เห็นช่วงนี้มีกระแสใน FB เรื่องที่เว็บ ทางรัฐ.com ทำด้วย WordPress
เกรงว่าจะไม่มีความปลอดภัย
จากนั้นทาง DGA ได้ออกมาให้ข้อมูลว่า ตัวเว็บไซต์ทางรัฐ เป็นเพียงเว็บ สำหรับประชาสัมพันธ์ข้อมูลของแอปเท่านั้น
ไม่ได้มีการเก็บข้อมูล หรือใช้ลงทะเบียนใดๆ บนเว็บไซต์นี้
โดยส่วนตัวผมมองว่า เว็บนี้เป็นเพียงเว็บประชาสัมพันธ์ข่าวสารทั่วไป ซึ่งไม่ได้มีระบบเกี่ยวข้องอะไรกับตัวแอปพลิเคชันทางรัฐที่จะใช้ลงทะเบียนรับเงิน 10,000฿ ดังนั้นจึงไม่ได้มีความเสี่ยงกับระบบความปลอดภัยของแอป
ในเรื่องความเสี่ยงของเว็บไซต์เอง ผมก็มองว่ามันไม่ได้มากอะไรขนาดนั้น เพราะตัวเว็บก็เป็นแค่เว็บให้ข้อมูล ไม่มีข้อมูลอะไรสำคัญในนั้น ดังนั้นการที่ใช้ WP ทำมันก็ไม่ใช่เรื่องใหญ่อะไร ด้วยตัวเว็บมันมีอยู่แค่นั้น ถ้าใช้พวกเฟรมเวิร์กทำมันก็ดูเกินความจำเป็นไปบ้าง อีกอย่าง WP มันก็ใช่ว่าจะแฮคง่ายดายอะไรขนาดนั้น ถ้ามีคนคอยดูแลตลอด อัปเดตเรื่อยๆ ก็ถือว่าปลอดภัย
หรือท่านอื่นๆ มีความคิดเห็นอย่างไรกับประเด็นนี้บ้างครับ
คิดว่าแทนที่จะนั่งอ่านคนตีโพยตีพายใน FB มาตั้งกระทู้อ่านเอาสาระจากทุกท่านในนี้ดีกว่า เพราะน่าจะเป็นกลุ่มคนที่มีความเข้าใจกับระบบพวกนี้กันเป็นส่วนใหญ่ครับ
ขอบคุณครับ
ถ้าปิดกัน link การ login ได้ก็ไม่มีปัญหาอะไร เว็บมันปลอดภัยระดับนึงอยู่แล้ว
แต่ถ้าไม่ได้คงมีคนลองของกันเยอะกว่าเข้าไปอ่านข้อมูล
WordPress หรือ Joomla! ถ้าขยันอัพแพทช์และทำ hardening ไว้ก็สบายใจได้ ยิ่งคนใช้เยอะยิ่งรั่วก็ยิ่งมีคนเตือนมีคนช่วยอุด ถ้าเขียนเองทั้งหมดมั่นใจได้เหรอว่าไม่รั่ว หรือถ้าไม่รู้ก็เท่ากับไม่รั่ว?
