ทำไม WordPress ถึงถูก Hack?
รู้หรือไม่ จำนวนเว็บไซต์ทั่วโลกมีสูงถึง 1,196,298,727 เว็บไซต์และ WordPress นั้นมีส่วนแบ่งการใช้งานทั่วโลกอยู่ถึง 35% คิดรวมเป็น สี่ร้อยกว่าล้านเว็บไซต์ !!! เมื่อมีจำนวนมากขนาดนี้ ก็ย่อมตกเป็นเป้าสายตาของบรรดา Hacker ทั่วโลกเป็นธรรมดา เนื่องจากว่าหากโจมตีได้แล้วเว็บไซต์นึง นั่นก็หมายความว่าโอกาสที่จะโจมตีเว็บไซต์หลายร้อยล้านเว็บไซต์ได้ด้วยการโจมตีเดียวกัน ซึ่งสาเหตุหลักๆที่ WordPress ของเราจะโดนแฮกนั้น มาจากสิ่งต่างๆดังต่อไปนี้
ไม่มีการอัพเดท Version WordPress, Plugins, Theme (คิดเป็น 90% ของการถูกแฮกทั้งหมด)
เนื่องจาก WordPress เป็น CMS ที่เป็น Open Source และมีการอัพเดทมาจากผู้พัฒนาอยู่เสมอ แต่สิ่งที่คนทำ WordPress มักจะลืมกันอยู่บ่อยๆนั่นก็คือการอัพเกรด Version WordPress ให้เป็นเวอร์ชั่นล่าสุดให้รวดเร็วที่สุด เนื่องจากว่าทุกๆการอัพเดทนั้น นอกจากจะมีการเพิ่มฟีเจอร์ใหม่ๆลงไปแล้วนั้นยังมีการแก้ไขช่องโหว่ทางด้านความปลอดภัยต่างๆเข้ามาอีกด้วย นั่นทำให้ถ้าเมื่อมีเวอร์ชั่นใหม่มาแล้วและถ้าเรายังไม่รีบอัพเดทมัน จะทำให้เว็บไซต์ของเราเสี่ยงต่อการโดน Hack ทันทีนั่นเอง
การตั้งค่ารหัสผ่านที่ง่ายต่อการคาดเดา (คิดเป็น 5% ของการถูกแฮกทั้งหมด)
มีผู้ใช้งานมากมายได้ติดตั้ง WordPress ด้วยรหัสผ่านที่ง่ายมาก เช่น 1234, qwerty, admin, minad, admin1234 ซึ่งเป็นรหัสที่ง่ายต่อการคาดเดา และไม่ควรใช้อย่างยิ่งบนเว็บไซต์ WordPress ของเรา เพราะรหัสพวกนี้ Hacker สามารถเขียนโปรแกรมสุ่มรหัสผ่านและ Login ได้ภายในเวลาไม่ถึง แต่การคิดรหัสผ่านมันยากนี่นา ทำยังไงดีล่ะ
ไม่ได้ใช้ Theme, Plugins จากผู้ผลิตโดยตรง (คิดเป็น 1% ของการถูกแฮกทั้งหมด)
บางครั้ง การโหลด Theme, Plugins จากเว็บไซต์โดยการหาผ่าน google นั้นก็เป็นเหมือนดาบสองคม เพราะบางทีเราอาจจะไปเจอเว็บไซต์ที่ทำลอกเลียนแบบขึ้นมาซึ่งปล่อยให้โหลดไฟล์ที่ผ่านการแก้ไขและฝัง Malwares / Virus ไว้แล้ว เพราะฉะนั้น ก่อนที่จะโหลดไฟล์อะไรมาติดตั้งบนเว็บไซต์ ตรวจสอบสถานที่โหลดให้ดีก่อนว่ามาจากผู้ผลิตโดยตรง
โดนแฮกจากช่องทางอื่นๆ (คิดเป็น 3% ของการถูกแฮกทั้งหมด)
ปัจจัยที่มักจะโดนแฮกจากช่องทางอื่นๆ เช่น
มีช่องโหว่จาก Plugins, Theme มาตั้งแต่ผู้ผลิตเลย ซึ่งถ้าเป็นผู้ผลิต Plugins, Theme ที่มีมาตรฐานมักจะไม่เจอสิ่งนี้ แต่ก็เป็นไปได้ที่เราจะเจอผู้ผลิต Plugins, Theme ที่ไม่ได้มาตรฐาน ก่อนจะสั่งซื้อ Plugins, Theme ก็ลองศึกษารายละเอียดของบริษัทที่ขาย Theme ดีๆ เลือกคนขายที่น่าเชื่อถือ มีการอัพเดทตีมที่ขายอย่างสม่ำเสมอ
โดน Hack จากเว็บไซต์อื่นที่อยู่ภายใน Account เดียวกันกับ Hosting บางครั้ง WordPress ของเราไม่ได้มีปัญหา แต่เว็บไซต์อื่นๆของเราที่ไม่ใช่ WordPress นั่นแหละคือปัญหาทำให้ WordPress ของเราถูกแฮกไปด้วย หากคุณใช้งาน WordPress แบบจริงจังและเว็บไซต์เริ่มมีรายได้แล้ว ขอแนะนำให้แยกเว็บไซต์นั้นๆออกจากโดเมนอื่นๆ เพื่อเป็นการป้องกันอีกทาง