How to secure your Joomla site.

หลายๆ ท่านอาจจะมีคำถาม หรือ อาจจะเคยได้ยินคนบอกว่า ใช้ Joomla Hack ง่าย ในความเป็นจริงไม่ว่าคุณจะใช้ CMS ใดๆ หรือจะพัฒนาขึ้นมาเอง ก็มีความเสี่ยงอยู่ด้วยกันทั้งนั้น หากคุณไม่ดูแล ไม่อัพเดด ไม่คอยเช็คตรวจสอบถึงช่องโหว่ที่มีคนค้นพบ เช่นปัจจุบันถ้าหากคุณใช้ Joomla 1.5.x อยู่และยังไม่ได้อัพเดดให้เป็น Joomla 1.5.26 แล้วละก็ผมยืนยันได้ตรงนี้ว่า เว็บไซต์คุณอยู่ในสถานะไม่ปลอดภัย นอกจากตัว Joomla แล้ว Extensions เสริมต่างๆ ที่คุณใช้งานก็เช่นเดียวกัน ก็ต้องหมั่นเช็คและตรวจสอบกับเว็บไซต์ของผู้พัฒนาว่าเขามีการอัพเดดอะไรบ้างไหม หรือมีคนเคยรายงานถึงความไม่ปลอดภัยใน extensions (module,component,plugin,template) ไว้บ้างหรือไม่

นอกจากการถูก Hack เปลี่ยนหน้าแล้ว ก็ยังมีลักษณะที่เรียกว่า ติด Malware ทำให้ Browser ฟ้องว่าเว็บนี้ไม่ปลอดภัย ซึ่งเท่าที่ผมพบจากเว็บลูกค้าที่ติดต่อมาให้ทางทีมมาร์เวลิค แก้ไขให้ นั้น ส่วนใหญ่แล้วจะเกิดจาก เว็บไซต์ไม่ได้อัพเดดจูมล่าเลยส่วนใหญ่ก็ใช้ Joomla ต่ำกว่าเวอร์ชั่น 1.5.26 รวมถึงมีการใช้ extensions รวมถึง Template ที่ไม่ได้ซื้อมาจากเว็บผู้พัฒนา ทีนี้เราจะทำเว็บ Joomla ของเราให้ปลอดภัยได้อย่างไร

หลายท่านที่ Follow Twitter ผม คงเห็นผมพูดถึง FLEXIcontent อยู่บ้างเป็นระยะๆ FLEXIcontent เป็น extension เสริมสำหรับจูมล่า ซึ่งพัฒนาโดย Emmanuel Danan ร่วมกับ ทีมบริษัทมาร์เวลิค เอ็นจิ้น จำกัด เว็บไซต์หลักคือ http://www.flexicontent.org หน้าเว็บอาจจะไม่ค่อยอับเดดเท่าไหร่ เนื่องจากคุณ Emmanuel หนีน้ำท่วมในไทย แต่ท่านก็สามารถติดตามความเคลื่อนไหวได้ใน ฟอร์รัม และ svn ที่มีการพัฒนาอย่างต่อเนื่อง ปัจจุบันกำลังพัฒนาอยู่ทั้ง 2 เวอร์ชั่น คือ FLEXIcontent v.1.5.6 สำหรับ Joomla 1.5.x และ FLEXIConent 2.0  สำหรับ Joomla 1.7 ขึ้นไป

ได้โอกาสรีวิว Joomla 1.7 ก็เมื่อ ออก RC 1 ขอเป็น Mini Review ละกันครับ ว่ามีอะไรที่แตกต่าง จาก Joomla 1.6 กันบ้าง บางคนก็บ่นว่า Joomla มีหลายรุ่นจะใช้รุ่นไหนดี ของแนะนำแบบนี้ก่อน

Joomla 1.5.x เป็น LTS หรือ Long Term Support

Joomla 1.6.x จะไม่เป็น LTS ซึ่งจะมีอายุแค่ 6 เดือน  ออกวันที่ ๑๐ มกราคม ๒๕๕๔

Joomla 1.7.x จะไม่เป็น LTS ซึ่งจะมีอายุแค่ 6 เดือน เช่นกัน

ส่วน Joomla ทีจะเป็น LTS หรือ Long Term Support ยังไม่ลงตัวว่าจะเป็น 1.8 หรือ 2.0

ที่นี้มาดูรีวิวกันดกีว่าว่ามีอะไรน่าสนใจสำหรับ Joomla 1.7 ที่เพิ่มเข้ามา

การโดนแฮกเป็นสิ่งไม่น่าพิศมัยนัก ถ้าเราป้องกันได้ก็จะอุ่นใจได้บ้าง การโดนแฮกสามารถโดนได้หลายทาง เช่น

• ไปติดโทรจันมาจากเว็บอื่น แล้วโดนขโมยข้อมูล Ftp ของเว็บ
• ใช้จูมล่า แล้วไม่อัพเดต เป็นรุ่นใหม่ หรือ ลงคอมโพเน้น โมดูลไป ไม่ตามอัพเดต ก็เป็นช่องทางให้ Hacker เข้ามาเจาะระบบได้
• Hosting ที่ใช้มีการตั้งค่าที่ไม่ปลอดภัย

หลังจาก Review ภาคแรกแล้ว ความสามารถใหม่ที่เด่นของ joomla 1.6 ใส่วนของการทำงานหลัก ว่าด้วยเรื่อง Menu และ Content ไปแล้ว ก็ จูมล่าเป็น CMS (Content Management System) เป็นระบบจัดการเนื้อหาหรือบทความ ความสามารถหลักเลยไปอยู่ที่ส่วนนั้น

ในภาคนี้ผมจะเขียนถึงความสามารถของส่วนเสริม (Extensions) กันบ้าง ส่วนเสริมก็จะเพิ่มความสามารถให้กับ เว็บของเรา โดยผมจะหยิบยกความสามารถที่เพิ่มขึ้นมาให้เห็นชัดเจน มากขึ้น

หลังจาก @supachai_chai ได้เขียนเรื่อง รีวิว Joomla 1.6 เบต้า 1 (ติดตั้ง) ไปแล้ว ก็มาดูความสามารถที่เพิ่มขึ้น ที่เหนือกว่า Joomla 1.5 กันบ้าง ซึ่งภาคแรก จะพูดถึงความสามารถโดยเรียงตามเมนู ซึ่งหลังจากทดลองใช้แล้ว บอกได้เลยว่า จูมล่า 1.6 เป็น SEO Engine ชัดๆ รองรับ การทำ SEO ได้เยอะมาก

Feature เด่น

• แทมเพลตผู้ดูแลใหม่ที่เน้น การใช้งานที่ง่ายขึ้น
• ระบบ SEO รองรับ URL Unicode Aliases (URL ภาษาไทยทำได้)
• ระบบ ACL ที่สามารถกำหนดการเข้าถึงและการทำงานได้ลึกถึงระดับ Item
• ระบบ Category แบบ Tree สร้าง Category ย่อยได้ไม่จำกัด
• ระบบ Multil Language รองรับการทำเว็บหลายภาษา

มาเริ่มลุยกันเลย