มีปลั๊กอินมากกว่า 56,000 รายการในไดเรกทอรี WordPress ในขณะนี้ แต่หมายความว่าแต่ละปลั๊กอินอาจเป็นภัยคุกคามด้านความปลอดภัยสำหรับเว็บไซต์ WordPress ของคุณหรือไม่ เพื่อไม่ให้คุณตกใจตั้งแต่เริ่มต้น แต่ WordPress เป็นระบบจัดการเนื้อหาที่ถูกแฮ็กมากที่สุด และช่องโหว่ของ WordPress จำนวนมากมาจากปลั๊กอิน อันที่จริง ฐานข้อมูลช่องโหว่ของ WPScan แสดงให้เห็นว่าจากช่องโหว่ WordPress ทั้งหมด ช่องโหว่ที่เกิดจากปลั๊กอินเพิ่มขึ้นถึง 23% (ในขณะที่ธีมใช้พื้นที่เพียง 3%) ความปลอดภัยเป็นหนึ่งในสิ่งสำคัญที่สุดที่คุณควรดูแลเมื่อคุณเริ่มสร้างเว็บไซต์ มีหลายสิ่งที่ต้องกังวล แต่ปลั๊กอิน WordPress เป็นหนึ่งในนั้นหรือไม่
มาเจาะลึกกันเพื่อตรวจสอบว่าปลั๊กอินสามารถทำให้ไซต์ของคุณมีช่องโหว่ได้หรือไม่
อะไรทำให้ไซต์มีช่องโหว่ได้
สิ่งแรกในการทำให้ไซต์ WordPress ของคุณปลอดภัยคือการระบุสิ่งที่ทำให้ไซต์มีความเสี่ยงในตอนแรก เพื่อที่จะรู้ว่าต้องกำจัดความเสี่ยงใด มาดูปัจจัยทั่วไปบางส่วนที่อาจทำให้เกิดช่องโหว่กัน:
- รหัสผ่านที่อ่อนแอ – รหัสผ่านที่พบบ่อยที่สุดในปี 2017 คือ '123456' และ 'password' ดังนั้นการสร้างรหัสผ่านที่รัดกุม (อย่างน้อย 8 อักขระ พร้อมตัวเลขและสัญลักษณ์ หนึ่งรหัสสำหรับแต่ละบัญชี ฯลฯ) ควรเป็นกฎความปลอดภัยหมายเลข 1 .
- การเข้ารหัสไม่ดี – บางครั้งหากขาดทักษะ ประสบการณ์ เวลา การทดสอบ หรือปัจจัยอื่นๆ นักพัฒนาซอฟต์แวร์อาจทำผิดพลาดขณะเขียนโค้ดหรือเพียงแค่ไม่สนใจความปลอดภัยมากเท่ากับฟังก์ชันการทำงาน
- ไม่มีการอัปเดต – การอัปเดตมักจะมีแพตช์ความปลอดภัย แก้ไขข้อผิดพลาด และให้เวอร์ชันปัจจุบันที่ดีที่สุด (ซึ่งอาจเป็นไปได้) แก่คุณ ดังนั้นการติดตั้งที่ล้าสมัยจึงมีแนวโน้มที่จะถูกโจมตีมากขึ้น
- ปลั๊กอินและธีมที่ไม่ปลอดภัย – ปลั๊กอินและธีมเป็นส่วนสำคัญของช่องโหว่ของ WordPress สิ่งเหล่านี้สามารถทำให้เกิดช่องโหว่ได้หลายวิธี – ล้าสมัย; สร้างโดยนักพัฒนาที่ไม่มีประสบการณ์ เข้ากันไม่ได้กับ WordPress เวอร์ชันล่าสุดและอีกมากมาย
จะทราบได้อย่างไรว่าปลั๊กอินปลอดภัยหรือไม่
เนื่องจากปลั๊กอินสามารถเป็นต้นเหตุของช่องโหว่ได้ จึงเป็นสิ่งสำคัญที่จะต้องค้นหาปลั๊กอินที่ไม่ทำหน้าที่เป็นเกตเวย์สำหรับแฮ็กเกอร์รายใหญ่ ตามที่ระบุไว้ก่อนหน้านี้ ไดเรกทอรีปลั๊กอินของ WordPress ปัจจุบันมีปลั๊กอินมากกว่า 50,000 ตัว และสามารถเข้าถึงได้ทุกที่ในเว็บ แล้วจะทราบได้อย่างไรว่าปลั๊กอินใดปลอดภัย ฉันได้สร้างรายการตรวจสอบสิ่งที่คุณควรให้ความสนใจก่อนที่จะใช้ปลั๊กอินใหม่
แหล่งที่เชื่อถือได้
สิ่งสำคัญคือต้องดาวน์โหลดปลั๊กอินจากแหล่งที่เชื่อถือได้เท่านั้น ตัวอย่าง:ไปที่แหล่งข้อมูลยอดนิยมและเชื่อถือได้ เช่น WPMayor เพื่อค้นหาปลั๊กอินที่มีชื่อเสียง
จำนวนการติดตั้งที่ใช้งานอยู่
หากมีผู้คนจำนวนมากติดตั้งปลั๊กอิน แสดงว่าเป็นตัวบ่งชี้ที่ดีของความนิยมและเมื่อใช้ร่วมกับจุดอื่นๆ ในรายการตรวจสอบเพื่อความพึงพอใจโดยรวม ตัวอย่าง:ปลั๊กอิน WordPress SEO ที่ได้รับความนิยมสูงสุด Yoast SEO มีการติดตั้งมากกว่า 5 ล้านครั้งในขณะนี้
การให้คะแนน
