credit :
http://viruscom2.com/2013/%E0%B9%80%E0%B8%95%E0%B8%B7%E0%B8%AD%E0%B8%99%E0%B8%A0%E0%B8%B1%E0%B8%A2%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B8%95%E0%B8%B5-wordpress-%E0%B8%97%E0%B8%B1%E0%B9%88%E0%B8%A7%E0%B9%82%E0%B8%A5%E0%B8%81-%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B8%AB%E0%B8%B2%E0%B8%9E%E0%B9%88%E0%B8%AD%E0%B9%80%E0%B8%98%E0%B8%AD%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD/
ความปลอดภัยใน WordPress เป็นสิ่งที่มีความสำคัญมากในการสร้างเว็บไซต์ แต่ตอนนี้ความปลอดภัยนั้นยิ่งทวีความสำคัญมากยิ่งขึ้นเพราะว่าได้มีการโจมตีเว็บไซต์ที่ใช้ WordPress มากยิ่งขึ้น ระดับการโจมตีในครั้งนี้ไม่ใช้แค่ดวงดีถึงจะเจอแต่ทุกคนมีสิทธิ์ที่จะโดนและตกเป็นเหยื่อได้อย่างทั่วถึง ไม่เว้นแม้แต่ Viruscom2 ก็โดนไปแล้วเช่นกัน (แค่โดนกระหน่ำแต่ไม่สำเร็จนะ รหัสผ่านเรายาว) อันตรายจากการโจมตีครั้งนี้รุนแรงถึงระดับขึ้นการยึดครองเว็บไซต์และยุติการให้บริการได้เลยทีเดียว
มีการโจมตีอย่างไร?
ถ้าจะให้อธิบายแบบสั้นๆนั้นก็คือเครือข่าย Botnet
( เพิ่มเติม: BotNet ให้นึกถึงซอมบี้ที่ถูกสั่งโดยหมอผี BotNet เหมือนกันคือ เครือข่ายคอมพิวเตอร์ที่รับคำสั่งของแครกเกอร์ให้ดำเนินการต่างๆ เช่น การโจมตีเป็นต้น)
ที่ผิดกฎหมาย อาจจะเป็นหมื่น, เป็นแสนหรือเป็นล้าน ซึ่งพยายามที่จะทำการ brute-force attack เว็บที่ใช้งาน WordPress
(brute-force attack ถ้าให้อธิบายแบบง่ายๆนั้นก็คือการพยายามที่จะค้นหารหัสที่ถูกต้อง)
โดยเป้าหมายของการโจมตีครั้งนี้นั้นคือการพยายามที่จะค้นหาชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง มันเหมือนกับว่ามีใครกำลังพยายามที่จะเดารหัสผ่านอยู่ แต่ในครั้งนี้นั้นมันไม่ได้เกิดขึ้นเพียงครั้งคราวแต่ว่ามันพยายามกันเป็นร้อยเป็นพันวินาทีโดยที่ไม่มีเหนื่อยหรือยุดพักเลย และนี้คือสิ่งที่ทำให้มันอันตราย
เป้าหมายของการโจมตีครั้งนี้คืออะไร?
อย่างที่ได้อธิบายไปแล้วข้างต้นว่ามีการใช้งาน BotNet ในการโจมตี เป้าหมายจริงๆนั้นไม่มีใครรู้แน่ชัด แต่จากการสันนิษฐานคาดการณ์ว่าการโจมตีมีวัตถุประสงค์ที่จะ “เพิ่มขนาดและความแข็งแกร่งของเครือข่าย BotNet”
อย่างที่ได้บรรยายไปในตอนต้นแล้วนั้นว่า BotNet นั้นมีความอันตรายเป็นอย่างมากทั้งในเรื่องของการส่ง Spam, การทำให้เว็บไซต์ไม่สามารถที่จะใช้งานได้, การกระทำการทุจริต เป็นต้น ทุกวันนี้ BotNet นั้นได้กลายเป็นธุรกิจที่มีขนาดใหญ่แล้วและเป็นประเด็นสำคัญในเรื่องของความปลอดภัย ดังนั้นมันจึงเป็นความรับผิดชอบของเราผู้ที่มีส่วนเกี่ยวข้องกับเว็บไซต์ ที่ต้องพยายามอย่างสุดความสามารถที่จะป้องกันไม่ให้ระบบของเรากลายเป็นส่วนหนึ่งของปัญหา
แล้วอันเป็นภัยคุกคามต่อเราอย่างไร?
