เว็บไซต์ครึ่งโลกนั้นเป็น WordPress ดังนั้นไม่แปลกใจที่ WordPress จะกลายเป็นเป้าหมายในการโจมตีของบรรดาผู้ไม่หวังดีต่าง ๆ ซึ่งบางทีเราก็อาจจะเจอในรูปแบบของการโจมตีมาที่ตัวโค้ด PHP คือ Source Code ของ WordPress หรือการแอบแทรกเข้ามาใน Host และแก้ไขไฟล์ต่าง ๆ แต่อย่างไรก็ตาม การโจมตีแบบนั้นไม่ได้ง่ายนัก ทำให้เราสบายใจได้พอสมควรว่าเว็บไซต์ WordPress ของเรา ถ้าอัพเดทเป็นเวอร์ชั่นล่าสุดอยู่เสมอ และเลือกใช้ Host ที่เชื่อถือได้ ก็จะทำให้เราปลอดภัยในระดับหนึ่ง
แต่อย่าลืมว่า WordPress นั้นเป็น Open Source รวมถึงการปรับแต่งโค้ดต่าง ๆ ยังสามารถทำได้อย่างอิสระผ่านสิ่งที่เรียกว่า Plug-in ซึ่ง ณ ตอนนี้มี Plug-in จำนวนนับไม่ถ้วน ทั้งอยู่ในตัวระบบของ WordPress เอง และอีกหลาย ๆ ตัวที่ปล่อยให้เราโหลดไปใช้ได้ทั้งฟรีและเสียเงิน ซึ่ง Plug-in นี้ ก็เหมือนกับการปล่อยให้ “คนแปลกหน้า” เข้ามาในบ้านของเรา
Plug-in WordPress เข้าถึงเราได้มากแค่ไหน
ถ้าใครที่ใช้ Plug-in ของ WordPress ต่าง ๆ ก็อาจจะรู้ว่า มันมี Plug-in ต่าง ๆ มากมายนับไม่ถ้วนจริง ๆ และก็สามารถปรับแต่งเว็บของเราให้เป็นไปตามที่ต้องการได้ ตั้งแต่ทำร้านขายของ, ทำการแจ้งเตือน และระบบต่าง ๆ แต่ความสามารถในการเข้าถึงนั้นก็เป็นภัยมืดที่เราต้องระวัง
เปรียบเว็บของเราเป็นบ้านหลังนึง มีสมาชิกในบ้านที่เราไว้ใจและต้องมีกุญแจในการเข้าบ้าน การลง Plug-in แบบไม่เลือกหน้านั้นไม่ต่างอะไรกับการให้คนแปลกหน้าเข้ามาในบ้าน แม้ว่าเขาจะเข้ามาทำให้บ้านของเราสวยขึ้น หรือมาติดแอร์ให้ แต่เราก็ไม่อาจรู้ได้ว่า นอกจากคุณที่เขาให้แล้ว เขายังแอบเอาอะไรไม่ดีมาหรือเปล่า
เล่าประสบการณ์โดน Redirect เว็บ
ประสบการณ์นี้เกิดกับตัวผู้เขียนเอง เมื่อก่อนที่กำลังจะมี Event ใหญ่ที่ต้องลงข่าวในเว็บไซต์ ปรากฎมีผู้อ่านแจ้งมาว่าเข้าเว็บแล้วโดน Redirect เข้าไปเว็บโฆษณาขายของ โดยไม่เหลือเวลาให้กดอย่างอื่นในหน้าเว็บเลย พอกดเข้าไปดูเองก็พบว่าจริง ตอนนั้นผู้เขียนไม่รู้เลยว่าต้องทำอะไร เพราะกำลังจะต้องลงบทความใหญ่ในอีก 1 ชั่วโมงหลังจากนั้น ทำให้มีเวลาแก้เพียงแค่ 1 ชั่วโมงเท่านั้น หลังจากนั้นก็เริ่มมีคนทักเข้ามาด่าในเพจพอสมควรว่าทำไม Redirect ไปเว็บโฆษณา
