 7,814 ไซต์ (18.55%) ที่อัปเกรดเป็น WordPress 3.6.1 ซึ่งเป็นรูปแบบล่าสุดของ WP เมื่อทำการทดสอบ
  • เว็บไซต์ 13,034 แห่ง (30.95%) ยังคงจัดการ WordPress เวอร์ชันที่อ่อนแอต่อไป รุ่น 3.6 WordPress 3.6 มี 5 ช่องโหว่ที่รู้จักในขณะนั้น

และหากคุณกำลังไตร่ตรองให้ดี นี่เป็นเพียงการอธิบายลักษณะทั่วไปที่ไม่เป็นธรรมของไซต์ที่ไม่คุ้นเคยอย่างกะทัดรัดบางแห่งบนเว็บไซต์ที่มีแสงน้อย คุณจะเข้าใจผิด ข้อมูลนี้จัดทำขึ้นจากการทบทวนเว็บไซต์ WordPress ประมาณ 42,000 เว็บไซต์บนเว็บไซต์ Best A single Million ของ Alexa นั่นเป็นไซต์ที่มีความเสี่ยงสูงสำหรับไซต์อินเทอร์เน็ตที่เข้าชมบ่อยที่สุดบนเวิลด์ไวด์เว็บ ไซต์เหล่านี้รวบรวมข้อมูลจำนวนมหาศาลจากผู้เยี่ยมชมและสมาชิกของพวกเขา

ข้อมูลถูกต้องตั้งแต่เดือนกันยายน 2556 ฉันไม่เชื่อว่ามันจะคลาดเคลื่อนไปมากเมื่อพิจารณาถึงตอนนั้นและแม้ว่าจะมี สถิติที่แสดงในบทความนี้แสดงระดับของปัญหาด้านความปลอดภัยที่ทำให้เกิดภัยพิบัติกับ WordPress

หากคุณต้องการหลักฐานเพิ่มเติมที่พิสูจน์ว่า WordPress สามารถถูกบุกรุกได้ ฉันแนะนำให้คุณตรวจสอบโดย Netcraft

  • ในเดือนกุมภาพันธ์ 2014 มีเว็บบล็อก WordPress 12,000 รายการที่ทำหน้าที่เป็นแพลตฟอร์มสำหรับหน้าเว็บฟิชชิ่ง
  • มากกว่า 8% ของ URL ของมัลแวร์ทั้งหมดที่ถูกบล็อกโดย Netcraft สำหรับการกระจายมัลแวร์ที่โฮสต์บนเว็บทั่วโลกได้จบลงที่บล็อก WordPress

ฉันต้องชี้แจงว่าไม่ได้มีเพียงบล็อกเดียวที่ทำงานบน Wordpress.com อัตโนมัติ สิ่งนี้ควรแสดงให้เห็นอย่างชัดเจนว่าแม้แต่ WordPress ก็อาจมีช่องโหว่หากไม่ได้ใช้ด้วยความระมัดระวังและความเข้าใจในการป้องกัน WP แรงจูงใจเพิ่มเติมสำหรับสิ่งนี้อาจเกี่ยวข้องกับข้อเท็จจริงง่ายๆ ที่บล็อกทั้งหมดที่โฮสต์บน wordpress.com เป็นปัจจุบันค่อนข้างมากทันทีที่มีการเปิดตัวการอัปเดต WordPress เมื่อพิจารณาถึงเรื่องนั้น จำเป็นต้องกล่าวถึงว่ามีการเปิดตัวการอัปเดต WordPress อัตโนมัติใน WP model 3.7 เพื่อปกป้องเว็บไซต์จากการหาประโยชน์แบบ zero-day

และแม้กระทั่งหลังจากนั้น ก็มีข้อกังวลด้านความปลอดภัยมากมายที่ก่อกวน WordPress ดูบันทึกช่องโหว่ของ WordPress ในเวอร์ชันที่โดดเด่นของแพลตฟอร์ม

ในตอนนี้ คุณไม่สามารถทำอะไรได้อย่างแน่นอนเพื่อหยุดสิ่งนี้ไม่ให้เกิดขึ้น โดยทั่วไปแล้วช่องโหว่ใหม่ ๆ จะถูกค้นพบ กลุ่ม WP หลักมีความเสถียรอย่างมากและทำให้ WordPress ปลอดภัยยิ่งขึ้น

แต่เช่นเดียวกับซอฟต์แวร์ยอดนิยมอื่นๆ การใช้ประโยชน์จากช่องโหว่ส่งผลให้ได้รับผลตอบแทนเพิ่มขึ้นเมื่อมีผู้คนเริ่มใช้งานกันมากขึ้นในปัจจุบัน