ภัยคุกคามนั้นแบ่งได้เป็น 2 ส่วนนั้นก็คือ ภัยที่เกิดขึ้นจากการพยายามเข้าสู่ระบบ และภัยที่เกิดขึ้น ถ้าการเข้าสู่ระบบประสบความสำเร็จ
ในกรณีที่ 1 ความพยายามที่จะเข้าสู่ระบบ ในการเข้าสู่ระบบแต่ละครั้งนั้นระบบก็ต้องมีการใช้งานทรัพยากรเพื่อติดต่อฐานข้อมูลประมวลผลเว็บไซต์ และถ้าเกิดว่าความพยายามในการเข้าสู่ระบบนั้นมีมากภายในเวลาไม่กี่วินาที (อาจจะเป็นสิบ, ร้อย หรือพัน) ทรัพยากรที่ต้องถูกใช้งานนั้นมีมหาศาล ผลกระทบที่เกิดขึ้นนั้นจะเป็นเรื่องที่ต่อจากนี้ ผู้ให้บริการบางรายนั้นจะมีการระงับเว็บที่ใช้ทรัพยากรมากเกินไป และนี้ก็อาจจะทำให้ท่านนั้นสูญเสียทั้งเงินและเวลาในการจัดการกับปัญหานี้
ปล. ด้านซ้ายคือตอนช่วงที่ถูกโจมตีจะเห็นว่ามีการใช้งาน CPU ที่สูงมากและภายหลังจากที่ป้องกันก็กลับเข้าสู่ปกติ
และถ้าเกิดว่าในกรณีที่การเข้าสู่ระบบประสบความสำเร็จและได้สิทธิ์ Admin ทั้งเว็บไซต์และเซิฟเวอร์ก็ตกอยู่ในอันตราย ด้วยสิทธิ์ของ Admin นั้นผู้โจมตีสามารถที่จะเพิ่มไฟล์ใหม่เข้ามา, แก้ไขไฟล์ที่มีอยู่, การเพิ่ม Malware เข้าสู่เว็บไซต์ของเราหรือในกรณีที่เลวร้ายที่สุดก็จะถูกใช้เป็นฐานในการโจมตีที่อื่นต่อไป
แล้วรูปแบบของการโจมตีเป็นอย่างไร?
ตอนนี้เรามีข่าวดีก็คือเรารู้รูปแบบของการโจมตีนั้นแล้ว จากการศึกษาปัญหาที่เกิดขึ้นจากการโจมตีเว็บไซต์ในครั้งนี้ พวกเราก็ได้เห็นว่ามากกว่า 99% ของการโจมตีในครั้งนี้นั้นเกิดขึ้นจากความพยายามเข้าสู่ระบบด้วยชื่อผู้ใช้ admin และมีบางครั้งที่พยายามใช้ชื่ออื่นเข้ามาประกอบด้วย เช่น administrator หรือ Admin น้อยครั้งนักที่จะใช้ชื่อเว็บไซต์ ยกตัวอย่างเช่น เว็บนี้คือ Viruscom2.com ผู้ที่โจมตีก็จะใช้ชื่อผู้ใช้ว่า viruscom2
ในส่วนของรหัสผ่านนั้นก็มีความพยายามที่จะคาดเดารหัสผ่านง่ายๆออกมา โดยใช้ธรรมชาติของคนที่ไม่ชอบจำอะไรยากๆ เราลองมาดูตัวอย่างของรหัสผ่านที่มีการใช้เป็นอย่างมากโดยเรียงตามลำดับจากความถี่
admin
admin123
123456
123123
123456789
password
1234
root
1234567
12345
qwerty
welcome
pass
abc123
12345678
1111
test
monkey
iloveyou
dragon
demo
จากที่เห็นนั้นก็คือมันก็เป็นคำที่ง่ายๆที่คนส่วนใหญ่มีแนวโน้มที่จะใช้
แล้วเราจะแก้ไขปัญหาอย่างไรดี?
โชคดีความพยายามที่จะใช้ Brute force login นั้นที่ไม่ใช่เรื่องที่ใหม่อะไร เทคนิคการโจมตีนี้ได้ถูกใช้มาอย่างยาวนานตั้งแต่ WordPress มี ในที่นี้เราจะมาดูวิธีการแก้ไขปัญหานี้กัน
การไม่ใช้ชื่อ admin
การใช้รหัสผ่านที่ยาก ความยาวขึ้นต่ำคือ 8 ตัวอักษร ควรที่จะมีตัวเลข, ตัวอักษร, และเครื่องหมายผสมกันไป
การป้องกันปัญหาทางด้านประสิทธิ์ภาพ CloudFlare เป็นหนึ่งในเครื่องมือที่จะช่วยเราได้แบบชะงัก
การติดตั้งปลั๊กอิน Login LockDown เพื่อใช้ในการต่อกรกับพวกที่โจมตี โดยปลั๊กอินนี้จะทำหน้าที่ในการจำกัดจำนวนครั้งในการเข้าสู่ระบบ ทำให้เป็นไปไม่ได้สำหรับการที่จะใช้ BotNet จำนวนมากเข้ามาหระหน่ำกรอกชื่อผู้ใช้และรหัสผ่าน
ตอนนี้ไม่มีอะไรจะพูดแล้วนอกจากอยากบอกว่า โชคดีเว้ย!