เจ้าของโพสต์นั้นที่ออกมาวิจารณ์ เห็นว่าทำเว็บด้วย WordPress มาเป็นสิบปี
อย่าเอา WordPress ไปรันบน XAMPP ก็พอแล้ว และวิธีการทำให้ WordPress สเกลได้ก็มีออกมาตั้งนานแล้วด้วย
ใช้ WordPress ก็ไม่ได้แย่อะไร ถ้าเอามาทำเว็บสำหรับประชาสัมพันธ์ ในมุมหนึ่งมันก็พัฒนาได้ง่าย รวดเร็ว ส่วนราคามันจะเหมาะสมไหมมันอีกเรื่องหนึ่ง (ไม่ขอยุ่ง)
ส่วนพัฒนาเพื่อใช้งานสำหรับกรอกข้อมูลทั่วไป-ส่วนบุคคล ก็ดูความเหมาะสมว่าใช้อะไรบ้าง และสเกลได้แค่ไหน หรืออาจจะส่งต่อผ่าน API ไปยังระบบที่เหมาะสมกว่าก็ไม่ติด
การทำให้มั่นคงปลอดภัย ก็คือทำ hardening ตามคำแนะนำ รวมไปถึงใช้ plug-in และ theme ที่ยัง active ซึ่งถ้าใช้แบบเสียเงิน ก็ซื้อมาให้ถูกต้อง
ส่วนที่ต้องทำอย่างยิ่งคือ อัพเดทให้ทันตาม patch ที่ออกมา มีคนตรวจสอบดูแลให้มันปลอดภัย
แต่บางครั้ง ฝั่ง CMS แข็งแรงดี ก็มาตายที่ middleware หรือ OS ที่ไม่ patch อีก ของแบบนี้ต้องไปทั้งระบบ มีการควบคุมดูแลอย่างเหมาะสม
ส่วนใช้ Cloudflare ก็เหมาะสมดี จะซื้อใช้เพิ่มระบบ WAF มาช่วยป้องกันก็ไม่ได้แย่อะไร
เว็บที่ใช้ WordPress ณ. ปัจจุบันที่น่าสนใจก็
- whitehouse.gov
- nasa.gov
- harvard.edu
ซึ่งเอาเข้าจริงๆ เปลี่ยนจาก "WordPress" ไปใช้ยี่ห้ออื่น ก็ควรทำเหมือนกันแหละ
ส่วนเรื่องเข้าถึงหน้า login (wp-login.php) แล้วมันยังไงต่อ?
คือเข้าหน้า login ของ WP ได้แล้วคือมีช่องโหว่ ไม่ปลอดภัยไปเลยหรือยังไง?
อีกอย่าง WP มันรองรับระบบ role ด้วย ฉะนั้น การบอกว่าเจอหน้า login แล้วถือว่าไม่ปลอดภัยจึงไม่ใช่ทั้งหมด เพราะหลาย ๆ ระบบ เค้าอาจจะตั้งใจทำให้มันโผล่มาให้เข้าระบบได้จากหลาย role อยู่ก่อนแล้ว
แล้วหน้า login ของหลาย ๆ CMS ใช้ตัวเดียวกันระหว่าง admin role และ user role เสียด้วยซ้ำ (อย่าง Drupal นี่ก็ใช่)
จริงๆ เอา CVE มานำเสนอด้วยก็ได้ว่า WP ในส่วนของหน้า login มันมีช่องโหว่ยังไง หรือไปเจอ zero day มา?
อันนี้จริงครับ Drupal เองนี่ไม่ต้องหน้า Login อะไรเลย เพราะ Admin สามารถเข้าระบบด้วยเมนูของสมาชิกทั่วไปได้เลย ไม่ได้มีแยกหน้า แต่ตัว CMS จะไปแยกสิทธิ์เอาอีกทีว่า User อะไร มีสิทธิ์จัดการระบบระดับไหน
ถ้ามองแค่ว่าการเข้าถึงหน้า Login ได้แล้วไม่ปลอดภัย Drupal นี่ความปลอดภัยคงไม่เหลือแล้ว
เห็นกูรูออกมาบอกกันเต็มไปหมดว่า "ต้อง" ซ่อนหน้า login ราวกับว่าถ้าไม่ซ่อนนี่จะต้องโดนแฮ็ค 100% 😂
บนคู่มือบน Wordpress เองก็ "แนะนำ" ไว้แต่ก็แค่แนะนำ
