S1:E1 – 3 เหตุผลว่าทำไม WordPress ถึงปลอดภัยแต่แฮ็คง่าย

เผยแพร่แล้ว: 2022-01-26

คุณต้องเคยฟังสิ่งนี้มาหลายครั้งแล้ว “อย่าไปกับ WordPress มันแฮ็คง่าย” แต่ความเป็นจริงค่อนข้างแตกต่างและห่างไกลจากสิ่งที่เราคิดหรือฟัง

เราให้บริการการรักษาความปลอดภัยและบำรุงรักษา WordPress ในช่วง 5 ปีที่ผ่านมา ตลอดการเดินทางนี้ เราได้สรุปว่า WordPress มีความปลอดภัยในตัวเองมาก แต่ด้วยเหตุผลหลัก 3 ประการ จึงไม่ได้รับความนิยมในด้านความปลอดภัยเหมือนกับ PHP CMS อื่นๆ เช่น drupal หรือ Joomla

ดังนั้นหากคุณมีคำถามที่คล้ายกันในใจ คุณจะได้รับคำตอบในบทความนี้

สารบัญ

3 เหตุผลว่าทำไม WordPress ถึงปลอดภัยแต่แฮ็คง่าย?
- เหตุผลที่ 1 ผู้ชมจำนวนมากไม่ใช่ด้านเทคนิค
  - 1.1 ผู้ใช้ที่ไม่ใช่ด้านเทคนิคคืออะไร?
  - 1.2 โดยทั่วไปแล้วผู้ใช้ที่ไม่ใช่ด้านเทคนิคทำอะไรผิดพลาด?
  - 1.3 จะเกิดอะไรขึ้นหากเจ้าของไซต์ WordPress ไม่อัปเดตแพตช์ความปลอดภัยทันเวลา?
  - 1.4 จะเกิดอะไรขึ้นถ้าเจ้าของไซต์ WordPress ติดตั้งธีมที่เป็นโมฆะ?
  - 1.5 อะไรคือปัญหาของปลั๊กอินแบบชำระเงินโดยไม่ต้องสมัครสมาชิก ?
  - 1.6 การอนุญาตไฟล์หลวม
  - 1.7 อะไรคือวิธีแก้ปัญหา?
- เหตุผลที่ 2. ยืดหยุ่นมาก
  - 2.1 ฉันหมายถึงอะไรโดยมีความยืดหยุ่นมาก?
  - 2.2 มาทำการเปรียบเทียบ CMS อย่างยืดหยุ่น (Drupal, Magento, WordPress, Opencart)
  - ทางออกของเรื่องนี้คืออะไร?
- เหตุผลที่ 3 ผู้ถือหุ้นรายใหญ่ที่สุดในตลาด ~ 36 – 40% เว็บไซต์ใช้ wordPress

3 เหตุผลว่าทำไม WordPress ถึงปลอดภัยแต่แฮ็คง่าย?

ผู้ชมจำนวนมากไม่ใช่ด้านเทคนิค
ปรับเปลี่ยนได้ยืดหยุ่นมาก
ผู้ถือหุ้นรายใหญ่ที่สุดในตลาด ~ 36 – 40% ของเว็บไซต์อยู่ใน wordPress

เรามาพูดถึงสามประเด็นข้างต้นกันทีละคน สิ่งนี้จะช่วยให้คุณเข้าใจอย่างลึกซึ้งถึงสิ่งที่ฉันหมายถึงโดยประเด็นข้างต้น

เหตุผลที่ 1 ผู้ชมจำนวนมากไม่ใช่ด้านเทคนิค

ดังนั้น คำถามแรกที่ควรจะผุดขึ้นในใจของคุณ ซึ่งฉันหมายถึงไม่ใช่ด้านเทคนิค ต่อไปนี้คือรายการตรวจสอบอย่างรวดเร็วเพื่อวิเคราะห์ว่าคุณเป็นสายเทคนิคหรือไม่ใช่สายเทคนิค:

1.1 ผู้ใช้ที่ไม่ใช่ด้านเทคนิคคืออะไร?