ไม่เชื่อในตัวฉัน ? หากคุณรู้สึกว่า WordPress จะพัฒนาให้ปราศจากช่องโหว่ใดๆ ในทันที ให้ตรวจสอบกราฟนี้!

wordpress-vulnerabilites-over-years

แม้ว่าจำนวนช่องโหว่จะลดลงเมื่อเวลาผ่านไปจากระดับสูงสุดในปี 2550 และ 2557 แรงจูงใจในการค้นพบช่องโหว่ใหม่และการใช้ประโยชน์จากช่องโหว่นั้นเพิ่มขึ้นอย่างไม่สิ้นสุด ทำให้การทำกำไรเพิ่มขึ้นเนื่องจากชื่อเสียงที่เพิ่มขึ้นของ WordPress

WordPress อาจปลอดภัยตั้งแต่แกะกล่อง แต่ทันทีที่รวมปลั๊กอิน/ธีมและโค้ดที่กำหนดเองหลายๆ อย่างเข้าด้วยกัน ช่องโหว่จำนวนมากเริ่มเพิ่มขึ้นอย่างรวดเร็ว

ดังที่กล่าวไปแล้ว เราสามารถปรับปรุง WordPress ของคุณเล็กน้อย เพื่อให้มีการป้องกันเพิ่มเติมจำนวนมาก ขั้นแรก เราจำเป็นต้องทำความคุ้นเคยกับความปลอดภัยของ WordPress ให้ครบถ้วน ซึ่งจะช่วยได้มากในการหาสาเหตุของความล้มเหลวในการรักษาความปลอดภัย

คุณอาจจะต้องตะลึงเมื่อพบว่าระบบหลัก WP มีข้อบกพร่องในกรณีที่เกิดการละเมิดความเสถียร มีความเป็นไปได้สูงมากที่สิ่งที่คุณมีเพิ่มเติมใน WP ของคุณ จะสร้างช่องโหว่ที่แฮกเกอร์สามารถใช้ประโยชน์ได้

ไซต์ WordPress ถูกบุกรุกอย่างไร?

ปัญหาเกี่ยวกับการรักษาความปลอดภัยที่ครอบคลุมคือไม่มีสิ่งเหล่านี้

สมมติว่า WordPress ของคุณได้รับการปกป้องอย่างสมบูรณ์ คุณยังคงมี Apache, FTP Client, MySQL และแอปพลิเคชันใดๆ ที่ทำงานบนเซิร์ฟเวอร์ของคุณซึ่งคุณต้องกังวล ไซต์ของคุณไม่มีความเสี่ยงเท่ากับ url ที่อ่อนแอที่สุดเท่านั้น และนั่นก็เกี่ยวข้องกับคุณภาพของแพ็คเกจซอฟต์แวร์ของโฮสต์ ธีมและปลั๊กอินที่เว็บไซต์อินเทอร์เน็ตของคุณทำงาน

ฉันต้องการฉันมีสถิติล่าสุดอีกมากมายที่ฉันสามารถแสดงให้คุณเห็นได้เช่นกัน อย่างไรก็ตาม บทวิจารณ์นี้นำเสนอในรูปแบบอินโฟกราฟิกบนบล็อกของ WpWhiteSecurity ให้ข้อมูลเชิงลึกที่ยอดเยี่ยมว่าเว็บไซต์ WordPress ถูกแฮ็กอย่างไร และสิ่งใดที่ทำให้พวกเขาอ่อนแอได้

การวิจัยดำเนินการขึ้นอยู่กับข้อมูล 170,000 เว็บไซต์ที่ถูกแฮ็กในปี 2555 มีการแฮ็กที่หลากหลายเพิ่มขึ้น 18% จากปีที่แล้ว (2012) รายละเอียดตลกคือความหลากหลายของช่องโหว่ที่ไม่ได้เพิ่มขึ้น ด้วยสัดส่วนที่เท่ากัน แต่ช่องโหว่ที่เพิ่มขึ้นเพียงเล็กน้อยก็ส่งผลกระทบกับเว็บไซต์จำนวนมากขึ้น อันเนื่องมาจากการใช้งาน WordPress และ WordPress ที่เน้นสินค้าเป็นศูนย์กลางมากขึ้น

