Tags:

เห็นช่วงนี้มีกระแสใน FB เรื่องที่เว็บ ทางรัฐ.com ทำด้วย WordPress
เกรงว่าจะไม่มีความปลอดภัย

จากนั้นทาง DGA ได้ออกมาให้ข้อมูลว่า ตัวเว็บไซต์ทางรัฐ เป็นเพียงเว็บ สำหรับประชาสัมพันธ์ข้อมูลของแอปเท่านั้น
ไม่ได้มีการเก็บข้อมูล หรือใช้ลงทะเบียนใดๆ บนเว็บไซต์นี้

โดยส่วนตัวผมมองว่า เว็บนี้เป็นเพียงเว็บประชาสัมพันธ์ข่าวสารทั่วไป ซึ่งไม่ได้มีระบบเกี่ยวข้องอะไรกับตัวแอปพลิเคชันทางรัฐที่จะใช้ลงทะเบียนรับเงิน 10,000฿ ดังนั้นจึงไม่ได้มีความเสี่ยงกับระบบความปลอดภัยของแอป

ในเรื่องความเสี่ยงของเว็บไซต์เอง ผมก็มองว่ามันไม่ได้มากอะไรขนาดนั้น เพราะตัวเว็บก็เป็นแค่เว็บให้ข้อมูล ไม่มีข้อมูลอะไรสำคัญในนั้น ดังนั้นการที่ใช้ WP ทำมันก็ไม่ใช่เรื่องใหญ่อะไร ด้วยตัวเว็บมันมีอยู่แค่นั้น ถ้าใช้พวกเฟรมเวิร์กทำมันก็ดูเกินความจำเป็นไปบ้าง อีกอย่าง WP มันก็ใช่ว่าจะแฮคง่ายดายอะไรขนาดนั้น ถ้ามีคนคอยดูแลตลอด อัปเดตเรื่อยๆ ก็ถือว่าปลอดภัย

หรือท่านอื่นๆ มีความคิดเห็นอย่างไรกับประเด็นนี้บ้างครับ

คิดว่าแทนที่จะนั่งอ่านคนตีโพยตีพายใน FB มาตั้งกระทู้อ่านเอาสาระจากทุกท่านในนี้ดีกว่า เพราะน่าจะเป็นกลุ่มคนที่มีความเข้าใจกับระบบพวกนี้กันเป็นส่วนใหญ่ครับ

ขอบคุณครับ

Get latest news from Blognone
By: animateex
iPhoneAndroidUbuntuWindows
on 31 July 2024 - 12:13 #1318231
animateex's picture

ถ้าปิดกัน link การ login ได้ก็ไม่มีปัญหาอะไร เว็บมันปลอดภัยระดับนึงอยู่แล้ว
แต่ถ้าไม่ได้คงมีคนลองของกันเยอะกว่าเข้าไปอ่านข้อมูล

By: crucifier
iPhoneAndroidUbuntu
on 31 July 2024 - 16:22 #1318288

WordPress หรือ Joomla! ถ้าขยันอัพแพทช์และทำ hardening ไว้ก็สบายใจได้ ยิ่งคนใช้เยอะยิ่งรั่วก็ยิ่งมีคนเตือนมีคนช่วยอุด ถ้าเขียนเองทั้งหมดมั่นใจได้เหรอว่าไม่รั่ว หรือถ้าไม่รู้ก็เท่ากับไม่รั่ว?

เจ้าของโพสต์นั้นที่ออกมาวิจารณ์ เห็นว่าทำเว็บด้วย WordPress มาเป็นสิบปี

  1. ถ้าใช้ WordPress หากินมานานขนาดนั้นแล้วยังไม่รู้ว่าจะทำให้ปลอดภัยยังไงก็ต้องพิจารณาตัวเองแล้ว
  2. ถ้าคิดว่า WordPress ไม่ปลอดภัย แล้วทำไมยังใช้ทำเว็บให้ลูกค้าอยู่ได้เป็นสิบปี
By: big50000
AndroidSUSEUbuntu
on 31 July 2024 - 16:34 #1318290
big50000's picture

อย่าเอา WordPress ไปรันบน XAMPP ก็พอแล้ว และวิธีการทำให้ WordPress สเกลได้ก็มีออกมาตั้งนานแล้วด้วย

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 31 July 2024 - 16:47 #1318291
Ford AntiTrust's picture

ใช้ WordPress ก็ไม่ได้แย่อะไร ถ้าเอามาทำเว็บสำหรับประชาสัมพันธ์ ในมุมหนึ่งมันก็พัฒนาได้ง่าย รวดเร็ว ส่วนราคามันจะเหมาะสมไหมมันอีกเรื่องหนึ่ง (ไม่ขอยุ่ง)