หากคุณไม่ทราบเกี่ยวกับโครงสร้างไดเร็กทอรี wordpress เช่น วิธีบันทึกไฟล์โดย wordpress ไฟล์ธีมถูกเก็บไว้ที่ไหน เป็นต้น
คุณไม่รู้จักไคลเอนต์ – สถาปัตยกรรมเซิร์ฟเวอร์
หากคุณไม่เกี่ยวกับกลุ่ม & การอนุญาตในระบบปฏิบัติการ

ไม่มีอะไรเลวร้าย แต่มีใครบางคนมาจากเบื้องบน พวกเขาทำผิดพลาดได้ง่ายมาก และแฮกเกอร์ก็รุกล้ำหน้ามัน

1.2 โดยทั่วไปแล้วผู้ใช้ที่ไม่ใช่ด้านเทคนิคทำอะไรผิดพลาด?

อย่าอัปเดตแพตช์ความปลอดภัยอย่างทันท่วงที
พวกเขาติดตั้งธีม nulled
รีเลย์บนปลั๊กอินแบบชำระเงินโดยไม่ต้องสมัครสมาชิก
สิทธิ์ไฟล์หลวม

มีอีกมากมายที่เราจะกล่าวถึงในหลักสูตรความปลอดภัยของ WordPress นี้ทีละรายพร้อมวิธีแก้ปัญหา แต่ข้างบนนั้นอยู่ด้านบนครั้งเดียว

1.3 จะเกิดอะไรขึ้นหากเจ้าของไซต์ WordPress ไม่อัปเดตแพตช์ความปลอดภัยทันเวลา?

WordPress และบริษัทรักษาความปลอดภัยอื่นๆ ยังคงทำการทดสอบการเจาะระบบ (ค้นหาช่องโหว่ด้านความปลอดภัย) และปล่อยเวอร์ชันที่ปลอดภัยของรหัสฐานของพวกเขา 80% ของเจ้าของ WordPress ไม่มีเวลาทำแบบฝึกหัดนี้เป็นประจำ (อย่างน้อยก็ในรอบสัปดาห์)
ดังนั้นหากคุณไม่อัปเดตแฮ็กเกอร์จะใช้ช่องโหว่นั้นและเข้ายึดเว็บไซต์ของคุณและใช้ในวิธีที่พวกเขาต้องการ
ตอนนี้คุณต้องสงสัยว่าทำไมพวกเขาถึงแฮ็คเว็บไซต์ WordPress ที่ไร้ค่าของคุณ? พวกเขาส่วนใหญ่ใช้น้ำ SEO ของโดเมนของคุณ ฉันจะกล่าวถึงรายละเอียดในหัวข้อนี้ในเซสชั่นที่จะเกิดขึ้น

1.4 จะเกิดอะไรขึ้นถ้าเจ้าของไซต์ WordPress ติดตั้งธีมที่เป็นโมฆะ?

ธีมที่เป็นโมฆะนั้นเป็นธีมที่ต้องชำระเงินในเวอร์ชันฟรี/แตก อย่างที่คุณรู้ว่าไม่มีอะไรได้มาฟรีๆ ใครก็ตามที่ทุ่มเทเวลาให้กับการแคร็ก ทำ SEO เพื่อให้ธีมว่างของพวกเขาเข้าถึงคุณได้ พวกเขาต้องสร้างแหล่งรายได้ พวกเขาทำได้โดยเพิ่มรหัสเพิ่มเติม (สแปม) ลงไป
ในกรณีที่คุณต้องการใช้มันจะต้องผ่านการตรวจสอบกับผู้เชี่ยวชาญ wordPress ใด ๆ แต่ค่าใช้จ่ายในการจ้างผู้เชี่ยวชาญ WordPress ในอินเดียหรือภายนอกจะทำให้คุณเสียค่าใช้จ่ายมากกว่าธีม ดังนั้นผมขอแนะนำให้ซื้อธีมผ่าน ThemeForest จะเป็นทางเลือกที่ดี

1.5 อะไรคือปัญหาของปลั๊กอินแบบชำระเงินโดยไม่ต้องสมัครสมาชิก ?