คะแนนที่สูงหมายความว่าผู้ที่ติดตั้งปลั๊กอินจะชอบมันจริง ๆ และอาจไม่ได้ทำให้เกิดปัญหาร้ายแรง เพื่อความแน่ใจยิ่งขึ้น คุณสามารถตรวจสอบส่วนความคิดเห็น (ถ้ามี) ได้เสมอเพื่อดูว่าผู้คนชอบและไม่ชอบอะไร ตัวอย่าง:Slider Revolution เป็นหนึ่งในปลั๊กอิน WordPress ที่ขายดีที่สุดโดยมีคะแนนเฉลี่ย 4.79 ซึ่งเป็นตัวเลือกที่ดี
อัปเดตล่าสุด
ตรวจสอบเสมอว่ามีการอัพเดทเป็นประจำหรือไม่ และมีการอัพเดทล่าสุดออกมาเมื่อเร็วๆ นี้ มีหลายวิธีในการตรวจสอบสิ่งนี้ แต่โดยปกติแล้ว จะมีส่วนบนเว็บไซต์ของปลั๊กอินเฉพาะ ซึ่งคุณสามารถดูการเปิดตัวทั้งหมด วันที่ และข้อมูลสำคัญอื่นๆ ตัวอย่าง:Caldera Forms โพสต์บทความหลังการอัปเดตที่อธิบายคุณลักษณะใหม่ การแก้ไข และข้อมูลทั่วไปเกี่ยวกับปลั๊กอินในเวอร์ชันปัจจุบัน
เข้ากันได้กับ WordPress เวอร์ชันล่าสุด
ปลั๊กอินควรเข้ากันได้กับ WordPress เวอร์ชันล่าสุด วิธีหนึ่งในการตรวจสอบที่อยู่ใน wordpress.org หากพบปลั๊กอินที่คุณสนใจ ตัวอย่าง:ปลั๊กอิน WooCommerce เข้ากันได้กับ WordPress เวอร์ชัน 4.7 ขึ้นไป และได้รับการทดสอบเป็นเวอร์ชัน 4.9.8 (ซึ่งเป็นเวอร์ชันปัจจุบัน)
ความพร้อมใช้งานของการสนับสนุน
สิ่งสำคัญคือต้องตรวจสอบว่ามีช่องสนับสนุนสำหรับปลั๊กอินหรือไม่ เนื่องจากเป็นข้อบ่งชี้อย่างมากว่านักพัฒนาปลั๊กอินดูแลสิ่งที่ผู้ใช้คิดและต้องการช่วยเหลือ ตัวอย่าง:BlogVault มีระบบตั๋วที่ค้นหาและใช้งานได้ง่ายในเว็บไซต์ของพวกเขา รวมถึงเอกสารประกอบอย่างกว้างๆ
ความเข้ากันได้
ตรวจสอบให้แน่ใจว่าปลั๊กอินไม่ก่อให้เกิดความขัดแย้งกับปลั๊กอินอื่น คุณสามารถตรวจสอบความคิดเห็นหรือบทวิจารณ์ของผู้ใช้เพื่อดูว่ามีการร้องเรียนหรือไม่ ผู้เขียนปลั๊กอินตั้งชื่อปลั๊กอินที่เข้ากันได้ค่อนข้างบ่อยเช่นกัน ปัญหาความเข้ากันได้ทั้งหมดอาจเป็นอุปสรรคสำคัญต่อการมีไซต์ที่คุณต้องการ ตัวอย่าง:WPML มีทีมความเข้ากันได้ที่รับรองว่า WPML จะเข้ากันได้กับธีมและปลั๊กอิน WordPress ต่างๆ อย่างสมบูรณ์
เอกสารประกอบ
โดยปกติแล้วจะมีคำอธิบายโดยละเอียด (และบทช่วยสอน) เกี่ยวกับคุณลักษณะ บันทึกประจำรุ่น และข้อมูลสำคัญอื่นๆ เกี่ยวกับปลั๊กอินที่อาจเป็นประโยชน์ ตัวอย่าง:Visual Composer มีหนึ่งในเอกสารประกอบและวิดีโอแนะนำสำหรับผู้เริ่มต้นใช้งานและนักพัฒนาที่ได้รับความนิยมมากที่สุด โดยมีการอัปเดตเป็นประจำ
การสแกนความปลอดภัย
หากคุณไม่แน่ใจจริงๆ ให้ลองเรียกใช้ผ่านการสแกนความปลอดภัย ตัวอย่าง:หนึ่งในปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดคือ MalCare ตรวจพบมัลแวร์ ซอฟต์แวร์ที่ล้าสมัย สถานะบัญชีดำ ช่วยคุณทำความสะอาดไซต์และใช้มาตรการเสริมความแข็งแกร่งของไซต์
ปลั๊กอินอะไรที่ควรระวัง
นอกเหนือจากรายการตรวจสอบแล้ว ยังมีปลั๊กอินบางตัวที่ได้รับการระบุว่าไม่ปลอดภัยหรือมีช่องโหว่ ปลั๊กอินอาจล้าสมัยหรือมีเวอร์ชันที่มีช่องโหว่จำนวนมาก ดังนั้นจึงมีบางเว็บไซต์ที่คุณสามารถเยี่ยมชมเพื่อดูข้อมูลล่าสุดเกี่ยวกับความปลอดภัยในสภาพแวดล้อมของ WordPress รวมถึงรายการปลั๊กอินที่ไม่ปลอดภัย ช่องโหว่เฉพาะ และสถานะ (หากมี ได้รับการแก้ไขหรือไม่) เวอร์ชันของปลั๊กอินที่มีช่องโหว่ที่สำคัญและข้อมูลที่สำคัญกว่า
นี่คือรายการของแหล่งข้อมูลที่จะตรวจสอบ:
- exploit-db – The Exploit Database คือ “ที่เก็บถาวรของการหาประโยชน์จากสาธารณะและซอฟต์แวร์ที่มีช่องโหว่ที่เกี่ยวข้อง”
