Content Manage System (CMS) หรือที่เราเรียกกันอย่างติดปากว่าเว็บไซต์สำเร็จรูป คือระบบจัดการเนื้อหาเว็บไซต์ที่ช่วยให้การสร้างและบริหารเว็บไซต์ง่ายยิ่งขึ้น เรียกได้ว่าเมื่อต้องการมีเว็บไซต์เมื่อไรก็สร้างสรรค์ขึ้นมาได้โดยง่าย เพียงแค่ใส่ข้อมูลที่เราต้องการลงไปก็จะมีเว็บไซต์ของเราอยู่บนโลกอินเทอร์เน็ต หนึ่งในเว็บไซต์สำเร็จรูปที่ได้ความนิยมที่สุดก็คือ WordPress ถูกนำมาใช้อย่างกว้างขวาง เนื่องจากความสะดวกสบายในการติดตั้ง ง่ายต่อการใช้งาน และที่สำคัญทีมผู้พัฒนาก็มีอัปเดตเวอร์ชั่นอย่างสม่ำเสมอ ทำให้ระบบมีความสามารถเพิ่มขึ้น ตอบสนองความต้องการของผู้ใช้งานได้เป็นอย่างดี

จากตางรางจะเห็นว่า WordPress ได้รับส่วนแบ่งทางการตลาดถึง 58.7% เกินครึ่งของตลาดเลยทีเดียว

ข้อมูลจาก http://w3techs.com/

หลายคนอาจมีข้อสงสัยในเรื่องความปลอดภัย แม้ว่าจากสถิติช่องโหว่จากเว็บไซต์ cvedetails.com จะลดลงในปีนี้ แต่จะเห็นได้ชัดว่าในทุกๆ ปี WordPress ก็ยังคงมีช่องโหว่ให้แฮกเกอร์ โจมตีได้อยู่ตลอด

จากกราฟจะเห็นจำนวนช่องโหว่ของ ในแต่ละปี

ข้อมูลจาก cvedetails.com

กรณีล่าสุดก็มีเว็บไซต์หน่วยงานราชการในประเทศไทยใช้ WordPress โดนแฮกเกอร์ เปลี่ยนหน้าเว็บไซต์เช่นกัน ดังนั้นจะเห็นได้ว่าการมีเว็บไซต์อย่างเดียวคงไม่พอ ต้องมีการปกป้อง และดูแลเรื่องความปลอดภัยของเว็บไซต์ด้วย

แล้วจะเพิ่มความปลอดภัยให้กับ WordPress ยังไงดี

1. อย่าละเลยการอัพเดตเวอร์ชั่นระบบหลัก , Plugin และ Theme

ทั้งหมดเป็น Open Source การโจมตีที่รู้ว่า Code ปลายทางเป็นอย่างไร ง่ายกว่า Code ที่พัฒนาขึ้นเองมาก ทุกครั้งที่มีการโจมตีใหม่ๆ เกิดขึ้น ทีมผู้พัฒนาก็จะทำการแก้ไขข้อผิดพลาด หลังจากนั้นก็จะปล่อยให้อัปเดต ซึ่งถ้าเราไม่เคยอัพเดตเลยก็อาจจะตกเป็นเป้าของแฮกเกอร์ได้

2. Password ที่จำง่ายนั้นใช้งานง่าย แต่ความปลอดภัยต่ำ

“123456” เป็น Password ยอดแย่ ที่มีคนใช้มากที่สุดเป็นอันดับ 1 ในปี 2013 และ 2014 และคาดว่าจะยังคงครองแชมป์ต่อเนื่องในปี 2015 ด้วย เนื่องจากความง่ายในการจำนั่นเอง  นอกจากเรื่องการตั้ง Password แล้วการตั้งชื่อผู้ใช้ก็มีความสำคัญไม่แพ้กัน ส่วนใหญ่มักจะนิยมใช้คำว่า “admin” ซึ่งง่ายต่อการคาดเดา ซึ่งเมื่อนำมารวมกันก็จะกลายเป็น Username: “admin” Password: “123456” แฮกเกอร์แทบจะไม่ต้องคิดอะไรเพิ่มเลย ดังนั้นเราควรตระหนักถึงการกำหนด Username และ Password ให้มีความปลอดภัยด้วย โดยหลักการง่ายๆ ก็คือ ตั้งให้ง่ายต่อการจดจำ และให้ยากลำบากต่อการคาดเดา

