Joomla! ออกอัพเดตเวอร์ชั่น 3.6.5 แก้ไขช่องโหว่ความปลอดภัยหลังจากออกเวอร์ชั่น 3.6.4 ไปเมื่อสองเดือนก่อน รอบนี้ช่องโหว่ระดับสูงทำให้สมาชิกในระบบสามารถแก้ไขสิทธิ์ของตัวเองเพื่อยึดเว็บได้

ช่องโหว่นี้กระทบ Joomla! ตั้งแต่เวอร์ชั่น 1.6.0 เป็นต้นมา เว็บจำนวนมากน่าจะได้รับผลกระทบอยู่ เว็บที่เปิดให้คนทั่วไปเป็นสมาชิกได้ควรเร่งอัพเดตโดยเร็ว

นอกจากช่องโหว่ระดับสูงนี้แล้ว การอัพเดตครั้งนี้ยังแก้ช่องโหว่ระดับต่ำอีกสองช่อง ที่เปิดทางให้มีผู้ใช้อัพโหลดไฟล์ PHP ได้ และเปิดทางให้ผู้ใช้ที่ไม่มีสิทธิ์เข้าดูเนื้อหาบางหน้าสามารถเข้าดูได้

Joomla! ออกแพตช์ล่าสุดเมื่อสามทุ่มที่ผ่านมาแก้ไขช่องโหว่ระดับวิกฤติ ทำให้แฮกเกอร์สามารถเข้าควบบคุมเว็บไซต์ได้แม้เว็บไม่ได้เปิดรับสมัครสมาชิกเลยก็ตามที ตอนนี้ทุกคนควรอัพเดตเป็นรุ่น 3.6.4

แพตช์ครั้งนี้ประกอบด้วยช่องโหว่ CVE-2016-8870 ที่ทำให้แฮกเกอร์สามารถสร้างผู้ใช้ใหม่ในเว็บได้แม้จะปิดการลงทะเบียนผู้ใช้ก็ตามที และ CVE-2016-8869 ทำให้แฮกเกอร์สามารถลงทะเบียนผู้ใช้ด้วยสิทธิ์ระดับสูงได้

ช่องโหว่เปิดให้แฮกเกอร์ส่งโค้ดเข้าไปรันในเซิร์ฟเวอร์ของ Joomla! รอบล่าสุดร้ายแรงเป็นพิเศษเพราะแฮกเกอร์โจมตีก่อนจะมีแพตช์หลายวัน ตอนนี้ช่องโหว่เปิดเผยต่อสาธารณะมาหลายวันแล้วทาง Symantec ก็ออกมารายงานว่าปริมาณการโจมตียังคงสูง

ปริมาณการโจมตีที่ Symantec ตรวจพบแต่ละวันเฉลี่ยสูงกว่า 16,000 ครั้ง

รายงานนี้ตรงกับ รายงานแรกของ Securi ที่เตือนตั้งแต่ครั้งแรกว่าเซิร์ฟเวอร์ล่อทั้งหมดถูกโจมตี แสดงว่าการโจมตีเป็นวงกว้างไปแล้ว

ที่มา - Symantec

Joomla! รายงานช่องโหว่ remote code execution จากการตรวจสอบข้อมูล session ก่อนเซฟลงฐานข้อมูลไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันได้ และปัญหาใหญ่คือช่องโหว่นี้ถูกโจมตีเป็นวงกว้างแล้วตั้งแต่วันเสาร์ที่ผ่านมา

Securi รายงานพบการโจมตีครั้งแรกเมื่อวันที่ 12 ธันวาคมที่ผ่านมา และจนตอนนี้เกือบทุกเว็บไซต์และเว็บล่อที่บริษัทวางไว้กำลังถูกโจมตีช่องโหว่นี้ทั้งหมด ทำให้อนุมานได้ว่าตอนนี้แฮกเกอร์กำลังโจมตีเป็นวงกว้าง ถ้าใครยังใช้รุ่นที่มีช่องโหว่อยู่ก็อาจจะตกเป็นเหยื่อในไม่ช้า

ทางแก้ตอนนี้คือทุกคนควรอัพเดตไปใช้ Joomla! 3.4.6 ทันที

ทีมงานจูมล่า ประกาศปล่อย Joomla! 2.5.28 โดยครั้งนี้เป็นเวอร์ชันปรับปรุงของซีรีส์ Joomla! 2.5 และเป็นรุ่นที่กำหนดไว้ให้เป็นรุ่นสุดท้ายของซีรีส์ โดยการสนับสนุนสำหรับ Joomla! 2.5 จะสิ้นสุดในวันที่ 31 ธันวาคม 2014 นี้

