จากตอนที่ CAPTCHAs ไม่มี ไม่ได้แล้ว นั้น เราจะพอเห็นวิธีการโจมตี Web Application ที่มี Form ให้ใครก้ได้ทำการ Post ข้อมูลเข้ามานะครับ .. เพื่อให้เห็นภาพจริง Blog ที่ใช้ WordPress ก็มีจุดอ่อนตรงนี้ ดังภาพ
แน่นอน การโจมตีแบบนี้ ต้องเขียน Bot มาสักตัว แล้วเลือกเป้าหมาย ถ้าเขียน Bot ให้ฉลาดหน่อยก็สามารถโจมตีได้หลายรูปแบบ อาจโจมตีแบบ XSS หรือ SQL Injection ร่วมด้วย คราวนี้มาดูสิว่า จะป้อนกันโดยการใช้ CAPTCHAs กันอย่างไร
สำหรับใครที่เป็น Admin ของ Blog ที่ใช้ WordPress นั้น ปัจจุบันที่เขียนนี้ WordPress อยู่ที่ Version
ให้เข้าไปที่ Website ของ WordPress ที่ http://wordpress.org โดยคลิ๊กที่เมนู Extend และเลือก Plugins Directory และ Search โดยค้นคำว่า CAPTCHA จะพบ Plugins ที่มีผู้พัฒนาเป็นจำนวนมาก โดยผมเลือกจากยอดผู้ Download และให้คะนนสูง ๆ หน่อย เช่น
ลองคลิ๊กเข้าไปดูจะพบ วิธีการติดตั้ง และตัวอย่างหน้าจอ ดังภาพ
ซึ่ง Plugins ตัวนี้น่าสนใจอยู่ที่ ตัวอักษรค่อนข้างตัวใหญ่ จะเป็นประโยชน์กับผู้ใช้งาน เนื่องจากอ่านง่าย รวมทั้งมีรูปลำโพง เมื่อกด จะออกเสียง ในกรณีที่ผู้ใช้ต้องการความช้ดเจน ว่าเป็นตัวอักษรตัวใดกันแน่ รวมทั้งหากอ่านไม่ออก มีให้คลิ๊ก Refresh เพื่อขอ CAPTCHAs ใหม่ แหม ดูแล้วก็ครอบคลุมค่อนข้างดี
สรุป สำหรับใครที่เป็น Admin ของ Blog ที่ใช้ WordPress หรือเอา WordPress มา Modify ควรเพิ่ม Plugins นี้เข้าไป เพื่อป้องกันการโจมตีโดยใช้ Bot ท่านอาจโชคดีที่ WordPress.org มี Module Plugins ที่มีผู้พัฒนา Plugins ด้านต่าง ๆ อยู่ตลอดเวลา
แต่สำหรับ Web Admin ที่ดูแล Application อื่น ๆ ล่ะ ไม่ว่าจะพัฒนาเอง หรือเอา OpenSource มา Modify ก็ควรระวังด้วยครับ .. ไม่เช่นนั้น ท่านอาจโดน Bot เล่นงาน ซึ่งต้องเสียเวลามานั่งลบ ในกรณีโดนน้อย ๆ แต่ถ้าท่าน โดย Bot โจมตีตลอด Server ท่านก็ต้องทำงานหนักขึ้น เปลืองเนื้อที่มากขึ้น User ที่ใช้ระบบงานท่านก็จะหงุดหงิดเพิ่มขึ้นเรื่อย ๆ .. ป้องกันเสียก่อนจะเกิดเหตุการนั้นนะครับ … จะดีที่สุด
ขอบพระคุณที่สนใจอ่าน
- Reference :
- wordpress : http://wordpress.org
ขอบคุณครับ
ชอบคุณมากครับ
ขอบคุณมากครับผม
เยี่ยมคับ
ขอเอาไปใช้หละครับ