คิดยังไงกับที่ ทางรัด.com ใช้ WordPress กันครับ

By suriyan2538 Contributor on Tag:

เห็นช่วงนี้มีกระแสใน FB เรื่องที่เว็บ ทางรัฐ.com ทำด้วย WordPress
เกรงว่าจะไม่มีความปลอดภัย

จากนั้นทาง DGA ได้ออกมาให้ข้อมูลว่า ตัวเว็บไซต์ทางรัฐ เป็นเพียงเว็บ สำหรับประชาสัมพันธ์ข้อมูลของแอปเท่านั้น
ไม่ได้มีการเก็บข้อมูล หรือใช้ลงทะเบียนใดๆ บนเว็บไซต์นี้

โดยส่วนตัวผมมองว่า เว็บนี้เป็นเพียงเว็บประชาสัมพันธ์ข่าวสารทั่วไป ซึ่งไม่ได้มีระบบเกี่ยวข้องอะไรกับตัวแอปพลิเคชันทางรัฐที่จะใช้ลงทะเบียนรับเงิน 10,000฿ ดังนั้นจึงไม่ได้มีความเสี่ยงกับระบบความปลอดภัยของแอป

ในเรื่องความเสี่ยงของเว็บไซต์เอง ผมก็มองว่ามันไม่ได้มากอะไรขนาดนั้น เพราะตัวเว็บก็เป็นแค่เว็บให้ข้อมูล ไม่มีข้อมูลอะไรสำคัญในนั้น ดังนั้นการที่ใช้ WP ทำมันก็ไม่ใช่เรื่องใหญ่อะไร ด้วยตัวเว็บมันมีอยู่แค่นั้น ถ้าใช้พวกเฟรมเวิร์กทำมันก็ดูเกินความจำเป็นไปบ้าง อีกอย่าง WP มันก็ใช่ว่าจะแฮคง่ายดายอะไรขนาดนั้น ถ้ามีคนคอยดูแลตลอด อัปเดตเรื่อยๆ ก็ถือว่าปลอดภัย

หรือท่านอื่นๆ มีความคิดเห็นอย่างไรกับประเด็นนี้บ้างครับ

คิดว่าแทนที่จะนั่งอ่านคนตีโพยตีพายใน FB มาตั้งกระทู้อ่านเอาสาระจากทุกท่านในนี้ดีกว่า เพราะน่าจะเป็นกลุ่มคนที่มีความเข้าใจกับระบบพวกนี้กันเป็นส่วนใหญ่ครับ

ขอบคุณครับ

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

animateex Wed, 31/07/2024 - 12:13

ถ้าปิดกัน link การ login ได้ก็ไม่มีปัญหาอะไร เว็บมันปลอดภัยระดับนึงอยู่แล้ว
แต่ถ้าไม่ได้คงมีคนลองของกันเยอะกว่าเข้าไปอ่านข้อมูล

crucifier Wed, 31/07/2024 - 16:22

WordPress หรือ Joomla! ถ้าขยันอัพแพทช์และทำ hardening ไว้ก็สบายใจได้ ยิ่งคนใช้เยอะยิ่งรั่วก็ยิ่งมีคนเตือนมีคนช่วยอุด ถ้าเขียนเองทั้งหมดมั่นใจได้เหรอว่าไม่รั่ว หรือถ้าไม่รู้ก็เท่ากับไม่รั่ว?

เจ้าของโพสต์นั้นที่ออกมาวิจารณ์ เห็นว่าทำเว็บด้วย WordPress มาเป็นสิบปี

  1. ถ้าใช้ WordPress หากินมานานขนาดนั้นแล้วยังไม่รู้ว่าจะทำให้ปลอดภัยยังไงก็ต้องพิจารณาตัวเองแล้ว
  2. ถ้าคิดว่า WordPress ไม่ปลอดภัย แล้วทำไมยังใช้ทำเว็บให้ลูกค้าอยู่ได้เป็นสิบปี

