ព័ត៌មាន

ពួកហេគឃ័រចូលទៅកាន់គេហទំព័រ WordPress ជាច្រើនតាមរយៈ plug-in ដែលប្រើប្រាស់លែងបាន

ប្រសិនបើអ្នកជាអ្នកគ្រប់គ្រងប្លក WordPress admin ប្រើកម្មវិធីជំនួយដែលមានឈ្មោះថា Rich Reviews អ្នកចង់លុប uninstall វា។ ឥឡូវ​នេះ កម្មវិធីជំនួយដែលមិនត្រូវបានការពារ ដែលអនុញ្ញាត ឱ្យអ្នកធ្វើបាបឆ្លងគេហទំព័រដែលកំពុងដំណើរការប្លក WordPress និងបង្វែរអ្នកប្រើទៅកាន់គេហទំព័រ ផ្សេងទៀត។ ការពិនិត្យឡើងវិញដ៏សម្បូរបែបគឺជាកម្មវិធីជំនួយប្លក WordPress plugin ដែលអនុញ្ញាត ឱ្យគេហទំព័រគ្រប់គ្រងការពិនិត្យមើលផ្ទៃក្នុងនៅក្នុងប្លក WordPress និងបង្ហាញ Google Display reviews សម្រាប់អាជីវកម្មដែលស្ថិតនៅក្រោមលទ្ធផលនៃការស្វែងរក។

ក្រុមហ៊ុនទីផ្សារ Nuanced Media បានចេញផ្សាយវារួមគ្នាជាមួយអ្នកអភិវឌ្ឍន៍កម្មវិធី Foxy Technology កាលពីខែមករា ឆ្នាំ ២០១៣។ បញ្ហានេះមិនយូរទេ ការធ្វើបច្ចុប្បន្នភាព old blog post នៅដើមខែនេះ Nuanced Media បានបញ្ជាក់ជាថ្មីថាវាបានបញ្ឈប់កម្មវិធីជំនួយនេះហើយ។ វាបានស្តីបន្ទោសការផ្លាស់ប្តូរនៅក្នុង គោលការណ៍ណែនាំរបស់ Google ដែលបានបញ្ឈប់ពាណិជ្ជករបង្ហាញការផ្តល់ចំណាត់ថ្នាក់ star rating ពិនិត្យឡើងវិញនៅលើ URLs របស់ពួកគេ។  ការធ្វើឱ្យទាន់សម័យចុងក្រោយរបស់ក្រុមហ៊ុនទៅ Rich Reviews GitHub គឺមានរយៈពេលជាងបីឆ្នាំមកហើយ។ ទីបំផុតកម្មវិធីជំនួយបានបាត់ពី គេហទំព័រប្លក WordPress នៅខែមីនាឆ្នាំនេះ។ វាមានចំនួនសរុប ១០៦,០០០ downloads។  បញ្ហាគឺយ៉ាងហោចណាស់មានអ្នកទាញយកកម្មវិធីទាំងនោះ (១៦.០០០ នាក់ដោយការប៉ាន់ស្មានខ្លះ) នៅតែកំពុងប្រើវា ហើយត្រូវបានជាប់គាំងដោយភាពងាយរងគ្រោះ។ កំហុសសុវត្ថិភាពអនុញ្ញាតឱ្យ អ្នកវាយប្រហារវាយបញ្ចូលលេខកូដខុសប្រក្រតីចូលទៅក្នុងទំព័រប្លក WordPress របស់ជនរងគ្រោះ ដោយបោះឲ្យពួកគេនូវការផ្សាយពាណិជ្ជកម្មដែលលេចចេញមក ឬបញ្ជូនបន្តទៅគេហទំព័រ ផ្សេងទៀត។