ในทางปฎิบัติจริงๆ คนอัพเดตเว็บหลายองค์กร มักยอมให้ทำทุกอย่าง "ยกเว้น" ตั้งรหัสให้ดี ("P@ssw0rd" ของพี่ไม่ดีตรงไหน) เลยออกมาท่านี้กัน
lewcpe.com, @wasonliw
555
..: เรื่อยไป
บางคนเขียน program มาเป็น 10 ปีก็ยังฝีมือไม่ถึงขั้นที่จะเรียกว่า senior ได้ (ลูกน้องผมคนนึง)
ถ้าบอกว่าไม่ปลอดภัยควรจะมี reference ที่มันชัดเจนกว่านี้
ผมเองก็ไม่ได้ไปแกะ code ของ WordPress ดูเท่าไร ก็บอกอะไรไม่ได้มาก
แต่ opensource ที่พัฒนามาเป็น 10 ปีนี้มันน่าจะเจออะไร แก้อะไรกันมาเยอะ มันควรจะที่เชื่อถือได้
ฉะนั้นได้ไม่ได้ install 3rd party plugin นี้น่าจะไม่มีปัญหาอะไร
จากประสบการณ์ ที่ CMS ส่วนใหญ่มันมีปัญหา เป็นเพราะ 3rd party plugin
กับ admin ไม่ชอบ update security กันมากกว่า
ใช้มาเกิน 10 ปี รวมทุกโดเมนเกิน 100M Views
ไม่เคยโดนอะไร
ถ้าบริษัทที่รับงานเก่งจริงๆ ไม่มีอะไรต้องกลัวครับ
เอาเป็นว่าใช้ CMS แล้วมีเจ้าหน้าที่คอย update patch และ OS ไม่ติดตั้ง 3rd party ก็ดีกว่าเขียนขึ้นมาเองครับ จากที่เมื่อ 10 กว่าปีที่แล้ว ผมพัฒนาระบบบริหารจัดการเว็บไซต์แบบรวมศูนย์โดยใช้พื้นฐานของ CMS แบบ Opensource ตั้งแต่มันยังไม่รองรับด้วย core ของมันเอง ให้กับหน่วยงานขนาดใหญ่ของรัฐหลายที่ ที่เจอมีแค่ปัญหาเดียวคือ ไปติดตั้ง 3rd party ที่ฝังโค้ดอันตรายเอาไว้ โดยเฉพาะพวกที่รองรับการ upload ไฟล์ เท่าที่เห็นก็ใช้งานกันในระดับ 5-6 ปี จะเอาระบบของบริษัทขนาดใหญ่จากอเมริกา มาแทนก็ทำไม่ได้ implement ไป 2 รอบก็ไม่รอด (สาเหตุเพราะผู้ใช้งานรู้สึกว่ามันยุ่งยากกว่าระบบเดิมเยอะมาก ทำให้เขาต่อต้าน) เลยต้องใช้ระบบเก่าที่ผมทำมาจาก CMS Opensource ใช้ลากยาวมาตั้งนานกว่าจะหาตัวมาทดแทนได้ ซึ่งมันก็ทำงานได้ปรกติไม่เคยล่มแบบรุนแรงเลยนะครับ (10 ปีก่อนนะครับ ไม่ใช่ปัจจุบัน แต่ผมก็ยังเชื่อมั่นว่าระบบที่เปิด มันมีหลายตาช่วยสอดส่องเรื่องความปลอดภัย ถ้าเป็นปัญหาพื้นฐานเนี่ย มันถูกแก้ไขกันมาหมดแล้ว)
ผมว่าถ้าเป็นหน้าเว็บให้ข้อมูลอย่างเดียว ใช้ wordpress เองอาจจะ overkill ไปหน่อยครับ แต่มันก็ง่ายดีอยู่นะ
wp มี tool มี plugin ดีๆเยอะอยู่ที่คอยดักคนแฮ็ค ส่วนตัวมันก็ไม่ได้แย่อะไร ถ้ามันนิ่ง เสถียร และใช้สื่อสารได้ สำหรับ static web ง่ายๆก็ตอบโจทย์นะ
อารมณ์เหมือนประมาณว่า เห้ยนายเป็นถึงระดับ CEO แต่ดันใช้มือถือ Android
อยากจะบอกว่า แล้วยังไง, ก็เพียงพอสำหรับใช้ทำทุกอย่างได้
และไม่มีความจำเป็นที่จะใช้อะไรอื่น