ไซต์ WordPress เป็นเป้าหมายของผู้ฉ้อโกงทางอินเทอร์เน็ตมาโดยตลอด เนื่องจากมีฐานผู้ใช้ขนาดใหญ่และฟังก์ชันที่หลากหลาย การใช้ปลั๊กอินที่มีช่องโหว่ การไม่อัปเดตเป็นเวอร์ชันล่าสุดอย่างทันท่วงที ไม่ใช้แพตช์เป็นประจำ และความประมาทในมาตรการรักษาความปลอดภัยเป็นสาเหตุหลักของการโจมตีจำนวนมากบนไซต์ WordPress
การติดตั้ง WordPress ที่ยังไม่เสร็จทำให้ CMS ที่ได้รับความนิยมมากที่สุดในโลก WordPress เสี่ยงต่อการถูกโจมตีด้วย PHP Code Injection ซึ่งมีการโจมตีมากกว่า 7.2 ล้านครั้งในเดือนมิถุนายน 2017 แคมเปญการแทรกโค้ดของ WordPress พุ่งสูงสุดในช่วงเดือนพฤษภาคมและมิถุนายนเมื่อผู้โจมตีกำหนดเป้าหมายการติดตั้ง WordPress ซึ่งเพิ่งติดตั้ง แต่ ไม่ได้กำหนดค่า การโจมตีด้วยโค้ด PHP นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงผู้ดูแลระบบได้ ดังนั้นจึงสามารถควบคุมเว็บไซต์ได้อย่างเต็มที่ในเวลาไม่นาน
ทำไมต้องเป็น WordPress
WordPress โฮสต์เว็บไซต์ที่มีชื่อเสียงที่สุดในโลก เช่น BBC America, TechCrunch, Sony Music เป็นต้น ด้วยเหตุนี้ ความนิยมจึงเชื้อเชิญทั้งด้านดีและด้านร้าย เช่นเดียวกับระบบปฏิบัติการ Windows เป็นเป้าหมายหลักสำหรับมัลแวร์และระบบปฏิบัติการ Android สำหรับมัลแวร์บนมือถือ WordPress (WP) CMS เป็นหนึ่งในแพลตฟอร์มที่เป็นที่ต้องการมากที่สุด โดยถือครองส่วนแบ่งการตลาดประมาณ 59 เปอร์เซ็นต์ จำนวนเว็บไซต์ที่ใช้ WordPress จำนวนมากทำให้พวกเขาตกเป็นเป้าหมายของนักส่งสแปมและอาชญากรไซเบอร์ที่ประนีประนอมเว็บไซต์ WordPress ที่ดูถูกกฎหมายเพื่อเก็บมัลแวร์ของตนเองไว้โดยไม่เสียค่าใช้จ่าย
การแทรกโค้ด:ไซต์ WordPress ถูกโจมตีอย่างไร
ผู้ใช้ WordPress ส่วนใหญ่ติดตั้งแพลตฟอร์มโดยคลายซิปไฟล์เก็บถาวรลงในไดเร็กทอรีในบัญชีโฮสติ้งหรือโดยใช้โปรแกรมติดตั้งเพียงคลิกเดียวจากผู้ให้บริการโฮสติ้ง แต่การดำเนินการนี้จะไม่สมบูรณ์จนกว่าผู้ใช้จะสร้างไฟล์การกำหนดค่า นี่กลายเป็นเหตุผลหลักสำหรับเจ้าของไซต์ WordPress ที่ไม่สามารถทำการติดตั้งให้เสร็จสิ้นได้เสี่ยงต่อการถูกโจมตี
ในการเริ่มต้นการโจมตี ผู้โจมตีจะสแกนหา URL การติดตั้งและระบุอินสแตนซ์ของ WordPress ที่ส่วนการกำหนดค่าของการติดตั้งไม่สมบูรณ์ ซึ่งทำให้ไซต์เปิดให้จัดการภายนอกได้ ทำให้บุคคลภายนอกสามารถเข้าถึงและติดตั้งให้เสร็จสมบูรณ์ในนามของผู้ใช้ได้
ในการเข้ายึดไซต์ WordPress ของคุณ ผู้โจมตีจะรับไซต์ที่ไม่ได้กำหนดค่าจากที่ที่คุณไป เปิดธีมและใส่โค้ด PHP หรือสร้างและอัปโหลดปลั๊กอินที่กำหนดเอง เมื่อผู้โจมตีได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ เขา/เธอสามารถใช้การเรียกใช้โค้ด PHP และเปิดชุดกิจกรรมที่เป็นอันตรายได้อย่างง่ายดาย ในฐานะผู้ดูแลระบบ ผู้โจมตีสามารถเข้าถึงไฟล์ เว็บไซต์ และแม้แต่ฐานข้อมูลทั้งหมดบนเซิร์ฟเวอร์ที่โฮสต์ได้
ตรวจสอบบล็อกของเราเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเพื่อรักษาความปลอดภัย WordPress ของคุณ
วิธีที่ชัดเจนในการบรรเทาข้อบกพร่องนี้คือการทำให้แน่ใจว่าการกำหนดค่า WordPress ของคุณระหว่างการติดตั้งเสร็จสมบูรณ์ ยิ่งไปกว่านั้น ผู้ดูแลระบบเว็บไซต์จำเป็นต้องสแกนไซต์ของตนเพื่อหาการติดตั้งที่ยังไม่เสร็จมากกว่าที่เคย การตรวจสอบและการตรวจสอบอย่างสม่ำเสมอยังสามารถป้องกันไซต์ของคุณจากการโจมตีดังกล่าวได้ในอนาคต