Wordfence ដែលលក់ WordPress firewall បានបង្ហាញពីកំហុសកាលពីថ្ងៃអង្គារ។ អ្នកវាយប្រហារ ពឹងផ្អែកលើចំណុចខ្វះខាតពីរនៅក្នុងកម្មវិធីជំនួយ។ ទីមួយគឺកង្វះការគ្រប់គ្រងការចូលសម្រាប់សំណើ POST ដែលកែប្រែ option របស់កម្មវិធីជំនួយ មានន័យថាអ្នកវាយប្រហារអាចធ្វើការស្នើសុំទាំងនោះ ដោយគ្មានការអនុញ្ញាត។ កំហុសទីពីរគឺជាគុណវិបត្តិនៃការបញ្ចូល។ ការស្នើសុំកែប្រែខ្លះអាចផ្លាស់ប្តូរ អត្ថបទដែលបង្ហាញនៅលើគេហទំព័រ ប៉ុន្តែកម្មវិធីជំនួយមិនមានសុពលភាព content នៃសំណើទេ។ គុណវិបត្តិទាំងពីរនេះរួមបញ្ចូលគ្នាមានន័យថាអ្នកវាយប្រហារអាចបញ្ចូលកូដ JavaScript ដោយផ្ទាល់ ទៅលើគេហទំព័រ។ អ្នកវាយប្រហារកំពុងតែឆ្លៀតឨកាសទាញយកប្រយោជន៍ពីកំហុសនេះ។ វាត្រូវ បានគេប្រើជាផ្នែកមួយនៃយុទ្ធនាការដែលដំណើរការខុសប្រក្រតីជាយូរមកហើយ ដែលក្រុមហ៊ុន បានរាយការណ៍ពីមុនដែលក្នុងនោះអ្នកវាយប្រហារបានបង្វែរអ្នកប្រើទៅកាន់ទីតាំងរបស់អ្នកវាយ ប្រហារដោយផ្ទាល់ដើម្បីវាយប្រហារ browser របស់ពួកគេ។

អ្នកប្រើប្រាស់ប្លក WordPress មួយចំនួនបានបញ្ជាក់ថាពួកគេបានទទួលរងគ្រោះពីការកេងប្រវ័ញ្ច រួចហើយដោយផ្អែកលើភាពងាយរងគ្រោះនេះ។ Posting នៅក្នុងវេទិកាគាំទ្រប្លក WordPress អ្នកប្រើប្លក WordPress @ the9mm បានព្រមានថា កម្មវិធីជំនួយនេះបានអនុញ្ញាតឱ្យមេរោគឆ្លងចំនួន 3 ក្នុងចំនោម4 sites ដោយបង្វែរអ្នកចូលទៅកាន់គេហទំព័រមេរោគ និង sites អាសអាភាស។ នាងបានបន្ថែមទៀតថា៖ ធ្វើឱ្យអសកម្ម និងលុបកម្មវិធីជំនួយដើម្បីដោះស្រាយបញ្ហានេះ។ សារព័ត៌មាន Nuanced Media បានឆ្លើយតបភ្លាមៗនៅក្នុងវេទិកាដដែលនេះដោយពន្យល់ថាវាកំពុង ធ្វើការលើការជួសជុលដែលនឹងមានក្នុងរយៈពេល ២សប្តាហ៍ខាងមុខ៖  យើងបានធ្វើការសរសេរឡើងវិញនូវកម្មវិធីជំនួយនេះមួយរយៈមកហើយ ប៉ុន្តែមានអ្នកណាម្នាក់នៅ ទីនោះចង់អោយយើងធ្វើការលឿនជាងមុន ហើយបានសំរេចចិត្ត exploit កម្មវិធីជំនួយរបស់យើង ហើយទទួលបានមេរោគនៅទីនោះ។ ឥឡូវនេះយើងនឹងបង្កើនល្បឿនទ្វេដងលើវា ហើយសង្ឃឹមថា នឹងអាច back up (ហើយកក់ក្ដៅ និងមានសុវត្ថិភាព) ក្នុងរយៈពេល២សប្តាហ៍ខាងមុខនេះ។

