Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,027

HOME > PHP > PHP Forum > สอบถามเกี่ยวกับ WordPress ถ้าโดน Hack อยากขอความรู้เพิ่มเติมนิดนึงครับครับ เพราะไม่เคยใช้ CMS มาก่อน

สอบถามเกี่ยวกับ WordPress ถ้าโดน Hack อยากขอความรู้เพิ่มเติมนิดนึงครับครับ เพราะไม่เคยใช้ CMS มาก่อน

เริ่มหัวข้อใหม่

Genesis™

โพสกระทู้ ( 4,169 )
บทความ ( 7 )

WordPress กรณีส่วน BackEnd โดนยิง spam สร้าง articles พร้อมทั้งมีการลงชื่อ signature ว่า admin นี้เป็นคน Create/Store ขึ้นมา แต่ user admin นั้นไม่เคยเข้ามาใช้งานเลย

ถ้าอ้างอิงจาก Owasp.com Hacking ส่วนตัวคิดว่าอาจจะเป็น
- SQL Injection
- Broken Access Control Lists (Role&Permission)
- Cross Site Request Forgery

หรืออาจจะเป็นการ Hack ในรูปแบบอื่น ไม่ทราบว่าเหตุการนี้จะกันหรือแก้ไขอย่างไรได้บ้างครับ

Tag : PHP, MySQL

ประวัติการแก้ไข
2019-12-17 22:00:17

Date : 2019-12-17 21:56:26

By : Genesis™

View : 503

Reply : 3

No. 1

mr.v

โพสกระทู้ ( 4,719 )
บทความ ( 8 )

ปกติตัว WordPress โดยตัวมันเองเพียวๆ ค่อนข้างปลอดภัยไว้ใจได้ เพราะจากที่เคยสำรวจดูเขาจะมีการให้ความสำคัญ security patch มากแบบปล่อยอัพเดทเร็วๆเลยถ้าเจอรั่ว.

ไอ้ที่จะทำให้เน่ามักจะมาจาก plugins, themes ทั้งหลายแหล่

และจากที่ผมเคยสำรวจตอนสร้างเว็บของผมใหม่ๆโดยใช้ WP พวก plugin ส่วนมากบน wordpress.org จะห่วย และไม่ค่อยกวาดขยะออกเมื่อมีการ uninstall/delete plugin. ด้วยเหตุนี้ผมจึงเขียน plugin ขึ้นมาใช้เองซะมาก มีทั้งแจกฟรีและเก็บไว้ใช้เองแบบมี server auto update ของตัวเอง.

ถ้าให้เดาก็มาจาก 2 เหตุนี้
ต้องไล่ดูว่า plugins, themes อะไรที่น่าสงสัยบ้าง
หาหรือเขียน plugin ที่ปิดการใช้งาน REST API ไปเลยถ้าไม่ได้ใช้

ในส่วนของการ login ผมเขียน plugin ใช้เองโดยให้เชื่อมโยงกับ account ของ Google, Facebook ได้ (OAuth) และผมก็กำหนดไว้บนเว็บผมว่าให้เข้าเฉพาะทาง OAuth เท่านั้น เพราะถ้า Google ผมโดนทะลวงได้แปลว่า 2 step verification ของ GG เน่ากินแล้ว.

https://wordpress.org/plugins/okv-oauth/

Date : 2019-12-17 22:26:40

By : mr.v

No. 2

Genesis™

โพสกระทู้ ( 4,169 )
บทความ ( 7 )

ตอบความคิดเห็นที่ : 1 เขียนโดย : mr.v เมื่อวันที่ 2019-12-17 22:26:40

รายละเอียดของการตอบ ::

ขอบคุณมากๆครับ สำหรับข้อมูล
แต่ถ้าสมมุติ pugin พวกบทความต่างๆพวกนี้ที่ import เข้ามามัน include Token() กัน CSRF ยิงผ่าน URI ให้มั้ยครับหรือเราต้องติดตั้งเพิ่มอีก

ประวัติการแก้ไข
2019-12-17 22:43:58

Date : 2019-12-17 22:31:34

By : Genesis™

No. 3

mr.v

โพสกระทู้ ( 4,719 )
บทความ ( 8 )

ปกติเครื่องมือของ wp มันจะกันให้อยู่แล้ว แต่ว่า plugin อันไหนลงเพื่อใช้งานแค่บางจุดประสงค์ ใช้แล้วก็ disable ไปเลยครับ กันไว้ก่อน

Date : 2019-12-18 00:24:33

By : mr.v

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : สอบถามเกี่ยวกับ WordPress ถ้าโดน Hack อยากขอความรู้เพิ่มเติมนิดนึงครับครับ เพราะไม่เคยใช้ CMS มาก่อน

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)

Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