How to secure your Joomla site.
หลายๆ ท่านอาจจะมีคำถาม หรือ อาจจะเคยได้ยินคนบอกว่า ใช้ Joomla Hack ง่าย ในความเป็นจริงไม่ว่าคุณจะใช้ CMS ใดๆ หรือจะพัฒนาขึ้นมาเอง ก็มีความเสี่ยงอยู่ด้วยกันทั้งนั้น หากคุณไม่ดูแล ไม่อัพเดด ไม่คอยเช็คตรวจสอบถึงช่องโหว่ที่มีคนค้นพบ เช่นปัจจุบันถ้าหากคุณใช้ Joomla 1.5.x อยู่และยังไม่ได้อัพเดดให้เป็น Joomla 1.5.26 แล้วละก็ผมยืนยันได้ตรงนี้ว่า เว็บไซต์คุณอยู่ในสถานะไม่ปลอดภัย นอกจากตัว Joomla แล้ว Extensions เสริมต่างๆ ที่คุณใช้งานก็เช่นเดียวกัน ก็ต้องหมั่นเช็คและตรวจสอบกับเว็บไซต์ของผู้พัฒนาว่าเขามีการอัพเดดอะไรบ้างไหม หรือมีคนเคยรายงานถึงความไม่ปลอดภัยใน extensions (module,component,plugin,template) ไว้บ้างหรือไม่
นอกจากการถูก Hack เปลี่ยนหน้าแล้ว ก็ยังมีลักษณะที่เรียกว่า ติด Malware ทำให้ Browser ฟ้องว่าเว็บนี้ไม่ปลอดภัย ซึ่งเท่าที่ผมพบจากเว็บลูกค้าที่ติดต่อมาให้ทางทีมมาร์เวลิค แก้ไขให้ นั้น ส่วนใหญ่แล้วจะเกิดจาก เว็บไซต์ไม่ได้อัพเดดจูมล่าเลยส่วนใหญ่ก็ใช้ Joomla ต่ำกว่าเวอร์ชั่น 1.5.26 รวมถึงมีการใช้ extensions รวมถึง Template ที่ไม่ได้ซื้อมาจากเว็บผู้พัฒนา ทีนี้เราจะทำเว็บ Joomla ของเราให้ปลอดภัยได้อย่างไร
- อัพเดด Joomla เป็นเวอร์ชั่นล่าสุดเช่น ถ้าใช้ Joomla 1.5.x อยู่ คุณก็ต้องอัพเดดให้เป็น Joomla 1.5.26 หรือใช้ Joomla 2.5.x อยู่ก็ต้องอัพเดดให้เป็น Joomla 2.5.7 (ตัวเลข ณ วันที่ 18 กันยายน 2555)
- สำหรับท่านที่ใช้ Joomla 1.5.x ให้สร้าง User ที่เป็นระดับ Super Administrator ขึ้นมาใหม่ และ block การใช้งานของ User admin เดิมหรือเปลี่ยน Group ของ Admin เดิมให้เป็นเพียง Registered เนื่องจากเว็บ Joomla 1.5.x นั้น จะสร้าง user คนแรกให้ชื่อว่า admin และมีหมายเลข ID คือ 62 เหมือนกัน ส่วนใน Joomla 2.5 จะไม่มีกรณีแบบนี้
- ตรวจสอบ Extensions เสริมที่นำมาใช้งาน ว่าอัพเดดอยู่ในเวอร์ชั่นที่ปลอดภัยหรือไม่ หรือหากติดอยู่ใน List ของตัวที่ไม่ปลอดภัยและไม่มีตัวแก้ไข ก็ต้อง Uninstall ออกไปห้ามติดตั้งทิ้งไว้เด็ดขาด เช่น 3 ตัวนี้ครับ Ninja Explorer , Extplorer , File Explorer
- ไม่โหลด extensions รวมถึง template ที่เป็น Commercial (ตัวขาย) จากเว็บอื่นที่ไม่ใช่เว็บของผู้พัฒนา รวมถึง CD Template ละเมิดลิขสิทธิ์ต่างๆ เพราะอาจจะมีโค้ด malware ฝั่งมาก็ได้
- เลือกใช้โฮส ที่มีความปลอดภัย เหมือนเราเลือกทำเลที่อยู่ของบ้านเราครับ ว่ามีรั้ว มียามตรวจดูอย่างดี มีระบบกันขโมย อะไรไหม ทำนองนั้นครับ เพราะถ้าโฮส ไม่ปลอดภัยเว็บเราก็อาจจะไม่ปลอดภัยจากระดับของโฮสก็ได้เช่นกันครับ
ที่กล่าวมาเป็นการปฏิบัติเบื้องต้น ส่วนท่านที่อยากเพิ่มการป้องกันให้มากขึ้นไปอีก ก็ยังมีอีกหลายวิธี ขึ้นอยู่กับความ paranoia หรือการให้ความสำคัญเรื่อง Security ของแต่ละคน และนั่นหมายถึงการลงทุนที่เพิ่มขึ้น เหมือนเราติดสัญญากันขโมยในบ้านเรา จะติดกล้องวงจรปิด ตรวจจับความเคลื่อนไหว แล้ว ส่ง sms มาหาเรา หรือจ้างยามมาเดินตรวจตราตลอดเวลา อะไรประมาณนั้นครับ ในส่วนของ Joomla มีอะไรให้เราใช้ได้บ้าง
- กลัวคนจะรู้ว่าใช้ Joomla ข้อนี้แนะนำว่าจงกลัวครับสำหรับคนที่ไม่ยอมอัพเดดเวอร์ชั่น ส่วนท่านที่อัพเดดอย่างสม่ำเสมออยู่แล้วก็ไม่ต้องกลัวครับ
- เอา Meta generator ออก ก็มี extensions ให้เลือกใช้หลายตัว ดูได้ที่ http://extensions.joomla.org/extensions/site-management/seo-a-metadata/generator-tag
- ไม่ให้คนเห็นว่ามีหน้า /administrator ก็มี extensions ให้เลือกใช้หลายตัว ดูได้ที่ http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection
- ติดตั้ง Extensions ป้องกันและตรวจจับ การโจมตี ก็มีหลายตัวให้เลือกใช้เช่นกัน ดูได้ที่ http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection
ลองตรวจดูเว็บจูมล่าของท่านดูกันนะครับว่าใช้อะไรกันอยู่บ้าง อยู่ในเวอร์ชั่นเสี่ยง หรือไม่ ก็รีบอัพเดดอย่าปล่อยจนถูก Hack แล้วก็มาโทษว่าจูมล่าห่วย จูมล่า Hack ง่าย ทั้งๆ ที่ท่านละเลยไม่ได้ดูแล เหมือนปล่อยให้ประดูบ้านชำรุดแล้วไม่ซ่อมแซมจนขโมยเข้าบ้านครับ ส่วนองค์กรใดต้องการบริษัทดูแล Maintanance เว็บไซต์จูมล่าของท่าน ก็ติดต่อได้ที่ บริษัทมาร์เวลิค เอ็นจิ้น จำกัดครับ http://marvelic.co.th โทร 027171120-1