Tại sao không nên Plublic các Plugin đang sử dụng.

wordpress-plugin

Bản thân đã từng bị Local và hack nhiều quá nên giờ có chút gọi là kinh nghiệm, cho một số AE mới bước thế giới của nửa đen, nửa trắng.

Cách đây vài tuần mình thấy ThachPham.com có công khai các Dịch vụ và Plugin đang sử dụng cho WordPress, đó là điều hoàn toàn đúng trong hoàn cảnh của Thạch bị DDoS và tấn công Local liên tục.

Plublic các dịch vụ là cậu ấy muốn nói với Attacker rằng, Website của cậu ấy trang bị các dịch vụ phòng thủ và đừng nên phí sức và tiền bạc của 2 bên.

DDoS thì đã có Incapsula gánh, Local hay bất kỳ thay đổi nào của website đều được thông báo qua mail và SMS cho cậu ấy và Restore chỉ mất có vài giây với VaultPress.
Các Plugin bị lỗi Bug thì đã có các Plugin Beyond Security, Sucuri Premium cập nhật liên tục để thông báo update hoặc loại bỏ.

Gần như Website của cậu ấy là rất khó, nếu không nói là không thế tấn công theo các cách thông thường.

Như chúng ta đã biết WordPress là do cộng đồng phát triển, những lỗi Bug của nó đều được phát hiện sớm và khắc phục nhanh chóng. Nhưng các Plugin thì không phải vậy, nó do một cá nhân hay tập hợp 1 số người làm ra và thường xuyên gặp phải các lỗi có thể khai thác nhưng rất chậm để phát hiện vá lỗi.

Mình thấy một số diễn đàn nước ngoài họ bán các thông tin Bug của Plugin phổ biến, ban đầu giá rất cao, sau đó hạ giá khá thấp, đến khi công khai ở các trang tin tức và được vá lỗi là 1 khoản thời gian khá dài.

Đặt trường hợp 1 người nào đó nắm được kỹ thuật khai thác lỗi, của một Plugin nào đó mà bạn đã công bố, vậy họ sẽ áp dụng với Website nào đầu tiên ?

“Bài viết chỉ mang tính cá nhân có thể không đúng ở một số trường hợp, chấp nhận thảo luận nhưng không ‘chơi CHỬ’ nhé!”

Updated: 28/07/2016 — 9:47 chiều
Dương Triều Blog © 2016