เช่นเดียวกับแพตช์ความปลอดภัยของ WordPress ปลั๊กอินแบบชำระเงินก็ปล่อยแพตช์เช่นกัน และส่วนใหญ่เนื่องจากไม่มีการสมัครสมาชิก เจ้าของเว็บไซต์ WordPress ไม่อัปเดต และกลายเป็นการชะงักงัน แฮกเกอร์ใช้ล่วงหน้าของมัน

1.6 สิทธิ์ไฟล์หลวม

การอนุญาตไฟล์อย่างแน่นหนาสามารถช่วยคุณได้ในกรณีส่วนใหญ่ มัลแวร์หรือสแปมส่วนใหญ่มีผลกระทบต่อโค้ดของคุณ ไม่ใช่ฐานข้อมูล ดังนั้นโดยการลบการอนุญาตการเขียน มัลแวร์หรือสแปมไม่สามารถแก้ไขไฟล์ที่มีอยู่หรือสร้างไฟล์ใหม่ได้

1.7 อะไรคือวิธีแก้ปัญหา?

แก้ไขข้อผิดพลาดข้างต้น หรือคุณสามารถเข้าร่วมหลักสูตรความปลอดภัย wordpress ฟรีของเรา ซึ่งจะให้แนวคิดเกี่ยวกับหัวข้อพื้นฐานถึงขั้นสูง
ให้สิทธิ์เซิร์ฟเวอร์ของคุณแน่นมาก
หยุดการดำเนินการในโฟลเดอร์ wp-content
และยังมีอีกมากมายที่เราจะพูดคุยกันในหลักสูตรนี้

เหตุผลที่ 2. ยืดหยุ่นมาก

WordPress ให้ความยืดหยุ่นอย่างไม่รู้จบแก่เจ้าของเว็บไซต์ และเราสามารถทำการเปลี่ยนแปลงในโค้ดได้โดยไม่ต้องแตะต้องโค้ดจริงๆ

มีปลั๊กอินจำนวนมากในตลาดสำหรับคุณลักษณะเฉพาะ เราเพียงแค่ติดตั้งและสิ่งต่าง ๆ ก็เริ่มทำงาน

มาทำคำถามที่พบบ่อยอย่างรวดเร็วกันเถอะ

2.1 ฉันหมายถึงอะไรโดยมีความยืดหยุ่นมาก?

ความยืดหยุ่นใน WordPress หมายความว่าคุณไม่จำเป็นต้องมีทักษะการเขียนโค้ดพิเศษเพื่อทำการเปลี่ยนแปลงที่จำเป็นในเว็บไซต์ WordPress สิ่งที่เข้าใจได้ง่าย

2.2 มาทำการเปรียบเทียบ CMS อย่างยืดหยุ่น (Drupal, Magento, WordPress, Opencart)

ฉันได้ทำการเปรียบเทียบ 4 CMS ตาม 3 คะแนน:

ระดับของความพยายามที่คุณต้องทำการเปลี่ยนแปลงในฟังก์ชันการทำงานที่มีอยู่
DevOps – การปรับใช้เว็บไซต์บนเซิร์ฟเวอร์และดำเนินการที่เกี่ยวข้องเพื่อให้ทำงานได้อย่างราบรื่น
ทักษะการเขียนโค้ดต้องเริ่มต้นในการสร้างเว็บไซต์ด้วย WordPress