เตือนภัยการโจมตี WordPress ทั่วโลก (แฮกเว็บหาพ่อเธอหรือ?)
ความปลอดภัยใน WordPress เป็นสิ่งที่มีความสำคัญมากในการสร้างเว็บไซต์ แต่ตอนนี้ความปลอดภัยนั้นยิ่งทวีความสำคัญมากยิ่งขึ้นเพราะว่าได้มีการโจมตีเว็บไซต์ที่ใช้ WordPress มากยิ่งขึ้น ระดับการโจมตีในครั้งนี้ไม่ใช้แค่ดวงดีถึงจะเจอแต่ทุกคนมีสิทธิ์ที่จะโดนและตกเป็นเหยื่อได้อย่างทั่วถึง ไม่เว้นแม้แต่ Viruscom2 ก็โดนไปแล้วเช่นกัน (แค่โดนกระหน่ำแต่ไม่สำเร็จนะ รหัสผ่านเรายาว) อันตรายจากการโจมตีครั้งนี้รุนแรงถึงระดับขึ้นการยึดครองเว็บไซต์และยุติการให้บริการได้เลยทีเดียว
มีการโจมตีอย่างไร?
ถ้าจะให้อธิบายแบบสั้นๆนั้นก็คือเครือข่าย Botnet
( เพิ่มเติม: BotNet ให้นึกถึงซอมบี้ที่ถูกสั่งโดยหมอผี BotNet เหมือนกันคือ เครือข่ายคอมพิวเตอร์ที่รับคำสั่งของแครกเกอร์ให้ดำเนินการต่างๆ เช่น การโจมตีเป็นต้น)
ที่ผิดกฎหมาย อาจจะเป็นหมื่น, เป็นแสนหรือเป็นล้าน ซึ่งพยายามที่จะทำการ brute-force attack เว็บที่ใช้งาน WordPress
(brute-force attack ถ้าให้อธิบายแบบง่ายๆนั้นก็คือการพยายามที่จะค้นหารหัสที่ถูกต้อง)
โดยเป้าหมายของการโจมตีครั้งนี้นั้นคือการพยายามที่จะค้นหาชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง มันเหมือนกับว่ามีใครกำลังพยายามที่จะเดารหัสผ่านอยู่ แต่ในครั้งนี้นั้นมันไม่ได้เกิดขึ้นเพียงครั้งคราวแต่ว่ามันพยายามกันเป็นร้อยเป็นพันวินาทีโดยที่ไม่มีเหนื่อยหรือยุดพักเลย และนี้คือสิ่งที่ทำให้มันอันตราย
เป้าหมายของการโจมตีครั้งนี้คืออะไร?
อย่างที่ได้อธิบายไปแล้วข้างต้นว่ามีการใช้งาน BotNet ในการโจมตี เป้าหมายจริงๆนั้นไม่มีใครรู้แน่ชัด แต่จากการสันนิษฐานคาดการณ์ว่าการโจมตีมีวัตถุประสงค์ที่จะ “เพิ่มขนาดและความแข็งแกร่งของเครือข่าย BotNet”
อย่างที่ได้บรรยายไปในตอนต้นแล้วนั้นว่า BotNet นั้นมีความอันตรายเป็นอย่างมากทั้งในเรื่องของการส่ง Spam, การทำให้เว็บไซต์ไม่สามารถที่จะใช้งานได้, การกระทำการทุจริต เป็นต้น ทุกวันนี้ BotNet นั้นได้กลายเป็นธุรกิจที่มีขนาดใหญ่แล้วและเป็นประเด็นสำคัญในเรื่องของความปลอดภัย ดังนั้นมันจึงเป็นความรับผิดชอบของเราผู้ที่มีส่วนเกี่ยวข้องกับเว็บไซต์ ที่ต้องพยายามอย่างสุดความสามารถที่จะป้องกันไม่ให้ระบบของเรากลายเป็นส่วนหนึ่งของปัญหา
แล้วอันเป็นภัยคุกคามต่อเราอย่างไร?