สิ้นสุดการสนับสนุนหมายความว่ายังไง?
สิ้นสุดการสนับสนุนนั้นหมายถึง เมื่อมีข้อผิดพลาดในตัว Joomla! 2.5 ทีมงานจะไม่ทำการแก้ไข ปรับปรุง ข้อผิดพลาด หรือแก้ไขปรับปรุงด้านความปลอดภัยที่เจอหลังจากวันที่ 31 ธันวาคม 2014 อีกต่อไป แต่ยังสามารถใช้ Joomla! 2.5 ต่อไปได้ ทั้งนี้แนะนำให้ ไมเกรทไปเป็น Joomla 3 รุ่นล่าสุด ในซีรีส์ 3.x จะดีกว่า

ผู้ให้บริการโฮสติ้งขนาดใหญ่ของโลกหลายราย ให้ข้อมูลว่าพบความพยายามเจาะระบบ CMS ที่เป็น WordPress และ Joomla! (ส่วนใหญ่เป็น WordPress) ครั้งใหญ่

รูปแบบการโจมตีครั้งนี้ไม่ซับซ้อน โดยเป็นการคาดเดารหัสผ่านแอดมินของ WordPress/Joomla! ด้วยรหัสผ่านที่พบบ่อย (dictionary attack) เช่น 123456, password, 1234, qwerty เพื่อหวังฟลุคจะเข้าบัญชีแอดมินของเว็บไซต์ต่างๆ ได้นั่นเอง

พฤติกรรมของการโจมตีใช้เวลาสั้นๆ ต่อหนึ่งเว็บไซต์แต่หว่านเป็นวงกว้างแทน ส่วนจำนวนเครื่อง botnet ที่ใช้เป็นฐานโจมตีมีราวๆ 100,000 เครื่อง

เจ้าของเว็บที่ใช้ CMS เหล่านี้สามารถป้องกันตัวโดยการเปลี่ยนชื่อผู้ดูแลระบบจาก admin เป็นชื่ออื่นๆ ที่คาดเดาได้ยาก และตั้งรหัสผ่านที่แข็งแรง ไม่ใช่คำพื้นฐานที่พบบ่อยครับ

เว็บไซต์อย่างเป็นทางการของรัฐบาลไทยหรือ thaigov.go.th ซึ่งมีชื่อเสีย(ง)มานานในเรื่องหน้าตาที่ล้าสมัย การตอบสนองที่ล่าช้า และการหาข้อมูลที่ยากลำบาก ถูกเปลี่ยนใหม่หมดทั้งเว็บแล้ว

เว็บไซต์โฉมใหม่ถูกปรับแต่งให้ทันสมัยขึ้น มีข้อมูลอัพเดตทั้งภาษาไทยและภาษาอังกฤษ และใช้งานง่ายขึ้นมาก ผมลองดูแล้วข้างในทำด้วย Joomla! 1.5 แต่ยังไม่แน่ใจว่าทำโดยทีมไหนนะครับ (ใครมีข้อมูลโปรดแจ้ง จะขอสัมภาษณ์)

นี่เป็นสัญญาณที่ดีอย่างหนึ่งว่าเว็บไซต์หน่วยงานราชการของไทย (โดยเฉพาะเว็บสำคัญอย่างเว็บไซต์ของรัฐบาลเอง) ปรับตัวไปในทิศทางที่ดีขึ้นมากครับ

Joomla! 1.6 ซึ่งจะออกในวันที่ 10 มกราคม 54 นี้ ได้ออกแบบหลายจุดใหม่เพื่อให้ทำเว็บได้ดีขึ้นผู้ใช้งานจะได้พบกับประสบการณ์การใช้งานที่ดีขึ้น

ความสามารถใหม่ที่กล่าวถึงคือ ระบบการจัดการสิทธิการเข้าถึงข้อมูล, ใช้ XHTML ที่ถูกต้องตามมาตรฐาน, สามารถอัพเดตจูมล่าหรือส่วนเสริมอื่นๆ ได้ในคลิกเดียว และระบบรองรับเว็บไซต์หลายภาษา

ความสามารถหลักของ Joomla! 1.6

รางวัล CMS Award ปี 2010 โดยสำนักพิมพ์ Packt ซึ่งเป็นผู้จัดพิมพ์หนังสือเกี่ยวกับ CMS รายใหญ่ที่สุดในโลก ประกาศแล้วดังนี้

Open Source CMS รางวัล CMS ยอดเยี่ยมหน้าใหม่

• CMS Made Simple
• SilverStripe
• MODx

Hall of Fame CMS รางวัล CMS ยอดเยี่ยมสูงสุด

• WordPress
• Drupal
• Joomla!

