flag
02-957-8755
info@aosoft.co.th
Mon. - Fri. 09:00 - 17:30

บริษัท เอโอซอฟต์ จำกัด ผู้ให้บริการออกแบบเว็บไซต์ และ จัดทำเว็บไซต์อย่างครบวงจร เราสามารถปรับราคาแพคเกจ ได้ตามความต้องการของลูกค้า ตามงบปประมาณของลูก ด้วยประสบการณ์มากกว่า 10 ปี

phone
02-957-8755

Mon - Fri : 9 am - 5.30 pm

phone
info@aosoft.co.th

online support

phone
AOSOFT CO.,LTD.

91/940 หมู่ 3 บึงยี่โถ ธัญบุรี ปทุมธานี 12130

Blog Details

  • Home
  • Blog
  • Blog Details
WordPress ถูกโจมตีบ่อยทางไหนบ้าง ?

WordPress ถูกโจมตีบ่อยทางไหนบ้าง ?

author Posted by
Admin

WordPress ถูกโจมตีบ่อยทางไหนบ้าง?

WordPress เป็น CMS ที่ได้รับความนิยมสูงที่สุดในโลก จึงตกเป็นเป้าหมายการโจมตีจากผู้ไม่หวังดีอยู่เสมอ การเข้าใจช่องทางการโจมตีที่พบบ่อยจะช่วยให้ผู้ใช้งานสามารถวางมาตรการป้องกันได้ดียิ่งขึ้น

1. ช่องโหว่ใน Plugin / Theme

กว่า 90% ของการแฮก WordPress มาจากช่องโหว่ในปลั๊กอินหรือธีม โดยเฉพาะปลั๊กอินยอดนิยมที่มีผู้ใช้งานจำนวนมาก มักมีช่องโหว่ด้าน SQL Injection, File Upload, หรือ XSS ซึ่งอาจทำให้ผู้โจมตีอัปโหลดโค้ดอันตรายขึ้นเซิร์ฟเวอร์ได้

2. รหัสผ่านอ่อน / Brute Force Attack

ผู้โจมตีใช้ Bot เดารหัสผ่านบนหน้า /wp-login.php หรือ /xmlrpc.php หากผู้ใช้งานตั้งรหัสผ่านอ่อน เช่น 123456 หรือ admin123 ก็มีโอกาสถูกเจาะระบบได้ง่าย

3. Core WordPress ไม่อัปเดต

แม้ว่า WordPress Core จะมีการอัปเดตความปลอดภัยอยู่เสมอ แต่ถ้าผู้ใช้งานละเลยไม่อัปเดต ก็อาจเปิดช่องให้ถูกโจมตีได้ เช่น การยกระดับสิทธิ์ (Privilege Escalation) หรือ Remote Code Execution (RCE)

4. การโจมตีผ่านการอัปโหลดไฟล์

หากระบบอนุญาตให้ผู้ใช้สามารถอัปโหลดไฟล์โดยไม่ตรวจสอบอย่างเข้มงวด ผู้โจมตีอาจอัปโหลดไฟล์ .php หรือ WebShell และรันคำสั่งอันตรายบนเซิร์ฟเวอร์ได้โดยตรง

5. SQL Injection (SQLi)

ช่องโหว่นี้มักเกิดจากปลั๊กอินที่ใช้คำสั่ง mysqli_query() โดยไม่กรองข้อมูลอย่างถูกต้อง ทำให้ผู้โจมตีสามารถแก้ไขข้อมูลในฐานข้อมูลได้ เช่น เปลี่ยนรหัสผ่านผู้ดูแลระบบ หรือเปลี่ยนเส้นทางเว็บไซต์ไปยังเว็บอันตราย

6. Cross-Site Scripting (XSS)

ผู้โจมตีสามารถแทรก JavaScript อันตรายลงในคอมเมนต์, หน้าเพจ หรือการตั้งค่า หากผู้ดูแลระบบเปิดหน้าเหล่านี้ในขณะที่ล็อกอินอยู่ สคริปต์จะถูกเรียกใช้งานและอาจส่งคำสั่งแทนผู้ดูแลระบบได้

7. การตั้งค่า Server ไม่ปลอดภัย

การกำหนดสิทธิ์ไฟล์และโฟลเดอร์ไม่ถูกต้อง (เช่น 777), การเปิด Directory Listing หรือการไม่บังคับใช้ HTTPS ล้วนเป็นช่องโหว่ที่เปิดโอกาสให้ผู้โจมตีเข้าถึงระบบได้ง่ายขึ้น

แนวทางการป้องกัน WordPress

  • อัปเดต Core, Plugin และ Theme ให้เป็นเวอร์ชันล่าสุดเสมอ
  • ใช้รหัสผ่านที่แข็งแรง และเปิดใช้งาน Two-Factor Authentication (2FA)
  • ปิดการเข้าถึง xmlrpc.php หากไม่ใช้งาน
  • จำกัดสิทธิ์การอัปโหลดไฟล์ และปิดการรันไฟล์ .php ในโฟลเดอร์ uploads
  • ตั้งสิทธิ์ไฟล์และโฟลเดอร์ให้ถูกต้อง เช่น 644/755
  • ใช้ Web Application Firewall (WAF) เช่น Cloudflare, ModSecurity
  • ปิดการแก้ไขไฟล์ผ่าน Dashboard ด้วยการเพิ่มใน wp-config.php
    define('DISALLOW_FILE_EDIT', true);
  • ใช้ Plugin ด้านความปลอดภัย เช่น Wordfence หรือ iThemes Security
  • ตรวจสอบ Log และตั้งระบบแจ้งเตือนเมื่อมีไฟล์หรือ Query ที่ผิดปกติ
  • เปลี่ยน Prefix Database จาก wp_ เป็นค่าอื่นเพื่อความปลอดภัย

การป้องกัน WordPress ควรใช้แนวคิด Defense in Depth คือป้องกันหลายชั้น ทั้งระดับแอปพลิเคชัน, เว็บเซิร์ฟเวอร์ และฐานข้อมูล เพื่อให้เว็บไซต์มีความปลอดภัยสูงสุด

Share:
Register

Aosoft.co.th

Complete Registration!