3. บางทีช่องโหว่ไม่ได้อยู่ที่เว็บไซต์

ช่องโหว่จาก Server เป็นเรื่องที่ไม่ควรละเลย ควรทำการอัพเดต Server อยู่เสมอเช่นเดียวกับการ Update เวอร์ชั่น ของ WordPress เพราะช่องโหว่ที่ Server ก็สามารถถูกโจมตีได้เช่นเดียวกัน

4. จำกัดจำนวนการ Login ที่ผิดพลาด

การจำกัดจำนวนการ Login ที่ผิดพลาดมีความจำเป็นอย่างมาก เพราะป้องกันการใช้เทคนิค Bruteforce คือการสุ่ม Password ไปเรื่อยๆ โดยมี Plugin ที่ช่วยป้องกันส่วนนี้อยู่แล้ว ชื่อ WP Limit Login Attempts  เมื่อทำการติดตั้ง Plugin แล้ว ก็จะมีการจำกัดจำนวนการ Login ผิดพลาดทันที นอกจากนั้นยังมีการป้องกันการ Login ผ่าน Proxy ที่ติด Blacklist อันตรายอีกด้วย

5. รู้ก่อน แก้ไขก่อน เพื่อลดความเสียหาย

เมื่อแฮกเกอร์โจมตีเว็บไซต์ ก็มีเครื่องมือในการช่วยเหลือและแก้ไขปัญหา นั่นก็คือมี Plugin ที่จะช่วยให้เรารู้ได้ทันที เพราะมอนิเตอร์ความผิดปกติที่เกิดขึ้นกับเว็บไซต์ ด้วย Plugin ที่ชื่อว่า “Sucuri Security” ซึ่งเป็น Plugin ที่ค่อนข้างครบทุกด้านเพราะมีทั้งการป้องกัน และการแก้ไขในตัวเดียวกัน แม้จะโดนแฮกไปแล้วก็สามารถใช้ตัวนี้ตรวจสอบและแก้ไขได้เช่นกัน

ถึงแม้ว่าการป้องกันจะเป็นสิ่งที่ควรทำ แต่ในบางครั้งก็มีข้อผิดพลาดเกิดขึ้นได้ อาจจะเป็นเพราะทีมงานที่ดูแลมีไม่เพียงพอ การใช้คนดูแลตลอด 24 ชั่วโมงเป็นไปได้ยาก ต้องใช้งบประมาณในการดูแลส่วนนี้เพิ่มมากขึ้น แต่สิ่งที่สำคัญก็คือเมื่อเว็บไซต์โดน แฮก หรือเปลี่ยนหน้าเว็บ ทีมที่ดูแลต้องรีบทำการแก้ไขอย่างรวดเร็ว เพื่อลดความเสียหาย ยิ่งปล่อยเวลาให้เนิ่นนานเท่าไหร่ ยิ่งจะทำให้ภาพลักษณ์ขององค์กรได้รับความเสียหายมากขึ้นไปด้วย

CAT cyfence มีบริการ Website Monitoring ที่จะช่วยองค์กรของคุณในการตรวจสอบการเปลี่ยนแปลงหน้าเว็บไซต์ตลอด 24 ชั่วโมง (Web Defacement) และสามารถดูสถานะ Up/Down ของเว็บไซต์ (Web Availability) ทำให้รู้ได้ทันทีเมื่อเกิดเหตุ ซึ่งช่วยลดภาระทีมงานผู้ดูแลระบบไปได้ แน่นอนว่ารู้เร็ว เตือนเร็ว ก็จะสามารถระงับปัญหาได้อย่างรวดเร็วและทันต่อเหตุการณ์