ส่วนพัฒนาเพื่อใช้งานสำหรับกรอกข้อมูลทั่วไป-ส่วนบุคคล ก็ดูความเหมาะสมว่าใช้อะไรบ้าง และสเกลได้แค่ไหน หรืออาจจะส่งต่อผ่าน API ไปยังระบบที่เหมาะสมกว่าก็ไม่ติด

การทำให้มั่นคงปลอดภัย ก็คือทำ hardening ตามคำแนะนำ รวมไปถึงใช้ plug-in และ theme ที่ยัง active ซึ่งถ้าใช้แบบเสียเงิน ก็ซื้อมาให้ถูกต้อง

ส่วนที่ต้องทำอย่างยิ่งคือ อัพเดทให้ทันตาม patch ที่ออกมา มีคนตรวจสอบดูแลให้มันปลอดภัย

แต่บางครั้ง ฝั่ง CMS แข็งแรงดี ก็มาตายที่ middleware หรือ OS ที่ไม่ patch อีก ของแบบนี้ต้องไปทั้งระบบ มีการควบคุมดูแลอย่างเหมาะสม

ส่วนใช้ Cloudflare ก็เหมาะสมดี จะซื้อใช้เพิ่มระบบ WAF มาช่วยป้องกันก็ไม่ได้แย่อะไร

เว็บที่ใช้ WordPress ณ. ปัจจุบันที่น่าสนใจก็
- whitehouse.gov
- nasa.gov
- harvard.edu

ซึ่งเอาเข้าจริงๆ เปลี่ยนจาก "WordPress" ไปใช้ยี่ห้ออื่น ก็ควรทำเหมือนกันแหละ

ส่วนเรื่องเข้าถึงหน้า login (wp-login.php) แล้วมันยังไงต่อ?

คือเข้าหน้า login ของ WP ได้แล้วคือมีช่องโหว่ ไม่ปลอดภัยไปเลยหรือยังไง?

อีกอย่าง WP มันรองรับระบบ role ด้วย ฉะนั้น การบอกว่าเจอหน้า login แล้วถือว่าไม่ปลอดภัยจึงไม่ใช่ทั้งหมด เพราะหลาย ๆ ระบบ เค้าอาจจะตั้งใจทำให้มันโผล่มาให้เข้าระบบได้จากหลาย role อยู่ก่อนแล้ว

แล้วหน้า login ของหลาย ๆ CMS ใช้ตัวเดียวกันระหว่าง admin role และ user role เสียด้วยซ้ำ (อย่าง Drupal นี่ก็ใช่)

จริงๆ เอา CVE มานำเสนอด้วยก็ได้ว่า WP ในส่วนของหน้า login มันมีช่องโหว่ยังไง หรือไปเจอ zero day มา?

By: suriyan2538 on 31 July 2024 - 18:17 #1318297 Reply to:1318291
suriyan2538's picture

อันนี้จริงครับ Drupal เองนี่ไม่ต้องหน้า Login อะไรเลย เพราะ Admin สามารถเข้าระบบด้วยเมนูของสมาชิกทั่วไปได้เลย ไม่ได้มีแยกหน้า แต่ตัว CMS จะไปแยกสิทธิ์เอาอีกทีว่า User อะไร มีสิทธิ์จัดการระบบระดับไหน

ถ้ามองแค่ว่าการเข้าถึงหน้า Login ได้แล้วไม่ปลอดภัย Drupal นี่ความปลอดภัยคงไม่เหลือแล้ว

By: lancaster
Contributor
on 31 July 2024 - 23:08 #1318316

เห็นกูรูออกมาบอกกันเต็มไปหมดว่า "ต้อง" ซ่อนหน้า login ราวกับว่าถ้าไม่ซ่อนนี่จะต้องโดนแฮ็ค 100% 😂

By: lew
FounderJusci's WriterMEconomicsAndroid
on 31 July 2024 - 23:50 #1318319 Reply to:1318316
lew's picture

บนคู่มือบน Wordpress เองก็ "แนะนำ" ไว้แต่ก็แค่แนะนำ

ในทางปฎิบัติจริงๆ คนอัพเดตเว็บหลายองค์กร มักยอมให้ทำทุกอย่าง "ยกเว้น" ตั้งรหัสให้ดี ("P@ssw0rd" ของพี่ไม่ดีตรงไหน) เลยออกมาท่านี้กัน


lewcpe.com, @wasonliw

By: btoy
ContributorAndroidWindows
on 4 August 2024 - 14:40 #1318659 Reply to:1318319
btoy's picture