Most Promising Open Source Project รางวัล CMS รุ่นใหม่ มีแววอนาคตไกล (เปิดตัวไม่เกิน 2 ปีที่ผ่านมา)

• Pimcore
• TomatoCMS
• BuddyPress

Open Source E-Commerce Applications รางวัลสำหรับระบบร้านค้าออนไลน์ยอดเยี่ยม

ไมโครซอฟท์ร่วมมือกับโครงการ Joomla! เซ็นสัญญา Joomla! Contributor Agreement ซึ่งหมายถึงว่านักพัฒนาของไมโครซอฟท์สามารถใช้เวลางาน เขียนโค้ดที่เป็น GPL ส่งเข้า Joomla! ได้

ทาง Joomla! เองก็บอกว่าตอนนี้ใน Joomla! 1.6 มีโค้ดที่ส่งเข้ามาจากไมโครซอฟท์รวมอยู่ด้วยแล้ว คือส่วนของ WinCache หรือการทำแคชบนวินโดวส์

ไมโครซอฟท์ยังพัฒนา CMS แบบโอเพนซอร์สของตัวเองอีกตัว ใช้ชื่อว่า "Orchard"

ที่มา - Joomla!, ZDNet

การนำไปใช้งาน

บล็อก

• Drupal ยอดเยี่ยม - 10
• Joomla! ธรรมดา - 8
• TYPO3 ธรรมดา - 8
• Wordpress ไม่ต้องพูดถึง - 10

การจัดการงานเอกสาร

• Drupal ทำได้ แต่ต้องลงมอดูหลายตัว และต้องตั้งค่าอีกเยอะ - 8
• Joomla! ทำได้ แต่ยังไม่ครบและมีปัญหาเรื่องสิทธิผู้ใช้งาน - 8
• TYPO3 ทุกอย่างสมบูรณ์ - 10
• Wordpress มีความสามารถไม่เยอะ - 5

E-Commerce

• Drupal มีให้เลือกทั้ง 2 ตัว และพอใช้ได้ - 9
• Joomla! มีให้เลือกหลายตัวเช่นกันและพอใช้ได้เช่นกัน - 9
• TYPO3 มีหลายตัว แต่ไม่เข้าตา - 7
• Wordpress เหมาะสำหรับเว็บเล็ก ๆ มีเฉพาะความสามารถพื้นฐาน - 7

Forum

ประสิทธิภาพ ความปลอดภัย และการดูแลรักษาระบบ

Caching - สำหรับเก็บหน้าเว็บที่ไม่มีการเปลี่ยนแปลงมาก

• Drupal สมบูรณ์แบบ ทำได้ถึงขนาดทำเฉพาะผู้ใช้ บล็อก หรือแม้กระทั่ง SQL - 10
• Joomla! ทำได้ไม่ดีที่สุดใน 4 ตัวนี้ - 7
• TYPO3 ทำได้ทุกอย่าง - 10
• Wordpress ทำได้ดี - 8

ทำหน้าเว็บแบบคงตัว - ไว้สำหรับหน้าที่ไม่มีการเปลี่ยนแปลง เช่น about

• Drupal มีมอดูลเสริม - 10
• Joomla! ไม่มี (มีส่วนขยายแต่ใช้ไม่ได้)- 6
• TYPO3 มีอยู่ในแกนหลัก - 10
• Wordpress มีขั้นตอนในการทำซับซ้อน - 8

Permission

การจัดทำเว็บไซต์ทั่วไป

การติดตั้ง

• Drupal ง่ายดาย และมีเครื่องมือแนะนำเรื่องต่าง ๆ และช่วยเหลือในกรณีผิดพลาดดีมาก - 10
• Joomla! กรอกข้อความไม่กี่หน้าก็ได้เว็บไซต์แล้วครับ - 10
• TYPO3 ในเวอร์ชัน 4.4 (เพิ่ง Beta) การติดตั้งง่ายขึ้นมาก ส่วนการตั้งค่ามีให้ตั้งประมาณ 20 หน้ากระดาษ แต่ถ้าไม่รู้เรื่องก็ข้าม ๆ ซะ เว็บมันใช้ได้อยู่ - 10
• Wordpress สะดวก รวดเร็ว - 10

