ខណៈដែលអ្នកគឺជាអ្នកកាន់ការងារខាងផ្នែកវ៉ិបសាយ WordPress នោះ បញ្ហាសុវត្ថិភាពគឺជាទំនួលខុសត្រូវរបស់អ្នក ដោយអ្នកត្រូវមានសមត្ថភាពក្នុងកិច្ចការពារសុវត្ថិភាពវ៉ិបសាយ។ យ៉ាងណាមិញ នេះមិនសំដៅដល់តែការបង្កើនសុវត្ថិភាពលើវ៉ិបសាយរបស់អ្នកនោះទេ ប៉ុន្តែវាក៏ផ្តោតសំខាន់ទៅលើការផ្តល់សុវត្ថិភាពទៅដល់អ្នកប្រើប្រាស់វ៉ិបសាយរបស់អ្នកផងដែរ។
មុននឹងស្វែងយល់ពីវិធានការណ៍ការពារខ្លួននានា សូមមកសិក្សាពីបញ្ហាមួយចំនួនដែល
វ៉ិបសាយទូទៅតែងតែប្រឈមជាមុនសិន។ បញ្ហាប្រឈមជាដំបូងនោះគឺ មេរោគ Ransomware ដែលក្រុមហេគឃ័រនិយមប្រើមេរោគនេះបំផុតដើម្បីបើកការវាយប្រហារលើវ៉ិបសាយ។ នៅពេលមានការវាយប្រហារកើតឡើង ហេគឃ័របានអ៊ិនគ្រីបលើមាតិកាទាំងអស់ដោយប្រើស្គ្រីបពិសេស ។ ក្រោយមកទៀត ហេគឃ័រនឹងទាមទារការបង់ប្រាក់លោះទំហំណាមួយដើម្បីជាថ្នូរជាមួយឧបករណ៍ឌីគ្រីបមាតិកាមកវិញ។ បើពុំមានឧបករណ៍
ឌីគ្រីបទាំងនោះទេ វ៉ិបសាយនឹងមិនអាចប្រើការបានទៀតនោះទេ។
ការចាក់បញ្ចូលមេរោគ (SQL Injection)៖ ទិន្ន័គឺជាទ្រព្យសម្បត្តិដ៏សំខាន់មួយដែលហេគឃ័រចង់លួចពីវ៉ិបសាយ ជាពិសេសនោះគឺលួចពីវ៉ិបសាយ WordPress។ លើវ៉ិបសាយនីមួយៗមានទិន្ន័យជាច្រើនដែលអាចឲ្យហេគឃ័រលួចយកបាន។ យ៉ាងណាមិញ ការចាក់បញ្ចូលមេរោគ (SQL injection) គឺជាការវាយប្រហារមួយក្នុងចំណោមការវាយប្រហារល្បីៗជាច្រើន ដែលអាចឲ្យហេគឃ័រធ្វើការគ្រប់គ្រងលើវ៉ិបសាយបាន ដោយការចាក់បញ្ចូលមេរោគអាចឲ្យហេគឃ័រទទួលបានសិទ្ធចូលដំណើការវ៉ិបសាយ និងកែប្រែខ្លួនឲ្យក្លាយជាគណនីមេពិតប្រាកដ(real administrator)។
Cross-Site Scripting (XSS)៖ជាការវាយប្រហារដែលហេគឃ័រអាចកេងចំណញពីអ្នកប្រើប្រាស់តាមរយៈការចូលប្រើប្រាស់ដោយពុំមានការអនុញ្ញាតិ។ នេះមានន័យថា អ្នកប្រើប្រាស់បានប្រើកូដ ដែលមានចម្លងមេរោគទៅលើវ៉ិបសាយ ឬបណ្តាញសង្គមនានា ដោយនោះវាជាកត្តានាំឲ្យអ្នកវាយប្រហាពង្រីកសមត្ថភាពវាយប្រហាររបស់ខ្លួនតាមនោះដែរ។ ក្រោយមកហេគឃ័រក៏អាចលួចយកនូវទិន្ន័យរបស់អ្នកប្រើប្រាស់ ឬអាចចូលទៅគ្រប់គ្រង ឬសម្របសម្រួលលើដំណើរការរបស់អ្នកប្រើប្រាស់បាន។ ប៉ុន្តែការវាយប្រហារនេះធ្វើឡើងលើម៉ាស៊ីនរបស់អ្នកប្រើប្រាស់ មិនមែនលើវ៉ិបសាយនោះទេ។
ដំណោះស្រាយដើម្បីការពារវ៉ិបសាយរបស់អ្នក Secure Socket Layers (SSL/HTTPS)៖ គឺជាវិធីសាស្ត្រដ៏សមញ្ញមួយដែលអ្នកអាច អ៊ិនគ្រីបដំណើរការអ៊ិនធឺរណិតបាន។ អាសយដ្ឋានវ៉ិសាយរបស់អ្នកគួរតែប្រើពាក្យ “https” មិនមែន“http”។ តាមការប្រើប្រាស់ពាក្យបច្ចេកទេសបែបនេះ ម៉ាស៊ីនមេ( server) របស់អ្នកនឹងបញ្ចេញ certificate ឲ្យ browser របស់អ្នកប្រើប្រាស់។ certificate នេះនឹងមានផ្ទុកនូវសោរសារធារណៈដែលអ្នកអាចប្រើប្រាស់ធ្វើការអ៊ិនគ្រីបសារដែលបានបង្ហោះលើអ៊ិនធឺរណិត។ ម៉ាស៊ីនមេ (Sever) នឹងឌីគ្រីបសារនេះដោយប្រើប្រាស់សោរដូចគ្នា។