ตอนนั้นสิ่งที่ห่วงเลยก็คือ ความปลอดภัยของผู้ใช้งาน และภาพลักษณ์ของเว็บ เพราะการที่เว็บของเราซึ่งเป็นเว็บสาระกลายมาเป็นเครื่องมือขายของโฆษณาเว็บโป๊ ไม่ใช่เรื่องดีแน่ ๆ การตัดสินใจตอนนั้นจึงเข้าไปใน Cloudflare (บทความหน้าจะมาสอนใช้ Cloudflare) ซึ่งเป็นระบบใช้จัดการ CDN และ NS Server ฟรี แล้วสั่ง ตัดทุกการเชื่อมต่อจาก Domain ไปที่ Server ปลายทาง
หลังจากนั้นก็ค่อยมาตรวจหาว่า เกิดขึ้นได้อย่างไร ด้วยการดูจาก Source Code ที่ Cache ไว้ในระบบว่าโค้ดนั้นมาจากไหน ซึ่งวิธีการคิดก็คือ เราไม่ได้ถูก Redirect ด้วย domain เพราะ เว็บถูก Redirect เมื่อโหลด Source Code ทั้งหมดจบแล้ว แต่ก็เร็วเกินกว่าจะเป็นเพราะ JavaScript เพราะปกติ PHP จะต้องถูก Render โดย Server และส่งมาก่อน Render JavaScript
แต่ก็โชคดีที่คุณ MrNonz สังเกตความผิดปกติของ Plug-in ที่ชื่อว่า yuzo-related-post ซึ่งเอาไว้แสดงผล related-post ที่เราสามารถปรับแต่งได้ ผู้เขียนจึงทักไปยังผู้ให้บริการ Server คือคุณ TannySoft ให้ช่วย FTP เข้าไปและลบ Plug-in yuzo-related-post ทิ้งซะ จากนั้นก็ปล่อยการเชื่อมต่อให้เป็นปกติ ทำให้เว็บของเรากลับมาปลอดภัยอีกครั้ง
เลือก Plug-in อย่างไรให้ปลอดภัย
สุดท้ายแล้ว จะโทษใครไม่ได้ โทษได้แต่ตัวเราเองที่เลือกใช้ Plug-in ที่ไม่ปลอดภัย ทำให้ผู้เขียนอยากจะออกมาเตือนว่า Plug-in นั้นเปรียบเสมือนเอาคนที่ไม่รู้จักเข้าบ้าน เผลอ ๆ โดนเอาไปขุด Bitcoin หรือทำสิ่งผิดกฎหมาย จะซวยไปกว่านี้
- เลือกใช้ Plug-in ที่มีคนใช้หลักล้านหรือมาจากหน่วยงานที่เชื่อถือได้
- ไม่ใช้ Plug-in ปล่อยให้โหลดตามเว็บต่าง ๆ ไม่ว่าจะเป็น GitHub เอง (ยกเว้นน่าเชื่อถือ) หรือเว็บเถื่อน
- ถ้ามีความรู้ด้านการเขียนโค้ด เขียน Plug-in ใช้เองจะปลอดภัยที่สุด
- ถ้ามีเวลาควรตรวจสอบ Source Code ของ Plug-in ว่ามี Function แปลก ๆ ที่ไม่ได้ระบุเอาไว้หรือเปล่า โดยดูได้จากเมนู Plug-in > Plug-in Editor
สรุปแล้ว ก็อยากจะมาเตือนภัยผู้ใช้ WordPress ทุกคนว่า ของฟรีนั้นแลกมากับความเสี่ยง และ Plug-in ต่าง ๆ ก็สามารถเข้าถึงแทบจะทุกอย่างในเว็บเราได้ ถ้าไม่อยากมาแก้ปัญหาทีหลังก็ต้องเลือกใช้แต่ Plug-in ที่ปลอดภัย และเชื่อถือได้ ไม่เช่นนั้น ผลเสียอาจจะไม่ใช่แค่เกิดกับเรา แต่อาจจะเกิดกับเพื่อนร่วม Host ทำให้เจ้าของ Host อยากเตะเราออกไป หรือที่แย่ที่สุดก็คือ สร้างความลำบากใจ วุ่นวาย หรือเป็นอันตรายกับคนอ่านที่รักของเว็บเรา
เรียบเรียงโดย ทีมงาน RAiNMAKER