ภัยคุกคามนั้นแบ่งได้เป็น 2 ส่วนนั้นก็คือ ภัยที่เกิดขึ้นจากการพยายามเข้าสู่ระบบ และภัยที่เกิดขึ้น ถ้าการเข้าสู่ระบบประสบความสำเร็จ
ในกรณีที่ 1 ความพยายามที่จะเข้าสู่ระบบ ในการเข้าสู่ระบบแต่ละครั้งนั้นระบบก็ต้องมีการใช้งานทรัพยากรเพื่อติดต่อฐานข้อมูลประมวลผลเว็บไซต์ และถ้าเกิดว่าความพยายามในการเข้าสู่ระบบนั้นมีมากภายในเวลาไม่กี่วินาที (อาจจะเป็นสิบ, ร้อย หรือพัน) ทรัพยากรที่ต้องถูกใช้งานนั้นมีมหาศาล ผลกระทบที่เกิดขึ้นนั้นจะเป็นเรื่องที่ต่อจากนี้ ผู้ให้บริการบางรายนั้นจะมีการระงับเว็บที่ใช้ทรัพยากรมากเกินไป และนี้ก็อาจจะทำให้ท่านนั้นสูญเสียทั้งเงินและเวลาในการจัดการกับปัญหานี้
ปล. ด้านซ้ายคือตอนช่วงที่ถูกโจมตีจะเห็นว่ามีการใช้งาน CPU ที่สูงมากและภายหลังจากที่ป้องกันก็กลับเข้าสู่ปกติ
และถ้าเกิดว่าในกรณีที่การเข้าสู่ระบบประสบความสำเร็จและได้สิทธิ์ Admin ทั้งเว็บไซต์และเซิฟเวอร์ก็ตกอยู่ในอันตราย ด้วยสิทธิ์ของ Admin นั้นผู้โจมตีสามารถที่จะเพิ่มไฟล์ใหม่เข้ามา, แก้ไขไฟล์ที่มีอยู่, การเพิ่ม Malware เข้าสู่เว็บไซต์ของเราหรือในกรณีที่เลวร้ายที่สุดก็จะถูกใช้เป็นฐานในการโจมตีที่อื่นต่อไป
แล้วรูปแบบของการโจมตีเป็นอย่างไร?
ตอนนี้เรามีข่าวดีก็คือเรารู้รูปแบบของการโจมตีนั้นแล้ว จากการศึกษาปัญหาที่เกิดขึ้นจากการโจมตีเว็บไซต์ในครั้งนี้ พวกเราก็ได้เห็นว่ามากกว่า 99% ของการโจมตีในครั้งนี้นั้นเกิดขึ้นจากความพยายามเข้าสู่ระบบด้วยชื่อผู้ใช้ admin และมีบางครั้งที่พยายามใช้ชื่ออื่นเข้ามาประกอบด้วย เช่น administrator หรือ Admin น้อยครั้งนักที่จะใช้ชื่อเว็บไซต์ ยกตัวอย่างเช่น เว็บนี้คือ Viruscom2.com ผู้ที่โจมตีก็จะใช้ชื่อผู้ใช้ว่า viruscom2
ในส่วนของรหัสผ่านนั้นก็มีความพยายามที่จะคาดเดารหัสผ่านง่ายๆออกมา โดยใช้ธรรมชาติของคนที่ไม่ชอบจำอะไรยากๆ เราลองมาดูตัวอย่างของรหัสผ่านที่มีการใช้เป็นอย่างมากโดยเรียงตามลำดับจากความถี่
admin
admin123
123456
123123
123456789
password
1234
root
1234567
12345
qwerty
welcome
pass
abc123
12345678
1111
test
monkey
iloveyou
dragon
demo
จากที่เห็นนั้นก็คือมันก็เป็นคำที่ง่ายๆที่คนส่วนใหญ่มีแนวโน้มที่จะใช้
แล้วเราจะแก้ไขปัญหาอย่างไรดี?
โชคดีความพยายามที่จะใช้ Brute force login นั้นที่ไม่ใช่เรื่องที่ใหม่อะไร เทคนิคการโจมตีนี้ได้ถูกใช้มาอย่างยาวนานตั้งแต่ WordPress มี ในที่นี้เราจะมาดูวิธีการแก้ไขปัญหานี้กัน
การไม่ใช้ชื่อ admin
การใช้รหัสผ่านที่ยาก ความยาวขึ้นต่ำคือ 8 ตัวอักษร ควรที่จะมีตัวเลข, ตัวอักษร, และเครื่องหมายผสมกันไป
การป้องกันปัญหาทางด้านประสิทธิ์ภาพ CloudFlare เป็นหนึ่งในเครื่องมือที่จะช่วยเราได้แบบชะงัก
การติดตั้งปลั๊กอิน Login LockDown เพื่อใช้ในการต่อกรกับพวกที่โจมตี โดยปลั๊กอินนี้จะทำหน้าที่ในการจำกัดจำนวนครั้งในการเข้าสู่ระบบ ทำให้เป็นไปไม่ได้สำหรับการที่จะใช้ BotNet จำนวนมากเข้ามาหระหน่ำกรอกชื่อผู้ใช้และรหัสผ่าน
ตอนนี้ไม่มีอะไรจะพูดแล้วนอกจากอยากบอกว่า โชคดีเว้ย!