ชุมชนของเวิร์ดเพรสมีขนาดใหญ่มาก ดังนั้นหากคุณคิดว่าคุณต้องการคุณสมบัติสุ่ม คุณจะได้รับปลั๊กอินสำหรับสิ่งนั้น ฉันมั่นใจ 99% เกี่ยวกับเรื่องนี้ ในกรณีที่คุณจำเป็นต้องสร้างฟังก์ชันแบบกำหนดเอง มีความยืดหยุ่นในแบบโมดูลาร์ คุณสามารถเพิ่มฟังก์ชันนั้นได้โดยไม่ต้องแตะรหัสจริงในตอนเย็น (ผ่านตะขอ)
ใน DevOps – ขั้นตอนการติดตั้งค่อนข้างตรงไปตรงมา คุณไม่จำเป็นต้องมีส่วนขยายที่ไม่ซ้ำกันจำนวนมากเพื่อเปิดใช้งานในเซิร์ฟเวอร์ตามที่เราต้องการในเครื่องแม๊กหรือ drupal

ผู้ที่ไม่ใช่ด้านเทคนิคไม่สามารถติดตั้งเครื่องอ่านบาร์โค้ด drupal ได้อย่างง่ายดายเหมือนกับที่เขาสามารถทำได้ด้วยเวิร์ดเพรส
แต่ลองนึกดูว่าปลั๊กอินเริ่มแก้ไขไฟล์ในทางที่ผิดแทนที่จะเป็นวิธีที่ถูกต้องหรือไม่? เว็บไซต์ของคุณสามารถระยำได้ภายในไม่กี่นาทีข้างหน้า

แม้ว่าคุณจะไม่ได้ตรวจสอบเว็บไซต์ของคุณ – สแปมนักฆ่าที่ช้าอย่าง Japanise SEO SPAM สามารถทำลายงาน SEO ของคุณเป็นเวลาหลายปี

ทางออกของเรื่องนี้คืออะไร?

คุณสามารถเอาชนะปัญหานี้ได้ด้วยการรู้สองสิ่ง:

โครงสร้างไดเร็กทอรี WordPress
แก้ไขการอนุญาตไฟล์และวิธีการสมัคร
และติดตามกิจกรรมเว็บไซต์ของคุณ

นี่คือสองสิ่งที่ฉันได้กล่าวถึงในบทความที่กำลังจะถึงนี้ และมีการบอกสั้น ๆ ในวิดีโอ – คลิกที่นี่เพื่อดู

เหตุผลที่ 3 ผู้ถือหุ้นรายใหญ่ที่สุดในตลาด ~ 36 – 40% เว็บไซต์ใช้ wordPress

ทุกคนต้องการแก้ปัญหาที่มีผู้ชมจำนวนมาก เพราะหากแก้ปัญหาเพียงปัญหาเดียวที่ได้รับความเดือดร้อนจากมวล พวกเขาสามารถทำกำไรได้มากขึ้นด้วยความพยายามแบบเดียวกัน แฮกเกอร์สูตรที่คล้ายกันก็ใช้เช่นกัน! พวกเขารู้ว่าพวกเขาพบช่องโหว่ใน WordPress หรือปลั๊กอินที่มีชื่อเสียงที่ติดตั้งในเว็บไซต์นับล้านหรือไม่ พวกเขาเข้าถึงเว็บไซต์นับล้านพร้อมกัน 💡 Pro Tip - สำคัญที่สุด & แนะนำความเข้าใจ - ลำดับเหตุการณ์ของการแฮ็กเว็บไซต์ที่ไร้ค่า คลิกที่นี่เพื่อดู

ฉันได้อธิบายทั้ง 3 หัวข้อนี้ในวิดีโอ 40 นาทีแล้ว ในกรณีที่คุณพลาดการชมวิดีโอนั้น คุณสามารถชมวิดีโอนี้และเข้าใจหัวข้อนี้ในเชิงลึก หากคุณมีคำถามใด ๆ ในใจ คุณสามารถถามได้ในส่วนความคิดเห็นบน youtube