គម្រូ Static WordPress របស់ Strattic៖ ជាគម្រូវ៉ិបសាយមួយដែលមិនត្រូវបានបង្ហាញចេញជាវ៉ិបសាយនោះតេ ប៉ុន្តែវាបង្ហាញចេញជាផេចធម្មតា។ ផេចនេះនឹងមិនមានការភ្ជាប់ជាមួយម៉ាស៊ីមេទេ ដូច្នេះអ្នកវាយប្រហារមិនអាចបំពានលើចំណុចខ្វះខាតផ្នែកសុវត្ថិភាពណាមួយនោះទេ។ បើយោងតាមការបញ្ជាកពីសេវាកម្ម Strattic បញ្ជាក់ឲ្យដឹងថា វ៉ិបសាយ WordPress របស់អ្នកនឹងអាចកាត់បន្ថយការវាយប្រហារបានដល់ទៅ 99.9999% បើសិនជាអ្នកប្រើប្រាស់គម្រូររបស់ពួកគេ។
Wordfence Security៖គឺជា plugin សុវត្ថិភាពលើ endpoint firewall WordPress។ នៅក្នុងម៉ាស៊ីន(sever) និងFilter របស់វ៉ិបសាយ វានឹងត្រួតពិនិត្យលើដំណើរការទាំងអស់ដែលបានឆ្លងកាត់វា។ វាបានប្រើគោលការណ៍ប្រមូលទិន្ន័យIP និង firewall។ លើសពីនេះ វាមិនមែនមានដំណើរការតែជា firewall នោះទេ ប៉ុន្តែវាក៏មានដំណើរការប្រព័ន្ធការពារសុវត្ថិភាពទូទៅសម្រាប់ការពារវ៉ិបសាយរបស់អ្នកផងដែរ។ វាជាប្រភេទ dashboard ដែលអាចបង្ហាញអ្នកនូវទិន្ន័យទាក់ទងនឹងដំណើរការ ចាប់មេរោគ( malicious)របស់IP និងព័ត៌មានផ្សេងទៀត ដែលវាប្រមូលបានពីការត្រង ឬប្រមូលបានពីដំណើរការេបស់វ៉ិបសាយ។
WP fail2ban៖ ជាមួយ Plugin ប្រភេទនេះ អ្នកអាចប្រាកដថា ពុំមាននរណាម្នាក់អាចបើកការវាយប្រហារ brute force លើវ៉ិបសាយរបស់អ្នកបានតាមរយៈការព្យាយាមប្រើប្រាស់លេខសម្ងាត់ផ្សេងៗ។ តាមរយៈការប្រើប្រាស់ WP fail2ban អ្នកអាចមើលឃើញការប៉ុនប៉ងជាច្រើននៅលើវ៉ិបសាយរបស់អ្នក និងថែមទាំងអាចចាត់វិធានការណ៍ថា សកម្មភាពគួរឲ្យសង្ស័យណាមួយគួរតែចាប់យក។ Plugin ប្រភេទនេះ ជាប្រភេទឥតគិតថ្លៃ និងងាយស្រួលដំឡើងលើកម្មវិធី Word Press។
VaultPress៖ ជាប្រភេទ Plugin ដែលអាចឲ្យអ្នកប្រើប្រាស់ប្រាកដចិត្តបានថា ពួកគេនឹងទទួលបានការចម្លងទិន្ន័យ( Backup Data) និងទទួលបានកិច្ចការពារពីការហេគ រួមទាំងការបំពានផ្សេងៗ។ វាមិនមែនមានមុខងារតែចម្លងទិន្ន័យតែប៉ុណ្ណោះនោះទេ វាថែមទាំងអាចធ្វើការតាមដានលើសកម្មភាពវ៉ិបសាយ និងជូនដំណឹងដល់អ្នកនៅពេលមានសកម្មភាពណាមួយគួរឲ្យសង្ស័យថែមទៀតផង៕
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន gbhackers ចុះផ្សាយថ្ងៃទី០៦ ខែកក្កដា ឆ្នាំ២០២១