Ford AntiTrust Wed, 31/07/2024 - 16:47

ใช้ WordPress ก็ไม่ได้แย่อะไร ถ้าเอามาทำเว็บสำหรับประชาสัมพันธ์ ในมุมหนึ่งมันก็พัฒนาได้ง่าย รวดเร็ว ส่วนราคามันจะเหมาะสมไหมมันอีกเรื่องหนึ่ง (ไม่ขอยุ่ง)

ส่วนพัฒนาเพื่อใช้งานสำหรับกรอกข้อมูลทั่วไป-ส่วนบุคคล ก็ดูความเหมาะสมว่าใช้อะไรบ้าง และสเกลได้แค่ไหน หรืออาจจะส่งต่อผ่าน API ไปยังระบบที่เหมาะสมกว่าก็ไม่ติด

การทำให้มั่นคงปลอดภัย ก็คือทำ hardening ตามคำแนะนำ รวมไปถึงใช้ plug-in และ theme ที่ยัง active ซึ่งถ้าใช้แบบเสียเงิน ก็ซื้อมาให้ถูกต้อง

ส่วนที่ต้องทำอย่างยิ่งคือ อัพเดทให้ทันตาม patch ที่ออกมา มีคนตรวจสอบดูแลให้มันปลอดภัย

แต่บางครั้ง ฝั่ง CMS แข็งแรงดี ก็มาตายที่ middleware หรือ OS ที่ไม่ patch อีก ของแบบนี้ต้องไปทั้งระบบ มีการควบคุมดูแลอย่างเหมาะสม

ส่วนใช้ Cloudflare ก็เหมาะสมดี จะซื้อใช้เพิ่มระบบ WAF มาช่วยป้องกันก็ไม่ได้แย่อะไร

เว็บที่ใช้ WordPress ณ. ปัจจุบันที่น่าสนใจก็

  • whitehouse.gov
  • nasa.gov
  • harvard.edu

ซึ่งเอาเข้าจริงๆ เปลี่ยนจาก "WordPress" ไปใช้ยี่ห้ออื่น ก็ควรทำเหมือนกันแหละ

ส่วนเรื่องเข้าถึงหน้า login (wp-login.php) แล้วมันยังไงต่อ?

คือเข้าหน้า login ของ WP ได้แล้วคือมีช่องโหว่ ไม่ปลอดภัยไปเลยหรือยังไง?

อีกอย่าง WP มันรองรับระบบ role ด้วย ฉะนั้น การบอกว่าเจอหน้า login แล้วถือว่าไม่ปลอดภัยจึงไม่ใช่ทั้งหมด เพราะหลาย ๆ ระบบ เค้าอาจจะตั้งใจทำให้มันโผล่มาให้เข้าระบบได้จากหลาย role อยู่ก่อนแล้ว

แล้วหน้า login ของหลาย ๆ CMS ใช้ตัวเดียวกันระหว่าง admin role และ user role เสียด้วยซ้ำ (อย่าง Drupal นี่ก็ใช่)

จริงๆ เอา CVE มานำเสนอด้วยก็ได้ว่า WP ในส่วนของหน้า login มันมีช่องโหว่ยังไง หรือไปเจอ zero day มา?

suriyan2538 Wed, 31/07/2024 - 18:17

อันนี้จริงครับ Drupal เองนี่ไม่ต้องหน้า Login อะไรเลย เพราะ Admin สามารถเข้าระบบด้วยเมนูของสมาชิกทั่วไปได้เลย ไม่ได้มีแยกหน้า แต่ตัว CMS จะไปแยกสิทธิ์เอาอีกทีว่า User อะไร มีสิทธิ์จัดการระบบระดับไหน

ถ้ามองแค่ว่าการเข้าถึงหน้า Login ได้แล้วไม่ปลอดภัย Drupal นี่ความปลอดภัยคงไม่เหลือแล้ว

lew Wed, 31/07/2024 - 23:50

บนคู่มือบน Wordpress เองก็ "แนะนำ" ไว้แต่ก็แค่แนะนำ

ในทางปฎิบัติจริงๆ คนอัพเดตเว็บหลายองค์กร มักยอมให้ทำทุกอย่าง "ยกเว้น" ตั้งรหัสให้ดี ("P@ssw0rd" ของพี่ไม่ดีตรงไหน) เลยออกมาท่านี้กัน

rattananen Thu, 01/08/2024 - 15:21

บางคนเขียน program มาเป็น 10 ปีก็ยังฝีมือไม่ถึงขั้นที่จะเรียกว่า senior ได้ (ลูกน้องผมคนนึง)