การเรียนรู้ในการใช้งาน

เวลาผ่านไป โลกของ CMS ก็เปลี่ยนตาม หลังจากเขียนเกี่ยวกับหัวข้อนี้ครั้งแรกในปี 2007 ซึ่งตอนนั้นยังเป็นโลกของ Mambo และ Joomla! กาลเวลาผ่านไป 3 ปี Mambo ตายไปและปัจจุบันกลายเป็นโลกของ Joomla!, Drupal และ Wordpress ซึ่งทั้ง 3 ต่างได้รับรางวัล Best CMS Award ของสำนักพิมพ์ Packt แต่แน่ล่ะเมื่อมีตัวเลือกมากขึ้น สำหรับมือใหม่ก็คงยากในการตัดสินใจเลือกใช้ (มือเก่าคงไม่เปลี่ยนง่าย ๆ ด้วยหลายเหตุผล เช่น เคยมือ ง่ายในการดูแลรักษา)

และตัวเลือกที่นำมาเปรียบเทียบในบทความนี้ แน่นอน ต้องตามใจผู้เขียน ดังนั้นผมจึงขอนำเฉพาะ CMS ยอดนิยมมาเปรียบเทียบ Joomla!, Drupal, Wordpress และขอเพิ่ม TYPO3 อีก 1 ตัวเช่นเดิม ส่วน CMS อื่นที่พอเป็นที่นิยมในไทยก็ขอกล่าวคร่าว ๆ คือ

เว็บไซต์ PlayingWithWire ได้เปรียบเทียบซอฟต์แวร์ CMS สองตัวคือ Joomla! กับ WordPress ในแง่ usability อย่างละเอียด บทสรุปก็คือถึงแม้ว่า WordPress จะมีฟีเจอร์น้อยกว่า Joomla! แต่กลับมี usability ดีกว่า Joomla! มาก

I will argue that Joomla! is an example of a poorly managed open source project and that WordPress is a very successfully managed one.

อย่างไรก็ตาม ผู้เขียนได้กล่าวว่า Joomla! 1.5 นั้นเป็นทิศทางที่ถูกต้องที่โครงการ Joomla! กำลังมุ่งไปเพื่อ usability ที่ดีขึ้น และ Joomla! ก็สามารถทำงานซับซ้อนหลายอย่างๆ ที่ WordPress ทำได้ยาก เช่น eCommerce เป็นต้น

เวบไซต์อย่างเป็นทางการของ Joomla.org โดนมือดีแฮ็ค วันนี้และขณะนี้(ในระหว่างกำลังเขียนข่าว) โดยมีข้อความว่า

H A C K E D ! joomla.org owned! Red Eye CREW owned joomla.org =) m4V3RiCk - W4n73d - _dDoS_ by m4v3rick "That´s all Folks!!"

หลังที่ผมเขียน ศึกจ้าว CMS เวลาผ่านไป CMS แต่ละตัวก็มีการปรับตัวเพื่อสู้ศึกในโลกของ CMS ที่มีการแข่งขันสูง ผมขอเสนอแนวทางการพัฒนาของ 4 CMS หลัก (เหตุผลที่เลือก 4 ตัวนี้กรุณาอ่านบทความตามลิงก์บทความเก่า)

ทีมจูมล่า ได้ประกาศ ออกรุ่นใหม่ของจูมล่า 1.5 วันนี้ โดยเป็น Joomla! 1.5.3 [Vahi]. เวอร์ชันนี้ ได้ออกมาตามตารางเวลาที่ได้กำหนดไว้ โดยได้แก้ไขข้อผิดพลาด และทดสอบความถูกต้องต่างๆ ที่ได้มีการแจ้งไว้ ในเวอร์ชัน 1.5.2

Release Notes

* แก้ปัญหาเรื่อง การinputข้อมูลลงฐานข้อมูลใน โหมด Legacy
* แก้ไขปัญหาเรื่องที่มีบัคของภาษา xHTML
* อัพเดตหน้าต่างความช่วยเหลือ
* แก้ไขปัญหาการสร้าง PDF กับ PHP 4
* แก้ไข css ภาษาที่ต้องอ่านจากขวาไปซ้าย