555


..: เรื่อยไป

By: rattananen
AndroidWindows
on 1 August 2024 - 15:21 #1318380

บางคนเขียน program มาเป็น 10 ปีก็ยังฝีมือไม่ถึงขั้นที่จะเรียกว่า senior ได้ (ลูกน้องผมคนนึง)

ถ้าบอกว่าไม่ปลอดภัยควรจะมี reference ที่มันชัดเจนกว่านี้
ผมเองก็ไม่ได้ไปแกะ code ของ WordPress ดูเท่าไร ก็บอกอะไรไม่ได้มาก

แต่ opensource ที่พัฒนามาเป็น 10 ปีนี้มันน่าจะเจออะไร แก้อะไรกันมาเยอะ มันควรจะที่เชื่อถือได้
ฉะนั้นได้ไม่ได้ install 3rd party plugin นี้น่าจะไม่มีปัญหาอะไร

จากประสบการณ์ ที่ CMS ส่วนใหญ่มันมีปัญหา เป็นเพราะ 3rd party plugin
กับ admin ไม่ชอบ update security กันมากกว่า

By: dbpod2 on 1 August 2024 - 22:16 #1318396

ใช้มาเกิน 10 ปี รวมทุกโดเมนเกิน 100M Views
ไม่เคยโดนอะไร
ถ้าบริษัทที่รับงานเก่งจริงๆ ไม่มีอะไรต้องกลัวครับ

By: Tasksenger on 3 August 2024 - 13:34 #1318585

เอาเป็นว่าใช้ CMS แล้วมีเจ้าหน้าที่คอย update patch และ OS ไม่ติดตั้ง 3rd party ก็ดีกว่าเขียนขึ้นมาเองครับ จากที่เมื่อ 10 กว่าปีที่แล้ว ผมพัฒนาระบบบริหารจัดการเว็บไซต์แบบรวมศูนย์โดยใช้พื้นฐานของ CMS แบบ Opensource ตั้งแต่มันยังไม่รองรับด้วย core ของมันเอง ให้กับหน่วยงานขนาดใหญ่ของรัฐหลายที่ ที่เจอมีแค่ปัญหาเดียวคือ ไปติดตั้ง 3rd party ที่ฝังโค้ดอันตรายเอาไว้ โดยเฉพาะพวกที่รองรับการ upload ไฟล์ เท่าที่เห็นก็ใช้งานกันในระดับ 5-6 ปี จะเอาระบบของบริษัทขนาดใหญ่จากอเมริกา มาแทนก็ทำไม่ได้ implement ไป 2 รอบก็ไม่รอด (สาเหตุเพราะผู้ใช้งานรู้สึกว่ามันยุ่งยากกว่าระบบเดิมเยอะมาก ทำให้เขาต่อต้าน) เลยต้องใช้ระบบเก่าที่ผมทำมาจาก CMS Opensource ใช้ลากยาวมาตั้งนานกว่าจะหาตัวมาทดแทนได้ ซึ่งมันก็ทำงานได้ปรกติไม่เคยล่มแบบรุนแรงเลยนะครับ (10 ปีก่อนนะครับ ไม่ใช่ปัจจุบัน แต่ผมก็ยังเชื่อมั่นว่าระบบที่เปิด มันมีหลายตาช่วยสอดส่องเรื่องความปลอดภัย ถ้าเป็นปัญหาพื้นฐานเนี่ย มันถูกแก้ไขกันมาหมดแล้ว)

By: mr_tawan
ContributoriPhoneAndroidWindows
on 3 August 2024 - 17:26 #1318601
mr_tawan's picture

ผมว่าถ้าเป็นหน้าเว็บให้ข้อมูลอย่างเดียว ใช้ wordpress เองอาจจะ overkill ไปหน่อยครับ แต่มันก็ง่ายดีอยู่นะ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: Sephanov
iPhoneUbuntu
on 4 August 2024 - 11:53 #1318642
Sephanov's picture

wp มี tool มี plugin ดีๆเยอะอยู่ที่คอยดักคนแฮ็ค ส่วนตัวมันก็ไม่ได้แย่อะไร ถ้ามันนิ่ง เสถียร และใช้สื่อสารได้ สำหรับ static web ง่ายๆก็ตอบโจทย์นะ

By: vulkan on 13 August 2024 - 12:44 #1319357
vulkan's picture

อารมณ์เหมือนประมาณว่า เห้ยนายเป็นถึงระดับ CEO แต่ดันใช้มือถือ Android

อยากจะบอกว่า แล้วยังไง, ก็เพียงพอสำหรับใช้ทำทุกอย่างได้
และไม่มีความจำเป็นที่จะใช้อะไรอื่น