ถ้าบอกว่าไม่ปลอดภัยควรจะมี reference ที่มันชัดเจนกว่านี้
ผมเองก็ไม่ได้ไปแกะ code ของ WordPress ดูเท่าไร ก็บอกอะไรไม่ได้มาก

แต่ opensource ที่พัฒนามาเป็น 10 ปีนี้มันน่าจะเจออะไร แก้อะไรกันมาเยอะ มันควรจะที่เชื่อถือได้
ฉะนั้นได้ไม่ได้ install 3rd party plugin นี้น่าจะไม่มีปัญหาอะไร

จากประสบการณ์ ที่ CMS ส่วนใหญ่มันมีปัญหา เป็นเพราะ 3rd party plugin
กับ admin ไม่ชอบ update security กันมากกว่า

dbpod2 Thu, 01/08/2024 - 22:16

ใช้มาเกิน 10 ปี รวมทุกโดเมนเกิน 100M Views
ไม่เคยโดนอะไร
ถ้าบริษัทที่รับงานเก่งจริงๆ ไม่มีอะไรต้องกลัวครับ

Tasksenger Sat, 03/08/2024 - 13:34

เอาเป็นว่าใช้ CMS แล้วมีเจ้าหน้าที่คอย update patch และ OS ไม่ติดตั้ง 3rd party ก็ดีกว่าเขียนขึ้นมาเองครับ จากที่เมื่อ 10 กว่าปีที่แล้ว ผมพัฒนาระบบบริหารจัดการเว็บไซต์แบบรวมศูนย์โดยใช้พื้นฐานของ CMS แบบ Opensource ตั้งแต่มันยังไม่รองรับด้วย core ของมันเอง ให้กับหน่วยงานขนาดใหญ่ของรัฐหลายที่ ที่เจอมีแค่ปัญหาเดียวคือ ไปติดตั้ง 3rd party ที่ฝังโค้ดอันตรายเอาไว้ โดยเฉพาะพวกที่รองรับการ upload ไฟล์ เท่าที่เห็นก็ใช้งานกันในระดับ 5-6 ปี จะเอาระบบของบริษัทขนาดใหญ่จากอเมริกา มาแทนก็ทำไม่ได้ implement ไป 2 รอบก็ไม่รอด (สาเหตุเพราะผู้ใช้งานรู้สึกว่ามันยุ่งยากกว่าระบบเดิมเยอะมาก ทำให้เขาต่อต้าน) เลยต้องใช้ระบบเก่าที่ผมทำมาจาก CMS Opensource ใช้ลากยาวมาตั้งนานกว่าจะหาตัวมาทดแทนได้ ซึ่งมันก็ทำงานได้ปรกติไม่เคยล่มแบบรุนแรงเลยนะครับ (10 ปีก่อนนะครับ ไม่ใช่ปัจจุบัน แต่ผมก็ยังเชื่อมั่นว่าระบบที่เปิด มันมีหลายตาช่วยสอดส่องเรื่องความปลอดภัย ถ้าเป็นปัญหาพื้นฐานเนี่ย มันถูกแก้ไขกันมาหมดแล้ว)

Sephanov Sun, 04/08/2024 - 11:53

wp มี tool มี plugin ดีๆเยอะอยู่ที่คอยดักคนแฮ็ค ส่วนตัวมันก็ไม่ได้แย่อะไร ถ้ามันนิ่ง เสถียร และใช้สื่อสารได้ สำหรับ static web ง่ายๆก็ตอบโจทย์นะ

vulkan Tue, 13/08/2024 - 12:44

อารมณ์เหมือนประมาณว่า เห้ยนายเป็นถึงระดับ CEO แต่ดันใช้มือถือ Android

อยากจะบอกว่า แล้วยังไง, ก็เพียงพอสำหรับใช้ทำทุกอย่างได้
และไม่มีความจำเป็นที่จะใช้อะไรอื่น