ที่มา: joomla.org

ทีมจูมล่าลายไทย และ เว็บไซต์ JoomlaCorner.com ร่วมกับ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ขอเชิญชาวไทยผู้มีใจรักจูมล่าเข้าร่วมงาน JoomlaDay Bangkok 2008 วันรวมพลคนใช้จูมล่าในประเทศไทยครั้งที่ 2

งานนี้จัดขึ้นเพื่อให้ผู้ใช้งาน Joomla! ชาวไทยได้มีโอกาสอัพเดทเทคโนโลยีใหม่ของ Joomla! 1.5 จากวิทยากรผู้พัฒนาโปรแกรม Joomla! จากต่างประเทศ (Joomla.org) โดยตรง ซึ่งเหมาะสำหรับ ผู้ใช้งาน Joomla! ที่ต้องการพบปะกลุ่มผู้ใช้งานด้วยกันเพื่อแลกเปลี่ยนความคิดเห็น และ สำหรับท่านที่สนใจ Joomla! แต่ยังไม่เคยใช้งาน ท่านจะมีความรู้และความเข้าใจ Joomla! มากขึ้น อีกทั้งยังได้มีโอกาสพบกับทีมผู้พัฒนาชาวต่างชาติ ตลอดจนทีมผู้แปลภาษาไทยอย่างทีมจูมล่าลายไทยอีกด้วย

ใน Release มีการแก้ไข และเพิ่มความสามารถดังนี้

หมัดเก้า การใช้งานร่วมกับภาษาไทย

เนื่องจากปัจจุบัน CMS ทั้ง 4 ตัวนี้ต่างเลิกสนับสนุนตระกูล ASCII ไปสนับสนุน Unicode ดังนั้นจึงมีปัญหากับภาษาไทยน้อย ยกเว้นเป็นผู้ใช้เก่า โดยเฉพาะผู้ใช้ Mambo ซึ่งในการปรับปรุงให้เป็นรุ่นใหม่แต่ละครั้งช่างยากเย็น เพราะนโยบายที่ประกาศออกบางครั้งไม่เป็นอย่างที่บอก แต่เนื่องจากปัญหากับภาษาไทยนั้นเป็นปัญหาค้างจากผู้ใช้เก่า ดังนั้นเราจึงสามารถมุ่งความสนใจไปสู่ส่วนภาษาไทยของผู้ดูแลและส่วนแสดงผล

หมัดเจ็ด การบริโภคทรัพยากร

"พลังอำนาจอันยิ่งใหญ่จะมาพร้อมกับความรับผิดชอบมหาศาล" ประโยคนี้จะนำมาใช้กับ CMS "ความสามารถอันยิ่งใหญ่จะมาพร้อมกับการบริโภคทรัพยากรมหาศาล" ได้เช่นเดียวกันหรือไม่ ลองติดตามดูครับ

Drupal ตัวโปรแกรมมีขนาดเล็ก การจัดการ cache ดีเยี่ยม เมื่อเทียบกับ CMS อื่นถือได้ว่าบริโภคทรัพยากรน้อยจริง ๆ

Joomla! และ Mambo ใน version ปัจจุบันนี้ความแตกต่างของ 2 ตัวนี้น้อยมาก คือทั้งสองตัวขนาดไฟล์ใหญ่ และบริโภคทรัพยากรมากพอ ๆ กัน

หมัดห้า ผลที่ได้

จากความสามารถที่หลากหลายของ CMS ทำให้เราสามารถนำ CMS ไปใช้ในรูปแบบต่าง ๆ กันได้มากมาย เราลองมาดูว่า CMS แต่ละตัวเมื่อนำไปใช้งานในลักษณะต่าง ๆ แล้ว จะมีผลที่ได้ออกมาอย่างไร

Blog

หมัดสาม การนำไปใช้งาน

Drupal

หมัดแรก ชุมชนนักพัฒนา เป็นที่แน่นอนว่า อนาคตของ CMS ย่อมขึ้นอยู่กับชุมชนนักพัฒนา เพราะคุณคงไม่มานั่งเขียนเองหรอก (ถ้าคิดจะเขียนเองคงไม่มาใช้ CMS หรอก) และคุณอาจจะดูปริมาณการใช้งาน CMS แต่ละตัวคร่าว ๆ ได้ดังนี้