  • 41% ของ WordPress ที่ถูกแฮ็กถูกแฮ็กโดยช่องโหว่ด้านความปลอดภัยบนระบบโฮสติ้ง
  • 29% ถูกแฮ็กด้วยปัญหาด้านความเสถียรในธีม WordPress ที่พวกเขาใช้
  • 22% ถูกแฮ็กผ่านปัญหาการป้องกันในปลั๊กอิน WordPress ที่พวกเขาใช้
  • 8% ถูกแฮ็กเป็นหลักเพราะมีรหัสผ่านที่ไม่รัดกุม
  • จากที่กล่าวมาข้างต้น เราสามารถสรุปได้ว่ามากกว่า 51% ของเว็บไซต์ WordPress ที่ถูกแฮ็กถูกแฮ็กผ่านช่องโหว่ในธีม WordPress หรือปลั๊กอินที่พวกเขาเคยทำงานด้วย

การแฮ็กส่วนใหญ่ที่น่าผิดหวังเกิดขึ้นเนื่องจากการใส่ซอฟต์แวร์ลงในประเภทของปลั๊กอิน ธีม และเพียงเพราะผู้ให้บริการเวิลด์ไวด์เว็บโฮสติ้งล้มเหลวในการเพิ่มความปลอดภัยให้เพียงพอที่เซิร์ฟเวอร์สรุป

ไม่มีระดับใดในการอภิปรายถึงขั้นตอนในการปกป้องเว็บไซต์ของคุณ ก่อนที่จะพูดถึงตัวเลือกที่ยอดเยี่ยมที่คุณมีในเงื่อนไขการป้องกันเมื่อมาถึงเว็บโฮสติ้ง ธีม และปลั๊กอิน และฉันจะพูดถึงวิธีรับซอฟต์แวร์สำหรับโอกาสที่สามที่ยอดเยี่ยมและโฮสติ้งที่ปลอดภัยและเสียงสำหรับเว็บไซต์ของคุณ ก่อนที่ฉันจะเริ่มแนะนำขั้นตอนความเสถียรบางอย่างเพื่อเสริมความปลอดภัย WP

บทสรุป

เว็บไซต์ WordPress ไม่ค่อยมีช่องโหว่เนื่องจากข้อผิดพลาดในรหัสหลักของเทคนิคการจัดการข้อมูล แต่เว็บไซต์ไม่ทำงานทั้งหมดโดยอิงจากเทคนิคการจัดการเนื้อหาที่เป็นลายลักษณ์อักษรเป็นส่วนใหญ่ มันต้องการโฮสต์อินเทอร์เน็ตเพื่อโฮสต์ CMS บนเว็บทั่วโลก ธีมเพื่อให้ดูหรูหรา และปลั๊กอินเพื่อแทรกฟังก์ชันที่จำเป็น การรวมซอฟต์แวร์รวบรวมโซเชียลที่สามจำนวนมากเข้ากับการตั้งค่า WordPress ของคุณ อาจทำให้ความเสถียรของคุณมีรูพรุนเล็กน้อย หากไม่สำเร็จตามความเหมาะสม

หลัก WordPress ของคุณ ปลั๊กอิน & ธีม และโฮสต์เน็ตจะต้องเชื่อมต่อเพื่อรักษาหน้าเว็บ WordPress ของคุณให้ทำงาน การสนทนานี้มีข้อบกพร่องในบางครั้ง และทำให้เว็บไซต์มีความเสี่ยง

บวก 8% ของเว็บไซต์อาจถูกบุกรุกเนื่องจากรหัสผ่านที่ไม่รัดกุม ยังคงมีหลักฐานจำนวนมากที่บ่งบอกว่าการแนะนำปลั๊กอิน/ธีมที่เขียนอย่างแย่มากหรือโฮสต์อินเทอร์เน็ตที่ทำงานบนโปรแกรมซอฟต์แวร์ที่ล้าสมัยเป็นผลหลักที่ทำให้เว็บไซต์อินเทอร์เน็ต WordPress ทั้งหมดถูกแฮ็กหรือปิดตัวลง

ตอนนี้เราทราบความชัดเจนบางอย่างเกี่ยวกับสาเหตุของช่องโหว่ของ WordPress แล้ว เนื่องจากเป็นองค์ประกอบของการเผยแพร่ในซีรีย์ WP Stability ฉันจะเน้นที่มาตรการที่คุณต้องการเพื่อเพิ่มความปลอดภัย WordPress ของคุณ

โปรดแบ่งปันรายละเอียดหากคุณเคยพบว่าไซต์ WordPress ของคุณถูกแฮ็กหรือผู้เสียหายจากการโจมตี DDOS อาจเป็นไปได้ว่าไอการ์หรือฉันจะพยายามแก้ไขปัญหาหากมันอยู่ในอำนาจของเรา ไชโย