- cvedetails – ฐานข้อมูลช่องโหว่ด้านความปลอดภัย
- ช่องโหว่ของปลั๊กอิน – บริการที่ปกป้องคุณจากช่องโหว่ของปลั๊กอินได้หลายวิธี
จะรักษาความปลอดภัยข้อมูลของคุณได้อย่างไร
คุณคิดว่าไซต์ของคุณปลอดภัยหรือไม่ ก็มีโอกาสเสมอที่ผู้โจมตีจะฉลาดขึ้นหรือพบวิธีใหม่ในการทำลายข้อมูลของคุณ เพื่อป้องกันไม่ให้มีสิ่งสำคัญสองสามอย่างที่คุณควรพิจารณาทำ – อัปเดตเป็นประจำและทำการสำรองข้อมูล พิจารณาสิ่งนี้ มนต์รักษาความปลอดภัยของ WordPress เนื่องจากเป็นอย่างน้อยที่คุณสามารถทำได้เพื่อปกป้องไซต์ของคุณ
อัปเดตเป็นประจำ
ในปี 2017 เว็บไซต์ WordPress ที่ถูกแฮ็ก 39.3% มีเวอร์ชันที่ล้าสมัย ดังนั้นคุณจะเห็นได้ว่าการติดตั้งที่ล้าสมัยอาจทำให้ไซต์ของคุณมีช่องโหว่มากขึ้น ที่จะทำให้คุณรู้สึกดีขึ้น (หรือปลอดภัยขึ้น) ในปี 2016 คือ 61%, แต่นั่นไม่ได้หมายความว่าคุณควรยืดเวลาที่ WordPress ล้าสมัย
WordPress core ไม่ใช่ตัวเดียวที่อาจมีช่องโหว่ ตามที่ระบุไว้ก่อนหน้านี้ การแฮ็กส่วนใหญ่เกิดขึ้นเนื่องจากช่องโหว่ในปลั๊กอินและธีม ดังนั้น หากมีการอัปเดตพร้อมใช้งาน อาจเป็นเพราะพบช่องโหว่ด้านความปลอดภัยและนักพัฒนาได้กำจัดช่องโหว่นี้ในรุ่นถัดไป การไม่อัปเดตอาจทำให้ผู้โจมตีมีโอกาสใช้ประโยชน์จากช่องโหว่และแฮ็กไซต์ของคุณ
สำรองข้อมูล
Unfortunately, most people don’t think of backups unless they’ve experienced a situation when they have lost their data and have no way to retrieve it. There are many reasons you should always back up your site – issues with hosting, update complication, common hack attacks, and, many more.
It is not uncommon that people lose all of their data thanks to any of these reasons and restoring it can be a long and tedious process if it’s even possible. One of the best solutions to always be sure that you don’t lose data and it can easily be restored is regular backups, obviously.
Making regular backups might seem like a time-consuming thing at first, considering that it is advised to make backups frequently (as often as once a day), but there are services that make the process substantially easier and quicker.
So, Are Plugins Safe?
Ultimately, your WordPress site is as secure as you make it. There are many things that can make your WordPress site vulnerable, and yes, plugins are one of them, but it all comes down to the decisions you make while choosing a WordPress security plugin and dealing with the security of your site in general. There are simple steps you can take to really secure your website, so if you choose the plugins that are safe, update all installations and backup regularly, there is nothing to worry about.
Have you ever faced security issues on your WordPress installation that were related to plugins? แจ้งให้เราทราบในความคิดเห็น!
Author of the Post: Irma Edite Girupniece is a video making machine who still believes she’s going to be an astronaut one day.
