
ดิจิทัล วอลเล็ต มีความเสี่ยงที่จะถูกแฮ๊ก ผู้เชี่ยวชาญชี้ ‘ทางรัฐ’ สร้างขึ้นจาก ‘WordPress’ ซึ่งเป็นเวปสำเร็จรูปที่มีความปลอดภัยต่ำ
นายภาวัต พุฒิดาวัฒน์ ผู้เชี่ยวชาญด้านระบบ IT และระบบ e Commerce โพสต์เฟสบุ๊กเตือนถึงความเสี่ยงของเว็บไซต์ทางรัฐ ซึ่งจะถูกใช้เป็นช่องทางหลักของโครงการแจกเงินดิจิทัล วอลเล็ต 10,000 บาท และแนะนำแนวทางในการระวังป้องกันความเสี่ยงจากการถูกแฮ๊ก เมื่อวันที่ 29 ก.ค. 2567 โดยมีข้อความว่า
“ไม่อยากจะเชื่อเว็บไซต์หลัก ทางรัฐ . com ทำด้วย WordPress จริงๆ จากใจคนที่ทำเว็บด้วย WP มา 10 กว่าปี เปลี่ยนได้เปลี่ยนเถอะ เสี่ยงจริงๆ
**คำแนะนำถ้าใช้ WP สำหรับ Project ใหญ่ๆระดับชาติ
– ไม่ควรใช้ลิงค์ล๊อกอินพื้นฐานของระบบเลย
– เปลี่ยนพวก URL หรือ Parth ที่พวก Hacker Track ได้เช่น wp-admin, wp-content
– แกะ source code มาต้องดูไม่รู้ว่าเป็น WP
– ดูเรื่องการตั้งค่า Permission ดีๆอย่าให้ใครเขียนไฟล์ง่ายๆห้ามตั้ง 777
– ต้องระวังเรื่อง Sql Injection ดีๆเพราะมันจะเข้ามาเปลี่ยน Content ในเว็บนี้ได้
– ตรงปุ่มดาวน์โหลด App ดูให้ดี ดูตลอดเวลา ทุกวัน! เพราะถ้ามันจะ Hack มันจะเปลี่ยนตรงนี้แหละ
– คอยระวังเรื่องการ Re-Direct Website ดีๆ
– ส่วนของ Admin ควรล๊อกให้เข้าได้เฉพาะคนไทย เพราะผู้ดูแลคงอยู่ในไทย
– อัพเดท WP ให้เป็นเวอร์ชั้นปัจจุบัน
– มี Dev Ops เก่งๆคอย Monitor อยู่เสมอ
แค่นี้ก็น่าจะปลอดภัยไปได้เยอะ ส่วนเรื่อง App ไม่น่ากังวลเพาะโหลดตรงได้จาก iOS, Google Play ได้, ด้วยความหวังดี”
นายวิวัธน์ จิโรจน์กุล ผู้กำกับภาพยนตร์การ์ตูนแอนิเมชั่น 2475 Dawn of Revolution รีโพสต์ข้อความข้างต้น พร้มเขียนแคปชั่นว่า
“เคยมีประสบการณ์ครับ มีลูกค้ารับงานรัฐ ทำระบบเว็บให้หน่วยงานนึง แล้วมาจ้างเรา 3 หมื่นบอกว่า ใช้ wordpress ทำ พอเราไปเข้าประชุมกับหน่วยงาน เห็นสเกลงาน เฮ้ยมันไม่ใช่ wordpress ละ เพราะต้องทำระบบ security ระบบสมาชิกเชื่อมกับดาต้าเบสของหน่วยงาน ยุบยิบไปหมด
พยายามถามในที่ประชุม ว่า ระบบนี้ควรดีไซน์ขึ้นมาใหม่ใช่มั้ยครับ ทางหน่วยงานเหมือนจะรู้ ยืนยันว่าต้องออกแบบใหม่โดยเฉพาะ ไม่ใช้เว็บสำเร็จรูป
เท่านั้นแหละ พอประชุมเสร็จ ก็เลยไปนั่งกินกาแฟ บอกลูกค้าว่า ใช้ wordpress ไม่ได้นะครับ งานนี้ต่ำๆมี 3-5แสน ลูกค้าไม่เชื่อ บอก wordpress ก็ทำได้ เพราะปลั๊กอินมันมีเยอะแยะ เราก็ยืนยันว่าทำไม่ได้ แล้วบอกว่า พี่เตรียมเงิน 5 แสน ไปหาคนทำระบบเถอะ และเพื่อยืนยันว่าไม่ได้หิวเงิน หรืออยากได้เงินเยอะๆ ก็บอกไปว่า ผมขอไม่รับงานนี้นะครับ ผมทำไม่ได้จริงๆ
งานนั้นไม่รู้เป็นไงต่อนะ นี่ก็งง ลูกค้าไปประมูลงานมาได้ไง ไม่รู้เรื่องระบบเว็บเลย แต่ไม่ใช่ความรับผิดชอบเรา เราโดดก่อน ไม่รู้เคสนี้เป็นเหมือนกันรึเปล่า”