ទោះយ៉ាងណាក៏ដោយ Wordfence មិនបានចាប់អារម្មណ៍ទេ។ អ្នកប្រើមិនអាចធ្វើបច្ចុប្បន្នភាពកម្មវិធី ជំនួយនេះបានទេ លុះត្រាតែ Nuanced Media បង្កើតឡើងវិញនៅលើគេហទំព័រ WordPress។ វាក៏បានរិះគន់ថា “ការកំណត់ពេលវេលា timeline មិនច្បាស់” របស់ក្រុមហ៊ុន Nuanced Media ចំពោះ ការជួសជុល ដែលនេះជាមូលហេតុដែលខ្លួនសំរេចបង្ហាញបញ្ហានេះជាបន្ទាន់ដើម្បីឱ្យអ្នកប្រើអាច បញ្ចៀសបញ្ហានោះ។ រឿងច្បាស់មួយ: Nuanced Media បានដឹងថា មានបញ្ហាសន្តិសុខមួយជាមួយ កម្មវិធីជំនួយនេះនៅក្នុងខែមីនា។ ទំព័រកម្មវិធីជំនួយដកស្រង់មូលហេតុនៃការដកចេញជាបញ្ហា សន្តិសុខ ទោះបីជាវាមិនច្បាស់ថាជាបញ្ហាអ្វីក៏ដោយ។ នាយកប្រតិបត្តិ Nuanced Media លោក Ryan Flannagan បានប្រាប់យើងថា វាគឺជាប្លក WordPress ដែលបានដកកម្មវិធីជំនួយចេញនៅក្នុងខែ មីនា។ ការដកយក ការពិនិត្យឡើងវិញដ៏សំបូរបែបចេញពីឃ្លាំងកម្មវិធីជំនួយប្លក WordPress បានលុប វាចេញផងដែរ។ លោកបាននិយាយថាក្រុមហ៊ុននឹងមិនគាំទ្រការពិនិត្យឡើងវិញរបស់ក្រុមហ៊ុន Rich ក្នុងរយៈពេលវែងដោយសន្និដ្ឋានថា៖  វាជាការគួរឱ្យព្រួយបារម្ភដែលដឹងថាអ្វីមួយដែលយើងបាន បង្កើតកំពុងត្រូវបានប្រើជាវ៉ិចទ័រនៃការវាយប្រហារ៖ ធ្វើឱ្យប៉ះពាល់ដល់អាជីវកម្មអ្នកគ្រប់គ្រង គេហទំព័រ ដែលគួរឱ្យធុញទ្រាន់ និងទទួលបានអត្ថប្រយោជន៍យ៉ាងខ្លាំងពីអ្នកផ្ញើសារឥតបានការ។ ទោះយ៉ាងណាដោយសារតែការធ្វើបច្ចុប្បន្នភាព Google Schema ថ្មីៗ និងវិសាលភាពនៃគម្រោង Nuanced Media នឹងមិនគាំទ្រដល់ការបន្តអភិវឌ្ឍនៃការពិនិត្យឡើងវិញដ៏សម្បូរបែបទេ។

លោកបានបន្ថែមថាក្រុមហ៊ុនកំពុងស្វែងរកអ្នកអភិវឌ្ឍន៍ដែលចាប់អារម្មណ៍ក្នុងការទទួលយកការ អភិវឌ្ឍន៍កម្មវិធីជំនួយ។ ការលើកឡើងនេះជាសំណួរគួរឱ្យចាប់អារម្មណ៍សម្រាប់សហគមន៍ប្លក WordPress។ ប្រសិនបើក្រុមហ៊ុនផ្សព្វផ្សាយកម្មវិធីជំនួយ ហើយមនុស្សរាប់ពាន់នាក់ប្រើវាតើវាមាន កាតព្វកិច្ចជួសជុលកំហុសសុវត្ថិភាព ដែលត្រូវបានគេស្គាល់ឱ្យបានឆាប់តាមដែលអាចធ្វើបានទេ បើទោះបីជាកម្មវិធីជំនួយត្រូវបានដកចេញក៏ដោយ?  Automattic ដែលបង្កើតប្លក WordPress មិនបាន ឆ្លើយតបនឹងសំណួររបស់យើងទេ។ ទោះយ៉ាងណាលោក Mikey Veenstra អ្នកវិភាគការគំរាមកំហែង នៅឯ Wordfence ដែលបានចុះផ្សាយអំពីកំហុសនោះបានឆ្លើយថា៖ ជាសំណាងល្អក្នុងករណីភាគ ច្រើនយើងឃើញអ្នកអភិវឌ្ឍន៍ឆ្លើយតបដែលយកចិត្តទុកដាក់លើសុវត្ថិភាពយ៉ាងខ្លាំងហើយជាអ្នក ជំរុញឱ្យដោះស្រាយបញ្ហា។ ទោះយ៉ាងណាក៏ដោយវាតែងតែមានករណីលើកលែងដូចនេះ។ លោកបានសន្និដ្ឋានថាគោលដៅធំបំផុតសម្រាប់សហគមន៍គឺផ្តោតលើការអប់រំអ្នកអភិវឌ្ឍន៍អំពីការ អនុវត្តល្អៗ។

 image